技術領域

本發明涉及計算機技術領域，尤其涉及一種基于動態身份標識的認證方法及系統。

背景技術

隨著網絡技術的高速發展，已涌現出大量的網絡應用。在很多應用中，用戶都需要訪問服務器以獲取系統資源。為了保證服務器資源只能被已授權的用戶合法使用，系統需要對用戶進行身份認證。身份標識信息是實現身份認證的重要依據。但是，在大部分應用中，身份標識信息都是以明文或者靜態的方式使用，這會導致用戶的身份泄露。

然而，在電子商務、電子選舉系統、遠程醫療系統及遠程財務系統等許多身份信息敏感的實際應用中，用戶身份的泄露會造成嚴重的安全威脅。例如，在電子商務領域的電子拍賣應用中，參與拍賣會的人都必須使用合法的身份標識信息以證明自己是有權限的競拍者，以便在拍賣過程中進行身份認證，保證每次競拍的不可否認性。但是，對于一些涉及重要物品的拍賣會，競拍者的身份標識信息的泄露可能會導致競拍者的安全和隱私受到威脅。再如，在重要的電子選舉中，選舉人的投票信息中必須包含其身份和權限的標識信息，以便系統能夠驗證該投票的合法性和有效性。但是，若未能有效隱藏投票信息中的身份標識信息，可能會影響選舉結果的公平性。又如，當用戶訪問遠程系統時，用戶身份標識信息通常是系統認證用戶身份合法性的重要依據，若用戶身份標識信息以靜態方式包含在數據包中，則攻擊者可通過竊聽或截取數據包等方式獲取用戶的身份標識信息，并有目的地追蹤用戶、偽裝用戶或對用戶進行攻擊等。如果用戶的身份標識信息中包含了用戶身份的敏感信息，這些信息的泄露還可能會給用戶帶來嚴重的損失。因此，在保護用戶的身份標識信息安全的情況下實現身份認證是至關重要的。

負數據庫由Esponda等人在論文“Enhancing?Privacy?through?Negative?Representations?of?Data”（UNM?Computer?Science?Technical?Report,2004）和“Online?Negative?Database”（Proceedings?of?ICARIS,2004）中正式提出。通常，負數據庫只存儲原數據庫的補集的壓縮表示。而通過一個負數據庫求解其對應的原數據庫等價于求解一個可滿足性問題，是NP完全問題(多項式復雜程度的非確定性問題)。因此，負數據庫具有保護原數據庫的信息安全的功能。

目前，負數據庫已經被用于隱私保護、數據隱藏及敏感數據收集等領域。例如，Dasgupta等人在文獻“An?Investigation?of?Negative?Authentication?Systems”（Proceedings?of3rd?International?Conference?on?Information?Warfare?and?Security,2008）中將負數據庫應用于身份認證系統，但其認證方法是基于靜態密碼的，并未對用戶身份標識信息進行保護，因此，其在用戶身份安全性方面依舊存在不足。

發明內容

本發明的目的是提供一種基于動態身份標識的認證方法及系統，通過動態身份標識信息實現身份認證的同時不泄露用戶的真實身份信息。

本發明的目的是通過以下方式實現的：

一種基于動態身份標識的認證方法，該方法包括以下兩個技術方案：

第一個技術方案包括：生成階段，以用戶真實身份標識信息為原數據庫，調用負數據庫生成算法生成該原數據庫的負數據庫，并作為用戶的動態身份標識信息；發送階段，將用戶真實身份標識信息替換為該動態身份標識信息并發送至服務器；認證階段，所述服務器對接收到的動態身份標識信息進行解析獲得對應的用戶真實身份標識信息，并對該用戶真實身份標識信息進行認證；

第二個技術方案包括：生成階段，通過用戶真實身份標識信息和預設的秘密參數，調用單向散列函數和負數據庫生成算法生成動態身份標識信息，并更新秘密參數；發送階段，將用戶真實身份標識信息替換為該動態身份標識信息并發送至服務器；認證階段，所述的服務器接收到用戶的動態身份標識信息后，服務器基于本地存儲的每個合法用戶的真實身份標識與對應的秘密參數，通過單向散列函數和負數據庫生成算法生成本地合法的動態身份標識信息，并根據本地生成的動態身份標識信息對接收到的用戶動態身份標識信息進行認證，若認證通過，則對應的用戶為合法用戶，服務器更新本地對應于該用戶的秘密參數。

一種基于動態身份標識的認證系統，該系統包括：