CN109981665B - 资源提供方法及装置、资源访问方法及装置和系统 - Google Patents

资源提供方法及装置、资源访问方法及装置和系统 Download PDF

Info

Publication number
CN109981665B
CN109981665B CN201910257436.1A CN201910257436A CN109981665B CN 109981665 B CN109981665 B CN 109981665B CN 201910257436 A CN201910257436 A CN 201910257436A CN 109981665 B CN109981665 B CN 109981665B
Authority
CN
China
Prior art keywords
party
resource
user
access
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910257436.1A
Other languages
English (en)
Other versions
CN109981665A (zh
Inventor
孙吉平
李永建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Wikipedia Technology Co ltd
Original Assignee
Beijing Wikipedia Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Wikipedia Technology Co ltd filed Critical Beijing Wikipedia Technology Co ltd
Priority to CN201910257436.1A priority Critical patent/CN109981665B/zh
Publication of CN109981665A publication Critical patent/CN109981665A/zh
Application granted granted Critical
Publication of CN109981665B publication Critical patent/CN109981665B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

一种资源提供方法,包括:通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息;对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据;对目标用户数据和第一校验数据进行加密得到密文并将密文发送给接入方应用,以便接入方获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验。本发明实施例还提供了资源提供装置、资源访问方法及装置。通过本发明实施例的方案,能够在接入方与被接入方之间采用公私钥来进行用户数据以及资源选择的校验和加密传输,实现了用户资源访问的双向验证,从而能够有效地保证用户资源访问安全。

Description

资源提供方法及装置、资源访问方法及装置和系统
技术领域
本发明涉及信息安全技术领域,特别涉及一种资源提供方法及装置、资源访问方法、装置以及资源访问系统。
背景技术
在互联网高速发展的今天,各式各样的互联网软件或系统,给越来越多的人带来了便捷,越来越多的人们喜欢上了这种便捷。在用户使用过程中产生了很多有价数据,这些数据应该都属于用户所有。然而,现在有很多互联网应用不经用户授权而非法使用,也有一些不法之徒嗅到了“商机”,通过互联网的各种途径窃取用户的信息,谋取利益。从而,一方面需要保证只有用户授权访问的数据资源才能被访问,未授权的不能够越权访问;另一方面需要保证用户数据传输链路上的安全,不能被非法的盗取。
目前,大多数互联网公司都使用OAuth(开放鉴权)+OpenId(开放标识)的架构来提供第三方接入,在从被接入方平台登录的时候允许用户授权接入方访问该用户在被接入方平台产生的数据资源,由于协议较为复杂,容易出现漏洞;通信协议上即便使用HTTPS来保证通信链路的安全性,但是使用“中间人攻击”也能够获取到用户的信息。
发明内容
有鉴于此,本发明实施例提供了一种资源提供方法、资源访问方法及装置,能够以便捷的方式保证在第三方接入时数据传输的安全。
为此,一方面,本申请实施例提供了一种资源提供方法,应用于被接入方,该方法包括:通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息;对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;对目标用户数据和第一校验数据进行加密得到密文并将密文发送给接入方应用,以便接入方基于接入方私钥从所述密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验。
另一方面,本申请实施例提供了一种资源提供装置,应用于被接入方,包括:通信单元,其配置为通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息;安全处理单元,其配置为对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到密文,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识,所述通信单元还配置为将所述密文发送给接入方应用,以便接入方基于接入方私钥从所述密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验。
再一方面,本申请实施例提供了一种资源提供装置,应用于被接入方,包括处理器,所述处理器配置为运行预定的计算机指令以执行上述任一实施例中所述的方法。
另一方面,本申请实施例提供了一种资源访问方法,应用于接入方,该方法包括:通过接入方应用接收到访问请求后,根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;通过接入方应用从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
再一方面,本申请实施例提供了一种资源访问装置,包括服务端和安装在终端设备的接入方应用,其中:接入方应用包括:用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;重定向接口,其配置为从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;服务端包括:通信单元,其配置为从接入方应用接收用户数据密文;处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
另一方面,本申请实施例提供了一种资源访问装置,其包括处理器,所述处理器配置为运行预定的计算机指令以执行上述任一实施例中所述的方法。
再一方面,本申请实施例提供了一种资源访问系统,包括被接入方服务器、接入方服务器以及安装在终端设备的接入方应用,其中:所述接入方应用包括:用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;重定向接口,其配置为从被接入方接收用户数据密文;所述被接入方服务器包括:第一通信单元,其被配置为接收所述用户登录信息,并发送所述用户数据密文;第一处理单元,其被配置为对所述用户登录信息验证,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到所述用户数据密文,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;所述接入方服务器包括:第二通信单元,其配置为从所述接入方应用接收所述用户数据密文;处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
通过本发明实施例的资源提供方法、资源访问方法及装置,能够在接入方与被接入方之间采用公私钥来进行用户数据以及资源选择的校验和加密传输,实现了用户资源访问的双向验证,从而能够有效地保证用户资源访问安全。
附图说明
图1为本发明的资源提供方法的一个实施例的示意性流程图。
图2为本发明的资源提供方法的另一实施例的示意性流程图。
图3A为本发明的资源提供方法的另一实施例的示意性流程图。
图3B为本发明的资源提供方法的另一实施例的示意性流程图。
图4A-4F为本发明一个实施例的资源提供方法的概要示意图。
图5为本发明的资源提供装置的一个实施例的示意性框图。
图6为本发明的资源访问方法的一个实施例的示意性流程图。
图7为本发明的资源访问方法的另一实施例的示意性流程图。
图8A为本发明的资源访问方法的另一实施例的示意性流程图。
图8B为本发明的资源访问方法的另一实施例的示意性流程图。
图9为本发明的资源访问装置的一个实施例的示意性框图。
图10为本发明的资源访问系统的一个实施例的示意性框图。
具体实施方式
下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
应理解的是,可以对此处公开的实施例做出各种变型。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他变型。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本申请实施例。
图1为本发明的资源提供方法的一个实施例的示意性流程图。本发明实施例的资源提供方法应用于被接入方。如图1所示,本发明的资源提供方法包括:
S11:通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息。
S12:对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,目标用户数据包括与资源项选择信息对应的第一资源项标识。
S13:对目标用户数据和第一校验数据进行加密得到密文并将密文发送给接入方应用,以便接入方基于接入方私钥从密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验。
具体地,在本发明的实施例中,接入方应用可以是接入方开发的用于向用户提供应用服务的独立应用程序,也可以是终端设备上的浏览器,用户可以通过浏览器访问接入方的网站并进行登录。接入方通过接入方应用从用户接收访问请求,例如用户需要登录到接入方应用来使用其具体功能服务时,通过操作接入方应用的用户界面发出访问请求,用户界面上可以提示是否选择以第三方账号登录,例如以多个图标的形式展示多个第三方服务商时,用户可以点选其中的一个图标来选定被接入方。被接入方可以为另一服务器并且与接入方进行通信。被接入方可以是用户数据的拥有方,接入方可以为用户数据的使用方。作为一个具体的实施例,接入方例如可以是一个服务器,被接入方可以是另一服务器,两者由不同的运营商进行操作。
根据用户的选择操作,接入方可以从接入方应用重定向至用户选中的被接入方的登录界面,以便用户在该被接入方的登录界面输入用户在该被接入方的用户账号的登录信息。在该被接入方的登录界面上,除了用于使用户输入登录信息的输入框之外,还可以设置有用户资源信息项选择勾选框,用户资源信息项例如可以包括是否允许访问用户的头像、昵称、email地址、联系电话、个人简介、关注列表、粉丝列表等等,每个信息项对应一个勾选框,以便用户能够根据自己的需求进行相应的勾选。
用户完成登录信息的输入以及资源项的勾选和提交后,被接入方接收该登录信息和资源项选择信息,并对接收的登录信息进行验证,如验证通过,表明该用户为被接入方的注册用户,并且表明上述通过登录被接入方来登录接入方应用的请求是该用户提交的,则被接入方进行将目标用户数据传输给接入方应用的处理。所传输的目标用户数据中包括与资源项选择信息对应的第一资源项标识,用于标记用户将与该资源项选择信息对应的用户资源信息授权被接入方共享给接入方。
在传输目标用户数据之前,被接入方可以预先生成一对公私钥,并且还可以为接入方生成或分配一个唯一标识,用以表示是哪个接入方请求使用目标用户数据,并将该公钥和唯一标识提交给该接入方。此外,接入方也可以预先生成一对公私钥,将其中的公钥提交给被接入方。
目标用户数据还可以包括接入方在被接入方处的唯一标识和用户信息数据。当接入方为应用时,该唯一标识可以是唯一应用标识,如AppId。用户信息数据例如可以包括用户在被接入方处的唯一标识,该唯一标识可以与用户在被接入方处的登录信息、数字资源、个人资料信息等关联存储。例如,在被接入方为第三方登录服务器的情况下,接入方得到用户信息数据后,每次用户通过登录被接入方来登录接入方时,接入方可以通过校验从被接入方发来的用户信息数据来确定用户已经通过了被接入方的登录验证,从而使得用户在接入方进入登录状态。
在本发明实施例中,被接入方基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,第一校验数据用于接入方对被接入方进行验证,因为接入方只有使用正确的被接入方公钥才能对第一校验数据进行验证通过。被接入方将第一校验数据和目标用户数据一同加密得到密文并发送给接入方,是为了对接入方进行验证,因为只有特定的接入方才持有密文解密过程所需的私钥,才能从密文中得到目标用户数据和第一校验数据。如此,实现了接入方和被接入方之间的双向验证。
在本发明实施例中,被接入方生成第一校验数据的规则例如可以是使用被接入方私钥对目标用户数据进行签名运算生成数字签名,可以是使用被接入方私钥对目标用户数据的预定部分进行签名运算生成数字签名,也可以是使用被接入方私钥对目标用户数据的关键部分进行签名,具体生成第一校验数据的规则可以预先与接入方协商,以便接入方使用对应的规则基于被接入方公钥对第一校验规则进行验证。数字签名算法可以是任意的,例如DSA签名算法、RSA签名算法、SM2、ECC算法等。
通过本发明实施例的资源提供方法,能够在接入方与被接入方之间采用公私钥来进行用户数据以及资源选择的校验和加密传输,实现了资源访问的双向验证,从而能够有效地保证资源访问的安全。在将本发明实施例的方案应用于第三方登录时,即便不法分子截获了用户数据,由于他们并没有接入方的私钥,也不能够解密获得用户数据的明文数据,而且用户数据也无法被篡改或仿冒,从而有效地避免了不法分子对“隐蔽重定向”漏洞的利用。
在本发明一个实施例中,图1所示实施例还可以包括:
S14:从接入方应用接收到资源访问请求包时,基于被接入方私钥从资源访问请求包中获得第二资源项标识。
S15:基于第一资源项标识对第二资源项标识进行验证,如验证通过,基于约定算法并使用接入方公钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文并返回给接入方应用。
在本发明实施例中,用户授权被接入方将与用户选中的资源项对应的用户资源信息共享给接入方,被接入方将与资源项选择信息对应第一资源项标识发送给接入方,使得接入方可以基于资源项标识来向被接入方请求相应的资源,具体而言,接入方可以将需要请求的用户资源信息对应的资源项标识(为便于说明,记为第二资源项标识)和其他需要发送的信息一起用被接入方公钥加密并通过资源访问请求包发送给被接入方。被接入方从接入方接收到资源访问请求包后,使用被接入方的私钥对资源访问请求包中的密文数据进行解密得到第二资源项标识,将第二资源项标识与先前存储的第一资源项标识进行比较,如果与所述第一资源项标识中的指示一项或多项的用户资源的部分标识一致,则调取与第二资源项标识对应的用户资源信息使用接入方公钥进行加密生成用户资源信息密文返回给接入方应用。接入方应用接收到用户资源信息密文后,使用接入方私钥进行解密得到所请求的用户资源信息。
在本发明实施例中,由于从接入方应用接收到资源访问请求包时利用资源项标识再次进行了验证,因此更加保证了资源访问的安全性。
在本发明另一个实施例中,接入方在发送上述的资源访问请求包时,还使用接入方私钥对第二资源项标识进行运算生成第二资源项标识的校验数据,为便于表述该校验数据称为第二校验数据。第二校验数据可以是使用接入方私钥对第二资源项标识进行签名运算生成的数字签名,可以是使用接入方私钥对第二资源项标识的预定部分进行签名运算生成的数字签名,也可以是使用接入方私钥对第二资源项标识的关键部分进行签名,具体生成第二校验数据的规则可以预先与被接入方协商。接入方将第二资源项标识、第二校验数据和其他需要发送给被接入方的数据一起用被接入方公钥加密后通过资源访问请求包发送给被接入方。被接入方从接入方接收到资源访问请求包后,使用被接入方的私钥对资源访问请求包中的密文数据进行解密得到第二资源项标识和第二校验数据,根据与接入方协商的生成第二校验数据的规则,使用接入方公钥对第二校验数据进行校验,如果校验失败,则确定解密得到的第二资源项标识为非法数据,丢弃该请求包;如果校验通过,则确定解密得到的第二资源项标识为合法数据,将第二资源项标识与先前存储的第一资源项标识进行比较,如果与所述第一资源项标识中的指示一项或多项的用户资源的部分标识一致,则调取与第二资源项标识对应的用户资源信息进行加密生成用户资源信息密文返回给接入方应用。
图2为本发明的资源提供方法的另一实施例的示意性流程图。如图2所示,本发明的资源提供方法包括:
S201:通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息。
S202:对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,目标用户数据包括与资源项选择信息对应的第一资源项标识。
S203:对目标用户数据和第一校验数据进行加密得到密文并将密文发送给接入方应用,以便接入方基于接入方私钥从密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验。
S204:从接入方应用接收到资源访问请求包时,基于被接入方私钥从资源访问请求包中获得第二资源项标识。
S205:基于第一资源项标识对第二资源项标识进行验证,如验证通过,则执行步骤S206,否则结束处理。
S206:基于约定算法并使用被接入方私钥对第二资源项标识对应的用户资源信息进行处理得到第三校验数据。
S207:对用户资源信息和第三校验数据进行加密得到用户资源信息密文。
S208:将用户资源信息密文返回给接入方应用。
本发明实施例中除了S206-S207之外的步骤在前述实施例中已经有相应说明,下面详细说明S206-S207。具体而言,在本发明实施例中,被接入方在从接入方应用接收到资源访问请求包并对请求包中的第二资源项标识验证通过后,查询并获取到与第二资源项标识对应的用户资源信息,基于约定算法并使用被接入方私钥对用户资源信息进行处理得到第三校验数据,然后使用接入方公钥对用户资源信息和第三校验数据进行加密得到用户资源信息密文并发送给接入方应用。这里的约定算法例如可以是使用被接入方私钥对用户资源信息进行签名运算生成数字签名,可以是使用被接入方私钥对用户资源信息的预定部分进行签名运算生成数字签名,也可以是使用接入方私钥对用户资源信息的关键部分进行签名,具体生成第三校验数据的规则可以预先与接入方协商。接入方应用接收到用户资源信息密文后,使用接入方私钥进行解密得到用户资源信息和第三校验数据,并使用对应的算法基于被接入方公钥对第三校验数据进行校验,校验通过后确认解密得到的用户资源信息即为所请求的用户资源信息。
图3A为本发明的资源提供方法的另一实施例的示意性流程图。
S31:通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息。
S32:对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,目标用户数据包括与资源项选择信息对应的第一资源项标识。
S33:使用第一随机密钥对目标用户数据和第一校验数据进行加密得到第一密文。
S34:使用接入方公钥对第一随机密钥进行加密得到第二密文。
S35:将第一密文和第二密文按预定格式进行组装后发送给接入方应用。
在本发明实施例中,被接入方使用约定的算法对目标用户数据进行处理得到第一校验数据后,先使用第一随机密钥对目标用户数据和第一校验数据进行加密生成第一密文,再用接入方公钥对第一随机密钥进行加密生成第二密文,然后将第一密文和第二密文按预定格式组装成用户数据密文后发送给接入方。
在本发明实施例中,随机密钥可以为任意的,例如由机器生成的伪随机密钥。本发明实施例中,使用第一随机密钥对目标用户数据和第一校验数据进行加密得到第一密文,可以是任意的,例如可以是对目标用户数据和第一校验数据作为整体加密,也可以对其中的一者或部分进行加密,然后对整体再次加密。此外,还可以对目标用户数据和第一校验数据的预定部分进行多次加密。本发明实施例中,使用接入方公钥对第一随机密钥进行加密得到第二密文,也可以是任意的方式,例如,利用接入方公钥对第一随机密钥加密,可以是利用接入方公钥对第一随机密钥进行部分加密,也可以对第一随机密钥进行全部加密,或者可以是对第一随机密钥进行预定次数的加密。
接入方接收到用户数据密文后,能够按照预定格式从中提取出第一密文和第二密文,从而使用接入方的私钥对第二密文解密得到第一随机密钥,进而用第一随机密钥对第一密文解密得到目标用户数据和第一校验数据,从而接入方能够基于目标用户数据并使用被接入方公钥对第一校验数据进行验证,如果对第一校验数据验证通过,则认为目标用户数据为可信数据,否则认为目标用户数据已经被非法篡改或者是仿冒数据,弃用该目标用户数据。
在本发明实施例中,被接入方将第一密文和第二密文按预定格式进行组装后发送给接入方,使得接入方能够按照预定格式从中提取出第一密文和第二密文,从而使用接入方的私钥对第二密文解密得到第一随机密钥,进而用第一随机密钥对第一密文解密得到目标用户数据和第一校验数据。
在本发明一个实施例中,第一校验数据可以是数字签名。目标用户数据在传输之前,被接入方事先对目标用户数据进行安全处理,用自己的私钥对目标用户数据进行签名,然后生成一个随机密钥作为对称密钥,用该密钥将“目标用户数据+数字签名”加密,然后用接入方的公钥将随机密钥加密,然后将加密的目标用户数据、数字签名、密钥的密文按照预定格式打包在一起发送给接入方。
本发明实施例在这个过程中同样实现了被接入方和接入方之间的双向验证,被接入方用自己的私钥对目标用户数据进行了签名,防止任何中间传输过程中目标用户数据被篡改,因为只有被接入方拥有用于签名的这个私钥;而且被接入方用接入方的公钥对目标用户数据和数字签名加了密或者用接入方的公钥对用于加密目标用户数据的密钥进行了加密,从而能够防止在任何中间传输途径被解密看到明文数据,因为只有接入方拥有解密过程所需的私钥。在此过程中保证了数据密文,不可被篡改,不可被仿冒,即便被窃取也获得不到用户数据的明文信息,有效的保证了数据的安全,避免了“隐蔽重定向”等漏洞。
图3B为本发明的资源提供方法的另一实施例的示意性流程图。如图3B所示的资源提供方法应用于被接入方,本实施例的资源提供方法包括:
S301:从接入方应用接收到资源访问请求包时,基于约定算法并使用被接入方私钥对与资源访问请求包对应的用户资源信息进行处理得到第三校验数据;
S302:对用户资源信息和第三校验数据进行加密得到用户资源信息密文并返回给接入方应用,以便接入方基于接入方私钥从用户资源信息密文获得用户资源信息和第三校验数据,并使用被接入方公钥对第三校验数据进行校验。
本发明实施例中,被接入方从接入方应用接收到资源访问请求时,查找与资源访问请求包对应的用户资源信息,例如可以根据资源访问请求中的标识信息或者关联信息查找到对应存储的用户资源信息。被接入方使用被接入方私钥对查找到的用户资源信息进行处理生成第三校验数据,例如使用被接入方私钥基于约定算法对用户资源信息进行签名处理生成第二数字签名作为第三校验数据,或者使用被接入方私钥基于约定算法对用户资源信息的预定部分或关键部分进行签名或加密等处理生成第三校验数据,具体生成第三校验数据的规则可以预先与接入方进行协商。生成第三校验数据后,被接入方对用户资源信息和第三校验数据进行加密得到用户资源信息密文并发送给接入方应用。接入方应用接收到用户资源信息密文后,使用接入方私钥从用户资源信息密文得到用户资源信息密文和第三校验数据,然后基于对应的规则使用被接入方公钥对第三校验数据进行校验。
本发明实施例的资源提供方法采用了接入方的公私钥和被接入方的公私钥对接入方和被接入方之间传输的用户资源信息进行双向验证,从而以较低通信成本的方式保证了用户资源信息的传输安全。在将本发明实施例的方案应用于第三方登录时,即便不法分子截获了用户数据,由于他们并没有接入方的私钥,也不能够解密获得用户数据的明文数据,而且用户数据也无法被篡改或仿冒,从而有效地避免了不法分子对“隐蔽重定向”漏洞的利用。
根据本发明一个实施例,被接入方对用户资源信息和第三校验数据进行加密得到用户资源信息密文并返回给接入方应用可以包括:使用接入方公钥对用户资源信息和第三校验数据进行加密得到用户资源信息密文并返回给接入方应用。接入方应用接收到用户资源信息密文后,使用接入方私钥对用户资源信息密文直接解密得到用户资源信息和第三校验数据。
根据本发明的另一实施例,被接入方对用户资源信息和第三校验数据进行加密得到用户资源信息密文并返回给接入方应用可以包括:使用第二随机密钥对用户资源信息和第三校验数据进行加密得到第三密文;使用接入方公钥对第二随机密钥进行加密得到第四密文;将第三密文和第四密文按预定格式进行组装后发送给接入方应用。接入方应用接收到由第三密文和第四密文组成的密文数据后,从中提取第三密文和第四密文,使用接入方私钥对第四密文解密得到第二随机密钥,使用解密得到的第二随机密钥对第三密文解密得到用户资源信息和第三校验数据。
图4A-4F为本发明一个实施例的资源提供方法的概要示意图。在本发明的实施例中,具体地:
一、用户接入方式参见图4A所示:
需要具体说明,用户在进行a过程的访问时,客户端上的接入方应用在b过程中重定向到被接入方的登录界面进行用户向被接入方用户系统的登录,用户在c登录过程中,需要将用户在被接入方账号中心或者使用被接入方账号中心的应用产生的数据资源的列表以资源选项的方式列出,供用户进行选择授权,用户选中的资源选项则允许接入方应用进行访问,否则将不被允许。账号中心通过对用户的身份验证后需要将用户提供的关于资源项的授权数据存储在t_Opcode表中,以便在接入方请求资源的时候判断接入方有没有访问权限。在此,用户在被接入方账号中心的资源列表在传输过程中可以以编号的方式标识,比如:个人资料用1代表;关注列表用2代表;粉丝列表用3代表……,在授权完成后将编号列表写在Opcode中,告知接入方只能访问用户在Opcode中指定的资源。
二、在接入方收到用户的授权信息数据后,拆包得到用户的信息:
拆包需要特殊说明的是,拆包完成后将授权信息Opcode写入到t_auth_res_codes表中,接入方可以在访问时只访问已经授权的资源权限,没有授权的不访问。
三、接入方发送资源请求有以下步骤(图4B),组包流程如图4C所示:
1、将AppId(应用标识)、UserId(用户标识)、requestResources组装在一起得到资源访问请求包RD,其中requestResources是获取访问资源的授权列表中的一项,例如在此处填写1代表请求访问用户资料信息;
2、用己方的私钥对RD签名得到数字签名SR;
3、生成随机的对称密钥K对RD+SR的组合数据进行加密得到密文数据ER;
4、使用被接入方的公钥将K加密得到EK;
5、将EK和ER按预定格式组装在一起得到请求数据Data发送给被接入方;
四、被接入方收到请求后的处理,总流程参见图4B,拆包流程参见图4D,组装资源回复包参见图4E:
1、将请求数据Data拆开得到EK和ER;
2、用己方的私钥将EK解密得到密钥K;
3、用密钥K将ER解密得到SR和RD;
4、用接入方的公钥对SR进行签名验证,如果通过验证则使用RD,如果不通过则认为是被仿冒或者篡改的数据,放弃使用RD;
5、如果通过验证,则拆解RD得到AppId、UserId和requestResource。
6、被接入方根据requestResource得到接入方要获得的用户数据,比如是1则代表获得用户个人资料,根据AppId和UserId查询t_Opcode表中的Opcode,检查用户是否授权了接入方访问用户个人资料的权限,如果有授权,则查询用户个人资料返回给接入方,否则返回给接入方没有权限;
7、如果有权限,权限码Code可以写为0,状态反馈码Desc写为“获取成功”,将用户个人资料写入UserResource(资源信息);如果没有权限,Code可以写为1,Desc写为“没有权限”,UserResource写为空即可。将Code、Desc和UserResource组装在一起得到RPD。
8、用己方的私钥将RPD签名得到SRP;
9、生成一个随机对称密钥K将RPD+SRP加密得到密文ERP;
10、用接入方的公钥将K加密得到EK;
11、将EK和ERP组装在一起得到Data,并返回给接入方。
五、接入方收到回复的用户资源信息拆包流程(图4F):
1、将收到的回复信息Data拆包得到EK和ERP;
2、用自己的私钥将EK解密得到密钥明文K;
3、用K将ERP解密获得SRP和RPD;
4、用被接入方的公钥对SRP进行签名验证,如果验证通过则使用RPD,如果不通过则认为是被仿冒或者篡改的数据,放弃使用RPD;
5、如果通过验证,则将RPD拆包获得Code、Desc和UserResource,其中Code和Desc标识返回的状态结果,UserResource则为用户个人资料信息。
图5为本发明的资源提供装置的一个实施例的示意性框图。本发明实施例的资源提供装置应用于被接入方。
如图5所示,本发明的资源提供装置包括通信单元51和安全处理单元52。
其中,通信单元51配置为通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息。
安全处理单元52配置为对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到密文,目标用户数据包括与资源项选择信息对应的第一资源项标识。
通信单元51还配置为将安全处理单元52生成的密文发送给接入方应用,以便接入方基于接入方私钥从密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验。
在本发明的实施例中,资源提供装置的各单元的操作和配置与上述接入方法相对应。描述于本申请实施例中所涉及到的模块可以通过图5所示的硬件的方式实现,也可以通过软件的方式来实现。例如,在本发明的资源提供装置的另一实施例中,应用于被接入方的资源提供装置可以包括处理器和存储器,存储器可以配置为存储预定的计算机指令,处理器可以配置为运行存储器中存储的预定的计算机指令以执行前述资源提供方法的任一实施例中的处理过程。
图6为本发明的资源访问方法的一个实施例的示意性流程图。本发明实施例的资源访问方法应用于接入方。如图6所示,本发明的资源访问方法包括:
S61:通过接入方应用接收到访问请求后,根据用户操作所选定的被接入方,从接入方应用重定向至被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息。
S62:通过接入方应用从被接入方接收用户数据密文,用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,目标用户数据包括与资源项选择信息对应的第一资源项标识。
S63:基于接入方私钥从用户数据密文获得目标用户数据和第一校验数据。
S64:使用被接入方公钥对第一校验数据进行校验。
S65:在校验通过后存储第一资源项标识。
本发明实施例的资源访问方法与图1所示实施例的资源提供方法对应,具体可参见前述说明,在此省略具体描述。在本发明的一个实施例中,图6所示实施例的资源访问方法在S65之后还可以包括:基于第一资源项标识生成资源访问请求包并通过接入方应用发送给被接入方;如被接入方对资源访问请求包验证通过,从被接入方接收用户资源信息密文。在本发明实施例中,用户授权被接入方将与用户选中的资源项对应的用户资源信息共享给接入方,被接入方将与资源项选择信息对应的第一资源项标识发送给接入方,使得接入方可以基于资源项标识来向被接入方请求相应的资源。被接入方从接入方接收到资源访问请求包后进行验证,如验证通过则调取与资源访问请求包中的资源项标识对应的用户资源信息使用接入方公钥进行加密生成用户资源信息密文返回给接入方应用。在本发明另一个实施例中,接入方在发送上述的资源访问请求包时,还使用接入方私钥对第一资源项标识中的至少部分标识进行运算生成第二校验数据。第二校验数据可以是使用接入方私钥对上述至少部分标识进行签名运算生成的数字签名,可以是使用接入方私钥对上述至少部分标识的预定部分或关键部分进行签名运算生成的数字签名,具体生成第二校验数据的规则可以预先与被接入方协商。接入方将上述至少部分标识、第二校验数据和其他需要发送给被接入方的数据一起用被接入方公钥加密后通过资源访问请求包发送给被接入方。被接入方从接入方接收到资源访问请求包后,使用被接入方的私钥对资源访问请求包中的密文数据进行解密得到上述至少部分标识和第二校验数据,根据与接入方协商的生成第二校验数据的规则,使用接入方公钥对第二校验数据进行校验,如果校验失败,则确定解密得到的标识为非法数据,丢弃该资源访问请求包;如果校验通过,则确定解密得到的标识为合法数据,将解密得到的标识与先前存储的第一资源项标识进行比较,如果与第一资源项标识中的至少部分标识一致,则调取与解密得到的标识对应的用户资源信息进行加密生成用户资源信息密文返回给接入方应用。
图7为本发明的资源访问方法的另一实施例的示意性流程图。
S701:通过接入方应用接收到访问请求后,根据用户操作所选定的被接入方,从接入方应用重定向至被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息。
S702:通过接入方应用从被接入方接收用户数据密文,用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,目标用户数据包括与资源项选择信息对应的第一资源项标识。
S703:基于接入方私钥从用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
S704:通过接入方应用将资源访问请求包发送给被接入方。
S705:如被接入方对资源访问请求包验证通过,从被接入方接收用户资源信息密文。
S706:基于接入方私钥从用户资源信息密文获得用户资源信息和第三校验数据。
S707:使用被接入方公钥对第三校验数据进行校验,如校验通过则执行步骤S708。否则执行步骤S709。
S708:确定用户资源信息为合法数据。
S709:丢弃用户资源信息。
本发明实施例中除了S706-S709之外的步骤在前述实施例中已经有相应说明,下面详细说明S706-S709。具体而言,在本发明实施例中,被接入方在从接入方应用接收到资源访问请求包并对请求包中的第二资源项标识验证通过后,查询并获取到与第二资源项标识对应的用户资源信息,基于约定算法并使用被接入方私钥对用户资源信息进行处理得到第三校验数据,然后使用接入方公钥对用户资源信息和第三校验数据进行加密得到用户资源信息密文并发送给接入方应用。这里的约定算法例如可以是使用被接入方私钥对用户资源信息进行签名运算生成数字签名,可以是使用被接入方私钥对用户资源信息的预定部分进行签名运算生成数字签名,也可以是使用接入方私钥对用户资源信息的关键部分加密生成数据密文,具体生成第三校验数据的规则可以预先与接入方协商。接入方应用接收到用户资源信息密文后,使用接入方私钥对用户资源信息密文进行解密得到用户资源信息和第三校验数据,并使用对应的算法基于被接入方公钥对第三校验数据进行校验,校验通过后确认解密得到的用户资源信息即为所请求的并且合法的用户资源信息,校验不通过则认为解密得到的用户资源信息经过篡改,丢弃该用户资源信息。
图8A为本发明的资源访问方法的另一实施例的示意性流程图。
S81:通过接入方应用接收到访问请求后,根据用户操作所选定的被接入方,从接入方应用重定向至被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;
S82:通过接入方应用从被接入方接收用户数据密文,用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,目标用户数据包括与资源项选择信息对应的第一资源项标识,并且用户数据密文包括第一密文和第二密文。
S83:使用接入方私钥对第二密文进行解密得到第一随机密钥。
S84:使用第一随机密钥对第一密文解密得到目标用户数据和第一校验数据。
S85:基于目标用户数据并使用被接入方公钥对第一校验数据进行验签。
S86:在校验通过后存储第一资源项标识。
在本发明实施例中,被接入方使用约定的算法对目标用户数据进行处理得到第一校验数据后,先使用第一随机密钥对目标用户数据和第一校验数据进行加密生成第一密文,再用接入方公钥对第一随机密钥进行加密生成第二密文,然后将第一密文和第二密文按预定格式组装成用户数据密文后发送给接入方。接入方接收到用户数据密文后,能够按照预定格式从中提取出第一密文和第二密文,从而使用接入方的私钥对第二密文解密得到第一随机密钥,进而用第一随机密钥对第一密文解密得到目标用户数据和第一校验数据,从而接入方能够基于目标用户数据并使用被接入方公钥对第一校验数据进行验证,如果对第一校验数据验证通过,则认为目标用户数据为可信数据,否则认为目标用户数据已经被非法篡改或者是仿冒数据,弃用该目标用户数据。
本发明实施例在这个过程中同样实现了被接入方和接入方之间的双向验证,被接入方用自己的私钥对目标用户数据进行了签名,防止任何中间传输过程中目标用户数据被篡改。
图8B为本发明的资源访问方法的另一实施例的示意性流程图。图8B的资源访问方法应用于接入方。
如图8B所示,本发明实施例的资源访问方法包括:
S801:向被接入方发送资源访问请求包;
S802:接收从被接收方响应于资源访问请求包发送的用户资源信息密文,用户资源信息密文为被接入方用接入方公钥对用户资源信息和第三校验数据进行加密而得到,第三校验数据采用约定算法并利用被接入方私钥对用户资源信息进行处理得到;
S803:利用接入方私钥对用户资源信息密文解密,并且使用被接入方公钥第三校验数据进行校验。
本发明实施例的资源访问方法与图3B所示实施例的资源提供方法对应,具体可参见前述说明,在此省略具体描述。
相应地,根据本发明的另一实施例,第三校验数据为数字签名,使用被接入方公钥对第三校验数据进行校验,包括:基于用户资源信息并使用被接入方公钥对第三校验数据进行验签。根据本发明的另一实施例,所述用户资源信息密文包括第三密文和第四密文,其中,利用接入方私钥对所述用户资源信息密文解密,包括:使用接入方私钥对第四密文进行解密得到第二随机密钥;使用第二随机密钥对第三密文解密得到用户资源信息和第三校验数据。
图9为本发明的资源访问装置的一个实施例的示意性框图。如图9所示,本发明实施例的资源访问装置包括服务端91和安装在终端设备92的接入方应用93。
其中,接入方应用93包括用户接口931和重定向接口932。用户接口931配置为接收访问请求,并根据用户操作所选定的被接入方,从接入方应用重定向至被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息。重定向接口932配置为从被接入方接收用户数据密文,用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,目标用户数据包括与资源项选择信息对应的第一资源项标识。
服务端91包括通信单元911和处理单元912。其中,通信单元911配置为从接入方应用接收用户数据密文。处理单元912配置为基于接入方私钥从用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
在本发明的实施例中,资源提供装置的各单元的操作和配置与上述接入方法相对应。描述于本申请实施例中所涉及到的模块可以通过图9所示的硬件的方式实现,也可以通过软件的方式来实现。例如,在本发明的资源访问装置的另一实施例中,应用于接入方的资源访问装置可以包括处理器和存储器,存储器可以配置为存储预定的计算机指令,处理器可以配置为运行存储器中存储的预定的计算机指令以执行前述资源访问方法的任一实施例中的处理过程。
图10为本发明的资源访问系统的另一实施例的示意性框图。如图10所示的种资源访问系统包括被接入方服务器111、接入方服务器112以及安装在终端设备113的接入方应用1130,其中:
接入方应用1130包括用户接口1131和重定向接口1132。其中,用户接口1131配置为接收访问请求,并根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;重定向接口1132配置为从被接入方接收用户数据密文。
被接入方服务器111包括第一通信单元1111和第一处理单元1112。其中,第一通信单元1111被配置为接收所述用户登录信息,并发送所述用户数据密文;第一处理单元1112被配置为对所述用户登录信息验证,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到所述用户数据密文,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;
所述接入方服务器112包括第二通信单元1121和第二处理单元1122。其中,第二通信单元1121配置为从所述接入方应用接收所述用户数据密文;第二处理单元1122配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (18)

1.一种资源提供方法,应用于被接入方,该方法包括:
通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息;
对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;
对目标用户数据和第一校验数据进行加密得到密文并将密文发送给接入方应用,以便接入方基于接入方私钥从所述密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验;其中,
所述资源提供方法还包括:
从接入方应用接收到资源访问请求包时,基于被接入方私钥从资源访问请求包中获得第二资源项标识;
基于第一资源项标识对第二资源项标识进行验证,如验证通过,基于约定算法并使用接入方公钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文并返回给接入方应用。
2.如权利要求1所述的方法,其特征在于,基于被接入方私钥从资源访问请求包中获得第二资源项标识,包括:
基于被接入方私钥从资源访问请求包中获得第二资源项标识和第二校验数据;
使用接入方公钥对第二校验数据进行校验,如校验通过则确定第二资源项标识为合法数据,否则丢弃所述资源访问请求包。
3.如权利要求1所述的方法,其特征在于,基于约定算法并使用被接入方私钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文,包括:
基于约定算法并使用被接入方私钥对所述用户资源信息进行处理得到第三校验数据,对所述用户资源信息和第三校验数据进行加密得到所述用户资源信息密文。
4.如权利要求3所述的方法,其特征在于,基于约定算法并使用被接入方私钥对所述用户资源信息进行处理得到第三校验数据,包括:
基于约定数字签名算法并使用被接入方私钥对用户资源信息进行处理得到第二数字签名作为第三校验数据。
5.如权利要求3所述的方法,其特征在于,对所述用户资源信息和第三校验数据进行加密得到所述用户资源信息密文,包括:
使用第二随机密钥对用户资源信息和第三校验数据进行加密得到第三密文;
使用接入方公钥对第二随机密钥进行加密得到第四密文;
将第三密文和第四密文按预定格式进行组装后发送给接入方应用。
6.如权利要求1-5中任一项所述的方法,其特征在于,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,包括:
基于约定数字签名算法并使用被接入方私钥对目标用户数据进行处理得到第一数字签名作为第一校验数据。
7.如权利要求1-5中任一项所述的方法,其特征在于,对目标用户数据和第一校验数据进行加密得到密文并将密文发送给接入方应用,包括:
使用第一随机密钥对目标用户数据和第一校验数据进行加密得到第一密文;
使用接入方公钥对第一随机密钥进行加密得到第二密文;
将第一密文和第二密文按预定格式进行组装后发送给接入方应用。
8.一种资源提供装置,应用于被接入方,包括:
通信单元,其配置为通过从接入方应用重定向至的被接入方登录界面获取用户输入的用户登录信息和资源项选择信息;
安全处理单元,其配置为对用户登录信息进行验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到密文,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识,
所述通信单元还配置为将所述密文发送给接入方应用,以便接入方基于接入方私钥从所述密文获得目标用户数据和第一校验数据并使用被接入方公钥对第一校验数据进行校验;其中,
所述安全处理单元进一步配置为:从接入方应用接收到资源访问请求包时,基于被接入方私钥从资源访问请求包中获得第二资源项标识;
基于第一资源项标识对第二资源项标识进行验证,如验证通过,基于约定算法并使用接入方公钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文并返回给接入方应用。
9.一种资源提供装置,应用于被接入方,包括处理器,其特征在于,所述处理器配置为运行预定的计算机指令以执行如权利要求1-7中任一项所述的方法。
10.一种资源访问方法,应用于接入方,该方法包括:
通过接入方应用接收到访问请求后,根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;
通过接入方应用从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;
基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识;其中,
所述资源访问方法还包括:
基于第一资源项标识生成资源访问请求包并通过接入方应用发送给被接入方;
如被接入方对资源访问请求包验证通过,从被接入方接收用户资源信息密文,其中,所述被接入方对资源访问请求包验证包括:基于被接入方私钥从资源访问请求包中获得第二资源项标识;基于第一资源项标识对第二资源项标识进行验证,如验证通过,基于约定算法并使用接入方公钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文。
11.如权利要求10所述的方法,其特征在于,基于第一资源项标识生成资源访问请求包,包括:
对第一资源项标识中的至少部分标识进行处理生成第二校验数据;
使用被接入方公钥对所述至少部分标识和所述第二校验数据进行加密生成所述资源访问请求包。
12.如权利要求10所述的方法,其特征在于,在从被接入方接收用户资源信息密文后,还包括:
基于接入方私钥从用户资源信息密文获得用户资源信息和第三校验数据,使用被接入方公钥对第三校验数据进行校验,如校验通过则确定所述用户资源信息为合法数据,否则丢弃所述用户资源信息。
13.如权利要求12所述的方法,其特征在于,所述用户资源信息密文包括第三密文和第四密文,其中,基于接入方私钥从用户资源信息密文获得用户资源信息和第三校验数据,包括:
使用接入方私钥对第四密文进行解密得到第二随机密钥;
使用第二随机密钥对第三密文解密得到用户资源信息和第三校验数据。
14.如权利要求10-13中任一项所述的方法,其特征在于,使用被接入方公钥对第一校验数据进行校验,包括:
基于目标用户数据并使用被接入方公钥对第一校验数据进行验签。
15.如权利要求10-13中任一项所述的方法,其特征在于,所述用户数据密文包括第一密文和第二密文,其中,基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,包括:
使用接入方私钥对第二密文进行解密得到第一随机密钥;
使用第一随机密钥对第一密文解密得到目标用户数据和第一校验数据。
16.一种资源访问装置,包括服务端和安装在终端设备的接入方应用,其中:
接入方应用包括:
用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;
重定向接口,其配置为从被接入方接收用户数据密文,所述用户数据密文是被接入方在对用户登录信息验证通过后,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据并对目标用户数据和第一校验数据进行加密得到的,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;其中,重定向接口还配置为:
基于第一资源项标识生成资源访问请求包并通过接入方应用发送给被接入方;如被接入方对资源访问请求包验证通过,从被接入方接收用户资源信息密文,其中,所述被接入方对资源访问请求包验证包括:基于被接入方私钥从资源访问请求包中获得第二资源项标识;基于第一资源项标识对第二资源项标识进行验证,如验证通过,基于约定算法并使用接入方公钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文;
服务端包括:
通信单元,其配置为从接入方应用接收用户数据密文;
处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
17.一种资源访问装置,其包括处理器,所述处理器配置为运行预定的计算机指令以执行如权利要求10-15中任一项所述的方法。
18.一种资源访问系统,包括被接入方服务器、接入方服务器以及安装在终端设备的接入方应用,其中:
所述接入方应用包括:
用户接口,其配置为接收访问请求,并根据用户操作所选定的被接入方,从接入方应用重定向至所述被接入方的登录界面,以便用户在所述被接入方的登录界面输入用户登录信息和资源项选择信息;
重定向接口,其配置为从被接入方接收用户数据密文;所述被接入方服务器包括:
第一通信单元,其被配置为接收所述用户登录信息,并发送所述用户数据密文;
第一处理单元,其被配置为对所述用户登录信息验证,基于约定算法并使用被接入方私钥对目标用户数据进行处理得到第一校验数据,并对目标用户数据和第一校验数据进行加密得到所述用户数据密文,所述目标用户数据包括与所述资源项选择信息对应的第一资源项标识;其中,所述第一处理单元还被配置为:从接入方应用接收到资源访问请求包时,基于被接入方私钥从资源访问请求包中获得第二资源项标识;基于第一资源项标识对第二资源项标识进行验证,如验证通过,基于约定算法并使用接入方公钥对与第二资源项标识对应的用户资源信息进行处理得到用户资源信息密文并返回给接入方应用;
所述接入方服务器包括:
第二通信单元,其配置为从所述接入方应用接收所述用户数据密文;
第二处理单元,其配置为基于接入方私钥从所述用户数据密文获得目标用户数据和第一校验数据,使用被接入方公钥对第一校验数据进行校验,在校验通过后存储第一资源项标识。
CN201910257436.1A 2019-04-01 2019-04-01 资源提供方法及装置、资源访问方法及装置和系统 Active CN109981665B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910257436.1A CN109981665B (zh) 2019-04-01 2019-04-01 资源提供方法及装置、资源访问方法及装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910257436.1A CN109981665B (zh) 2019-04-01 2019-04-01 资源提供方法及装置、资源访问方法及装置和系统

Publications (2)

Publication Number Publication Date
CN109981665A CN109981665A (zh) 2019-07-05
CN109981665B true CN109981665B (zh) 2020-05-26

Family

ID=67082176

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910257436.1A Active CN109981665B (zh) 2019-04-01 2019-04-01 资源提供方法及装置、资源访问方法及装置和系统

Country Status (1)

Country Link
CN (1) CN109981665B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111914293A (zh) * 2020-07-31 2020-11-10 平安科技(深圳)有限公司 一种数据访问权限验证方法、装置、计算机设备及存储介质
CN112637136A (zh) * 2020-12-03 2021-04-09 北京北信源软件股份有限公司 加密通信方法及系统
CN112883400A (zh) * 2021-03-11 2021-06-01 杭州网易云音乐科技有限公司 业务资源服务方法、装置、电子设备及存储介质
CN113297137B (zh) * 2021-05-28 2023-03-21 深圳丹皓电子科技有限公司 一种erp系统中智能数据快速拷贝的管理方法
CN113949566A (zh) * 2021-10-15 2022-01-18 工银科技有限公司 资源访问方法、装置、电子设备和介质
CN115174577B (zh) * 2022-07-11 2023-10-27 中汽创智科技有限公司 一种资源访问方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10057243B1 (en) * 2017-11-30 2018-08-21 Mocana Corporation System and method for securing data transport between a non-IP endpoint device that is connected to a gateway device and a connected service
CN108809643A (zh) * 2018-07-11 2018-11-13 飞天诚信科技股份有限公司 一种设备与云端协商密钥的方法、系统及设备
CN108880791A (zh) * 2018-05-30 2018-11-23 招商银行股份有限公司 密钥保护方法、终端及计算机可读存储介质
CN109150865A (zh) * 2018-08-07 2019-01-04 厦门市美亚柏科信息股份有限公司 一种移动终端app通讯协议的保护、装置及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9363251B2 (en) * 2013-10-01 2016-06-07 Google Technology Holdings LLC Systems and methods for credential management between electronic devices
CN106230838A (zh) * 2016-08-04 2016-12-14 中国银联股份有限公司 一种第三方应用访问资源的方法和装置
CN108599950A (zh) * 2018-04-09 2018-09-28 北京无字天书科技有限公司 一种适用于sm9标识密码的用户密钥申请下载安全协议的实现方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10057243B1 (en) * 2017-11-30 2018-08-21 Mocana Corporation System and method for securing data transport between a non-IP endpoint device that is connected to a gateway device and a connected service
CN108880791A (zh) * 2018-05-30 2018-11-23 招商银行股份有限公司 密钥保护方法、终端及计算机可读存储介质
CN108809643A (zh) * 2018-07-11 2018-11-13 飞天诚信科技股份有限公司 一种设备与云端协商密钥的方法、系统及设备
CN109150865A (zh) * 2018-08-07 2019-01-04 厦门市美亚柏科信息股份有限公司 一种移动终端app通讯协议的保护、装置及存储介质

Also Published As

Publication number Publication date
CN109981665A (zh) 2019-07-05

Similar Documents

Publication Publication Date Title
CN109981665B (zh) 资源提供方法及装置、资源访问方法及装置和系统
US20210264010A1 (en) Method and system for user authentication with improved security
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
US11818120B2 (en) Non-custodial tool for building decentralized computer applications
US20180091487A1 (en) Electronic device, server and communication system for securely transmitting information
US9871804B2 (en) User authentication
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
CN111770057B (zh) 身份验证系统及身份验证方法
KR102137122B1 (ko) 보안 체크 방법, 장치, 단말기 및 서버
CN109618341A (zh) 一种数字签名认证方法、系统、装置以及存储介质
JP2019530265A (ja) グラフィックコード情報を提供及び取得する方法及び装置並びに端末
DK2414983T3 (en) Secure computer system
KR101388935B1 (ko) 2채널 기반의 사용자 인증 장치 및 방법
CN112948857A (zh) 一种文档处理方法及装置
RU2698424C1 (ru) Способ управления авторизацией
US11245684B2 (en) User enrollment and authentication across providers having trusted authentication and identity management services
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN109981666B (zh) 一种接入方法、接入系统和接入服务器
CN114039748A (zh) 身份验证方法、系统、计算机设备和存储介质
KR101705293B1 (ko) 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법
CN113271306B (zh) 数据请求、发送方法、设备以及系统
KR20130111039A (ko) 로그인 인증 장치, 방법 및 이를 저장한 기록 매체
CN112000951B (zh) 一种访问方法、装置、系统、电子设备及存储介质
Spirintseva et al. The models of the information security in the cloud storage
CN115412255A (zh) 一种基于隐私保护的身份签名加解密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: Room 124, 1 / F, building 2, yard 9, jiaogezhuang street, Nanfaxin Town, Shunyi District, Beijing

Patentee after: Beijing Wikipedia Technology Co.,Ltd.

Address before: 102200 No. 1, 120, Area C, 23 Qianqian Road, Changping Science and Technology Park, Beijing

Patentee before: Beijing Wikipedia Technology Co.,Ltd.