CN112383401B - 一种提供身份鉴别服务的用户名生成方法及系统 - Google Patents
一种提供身份鉴别服务的用户名生成方法及系统 Download PDFInfo
- Publication number
- CN112383401B CN112383401B CN202011243089.6A CN202011243089A CN112383401B CN 112383401 B CN112383401 B CN 112383401B CN 202011243089 A CN202011243089 A CN 202011243089A CN 112383401 B CN112383401 B CN 112383401B
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- service provider
- user name
- application system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种提供身份鉴别的用户名生成方法及系统,属于信息安全领域。本发明包括终端用户、应用系统和身份服务提供方。身份服务方可用于接收终端用户发送的真实身份信息,基于密码算法生成用户名,将经过隐私保护的终端用户的用户名发送给应用系统。本发明生成的用户名可隐藏终端用户真实身份信息,通过加入盐值降低不同应用系统对终端用户真实身份信息的字典攻击和暴力攻击;基于密码算法计算得到的终端用户身份标识在不同应用系统中具有唯一性。本发明可以避免不同应用系统对终端用户的行为进行汇聚、分析和追踪,从而保护用户身份和隐私信息,可应用于身份服务提供方enID connect认证协议以及OAuth授权框架。
Description
技术领域
本发明涉及一种提供身份鉴别服务的用户名生成方法及系统,属于信息安全领域。
背景技术
随着信息时代的不断发展,隐私权中个人重要身份隐私的无法保障问题显得尤为突出。智能终端在为用户提供个性化服务的同时,个人信息的过度收集、分析、共享、滥用的现象也愈发活跃。因此用户个人信息保护日趋成为用户权益保护的核心领域,越来越多用户隐私保护意识增强,而互联网不安全因素日益增多。
发明内容
本发明的目的是提出一种提供身份鉴别服务的用户名生成方法及系统,该方法中用户名隐藏终端用户真实身份信息,以避免不同应用系统对终端用户的行为进行汇聚、分析和追踪,从而保护用户身份和隐私信息。
本发明提出的一种提供身份鉴别服务的用户名生成方法,包括以下步骤:
(1)注册阶段:
应用系统将本系统的相关安全通信参数注册到身份服务提供方,身份服务提供方为每个应用系统分配唯一可区分的应用标识,记作App_ID;身份服务提供方管理的终端用户将相关安全参数注册到身份服务提供方,身份服务提供方为每个用户分配唯一可区分的用户标识,记作EU_ID,并为每个用户随机生成一个盐值,记作salt,用户标识和盐值存储在身份服务提供方数据库中;
(2)身份鉴别阶段:
用户向应用系统发出登录请求,应用系统利用安全参数采用安全方式(如公钥加密或人工传递等)将登录请求重定向到身份服务提供方提供的登录界面,用户输入该用户的用户标识,通过相关安全参数进行身份鉴别,若鉴别通过后,身份服务提供方通过获得的应用标识、用户标识、盐值进行用户名生成运算,得到该用户在该应用的用户名,进行步骤(3),若鉴别未通过,则用户名生成失败;
(3)身份令牌提交阶段:
身份服务提供方利用步骤(2)在该应用系统中生成的用户名,生成该用户的身份令牌,并将该身份令牌发给该应用系统,应用系统对接收的身份令牌进行验证,若通过验证,则允许具有该用户名的用户登录该应用系统,若未通过验证,则登录失败。
上述用户名生成方法中,所述的身份服务提供方将用户分配的用户标识与随机生成的盐值一一对应地存储在身份服务提供方的数据库中。
上述用户名生成方法中,所述的步骤(2)中,身份服务提供方进行用户名生成运算的计算式为:
User_ID=Hash(EU_ID||salt||App_ID),
其中,||表示字符串拼接,Hash为密码摘要算法。
上述用户名生成方法中,所述的步骤(2)中,身份服务提供方进行用户名生成运算的计算式为:
User_ID=E(salt,EU_ID||App_ID),
其中,||表示字符串拼接,E为密码加密算法,salt为密钥。
上述用户名生成方法中,所述的步骤(3)中,用户身份令牌ID_Token为一种JWT(JSONWebToken)格式数据,JWT中sub字段的值为User_ID。
本发明提出的提供身份鉴别服务的用户名生成系统,包括:
用户端,用于向身份服务提供端提供用户真实身份信息和安全参数,向应用端发起登录请求;
应用系统端,用于向身份服务提供端提供应用系统安全参数,验证用户端提交的身份鉴别信息;
身份服务提供端,用于提供用户接口,供用户生成用户标识和对应的盐值,并将注册成用的用户标识和盐值存储在数据库中;通过获得的用户标识、盐值和登录请求中的应用标识进行用户名生成运算,并获得该用户在该应用系统的用户名;利用已生成的用户名生成该用户的身份令牌,并将其身份令牌返回给应用系统。
本发明提出的提供身份鉴别服务的用户名生成方法及系统,其特点和优点是:
1、本发明的提供身份鉴别服务的用户名生成方法及系统,为基于密码算法生成的用户名加入了盐值,降低了应用系统对终端用户真实身份信息的字典攻击和暴力攻击,保证了用户身份的隐私性以及唯一性。
2、本发明对于同一应用系统而言,身份服务提供方为同一终端用户生成唯一的身份标识,方便身份服务提供方管理终端用户账号信息。
3、本发明方法可以实现一个身份服务提供方为多个应用系统提供终端用户身份鉴别服务。用户初次请求登录应用系统时,需要进行注册,用户再次请求登录任意应用系统时,将在身份服务提供方查询用户标识及用户盐值后直接进入身份鉴别阶段。
附图说明
图1为本发明的提供身份鉴别服务的用户名生成方法的流程图。
图2为本发明的提供身份鉴别服务的用户名生成系统的结构图。
具体实施方法
本发明提出的提供身份鉴别服务的用户名生成方法,其流程框图如图1所示,包括以下步骤:
(1)注册阶段:
应用系统将本系统的相关安全通信参数(如证书、公钥等)注册到身份服务提供方,身份服务提供方为每个应用系统分配唯一可区分的应用标识,记作App_ID;身份服务提供方管理的终端用户将相关安全参数注册到身份服务提供方,身份服务提供方为每个用户分配唯一可区分的用户标识,记作EU_ID,并为每个用户随机生成一个盐值,记作salt,用户标识和盐值存储在身份服务提供方数据库中;
(2)身份鉴别阶段:
用户向应用系统发出登录请求,应用系统利用安全参数采用安全方式(如公钥加密或人工传递等)将登录请求重定向到身份服务提供方提供的登录界面。用户输入该用户的用户标识,通过相关安全参数(如口令、指纹等)进行身份鉴别。若鉴别通过后,身份服务提供方通过获得的应用标识、用户标识、盐值进行用户名生成运算,得到该用户在该应用的用户名(记作“User_ID”),进行步骤(3),若鉴别未通过,则用户名生成失败。
(3)身份令牌提交阶段:
身份服务提供方利用步骤(2)在该应用系统中生成的用户名,生成该用户的身份令牌(记作ID_Token),并将该身份令牌发给该应用系统,应用系统对接收的身份令牌进行验证,若通过验证,则允许具有该用户名的用户登录该应用系统,若未通过验证,则登录失败。
上述用户名生成方法中,所述的身份服务提供方将用户分配的用户标识与随机生成的盐值一一对应地存储在身份服务提供方的数据库中。
上述用户名生成方法所述步骤(1)可以实现一个身份服务提供方为多个应用系统提供终端用户身份鉴别服务。用户初次请求登录应用系统时,需要进行注册,用户再次请求登录应用系统时,身份服务提供方查询到用户标识及用户盐值后直接进入身份鉴别阶段。上述用户名生成方法可以保证身份服务提供方为登录同一应用系统的同一用户生成唯一的用户名。
上述用户名生成方法中,所述的步骤(2)中,身份服务提供方进行用户名生成运算的计算式为:
User_ID=Hash(EU_ID||salt||App_ID),
其中,||表示字符串拼接,Hash为密码摘要算法。本发明的一个实施例中,该密码摘要算法为哈希算法。
上述用户名生成方法中,所述的步骤(2)中,身份服务提供方进行用户名生成运算的计算式为:
User_ID=E(salt,EU_ID||App_ID),
其中,||表示字符串拼接,E为密码加密算法,salt为密钥。本发明的一个实施例中,该密码算法为SM4密码算法。
上述用户名生成方法中,所述的步骤(3)中,用户身份令牌ID_Token为一种JWT(JSONWebToken)格式数据,JWT中sub字段的值为User_ID。
本发明提出的提供身份鉴别服务的用户名生成系统,如图2所示,包括:
用户端,用于向身份服务提供端提供用户真实身份信息和安全参数,向应用端发起登录请求;
应用系统端,用于向身份服务提供端提供应用系统安全参数,验证用户端提交的身份鉴别信息;
身份服务提供端,用于提供用户接口,供用户生成用户标识和对应的盐值,并将注册成用的用户标识和盐值存储在数据库中;通过获得的用户标识、盐值和登录请求中的应用标识进行用户名生成运算,并获得该用户在该应用系统的用户名;利用生产的用户名生成该用户的身份令牌,并将其身份令牌返回给应用系统。
本发明的用户名生成方法,其中的身份服务提供方为用户生成唯一可区分的用户标识,同时随机生成一个盐值,降低不同应用系统对终端用户真实身份信息的字典攻击和暴力攻击,保证用户身份的隐私性和唯一性。
本发明用户名生成方法的步骤(1),可以实现一个身份服务提供方为多个应用系统提供终端用户身份鉴别服务。用户初次请求登录应用系统时,需要进行注册,用户再次请求登录应用系统时,身份服务提供方查询到用户标识及用户盐值后直接进入身份鉴别阶段。可以保证在同一应用系统中,身份服务提供方为同一用户生成唯一身份标识。
