CN108400875B - 基于键值的授权认证方法、系统、电子设备、存储介质 - Google Patents
基于键值的授权认证方法、系统、电子设备、存储介质 Download PDFInfo
- Publication number
- CN108400875B CN108400875B CN201810236662.7A CN201810236662A CN108400875B CN 108400875 B CN108400875 B CN 108400875B CN 201810236662 A CN201810236662 A CN 201810236662A CN 108400875 B CN108400875 B CN 108400875B
- Authority
- CN
- China
- Prior art keywords
- certificate
- certificate server
- software
- key
- key value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于键值的授权认证方法、系统、电子设备、存储介质。基于键值的授权认证方法包括:证书服务器自一密码设备获取一证书键值;所述证书服务器验证所述证书键值;若验证成功,则使所述证书服务器可访问;所述证书服务器接收来自硬件和/或软件的授权请求;所述证书服务器根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值;若有,则所述证书服务器将所述可分配业务键值分配至所述硬件和/或软件以对关联所述硬件的软件和/或软件进行授权,所述业务键值供所述硬件和/或软件验证。本发明提供的方法及设备有效管理软件和/或硬件的授权认证。
Description
技术领域
本发明涉及视频处理,尤其涉及一种基于键值的授权认证方法、系统、电子设备、存储介质。
背景技术
在视频监控领域中,对设备和应用软件的鉴权操作应用十分广泛。常见的形态为一套软件采用单一的USB KEY或者授权文件的方式。USB KEY是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB KEY内置的公钥算法实现对用户身份的认证。这种方式在单硬件软件部署时,操作简单,易于维护的特点。
随着软硬件技术的发展,软件部署的形态也在发生变革,单台硬件设备切分成多个虚拟机或直接部署多套软件系统时,会出现USB接口不够用或软件读取USB KEY易产生冲突的问题。监控产品以虚拟化部署时,如果使用授权文件进行授权,无法有效解决键值非法复制的问题。
发明内容
本发明为了克服上述现有技术存在的缺陷,提供一种基于键值的授权认证方法、系统、电子设备、存储介质。
根据本发明的一个方面,提供一种基于键值的授权认证方法,包括:
证书服务器自一密码设备获取一证书键值;
所述证书服务器验证所述证书键值;
若验证成功,则使所述证书服务器可访问;
所述证书服务器接收来自硬件和/或软件的授权请求;
所述证书服务器根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值;
若有,则所述证书服务器将所述可分配业务键值分配至所述硬件和/或软件以对关联所述硬件的软件和/或软件进行授权,所述业务键值供所述硬件和/或软件验证。
可选地,所述证书键值至少包括证书有效期及证书数字签名,所述证书数字签名根据证书业务数据加密而成,所述证书服务器验证所述证书键值包括:
所述证书服务器验证所述证书有效期以验证所述证书键值的有效性;
所述证书服务器对所述证书数字签名进行解密并与所述证书服务器的证书业务数据进行匹配以验证所述证书键值是否被篡改。
可选地,所述证书服务器根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值包括:
所述证书服务器根据所述授权请求确定需分配业务键值的数量;
所述证书服务器自关联该证书服务器的数据库确定多个可分配业务键值,所述业务键值至少包括该业务键值关联的证书服务器的标识;
所述证书服务器根据各可分配业务键值关联的证书服务器的标识判断关联该证书服务器的可分配业务键值是否大于等于所述需分配业务键值的数量;
若是,则所述证书服务器确定有可分配业务键值。
可选地,所述证书服务器接收来自硬件和/或软件的授权请求包括:
所述证书服务器接收来自电子设备的授权请求,所述授权请求用于请求对所述电子设备中的一个或多个软件进行授权。
可选地,所述证书服务器接收来自硬件和/或软件的授权请求包括:
所述证书服务器接收来自应用服务器或应用服务器的应用模块的授权请求,所述授权请求用于请求对接入所述应用服务器的电子设备的软件或软件的应用模块进行授权,其中,所述软件的应用模块对应于所述应用服务器的应用模块。
可选地,所述证书服务器接收来自硬件和/或软件的授权请求包括:
所述证书服务器接收来自电子设备的软件或软件的应用模块的授权请求,所述授权请求用于请求对电子设备的软件或软件的应用模块进行授权。
可选地,所述证书服务器虚拟化部署。
根据本发明又一方面,还提供一种证书服务器,包括:
获取模块,用于自一密码设备获取一证书键值;
验证模块,用于验证所述证书键值;
访问控制模块,若所述验证模块验证成功,则所述访问控制模块使所述证书服务器可访问;
请求接收模块,用于接收来自硬件和/或软件的授权请求;
确定模块,用于根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值;
授权模块,若所述确定模块确定为有,则将所述可分配业务键值分配至所述硬件和/或软件以对关联所述硬件的软件和/或软件进行授权,所述业务键值供所述硬件和/或软件验证。
根据本发明又一方面,还提供一种基于键值的授权认证系统,包括:
如上所述的证书服务器;以及
密码设备,所述密码设备储存供所述证书服务器验证的所述证书键值。
根据本发明的又一方面,还提供一种电子设备,所述电子设备包括:处理器;存储介质,其上存储有计算机程序,所述计算机程序被所述处理器运行时执行如上所述的步骤。
根据本发明的又一方面,还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如上所述的步骤。
由此可见,本发明提供的方案,与现有技术相比,具有如下优势:
采用证书服务器进行统一授权,使用读取密码设备中证书键值对证书服务器进行验证和授权,各硬件和/或软件通过证书服务器获取授权,能够高效的进行授权认证管理。此外,当单机部署多套软件时仅使用一个密码设备和其证书键值也能够正常授权且不在存在键值非法复制的问题。
附图说明
通过参照附图详细描述其示例实施方式,本发明的上述和其它特征及优点将变得更加明显。
图1示出了根据本发明实施例的基于键值的授权认证方法的流程图。
图2示出了根据本发明第一实施例的授权认证成功的时序图。
图3示出了根据本发明第一实施例的授权认证失败的时序图。
图4示出了根据本发明第二实施例的授权认证成功的时序图。
图5示出了根据本发明第三实施例的授权认证成功的时序图。
图6示出了根据本发明第四实施例的授权认证的示意图。
图7示出了根据本发明第五实施例的授权认证的示意图。
图8示出了根据本发明实施例的证书服务器的模块图。
图9示意性示出本公开示例性实施例中一种计算机可读存储介质示意图。
图10示意性示出本公开示例性实施例中一种电子设备示意图。
具体实施方式
现在将附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式;相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
为了克服上述现有技术存在的缺陷,本发明提供一种基于键值的授权认证方法、系统、电子设备、存储介质。
首先参见图1,图1示出了根据本发明实施例的基于键值的授权认证方法的流程图。图1示出了如下步骤:
步骤S110:证书服务器自一密码设备获取一证书键值。
密码设备优选地为USB KEY。证书键值是证书服务器的认证信息。证书键值优选地包含键值ID、证书有效期、证书数字签名等。证书数字签名可以是根据证书业务数据加密而成。可选地,证书业务数据例如可以是业务数量、业务类型、业务内容等一项或多项。具体而言,在一个具体实施例中,证书业务数据经由MD5(消息摘要算法第五版)生成证书业务数据的MD5值,证书业务数据的MD5值经由密码设备中的RSA以及私钥加密后形成证书数字签名。
进一步地,在步骤S110中,证书服务器还判断自一密码设备获取的键值是否为证书键值。
步骤S120:所述证书服务器验证所述证书键值。
具体而言,步骤S120可以包括有效性验证和合法性验证。具体而言,所述证书服务器验证证书键值中的所述证书有效期以验证所述证书键值的有效性。所述证书服务器对证书键值中的所述证书数字签名进行解密并与所述证书服务器的证书业务数据进行匹配以验证所述证书键值是否被篡改(合法性验证)。具体而言,证书服务器对证书键值中的所述证书数字签名利用储存在证书服务器的公钥进行解密获得证书键值中的证书业务数据的MD5值,然后,证书服务器对其证书业务数据经由MD5(消息摘要算法第五版)生成一MD5值,将两个MD5值进行匹配,若两个MD5值相同,则判断证书键值未被篡改,验证成功;若两个MD5值相同,则判断证书键值被篡改,验证失败。
步骤S130:判断所述证书键值是否验证成功。
若验证成功,则执行步骤S140使所述证书服务器可访问。
步骤S150所述证书服务器接收来自硬件和/或软件的授权请求。
步骤S160所述证书服务器根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值。
具体而言,步骤S160还可以包括如下步骤:
所述证书服务器根据所述授权请求确定需分配业务键值的数量。
所述证书服务器自关联该证书服务器的数据库确定多个可分配业务键值,所述业务键值至少包括该业务键值关联的证书服务器的标识(例如,可利用上述的证书键值的键值ID组为证书服务器的标识)。一业务键值仅关联一个证书服务器。
所述证书服务器根据各可分配业务键值关联的证书服务器的标识判断关联该证书服务器的可分配业务键值是否大于等于所述需分配业务键值的数量,若是,则所述证书服务器确定有可分配业务键值。
具体而言,可选地,各业务键值在步骤S140之后,步骤S150之前,导入到证书服务器中(例如,各业务键值可以通过证书服务器的web界面导入)。具体地,向证书服务器中导入业务键值时,除校验业务键值的数字签名以外,还会通过证书服务器的标识校验业务键值关联该证书服务器。
若步骤S160判断为有,则执行步骤S170所述证书服务器将所述可分配业务键值分配至所述硬件和/或软件以对关联所述硬件的软件和/或软件进行授权,所述业务键值供所述硬件和/或软件验证。
下面将分别根据图2至图7描述本发明的多个具体实施例。
在本发明的第一实施例中,参见图2和图3,在监控移动设备的应用场景中,需要对移动设备的软件客户端接入数量进行授权控制。
证书服务器100首先经由如图1所示的步骤S110至步骤S140与密码设备进行交互验证,证书服务器100验证成功后,证书服务器100可访问。由于,步骤S110至步骤S140的过程中涉及了证书业务数据(包含移动设备101所涉及的业务)的验证,上述步骤相当于证书服务器100获得了移动设备101的授权。接下来,如图2,移动设备101首先执行步骤S100向证书服务器100发送授权请求。证书服务器100执行步骤S101向移动设备101回复授权请求成功接收。之后,移动设备101执行步骤S102向证书服务器100发送业务键值请求。该请求中优选地包括移动设备101请求的业务键值的数量。具体而言,移动设备101例如安装有1个软件客户端需要支持同一功能的3种不同算法的调用,因此,移动设备101需要3个业务键值进行授权认证。然后,证书服务器100中若有3个及以上的可分配业务键值,则执行步骤S103向移动设备101回复请求成功。具体而言,证书服务器100在步骤S103的回复中包括所分配的业务键值,以供移动设备101或移动设备101的软件客户端验证业务键值的有效性和合法性。业务键值的有效性和合法性与证书键值类似。业务键值可以包括键值ID、有效期及数字签名务键值的有效期用于验证其有效性。业务键值的数字签名用于验证其合法性。业务键值关联的业务数据经由MD5(消息摘要算法第五版)生成业务键值关联的业务数据的MD5值,业务键值关联的业务数据的MD5值经由密码设备中的RSA以及私钥加密后形成业务键值的数字签名。业务键值的数字签名的验证方法与证书数字签名的验证方法类似,在此不予赘述。
如图3,步骤S200至步骤S202与步骤S100至步骤S102相同,证书服务器100在收到步骤S202中由移动设备101发送的业务键值请求后,若其判断没有3个及以上的可分配业务键值,则执行步骤S203向移动设备101回复请求失败。
在本发明的第二实施例中,参见图4,在移动设备(如主控制器109)的软件内部的多应用模块(如模块A108和模块B109)的启停同样需要KEY来进行授权控制。具体而言,在本实施例中,模块A108和模块B109可以进行相同的操作,具体执行的操作,比如根据具体模块功能而定。比如转码模块实现转码功能。对讲模块实现对讲功能。
证书服务器100首先经由如图1所示的步骤S110至步骤S140与密码设备进行交互验证,证书服务器100验证成功后,证书服务器100可访问。由于,步骤S110至步骤S140的过程中涉及了证书业务数据(包含各应用模块所涉及的业务)的验证,上述步骤相当于证书服务器100获得了主控制器109的授权。接下来,主控制器109在步骤S300生成模块A108。模块A108首先执行步骤S300向证书服务器100发送授权请求。证书服务器100执行步骤S302向模块A108回复授权请求成功接收。之后,模块A108执行步骤S303向证书服务器100发送业务键值请求。证书服务器100中若有可分配业务键值,则执行步骤S304向模块A108回复请求成功。具体而言,证书服务器100在步骤S304的回复中包括所分配的业务键值,以供模块A108验证业务键值的有效性和合法性。模块A108收到业务键值相当于获得授权,得以运行。运行完毕后,模块A108执行步骤S306向证书服务器100发送释放业务键值的请求。优选地,步骤S306的请求中包括业务键值。证书服务器100收到后可验证该业务键值是否与其关联,若关联则将该业务键值作为可分配键值,并执行步骤S307,向模块A108返回释放业务键值成功的消息。主控制器109在步骤S308生成模块B109后,步骤S309至步骤S305与步骤S301至步骤S307相同,在此不予赘述。
在本发明的第三实施例中,参见图5,移动设备安装APP105后,连接到后台服务器106,需要对后台服务106进行接入授权控制。
证书服务器100首先经由如图1所示的步骤S110至步骤S140与密码设备进行交互验证,证书服务器100验证成功后,证书服务器100可访问。由于,步骤S110至步骤S140的过程中涉及了证书业务数据(包含各设备APP和后台服务器106所涉及的业务)的验证,上述步骤相当于证书服务器100获得了后台服务器106的授权。接下来,如图5,后台服务器106首先执行步骤S400向证书服务器100发送授权请求。证书服务器100执行步骤S401向后台服务器106回复授权请求成功接收。之后,后台服务器106执行步骤S402向证书服务器100发送业务键值请求。该请求中优选地包括后台服务器106请求的业务键值的数量。具体而言,后台服务器106可供50个设备APP105接入,因此,后台服务器106需要50个业务键值进行授权认证。然后,证书服务器100中若有50个及以上的可分配业务键值,则执行步骤S403向后台服务器106回复请求成功。然后,设备APP105通过步骤S404接入后台服务器106后,通过步骤S405的请求和步骤S406的回复进行交互。
在本发明的第四实施例中,参见图6,安装在移动设备101上的应用的后台服务器106中的应用服务模块(例如模块1至模块3)进行单独授权控制。模块1至模块3可同步或异步与证书服务器100交互以获得授权,授权过程与上述图5的步骤S400至步骤S403类似。
在本发明的第五实施例中,参见图7,图7示出了在进行虚拟化部署软件(APP)时,需要各个软件(APP)都需要读取键值获得授权的情况。
在虚拟化部署时,由于一台机器的USB接口有限,当虚拟化多个系统并且部署多套应用软件时,都通过USB KEY(密码设备104)进行授权显然会受到USB接口数量的限制。此时通过在系统内部署证书服务器100,证书服务器100通过USB KEY(密码设备104)进行授权,而其他应用软件(APP1至APP M)则通过证书服务器100授权就可以解决虚拟化部署软件时,读取多个USB KEY(密码设备104)的问题。
具体而言,在本实施例中,证书服务器100和各应用软件均采用虚拟化部署,读取USB KEY的模块可则单独部署在另外一台具有USB口的硬件上。读取USB KEY的模块通过USBKEY(密码设备104)中的内容获取证书服务器100服务器的授权,USB KEY仅对证书服务器100授权,各应用软件通过证书服务器100导入的业务键值从证书服务器100获取授权。
下面参见图8,图8示出了本发明实施例的证书服务器模块图。证书服务器900包括获取模块910、验证模块920、访问控制模块930、请求接收模块940、确定模块950及授权模块960。
获取模块910用于自一密码设备获取一证书键值。验证模块920用于验证所述证书键值。若所述验证模块920验证成功,则所述访问控制模块930使所述证书服务器可访问。请求接收模块940用于接收来自硬件和/或软件的授权请求。确定模块950用于根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值。若所述确定模块950确定为有,则所述授权模块960将所述可分配业务键值分配至所述硬件和/或软件一对所述硬件和/或软件进行授权,所述业务键值供所述硬件和/或软件验证。
图8仅仅是示意性地示出本发明的提供的证书服务器,模块的合并、拆分、增加都在本发明的保护范围之内。
本发明还提供一种基于键值的授权认证系统,该系统包括如图8所示的证书服务器900及诸如USB KEY的密码设备。在一些具体实施例中,证书服务器900虚拟化布置,基于键值的授权认证系统还包括读取密码设备的模块(例如,具有USB接口的设备)。证书服务器900与读取密码设备的模块交互以获得密码设备中的键值。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被例如处理器执行时可以实现上述任意一个实施例中所述电子处方流转处理方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,若所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
参考图9所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适若的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在租户计算设备上执行、部分地在租户设备上执行、作为一个独立的软件包执行、部分在租户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到租户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
在本公开的示例性实施例中,还提供一种电子设备,该电子设备可以包括处理器,以及用于存储所述处理器的可执行指令的存储器。其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一个实施例中所述电子处方流转处理方法的步骤。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图10来描述根据本发明的这种实施方式的电子设备600。图10显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得租户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应若明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述电子处方流转处理方法。
由此可见,本发明提供的方案,与现有技术相比,具有如下优势:
采用证书服务器进行统一授权,使用读取密码设备中证书键值对证书服务器进行验证和授权,各硬件和/或软件通过证书服务器获取授权,能够高效的进行授权认证管理。此外,当单机部署多套软件时仅使用一个密码设备和其证书键值也能够正常授权且不在存在键值非法复制的问题。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (10)
1.一种基于键值的授权认证方法,其特征在于,包括:
证书服务器自一密码设备获取一证书键值;
所述证书服务器验证所述证书键值;
若验证成功,则使所述证书服务器可被访问;
所述证书服务器接收来自硬件和/或软件的授权请求;
所述证书服务器根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值,包括:
所述证书服务器根据所述授权请求确定需分配业务键值的数量;
所述证书服务器自关联该证书服务器的数据库确定多个可分配业务键值,所述可分配业务键值至少包括该可分配业务键值关联的证书服务器的标识;
所述证书服务器根据各可分配业务键值关联的证书服务器的标识判断关联该证书服务器的可分配业务键值是否大于等于所述需分配业务键值的数量;
若是,则所述证书服务器确定有可分配业务键值;
若有,则所述证书服务器将所述可分配业务键值分配至所述硬件和/或软件以对关联所述硬件的软件和/或软件进行授权,所述可分配业务键值供所述硬件和/或软件验证。
2.如权利要求1所述的基于键值的授权认证方法,其特征在于,所述证书键值至少包括证书有效期及证书数字签名,所述证书数字签名根据证书业务数据加密而成,所述证书服务器验证所述证书键值包括:
所述证书服务器验证所述证书有效期以验证所述证书键值的有效性;
所述证书服务器对所述证书数字签名进行解密并与所述证书服务器的证书业务数据进行匹配以验证所述证书键值是否被篡改。
3.如权利要求1或2所述的基于键值的授权认证方法,其特征在于,所述证书服务器接收来自硬件和/或软件的授权请求包括:
所述证书服务器接收来自电子设备的授权请求,所述授权请求用于请求对所述电子设备中的一个或多个软件进行授权。
4.如权利要求1或2所述的基于键值的授权认证方法,其特征在于,所述证书服务器接收来自硬件和/或软件的授权请求包括:
所述证书服务器接收来自应用服务器或应用服务器的应用模块的授权请求,所述授权请求用于请求对接入所述应用服务器的电子设备的软件或软件的应用模块进行授权,其中,所述软件的应用模块对应于所述应用服务器的应用模块。
5.如权利要求1或2所述的基于键值的授权认证方法,其特征在于,所述证书服务器接收来自硬件和/或软件的授权请求包括:
所述证书服务器接收来自电子设备的软件或软件的应用模块的授权请求,所述授权请求用于请求对电子设备的软件或软件的应用模块进行授权。
6.如权利要求1或2所述的基于键值的授权认证方法,其特征在于,所述证书服务器虚拟化部署,且所述证书服务器通过独立的模块读取密码设备中的证书键值。
7.一种证书服务器,其特征在于,包括:
获取模块,用于自一密码设备获取一证书键值;
验证模块,用于验证所述证书键值;
访问控制模块,若所述验证模块验证成功,则所述访问控制模块使所述证书服务器可被访问;
请求接收模块,用于接收来自硬件和/或软件的授权请求;
确定模块,用于根据所述授权请求自关联该证书服务器的数据库确定是否有可分配业务键值,包括:
所述证书服务器根据所述授权请求确定需分配业务键值的数量;
所述证书服务器自关联该证书服务器的数据库确定多个可分配业务键值,所述可分配业务键值至少包括该可分配业务键值关联的证书服务器的标识;
所述证书服务器根据各可分配业务键值关联的证书服务器的标识判断关联该证书服务器的可分配业务键值是否大于等于所述需分配业务键值的数量;
若是,则所述证书服务器确定有可分配业务键值;
授权模块,若所述确定模块确定为有,则将所述可分配业务键值分配至所述硬件和/或软件以对关联所述硬件的软件和/或软件进行授权,所述可分配业务键值供所述硬件和/或软件验证。
8.一种基于键值的授权认证系统,其特征在于,包括:
如权利要求7所述的证书服务器;以及
密码设备,所述密码设备储存供所述证书服务器验证的所述证书键值。
9.一种电子设备,其特征在于,所述电子设备包括:
处理器;
存储介质,其上存储有计算机程序,所述计算机程序被所述处理器运行时执行如权利要求1至6任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810236662.7A CN108400875B (zh) | 2018-03-21 | 2018-03-21 | 基于键值的授权认证方法、系统、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810236662.7A CN108400875B (zh) | 2018-03-21 | 2018-03-21 | 基于键值的授权认证方法、系统、电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108400875A CN108400875A (zh) | 2018-08-14 |
| CN108400875B true CN108400875B (zh) | 2021-03-12 |
Family
ID=63093039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810236662.7A Active CN108400875B (zh) | 2018-03-21 | 2018-03-21 | 基于键值的授权认证方法、系统、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108400875B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109672526B (zh) * | 2018-12-17 | 2021-11-09 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
| CN109981612B (zh) * | 2019-03-11 | 2020-02-21 | 北京纬百科技有限公司 | 防止密码机设备非法复制的方法和系统及密码机设备 |
| CN110717192B (zh) * | 2019-09-11 | 2021-05-18 | 南京工业职业技术大学 | 基于Key-Value加速器的面向大数据安全的访问控制方法 |
| CN114357434A (zh) * | 2021-11-03 | 2022-04-15 | 统信软件技术有限公司 | 基于虚拟机的操作系统授权方法、装置、系统及计算设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050020906A (ko) * | 2003-08-23 | 2005-03-04 | (주)무한정보기술 | 저장장치(HDD/USB 메모리)의 시리얼번호와 접속시간 암호화Key를 이용한 전자인증 방법 |
| KR20060028524A (ko) * | 2004-09-24 | 2006-03-30 | 주식회사 에스원 | 단말기 및 단말기의 rf 카드 처리 방법 |
| CN103248481A (zh) * | 2012-02-10 | 2013-08-14 | 工业和信息化部电信传输研究所 | 一种基于应用数字签名认证的开放api公共授权访问控制的方法 |
| CN103548299A (zh) * | 2011-05-10 | 2014-01-29 | 软质层科技公司 | 用于基于网络的安全认证的系统和方法 |
-
2018
- 2018-03-21 CN CN201810236662.7A patent/CN108400875B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050020906A (ko) * | 2003-08-23 | 2005-03-04 | (주)무한정보기술 | 저장장치(HDD/USB 메모리)의 시리얼번호와 접속시간 암호화Key를 이용한 전자인증 방법 |
| KR20060028524A (ko) * | 2004-09-24 | 2006-03-30 | 주식회사 에스원 | 단말기 및 단말기의 rf 카드 처리 방법 |
| CN103548299A (zh) * | 2011-05-10 | 2014-01-29 | 软质层科技公司 | 用于基于网络的安全认证的系统和方法 |
| CN103248481A (zh) * | 2012-02-10 | 2013-08-14 | 工业和信息化部电信传输研究所 | 一种基于应用数字签名认证的开放api公共授权访问控制的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108400875A (zh) | 2018-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9626497B2 (en) | Sharing USB key by multiple virtual machines located at different hosts | |
| CN108400875B (zh) | 基于键值的授权认证方法、系统、电子设备、存储介质 | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| US9836308B2 (en) | Hardware security module access management in a cloud computing environment | |
| CN112887160B (zh) | 区块链一体机及其多节点部署方法、装置、存储介质 | |
| CN110602088A (zh) | 基于区块链的权限管理方法及装置、设备和介质 | |
| US20130117567A1 (en) | Managing security for computer services | |
| CN111526111B (zh) | 登录轻应用的控制方法、装置和设备及计算机存储介质 | |
| CN107528830B (zh) | 账号登陆方法、系统及存储介质 | |
| EP3317875A1 (en) | Virtual machine integrity | |
| CN111669351B (zh) | 鉴权方法、业务服务器、客户端及计算机可读存储介质 | |
| CN108521424B (zh) | 面向异构终端设备的分布式数据处理方法 | |
| CN111984936B (zh) | 授权分配方法、装置、服务器及存储介质 | |
| US20230120616A1 (en) | Baseboard management controller (bmc) for storing cryptographic keys and performing cryptographic operations | |
| CN111143800B (zh) | 一种云计算资源的管理方法、装置、设备和存储介质 | |
| CN110149211B (zh) | 服务鉴权方法、服务鉴权装置、介质以及电子设备 | |
| CN110298165B (zh) | 安全访问共享内存的方法、装置以及认证代理 | |
| US20240111907A1 (en) | A device and a communication method | |
| CN115278671A (zh) | 网元鉴权方法、装置、存储介质和电子设备 | |
| KR101882685B1 (ko) | 클라우드 기반의 서비스 제공 방법 | |
| CN109840402B (zh) | 私有化服务授权管理方法、装置、计算机设备及存储介质 | |
| CN108449358B (zh) | 基于云的低延时安全计算方法 | |
| WO2017058967A1 (en) | Code signing service | |
| CN112270000A (zh) | 密码服务提供方法、装置和计算机可读存储介质 | |
| CN112367347B (zh) | 加密设备访问方法、装置和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |