[发明专利]一种基于OpenID的关键信息保护方法及系统

说明书

本发明提供一种基于OpenID的关键信息保护方法及系统，涉及身份鉴别技术、密码技术、数据脱敏技术，将用户关键信息进行垂直分割成标识符、准标识符、实名身份信息和敏感信息四类，采用功能密钥进行保护并进行分散存储，对轨迹信息进行加密处理，能够对不同类型的关键数据进行防关联切割以及加密、加噪等脱敏处理，能够有效保护用户的隐私，大大降低用户信息库泄露的风险。

技术领域

本发明涉及身份鉴别技术、密码技术、数据脱敏技术，特别涉及一种将分割、加密、k匿名等多种技术进行灵活运用的用户个人信息保护系统及降低OpenID服务隐私风险的方法。

背景技术

OpenID是一种构建在广泛应用的OAuth协议基础之上的去中心化的身份鉴别协议框架，OpenID中提出的身份鉴别框架使得网络中的应用(被称为依赖方)可以基于某身份服务提供方(通常是一个授权服务器)提供的鉴别服务，由身份服务提供方对用户执行鉴别流程，以验证终端用户的身份，并从身份服务提供方获取关于终端用户身份的信息，从而实现对终端用户的鉴别。

由于OpenID技术固有的极大灵活性和方便性，使得OpenID服务提供方成为了用户身份信息的聚集地和集散箱，也给用户的隐私带来了极大的安全威胁。

随着大数据技术的发展，对用户的信息进行收集和处理分析已经成为企业盈利的重要手段，也给用户隐私、企业安全、国家安全带来了挑战。基于大量的用户身份信息和用户网络行为信息，可以利用大数据推理分析出更多的隐私信息或趋势和规律等信息，这些信息犹如宝贵的财富可以用于企业决策、精准营销，也可成为犯罪分子的利器。一方面，用户的身份信息大多敏感，一旦泄露或者被非法获取，将给用户的隐私、甚至生命财产安全带来极大威胁。另一方面，只有流动起来的数据才能更大发挥其价值，信息的共享已经成为趋势。因此个人信息或者身份信息的保护和使用之间的平衡，已经成为业界研究的热点。

继我国的《网络安全法》颁发之后，欧盟的GDPR也正是实施，各项与个人信息、身份信息相关的国际国家标准也相继出台，对个人信息保护的重视程度已经提升到新的高度。为了应对法律法规的要求，各个人信息的控制者，主要指掌握大量用户信息的IT服务提供商及其数据中心，都需要根据合规性要求，采取相应的措施保护其维护的关键数据，尽可能采用技术和管理手段来实现用户的信息知情权、同意权、删除权(或被遗忘权)，否则合规性的违反将带来巨额的罚款。

发明内容

有鉴于此，本发明提供一种基于OpenID的关键信息保护方法及系统，对不同类型的关键数据进行防关联切割以及加密、加噪等脱敏处理，能够有效保护用户的隐私，大大降低用户信息库泄露的风险。

为达到上述目的，本发明采用了以下的技术方案：

一种基于openID的关键信息保护方法，包括以下步骤：

将用户关键信息进行垂直分割，分成标识符、准标识符、实名身份信息和敏感信息四类；

由用户主密钥派生生成保护上述四类信息的不同功能密钥；

利用针对标识符的功能秘钥，对标识符的主标识符、用户登录账户和成对匿名标识符分别进行加密处理，并进行分散存储，混淆三者之间的对应关系；

利用针对准标识符的功能秘钥，计算准标识符库记录的主键，针对每一条记录，利用概率分布得到新记录，对新记录的属性取值进行泛化或加噪处理；

利用针对实名身份信息的功能密钥，生成多个子密钥，用以加密实名身份信息的实名属性；

利用针对敏感信息的功能秘钥进行加密，计算敏感属性记录的主键；

上述四类信息经过处理后，进行分散存储；

对用户访问依赖方的行为以及用户信息流向依赖方的轨迹进行追踪，通过主键索引将轨迹信息与用户身份进行关联，同时对轨迹信息进行加密处理。