[发明专利]一种提供身份鉴别服务的用户名生成方法及系统

说明书

本发明涉及一种提供身份鉴别的用户名生成方法及系统，属于信息安全领域。本发明包括终端用户、应用系统和身份服务提供方。身份服务方可用于接收终端用户发送的真实身份信息，基于密码算法生成用户名，将经过隐私保护的终端用户的用户名发送给应用系统。本发明生成的用户名可隐藏终端用户真实身份信息，通过加入盐值降低不同应用系统对终端用户真实身份信息的字典攻击和暴力攻击；基于密码算法计算得到的终端用户身份标识在不同应用系统中具有唯一性。本发明可以避免不同应用系统对终端用户的行为进行汇聚、分析和追踪，从而保护用户身份和隐私信息，可应用于身份服务提供方enID connect认证协议以及OAuth授权框架。

技术领域

本发明涉及一种提供身份鉴别服务的用户名生成方法及系统，属于信息安全领域。

背景技术

随着信息时代的不断发展,隐私权中个人重要身份隐私的无法保障问题显得尤为突出。智能终端在为用户提供个性化服务的同时，个人信息的过度收集、分析、共享、滥用的现象也愈发活跃。因此用户个人信息保护日趋成为用户权益保护的核心领域，越来越多用户隐私保护意识增强，而互联网不安全因素日益增多。

发明内容

本发明的目的是提出一种提供身份鉴别服务的用户名生成方法及系统，该方法中用户名隐藏终端用户真实身份信息，以避免不同应用系统对终端用户的行为进行汇聚、分析和追踪，从而保护用户身份和隐私信息。

本发明提出的一种提供身份鉴别服务的用户名生成方法，包括以下步骤：

(1)注册阶段：

应用系统将本系统的相关安全通信参数注册到身份服务提供方，身份服务提供方为每个应用系统分配唯一可区分的应用标识，记作App_ID；身份服务提供方管理的终端用户将相关安全参数注册到身份服务提供方，身份服务提供方为每个用户分配唯一可区分的用户标识，记作EU_ID，并为每个用户随机生成一个盐值，记作salt，用户标识和盐值存储在身份服务提供方数据库中；

(2)身份鉴别阶段：

用户向应用系统发出登录请求，应用系统利用安全参数采用安全方式(如公钥加密或人工传递等)将登录请求重定向到身份服务提供方提供的登录界面，用户输入该用户的用户标识，通过相关安全参数进行身份鉴别，若鉴别通过后，身份服务提供方通过获得的应用标识、用户标识、盐值进行用户名生成运算，得到该用户在该应用的用户名，进行步骤(3)，若鉴别未通过，则用户名生成失败；

(3)身份令牌提交阶段：

身份服务提供方利用步骤(2)在该应用系统中生成的用户名，生成该用户的身份令牌，并将该身份令牌发给该应用系统，应用系统对接收的身份令牌进行验证，若通过验证，则允许具有该用户名的用户登录该应用系统，若未通过验证，则登录失败。

上述用户名生成方法中，所述的身份服务提供方将用户分配的用户标识与随机生成的盐值一一对应地存储在身份服务提供方的数据库中。

上述用户名生成方法中，所述的步骤(2)中，身份服务提供方进行用户名生成运算的计算式为：

User_ID＝Hash(EU_ID||salt||App_ID)，

其中，||表示字符串拼接，Hash为密码摘要算法。

上述用户名生成方法中，所述的步骤(2)中，身份服务提供方进行用户名生成运算的计算式为：

User_ID＝E(salt，EU_ID||App_ID)，

其中，||表示字符串拼接，E为密码加密算法，salt为密钥。

上述用户名生成方法中，所述的步骤(3)中，用户身份令牌ID_Token为一种JWT(JSONWebToken)格式数据，JWT中sub字段的值为User_ID。