CN109587101A - 一种数字证书管理方法、装置及存储介质 - Google Patents
一种数字证书管理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109587101A CN109587101A CN201710911569.7A CN201710911569A CN109587101A CN 109587101 A CN109587101 A CN 109587101A CN 201710911569 A CN201710911569 A CN 201710911569A CN 109587101 A CN109587101 A CN 109587101A
- Authority
- CN
- China
- Prior art keywords
- client
- trusted
- trusted client
- authentication
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种数字证书管理方法,其中包括:获取可信任客户端列表,其中可信任客户端列表保存多个可信任客户端的客户端标识;根据可信任客户端的客户端标识,获取可信任客户端的角色;根据可信任客户端的角色生成临时证书;将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。本发明还公开了一种数字证书管理装置以及存储介质。本发明实施例向可信任客户端推送与其角色相关的临时证书,从而可信任客户端可以使用有效期较短的临时证书访问资源服务器的资源,而不需要依赖存储在客户端本地的数字证书进行身份认证及权限鉴定,显著地提高了资源服务器的资源的安全性。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种数字证书管理方法、装置及存储介质。
背景技术
数字证书指的是互联网通讯中标记通讯各方的身份信息的一串字符,提供了一种在互联网上验证通信实体身份的方式。数字证书的其中一个重要特征是数字证书具有有效期,即数字证书只有在有效期内是有效的。根据数字证书的有效期,可以将数字证书分为持久证书和临时证书。临时证书的有效期通常较短,可以配置为几分钟至几小时,一旦临时证书到期,则该临时证书失效,因此临时证书的安全风险相对可控。
目前,用户通过客户端访问服务器的资源时,服务器通常根据客户端提供的数字证书,对用户进行身份认证及权限鉴定。然而该数字证书是保存在客户端本地的持久证书,持久证书的有效期较长,通常为一年以上,若客户端受到外界攻击,导致保存在客户端本地的数字证书泄漏,则会严重地影响服务器的资源的安全性。
发明内容
本发明的目的在于提供一种数字证书管理方法、装置及存储介质,旨在提高服务器的资源的安全性。
为解决上述技术问题,本发明实施例提供以下技术方案:
一种数字证书管理方法,其中包括:
获取可信任客户端列表,其中可信任客户端列表保存多个可信任客户端的客户端标识;
根据可信任客户端的客户端标识,获取可信任客户端的角色;
根据可信任客户端的角色生成临时证书;
将临时证书发送至所述可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
进一步地,获取可信任客户端列表之前,还包括:创建可信任客户端列表。进一步地,创建可信任客户端列表,包括:接收客户端发送的预认证请求,预认证请求携带客户端的客户端标识;根据预认证请求,对客户端进行预认证;将通过预认证的客户端确定为可信任客户端;根据可信任客户端的客户端标识,创建可信任客户端列表。
进一步地,根据预认证请求,对客户端进行预认证,包括:根据预认证请求中携带的客户端标识确定客户端的身份为合法身份时,向客户端发送反向认证请求,以便客户端根据反向认证请求生成反向认证结果;根据反向认证结果确定反向认证请求通过时,确定客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
进一步地,根据反向认证结果确定反向认证请求通过之后,还包括:向客户端发送控制指令,以使客户端向资源服务器发送第三认证请求,并且由资源服务器生成第三认证结果;根据第三认证结果确定资源服务器通过对客户端的身份认证时,确定客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
进一步地,创建可信任客户端列表之后,还包括:根据预设的角色授权策略,配置一个或多个角色的权限;对可信任客户端授予至少一个角色,使可信任客户端拥有相应的角色的权限。
进一步地,预认证请求还携带加密密钥,根据可信任客户端的角色生成临时证书之后,还包括:采用预认证请求中携带的加密密钥对临时证书进行加密。进而,将临时证书发送至可信任客户端,包括:将加密后的临时证书发送至可信任客户端。
进一步地,预认证请求还携带接收地址,将临时证书发送至可信任客户端,包括:根据接收地址,将临时证书发送至可信任客户端。
为解决上述技术问题,本发明实施例还提供以下技术方案:
一种数字证书管理装置,其中包括:
第一获取模块,用于获取可信任客户端列表,其中可信任客户端列表保存多个可信任客户端的客户端标识;
第二获取模块,用于根据可信任客户端的客户端标识,获取可信任客户端的角色;
生成模块,用于根据可信任客户端的角色生成临时证书;
发送模块,用于将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
进一步地,所述装置还包括:创建模块,用于创建可信任客户端列表。
进一步地,创建模块包括:接收子模块,用于接收客户端发送的预认证请求,预认证请求携带客户端的客户端标识;预认证子模块,用于根据预认证请求,对客户端进行预认证;确定子模块,用于将通过预认证的客户端确定为可信任客户端;创建子模块,用于根据可信任客户端的客户端标识,创建可信任客户端列表。
进一步地,预认证子模块用于:根据预认证请求中携带的客户端标识确定客户端的身份为合法身份时,向客户端发送反向认证请求,以便客户端根据反向认证请求生成反向认证结果;根据反向认证结果确定反向认证请求通过时,确定客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
进一步地,根据反向认证结果确定反向认证请求通过之后,预认证子模块还用于:向客户端发送控制指令,以使客户端向资源服务器发送第三认证请求,并且由资源服务器生成第三认证结果;根据第三认证结果确定资源服务器通过对客户端的身份认证时,确定客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
进一步地,所述装置还包括角色授权模块,该角色授权模块用于:根据预设的角色授权策略,配置一个或多个角色的权限;对可信任客户端授予至少一个角色,使可信任客户端拥有相应的角色的权限。
进一步地,预认证请求还携带加密密钥,所述装置还包括加密模块,该加密模块用于:采用预认证请求中携带的加密密钥对临时证书进行加密。进而,发送模块用于:将加密后的临时证书发送至可信任客户端。
进一步地,预认证请求还携带接收地址,发送模块用于:根据接收地址,将临时证书发送至可信任客户端。
为解决上述技术问题,本发明实施例还提供以下技术方案:
一种存储介质,其中该存储介质用于储存多条指令,所述多条指令适于由处理器加载并执行上述数字证书管理方法中的步骤。
相对于现有技术,本发明实施例首先获取可信任客户端列表,其中可信任客户端列表保存多个可信任客户端的客户端标识;然后根据可信任客户端的客户端标识,获取可信任客户端的角色;接着根据可信任客户端的角色生成临时证书;最后将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。即本发明实施例可以向可信任客户端推送与其角色相关的临时证书,从而可信任客户端可以使用有效期较短的临时证书访问资源服务器的资源,而不需要依赖存储在客户端本地的数字证书进行身份认证及权限鉴定,显著地提高了资源服务器的资源的安全性。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
图1a为本发明实施例提供的数字证书管理方法的场景示意图;
图1b为本发明第一实施例提供的数字证书管理方法的流程示意图;
图2a为本发明第二实施例提供的预认证的流程示意图;
图2b为本发明第二实施例提供的授予角色的流程示意图;
图2c为本发明第二实施例提供的推送临时证书的流程示意图;
图2d为本发明第二实施例提供的鉴权的流程示意图;
图3a为本发明第三实施例提供的数字证书管理装置的结构示意图;
图3b为本发明第三实施例提供的数字证书管理装置的另一结构示意图;
图4为本发明第四实施例提供的服务器的结构示意图。
具体实施方式
请参照图式,其中相同的组件符号代表相同的组件,本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例,其不应被视为限制本发明未在此详述的其它具体实施例。
在以下的说明中,本发明的具体实施例将参考由一部或多部计算机所执行的步骤及符号来说明,除非另有述明。因此,这些步骤及操作将有数次提到由计算机执行,本文所指的计算机执行包括了由代表了以一结构化型式中的数据的电子信号的计算机处理单元的操作。此操作转换该数据或将其维持在该计算机的内存系统中的位置处,其可重新配置或另外以本领域测试人员所熟知的方式来改变该计算机的运作。该数据所维持的数据结构为该内存的实体位置,其具有由该数据格式所定义的特定特性。但是,本发明原理以上述文字来说明,其并不代表为一种限制,本领域测试人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。
本文所使用的术语「模块」可看做为在该运算系统上执行的软件对象。本文所述的不同组件、模块、引擎及服务可看做为在该运算系统上的实施对象。而本文所述的装置及方法优选的以软件的方式进行实施,当然也可在硬件上进行实施,均在本发明保护范围之内。
本发明实施例提供一种数字证书管理方法、装置及存储介质。
请参阅图1a,图1a为本发明实施例提供的数字证书管理方法的场景示意图,其中数字证书管理装置具体可以集成在服务器等网络设备中,其中该服务器可以是由若干台服务器组成的服务器集群,或者是一个云计算服务中心。该数字证书管理装置主要用于对临时证书进行管理,包括临时证书的生成、分发、更新等。用户可以通过客户端从数字证书管理装置获取临时证书,再使用临时证书访问资源服务器所提供的资源。
比如,首先,数字证书管理装置获取可信任客户端列表,其中该可信任客户端列表保存多个可信任客户端的客户端标识(Identification,ID);然后,数字证书管理装置根据客户端标识,获取可信任客户端的角色,并根据可信任客户端的角色生成临时证书;最后,数字证书管理装置将临时证书发送至可信任客户端,以便用户通过可信任客户端使用临时证书访问资源服务器。
以下将分别进行详细说明。需要说明的是,以下实施例的序号不作为实施例优选顺序的限定。
第一实施例
在本发明实施例中,将从数字证书管理装置的角度进行描述,该数字证书管理装置具体可集成在服务器,如数字证书管理服务器等网络设备中。
一种数字证书管理方法,包括:获取可信任客户端列表,其中该可信任客户端列表保存多个可信任客户端的客户端标识;根据可信任客户端的客户端标识,获取可信任客户端的角色;根据可信任客户端的角色生成临时证书;将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
请参阅图1b,图1b为本发明第一实施例提供的数字证书管理方法的流程示意图。本发明实施例的数字证书管理方法包括:
在步骤S101中,获取可信任客户端列表,其中该可信任客户端列表保存多个可信任客户端的客户端标识。
比如,数字证书管理装置定期地获取可信任客户端列表。
其中,可信任客户端可以是终端等网络设备,也可以是集成在终端的应用程序(Application,APP)。终端可以是手机、笔记型计算机、平板电脑、个人计算机(PersonalComputer,PC)或云主机等等。其中,需要说明的是,云主机是在一组集群主机上虚拟出多个类似独立主机的部分,集群中每个主机上都有云主机的一个镜像。
可信任客户端列表可以是数据表形式,用于记载并保存可信任客户端的相关信息。可以理解的是,可信任客户端列表可以保存在数字证书管理装置中,也可以保存在第三方终端或第三方服务器中。
客户端标识指的是用于表示客户端的身份的凭证,该凭证可以是账号或者名称等。可以理解的是,客户端标识的形式可以是字符或字符串。具体的,客户端标识可以是令牌(token)的形式。令牌(token)在计算机领域中是表示身份的标识,代表执行某些操作的权利的对象。
可以理解的是,可信任客户端列表除了保存多个可信任客户端的客户端标识,还可以保存多个可信任客户端的网络协议(Internet Protocol,IP)地址、可信任时间、设备类型等与可信任客户端相关的信息。
其中,IP地址指的是IP协议中给因特网上的每台计算机和其它设备都规定的一个唯一的地址。
可信任时间指的是客户端作为可信任客户端的有效时间,当有效时间到期,则该客户端不再是可信任客户端。
设备类型可以是手机、笔记型计算机、平板电脑、PC或云主机等等。
在本发明实施例中,获取可信任客户端列表(步骤S101)之前,还包括:创建可信任客户端列表。
在某些实施方式中,创建可信任客户端列表,可以包括:
(11)接收客户端发送的预认证请求,该预认证请求携带该客户端的客户端标识;
(12)根据预认证请求,对客户端进行预认证;
(13)将通过预认证的客户端确定为可信任客户端;
(14)根据可信任客户端的客户端标识,创建可信任客户端列表。
比如,数字证书管理装置接收客户端发送的预认证请求时,根据预认证请求携带的客户端标识对客户端进行预认证;将通过预认证的客户端标记为可信任客户端;再根据可信任客户端的客户端标识,创建可信任客户端列表。
可以理解的是,创建可信任客户端列表之后,若有新的可信任客户端,则只需要将该可信任客户端的客户端标识等相关信息添加至可信任客户端列表;若可信任客户端的可信任时间到期,则只需要将该可信任客户端从可信任客户端列表中删除。因此,可信任客户端列表是根据实际情况进行动态更新的。
在某些实施方式中,对客户端进行预认证,可以具体包括:根据预认证请求中携带的客户端标识确定客户端的身份为合法身份时,向客户端发送反向认证请求,以便客户端根据反向认证请求生成反向认证结果;根据反向认证结果确定反向认证请求通过时,确定客户端通过预认证。
比如,对客户端进行预认证,可以是:
数字证书管理装置从预认证请求中提取待认证的客户端A的客户端标识,根据该客户端标识确定客户端A的身份;
若客户端A的身份为合法身份,数字证书管理装置向客户端A发送反向认证请求,以便客户端A根据反向认证请求对数字证书管理装置的身份进行认证并生成反向认证结果,若客户端A的身份为非法身份,数字证书管理装置向客户端A发送预认证失败的反馈信息;
若数字证书管理装置接收到的反向认证结果为认证成功,则表示客户端A确定数字证书管理装置的身份为合法身份,从而完成客户端A对数字证书管理装置的反向认证,则数字证书管理装置可以确定客户端A通过预认证,并将该客户端A确定为可信任客户端;若数字证书管理装置接收到的反向认证结果为认证失败,则表示客户端A确定数字证书管理装置的身份为非法身份,数字证书管理装置向客户端A发送预认证失败的反馈信息。
进一步地,根据反向认证结果确定反向认证请求通过之后,还可以包括使资源服务器对客户端进行身份认证的步骤,其中该步骤包括:向客户端发送控制指令,以使客户端向资源服务器发送第三认证请求,并且由资源服务器生成第三认证结果;根据第三认证结果确定资源服务器通过对客户端的身份认证时,确定客户端通过预认证。
比如,根据所述反向认证结果确定所述反向认证请求通过之后,使资源服务器对客户端进行身份认证的步骤可以具体包括:
数字证书管理装置向客户端A发送控制指令,以使客户端A向资源服务器S发送第三认证请求,并由资源服务器S生成第三认证结果,即资源服务器S可以根据第三认证请求对客户端A的身份进行认证;
若数字证书管理装置接收到的第三认证结果为认证成功,则表示资源服务器S确定客户端A的身份为合法身份,数字证书管理装置可以确定客户端A通过预认证,并将通过预认证的客户端A确定为可信任客户端;若数字证书管理装置接收到的第三认证结果为认证失败,则表示资源服务器S确定客户端A的身份为非法身份,数字证书管理装置向客户端A发送预认证失败的反馈信息。
其中,资源服务器指的是为用户提供计算、存储、网络等资源的服务器,该服务器可以是实体的服务器,也可以是云计算服务中心。其中,用户可以是实体的用户,也可以是实体的用户使用的应用程序。
可以理解的是,资源服务器还可以是用于调用云计算服务中心的资源的应用程序接口(Application Programming Interface,API)服务器,则用户可以通过客户端调用各个API接口实现对云计算服务中心的不同资源的访问。其中,API接口是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问应用程序提供的资源或服务的能力,而又无需访问应用程序的源代码,也无需理解应用程序的内部工作机制的细节。比如,API接口的功能可以包括:远程过程调用、标准查询语言、文件传输、以及信息交付等。
云计算服务中心指的是将大量用网络连接的计算资源统一管理和调度,构成向用户提供按需服务的一个计算资源池。比如,资源服务器可以是云计算服务中心,其为用户提供云服务器、云硬盘、云数据库、云监控等云计算产品。具体地,作为资源服务器的云计算服务中心可以由云服务提供商提供,其中云服务提供商可以是腾讯云、阿里云、亚马逊云等。
可以理解的是,控制指令可以是向客户端发送的反馈信息,该反馈信息表示反向认证结果确定所述反向认证请求通过。
本发明实施例的预认证过程中,不仅包括数字证书管理装置与客户端的双向认证,而且还包括使资源服务器对客户端也进行认证,进一步地保证了对客户端进行预认证的可靠性,从而用户使用可信任客户端访问资源服务器时,可以进一步地提高资源服务器的资源的安全性。
需要说明的是,在现有技术中,资源服务器是云计算服务中心时,用户仅能使用云服务提供商提供的云主机对云计算服务中心进行访问,然而采用本发明实施例的预认证方法,可以对云服务提供商提供的云主机或者第三方服务提供商提供的云主机进行预认证,使云主机成为可信任客户端,从而用户可以利用云服务商提供的云主机或者第三方服务提供商提供云主机访问云计算服务中心。
在步骤S102中,根据可信任客户端的客户端标识,获取可信任客户端的角色。
在步骤S103中,根据可信任客户端的角色生成临时证书。
其中,步骤S102和步骤S103可以具体包括:
比如,数字证书管理装置根据可信任客户端的客户端标识,查询保存在数字证书管理装置的角色列表,其中该角色列表记载并保存了客户端标识与角色的对应关系,从而获取可信任客户端的角色;然后数字证书管理根据可信任客户端的角色,生成与角色相应的临时证书。
可以理解的是,角色列表可以保存在数字证书管理装置,也可以保存在第三方的终端或服务器中。
在本发明实施例中,在根据可信任客户端的客户端标识,获取可信任客户端的角色(步骤S102)之前,还可以授予角色的步骤,该步骤包括:根据预设的角色授权策略,配置一个或多个角色的权限;对可信任客户端授予至少一个角色,使可信任客户端拥有相应的角色的权限。
其中,权限指的是对资源进行访问的许可。比如,用户要访问资源R的前提是该用户需要有访问资源R的权限。资源可以包括机器资源、网络资源、数据库资源、访问接口等。
角色指的是一个组织或任务中的工作或位置,实际上角色代表一组权限。例如,用r表示角色,用p表示权限,则可以用(r,p1,p2,p3)表示角色r拥有p1,p2,p3这三个权限。
授予角色指的是将角色授予某个对象,从而该对象具备该角色所代表的权限。例如,用r表示角色,用u表示对象,则可以用(u,r)表示对象u被授予角色r,从而对象u拥有角色r的权限p1,p2,p3。可以理解的是,在本发明实施例中,对象可以是可信任客户端。
角色授权策略指的是一种基于角色的访问控制策略,也就是说由角色决定访问权限。
在本发明实施例中,授予角色的步骤可以具体包括:
数字证书管理装置根据预设的角色授权策略,将角色r1的权限配置为(r1,p1,p2,p3),将角色r2的权限配置为(r2,p2),即角色r1拥有权限p1、p2以及p3,角色r2拥有权限p2;
数字证书管理装置对可信任客户端B授予角色r1,则可信任客户端B可以拥有角色r1具备的权限p1、p2以及p3。
在本发明实施例中,通过对可信任客户端授予角色,简化了对可信任客户端的权限管理,有利于合理地划分各个可信任客户端的权限,避免可信任客户端的越权行为,从而进一步提高了对资源服务器的资源的保护,提高了资源服务器的资源的安全性。
在步骤S104中,将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
比如,数字管理装置定期地将临时证书发送至可信任客户端。即,数字管理装置可以主动地定期地将临时证书发送至可信任客户端,可以确保可信任客户端能够定期地获取最新的临时证书,而且只要客户端通过预认证成为可信任客户端,则以后用户通过可信任客户端访问资源服务器时,可以直接从可信任客户端本地获取临时证书进行访问,而不需要再向数字管理装置请求临时证书,在保证访问安全的条件下,还提高了访问效率。
在本发明实施中,由于临时证书与可信任客户端的角色相关,从而用户使用可信任客户端访问资源服务器时,仅限于可信任客户端所扮演的角色的权限,从而进一步地提高了资源服务器的资源的安全性。
可以理解的是,临时证书的有效期可以由数字管理装置根据实际需求进行配置。比如数字管理装置可以将临时证书的有效期配置为5分钟,则数字证书管理装置可以每5分钟生成临时证书并主动地向可信任客户端推送临时证书。
在某些实施方式中,将临时证书发送至可信任客户端(步骤S104)之前,还包括:接收可信任客户端的证书请求,该证书请求携带可信任客户端的客户端标识;根据客户端标识,获取相应的临时证书;将临时证书发送至可信任客户端。
进而,将临时证书发送至可信任客户端,可以具体包括:
比如,数字管理装置接收到可信任客户端发送的证书请求时,根据证书请求携带的客户端标识对可信任客户端的身份及角色进行认证;然后根据客户端标识,获取相应的临时证书;最后将相应的临时证书发送至可信任的客户端。可以理解的是,采用该方式可以进一步地提高临时证书的安全性。
在某些实施方式中,客户端发送的预认证请求还携带加密密钥,则根据可信任客户端的角色生成临时证书之后,还可以包括:采用预认证请求中携带的加密密钥对临时证书进行加密。
进而,将临时证书发送至可信任客户端,可以具体包括:将加密后的临时证书发送至可信任客户端。由于利用可信任客户端提供的加密密钥对临时证书进行加密,因此仅有可信任客户端可以解密获得临时证书,其他第三方即使截获加密后的临时证书也无法进行解密,从而进一步地保证了临时证书的安全性。
进一步地,除了采用可信任客户端提供的加密密钥对临时证书进行加密,还可以采用数字管理装置自身的私钥进行二次加密,则可信任客户端收到二次加密后的临时证书,可以先用数字管理装置的公钥解密,再利用自身的加密密钥进行解密,从而获得临时证书。
在某些实施方式中,客户端发送的预认证请求还携带接收地址,则将临时证书发送至可信任客户端,可以是:根据可信任客户端的客户端标识,获取其进行预认证时携带的接收地址;根据接收地址,将所述临时证书发送至可信任客户端。
在某些实施方式中,数字管理装置获取可信任客户端列表之后,可以查询并统计所有可信任客户端所包含的角色;然后数字管理装置为每个角色生成临时证书;再将同一角色的临时证书推送至与该角色相应的可信任客户端。从而不需要一一查询每个可信任客户端的角色,并为每个客户端生成临时证书,提高了生成临时证书的效率。
可以理解的是,为了更进一步地保证临时证书的安全性,数字管理装置还可以设置只允许特定的IP地址的客户端可以使用临时证书进行访问。
在某些实施方式中,临时证书可以包括访问密钥、访问密钥标识、访问令牌(token)以及密钥有效期。
其中,访问密钥指的是提供给可信任客户端,供可信任客户端形成数字签名的密钥。
访问密钥标识指的是访问密钥的标识,比如访问密钥的名称或序号等代表访问密钥的字符或字符串等。
访问令牌指的是提供给可信任客户端,作为可信任客户端访问资源服务器的身份标识的字符或字符串等。需要说明的是,访问令牌也是具备有效期的。
密钥有效期指的是访问密钥的有效时间,该有效时间配置为几分钟至几小时。
在某些实施方式中,可信任客户端使用临时证书访问资源服务器,可以包括:
比如,可信任客户端B利用临时证书中的访问密钥,对访问密钥、访问密钥标识以及访问令牌进行加密,形成数字签名;然后可信任客户端B向资源服务器发送访问请求,该访问请求携带数字签名、访问密钥、访问密钥标识以及访问令牌;资源服务器对数字签名进行解密,获得数字签名中的访问令牌,将数字签名中的访问令牌与访问请求携带的访问令牌进行比较,若二者一致,则资源服务器通过对可信任客户端的认证,从而可信任客户端可以访问资源服务器,否则资源服务器拒绝可信任客户端的访问请求。可以理解的是,资源服务器对可信任客户端的认证可以包括身份认证以及权限认证。
由于临时证书中的访问令牌和访问密钥均有有效期,该有效期可以配置为几分钟甚至几秒钟,因此可以有效地保证资源服务器的资源的安全性。
由上述可知,本发明实施例提供的数字证书管理方法,一方面通过向可信任客户端列表中的可信任客户端发送临时证书,使得用户通过可信任客户端访问资源服务器时,可以在可信任客户端使用有效期较短的临时证书访问资源服务器,而不需要依赖存储在客户端本地或资源服务器的数字证书进行身份认证及权限鉴定,从而提高了资源服务器的资源的安全性;另一方面由于临时证书与可信任客户端的角色有关,因此可信任客户端利用临时证书访问资源服务器时,仅限于可信任客户端所扮演的角色的权限,从而进一步地提高了资源服务器的资源的安全性。
第二实施例
根据上述实施例所述的方法,以下将举例作进一步详细说明。
首先,建立一个数字证书管理服务器,该数字证书管理服务器主要用于对客户端进行预认证,并对通过预认证的客户端提供访问资源服务器的临时证书。其中客户端可以是终端等网络设备,比如手机、笔记型计算机、平板电脑、PC或者云主机等等。资源服务器可以是为用户提供计算、存储以及网络等资源的服务器,该服务器可以是实体的服务器,也可以是云计算服务中心。在本发明实施例中,以客户端是云主机、资源服务器是云计算服务中心提供为例,其中,数字证书管理服务器和资源服务器由同一云服务提供商TCloud提供。
本发明实施例的数字证书管理方法主要包括:(一)对云主机进行预认证;(二)创建可信任客户端列表;(三)对云主机授予角色;(四)将临时证书发送至云主机。以下将进行详细说明。
(一)对云主机进行预认证
比如,云主机C向数字证书管理服务器发送一预认证请求,数字证书管理服务器收到该预认证请求后,对云主机C进行预认证。
请参阅图2a,图2a为本发明第二实施例提供的预认证的流程示意图。
在本发明实施例中,对云主机进行预认证,可以包括:
S201:云主机生成第一认证请求。
比如,云主机C生成第一认证请求以及第一认证请求携带的信息。
其中,云主机C生成第一认证请求携带的信息,可以包括:
比如,云主机C设置接收地址U1、加密密钥Skey以及第一令牌token1,并将接收地址U1、加密密钥Skey以及第一令牌token1作为第一认证请求携带的信息,其中接收地址U1用于接收临时证书,加密密钥Skey用于加密临时证书,第一令牌token1可以是用于表明云主机C的身份的客户端标识。其中,该云主机C可以是由云服务提供商TCloud提供的云主机,也可以是通过第三方服务提供商获得的云主机。
可以理解的是,第一令牌token1可以由数字证书管理服务器预先向云主机C推送。比如,云服务提供商TCloud预先与用户达成使用协议,然后数字证书管理服务器根据使用协议,向云主机C推送第一令牌token1作为云主机C的身份凭证。还可以理解的是,第一令牌token1也可以由云主机C直接生成。再比如,用户在云主机C使用预先注册的用户名和密码请求登录云计算服务中心Z,云计算服务中心Z验证用户名和密码,若验证成功,则云计算服务中心Z生成第一令牌token1并发送给云主机C。
S202:云主机向数字证书管理服务器发送第一认证请求。
比如,云主机C向数字证书管理服务器发送第一认证请求,该第一认证请求携带接收地址U1、加密密钥Skey以及第一令牌token1。
S203:数字证书管理服务器对云主机的身份进行认证。
比如,数字证书管理服务器从第一认证请求提取第一令牌token1,根据第一令牌token1确定云主机的身份,并生成第一认证结果。具体的,比如,数字证书管理服务器从第一认证请求获取第一令牌token1,从而获得云主机C的身份,再判断云主机C是否为与云服务提供商TCloud达成使用协议的云主机,若云主机C是与云服务提供商TCloud达成使用协议的云主机,则确定云主机C的身份为合法身份,数字证书管理服务器生成认证成功的第一认证结果,否则云主机C的身份为非法身份,数字证书管理服务器生成认证失败的第一认证结果。
S204:数字证书管理服务器生成第二认证请求。
比如,若第一认证结果为认证成功,则数字证书管理服务器生成第二认证请求以及第二认证请求携带的信息。
本发明实施例以数字证书管理服务器采用非对称加密算法生成第二认证请求为例,数字证书管理服务器拥有第二密钥对K2,该第二密钥对的身份标识为第二密钥标识ID2,并且该第二密钥对K2包括第二公钥KP2和第二私钥KS2。其中,第二公钥KP2是公开的;第二私钥KS2则保存在数字证书管理服务器,不对外公开。进而,数字证书管理服务器生成第二认证请求携带的信息,可以包括:
比如,若第一认证结果为认证成功,则数字证书管理服务器获取第二私钥KS2、第二密钥标识ID2以及随机参数e1,其中随机参数e1可以由数字证书管理服务器随机生成;数字证书管理服务器利用第二私钥KS2对第二密钥标识ID2、第一令牌token1以及随机参数e1进行加密,生成第一数字签名S1,并将第一数字签名S1、第二密钥标识ID2、第一令牌token1以及随机参数e1作为第二认证请求需要携带的信息。
其中,第二密钥对可以是持久密钥,即有效期较长的密钥,例如该持久密钥对的有效期可以配置为一年或两年等。
可以理解的是,若第一认证结果为认证失败,则数字证书管理服务器向云主机C发送预认证失败的反馈信息,数字证书管理服务器对云主机C的预认证终止,或者要求云主机C重新发送第一认证请求。
S205:数字证书管理服务器将第二认证请求发送至云主机。
比如,数字证书管理服务器将第二认证请求发送至云主机C,其中该第二认证请求携带第一数字签名S1、第二密钥标识ID2、第一令牌token1以及随机参数e1。
S206:云主机对数字证书管理服务器的身份进行认证。
比如,云主机C从第二认证请求提取第一数字签名S1、第二密钥标识ID2、第一令牌token1以及随机参数e1;然后云主机C根据第二密钥标识ID2获取对应的第二公钥KP2;云主机C利用第二公钥KP2对第一数字签名S1进行解密,获取第一数字签名S1中的第一令牌token1’;云主机C将第一数字签名S1中的第一令牌token1’与第二认证请求携带的第一令牌token1进行比较,若第一信息token1’与第一令牌token1一致,则云主机C确认数字证书管理服务器的身份为合法身份,生成认证成功的第二认证结果,否则云主机C确认数字证书管理服务器的身份为非法身份,生成认证失败的第二认证结果。
可以理解的是,第二公钥KP2可以由数字证书管理服务器预先提供给云主机C,也可以由云主机C在数字证书管理服务器下载。
S207:云主机生成第三认证请求。
比如,若云主机C获得第二认证结果为认证成功的反馈信息,则云主机C生成第三认证请求以及第三认证请求携带的信息。
其中,云主机C生成第三认证请求携带的信息,可以包括:
比如,若云主机C获得第二认证结果为认证成功的反馈信息,则云主机C利用第二公钥KP2,对第二密钥标识ID2、第一令牌token1以及随机参数e2进行加密,生成第二数字签名S2,其中随机参数e1可以由云主机C随机生成;然后云主机C将第二数字签名S2、第二密钥标识ID2、第一令牌token1以及随机参数e2作为第三认证请求携带的信息。
需要说明的是,也可以由云主机C自身生成第三密钥对K3,其中该第三密钥对K3的身份标识为第三密钥标识ID3,并且该第三密钥对K3包括第三公钥KP3和第三私钥KS3,第三公钥KP3是公开的,第三私钥KS3则保存在云主机C,不对外公开。进而,云主机C生成第三认证请求携带的信息,可以包括:
比如,若云主机C获得第二认证结果为认证成功的反馈信息,则云主机C利用第三私钥KS3,对第三密钥标识ID3、第一令牌token1以及随机参数e3进行加密,生成第三数字签名S3,其中随机参数e3由云主机C随机生成;云主机C将第三数字签名S3、第三密钥标识ID3、第一令牌token1以及随机参数e3作为第三认证请求携带的信息。
可以理解的是,若第二认证结果为认证失败,则数字证书管理服务器向云主机C发送预认证失败的反馈信息,数字证书管理服务器对云主机C的预认证终止或者要求云主机C重新发送第二认证请求。
S208:云主机向云计算服务中心发送第三认证请求。
比如,云主机C向云计算服务中心Z发送第三认证请求,其中该第三认证请求携带第三数字签名S3、第三密钥标识ID3、第一令牌token1以及随机参数e3。
S209:云计算服务中心对云主机的身份进行认证。
若云主机C是利用第二公钥KP2生成第二数字签名S2,则云计算服务中心Z对云主机C的身份进行认证,包括:
比如,云计算服务中心Z根据第二密钥标识ID2获取第二私钥KS2,并利用第二私钥KS2对第二数字签名S2进行解密,获取第二数字签名中的第一令牌token1”;然后云计算服务中心Z将第二数字签名S2中的第一令牌token1”与第三认证请求中的第一令牌token1进行比较,若第一令牌token1”与第一令牌token1一致,则生成认证成功的第三认证结果,否则生成认证失败的第三认证结果。
若云主机是利用第三私钥KS3生成第三数字签名S3,则云计算服务中心Z对云主机C的身份进行认证,包括:
比如,云计算服务中心Z根据第三密钥标识ID3获取第三公钥KP3,并利用第三公钥KP3对第三数字签名S3进行解密,获取第三数字签名S3中的第一令牌token1”’;然后云计算服务中心Z将第三数字签名S3中的第一令牌token1”’与第三认证请求中的第一令牌token1进行比较,若第一令牌token1”’与第一令牌token1一致,则生成认证成功的第三认证结果,否则生成认证失败的第三认证结果。
S210:云计算服务中心向云主机返回第三认证结果。
比如,云计算服务中心Z将第三认证结果发送至云主机C。可以理解的是,若第三认证结果为认证成功,则云计算服务中心Z对云主机C的预认证成功。
目前,云计算服务中心只允许用户使用云服务提供商提供的云主机对云计算服务中心进行访问。但是,本发明实施例的数字证书管理方法不仅可以对云服务提供商提供的云主机进行预认证,也可以对第三方服务提供商的云主机进行预认证,从而用户可以利用云服务商提供的云主机或者第三方服务提供商提供云主机访问云计算服务中心。
(二)创建可信任客户端列表
比如,数字证书管理服务器将通过预认证的云主机确认为可信任客户端,并根据可信任客户端的客户端标识创建可信任客户端列表。
具体的,比如,在本发明实施例中,数字证书管理服务器将通过预认证的云主机C确认为可信任客户端,然后将云主机C的客户端标识,即第一令牌token1添加至可信任客户端列表。
可以理解的是,可信任客户端列表中还可以记录云主机C的IP地址、以及可信任时间等与云主机C相关的信息。
(三)对云主机授予角色
请参阅图2b,图2b为本发明第二实施例提供的授予角色的流程示意图。
在本发明实施例中,对云主机授予角色,可以包括:
S301:数字证书管理服务器配置一个或多个角色的权限。
比如,数字证书管理服务器根据预设的角色授权策略,配置一个或多个角色的权限。
可以理解的是,数字证书管理服务器可以根据实际的应用需求,设置多种角色,比如系统管理员、一级用户、二级用户、访客等,其中每种角色可以配置相应的权限,该权限表示每种角色可以访问的资源。比如,请参见表1,表1为数字证书管理服务器设置的角色权限表,其中云服务器M、云硬盘N、人脸识别服务P以及天气预报API接口Q是云计算服务中心Z可以提供的资源。可以理解的是,以上仅是对云计算服务中心Z可以提供举例说明,并不表示对云计算服务中心Z可提供资源的限定。
表1
| 角色 | 云服务器M | 云硬盘N | 人脸识别服务P | 天气预报API接口Q |
| 系统管理员 | 是 | 是 | 是 | 是 |
| 一级用户 | 否 | 是 | 是 | 是 |
| 二级用户 | 否 | 否 | 是 | 是 |
| 访客 | 否 | 否 | 否 | 是 |
S302:数字证书管理服务器设置角色的授予对象。
比如,根据角色与可信任的云主机的预设对应关系,数字证书管理服务器设置角色的授予对象。具体地,比如根据用户与云服务提供商TCloud达成的使用协议,数字证书管理服务器设置“一级用户”该角色的授予对象是云主机C。
其中,角色与可信任的云主机的预设对应关系可以以表单的形式存储在数字证书管理服务器中。比如,请参见表2,表2为数字证书管理服务器设置的角色授权表。
表2
| 角色 | 授予对象 |
| 系统管理员 | 云主机B |
| 一级用户 | 云主机C |
| 二级用户 | 云主机D |
| 访客 | 云主机E |
S303:数字证书管理服务器将角色授予对应的云主机。
比如,数字证书管理服务器将“一级用户”的角色授予云主机C。
S304:云主机扮演对应的角色。
比如,云主机C扮演“一级用户”的角色,即云主机C拥有“一级用户”这个角色的所有权限,即云主机C可以访问由云计算服务中心Z提供的云硬盘N、人脸识别服务P以及天气预报API接口Q。
(四)将临时证书发送至云主机
请参阅图2c,图2c为本发明第二实施例提供的推送临时证书的流程示意图。
在本发明实施例中,将临时证书发送至云主机,可以包括:
S401:数字证书管理服务器生成临时证书。
比如,根据可信任客户端列表,数字证书管理服务器定期地为可信任客户端列表中的云主机C生成临时证书。
具体的,比如数字证书管理服务器根据云主机C“一级用户”的角色,生成与“一级用户”的角色相应的访问密钥Akey、访问密钥标识AID、访问令牌token2以及密钥有效期time;然后数字证书管理服务器根据访问密钥Akey、访问密钥标识AID、访问令牌token2以及密钥有效期time,生成临时证书。其中,密钥有效期time指的是访问密钥Akey的有效期,该有效期可以配置为几分钟,比如密钥有效期time为1分钟。访问令牌token2至少包含提供给云主机C的身份信息,以便云主机C利用访问令牌token2包含的身份信息访问云计算服务中心Z。可以理解的是,访问令牌token2的有效期也可以配置为1分钟。
S402:数字证书管理服务器对临时证书进行加密。
比如,数字证书管理服务器从第一认证请求提取加密密钥Skey;然后数字证书管理服务器利用加密密钥Skey对临时证书进行一次加密;接着数字证书管理服务器再利用自身的私钥(比如上述的第二私钥KS2)对临时证书时进行二次加密。
可以理解的是,加密密钥Skey采用的加密算法可以是对称加密算法,则加密密钥Skey既用于加密也用于解密。
由于数字证书管理服务器利用云主机C提供的加密密钥对临时证书进行加密,因此仅有云主机C可以解密获得临时证书,其他第三方即使截获加密后的临时证书也无法进行解密,从而进一步地保证了临时证书的安全性。
S403:数字证书管理服务器将加密后的临时证书发送至云主机。
比如,数字证书管理服务器从第一认证请求提取接收地址U1;然后数字证书管理服务器根据接收地址U1,将二次加密后的临时证书发送至云主机C。
S404:云主机对加密后的临时证书进行解密,获得临时证书。
比如,首先云主机C利用数字证书管理服务器提供的公钥(比如上述的第二公钥KP2)对二次加密后的临时证书进行解密,获得一次加密后的临时证书;然后云主机C再利用加密密钥Skey对一次加密后的临时证书进行解密,获得临时证书。
需要说明的,云主机获得临时证书后,即可使用该临时证书向云计算服务中心发送访问请求,而云计算服务中心需要对云主机进行鉴权,以进一步地保证云计算服务中心的资源的安全性。以下将进一步说明。
请参阅图2d,图2d为本发明第二实施例提供的鉴权的流程示意图。在本发明实施例中,云主机使用临时证书访问云计算服务中心,可以包括:
S501:云主机生成访问请求。
S502:云主机向云计算服务中心发送访问请求。
其中,S501和S502可以包括:
比如,比如云主机C向云计算服务中心Z发送“访问人脸识别服务P”的访问请求。
具体的,比如,云主机C从临时证书获取访问密钥Akey、访问密钥标识AID、访问令牌token2以及密钥有效期time,并且利用访问密钥Akey对访问密钥标识AID、访问令牌token2以及随机参数e4进行加密,生成第四数字签名S4,其中随机参数e4由云主机C随机生成;然后云主机C将第四数字签名S4、访问密钥标识AID、访问令牌token2以及随机参数e4作为访问请求携带的信息;最后,云主机C向云计算服务中心Z发送“访问人脸识别服务P”的访问请求,该访问请求携带第四数字签名S4、访问密钥标识AID、访问令牌token2以及随机参数e4。
S503:云计算服务中心对云主机的身份及权限进行鉴定。
比如,云计算服务中心Z根据访问密钥标识AID获取用于解密第四数字签名S的密钥,并且对第四数字签名S4进行解密,获取第四数字签名中的访问令牌token2’;然后云计算服务中心Z将第四数字签名S4中的访问令牌token2’与访问请求携带的访问令牌token2进行比较,若访问令牌token2’与访问令牌token2一致,则可以认为云计算服务中心Z对云主机C的身份认证成功,否则可以认为云计算服务中心Z对云主机C的身份认证失败;最后,云计算服务中心Z根据访问令牌token2鉴定云主机C的权限,若“访问人脸识别服务P”在云主机C的权限范围内,则生成请求成功的访问请求结果,否则生成请求失败的访问请求结果。
S504:云计算服务中心向云主机返回访问请求结果。
比如,若访问请求结果为请求成功,则云计算服务中心Z向云主机C返回请求成功的请求结果,并且允许云计算服务中心Z访问“人脸识别服务P”;若访问请求结果为请求失败,则云计算服务中心Z向云主机C返回请求失败的请求结果,并且不允许云计算服务中心Z访问“人脸识别服务P”。
由于临时证书中的访问令牌和访问密钥均有有效期,该有效期可以配置为几分钟甚至几秒钟,因此可以有效地保证云计算服务中心的资源的安全性。
进一步地,由于访问令牌包含身份信息,因此云主机C利用访问令牌请求访问云计算服务中心Z时,可以减少云计算服务中心Z查询数据库的几率。
另外,在该实施例中没有详述的部分,可以参见第一实施例针对数字证书管理方法的详细描述,在此不再赘述。
由上述可知,本发明实施例提供的数字证书管理方法,一方面通过对客户端进行预认证并创建可信任客户端列表,并且向可信任客户端列表中的可信任客户端发送临时证书,从而用户通过可信任客户端访问资源服务器时,可以在可信任的客户端使用有效期较短的临时证书访问资源服务器,而不需要依赖存储在客户端本地或资源服务器的数字证书进行身份认证及权限鉴定,从而提高了资源服务器的资源的安全性;另一方面由于临时证书与可信任客户端的角色有关,因此可信任客户端利用临时证书访问资源服务器时,仅限于可信任客户端所扮演的角色的权限,从而进一步地提高了资源服务器的资源的安全性。
第三实施例
为了便于更好地实施本发明实施例提供的数字证书管理方法,本发明实施例还提供一种基于上述数字证书管理方法的装置。其中名词的含义与上述数字证书管理方法中相同,具体实现细节可以参考方法实施例中的说明。
请参阅图3a,图3a为本发明第三实施例提供的数字证书管理装置的结构示意图,其中该数字证书管理装置300包括第一获取模块301、第二获取模块302、生成模块303以及发送模块304。
在数字证书管理装置300中,第一获取模块301用于获取可信任客户端列表,其中该可信任客户端列表保存多个可信任客户端的客户端标识。
比如,第一获取模块301定期地获取可信任客户端列表。
其中,可信任客户端可以是终端等网络设备,也可以是集成在终端的应用程序(Application,APP)。终端可以是手机、笔记型计算机、平板电脑、个人计算机(PersonalComputer,PC)或云主机等等。其中,需要说明的是,云主机是在一组集群主机上虚拟出多个类似独立主机的部分,集群中每个主机上都有云主机的一个镜像。
可信任客户端列表可以是数据表形式,用于记载并保存可信任客户端的相关信息。可以理解的是,可信任客户端列表可以保存在数字证书管理装置中,也可以保存在第三方终端或第三方服务器中。
客户端标识指的是用于表示客户端的身份的凭证,该凭证可以是账号或者名称等。可以理解的是,客户端标识的形式可以是字符或字符串。具体的,客户端标识可以是令牌(token)的形式。令牌(token)在计算机领域中是表示身份的标识,代表执行某些操作的权利的对象。
可以理解的是,可信任客户端列表除了保存多个可信任客户端的客户端标识,还可以保存多个可信任客户端的网络协议(Internet Protocol,IP)地址、可信任时间、设备类型等与可信任客户端相关的信息。
其中,IP地址指的是IP协议中给因特网上的每台计算机和其它设备都规定的一个唯一的地址。
可信任时间指的是客户端作为可信任客户端的有效时间,当有效时间到期,则该客户端不再是可信任客户端。
设备类型可以是手机、笔记型计算机、平板电脑、PC或云主机等等。
请一并参阅图3b,图3b为本发明第三实施例提供的数字证书管理装置的另一结构示意图。
在本发明实施例中,数字证书管理装置300还可以包括创建模块305,该创建模块305用于创建可信任客户端列表。
在某些实施方式中,创建模块305可以包括:
接收子模块3051,用于接收客户端发送的预认证请求,该预认证请求携带该客户端的客户端标识;
预认证子模块3052,用于根据预认证请求,对客户端进行预认证;
确定子模块3053,用于将通过预认证的客户端确定为可信任客户端;
创建子模块3054,用于根据可信任客户端的客户端标识,创建可信任客户端列表。
比如,创建模块305接收客户端发送的预认证请求时,根据预认证请求携带的客户端标识对客户端进行预认证;将通过预认证的客户端标记为可信任客户端;再根据可信任客户端的客户端标识,创建可信任客户端列表。
可以理解的是,创建可信任客户端列表之后,若有新的可信任客户端,则只需要将该可信任客户端的客户端标识等相关信息添加至可信任客户端列表;若可信任客户端的可信任时间到期,则只需要将该可信任客户端从可信任客户端列表中删除。因此,可信任客户端列表是根据实际情况进行动态更新的。
在某些实施方式中,预认证子模块3052可以具体用于:根据预认证请求中携带的客户端标识确定客户端的身份为合法身份时,向客户端发送反向认证请求,以便客户端根据反向认证请求生成反向认证结果;根据反向认证结果确定反向认证请求通过时,确定客户端通过预认证。
进一步地,预认证子模块3052还可以具体用于:根据反向认证结果确定反向认证请求通过之后,向客户端发送控制指令,以使客户端向资源服务器发送第三认证请求,并且由资源服务器生成第三认证结果;根据第三认证结果确定资源服务器通过对客户端的身份认证时,确定客户端通过预认证。
其中,资源服务器指的是为用户提供计算、存储、网络等资源的服务器,该服务器可以是实体的服务器,也可以是云计算服务中心。其中,用户可以是实体的用户,也可以是实体的用户使用的应用程序(Application,APP)。
可以理解的是,资源服务器还可以是用于调用云计算服务中心的资源的应用程序接口(Application Programming Interface,API)服务器,则用户可以通过客户端调用各个API接口实现对云计算服务中心的不同资源的访问。其中,API接口是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问应用程序提供的资源或服务的能力,而又无需访问应用程序的源代码,也无需理解应用程序的内部工作机制的细节。比如,API接口的功能可以包括:远程过程调用、标准查询语言、文件传输、以及信息交付等。
云计算服务中心指的是将大量用网络连接的计算资源统一管理和调度,构成向用户提供按需服务的一个计算资源池。比如,资源服务器可以是云计算服务中心,其为用户提供云服务器、云硬盘、云数据库、云监控等云计算产品。具体地,作为资源服务器的云计算服务中心可以由云服务提供商提供,其中云服务提供商可以是腾讯云、阿里云、亚马逊云等。
可以理解的是,控制指令可以是向客户端发送的反馈信息,该反馈信息表示反向认证结果确定所述反向认证请求通过。
本发明实施例的预认证子模块3052,不仅可以用于数字证书管理装置与客户端的双向认证,而且还可以用于使资源服务器对客户端也进行认证,进一步地保证了对客户端进行预认证的可靠性,从而用户使用可信任客户端访问资源服务器时,可以进一步地提高资源服务器的资源的安全性。
需要说明的是,在现有技术中,资源服务器是云计算服务中心时,用户仅能使用云服务提供商提供的云主机对云计算服务中心进行访问,然而本发明实施例可以对云服务提供商提供的云主机或者第三方服务提供商提供的云主机进行预认证,使云主机成为可信任客户端,从而用户可以利用云服务商提供的云主机或者第三方服务提供商提供云主机访问云计算服务中心。
在数字证书管理装置300中,第二获取模块302用于根据可信任客户端的客户端标识,获取可信任客户端的角色。
在数字证书管理装置300中,生成模块303用于根据可信任客户端的角色生成临时证书。
其中,第二获取模块302和生成模块303可以具体用于:
比如,第二获取模块302根据可信任客户端的客户端标识,查询保存在数字证书管理装置的角色列表,其中该角色列表记载并保存了客户端标识与角色的对应关系,从而获取可信任客户端的角色;然后生成模块303根据可信任客户端的角色,生成与角色相应的临时证书。
可以理解的是,角色列表可以保存在数字证书管理装置,也可以保存在第三方的终端或服务器中。
在本发明实施例中,数字证书管理装置300还可以包括角色授权模块306,该角色授权模块306用于:根据预设的角色授权策略,配置一个或多个角色的权限;对可信任客户端授予至少一个角色,使可信任客户端拥有相应的角色的权限。
其中,权限指的是对资源进行访问的许可。比如,用户要访问资源R的前提是该用户需要有访问资源R的权限。资源可以包括机器资源、网络资源、数据库资源、访问接口等。
角色指的是一个组织或任务中的工作或位置,实际上角色代表一组权限。例如,用r表示角色,用p表示权限,则可以用(r,p1,p2,p3)表示角色r拥有p1,p2,p3这三个权限。
授予角色指的是将角色授予某个对象,从而该对象具备该角色所代表的权限。例如,用r表示角色,用u表示对象,则可以用(u,r)表示对象u被授予角色r,从而对象u拥有角色r的权限p1,p2,p3。可以理解的是,在本发明实施例中,对象可以是可信任客户端。
角色授权策略指的是一种基于角色的访问控制策略,也就是说由角色决定访问权限。
在本发明实施例中,角色授权模块306可以具体用于:根据预设的角色授权策略,将角色r1的权限配置为(r1,p1,p2,p3),将角色r2的权限配置为(r2,p2),即角色r1拥有权限p1、p2以及p3,角色r2拥有权限p2;对可信任客户端B授予角色r1,则可信任客户端B可以拥有角色r1具备的权限p1、p2以及p3。
在本发明实施例中,通过对可信任客户端授予角色,简化了对可信任客户端的权限管理,有利于合理地划分各个可信任客户端的权限,避免可信任客户端的越权行为,从而进一步提高了对资源服务器的资源的保护,提高了资源服务器的资源的安全性。
在数字证书管理装置300中,发送模块304用于将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
比如,发送模块304定期地将临时证书发送至可信任客户端。即,发送模块304可以主动地定期地将临时证书发送至可信任客户端,可以确保可信任客户端能够定期地获取最新的临时证书,而且只要客户端通过预认证成为可信任客户端,则以后用户通过可信任客户端访问资源服务器时,可以直接从可信任客户端本地获取临时证书进行访问,而不需要再向数字管理装置请求临时证书,在保证访问安全的条件下,还提高了访问效率。
可以理解的是,临时证书的有效期可以由数字管理装置根据实际需求进行配置。比如数字管理装置可以将临时证书的有效期配置为5分钟,则数字证书管理装置可以每5分钟生成临时证书并主动地向可信任客户端推送临时证书。
在某些实施方式中,发送模块304还可以具体用于:
比如,发送模块304接收到可信任客户端发送的证书请求,根据证书请求携带的客户端标识对可信任客户端的身份及角色进行认证;然后根据客户端标识,获取相应的临时证书;最后将相应的临时证书发送至可信任的客户端。可以理解的是,采用该方式可以进一步地提高临时证书的安全性。
在本发明实施中,由于临时证书与可信任客户端的角色相关,从而用户使用可信任客户端访问资源服务器时,仅限于可信任客户端所扮演的角色的权限,从而进一步地提高了资源服务器的资源的安全性。
在某些实施方式中,客户端发送的预认证请求还携带加密密钥,数字证书管理装置300还可以包括加密模块307,该加密模块307可以用于:采用预认证请求中携带的加密密钥对临时证书进行加密。
进而,发送模块304可以具体用于:将加密后的临时证书发送至可信任客户端。由于利用可信任客户端提供的加密密钥对临时证书进行加密,因此仅有可信任客户端可以解密获得临时证书,其他第三方即使截获加密后的临时证书也无法进行解密,从而进一步地保证了临时证书的安全性。
进一步地,除了采用可信任客户端提供的加密密钥对临时证书进行加密,还可以采用数字管理装置自身的私钥进行二次加密,则可信任客户端收到二次加密后的临时证书,可以先用数字管理装置的公钥解密,再利用自身的加密密钥进行解密,从而获得临时证书。
在某些实施方式中,客户端发送的预认证请求还携带接收地址,发送模块304还可以具体用于:根据可信任客户端的客户端标识,获取其进行预认证时携带的接收地址;根据接收地址,将临时证书发送至可信任客户端。
在某些实施方式中,发送模块304在获取可信任客户端列表之后,还可以查询并统计所有可信任客户端所包含的角色;然后为每个角色生成临时证书;再将同一角色的临时证书推送至与该角色相应的可信任客户端。从而不需要一一查询每个可信任客户端的角色,并为每个客户端生成临时证书,提高了生成临时证书的效率。
可以理解的是,为了更进一步地保证临时证书的安全性,数字管理装置还可以设置只允许特定的IP地址的客户端可以使用临时证书进行访问。
在某些实施方式中,临时证书可以包括访问密钥、访问密钥标识、访问令牌(token)以及密钥有效期。
其中,访问密钥指的是提供给可信任客户端,供可信任客户端形成数字签名的密钥。
访问密钥标识指的是访问密钥的标识,比如访问密钥的名称或序号等代表访问密钥的字符或字符串等。
访问令牌指的是提供给可信任客户端,作为可信任客户端访问资源服务器的身份标识的字符或字符串等。需要说明的是,访问令牌也是具备有效期的。
密钥有效期指的是访问密钥的有效时间,该有效时间配置为几分钟至几小时。
在某些实施方式中,可信任客户端使用临时证书访问资源服务器,可以包括:
比如,可信任客户端B利用临时证书中的访问密钥,对访问密钥、访问密钥标识以及访问令牌进行加密,形成数字签名;然后可信任客户端B向资源服务器发送访问请求,该访问请求携带数字签名、访问密钥、访问密钥标识以及访问令牌;资源服务器对数字签名进行解密,获得数字签名中的访问令牌,将数字签名中的访问令牌与访问请求携带的访问令牌进行比较,若二者一致,则资源服务器通过对可信任客户端的认证,从而可信任客户端可以访问资源服务器,否则资源服务器拒绝可信任客户端的访问请求。可以理解的是,资源服务器对可信任客户端的认证可以包括身份认证以及权限认证。
由于临时证书中的访问令牌和访问密钥均有有效期,该有效期可以配置为几分钟甚至几秒钟,因此可以有效地保证资源服务器的资源的安全性。
具体实施例时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施可参见前面的方法实施例,在此不再赘述。
由上述可知,本发明实施例提供的数字证书管理装置,一方面通过向可信任客户端列表中的可信任客户端发送临时证书,使得用户通过可信任客户端访问资源服务器时,可以在可信任客户端使用有效期较短的临时证书访问资源服务器,而不需要依赖存储在客户端本地或资源服务器的数字证书进行身份认证及权限鉴定,从而提高了资源服务器的资源的安全性;另一方面由于临时证书与可信任客户端的角色有关,因此可信任客户端利用临时证书访问资源服务器时,仅限于可信任客户端所扮演的角色的权限,从而进一步地提高了资源服务器的资源的安全性。
第四实施例
本发明实施例还提供一种服务器,其中可以集成本发明实施例的数字证书管理装置,如图4所示,其示出了本发明实施例所涉及的服务器400的结构示意图。
服务器400可以包括一个或者一个以上处理核心的处理器401、一个或者一个以上计算机可读存储介质的存储模块402、输入单元403、显示单元404、通讯单元405以及电源406等部件。本领域技术人员可以理解,图4中示出的服务器结构并不构成对服务器的限定,服务器400可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储模块402内的软件程序和/或模块,以及调用存储在存储模块402内的数据,执行服务器的各种功能和处理数据,从而对服务器进行整体监控。可选的,处理器401可以包括一个或多个处理核心;在某些实施方式中,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可不集成到处理器401中。
存储模块402可用于存储软件程序及模块,处理器401通过运行存储在存储模块402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储模块402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储模块402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储模块402还可以包括存储器控制器,以提供处理器401对存储模块402的访问。
服务器400还可包括输入单元403。该输入单元403可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元403可包括触控板、物理键盘、鼠标、操作杆等中的一种或多种输入设备。
服务器400还可包括显示单元404。该显示单元404可用于显示由用户输入的信息或提供给用户的信息以及服务器的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元404可包括显示面板,可选的,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-EmittingDiode,OLED)等形式来配置显示面板。
服务器400还可包括通讯单元405。该通讯单元405可用于收发信息过程中,信号的接收和发送,特别地,通讯单元405接收终端发送的信号,并将信号交由一个或者一个以上处理器401处理。
服务器400还可包括给各个部件供电的电源406(比如电池),在某些实施方式中,电源可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电以及功耗管理等功能。电源406还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
具体在本实施例中,服务器400中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储模块402中,并由处理器401来运行存储在存储模块402中的应用程序,从而实现各种功能,如下:
获取可信任客户端列表,其中可信任客户端列表保存多个可信任客户端的客户端标识;根据可信任客户端的客户端标识,获取可信任客户端的角色;根据可信任客户端的角色生成临时证书;将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
在某些实施方式中,处理器401获取可信任客户端列表之前,还可以用于:创建可信任客户端列表。
在某些实施方式中,处理器401创建可信任客户端列表,可以具体包括:接收客户端发送的预认证请求,该预认证请求携带客户端的客户端标识;根据预认证请求,对客户端进行预认证;将通过预认证的客户端确定为可信任客户端;根据可信任客户端的客户端标识,创建可信任客户端列表。
在某些实施方式中,处理器401根据预认证请求,对客户端进行预认证,可以具体包括:根据预认证请求中携带的客户端标识确定客户端的身份为合法身份时,向客户端发送反向认证请求,以便客户端根据反向认证请求生成反向认证结果;根据反向认证结果确定反向认证请求通过时,确定客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
在某些实施方式中,处理器401在根据反向认证结果确定反向认证请求通过之后,还可以包括:向客户端发送控制指令,以使客户端向资源服务器发送第三认证请求,并且由资源服务器生成第三认证结果;根据第三认证结果确定资源服务器通过对客户端的身份认证时,确定客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
在某些实施方式中,处理器401在创建可信任客户端列表之后,还可以用于:根据预设的角色授权策略,配置一个或多个角色的权限;对可信任客户端授予至少一个角色,使可信任客户端拥有相应的角色的权限。
在某些实施方式中,预认证请求还携带加密密钥,则处理器401在根据可信任客户端的角色生成临时证书之后,还可以用于:采用预认证请求中携带的加密密钥对临时证书进行加密。进而,处理器401将临时证书发送至可信任客户端,可以包括:将加密后的临时证书发送至可信任客户端。
在某些实施方式中,预认证请求还携带接收地址,则处理器401将临时证书发送至可信任客户端,可以具体包括:根据接收地址,将临时证书发送至可信任客户端。
由上述可知,本发明实施例提供的服务器,一方面通过向可信任客户端列表中的可信任客户端发送临时证书,使得用户通过可信任客户端访问资源服务器时,可以在可信任客户端使用接收到的临时证书访问资源服务器,而不需要依赖存储在客户端本地或资源服务器的数字证书进行身份认证及权限鉴定,从而提高了资源服务器的资源的安全性;另一方面由于临时证书与可信任客户端的角色有关,因此可信任客户端利用临时证书访问资源服务器时,仅限于可信任客户端所扮演的角色的权限,从而进一步地提高了资源服务器的资源的安全性。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上述针对数字证书管理方法的详细描述,此处不再赘述。
本发明实施例提供的所述数字证书管理装置,譬如为终端或服务器等等,所述数字证书管理装置与上文实施例中的数字证书管理装置属于同一构思,在所述数字证书管理装置上可以运行所述数字证书管理方法实施例中提供的任一方法,其具体实现过程详见所述数字证书管理方法实施例,此处不再赘述。
需要说明的是,对本发明实施例的所述数字证书管理装置而言,其各功能模块可以集成在一个处理芯片中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储设备中,所述存储设备譬如为只读存储器,磁盘或光盘等。
第五实施例
本发明实施例还提供一种存储介质,该存储介质用于储存多条指令,该多条指令适于由处理器加载并执行如第一实施例、第二实施例所述的数字证书管理方法,比如:获取可信任客户端列表,其中可信任客户端列表保存多个可信任客户端的客户端标识;根据可信任客户端的客户端标识,获取可信任客户端的角色;根据可信任客户端的角色生成临时证书;将临时证书发送至可信任客户端,以便可信任客户端使用临时证书访问资源服务器。
其中,存储介质可以集成在服务器中,其中该服务器可以是由若干台服务器组成的服务器集群,或者是一个云计算服务中心。。
需要说明的是,本领域普通测试人员可以理解实现本发明实施例所述数据处理方法的全部或部分流程,是可以通过计算机程序来控制相关的硬件来完成,所述计算机程序可存储于本实施例的存储介质中,并被服务器内的至少一个处理器执行,在执行过程中可包括如所述数字证书管理方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)等。
以上对本发明实施例所提供的一种数字证书管理方法、装置及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种数字证书管理方法,其特征在于,包括:
获取可信任客户端列表,其中所述可信任客户端列表保存多个可信任客户端的客户端标识;
根据所述可信任客户端的客户端标识,获取所述可信任客户端的角色;
根据所述可信任客户端的角色生成临时证书;
将所述临时证书发送至所述可信任客户端,以便所述可信任客户端使用所述临时证书访问资源服务器。
2.根据权利要求1所述的数字证书管理方法,其特征在于,所述获取可信任客户端列表之前,还包括:创建可信任客户端列表。
3.根据权利要求2所述的数字证书管理方法,其特征在于,所述创建可信任客户端列表,包括:
接收客户端发送的预认证请求,所述预认证请求携带所述客户端的客户端标识;
根据所述预认证请求,对所述客户端进行预认证;
将通过预认证的客户端确定为可信任客户端;
根据所述可信任客户端的客户端标识,创建可信任客户端列表。
4.根据权利要求3所述的数字证书管理方法,其特征在于,所述根据所述预认证请求,对所述客户端进行预认证,包括:
根据所述预认证请求中携带的客户端标识确定所述客户端的身份为合法身份时,向所述客户端发送反向认证请求,以便所述客户端根据所述反向认证请求生成反向认证结果;
根据所述反向认证结果确定所述反向认证请求通过时,确定所述客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
5.根据权利要求4所述的数字证书管理方法,其特征在于,所述根据所述反向认证结果确定所述反向认证请求通过之后,还包括:
向所述客户端发送控制指令,以使所述客户端向所述资源服务器发送第三认证请求,并且由所述资源服务器生成第三认证结果;
根据所述第三认证结果确定所述资源服务器通过对所述客户端的身份认证时,确定所述客户端通过预认证,并将通过预认证的客户端确定为可信任客户端。
6.根据权利要求2至5任一项所述的数字证书管理方法,其特征在于,所述创建可信任客户端列表之后,还包括:
根据预设的角色授权策略,配置一个或多个角色的权限;
对所述可信任客户端授予至少一个角色,使所述可信任客户端拥有相应的角色的权限。
7.根据权利要求3至5任一项所述的数字证书管理方法,其特征在于,所述预认证请求还携带加密密钥;所述根据所述可信任客户端的角色生成临时证书之后,还包括:
采用所述预认证请求中携带的加密密钥对所述临时证书进行加密;
所述将所述临时证书发送至所述可信任客户端,包括:将加密后的临时证书发送至所述可信任客户端。
8.根据权利要求3至5任一项所述的数字证书管理方法,其特征在于,所述预认证请求还携带接收地址;所述将所述临时证书发送至可信任客户端,包括:
根据所述接收地址,将所述临时证书发送至可信任客户端。
9.一种数字证书管理装置,其特征在于,包括:
第一获取模块,用于获取可信任客户端列表,其中所述可信任客户端列表保存多个可信任客户端的客户端标识;
第二获取模块,用于根据所述可信任客户端的客户端标识,获取所述可信任客户端的角色;
生成模块,用于根据所述可信任客户端的角色生成临时证书;
发送模块,用于将所述临时证书发送至所述可信任客户端,以便所述可信任客户端使用所述临时证书访问资源服务器。
10.根据权利要求9所述的数字证书管理装置,其特征在于,所述装置还包括:创建模块,用于创建可信任客户端列表。
11.根据权利要求10所述的数字证书管理装置,其特征在于,所述创建模块包括:
接收子模块,用于接收客户端发送的预认证请求,所述预认证请求携带所述客户端的客户端标识;
预认证子模块,用于根据所述预认证请求,对所述客户端进行预认证;
确定子模块,用于将通过预认证的客户端确定为可信任客户端;
创建子模块,用于根据所述可信任客户端的客户端标识,创建可信任客户端列表。
12.根据权利要求10或11所述的数字证书管理装置,其特征在于,所述装置还包括角色授权模块,所述角色授权模块用于:根据预设的角色授权策略,配置一个或多个角色的权限;对所述可信任客户端授予至少一个角色,使所述可信任客户端拥有相应的角色的权限。
13.根据权利要求11所述的数字证书管理装置,其特征在于,所述预认证请求还携带加密密钥,所述装置还包括加密模块,所述加密模块用于:采用所述预认证请求中携带的加密密钥对所述临时证书进行加密;
所述发送模块用于:将加密后的临时证书发送至所述可信任客户端。
14.根据权利要求11所述的数字证书管理装置,其特征在于,所述预认证请求还携带接收地址,所述发送模块用于:根据所述接收地址,将所述临时证书发送至可信任客户端。
15.一种存储介质,其特征在于,所述存储介质用于储存多条指令,所述多条指令适于由处理器加载并执行如权利要求1至8任一项所述的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710911569.7A CN109587101B (zh) | 2017-09-29 | 2017-09-29 | 一种数字证书管理方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710911569.7A CN109587101B (zh) | 2017-09-29 | 2017-09-29 | 一种数字证书管理方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109587101A true CN109587101A (zh) | 2019-04-05 |
| CN109587101B CN109587101B (zh) | 2021-04-13 |
Family
ID=65919151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710911569.7A Active CN109587101B (zh) | 2017-09-29 | 2017-09-29 | 一种数字证书管理方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109587101B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110086813A (zh) * | 2019-04-30 | 2019-08-02 | 新华三大数据技术有限公司 | 访问权限控制方法和装置 |
| CN111404923A (zh) * | 2020-03-12 | 2020-07-10 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111565172A (zh) * | 2020-04-13 | 2020-08-21 | 北京天融信网络安全技术有限公司 | 劫持检测方法、装置、电子设备及存储介质 |
| CN111935095A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种源代码泄露监控方法、装置及计算机存储介质 |
| CN111970306A (zh) * | 2020-08-31 | 2020-11-20 | Oppo广东移动通信有限公司 | 权限认证方法、服务器、客户端及存储介质 |
| CN112019339A (zh) * | 2019-05-31 | 2020-12-01 | 西安理邦科学仪器有限公司 | 一种数字证书自动分发方法及装置 |
| CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
| CN113098899A (zh) * | 2021-04-29 | 2021-07-09 | 四川虹美智能科技有限公司 | 无形资产保护方法、装置及计算机可读介质 |
| CN113204752A (zh) * | 2021-06-01 | 2021-08-03 | 京东科技控股股份有限公司 | 基于区块链的身份验证方法及客户端、服务器 |
| CN113536365A (zh) * | 2021-06-07 | 2021-10-22 | 北京字跳网络技术有限公司 | 一种文件访问方法、装置、设备及介质 |
| US20220171832A1 (en) * | 2020-11-30 | 2022-06-02 | Arris Enterprises Llc | Scalable key management for encrypting digital rights management authorization tokens |
| CN114760129A (zh) * | 2022-04-11 | 2022-07-15 | 平安国际智慧城市科技股份有限公司 | 数据访问方法、装置、设备及存储介质 |
| CN114760129B (zh) * | 2022-04-11 | 2024-07-09 | 平安国际智慧城市科技股份有限公司 | 数据访问方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100261532A1 (en) * | 2009-04-13 | 2010-10-14 | Gamania Digital Entertainment Co., Ltd. | Bidirectional communication certification mechanism |
| CN102055766A (zh) * | 2010-12-31 | 2011-05-11 | 北京新媒传信科技有限公司 | 一种Webservice服务的管理方法和系统 |
| CN102571873A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的双向安全审计方法及装置 |
| CN106302334A (zh) * | 2015-05-22 | 2017-01-04 | 中兴通讯股份有限公司 | 访问角色获取方法、装置及系统 |
-
2017
- 2017-09-29 CN CN201710911569.7A patent/CN109587101B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100261532A1 (en) * | 2009-04-13 | 2010-10-14 | Gamania Digital Entertainment Co., Ltd. | Bidirectional communication certification mechanism |
| CN102055766A (zh) * | 2010-12-31 | 2011-05-11 | 北京新媒传信科技有限公司 | 一种Webservice服务的管理方法和系统 |
| CN102571873A (zh) * | 2010-12-31 | 2012-07-11 | 上海可鲁系统软件有限公司 | 一种分布式系统中的双向安全审计方法及装置 |
| CN106302334A (zh) * | 2015-05-22 | 2017-01-04 | 中兴通讯股份有限公司 | 访问角色获取方法、装置及系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110086813A (zh) * | 2019-04-30 | 2019-08-02 | 新华三大数据技术有限公司 | 访问权限控制方法和装置 |
| CN112019339A (zh) * | 2019-05-31 | 2020-12-01 | 西安理邦科学仪器有限公司 | 一种数字证书自动分发方法及装置 |
| CN112019339B (zh) * | 2019-05-31 | 2024-02-27 | 西安理邦科学仪器有限公司 | 一种数字证书自动分发方法及装置 |
| CN112182522A (zh) * | 2019-07-05 | 2021-01-05 | 北京地平线机器人技术研发有限公司 | 访问控制方法和装置 |
| CN111404923B (zh) * | 2020-03-12 | 2022-07-19 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111404923A (zh) * | 2020-03-12 | 2020-07-10 | 北京金山云网络技术有限公司 | 容器集群访问权限的控制方法及系统 |
| CN111565172A (zh) * | 2020-04-13 | 2020-08-21 | 北京天融信网络安全技术有限公司 | 劫持检测方法、装置、电子设备及存储介质 |
| CN111565172B (zh) * | 2020-04-13 | 2022-07-12 | 北京天融信网络安全技术有限公司 | 劫持检测方法、装置、电子设备及存储介质 |
| CN111935095A (zh) * | 2020-07-15 | 2020-11-13 | 广东电网有限责任公司 | 一种源代码泄露监控方法、装置及计算机存储介质 |
| CN111970306A (zh) * | 2020-08-31 | 2020-11-20 | Oppo广东移动通信有限公司 | 权限认证方法、服务器、客户端及存储介质 |
| US20220171832A1 (en) * | 2020-11-30 | 2022-06-02 | Arris Enterprises Llc | Scalable key management for encrypting digital rights management authorization tokens |
| CN113098899A (zh) * | 2021-04-29 | 2021-07-09 | 四川虹美智能科技有限公司 | 无形资产保护方法、装置及计算机可读介质 |
| CN113204752A (zh) * | 2021-06-01 | 2021-08-03 | 京东科技控股股份有限公司 | 基于区块链的身份验证方法及客户端、服务器 |
| CN113536365A (zh) * | 2021-06-07 | 2021-10-22 | 北京字跳网络技术有限公司 | 一种文件访问方法、装置、设备及介质 |
| CN114760129A (zh) * | 2022-04-11 | 2022-07-15 | 平安国际智慧城市科技股份有限公司 | 数据访问方法、装置、设备及存储介质 |
| CN114760129B (zh) * | 2022-04-11 | 2024-07-09 | 平安国际智慧城市科技股份有限公司 | 数据访问方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109587101B (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lim et al. | Blockchain technology the identity management and authentication service disruptor: a survey | |
| CN109587101A (zh) | 一种数字证书管理方法、装置及存储介质 | |
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| US10277591B2 (en) | Protection and verification of user authentication credentials against server compromise | |
| US11799656B2 (en) | Security authentication method and device | |
| CN110537346B (zh) | 安全去中心化域名系统 | |
| WO2018112946A1 (zh) | 注册及授权方法、装置及系统 | |
| US10250613B2 (en) | Data access method based on cloud computing platform, and user terminal | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| EP3526721A1 (en) | Method, device and system for validating sensitive user data transactions within trusted circle | |
| US8578452B2 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud computing system | |
| US9215064B2 (en) | Distributing keys for decrypting client data | |
| US10460117B2 (en) | System and method for removing internet attack surface from internet connected devices | |
| CN105656859A (zh) | 税控设备软件安全在线升级方法及系统 | |
| CN115001841A (zh) | 一种身份认证方法、装置及存储介质 | |
| CN202455386U (zh) | 一种用于云存储的安全系统 | |
| CN112968971A (zh) | 会话连接建立的方法、装置、电子设备和可读存储介质 | |
| CN102999710A (zh) | 一种安全共享数字内容的方法、设备及系统 | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
| JP5485452B1 (ja) | 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム | |
| CN108900595A (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| US11032708B2 (en) | Securing public WLAN hotspot network access | |
| CN117879819B (zh) | 密钥管理方法、装置、存储介质、设备及算力服务系统 | |
| Pawar et al. | Implementation of secure authentication scheme and access control in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |