CN106657152A - 一种鉴权方法及服务器、访问控制装置 - Google Patents
一种鉴权方法及服务器、访问控制装置 Download PDFInfo
- Publication number
- CN106657152A CN106657152A CN201710067062.8A CN201710067062A CN106657152A CN 106657152 A CN106657152 A CN 106657152A CN 201710067062 A CN201710067062 A CN 201710067062A CN 106657152 A CN106657152 A CN 106657152A
- Authority
- CN
- China
- Prior art keywords
- resource
- server
- control apparatus
- access control
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种鉴权方法及服务器、访问控制装置,其方法包括如下步骤:服务器接收访问控制装置发送的资源访问请求和第一签名,第一签名是访问控制装置采用存储的临时密钥对资源访问请求加密生成的;服务器获取存储的为访问控制装置分配的临时密钥,并采用临时密钥对资源访问请求进行加密,生成第一验证数据;若第一签名与第一验证数据匹配一致,则服务器对资源访问请求进行鉴权;若资源访问请求的鉴权结果为鉴权通过,则服务器对所述资源访问请求进行处理。采用本申请,通过采用临时密钥生成签名以进行鉴权的方式,能够避免固有私钥被泄露的风险,保证了固有私钥的安全性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种鉴权方法及服务器、访问控制装置。
背景技术
随着云计算技术的日益普及和大量应用,云计算在实现服务的高可用性、处理能力的可扩展性等方面的优势越来越多的被业界认可。其中,在云服务的鉴权体系中,用户可以通过云服务管理平台访问云资源,然而并非各个用户都具备访问云资源的资格,因此需要对访问用户进行鉴权,以确定该用户是否有访问权限。
在现有的技术方案中,云服务管理平台需要将访问请求生成签名,并将签名和访问请求发送至服务器,以使服务器对签名进行验证,若验证通过对访问请求进行鉴权,进而确定鉴权结果,而云服务管理平台中的签名是根据用户的固有私钥对访问请求进行加密生成的,由于用户的固有私钥是服务器所保存的,在云服务管理平台需要生成签名的时候,会直接向服务器获取用户的固有私钥,这样在固有私钥传输的过程中,容易造成固有私钥被泄露的风险,降低了用户的固有私钥传输的安全性。
发明内容
本发明实施例提供一种鉴权方法及服务器、访问控制装置,通过采用临时密钥生成签名以进行鉴权的方式,能够避免固有私钥被泄露的风险,保证了固有私钥的安全性。
本发明实施例第一方面提供了一种鉴权方法,包括:
服务器接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的;
所述服务器获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;
若所述第一签名与所述第一验证数据匹配一致,则所述服务器对所述资源访问请求进行鉴权;
若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。
本发明实施例第二方面提供了一种鉴权方法,包括:
访问控制装置接收用户发起的资源访问请求;
所述访问控制装置采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置分配的;
所述访问控制装置将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
本发明实施例第三方面提供了一种服务器,包括:
数据接收单元,用于接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的;
第一生成单元,用于获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;
请求鉴权单元,用于若所述第一签名与所述第一验证数据匹配一致,则对所述资源访问请求进行鉴权;
请求处理单元,用于若所述资源访问请求的鉴权结果为鉴权通过,则对所述资源访问请求进行处理。
本发明实施例第四方面提供了一种访问控制装置,包括:
请求接收单元,用于接收用户发起的资源访问请求;
第一生成单元,用于采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置分配的;
数据发送单元,用于将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
在本发明实施例中,服务器接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的;
所述服务器获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;
若所述第一签名与所述第一验证数据匹配一致,则所述服务器对所述资源访问请求进行鉴权;
若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。
在本发明实施例中,服务器接收访问控制装置发送的资源访问请求和第一签名,第一签名是访问控制装置采用存储的临时密钥对资源访问请求加密生成的;服务器采用存储的为访问控制装置分配的临时密钥对资源访问请求进行加密,生成第一验证数据;若第一签名与第一验证数据匹配一致,则服务器对资源访问请求进行鉴权;若为鉴权通过,则服务器对资源访问请求进行处理。在鉴权过程中,待验证的签名是采用临时密钥生成的,这样使得服务器无需传输固有密钥,因此避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种鉴权方法的流程示意图;
图2是本发明实施例提供的另一种鉴权方法的流程示意图;
图3是本发明实施例提供的另一种鉴权方法的流程示意图;
图4是本发明实施例提供的一种鉴权方法示例图;
图5是本发明实施例提供的一种服务器的结构示意图;
图6是本发明实施例提供的一种访问控制装置的结构示意图;
图7是本发明实施例提供的另一种服务器的结构示意图;
图8是本发明实施例提供的另一种访问控制装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。另外,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例涉及的访问控制装置可以是任何具备通信和存储功能的设备,例如,计算机、手机电脑等等;或者,所述访问控制装置的功能还可以在任何具备通信和存储功能的设备中实现。所涉及的服务器可以为分配密钥并能够对资源访问请求进行鉴权等的后台设备,本发明实施例对此不做限定。
请参见图1,为本发明实施例提供了一种鉴权方法的流程示意图。如图1所示,本发明实施例的所述方法是由服务器执行的,可以包括以下步骤101-步骤104。
101,服务器接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的。
具体的,服务器接收访问控制装置发送的资源访问请求和第一签名。其中所述第一签名是由所述访问控制装置生成的,具体是采用存储的临时密钥对所述资源访问请求加密生成的。
其中,所述临时密钥是由所述服务器为所述访问控制装置分配的,可以理解的是,所述临时密钥存在一定的时效性,即所述临时密钥在一定时间范围内有效且在其他时间范围内失效。
可行的方案中,所述服务器与所述访问控制装置约定一种预设加密算法,所述访问控制装置是按照预设加密算法,采用临时密钥对所述资源访问请求进行加密,生成第一签名。可选的,所述预设加密算法可以为数据加密标准(Data Encryption Standard,DES)、国际数据加密算法(International Data Encryption Algorithm,IDEA)等。
可选的,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式的包含方式不做限定。
102,所述服务器获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据。
具体的,所述服务器获取存储的为所述访问控制装置分配的临时密钥,其中,所述服务器存储的临时密钥与所述访问控制装置相对应的,且在同一个时刻,与所述访问控制装置对应的临时密钥只有一个。可选的,所述服务器可以将所述临时密钥与所述访问控制装置的装置标识进行对应保存,进一步,可选的,所述访问控制装置除了发送资源访问请求和第一签名之外,还一并携带访问控制装置的装置标识,这样在所述服务器接收到资源访问请求、第一签名和装置标识之后,所述服务器查找与装置标识对应的临时密钥。
进一步的,所述服务器采用存储的临时密钥对所述资源访问请求进行加密,生成第一验证数据。所述第一验证数据用于与接收到的第一签名进行比对,以确定访问控制装置是否合法。
103,若所述第一签名与所述第一验证数据匹配一致,则所述服务器对所述资源访问请求进行鉴权。
具体的,所述服务器将接收到的第一签名和生成的第一验证数据进行匹配,若所述第一签名与所述第一验证数据匹配一致,则所述服务器确定所述访问控制装置合法,并对所述资源访问请求进行鉴权。
可选的,若所述第一签名与所述第一验证数据匹配不一致,则所述服务器确定所述访问控制装置不合法,也不会对所述资源访问请求进行鉴权。所述服务器可以向所述访问控制装置发送表示访问控制装置验证不通过的通知消息。
可选的,所述服务器对所述资源访问请求进行鉴权的具体过程可以为所述服务器获取与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式;所述服务器判断所述可访问资源中是否存在所述目标访问资源;若存在所述目标访问资源,则所述服务器判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式;若存在所述目标操作方式,则所述服务器确定所述资源访问请求的鉴权结果为鉴权通过。若所述可访问资源中不存在所述目标访问资源,或者所述可操作方式中不存在所述目标操作方法,则所述服务器确定所述资源访问请求的鉴权结果为鉴权不通过,这种情况下,所述服务器可以向所述访问控制装置发送无法执行所述资源访问请求的通知消息。
104,若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。
具体的,若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。可选的,所述服务器按照所述资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述服务器可以将处理结果反馈至所述访问控制装置,以使所述用户获知针对所述资源访问请求的处理结果。
在本发明实施例中,服务器接收访问控制装置发送的资源访问请求和第一签名,第一签名是访问控制装置采用存储的临时密钥对资源访问请求加密生成的;服务器采用存储的为访问控制装置分配的临时密钥对资源访问请求进行加密,生成第一验证数据;若第一签名与第一验证数据匹配一致,则服务器对资源访问请求进行鉴权;若为鉴权通过,则服务器对资源访问请求进行处理。在鉴权过程中,待验证的签名是采用临时密钥生成的,这样使得服务器无需传输固有密钥,因此避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
请参见图2,为本发明实施例提供了另一种鉴权方法的流程示意图。如图2所示,本发明实施例的所述方法是由访问控制装置执行的,可以包括以下步骤201-步骤203。
201,访问控制装置接收用户发起的资源访问请求。
具体的,所述访问控制装置接收用户发起的资源访问请求,可选的,用户可以通过访问控制装置提供的访问控制平台或者页面发起资源访问请求。进一步,可选的,用户是在访问控制平台或页面中通过用户名、登录密码登录成功之后,才能发起资源访问请求。
可选的,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式的包含方式不做限定。
202,所述访问控制装置采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置分配的。
具体的,所述访问控制装置采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名。其中,所述临时密钥是由所述服务器为所述访问控制装置分配的,可以理解的是,所述临时密钥存在一定的时效性,即所述临时密钥在一定时间范围内有效且在其他时间范围内失效。
可行的方案中,所述服务器与所述访问控制装置约定一种预设加密算法,所述访问控制装置是按照预设加密算法,采用临时密钥对所述资源访问请求进行加密,生成第一签名。可选的,所述预设加密算法可以为DES、IDEA等。
203,所述访问控制装置将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
具体的,所述访问控制装置将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
可选的,所述访问控制装置除了发送资源访问请求和第一签名之外,还一并携带访问控制装置的装置标识,这样在所述服务器接收到资源访问请求、第一签名和装置标识之后,所述服务器查找与装置标识对应的临时密钥,所述服务器在查找到与装置标识对应的临时密钥之后,生成第一验证数据以完成鉴权。
在本发明实施例中,访问控制装置对接收到的资源访问请求采用临时密钥进行加密,生成第一签名,临时密钥是由服务器预先为访问控制装置分配的,将资源访问请求和第一签名发送至服务器,以使服务器对资源访问请求进行鉴权,这样无需获取用户的固有私钥,避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
请参见图3,为本发明实施例提供了另一种鉴权方法的流程示意图。如图3所示,本发明实施例的所述方法是由服务器和访问控制装置共同执行的,可以包括以下步骤301-步骤314。
301,访问控制装置接收用户发起的资源访问请求。
具体的,所述访问控制装置接收用户发起的资源访问请求,可选的,用户可以通过访问控制装置提供的访问控制平台或者页面发起资源访问请求。进一步,可选的,用户是在访问控制平台或页面中通过用户名、登录密码登录成功之后,才能发起资源访问请求。
可选的,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式的包含方式不做限定。
302,所述访问控制装置采用固定密钥对所述资源访问请求进行加密,生成第二签名,所述固定密钥是由服务器为所述访问控制装置分配的。
具体的,所述访问控制装置采用固定密钥对所述资源访问请求进行加密,生成第二签名。其中,所述固定密钥是由服务器为所述访问控制装置分配的,且所述固定密钥与所述访问控制装置一一对应。
可行的方案中,在所述服务器为所述访问控制装置分配固定密钥之后,将所述固定密钥发送至所述访问控制装置,所述访问控制装置接收到所述固定密钥之后,将所述固定密钥保存,在所述访问控制装置需要向所述服务器发送临时密钥获取请求的情况下,获取存储的固定密钥,并采用固定密钥对所述资源访问请求进行加密,生成第二签名。
303,所述访问控制装置向所述服务器发送临时密钥获取请求。
具体的,所述访问控制装置向所述服务器发送临时密钥获取请求,所述临时密钥获取请求携带所述资源访问请求和所述第二签名,以使所述服务器对所述第二签名验证通过之后为所述访问控制装置分配临时密钥。
可选的,所述服务器和所述访问控制装置可以共同约定对于临时密钥获取请求中第二签名所采用的加密算法,以使所述服务器在接收到临时密钥获取请求之后,能够确定出第二签名所采用的加密算法。
304,服务器接收访问控制装置发送的临时密钥获取请求。
具体的,所述服务器接收访问控制装置发送的临时密钥获取请求,所述临时密钥获取请求携带资源访问请求和第二签名。
进一步的,所述临时密钥获取请求中还可以携带所述访问控制装置的装置标识,以使所述服务器在接收到所述临时密钥获取请求之后,确定与所述装置标识对应的固定密钥。
305,所述服务器获取为所述访问控制装置分配的固定密钥,并采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据。
具体的,所述服务器获取为所述访问控制装置分配的固定密钥。可选的,所述服务器可以根据临时密钥获取请求中携带的装置标识,查找与所述装置标识对应的固定密钥,并采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据。
进一步的,所述服务器加密生成第二验证数据所采用的加密算法与所述访问控制装置生成第二签名所采用的加密算法相同。
306,若所述第二签名与所述第二验证数据匹配一致,则所述服务器为所述访问控制装置分配临时密钥。
具体的,若所述第二签名与所述第二验证数据匹配一致,则所述服务器为所述访问控制装置分配临时密钥。可以理解的是,所述临时密钥存在一定的时效性,即所述临时密钥在一定时间范围内有效且在其他时间范围内失效。
可选的,若所述第二签名与所述第二验证数据匹配不一致,则所述服务器不分配临时密钥,还可以向所述访问控制装置发送因验证失败而无法分配临时密钥的通知消息。
307,所述服务器将所述临时密钥存储并发送至所述访问控制装置。
具体的,所述服务器将分配的临时密钥进行存储,以确定是所述访问控制装置的临时密钥。可选的,所述服务器可以将所述临时密钥与所述访问控制装置的装置标识进行关联存储,并记录所述临时密钥的有效时长,当超过记录的有效时长之后,可将该临时密钥删除。
308,所述访问控制装置接收所述服务器分配的所述临时密钥,并存储所述临时密钥。
309,所述访问控制装置采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名。
310,所述访问控制装置将所述资源访问请求和所述第一签名发送至所述服务器。
具体的,所述访问控制装置将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
可选的,所述访问控制装置除了发送资源访问请求和第一签名之外,还一并携带访问控制装置的装置标识,这样在所述服务器接收到资源访问请求、第一签名和装置标识之后,所述服务器查找与装置标识对应的临时密钥,所述服务器在查找到与装置标识对应的临时密钥之后,生成第一验证数据以完成鉴权。
311,服务器接收访问控制装置发送的资源访问请求和第一签名。
具体的,服务器接收访问控制装置发送的资源访问请求和第一签名。其中所述第一签名是由所述访问控制装置生成的,具体是采用存储的临时密钥对所述资源访问请求加密生成的。
312,所述服务器获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据。
具体的,所述服务器获取存储的为所述访问控制装置分配的临时密钥,其中,所述服务器存储的临时密钥与所述访问控制装置相对应的,且在同一个时刻,与所述访问控制装置对应的临时密钥只有一个。
进一步的,所述服务器接收到资源访问请求、第一签名和装置标识之后,所述服务器查找与装置标识对应的临时密钥。
进一步的,所述服务器采用存储的临时密钥对所述资源访问请求进行加密,生成第一验证数据。所述第一验证数据用于与接收到的第一签名进行比对,以确定访问控制装置是否合法。
进一步的,所述服务器加密生成第一验证数据所采用的加密算法与所述访问控制装置生成第一签名所采用的加密算法相同。
可选的,若所述服务器由于时效性删掉了该临时密钥,即使接收到所述访问控制装置发送的临时密钥获取请求,也无法对访问控制装置的第一签名进行验证,使得无法验证,并向所述访问控制装置发送临时密钥已失效的通知消息。
313,若所述第一签名与所述第一验证数据匹配一致,则所述服务器对所述资源访问请求进行鉴权。
具体的,所述服务器将接收到的第一签名和生成的第一验证数据进行匹配,若所述第一签名与所述第一验证数据匹配一致,则所述服务器确定所述访问控制装置合法,并对所述资源访问请求进行鉴权。
可选的,若所述第一签名与所述第一验证数据匹配不一致,则所述服务器确定所述访问控制装置不合法,也不会对所述资源访问请求进行鉴权。所述服务器可以向所述访问控制装置发送表示访问控制装置验证不通过的通知消息。
可选的,所述服务器对所述资源访问请求进行鉴权的具体过程可以为所述服务器获取与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式;所述服务器判断所述可访问资源中是否存在所述目标访问资源;若存在所述目标访问资源,则所述服务器判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式;若存在所述目标操作方式,则所述服务器确定所述资源访问请求的鉴权结果为鉴权通过。若所述可访问资源中不存在所述目标访问资源,或者所述可操作方式中不存在所述目标操作方法,则所述服务器确定所述资源访问请求的鉴权结果为鉴权不通过,这种情况下,所述服务器可以向所述访问控制装置发送无法执行所述资源访问请求的通知消息。
314,若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。
具体的,若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。可选的,所述服务器按照所述资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述服务器可以将处理结果反馈至所述访问控制装置,以使所述用户获知针对所述资源访问请求的处理结果。
在本发明实施例中,服务器接收访问控制装置发送的资源访问请求和第一签名,第一签名是访问控制装置采用存储的临时密钥对资源访问请求加密生成的;服务器采用存储的为访问控制装置分配的临时密钥对资源访问请求进行加密,生成第一验证数据;若第一签名与第一验证数据匹配一致,则服务器对资源访问请求进行鉴权;若为鉴权通过,则服务器对资源访问请求进行处理。在鉴权过程中,待验证的签名是采用临时密钥生成的,这样使得服务器无需传输固有密钥,因此避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
在本发明实施例中,服务器先对访问控制装置进行验证,在验证通过的情况下,服务器分配临时密钥,并将临时密钥发送至访问控制装置,访问控制装置采用临时密钥对资源访问请求加密生成第一签名,服务器在接收到访问控制装置发送第一签名之后再次进行验证和鉴权。可以看出,在鉴权过程中,待验证的第一签名是采用临时密钥生成的,这样使得服务器无需传输固有密钥,因此避免了固有私钥被泄露的风险,保证了固有私钥的安全性,另外,通过对访问控制装置的验证和对用户的身份验证双重验证的方式,也保证了鉴权的准确性。
请参见图4,为本发明实施例提供的一种鉴权方法示例图,以便于进一步理解本申请记载的技术方案。如图4所示,鉴权方法是由客户端1和服务器2共同完成的,其中,客户端1中有访问控制平台,服务器2包括鉴权服务模块、密钥服务模块、资源访问请求处理模块。这些可以分别对应于服务器所具备的各个功能。
访问控制平台可以接收用户发起的资源访问请求,并采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制平台分配的;所述访问控制平台在生成第一签名之后,将所述资源访问请求和所述第一签名发送至所述服务器。服务器中的鉴权服务模块接收访问控制平台发送的资源访问请求和第一签名,鉴权服务模块从密钥服务模块获取存储的为所述访问控制平台分配的临时密钥,鉴权服务模块采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;鉴权服务模块将第一签名与第一验证数据进行匹配,若所述第一签名与所述第一验证数据匹配一致,则接着对所述资源访问请求进行鉴权;若鉴权服务模块对所述资源访问请求的鉴权结果为鉴权通过,则触发资源访问请求处理模块对所述资源访问请求进行处理。
可选的,所述访问控制平台采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名之前,还可以采用固定密钥对所述资源访问请求进行加密,生成第二签名,所述固定密钥是由服务器为所述访问控制平台分配的;所述访问控制平台向所述服务器发送临时密钥获取请求,所述临时密钥获取请求携带所述资源访问请求和所述第二签名,以使所述服务器对所述第二签名验证通过之后为所述访问控制平台分配临时密钥;服务器中的鉴权服务模块接收访问控制平台发送的临时密钥获取请求;鉴权服务模块从密钥服务模块获取为所述访问控制平台分配的固定密钥,鉴权服务模块采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据;若所述第二签名与所述第二验证数据匹配一致,则所述鉴权服务模块为所述访问控制平台分配临时密钥,将所述临时密钥存储在密钥服务模块,并将所述临时密钥发送至所述访问控制平台。所述访问控制平台接收所述服务器分配的所述临时密钥,并存储所述临时密钥。
可选的,密钥服务模块可以包括临时密钥存储模块和固定密钥存储模块,以分别存储临时密钥和固定密钥。
可选的,鉴权服务模块可以包括权限库,该权限库保存了各个不同用户的可访问资源和对可访问资源的操作方式。
需要说明的是,图4所示的鉴权服务模块、密钥服务模块、资源访问请求处理模块是逻辑上的功能性说明。图1-图3所示实施例中涉及的服务器可以通过图4所示的各个模块执行相应的方法步骤。图1-图3所示实施例中访问控制装置可以通过图4所示的访问控制平台执行相应的方法步骤。可选的,服务器2中的鉴权服务模块、密钥服务模块、资源访问请求处理模块可以分别部署于同一物理机上,或者部署同一个物理机的不同虚拟机中,或者部署不同的物理机中,本发明实施例对此不做限定。
请参见图5,为本发明实施例提供了一种服务器的结构示意图。如图5所示,本发明实施例的所述服务器1可以包括:数据接收单元11、第一生成单元12、请求鉴权单元13和请求处理单元14。可选的,所述服务器1还包括请求接收单元15、第二生成单元16和密钥分配单元17。
数据接收单元11,用于接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的。
具体的,所述数据接收单元11接收访问控制装置发送的资源访问请求和第一签名。其中所述第一签名是由所述访问控制装置生成的,具体是采用存储的临时密钥对所述资源访问请求加密生成的。
其中,所述临时密钥是由所述服务器1为所述访问控制装置分配的,可以理解的是,所述临时密钥存在一定的时效性,即所述临时密钥在一定时间范围内有效且在其他时间范围内失效。
可行的方案中,所述服务器1与所述访问控制装置约定一种预设加密算法,所述访问控制装置是按照预设加密算法,采用临时密钥对所述资源访问请求进行加密,生成第一签名。可选的,所述预设加密算法可以为DES、IDEA等。
可选的,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器1中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式的包含方式不做限定。
第一生成单元12,用于获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据。
具体的,所述第一生成单元12获取存储的为所述访问控制装置分配的临时密钥,其中,所述服务器1存储的临时密钥与所述访问控制装置相对应的,且在同一个时刻,与所述访问控制装置对应的临时密钥只有一个。可选的,所述服务器1可以将所述临时密钥与所述访问控制装置的装置标识进行对应保存,进一步,可选的,所述访问控制装置除了发送资源访问请求和第一签名之外,还一并携带访问控制装置的装置标识,这样在所述数据接收单元11接收到资源访问请求、第一签名和装置标识之后,所述第一生成单元12查找与装置标识对应的临时密钥。
进一步的,所述服务器1采用存储的临时密钥对所述资源访问请求进行加密,生成第一验证数据。所述第一验证数据用于与接收到的第一签名进行比对,以确定访问控制装置是否合法。
请求鉴权单元13,用于若所述第一签名与所述第一验证数据匹配一致,则对所述资源访问请求进行鉴权。
具体的,所述请求鉴权单元13将接收到的第一签名和生成的第一验证数据进行匹配,若所述第一签名与所述第一验证数据匹配一致,则所述服务器1确定所述访问控制装置合法,并对所述资源访问请求进行鉴权。
可选的,若所述第一签名与所述第一验证数据匹配不一致,则所述服务器1确定所述访问控制装置不合法,也不会对所述资源访问请求进行鉴权。所述服务器1可以向所述访问控制装置发送表示访问控制装置验证不通过的通知消息。
可选的,所述请求鉴权单元13包括信息获取子单元、第一判断子单元和第二判断子单元和结果确定子单元。
信息获取子单元,用于获取与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式。
第一判断子单元,用于判断所述可访问资源中是否存在所述目标访问资源。
第二判断子单元,用于若所述第一判断子单元判断所述可访问资源中存在所述目标访问资源,则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式。
结果确定子单元,用于若所述第二判断子单元判断对所述目标访问资源的可操作方式中存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过。
请求处理单元14,用于若所述资源访问请求的鉴权结果为鉴权通过,则对所述资源访问请求进行处理。
具体的,若所述资源访问请求的鉴权结果为鉴权通过,则所述请求处理单元14对所述资源访问请求进行处理。可选的,所述服务器1按照所述资源访问请求中的目标操作方式对目标访问资源进行处理,在处理完成之后,所述服务器1可以将处理结果反馈至所述访问控制装置,以使所述用户获知针对所述资源访问请求的处理结果。
可选的,所述服务器1在执行所述数据接收单元11之前,还可以执行请求接收单元15、第二生成单元16和密钥分配单元17。
所述请求接收单元15,用于接收访问控制装置发送的临时密钥获取请求,所述临时密钥获取请求携带资源访问请求和第二签名。
第二生成单元16,用于获取为所述访问控制装置分配的固定密钥,并采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据。
密钥分配单元17,用于若所述第二签名与所述第二验证数据匹配一致,则所述服务器1为所述访问控制装置分配临时密钥,将所述临时密钥存储并发送至所述访问控制装置。
需要说明的是,请求接收单元15、第二生成单元16和密钥分配单元17的具体实现方式可以参见图3所示实施例详细描述,在此不再赘述。
在本发明实施例中,服务器接收访问控制装置发送的资源访问请求和第一签名,第一签名是访问控制装置采用存储的临时密钥对资源访问请求加密生成的;服务器采用存储的为访问控制装置分配的临时密钥对资源访问请求进行加密,生成第一验证数据;若第一签名与第一验证数据匹配一致,则服务器对资源访问请求进行鉴权;若为鉴权通过,则服务器对资源访问请求进行处理。在鉴权过程中,待验证的签名是采用临时密钥生成的,这样使得服务器无需传输固有密钥,因此避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
请参见图6,为本发明实施例提供了一种访问控制装置的结构示意图。如图6所示,本发明实施例的所述访问控制装置2可以包括:请求接收单元21、第一生成单元22和数据发送单元23。可选的,所述访问控制装置2还可以包括第二生成单元24、请求发送单元25和密钥接收单元26。
请求接收单元21,用于接收用户发起的资源访问请求。
具体的,所述请求接收单元21接收用户发起的资源访问请求,可选的,用户可以通过访问控制装置1提供的访问控制平台或者页面发起资源访问请求。进一步,可选的,用户是在访问控制平台或页面中通过用户名、登录密码登录成功之后,才能发起资源访问请求。
可选的,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。其中,用户标识是用于标记对目标访问资源执行目标操作方式的用户的。例如,所述目标访问资源可以为所述服务器中的某一个文件、数据等等,所述目标操作方式可以为读取指令(read)、删除指令(delete)、写入指令(write)等等,本发明实施例对目标操作方式的包含方式不做限定。
第一生成单元22,用于采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置1分配的。
具体的,所述第一生成单元22采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名。其中,所述临时密钥是由所述服务器为所述访问控制装置1分配的,可以理解的是,所述临时密钥存在一定的时效性,即所述临时密钥在一定时间范围内有效且在其他时间范围内失效。
可行的方案中,所述服务器与所述访问控制装置1约定一种预设加密算法,所述访问控制装置1是按照预设加密算法,采用临时密钥对所述资源访问请求进行加密,生成第一签名。可选的,所述预设加密算法可以为DES、IDEA等。
数据发送单元23,用于将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
具体的,所述数据发送单元23将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
可选的,所述数据发送单元23除了发送资源访问请求和第一签名之外,还一并携带访问控制装置1的装置标识,这样在所述服务器接收到资源访问请求、第一签名和装置标识之后,所述服务器查找与装置标识对应的临时密钥,所述服务器在查找到与装置标识对应的临时密钥之后,生成第一验证数据以完成鉴权。
可选的,所述访问控制装置1在执行请求接收单元21之后且执行第一生成单元22之前,还可以执行第二生成单元24、请求发送单元25和密钥接收单元26。
第二生成单元24,用于采用固定密钥对所述资源访问请求进行加密,生成第二签名,所述固定密钥是由服务器为所述访问控制装置1分配的。
请求发送单元25,用于向所述服务器发送临时密钥获取请求,所述临时密钥获取请求携带所述资源访问请求和所述第二签名,以使所述服务器对所述第二签名验证通过之后为所述访问控制装置1分配临时密钥。
密钥接收单元26,用于接收所述服务器分配的所述临时密钥,并存储所述临时密钥。
所述密钥接收单元26,还用于接收所述服务器为所述访问控制装置1分配的固有密钥,并存储所述固有密钥。
需要说明的是,第二生成单元24、请求发送单元25和密钥接收单元26的具体实现方式可以参见图3所示实施例详细描述,在此不再赘述。
在本发明实施例中,访问控制装置对接收到的资源访问请求采用临时密钥进行加密,生成第一签名,临时密钥是由服务器预先为访问控制装置分配的,将资源访问请求和第一签名发送至服务器,以使服务器对资源访问请求进行鉴权,这样无需获取用户的固有私钥,避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
请参见图7,为本发明实施例提供了另一种服务器的结构示意图。如图7所示,所述服务器1000可以包括:至少一个处理器1001,例如CPU,至少一个网络接口1004,存储器1005,至少一个通信总线1002。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。其中,通信总线1002用于实现这些组件之间的连接通信。
可选的,所述服务器1000包括用户接口1003,其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard)。如图7所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及鉴权应用程序。
在图7所示的服务器1000中,网络接口1004主要用于与访问控制装置交互数据,例如,资源访问请求、第一签名、临时密钥获取请求等数据;而处理器1001可以用于调用存储器1005中存储的鉴权应用程序,并具体执行以下操作:
接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的;
获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;
若所述第一签名与所述第一验证数据匹配一致,则对所述资源访问请求进行鉴权;
若所述资源访问请求的鉴权结果为鉴权通过,则对所述资源访问请求进行处理。
在一个可能的实施例中,所述处理器1001执行接收所述访问控制装置发送的资源访问请求和第一签名之前,还执行:
服务器接收访问控制装置发送的临时密钥获取请求,所述临时密钥获取请求携带资源访问请求和第二签名;
所述服务器获取为所述访问控制装置分配的固定密钥,并采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据;
若所述第二签名与所述第二验证数据匹配一致,则所述服务器为所述访问控制装置分配临时密钥,将所述临时密钥存储并发送至所述访问控制装置。
在一个可能的实施例中,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。
在一个可能的实施例中,所述处理器1001执行对所述资源访问请求进行鉴权,具体执行:
获取与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式;
判断所述可访问资源中是否存在所述目标访问资源;
若存在所述目标访问资源,则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式;
若存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过。
需要说明的是,本发明实施例所描述的处理器1001所执行的步骤可根据上述图1-至图4所示方法实施例中的方法具体实现,此处不再赘述。
在本发明实施例中,服务器接收访问控制装置发送的资源访问请求和第一签名,第一签名是访问控制装置采用存储的临时密钥对资源访问请求加密生成的;服务器采用存储的为访问控制装置分配的临时密钥对资源访问请求进行加密,生成第一验证数据;若第一签名与第一验证数据匹配一致,则服务器对资源访问请求进行鉴权;若为鉴权通过,则服务器对资源访问请求进行处理。在鉴权过程中,待验证的签名是采用临时密钥生成的,这样使得服务器无需传输固有密钥,因此避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
请参见图8,为本发明实施例提供了另一种访问控制装置的结构示意图。如图8所示,所述访问控制装置2000可以包括:至少一个处理器2001,例如CPU,至少一个网络接口2004,用户接口2003,存储器2005,至少一个通信总线2002。其中,通信总线2002用于实现这些组件之间的连接通信。其中,用户接口2003可以包括显示屏(Display)、键盘(Keyboard)。网络接口2004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器2005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器2005可选的还可以是至少一个位于远离前述处理器2001的存储装置。如图8所示,作为一种计算机存储介质的存储器2005中可以包括操作系统、网络通信模块、用户接口模块以及鉴权应用程序。
在图8所示的访问控制装置2000中,用户接口2003主要用于为用户提供输入的接口,获取用户发送的资源操作请求,网络接口2004主要用于与访问控制装置交互数据,例如,资源访问请求、第一签名、临时密钥获取请求等数据;而处理器2001可以用于调用存储器2005中存储的实例操作应用程序,并具体执行以下操作:
接收用户发起的资源访问请求;
采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置分配的;
将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
在一个可能的实施例中,所述处理器2001执行采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名之前,还执行:
采用固定密钥对所述资源访问请求进行加密,生成第二签名,所述固定密钥是由服务器为所述访问控制装置分配的;
向所述服务器发送临时密钥获取请求,所述临时密钥获取请求携带所述资源访问请求和所述第二签名,以使所述服务器对所述第二签名验证通过之后为所述访问控制装置分配临时密钥;
接收所述服务器分配的所述临时密钥,并存储所述临时密钥。
在一个可能的实施例中,所述处理器2001执行访问控制装置采用固定密钥对所述资源访问请求进行加密,生成第二签名之前,还包括:
接收所述服务器为所述访问控制装置分配的固有密钥,并存储所述固有密钥。
在一个可能的实施例中,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。
需要说明的是,本发明实施例所描述的处理器2001所执行的步骤可根据上述图1-至图4所示方法实施例中的方法具体实现,此处不再赘述。
在本发明实施例中,访问控制装置对接收到的资源访问请求采用临时密钥进行加密,生成第一签名,临时密钥是由服务器预先为访问控制装置分配的,将资源访问请求和第一签名发送至服务器,以使服务器对资源访问请求进行鉴权,这样无需获取用户的固有私钥,避免了固有私钥被泄露的风险,进而保证了固有私钥的安全性。
本发明实施例中所述模块或单元,可以通过通用集成电路,例如CPU(CentralProcessing Unit,中央处理器),或通过ASIC(Application Specific IntegratedCircuit,专用集成电路)来实现。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例终端中的模块或单元可以根据实际需要进行合并、划分和删减。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (16)
1.一种鉴权方法,其特征在于,包括:
服务器接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的;
所述服务器获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;
若所述第一签名与所述第一验证数据匹配一致,则所述服务器对所述资源访问请求进行鉴权;
若所述资源访问请求的鉴权结果为鉴权通过,则所述服务器对所述资源访问请求进行处理。
2.根据权利要求1所述的方法,其特征在于,所述服务器接收所述访问控制装置发送的资源访问请求和第一签名之前,还包括:
服务器接收访问控制装置发送的临时密钥获取请求,所述临时密钥获取请求携带资源访问请求和第二签名;
所述服务器获取为所述访问控制装置分配的固定密钥,并采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据;
若所述第二签名与所述第二验证数据匹配一致,则所述服务器为所述访问控制装置分配临时密钥,将所述临时密钥存储并发送至所述访问控制装置。
3.根据权利要求1或2所述的方法,其特征在于,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。
4.根据权利要求3所述的方法,其特征在于,所述服务器对所述资源访问请求进行鉴权,包括:
所述服务器获取与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式;
所述服务器判断所述可访问资源中是否存在所述目标访问资源;
若存在所述目标访问资源,则所述服务器判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式;
若存在所述目标操作方式,则所述服务器确定所述资源访问请求的鉴权结果为鉴权通过。
5.一种鉴权方法,其特征在于,包括:
访问控制装置接收用户发起的资源访问请求;
所述访问控制装置采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置分配的;
所述访问控制装置将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
6.根据权利要求5所述的方法,其特征在于,所述访问控制装置采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名之前,还包括:
所述访问控制装置采用固定密钥对所述资源访问请求进行加密,生成第二签名,所述固定密钥是由服务器为所述访问控制装置分配的;
所述访问控制装置向所述服务器发送临时密钥获取请求,所述临时密钥获取请求携带所述资源访问请求和所述第二签名,以使所述服务器对所述第二签名验证通过之后为所述访问控制装置分配临时密钥;
所述访问控制装置接收所述服务器分配的所述临时密钥,并存储所述临时密钥。
7.根据权利要求6所述的方法,其特征在于,所述访问控制装置采用固定密钥对所述资源访问请求进行加密,生成第二签名之前,还包括:
所述访问控制装置接收所述服务器为所述访问控制装置分配的固有密钥,并存储所述固有密钥。
8.根据权利要求5-7任一项所述的方法,其特征在于,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。
9.一种服务器,其特征在于,包括:
数据接收单元,用于接收访问控制装置发送的资源访问请求和第一签名,所述第一签名是所述访问控制装置采用存储的临时密钥对所述资源访问请求加密生成的;
第一生成单元,用于获取存储的为所述访问控制装置分配的临时密钥,并采用所述临时密钥对所述资源访问请求进行加密,生成第一验证数据;
请求鉴权单元,用于若所述第一签名与所述第一验证数据匹配一致,则对所述资源访问请求进行鉴权;
请求处理单元,用于若所述资源访问请求的鉴权结果为鉴权通过,则对所述资源访问请求进行处理。
10.根据权利要求9所述的服务器,其特征在于,所述服务器还包括:
请求接收单元,用于接收访问控制装置发送的临时密钥获取请求,所述临时密钥获取请求携带资源访问请求和第二签名;
第二生成单元,用于获取为所述访问控制装置分配的固定密钥,并采用所述固定密钥对所述资源访问请求进行加密,生成第二验证数据;
密钥分配单元,用于若所述第二签名与所述第二验证数据匹配一致,则所述服务器为所述访问控制装置分配临时密钥,将所述临时密钥存储并发送至所述访问控制装置。
11.根据权利要求9或10所述的服务器,其特征在于,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。
12.根据权利要求11所述的服务器,其特征在于,所述请求鉴权单元包括:
信息获取子单元,用于获取与所述用户标识对应的可访问资源和对所述可访问资源的可操作方式;
第一判断子单元,用于判断所述可访问资源中是否存在所述目标访问资源;
第二判断子单元,用于若所述第一判断子单元判断所述可访问资源中存在所述目标访问资源,则判断对所述目标访问资源的可操作方式中是否存在所述目标操作方式;
结果确定子单元,用于若所述第二判断子单元判断对所述目标访问资源的可操作方式中存在所述目标操作方式,则确定所述资源访问请求的鉴权结果为鉴权通过。
13.一种访问控制装置,其特征在于,包括:
请求接收单元,用于接收用户发起的资源访问请求;
第一生成单元,用于采用存储的临时密钥对所述资源访问请求进行加密,生成第一签名,所述临时密钥是由服务器预先为所述访问控制装置分配的;
数据发送单元,用于将所述资源访问请求和所述第一签名发送至所述服务器,以使所述服务器对所述资源访问请求进行鉴权。
14.根据权利要求13所述的访问控制装置,其特征在于,所述访问控制装置还包括:
第二生成单元,用于采用固定密钥对所述资源访问请求进行加密,生成第二签名,所述固定密钥是由服务器为所述访问控制装置分配的;
请求发送单元,用于向所述服务器发送临时密钥获取请求,所述临时密钥获取请求携带所述资源访问请求和所述第二签名,以使所述服务器对所述第二签名验证通过之后为所述访问控制装置分配临时密钥;
密钥接收单元,用于接收所述服务器分配的所述临时密钥,并存储所述临时密钥。
15.根据权利要求14所述的访问控制装置,其特征在于,
所述密钥接收单元,还用于接收所述服务器为所述访问控制装置分配的固有密钥,并存储所述固有密钥。
16.根据权利要求13-15任一项所述的访问控制装置,其特征在于,所述资源访问请求包括用户标识、目标访问资源和对所述目标访问资源的目标操作方式。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710067062.8A CN106657152B (zh) | 2017-02-07 | 2017-02-07 | 一种鉴权方法及服务器、访问控制装置 |
| PCT/CN2018/075201 WO2018145605A1 (zh) | 2017-02-07 | 2018-02-05 | 鉴权方法及服务器、访问控制装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710067062.8A CN106657152B (zh) | 2017-02-07 | 2017-02-07 | 一种鉴权方法及服务器、访问控制装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657152A true CN106657152A (zh) | 2017-05-10 |
| CN106657152B CN106657152B (zh) | 2021-05-28 |
Family
ID=58844634
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710067062.8A Active CN106657152B (zh) | 2017-02-07 | 2017-02-07 | 一种鉴权方法及服务器、访问控制装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106657152B (zh) |
| WO (1) | WO2018145605A1 (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241357A (zh) * | 2017-07-27 | 2017-10-10 | 郑州云海信息技术有限公司 | 云计算系统中用户访问控制方法和装置 |
| CN108322462A (zh) * | 2018-01-31 | 2018-07-24 | 北京车和家信息技术有限公司 | 一种安全验证的方法、请求安全验证的方法及相关设备 |
| WO2018145605A1 (zh) * | 2017-02-07 | 2018-08-16 | 腾讯科技(深圳)有限公司 | 鉴权方法及服务器、访问控制装置 |
| CN108965284A (zh) * | 2018-07-06 | 2018-12-07 | 佛山市灏金赢科技有限公司 | 一种通过密码访问的信息处理方法和装置 |
| CN109327456A (zh) * | 2018-11-06 | 2019-02-12 | 北京知道创宇信息技术有限公司 | 一种去中心化的集群鉴权方法、集群节点及电子设备 |
| WO2019062536A1 (zh) * | 2017-09-30 | 2019-04-04 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、系统及计算机可读介质 |
| CN111159097A (zh) * | 2019-12-09 | 2020-05-15 | 中山大学 | 一种片上访存保护系统及方法 |
| CN111935094A (zh) * | 2020-07-14 | 2020-11-13 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、系统及计算机可读存储介质 |
| CN112039674A (zh) * | 2020-08-06 | 2020-12-04 | 珠海格力电器股份有限公司 | 中控系统访问和签名标识生成方法、装置及存储介质 |
| CN112434315A (zh) * | 2020-11-20 | 2021-03-02 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种附件访问方法、服务器和访问端 |
| CN113194090A (zh) * | 2021-04-28 | 2021-07-30 | 招商证券股份有限公司 | 鉴权方法、鉴权装置、终端设备及计算机可读存储介质 |
| CN113438242A (zh) * | 2021-06-25 | 2021-09-24 | 未鲲(上海)科技服务有限公司 | 服务鉴权方法、装置与存储介质 |
| CN113536365A (zh) * | 2021-06-07 | 2021-10-22 | 北京字跳网络技术有限公司 | 一种文件访问方法、装置、设备及介质 |
| CN114006762A (zh) * | 2021-11-01 | 2022-02-01 | 明珠数字科技股份有限公司 | 一种多服务器间安全验证方法、系统及存储介质 |
| CN114595437A (zh) * | 2022-05-09 | 2022-06-07 | 荣耀终端有限公司 | 访问控制方法、电子设备及计算机可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196423A (zh) * | 2010-03-04 | 2011-09-21 | 腾讯科技(深圳)有限公司 | 一种安全数据中转方法及系统 |
| CN102299791A (zh) * | 2008-08-28 | 2011-12-28 | 华为技术有限公司 | 自治公钥证书管理方法、系统及设备 |
| CN102510333A (zh) * | 2011-09-30 | 2012-06-20 | 飞天诚信科技股份有限公司 | 一种授权认证方法及系统 |
| CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
| CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
| CN104753953A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 访问控制系统 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN106230813A (zh) * | 2016-07-29 | 2016-12-14 | 宇龙计算机通信科技(深圳)有限公司 | 鉴权方法、鉴权装置和终端 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166757B (zh) * | 2011-12-19 | 2016-01-20 | 卓望数码技术(深圳)有限公司 | 一种动态保护用户隐私数据的方法及系统 |
| CN102790678B (zh) * | 2012-07-11 | 2015-01-14 | 飞天诚信科技股份有限公司 | 一种认证方法及系统 |
| CN103701611B (zh) * | 2013-12-30 | 2017-01-18 | 天地融科技股份有限公司 | 数据存储系统中访问、上传数据的方法 |
| CN105681030B (zh) * | 2015-12-31 | 2017-12-19 | 腾讯科技(深圳)有限公司 | 密钥管理系统、方法及装置 |
| CN106657152B (zh) * | 2017-02-07 | 2021-05-28 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及服务器、访问控制装置 |
-
2017
- 2017-02-07 CN CN201710067062.8A patent/CN106657152B/zh active Active
-
2018
- 2018-02-05 WO PCT/CN2018/075201 patent/WO2018145605A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299791A (zh) * | 2008-08-28 | 2011-12-28 | 华为技术有限公司 | 自治公钥证书管理方法、系统及设备 |
| CN102196423A (zh) * | 2010-03-04 | 2011-09-21 | 腾讯科技(深圳)有限公司 | 一种安全数据中转方法及系统 |
| CN102510333A (zh) * | 2011-09-30 | 2012-06-20 | 飞天诚信科技股份有限公司 | 一种授权认证方法及系统 |
| CN102984252A (zh) * | 2012-11-26 | 2013-03-20 | 中国科学院信息工程研究所 | 一种基于动态跨域安全令牌的云资源访问控制方法 |
| CN104168267A (zh) * | 2014-07-23 | 2014-11-26 | 中国科学院信息工程研究所 | 一种接入sip安防视频监控系统的身份认证方法 |
| CN104753953A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 访问控制系统 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN106230813A (zh) * | 2016-07-29 | 2016-12-14 | 宇龙计算机通信科技(深圳)有限公司 | 鉴权方法、鉴权装置和终端 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018145605A1 (zh) * | 2017-02-07 | 2018-08-16 | 腾讯科技(深圳)有限公司 | 鉴权方法及服务器、访问控制装置 |
| CN107241357A (zh) * | 2017-07-27 | 2017-10-10 | 郑州云海信息技术有限公司 | 云计算系统中用户访问控制方法和装置 |
| CN109600337B (zh) * | 2017-09-30 | 2020-12-15 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、系统及计算机可读介质 |
| WO2019062536A1 (zh) * | 2017-09-30 | 2019-04-04 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、系统及计算机可读介质 |
| CN109600337A (zh) * | 2017-09-30 | 2019-04-09 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、系统及计算机可读介质 |
| US11190503B2 (en) | 2017-09-30 | 2021-11-30 | Tencent Technology (Shenzhen) Company Limited | Resource processing method, apparatus, and system, and computer-readable medium |
| CN108322462A (zh) * | 2018-01-31 | 2018-07-24 | 北京车和家信息技术有限公司 | 一种安全验证的方法、请求安全验证的方法及相关设备 |
| CN108965284A (zh) * | 2018-07-06 | 2018-12-07 | 佛山市灏金赢科技有限公司 | 一种通过密码访问的信息处理方法和装置 |
| CN109327456A (zh) * | 2018-11-06 | 2019-02-12 | 北京知道创宇信息技术有限公司 | 一种去中心化的集群鉴权方法、集群节点及电子设备 |
| CN111159097A (zh) * | 2019-12-09 | 2020-05-15 | 中山大学 | 一种片上访存保护系统及方法 |
| CN111935094A (zh) * | 2020-07-14 | 2020-11-13 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、系统及计算机可读存储介质 |
| CN111935094B (zh) * | 2020-07-14 | 2022-06-03 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、系统及计算机可读存储介质 |
| CN112039674A (zh) * | 2020-08-06 | 2020-12-04 | 珠海格力电器股份有限公司 | 中控系统访问和签名标识生成方法、装置及存储介质 |
| CN112434315A (zh) * | 2020-11-20 | 2021-03-02 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种附件访问方法、服务器和访问端 |
| CN113194090A (zh) * | 2021-04-28 | 2021-07-30 | 招商证券股份有限公司 | 鉴权方法、鉴权装置、终端设备及计算机可读存储介质 |
| CN113536365A (zh) * | 2021-06-07 | 2021-10-22 | 北京字跳网络技术有限公司 | 一种文件访问方法、装置、设备及介质 |
| CN113438242A (zh) * | 2021-06-25 | 2021-09-24 | 未鲲(上海)科技服务有限公司 | 服务鉴权方法、装置与存储介质 |
| CN113438242B (zh) * | 2021-06-25 | 2023-08-29 | 广西三方大供应链技术服务有限公司 | 服务鉴权方法、装置与存储介质 |
| CN114006762A (zh) * | 2021-11-01 | 2022-02-01 | 明珠数字科技股份有限公司 | 一种多服务器间安全验证方法、系统及存储介质 |
| CN114006762B (zh) * | 2021-11-01 | 2024-03-12 | 明珠数字科技股份有限公司 | 一种多服务器间安全验证方法、系统及存储介质 |
| CN114595437A (zh) * | 2022-05-09 | 2022-06-07 | 荣耀终端有限公司 | 访问控制方法、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657152B (zh) | 2021-05-28 |
| WO2018145605A1 (zh) | 2018-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106657152A (zh) | 一种鉴权方法及服务器、访问控制装置 | |
| KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
| KR102193644B1 (ko) | 설비 검증 방법 및 장치 | |
| WO2020259268A1 (zh) | 信息分享方法、平台及计算设备 | |
| CN106790156B (zh) | 一种智能设备绑定方法及装置 | |
| CN108880821B (zh) | 一种数字证书的认证方法及设备 | |
| EP3933624B1 (en) | Blockchain-based identity verification method and related hardware | |
| KR102162044B1 (ko) | 블록체인 기반의 사용자 인증 방법 및 그 시스템 | |
| EP3552131B1 (en) | Password security | |
| CN108810017B (zh) | 业务处理安全验证方法及装置 | |
| CN113572715A (zh) | 基于区块链的数据传输方法和系统 | |
| CN112311718B (zh) | 检测硬件的方法、装置、设备及存储介质 | |
| CN109714176A (zh) | 口令认证方法、装置及存储介质 | |
| CN106789024A (zh) | 一种远程解锁方法、装置和系统 | |
| CN110909340A (zh) | 一种登录处理方法、系统、装置、电子设备及存储介质 | |
| CN112967056A (zh) | 一种访问信息处理方法、装置、电子设备及介质 | |
| JP2022534677A (ja) | ブロックチェーンを使用するオンラインアプリケーションおよびウェブページの保護 | |
| CN111342964A (zh) | 单点登录方法、装置及系统 | |
| CN108702606A (zh) | 一种无线通信的握手方法及设备 | |
| CN107204959B (zh) | 验证码的验证方法、装置及系统 | |
| CN109547404B (zh) | 数据的获取方法及服务器 | |
| CN113872986B (zh) | 配电终端认证方法、装置和计算机设备 | |
| CN108900555A (zh) | 一种数据处理方法及装置 | |
| US11934568B2 (en) | Cable security | |
| CN110399706B (zh) | 授权认证方法、装置和计算机系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |