[发明专利]一种基于OpenID的关键信息保护方法及系统

权利要求书

1.一种基于openID的关键信息保护方法，包括以下步骤：

将用户关键信息进行垂直分割，分成标识符、准标识符、实名身份信息和敏感信息四类，该准标识符是指结合其他用户属性可以唯一识别用户身份的属性信息；

由用户主密钥派生生成保护上述四类信息的不同功能密钥；

利用针对标识符的功能秘钥，对标识符的主标识符、用户登录账户和成对匿名标识符分别进行加密处理，并进行分散存储，混淆三者之间的对应关系；

利用针对准标识符的功能秘钥，计算准标识符库记录的主键，针对每一条记录，利用概率分布得到新记录，对新记录的属性取值进行泛化或加噪处理，具体为：设准标识符由{A₁,…,A_n}的n类用户属性组成，维持每一条记录的A₁,…,A_n-1的n-1个属性值不变；用机器学习或统计方法学习得到A_n取值的条件概率分布P(A_n|A₁,…,A_n-1)，依照该概率分布，生成k-1条新的A_n值域范围内的值；将每一条记录扩展成k条不同A_n-1取值的记录，k匿名加噪的方法对k条记录的A_n-1属性的取值进行泛化或加噪处理；

利用针对实名身份信息的功能密钥，生成多个子密钥，用以加密实名身份信息的实名属性；

利用针对敏感信息的功能秘钥进行加密，计算敏感属性记录的主键；

上述四类信息经过处理后，进行分散存储；

对用户访问依赖方的行为以及用户信息流向依赖方的轨迹进行追踪，通过主键索引将轨迹信息与用户身份进行关联，同时对轨迹信息进行加密处理。

2.如权利要求1所述的方法，其特征在于，功能密钥派生方法为：

以用户主标识符mID和用户唯一匹配的随机数r为种子，基于带密钥的杂凑算法H_a进行运算，计算用户主密钥mk＝H_a(sk,mID,r)，其中sk为系统密钥；

结合功能标签集合{l₁,l₂,…,l_n}，生成密钥派生树，初始设置密钥派生树的根节点密钥为mk；

获取待生成功能密钥fk_i的父节点密钥p-fk_i和对应的功能标签l_i，l_i为功能标签；

计算用户的功能密钥fk_i＝H_a(p-fk_i,l_i)，得到不同的功能密钥{fk₁,fk₂,…,fk_n}。

3.如权利要求1所述的方法，其特征在于，对主标识符、用户登录账户和成对匿名标识符分别进行以下加密处理：

主标识符库由mID,用户名,r记录组成，r为随机数，以fk_i为父节点密钥，生成两个子密钥ki₁,ki₂；

对用户登录账户库中的用户记录用户名,口令，采用k匿名的方法，为每一个用户名生成k-1个假口令，每条用户账户记录扩展到k条，混淆真实口令记录的序号，真实序号＝H_b(ki₁,r)mod k，其中H_b为带密钥的杂凑算法；

对成对匿名标识符记录mID,RP,rID进行处理，其中RP为依赖方标识符，rID为用户在依赖方RP中的标识符，生成新的成对匿名标识符记录Hb(ki2,mID,RP),rID。