本發明提供一種可隱藏用戶登錄軌跡的單點登錄方法。該方法包含用戶、身份提供方和身份依賴方三個參與方。在用戶每次登錄過程中，身份依賴方與用戶協商生成臨時應用標識；身份提供方認證用戶身份成功之后向身份依賴方返回用戶身份憑據，身份憑據中實現了用戶唯一標識uid和臨時應用標識的綁定；身份依賴方通過兩次登錄過程中的臨時應用標識和用戶身份憑據能夠判斷兩次登錄過程是否對應同一個用戶。特別地，除用戶和用戶登錄的身份依賴方外，其他實體無法明確用戶登錄的身份依賴方信息，也無法判斷用戶的兩次登錄過程是否對應同一個身份依賴方，從而隱藏了用戶的登錄軌跡，保護了用戶隱私信息。

技術領域

本發明屬于信息安全、身份認證技術領域，尤其涉及需要保護用戶隱私信息的單點登錄方法。

背景技術

網絡應用需要對用戶進行身份鑒別，以實現對用戶虛擬資產和隱私信息的保護，并根據用戶身份信息為用戶提供個性化服務。身份鑒別過程為：用戶向網絡應用提供用戶標識及相應的憑據信息(如口令)，網絡應用驗證憑據信息的正確性，僅當憑據信息驗證通過時，網絡應用允許用戶登錄。

隨著網絡應用數量的日益增加，用戶針對每個網絡應用均需要維護相應的憑據信息，使得用戶需要維護多個憑據信息。單點登錄方案的提出，使得用戶僅需要維護一個憑據信息，即可在多個網絡應用完成身份鑒別。具體地，單點登錄方案中包含用戶、身份提供方和身份依賴方(即用戶需要訪問的網絡應用)。單點登錄方案中，用戶希望登錄某個身份依賴方時，其處理流程為：

(1)身份依賴方在身份提供方處進行注冊，獲取依賴方唯一標識，該注冊過程僅需進行一次；

(2)用戶登錄該身份依賴方時，身份依賴方返回依賴方唯一標識；

(3)用戶使用憑據信息在身份提供方處完成身份認證，若用戶已完成身份認證，該步驟可省略；

(4)用戶將希望訪問的身份依賴方標識發送給身份提供方；

(5)身份提供方根據用戶信息和身份依賴方標識生成用戶標識，該用戶標識實現了用戶身份和身份依賴方標識的綁定；身份提供方將該用戶標識發送給身份依賴方；

(6)身份依賴方驗證用戶標識的正確，若正確，則允許用戶登錄該身份依賴方。

從上述過程中可以看出，身份提供方能夠同時獲取用戶身份信息和用戶登錄軌跡(即用戶訪問的所有身份依賴方信息)。身份提供方通過分析這兩個信息，能夠獲取用戶的隱私信息。

發明內容

針對單點登錄方案中身份提供方能夠同時獲取用戶身份信息和用戶登錄軌跡(用戶所訪問的所有身份依賴方信息)的問題，本發明提供了一種可隱藏用戶登錄軌跡的單點登錄方法，能夠在實現用戶單點登錄的同時，防止身份提供方獲取用戶的登錄軌跡，從而對用戶隱私信息提供保護。

為了達到上述目的，本發明采用以下技術方案：

一種可隱藏用戶登錄軌跡的單點登錄方法，包括以下步驟：

用戶向身份依賴方發起登錄請求；

身份依賴方與用戶在每次登錄過程中都通過協商獲得臨時應用標識RP_ID；

用戶代替身份依賴方在身份提供方處完成身份依賴方注冊；

身份依賴方通過用戶向身份提供方發起對用戶身份憑據的請求；

身份提供方認證用戶身份成功之后返回用戶身份憑據；

用戶將身份憑據返回給身份依賴方；

身份依賴方在每次獲取用戶身份憑據之后，驗證身份憑據的正確性，若正確，則繼續處理，判斷是否已存在該用戶賬戶信息；若不一致，則結束處理，并拒絕此次用戶登錄過程；