CN109801418A - 用户自主可控的精细化授权管理方法和装置 - Google Patents
用户自主可控的精细化授权管理方法和装置 Download PDFInfo
- Publication number
- CN109801418A CN109801418A CN201910040993.8A CN201910040993A CN109801418A CN 109801418 A CN109801418 A CN 109801418A CN 201910040993 A CN201910040993 A CN 201910040993A CN 109801418 A CN109801418 A CN 109801418A
- Authority
- CN
- China
- Prior art keywords
- user
- equipment
- authorization
- main equipment
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种用户自主可控的精细化授权管理方法和装置。其中,应用于第一用户的主设备的方法包括:获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;授予所述第一用户的从设备指定权限;基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。该方法能够让用户自主将自己的部分权限授权给自己的低安全级别设备的方法,让用户使用低安全级别设备来获得使用便利性,同时又不丧失高安全级别设备所存放核心数据的安全性。
Description
技术领域
本申请涉及数据处理技术领域,特别是涉及一种用户自主可控的精细化授权管理方法和装置。
背景技术
信息系统的数据安全性和使用便利性很难两全,高安全级别的应用在使用便利性上不能满足普通用户在日常、高频次使用应用场景下的快捷需求。比如在通过地铁闸机时,刷公交卡是非常便捷的方式之一,而口令加虹膜扫描加短信验证的多因子验证则完全不可能被用户接受。虽然公交卡丢失可能让用户损失一定的资金,但由于公交卡中的资金量很小,所以用户愿意承担一定的风险来提升自己的使用便利性。然而,用户身份可以具有多样化,身份信息数据逐渐增多,用户身份数据缺乏统一的管理机制。同时,随着需要身份验证的场合也越来越多,不同场合需要的身份数据不同,用户需要在办理各种身份凭证上花费大量时间,影响了便利性。因此,亟需一种用户自主可控的精细化授权管理方法。
发明内容
本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。
根据本申请的第一个方面,提供了一种用户自主可控的精细化授权管理方法,应用于第一用户的主设备,该方法包括:
第一安全信息获取步骤:获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
第一授权步骤:授予所述第一用户的从设备指定权限;
第一授权信息发送步骤:基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。
根据本申请的第二个方面,提供了一种用户自主可控的精细化授权管理方法,应用于第二用户的主设备,该方法包括:
第二安全信息获取步骤:获取第二用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
授权申请发送步骤:向第一用户的主设备发送授权申请;
授权数据处理步骤:在第一用户通过其主设备授予所述第二用户的从设备指定权限,该主设备生成第二授权信息并将所述第二授权信息发送给可信公共服务存证的情况下,接收第一用户的主设备发送的授权数据,并且将所述授权数据发送给第二用户的从设备。
根据本申请的第三个方面,提供了一种用户自主可控的精细化授权管理装置,应用于第一用户的主设备,,该装置包括:
第一安全信息获取模块,其配置成用于获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
第一授权模块,其配置成用于授予所述第一用户的从设备指定权限;
第一授权信息发送模块,其配置成用于基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。
根据本申请的第四个方面,提供了一种用户自主可控的精细化授权管理装置,应用于第二用户的主设备,包括:
第二安全信息获取模块,其配置成用于获取第二用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
授权申请发送模块,其配置成用于向第一用户的主设备发送授权申请;
授权数据处理模块,其配置成用于在第一用户通过其主设备授予所述第二用户的从设备指定权限,该主设备生成第二授权信息并将所述第二授权信息发送给可信公共服务存证的情况下,接收第一用户的主设备发送的授权数据,并且将所述授权数据发送给第二用户的从设备。
本申请提供的技术方案能够让用户自主将自己的部分权限授权给自己的低安全级别设备的方法,让用户使用低安全级别设备来获得使用便利性,同时又不丧失高安全级别设备所存放核心数据的安全性。
根据下文结合附图对本申请的具体实施例的详细描述,本领域技术人员将会更加明了本申请的上述以及其他目的、优点和特征。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解的是,这些附图未必是按比例绘制的。在附图中:
图1是根据本申请一个实施例的身份数据访问控制系统的示意性组成框图;
图2是根据本申请的一个实施例的用户自主可控的精细化授权管理系统的示意性组成框图;
图3是根据本申请的一个实施例的用户自主可控的精细化授权管理方法的示意性流程图;
图4是根据本申请的一个实施例的方法的授权撤销步骤的示意性框图;
图5是根据本申请的另一个实施例的用户自主可控的精细化授权管理系统的示意性组成框图;
图6是根据本申请的另一个实施例的用户自主可控的精细化授权管理方法的示意性流程图;
图7是根据本申请的一个实施例的方法的验证步骤的示意性流程图;
图8是根据本申请的一个实施例的具体应用场景的示意性框图;
图9是根据本申请的一个实施例的用户自主可控的精细化授权管理装置的示意性框图;
图10是根据本申请的另一个实施例的用户自主可控的精细化授权管理装置的示意性框图;
图11是本申请的计算设备的一个实施例的框图;
图12是本申请的计算机可读存储介质的一个实施例的框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本申请实施例,提供了一种身份数据访问控制系统。图1是根据本申请一个实施例的身份数据访问控制系统的示意性组成框图。该系统可以包括:
可信公共服务方,也称可信公共网络服务(装置A),用于提供可信公共服务,存证并公示用户、组织、机构的以下信息:(a)公钥和公开信息,例如,组织名称、官网地址等,(b)各参与者之间关联信息,(c)身份数据的验证信息。装置A提供公共网络服务和网络接口,允许身份发行方读写数据,允许用户和服务提供方读取数据。该装置具备的功能包括但不限于:公信机构注册(公钥存证)、强身份发行方注册(有公信机构签名)、弱身份发行方注册(无公信机构签名)、用户身份数据存证(仅用于数据验证)等。
身份发行方(装置B),通常部署在组织的内网,和组织的用户管理系统工作在一起;但在不同的应用场景下,也有个人用户可以作为独立的身份发行方,为其它用户发行弱身份,此时装置B可运行在用户手机等系统上。身份发行方提供网络或其它访问接口,让其用户能够直接或者间接访问装置B,在验证用户身份后,获取该用户专属的身份数据。在发放用户身份数据前,身份发行方需要将运行该装置的组织与其发放的用户身份进行关联,并将关联信息以及上述用户身份的验证信息存放在可信公共服务上。当身份发行方吊销用户身份或者修改用户的数据时,也必须及时在可信公共服务上做相应的更新。该装置B的功能包括但不限于:区块链访问代理、存放主密钥和派生密钥、已发放的身份数据、发放和吊销身份的编程接口等。
可信用户代理(装置C),是用户使用的身份系统的代理装置,通常部署在用户的手机和电脑上。装置C中保存了用户的主密钥和各派生密钥(供不同的身份和身份数据使用),以及用户的身份数据。装置C提供本地编程接口,为其它应用提供用户身份验证等服务。由于保存了大量的用户私密数据,装置C上的数据存储必须保证绝对安全,其密钥应保存在可靠的安全存储区内,对数据的访问必须首先验证用户的指纹、口令、面部等身份特征。在装置C对外提供用户数据时,无论是对本机的其它应用程序还是系统之外的第三方信息系统,必须获得用户的明确授权。装置C的功能包括但不限于:已获取的身份数据、主密钥和派生密钥、区块链访问代理、查看和接受身份的编程接口等。
服务提供方(装置D),通常和应用服务系统部署在一起,比如审核人员的电脑或手机中,门禁系统的闸机内,金融机构的KYC或者贷款等业务系统中。该装置D的功能包括但不限于:区块链访问代理、存放主密钥和派生密钥、请求和验证用户身份的编程接口等。
其中,装置A分别与装置B、装置C、装置D通过网络连接或非网络连接,装置C可以用装置B获取数据。对于同一个装置C,可以有一个或多个装置B为其发行身份,也可以有一个或多个装置D向其请求数据以提供服务。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc网络)等。非网络连接包括:WIFI、蓝牙、NFC、二维码扫描等。
在用户请求服务时,服务提供方向用户提出数据申请,用户在装置C上查阅并审批这些申请,在用户批准申请后,装置C向服务提供方发送数据,装置C通过可信公共服务上的公开信息,包括由公钥组成的信任链以及数据验证信息来验证用户的身份和资质。
实施例2
基于身份数据访问控制系统,本申请的实施例提供了一种用户自主可控的精细化授权管理系统。图2是根据本申请的一个实施例的用户自主可控的精细化授权管理系统的示意性组成框图。该系统包括:第一用户的主设备A1、第一用户的从设备B1、可信公共服务。其中,主设备可以是高安全级别终端,从设备可以是低安全级别设备或终端。主设备可以是身份数据访问控制系统的可信用户代理(装置C),该主设备从身份发行方获得并存储用户的身份数据后,用户可以通过如下操作向自己的其它从设备授权。
图3是根据本申请的一个实施例的用户自主可控的精细化授权管理方法的示意性流程图。基于上述系统,本申请的实施例提供了一种用户自主可控的精细化授权管理方法。该方法可以应用于第一用户的主设备。该方法可以包括:
S110第一安全信息获取步骤:获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备。
主设备可以通过二维码扫描、进场通信、网络通信等方式完成该步骤。该过程必须足够安全,即主设备在该过程中不可能得到伪造的从设备标识。所述安全信息包括但不限于以下信息中的一种或几种的组合:字符串、数字、证书公钥。
S120第一授权步骤:授予所述第一用户的从设备指定权限。在该步骤中,用户可以在主设备上确认,明确授予从设备至少一个指定的权限。
可选地,在该步骤中,授予所述第一用户的从设备指定权限,以使得所述第一用户的从设备在接收到服务提供方发送的身份验证请求的情况下,将与所述指定权限对应的身份证明发送给所述服务提供方,以便所述服务提供方向所述可信公共服务进行验证。
S130第一授权信息发送步骤:基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。
可选地,该步骤还包括:为所述指定权限设定过期时间,所述过期时间表征所述指定权限授权失效的时间。
可选地,在该步骤中,主设备向可信公共服务上传的数据必须能够证明主设备对从设备的授权,但并不代表主设备必须明文要求可信公共服务存储该授权的证明细节。利用零知识证明等技术,主设备在不透漏细节的情况下,同样在可信公共服务保存可查询、可验证的授权存证;
可选地,该方法还可以包括:
S140授权信息维护步骤:对所有授权信息进行查看、修改和/或删除操作。
在第一用户做出授权后,在其从设备丢失等情况下,第一用户需要在其主设备上撤销对其从设备的授权。
图4是根据本申请的一个实施例的方法的授权撤销步骤的示意性框图。可选地,该方法还可以包括:
S150第一授权信息撤销步骤:向可信公共服务发送撤销请求以撤销所述第一授权信息的存证。具体地,在该步骤中,第一用户在其主设备上撤销对其从设备的授权;第一用户的主设备向可信公共服务发出请求,撤销对第一用户的从设备的授权。
本申请提出了通过区块链等身份管理系统,让用户自主将自己的部分权限授权给自己的低安全级别设备的方法,让用户使用低安全级别设备来获得使用便利性,同时又不丧失高安全级别设备所存放核心数据的安全性。
可选地,该方法还包括:主设备通过安全路径向从设备发送必要的身份数据。在简单应用场景,例如权限非常简单的情况下,或者在特定的系统下,主设备不需要向从设备写入数据。在对从设备进行授权检查时,仅使用从设备的安全信息和从设备内保存的证书等信息,就足以对从设备的权限进行判定。
实施例3
在一种可能的应用场景下,用户同样可以将自己的权限授权给其他用户的设备,包括其他用户的主设备和从设备。其应用场景包括但不限于:授权自己的助理代表自己回复电子邮件;邀请访客参观工厂;或者授权保洁人员定期进入住宅打扫自己的房间等。
本申请的实施例提供了一种用户自主可控的精细化授权管理系统。图5是根据本申请的另一个实施例的用户自主可控的精细化授权管理系统的示意性组成框图。该系统可以包括:第一用户的主设备A1、第二用户的主设备A2、第二用户的从设备B2、可信公共服务。其中,主设备A1和A2可以是高安全级别终端,从设备B2可以是低安全级别设备或终端。主设备A1从身份发行方获得并存储用户的身份数据后,第一用户可以通过如下操作向第二用户的主设备和从设备授权。
基于上述系统,本申请的实施例提供了一种用户自主可控的精细化授权管理方法,应用于第二用户的主设备。图6是根据本申请的另一个实施例的用户自主可控的精细化授权管理方法的示意性流程图。该方法可以包括:
S210第二安全信息获取步骤:获取第二用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备。
S220授权申请发送步骤:向第一用户的主设备发送授权申请。
S230授权数据处理步骤:在第一用户通过其主设备授予所述第二用户的从设备指定权限,该主设备生成第二授权信息并将所述第二授权信息发送给可信公共服务存证的情况下,接收第一用户的主设备发送的授权数据,并且将所述授权数据发送给第二用户的从设备。
采用该方法,第一用户能够基于自己的身份对第二用户的主设备和/或从设备授权,以保证第二用户快速安全地进行验证,提高了验证效率。
以第一用户授权访客(第二用户)使用非接触IC卡(第二用户的从设备)通过公司门禁系统为例,该授权操作的过程如下所述:
1.第一用户通过主设备对访客发送邀请,该步骤为可选步骤;
2.访客的主设备获得自己从设备的第二安全信息;
3.访客的主设备对访客的从设备的第二安全信息进行签名;
4.访客的主设备将授权申请发送给第一用户的主设备,其中,授权申请包括:包含主设备签名的从设备第二安全信息,发送途径包括但不限于:直接网络连接、通过可信安全代理的网络连接、近场通信、二维码扫描等方式;
5.第一用户主设备接收访客的主设备发送的授权申请,验证访客的主设备数字签名,并提取访客的从设备的第二安全信息;
6.第一用户明确允许自己的主设备授权访客的从设备在特定时间内通过公司的门禁系统,用户的主设备将第二授权信息发送到可信公共服务进行存证;
7.用户的主设备保存对访客的第二授权信息;
8.可选地,根据上述授权,第一用户的主设备可能需要向访客的主设备发送必要的授权数据;
9.可选地,访客的主设备可能需要向访客的从设备发送必要的授权数据。
在第一用户做出授权后,在访客的从设备丢失等情况下,第一用户需要在其主设备上撤销对访客的从设备的授权,该过程可以包括:
(1)第一用户在其主设备上撤销对第二用户的从设备的授权;
(2)第一用户的主设备向可信公共服务发出请求,撤销对第二用户的从设备的授权。
实施例4
在上述的任一个系统或者方法中,还可以包括验证环节或者步骤。当第一用户或者第二用户使用其从设备发起服务请求时,服务提供方需要验证该从设备的权限。图7是根据本申请的一个实施例的方法的验证步骤的示意性流程图。其验证流程可以包括以下步骤中的部分或全部:
1.服务提供方要求该从设备出示身份凭证,在请求中可能包括以下信息中的一个或多个:
(1)服务提供方的身份证明;
(2)服务提供方所提供服务的描述信息;
(3)针对该服务请求,服务提供方需要验证的身份数据列表;
2.从设备向服务提供方发送自己的身份证明:
(1)如果存证主设备,例如,第一用户的主设备和/或第二用户的主设备针对该授权向从设备发送了特定的身份数据,从设备应该将这些数据和自己的身份证明同时发送给服务提供方;
3.服务提供方通过可信公共服务,验证从设备的身份数据和授权:
(1)根据数字签名等信息,验证从设备的身份安全信息;
(2)根据主设备在可信公共服务上留存的授权信息,验证该授权是否依然有效。
图8是根据本申请的一个实施例的具体应用场景的示意性框图。具体地,以第一用户从手机(主设备)向自己的非接触IC卡(从设备)发放授权,允许该非接触IC卡打开已经入住的酒店房门为例,其信息交互过程可以包括以下步骤中的部分或全部:
1、酒店信息系统(身份发行方)授权该用户入住某房间,并将授权发送给可信公共服务;
2、用户手机从酒店信息系统获取授权数据,该过程可能需要通过可信公共服务或者安全代理进行数据交换;
3、用户手机读取门卡的安全信息;
4、用户在手机上授权该门卡开门的权限;
5、用户手机将授权发送给可信公共服务进行存证;
6、用户手机向门卡写入授权数据。
当该用户需要使用门卡打开房门时,
A用户出示该门卡;
B门卡将身份证明发送给酒店房间门锁(服务提供方)
C酒店房间门锁基于可信公共服务对该授权进行验证,根据验证结果打开房间门锁,或者不执行打开房间门锁的操作并通知用户。
在本申请公开的基于区块链的用户自主可控的精细化授权管理机制下,用户可以将自身拥有的部分权限从高安全级别设备授权给自己或他人的其它低安全级别的设备。低安全级别的设备通常具有更好的易用性,因此可以加快用户获取服务,例如,闸机等物理完全系统、邮箱等网络信息系统、以及酒店入住等线下服务时的身份验证速度。在丢失、被盗、被黑客攻击后,由于低安全级别设备上仅仅保存了用户非常有限的数据和权限,因此和高安全级别设备丢失、被盗、被黑客攻击相比,其可能造成的损失要低得多。
实施例5
根据本申请实施例,还提供了一种用户自主可控的精细化授权管理装置,应用于第一用户的主设备。图9是根据本申请的一个实施例的用户自主可控的精细化授权管理装置的示意性框图。该装置可以包括:
第一安全信息获取模块110,其配置成用于获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
第一授权模块120,其配置成用于授予所述第一用户的从设备指定权限;和
第一授权信息发送模块130,其配置成用于基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。
根据本申请实施例,还提供了一种用户自主可控的精细化授权管理装置,应用于第二用户的主设备。图10是根据本申请的另一个实施例的用户自主可控的精细化授权管理装置的示意性框图。该装置可以包括:
第二安全信息获取模块210,其配置成用于获取第二用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
授权申请发送模块220,其配置成用于向第一用户的主设备发送授权申请;
授权数据处理模块230,其配置成用于在第一用户通过其主设备授予所述第二用户的从设备指定权限,该主设备生成第二授权信息并将所述第二授权信息发送给可信公共服务存证的情况下,接收第一用户的主设备发送的授权数据,并且将所述授权数据发送给第二用户的从设备。
本申请提供的装置能够让用户自主将自己的部分权限授权给自己的低安全级别设备的方法,让用户使用低安全级别设备来获得使用便利性,同时又不丧失高安全级别设备所存放核心数据的安全性。
实施例6
本申请的实施例的一个方面提供了一种计算设备,参照图11,该计算设备包括存储器1120、处理器1110和存储在所述存储器1120内并能由所述处理器1110运行的计算机程序,该计算机程序存储于存储器1120中的用于程序代码的空间1130,该计算机程序在由处理器1110执行时实现用于执行任一项根据本申请的方法步骤1131。
本申请的实施例的一个方面还提供了一种计算机可读存储介质。参照图12,该计算机可读存储介质包括用于程序代码的存储单元,该存储单元设置有用于执行根据本申请的方法步骤的程序1131’,该程序被处理器执行。
本申请实施例的一个方面还提供了一种包含指令的计算机程序产品,包括计算机可读代码,当所述计算机可读代码由计算设备执行时,导致所述计算设备执行如上所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、获取其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令处理器完成,所述的程序可以存储于计算机可读存储介质中,所述存储介质是非短暂性(英文:non-transitory)介质,例如随机存取存储器,只读存储器,快闪存储器,硬盘,固态硬盘,磁带(英文:magnetic tape),软盘(英文:floppy disk),光盘(英文:optical disc)及其任意组合。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种用户自主可控的精细化授权管理方法,应用于第一用户的主设备,该方法包括:
第一安全信息获取步骤:获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
第一授权步骤:授予所述第一用户的从设备指定权限;和
第一授权信息发送步骤:基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。
2.根据权利要求1所述的方法,其特征在于,在所述第一安全信息获取步骤中:所述安全信息包括但不限于以下信息中的一种或几种的组合:字符串、数字、证书公钥。
3.根据权利要求1所述的方法,其特征在于,所述第一授权步骤还包括:为所述指定权限设定过期时间,所述过期时间表征所述指定权限授权失效的时间。
4.根据权利要求1所述的方法,其特征在于,该方法还包括:
授权存证维护步骤:对所有授权存证进行查看、修改和/或删除操作。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在第一授权信息发送步骤中,不要求所述可信公共服务存储该所述第一授权信息存证的证明细节。
6.根据权利要求1所述的方法,其特征在于,该方法还包括:
第一授权信息撤销步骤:向可信公共服务发送撤销请求以撤销所述第一授权信息的存证。
7.根据权利要求1所述的方法,其特征在于,在所述第一授权步骤中,授予所述第一用户的从设备指定权限,以使得所述第一用户的从设备在接收到服务提供方发送的身份验证请求的情况下,将与所述指定权限对应的身份证明发送给所述服务提供方,以便所述服务提供方向所述可信公共服务进行验证。
8.一种用户自主可控的精细化授权管理方法,应用于第二用户的主设备,该方法包括:
第二安全信息获取步骤:获取第二用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
授权申请发送步骤:向第一用户的主设备发送授权申请;和
授权数据处理步骤:在第一用户通过其主设备授予所述第二用户的从设备指定权限,该主设备生成第二授权信息并将所述第二授权信息发送给可信公共服务存证的情况下,接收第一用户的主设备发送的授权数据,并且将所述授权数据发送给第二用户的从设备。
9.一种用户自主可控的精细化授权管理装置,应用于第一用户的主设备,该装置包括:
第一安全信息获取模块,其配置成用于获取第一用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
第一授权模块,其配置成用于授予所述第一用户的从设备指定权限;和
第一授权信息发送模块,其配置成用于基于所述第一用户的从设备和所述指定权限生成第一授权信息,并将所述第一授权信息发送给可信公共服务存证。
10.一种用户自主可控的精细化授权管理装置,应用于第二用户的主设备,包括:
第二安全信息获取模块,其配置成用于获取第二用户的从设备的安全信息,其中,所述安全信息能够全局地或局部地标识该从设备;
授权申请发送模块,其配置成用于向第一用户的主设备发送授权申请;和
授权数据处理模块,其配置成用于在第一用户通过其主设备授予所述第二用户的从设备指定权限,该主设备生成第二授权信息并将所述第二授权信息发送给可信公共服务存证的情况下,接收第一用户的主设备发送的授权数据,并且将所述授权数据发送给第二用户的从设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910040993.8A CN109801418A (zh) | 2019-01-16 | 2019-01-16 | 用户自主可控的精细化授权管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910040993.8A CN109801418A (zh) | 2019-01-16 | 2019-01-16 | 用户自主可控的精细化授权管理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109801418A true CN109801418A (zh) | 2019-05-24 |
Family
ID=66559514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910040993.8A Pending CN109801418A (zh) | 2019-01-16 | 2019-01-16 | 用户自主可控的精细化授权管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109801418A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110706379A (zh) * | 2019-09-20 | 2020-01-17 | 广州广电运通金融电子股份有限公司 | 基于区块链的门禁访问控制方法和装置 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN112417399A (zh) * | 2020-11-18 | 2021-02-26 | 努比亚技术有限公司 | 分级授权方法、移动终端及计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105034980A (zh) * | 2015-06-11 | 2015-11-11 | 苏州翊高科技有限公司 | 蓝牙车环 |
| CN106163887A (zh) * | 2014-02-07 | 2016-11-23 | 金洸佑 | 可对锁定系统进行无线控制及控制权限传送的电子密钥装置、系统及其方法 |
| WO2017023646A1 (en) * | 2015-08-05 | 2017-02-09 | Honeywell International Inc. | Devices and systems for access control |
| CN107093228A (zh) * | 2016-02-17 | 2017-08-25 | 腾讯科技(深圳)有限公司 | 应用于电子锁具的授权方法、装置及系统 |
| CN107646127A (zh) * | 2015-06-02 | 2018-01-30 | 索尼公司 | 锁控制设备、信息处理方法、程序和通信设备 |
| CN109102600A (zh) * | 2018-07-19 | 2018-12-28 | 重庆信必达科技有限公司 | 小区门禁权限管理方法及系统 |
-
2019
- 2019-01-16 CN CN201910040993.8A patent/CN109801418A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106163887A (zh) * | 2014-02-07 | 2016-11-23 | 金洸佑 | 可对锁定系统进行无线控制及控制权限传送的电子密钥装置、系统及其方法 |
| CN107646127A (zh) * | 2015-06-02 | 2018-01-30 | 索尼公司 | 锁控制设备、信息处理方法、程序和通信设备 |
| CN105034980A (zh) * | 2015-06-11 | 2015-11-11 | 苏州翊高科技有限公司 | 蓝牙车环 |
| WO2017023646A1 (en) * | 2015-08-05 | 2017-02-09 | Honeywell International Inc. | Devices and systems for access control |
| CN107093228A (zh) * | 2016-02-17 | 2017-08-25 | 腾讯科技(深圳)有限公司 | 应用于电子锁具的授权方法、装置及系统 |
| CN109102600A (zh) * | 2018-07-19 | 2018-12-28 | 重庆信必达科技有限公司 | 小区门禁权限管理方法及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110706379A (zh) * | 2019-09-20 | 2020-01-17 | 广州广电运通金融电子股份有限公司 | 基于区块链的门禁访问控制方法和装置 |
| CN110706379B (zh) * | 2019-09-20 | 2022-03-11 | 广州广电运通金融电子股份有限公司 | 基于区块链的门禁访问控制方法和装置 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN111814131B (zh) * | 2020-06-15 | 2024-03-08 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN112417399A (zh) * | 2020-11-18 | 2021-02-26 | 努比亚技术有限公司 | 分级授权方法、移动终端及计算机可读存储介质 |
| CN112417399B (zh) * | 2020-11-18 | 2023-08-11 | 努比亚技术有限公司 | 分级授权方法、移动终端及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10636240B2 (en) | Architecture for access management | |
| US10999268B2 (en) | System and method for electronic credentials | |
| US11645593B2 (en) | Use of identity and access management for service provisioning | |
| CN114631286B (zh) | 具有自定义逻辑的加密资产托管系统 | |
| KR20200107768A (ko) | 블록체인 네트워크를 활용하는 자산 관리 시스템 | |
| JP2019219780A (ja) | 個人情報管理システム、サービス提供システム、方法およびプログラム | |
| JP2018537022A (ja) | デジタルアイデンティティを管理するためのシステム及び方法 | |
| CN103378987B (zh) | 用于对多个安全域进行策略管理的方法和系统 | |
| CN104168304B (zh) | Vdi环境下的单点登录系统及方法 | |
| WO2015116998A2 (en) | Electronic transfer and obligation enforcement system | |
| CN109801418A (zh) | 用户自主可控的精细化授权管理方法和装置 | |
| KR102190192B1 (ko) | 오픈뱅킹 환경에서의 개방형 인증 중개 서비스 제공 방법, 시스템 및 애플리케이션 | |
| JP2020135651A (ja) | 認可システム、管理サーバおよび認可方法 | |
| CN113704723B (zh) | 基于区块链的数字身份核验方法、装置及存储介质 | |
| Kumar et al. | e-Authentication framework for e-governance review paper | |
| Ozdenizci et al. | Research Article A Tokenization-Based Communication Architecture for HCE-Enabled NFC Services | |
| CN117455489A (zh) | 交易授权方法、装置、设备及存储介质 | |
| MacGregor et al. | SP 800-116. A Recommendation for the Use of PIV Credentials in Physical Access Control Systems (PACS) | |
| KR20140069740A (ko) | 천주교 단체의 자금 관리 방법, 이를 실행하는 서버 및 이를 실행하는 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190524 |