上述用户名生成方法中,身份服务提供方通过获得的应用标识、用户标识、盐值进行用户名生成运算是一种密码算法,实际使用中只要EU_ID、salt、App_ID三个参数都参与了计算即可,先后顺序和使用次数均不作限制,实际使用中密码算法可以有多种方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (6)
1.一种提供身份鉴别服务的用户名生成方法,其特征在于该方法包括以下步骤:
(1)注册阶段:
应用系统将本系统的相关安全通信参数注册到身份服务提供方,身份服务提供方为每个应用系统分配唯一可区分的应用标识,记作App_ID;身份服务提供方管理的终端用户将相关安全参数注册到身份服务提供方,身份服务提供方为每个用户分配唯一可区分的用户标识,记作EU_ID,并为每个用户随机生成一个盐值,记作salt,用户标识和盐值存储在身份服务提供方数据库中;
(2)身份鉴别阶段:
用户向应用系统发出登录请求,应用系统利用安全参数采用安全方式将登录请求重定向到身份服务提供方提供的登录界面,用户输入该用户的用户标识,通过相关安全参数进行身份鉴别,若鉴别通过后,身份服务提供方通过获得的应用标识、用户标识和盐值进行用户名生成运算,得到该用户在该应用的用户名,进行步骤(3),若鉴别未通过,则用户名生成失败;
(3)身份令牌提交阶段:
身份服务提供方利用步骤(2)在该应用系统中生成的用户名,生成该用户的身份令牌,并将该身份令牌发给该应用系统,应用系统对接收的身份令牌进行验证,若通过验证,则允许具有该用户名的用户登录该应用系统,若未通过验证,则登录失败。
2.如权利要求1所述的用户名生成方法,其特征在于,其中所述的身份服务提供方将为用户分配的用户标识与随机生成的盐值一一对应地存储在身份服务提供方的数据库中。
3.如权利要求1所述的用户名生成方法,其特征在于其中所述的步骤(2)中,身份服务提供方进行用户名生成运算的计算式为:
User_ID=Hash(EU_ID||salt||App_ID),
其中,||表示字符串拼接,Hash为密码摘要算法。
4.如权利要求1所述的用户名生成方法,其特征在于其中所述的步骤(2)中,身份服务提供方进行用户名生成运算的计算式为:
User_ID=E(salt,EU_ID||App_ID),
其中,||表示字符串拼接,E为密码加密算法,salt为密钥。
5.如权利要求1所述的用户名生成方法,其特征在于,所述的步骤(3)中,用户身份令牌ID_Token为一种JWT格式数据,JWT中sub字段的值为User_ID。
6.一种提供身份鉴别服务的用户名生成系统,其特征在于,该用户名生成系统包括:
用户端,用于向身份服务提供端提供用户标识和用户安全参数,向应用系统端发起登录请求;
应用系统端,用于向身份服务提供端提供应用系统端安全参数,验证用户端提交的身份令牌;
身份服务提供端,用于提供用户接口,为每个用户分配唯一可区分的用户标识和对应的盐值,并将注册的用户安全系数和盐值存储在数据库中;通过获得的用户标识、盐值和登录请求中的应用标识进行用户名生成运算,并获得该用户在该应用系统端的用户名;利用生成的用户名生成该用户的身份令牌,并将该身份令牌返回给应用系统端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011243089.6A CN112383401B (zh) | 2020-11-10 | 2020-11-10 | 一种提供身份鉴别服务的用户名生成方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011243089.6A CN112383401B (zh) | 2020-11-10 | 2020-11-10 | 一种提供身份鉴别服务的用户名生成方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112383401A CN112383401A (zh) | 2021-02-19 |
| CN112383401B true CN112383401B (zh) | 2022-03-25 |
Family
ID=74579243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011243089.6A Active CN112383401B (zh) | 2020-11-10 | 2020-11-10 | 一种提供身份鉴别服务的用户名生成方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383401B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591059B (zh) * | 2021-08-02 | 2023-12-12 | 云赛智联股份有限公司 | 一种用户登录认证方法 |
| CN114244530A (zh) * | 2021-12-16 | 2022-03-25 | 中国电信股份有限公司 | 资源访问方法及装置、电子设备、计算机可读存储介质 |
| CN118157988B (zh) * | 2024-05-08 | 2024-07-09 | 中央军委政治工作部军事人力资源保障中心 | 一种跨网身份认证方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102801808B (zh) * | 2012-07-30 | 2014-11-05 | 武汉理工大学 | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 |
| US10476676B2 (en) * | 2016-07-05 | 2019-11-12 | Capital One Services, Llc | Systems and methods for secure remote identity verification |
| CN109981675B (zh) * | 2019-04-04 | 2021-10-26 | 西安电子科技大学 | 一种数字身份认证和属性加密的身份信息保护方法 |
| CN111538983A (zh) * | 2020-07-03 | 2020-08-14 | 杭州摸象大数据科技有限公司 | 用户密码生成方法、装置、计算机设备及存储介质 |
-
2020
- 2020-11-10 CN CN202011243089.6A patent/CN112383401B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 单点登录协议实现的安全分析;郭丞乾 等;《信息安全研究》;20191205;第5卷(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112383401A (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| US8627424B1 (en) | Device bound OTP generation | |
| US7613919B2 (en) | Single-use password authentication | |
| CN110149328B (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| WO2018090183A1 (zh) | 一种身份认证的方法、终端设备、认证服务器及电子设备 | |
| US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
| CN109618326A (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
| CN105827573B (zh) | 物联网设备强认证的系统、方法及相关装置 | |
| US20110213959A1 (en) | Methods, apparatuses, system and related computer program product for privacy-enhanced identity management | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| KR20210095093A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| CN115842680B (zh) | 一种网络身份认证管理方法及系统 | |
| KR100723835B1 (ko) | 일회성 인증 코드를 이용한 키 인증/서비스 시스템 및 그방법 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
| JP2007058455A (ja) | アクセス管理システム、および、アクセス管理方法 | |
| KR20210095061A (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| KR20220167366A (ko) | 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| RU2698424C1 (ru) | Способ управления авторизацией | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN107104792B (zh) | 一种便携式移动口令管理系统及其管理方法 | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |