[发明专利]一种用户身份隐私性保护的方法及通信系统、装置

说明书

技术领域

本发明涉及在网络中对用户身份的处理技术，特别涉及一种用户身份隐私性保护的方法及通信系统、装置。

背景技术

随着网络业务的广泛推广和应用，用户可以享受各种各样的网络业务。目前各个网络业务都具有自己单独的身份注册系统，以便用户在接入时提供相应身份信息，进行认证。但是，这样使得用户的身份信息大量在网络中扩散，增大了用户身份信息隐私泄漏的风险。另外，在网络中存在的在线身份窃取和诈骗行为也对在网络中如何保护用户身份隐私提出了更高的要求。

用户身份隐私保护，实际上就是在网络中对用户身份信息进行严格保护和控制，只有经过授权的业务提供者(SP，Service Provider)才能获取到用户身份信息。用户身份隐私保护涉及到在网络中的用户身份信息生成、存储、授权和使用等各个环节。其中涉及到的技术包括：身份认证技术、授权技术和加密技术等。

对用户身份隐私的保护就是对用户身份、为用户提供服务的实体认证处理以及在网络中的一定范围内为用户提供服务的实体相关信息所进行的安全管理。在网络中为用户提供服务的实体可以是任何可以在网络中唯一识别的事物、人、动物、设备、对象、组、组织和信息对象等。在网络中为用户提供服务的实体在网络不同的应用范围内可能具有多个身份。在网络中的认证过程范围可以是在一个组织内，也可以是跨越多个组织。

由于用户身份信息以及相关信息是在网络认证过程中随时间发生变化的，因此，必须对用户身份信息以及相关信息进行管理。为用户提供服务实体的有些信息为非正式的且变化比较频繁，有些为正式的且具体，比如说用户，基于政治的组织角色以及财务账户通常是稳定的。用户身份的属性通常会安全地存储于网络中的令牌、目录、访问设备或者是网络中的数据库管理系统中。

为了在为用户提供业务时保证用户身份隐私，目前有一种对用户身份隐私进行保护的方法，实现该保护方法的架构示意图如图1所示。在图1中，在网络的用户侧中具有信任域(20)，该信任域(20)内包括用户和浏览器(10)，用来存储用户身份信息的存储器(22)、假冒身份生成器(24)以及一个响应分析器(30)。在网络的网络侧中，包括提供业务服务的SP(14，16，18)。在网络中的用户侧和网络侧通过英特网(Internet)(12)进行交互。

用户需要注册并将身份信息存储到存储器(22)中，该存储器(22)和假冒身份生成器(24)相连接，进行信息交互。当用户通过Internet向SP(14，16，18)申请业务服务时，假冒身份生成器(24)会根据在存储器(22)中存储的用户身份信息针对不同业务服务请求生成不同的假冒身份(26a，26b，26c)并发送给SP(14，16，18)和响应分析器(30)，SP(14，16，18)根据接收到的假冒身份(26a，26b，26c)对用户进行认证，认证通过后为用户提供对应的业务服务，且将携带是否通过认证信息的响应(28a，28b，28c)消息发送给响应分析器(30)。响应分析器(30)根据接收到的假冒身份(26a，26b，26c)和接收到的响应(28a，28b，28c)消息进行分析，得出一个正确或大概正确的响应(32)消息提供给用户，告知用户SP已经进行了业务处理后，完成整个过程。

这样，网络侧可以提供从SP获取的响应并处理后发送给用户，但是却不需要透露用户真实身份信息。

上述方案中，用户在申请业务服务器时，需要由假冒身份生成器产生用户的假冒身份向SP提出业务服务申请，SP在给出响应后还需要一个响应分析器对得到的结果进行分析，得到最终真实的响应发送给用户，这虽然保护了用户身份隐私，但处理过程比较烦琐，增加了实现用户身份隐私保护的复杂度。另外，该方案只针对web服务。

发明内容

本发明实施例提供了一种通信系统，该系统能够在不增加实现复杂度的基础上保护用户身份隐私。

本发明实施例还提供了一种用户身份隐私性保护的方法，该方法能够在不增加实现复杂度的基础上保护用户身份隐私。

本发明实施例还提供了一种通信装置，该装置能够在不增加实现复杂度的基础上保护用户身份隐私。

根据上述目的，本发明实施例的技术方案是这样实现的：