CN110351254B - 访问操作的执行方法及装置 - Google Patents
访问操作的执行方法及装置 Download PDFInfo
- Publication number
- CN110351254B CN110351254B CN201910550688.3A CN201910550688A CN110351254B CN 110351254 B CN110351254 B CN 110351254B CN 201910550688 A CN201910550688 A CN 201910550688A CN 110351254 B CN110351254 B CN 110351254B
- Authority
- CN
- China
- Prior art keywords
- target
- account
- identity
- data
- service system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问操作的执行方法及装置。其中,该方法包括:接收目标帐号发送的访问请求;判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作;在判断出业务系统记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作。本发明解决了对业务系统执行访问操作的安全性较低的技术问题。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种访问操作的执行方法及装置。
背景技术
目前的使用帐号对业务系统进行访问的过程中,只提供单一的认证机制,导致认证的准确性和安全性都较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种访问操作的执行方法及装置,以至少解决对业务系统执行访问操作的安全性较低的技术问题。
根据本发明实施例的一个方面,提供了一种访问操作的执行方法,包括:
接收目标帐号发送的访问请求,其中,所述访问请求用于请求对业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标帐号为在所述业务系统上注册的帐号,所述目标身份标识用于标识所述目标帐号发起所述访问请求所使用的目标身份,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作;
在判断出所述业务系统记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作。
可选地,在判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作之后,所述方法还包括:
在判断出所述业务系统记录的允许所述目标身份执行的操作中不包括所述目标访问操作的情况下,拒绝所述目标帐号对所述业务系统执行所述目标访问操作。
可选地,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作包括:
从具有对应关系的目标身份标识和目标操作中查找所述目标访问操作,其中,所述目标操作包括允许所述目标帐号以所述目标身份执行的操作。
可选地,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作包括:
从所述访问请求的数据段获取帐号签名数据,其中,所述帐号签名数据是所述目标帐号使用所述目标帐号的帐号私钥对所述目标帐号的帐号指纹数据和身份签名数据进行签名得到的数据,所述身份签名数据是所述目标帐号使用所述目标身份标识所对应的身份私钥对所述目标身份标识和身份公钥进行签名得到的数据,所述帐号指纹数据包括所述目标身份标识、所述目标身份标识对应的身份公钥和所述目标帐号的帐号公钥;
使用所述目标帐号的帐号公钥对所述帐号签名数据进行验签;
在所述帐号签名数据验签通过,并且所述帐号指纹数据中携带的帐号公钥在公钥列表中的情况下,使用身份公钥对所述身份签名数据进行验签,其中,所述公钥列表中记录了允许访问所述业务系统的公钥;
在所述身份签名数据验签通过的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
可选地,从所述访问请求的数据段获取帐号签名数据包括:
从所述访问请求的数据段获取第一加密数据,其中,所述第一加密数据是所述目标帐号使用所述业务系统的公钥对所述帐号签名数据进行加密得到的加密数据;
使用所述业务系统的私钥对所述第一加密数据进行解密,得到所述帐号签名数据。
可选地,响应所述访问请求执行所述目标访问操作包括:
从所述访问请求的数据段获取第二加密数据,其中,所述第二加密数据是所述目标帐号使用所述业务系统的公钥对请求数据进行加密得到的加密数据,所述请求数据是用于请求对业务系统执行所述目标访问操作的数据;
使用所述业务系统的私钥对所述第二加密数据进行解密,得到所述请求数据;
响应所述请求数据执行所述目标访问操作。
可选地,所述访问请求中还携带有所述目标帐号的目标设备标识,其中,在判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作之前,所述方法还包括:
从所述访问请求的数据段获取设备签名数据,其中,所述设备签名数据是所述目标帐号使用设备私钥对所述目标设备标识进行签名得到的数据;
使用设备公钥对所述设备签名数据进行验签;
在所述设备签名数据验签通过的情况下,判断是否允许所述目标设备标识对所述业务系统执行所述目标访问操作;
其中,在判断出允许所述目标设备标识对所述业务系统执行所述目标访问操作的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
可选地,在接收所述目标帐号发送的所述访问请求之前,所述方法还包括:
接收所述目标帐号发送的注册请求,其中,所述注册请求用于请求获得访问所述业务系统的权限,所述注册请求中携带有所述目标帐号的帐号指纹数据,所述帐号指纹数据包括待注册的身份标识、所述待注册的身份标识对应的身份公钥和所述目标帐号的帐号公钥;
响应所述注册请求向所述目标帐号发送所述业务系统的公钥,并记录所述目标帐号与所述待注册的身份标识之间的对应关系。
可选地,所述访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,所述数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
所述标头字段携带有所述目标身份标识、所述帐号公钥和所述身份公钥,所述信息字段携带有所述帐号签名数据和请求数据,所述请求数据为用于请求对业务系统执行所述目标访问操作的数据。
根据本发明实施例的另一方面,还提供了一种访问操作的执行方法,包括:
向业务系统发送访问请求,其中,所述访问请求用于请求对所述业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标身份标识用于标识目标帐号发起所述访问请求所使用的目标身份,所述目标帐号为在所述业务系统上注册的帐号,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
接收所述业务系统响应所述访问请求发送的响应数据,其中,所述响应数据是所述业务系统在判断出记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作所得到的数据,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作。
可选地,在向所述业务系统发送所述访问请求之后,所述方法还包括:
接收所述业务系统响应所述访问请求发送的拒绝信息,其中,所述拒绝信息是所述业务系统在判断出所述业务系统记录的允许所述目标身份执行的操作中不包括所述目标访问操作的情况下生成的用于拒绝所述目标帐号对所述业务系统执行所述目标访问操作的信息。
可选地,在向所述业务系统发送所述访问请求之前,所述方法还包括:
使用所述目标身份标识所对应的身份私钥对所述目标身份标识和身份公钥进行签名得到身份签名数据;
使用所述目标帐号的帐号私钥对所述目标帐号的帐号指纹数据和所述身份签名数据进行签名得到帐号签名数据,其中,所述帐号指纹数据包括所述目标身份标识、所述目标身份标识对应的身份公钥和所述目标帐号的帐号公钥;
生成携带有所述目标身份标识和所述帐号签名数据的所述访问请求。
可选地,在向所述业务系统发送所述访问请求之前,所述方法还包括:
使用所述业务系统的公钥对请求数据进行加密得到第二加密数据,其中,所述请求数据用于请求对业务系统执行所述目标访问操作;
将所述第二加密数据封装到所述访问请求的数据段中。
可选地,在向所述业务系统发送所述访问请求之前,所述方法还包括:
使用设备私钥对目标设备标识进行签名得到设备签名数据,其中,所述设备签名数据用于设备身份认证;
将所述设备签名数据封装到所述访问请求的数据段中。
可选地,在向所述业务系统发送所述访问请求之前,所述方法还包括:
向所述业务系统发送注册请求,其中,所述注册请求用于请求获得访问所述业务系统的权限,所述注册请求中携带有所述目标帐号的帐号指纹数据,所述帐号指纹数据包括待注册的身份标识、所述待注册的身份标识对应的身份公钥和所述目标帐号的帐号公钥;
接收所述业务系统响应所述注册请求返回的所述业务系统的公钥。
可选地,所述访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,所述数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
所述标头字段携带有所述目标身份标识、所述帐号公钥和所述身份公钥,所述信息字段携带有所述帐号签名数据和请求数据,所述请求数据为用于请求对业务系统执行所述目标访问操作的数据。
根据本发明实施例的另一方面,还提供了一种访问操作的执行装置,包括:
第一接收模块,用于接收目标帐号发送的访问请求,其中,所述访问请求用于请求对业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标帐号为在所述业务系统上注册的帐号,所述目标身份标识用于标识所述目标帐号发起所述访问请求所使用的目标身份,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
第一判断模块,用于判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作;
执行模块,用于在判断出所述业务系统记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作。
可选地,所述装置还包括:
拒绝模块,用于在判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作之后,在判断出所述业务系统记录的允许所述目标身份执行的操作中不包括所述目标访问操作的情况下,拒绝所述目标帐号对所述业务系统执行所述目标访问操作。
可选地,第一判断模块包括:
查找单元,用于从具有对应关系的目标身份标识和目标操作中查找所述目标访问操作,其中,所述目标操作包括允许所述目标帐号以所述目标身份执行的操作。
可选地,第一判断模块包括:
第一获取单元,用于从所述访问请求的数据段获取帐号签名数据,其中,所述帐号签名数据是所述目标帐号使用所述目标帐号的帐号私钥对所述目标帐号的帐号指纹数据和身份签名数据进行签名得到的数据,所述身份签名数据是所述目标帐号使用所述目标身份标识所对应的身份私钥对所述目标身份标识和身份公钥进行签名得到的数据,所述帐号指纹数据包括所述目标身份标识、所述目标身份标识对应的身份公钥和所述目标帐号的帐号公钥;
第一验签单元,用于使用所述目标帐号的帐号公钥对所述帐号签名数据进行验签;
第二验签单元,用于在所述帐号签名数据验签通过,并且所述帐号指纹数据中携带的帐号公钥在公钥列表中的情况下,使用身份公钥对所述身份签名数据进行验签,其中,所述公钥列表中记录了允许访问所述业务系统的公钥;
判断单元,用于在所述身份签名数据验签通过的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
可选地,第一获取单元包括:
获取子单元,用于从所述访问请求的数据段获取第一加密数据,其中,所述第一加密数据是所述目标帐号使用所述业务系统的公钥对所述帐号签名数据进行加密得到的加密数据;
解密子单元,用于使用所述业务系统的私钥对所述第一加密数据进行解密,得到所述帐号签名数据。
可选地,执行模块包括:
第二获取单元,用于从所述访问请求的数据段获取第二加密数据,其中,所述第二加密数据是所述目标帐号使用所述业务系统的公钥对请求数据进行加密得到的加密数据,所述请求数据是用于请求对业务系统执行所述目标访问操作的数据;
解密单元,用于使用所述业务系统的私钥对所述第二加密数据进行解密,得到所述请求数据;
执行单元,用于响应所述请求数据执行所述目标访问操作。
可选地,所述访问请求中还携带有所述目标帐号的目标设备标识,其中,所述装置还包括:
获取模块,用于在判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作之前,从所述访问请求的数据段获取设备签名数据,其中,所述设备签名数据是所述目标帐号使用设备私钥对所述目标设备标识进行签名得到的数据;
验签模块,用于使用设备公钥对所述设备签名数据进行验签;
第二判断模块,用于在所述设备签名数据验签通过的情况下,判断是否允许所述目标设备标识对所述业务系统执行所述目标访问操作;
其中,在判断出允许所述目标设备标识对所述业务系统执行所述目标访问操作的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
可选地,所述装置还包括:
第二接收模块,用于在接收所述目标帐号发送的所述访问请求之前,接收所述目标帐号发送的注册请求,其中,所述注册请求用于请求获得访问所述业务系统的权限,所述注册请求中携带有所述目标帐号的帐号指纹数据,所述帐号指纹数据包括待注册的身份标识、所述待注册的身份标识对应的身份公钥和所述目标帐号的帐号公钥;
确定模块,用于响应所述注册请求向所述目标帐号发送所述业务系统的公钥,并记录所述目标帐号与所述待注册的身份标识之间的对应关系。
可选地,所述访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,所述数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
所述标头字段携带有所述目标身份标识、所述帐号公钥和所述身份公钥,所述信息字段携带有所述帐号签名数据和请求数据,所述请求数据为用于请求对业务系统执行所述目标访问操作的数据。
根据本发明实施例的另一方面,还提供了一种访问操作的执行装置,包括:
第三发送模块,用于向业务系统发送访问请求,其中,所述访问请求用于请求对所述业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标身份标识用于标识目标帐号发起所述访问请求所使用的目标身份,所述目标帐号为在所述业务系统上注册的帐号,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
第四接收模块,用于接收所述业务系统响应所述访问请求发送的响应数据,其中,所述响应数据是所述业务系统在判断出记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作所得到的数据,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作。
可选地,所述装置还包括:
第五接收模块,用于在向所述业务系统发送所述访问请求之后,接收所述业务系统响应所述访问请求发送的拒绝信息,其中,所述拒绝信息是所述业务系统在判断出所述业务系统记录的允许所述目标身份执行的操作中不包括所述目标访问操作的情况下生成的用于拒绝所述目标帐号对所述业务系统执行所述目标访问操作的信息。
可选地,所述装置还包括:
第一签名模块,用于在向所述业务系统发送所述访问请求之前,使用所述目标身份标识所对应的身份私钥对所述目标身份标识和身份公钥进行签名得到身份签名数据;
第二签名模块,用于使用所述目标帐号的帐号私钥对所述目标帐号的帐号指纹数据和所述身份签名数据进行签名得到帐号签名数据,其中,所述帐号指纹数据包括所述目标身份标识、所述目标身份标识对应的身份公钥和所述目标帐号的帐号公钥;
生成模块,用于生成携带有所述目标身份标识和所述帐号签名数据的所述访问请求。
可选地,所述装置还包括:
加密模块,用于在向所述业务系统发送所述访问请求之前,使用所述业务系统的公钥对请求数据进行加密得到第二加密数据,其中,所述请求数据用于请求对业务系统执行所述目标访问操作;
第一封装模块,用于将所述第二加密数据封装到所述访问请求的数据段中。
可选地,所述装置还包括:
第三签名模块,用于在向所述业务系统发送所述访问请求之前,使用设备私钥对目标设备标识进行签名得到设备签名数据,其中,所述设备签名数据用于设备身份认证;
第二封装模块,用于将所述设备签名数据封装到所述访问请求的数据段中。
可选地,所述装置还包括:
第四发送模块,用于在向所述业务系统发送所述访问请求之前,向所述业务系统发送注册请求,其中,所述注册请求用于请求获得访问所述业务系统的权限,所述注册请求中携带有所述目标帐号的帐号指纹数据,所述帐号指纹数据包括待注册的身份标识、所述待注册的身份标识对应的身份公钥和所述目标帐号的帐号公钥;
第六接收模块,用于接收所述业务系统响应所述注册请求返回的所述业务系统的公钥。
可选地,所述访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,所述数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
所述标头字段携带有所述目标身份标识、所述帐号公钥和所述身份公钥,所述信息字段携带有所述帐号签名数据和请求数据,所述请求数据为用于请求对业务系统执行所述目标访问操作的数据。
根据本发明实施例的另一方面,还提供了一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项中所述的方法。
根据本发明实施例的另一方面,还提供了一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行上述任一项中所述的方法。
在本发明实施例中,采用接收目标帐号发送的访问请求,其中,访问请求用于请求对业务系统执行目标访问操作,访问请求中携带有目标身份标识,目标帐号为在业务系统上注册的帐号,目标身份标识用于标识目标帐号发起访问请求所使用的目标身份,业务系统记录了目标帐号所对应的多个身份标识,多个身份标识包括目标身份标识;判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作;在判断出业务系统记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作的方式,目标帐号可以具有多个身份标识,每个身份标识均对应了其能够在业务系统上执行的操作,从而通过帐号和身份标识的多重认证机制,提高对业务系统执行访问操作时的安全性,进而解决了对业务系统执行访问操作的安全性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的访问操作的执行方法的示意图;
图2是根据本发明实施例的另一种可选的访问操作的执行方法的示意图;
图3是根据本发明实施例的一种可选的访问操作的执行装置的示意图;
图4是根据本发明实施例的另一种可选的访问操作的执行装置的示意图;
图5是根据本发明实施例的一种可选的电子装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一个方面,提供了一种访问操作的执行方法,如图1所示,该方法包括:
S102,接收目标帐号发送的访问请求,其中,访问请求用于请求对业务系统执行目标访问操作,访问请求中携带有目标身份标识,目标帐号为在业务系统上注册的帐号,目标身份标识用于标识目标帐号发起访问请求所使用的目标身份,业务系统记录了目标帐号所对应的多个身份标识,多个身份标识包括目标身份标识;
S104,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作;
S106,在判断出业务系统记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作。
可选地,在本实施例中,上述访问操作的执行方法可以但不限于应用于帐号对业务系统进行访问的场景中。其中,上述访问操作的执行方法可以但不限于应用于各种业务系统中提供资源的设备,例如,政务系统、教育系统、信息传输系统、游戏系统、购物系统、金融系统、多媒体播放系统、直播系统等。
可选地,在本实施例中,上述业务系统可以但不限于使用CDTP协议实现应用层协议标准。CDTP协议可以方便进行扩展,便利的支持国际安全标准和国际加密算法,又可快速实现国密算法的部署迭代。协议本身只需交换公钥,避免了繁琐的交互过程。在CDTP协议中称请求方为主体(用户方),被请求方为客体(资源方),所有主客体都随机生成自己的公私钥对,作为唯一的体系内身份标识。用户方请求资源时携带用户指纹信息,一旦被一个业务系统体系准入,则可被整个协议生态认可。这里的业务系统体系,可以指一个厂商的业务系统集合。协议生态指不同厂商组成的认证联盟。
一个业务系统体系成为一个CDTP可信域,在同一个CDTP的可信安全域内,其采用集中授权的形式,其可根据自身的技术选择进行用户认证和授权,各个可信域之间公钥身份互通。这样,可生成一个分布式认证+ 域内集中授权的结构体。
在CDTP协议簇里,身份标识(例如:身份指纹)解决身份问题,用户指纹数据(帐号指纹)表示一个用户(关联真实世界的一个人物)。每个用户可以有多个身份。认证通过应用本身控制。
可选地,在本实施例中,目标帐号为在业务系统上注册的帐号,目标帐号可以是由业务系统生成并分配的,也可以是由业务系统和注册的用户协商得到的。
可选地,在本实施例中,目标帐号对应了多个身份标识,业务系统中记录了允许每个身份标识执行的操作。例如:目标帐号对应了身份A、身份B和身份C,身份A对应了操作A、操作B和操作C,身份B对应了操作B和操作D,身份C对应了操作B,操作E和操作F,也就是说,业务系统允许目标帐号对应的各个身份执行操作B,还允许目标帐号的身份 A执行操作A和操作C,还允许目标帐号的身份B执行操作D,还允许目标帐号的身份C执行操作E和操作F。
可见,通过上述步骤,采用接收目标帐号发送的访问请求,其中,访问请求用于请求对业务系统执行目标访问操作,访问请求中携带有目标身份标识,目标帐号为在业务系统上注册的帐号,目标身份标识用于标识目标帐号发起访问请求所使用的目标身份,业务系统记录了目标帐号所对应的多个身份标识,多个身份标识包括目标身份标识;判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作;在判断出业务系统记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作的方式,目标帐号可以具有多个身份标识,每个身份标识均对应了其能够在业务系统上执行的操作,从而通过帐号和身份标识的多重认证机制,提高对业务系统执行访问操作时的安全性,进而解决了对业务系统执行访问操作的安全性较低的技术问题。
作为一种可选的方案,在判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作之后,还包括:
在判断出业务系统记录的允许目标身份执行的操作中不包括目标访问操作的情况下,拒绝目标帐号对业务系统执行目标访问操作。
可选地,在本实施例中,如果判断出业务系统记录的允许目标身份执行的操作中不包括目标访问操作,则拒绝目标帐号对业务系统执行目标访问操作,从而对于使用的身份不具有执行访问操作权限的情况进行处理,保障访问的安全性、合法性。
作为一种可选的方案,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作包括:
从具有对应关系的目标身份标识和目标操作中查找目标访问操作,其中,目标操作包括允许目标帐号以目标身份执行的操作。
可选地,在本实施例中,业务系统中记录了具有对应关系的身份标识和允许该身份执行的操作,比如:如表1所示记录了目标帐号所对应的多个身份分别对应的允许其执行的操作。
表1
作为一种可选的方案,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作包括:
S1,从访问请求的数据段获取帐号签名数据,其中,帐号签名数据是目标帐号使用目标帐号的帐号私钥对目标帐号的帐号指纹数据和身份签名数据进行签名得到的数据,身份签名数据是目标帐号使用目标身份标识所对应的身份私钥对目标身份标识和身份公钥进行签名得到的数据,帐号指纹数据包括目标身份标识、目标身份标识对应的身份公钥和目标帐号的帐号公钥;
S2,使用目标帐号的帐号公钥对帐号签名数据进行验签;其中,帐号公钥可以是业务系统上预先存储的,也可以从访问请求的数据段获取;
S3,在帐号签名数据验签通过,并且帐号指纹数据中携带的帐号公钥在公钥列表中的情况下,使用身份公钥对身份签名数据进行验签,其中,公钥列表中记录了允许访问业务系统的公钥;
S4,在身份签名数据验签通过的情况下,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作。
可选地,在本实施例中,目标帐号在发送的访问请求中添加了签名数据,从而增强信息传输的抗抵赖性。
可选地,在本实施例中,业务系统采用帐号公钥对帐号签名数据进行验签,验签通过,即确认访问请求来源于目标帐号,此时可根据授权设置对帐号指纹数据中携带的帐号公钥的权限进行确认,帐号指纹数据中携带的帐号公钥的权限符合预设规则,则进行身份验证;采用身份公钥对身份签名数据进行验签,验签通过,即确认消息来源于目标帐号的身份公钥对应的身份,此时可根据授权设置对该目标帐号的该目标身份的权限进行确认,身份权限符合预设规则,则验证通过;业务系统响应目标帐号的访问请求执行目标访问操作。在本实施例中,若帐号签名数据验签不通过,则直接返回目标帐号拒绝信息,无需再对身份签名数据进行验签,提高了响应效率。
可选地,在本实施例中,访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
标头字段携带有目标身份标识、帐号公钥和身份公钥,信息字段携带有帐号签名数据和请求数据,请求数据为用于请求对业务系统执行目标访问操作的数据。
例如:CDTP协议的报文格式框架如下:
协议名(CDTP)||资源服务器名(URI)||指令编码(command)|| 协议版本号(version)||数据段内容(datagram)||length(整个报文大小)||CRC(报文校验码) 。
其中,各字段的具体属性定义如表2所示(大小单位bit):
表2
数据段内容格式框架如下:
主算法(algorithm)||签名算法(signatureType)||签名方式(signatureMethod)||header段内容(key:value的结构体)||payload段内容。
各字段的具体属性定义如表3所示:
表3
header段由标准header与用户自定义字段组合而成。标准header定义如下:
signature:帐号私钥签名后的字符串;类型string;
Timestamp:时间戳,显示当前时间;类型string;
path:资源路径名,如**.html等等具体资源路径;类型string;
pkgId:报文id,如10001000;类型int;
pkgLn:数据段内容大小,当前header+payload的整体大小;类型 int;
sendePK:报文来源的公钥组;帐号公钥+身份公钥;类型string;
encoding:字符编码格式,如text、json、mime等;类型string;
Language:字符语言,如中英文等;类型string;
compress:压缩类型,如rar或者zip等;类型string;
Identityfingerprint:目标身份标识,如用户身份id号;类型string;
devicefingerprint:目标设备标识,标记当前设备的唯一符号,如设备 ID;类型string;
payload段内容(信息字段)由业务决定,结构体为key:value的形式组合。
作为一种可选的方案,从访问请求的数据段获取帐号签名数据包括:
S1,从访问请求的数据段获取第一加密数据,其中,第一加密数据是目标帐号使用业务系统的公钥对帐号签名数据进行加密得到的加密数据;
S2,使用业务系统的私钥对第一加密数据进行解密,得到帐号签名数据。
可选地,在本实施例中,目标帐号可以使用业务系统的公钥对帐号签名数据进行加密,由业务系统使用其自身的私钥对第一加密数据进行解密得到帐号签名数据。
可选地,帐号签名数据与身份签名数据也可以但不限于以明文形式封装在访问请求的数据段中。即可以不对帐号签名数据与身份签名数据进行加密处理,直接将其封装在访问请求中,业务系统也就无需通过解密过程来获取帐号签名数据与身份签名数据。从而使得数据的传输和处理过程更加简洁,提高数据传输和处理的速度。
作为一种可选的方案,响应访问请求执行目标访问操作包括:
S1,从访问请求的数据段获取第二加密数据,其中,第二加密数据是目标帐号使用业务系统的公钥对请求数据进行加密得到的加密数据,请求数据是用于请求对业务系统执行目标访问操作的数据;
S2,使用业务系统的公钥对第二加密数据进行解密,得到请求数据;
S3,响应请求数据执行目标访问操作。
可选地,在本实施例中,业务系统采用其自身的私钥对数据段中加密消息进行解密,获取交互内容,并响应交互内容。
可选地,在本实施例中,在CDTP协议的报文数据段中,将身份标识与实际要交互的具体内容一起使用业务系统的公钥加密,由此可方便传递身份信息,且禁止了用户被仿冒的可能。
作为一种可选的方案,访问请求中还携带有目标帐号的目标设备标识,其中,在判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作之前,还包括:
S1,从访问请求的数据段获取设备签名数据,其中,设备签名数据是目标帐号使用设备私钥对目标设备标识进行签名得到的数据;
S2,使用设备公钥对设备签名数据进行验签;
S3,在设备签名数据验签通过的情况下,判断是否允许目标设备标识对业务系统执行目标访问操作;
其中,在判断出允许目标设备标识对业务系统执行目标访问操作的情况下,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作。
可选地,在本实施例中,可根据业务系统要求,在目标帐号发送报文时,在数据段中增加设备签名数据,通过采用设备私钥对设备标识进行签名获得;业务系统在验证时,可增加对设备的验证,采用设备公钥对设备签名数据验签,验签通过,则确认消息来源于设备公钥对应的设备,此时可根据设备白/黑名单,或设备权限进行确认,设备在白名单中,或没在黑名单中,且设备符合预设权限规则,则验证通过。若设备在黑名单中,或没在白名单中,或设备不符合预设权限规则,则返回目标帐号拒绝信息。
作为一种可选的方案,在接收目标帐号发送的访问请求之前,还包括:
S1,接收目标帐号发送的注册请求,其中,注册请求用于请求获得访问业务系统的权限,注册请求中携带有目标帐号的帐号指纹数据,帐号指纹数据包括待注册的身份标识、待注册的身份标识对应的身份公钥和目标帐号的帐号公钥;
S2,响应注册请求向目标帐号发送业务系统的公钥,并记录目标帐号与待注册的身份标识之间的对应关系。
可选地,在本实施例中,用户可以通过在业务系统上注册目标帐号对应的多个身份标识来获取访问权限。业务系统可以为各个身份标识确定访问权限。
可选地,在本实施例中,目标帐号与想要交互的业务系统发起TCP 连接,传递自身的帐号指纹数据,包括:身份标识信息、身份公钥、帐号公钥,其中,身份标识信息可以是业务系统为该帐号的该身份分配的唯一标识符,用于标识帐号的身份。业务系统返回自身的指纹信息,例如,若业务系统是服务器,其指纹信息可以是其设备ID及设备公钥。交互两端保存所有需要连接方的相关指纹信息。再进行交互时,即可安全的互联互通。
根据本发明实施例的另一个方面,提供了另一种访问操作的执行方法,如图2所示,该方法包括:
S202,向业务系统发送访问请求,其中,访问请求用于请求对业务系统执行目标访问操作,访问请求中携带有目标身份标识,目标身份标识用于标识目标帐号发起访问请求所使用的目标身份,目标帐号为在业务系统上注册的帐号,业务系统记录了目标帐号所对应的多个身份标识,多个身份标识包括目标身份标识;
S204,接收业务系统响应访问请求发送的响应数据,其中,响应数据是业务系统在判断出记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作所得到的数据,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作。
可选地,在本实施例中,上述访问操作的执行方法可以但不限于应用于在业务系统上注册了目标帐号的用户设备。
作为一种可选的方案,在向业务系统发送访问请求之后,还包括:
接收业务系统响应访问请求发送的拒绝信息,其中,拒绝信息是业务系统在判断出业务系统记录的允许目标身份执行的操作中不包括目标访问操作的情况下生成的用于拒绝目标帐号对业务系统执行目标访问操作的信息。
可选地,在本实施例中,如果目标身份标识的认证没有通过,那么目标帐号将被拒绝使用目标身份在业务系统上执行目标访问操作。
作为一种可选的方案,在向业务系统发送访问请求之前,方法还包括:
S1,使用目标身份标识所对应的身份私钥对目标身份标识和身份公钥进行签名得到身份签名数据;
S2,使用目标帐号的帐号私钥对目标帐号的帐号指纹数据和身份签名数据进行签名得到帐号签名数据,其中,帐号指纹数据包括目标身份标识、目标身份标识对应的身份公钥和目标帐号的帐号公钥;
S3,生成携带有目标身份标识和帐号签名数据的访问请求。
可选地,在本实施例中,目标帐号随机生成自己的帐号公私钥对和身份公私钥对,并采用随机生成的身份私钥对身份指纹(即目标身份标识) 和身份公钥进行签名,获得身份签名数据,采用随机生成的帐号私钥对帐号指纹(包括目标身份标识、目标身份标识对应的身份公钥和目标帐号的帐号公钥)和身份签名数据进行签名,获得帐号签名数据,根据传输协议格式组装报文,将身份签名数据和帐号签名数据放入报文的数据段中。
可选地,在本实施例中,访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
标头字段携带有目标身份标识、帐号公钥和身份公钥,信息字段携带有帐号签名数据和请求数据,请求数据为用于请求对业务系统执行目标访问操作的数据。
作为一种可选的方案,生成携带有目标身份标识和帐号签名数据的访问请求包括:
S1,使用业务系统的公钥对帐号签名数据进行加密得到第一加密数据;
S2,将第一加密数据封装到访问请求的数据段中。
可选地,在本实施例中,在传输协议的报文数据段中,将身份指纹与实际要交互的具体内容一起使用业务系统的公钥加密,由此可方便传递身份信息,且禁止了帐号被仿冒的可能。
可选地,帐号签名数据与身份签名数据也可以但不限于以明文形式封装在访问请求的数据段中。即可以不对帐号签名数据与身份签名数据进行加密处理,直接将其封装在访问请求中,业务系统也就无需通过解密过程来获取帐号签名数据与身份签名数据。从而使得数据的传输和处理过程更加简洁,提高数据传输和处理的速度。
作为一种可选的方案,在向业务系统发送访问请求之前,方法还包括:
S1,使用业务系统的公钥对请求数据进行加密得到第二加密数据,其中,请求数据用于请求对业务系统执行目标访问操作;
S2,将第二加密数据封装到访问请求的数据段中。
可选地,在本实施例中,可以使用业务系统的公钥对具体的请求内容进行加密,从而确保数据的安全性。
作为一种可选的方案,在向业务系统发送访问请求之前,方法还包括:
S1,使用设备私钥对目标设备标识进行签名得到设备签名数据,其中,设备签名数据用于设备身份认证;
S2,将设备签名数据封装到访问请求的数据段中。
可选地,在本实施例中,目标帐号还可以将设备标识的签名数据封装在访问请求的数据段中,以使业务系统对设备标识的身份进行验证。
作为一种可选的方案,在向业务系统发送访问请求之前,方法还包括:
S1,向业务系统发送注册请求,其中,注册请求用于请求获得访问业务系统的权限,注册请求中携带有目标帐号的帐号指纹数据,帐号指纹数据包括待注册的身份标识、待注册的身份标识对应的身份公钥和目标帐号的帐号公钥;
S2,接收业务系统响应注册请求返回的业务系统的公钥。
可选地,在本实施例中,目标帐号可以但不限于在业务系统上注册多个身份标识,业务系统为各个身份标识分配权限并返回给目标帐号。目标帐号就可以与业务系统建立通信连接访问业务系统。建立连接的过程中,双方可以互换指纹信息。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如 ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种用于实施上述访问操作的执行方法的访问操作的执行装置,如图3所示,该装置包括:
第一接收模块32,用于接收目标帐号发送的访问请求,其中,访问请求用于请求对业务系统执行目标访问操作,访问请求中携带有目标身份标识,目标帐号为在业务系统上注册的帐号,目标身份标识用于标识目标帐号发起访问请求所使用的目标身份,业务系统记录了目标帐号所对应的多个身份标识,多个身份标识包括目标身份标识;
第一判断模块34,用于判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作;
执行模块36,用于在判断出业务系统记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作。
作为一种可选的方案,上述装置还包括:
拒绝模块,用于在判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作之后,在判断出业务系统记录的允许目标身份执行的操作中不包括目标访问操作的情况下,拒绝目标帐号对业务系统执行目标访问操作。
作为一种可选的方案,第一判断模块包括:
查找单元,用于从具有对应关系的目标身份标识和目标操作中查找目标访问操作,其中,目标操作包括允许目标帐号以目标身份执行的操作。
作为一种可选的方案,第一判断模块包括:
第一获取单元,用于从访问请求的数据段获取帐号签名数据,其中,帐号签名数据是目标帐号使用目标帐号的帐号私钥对目标帐号的帐号指纹数据和身份签名数据进行签名得到的数据,身份签名数据是目标帐号使用目标身份标识所对应的身份私钥对目标身份标识和身份公钥进行签名得到的数据,帐号指纹数据包括目标身份标识、目标身份标识对应的身份公钥和目标帐号的帐号公钥;
第一验签单元,用于使用目标帐号的帐号公钥对帐号签名数据进行验签;
第二验签单元,用于在帐号签名数据验签通过,并且帐号指纹数据中携带的帐号公钥在公钥列表中的情况下,使用身份公钥对身份签名数据进行验签,其中,公钥列表中记录了允许访问业务系统的公钥;
判断单元,用于在身份签名数据验签通过的情况下,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作。
作为一种可选的方案,第一获取单元包括:
获取子单元,用于从访问请求的数据段获取第一加密数据,其中,第一加密数据是目标帐号使用业务系统的公钥对帐号签名数据进行加密得到的加密数据;
解密子单元,用于使用业务系统的公钥对第一加密数据进行解密,得到帐号签名数据。
作为一种可选的方案,执行模块包括:
第二获取单元,用于从访问请求的数据段获取第二加密数据,其中,第二加密数据是目标帐号使用业务系统的公钥对请求数据进行加密得到的加密数据,请求数据是用于请求对业务系统执行目标访问操作的数据;
解密单元,用于使用业务系统的公钥对第二加密数据进行解密,得到请求数据;
执行单元,用于响应请求数据执行目标访问操作。
作为一种可选的方案,访问请求中还携带有目标帐号的目标设备标识,其中,上述装置还包括:
获取模块,用于在判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作之前,从访问请求的数据段获取设备签名数据,其中,设备签名数据是目标帐号使用设备私钥对目标设备标识进行签名得到的数据;
验签模块,用于使用设备公钥对设备签名数据进行验签;
第二判断模块,用于在设备签名数据验签通过的情况下,判断是否允许目标设备标识对业务系统执行目标访问操作;
其中,在判断出允许目标设备标识对业务系统执行目标访问操作的情况下,判断业务系统记录的允许目标身份执行的操作中是否包括目标访问操作。
作为一种可选的方案,上述装置还包括:
第二接收模块,用于在接收目标帐号发送的访问请求之前,接收目标帐号发送的注册请求,其中,注册请求用于请求获得访问业务系统的权限,注册请求中携带有目标帐号的帐号指纹数据,帐号指纹数据包括待注册的身份标识、待注册的身份标识对应的身份公钥和目标帐号的帐号公钥;
确定模块,用于响应注册请求向目标帐号发送业务系统的公钥,并记录目标帐号与待注册的身份标识之间的对应关系。
作为一种可选的方案,访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
标头字段携带有目标身份标识、帐号公钥和身份公钥,信息字段携带有帐号签名数据和请求数据,请求数据为用于请求对业务系统执行目标访问操作的数据。
根据本发明实施例的另一个方面,还提供了另一种用于实施上述访问操作的执行方法的访问操作的执行装置,如图4所示,该装置包括:
第三发送模块42,用于向业务系统发送访问请求,其中,访问请求用于请求对业务系统执行目标访问操作,访问请求中携带有目标身份标识,目标身份标识用于标识目标帐号发起访问请求所使用的目标身份,目标帐号为在业务系统上注册的帐号,业务系统记录了目标帐号所对应的多个身份标识,多个身份标识包括目标身份标识;
第四接收模块44,用于接收业务系统响应访问请求发送的响应数据,其中,响应数据是业务系统在判断出记录的允许目标身份执行的操作中包括目标访问操作的情况下,响应访问请求对业务系统执行目标访问操作所得到的数据,其中,业务系统记录了允许多个身份标识中的每个身份标识所标识的身份执行的操作。
作为一种可选的方案,上述装置还包括:
第五接收模块,用于在向业务系统发送访问请求之后,接收业务系统响应访问请求发送的拒绝信息,其中,拒绝信息是业务系统在判断出业务系统记录的允许目标身份执行的操作中不包括目标访问操作的情况下生成的用于拒绝目标帐号对业务系统执行目标访问操作的信息。
作为一种可选的方案,上述装置还包括:
第一签名模块,用于在向业务系统发送访问请求之前,使用目标身份标识所对应的身份私钥对目标身份标识和身份公钥进行签名得到身份签名数据;
第二签名模块,用于使用目标帐号的帐号私钥对目标帐号的帐号指纹数据和身份签名数据进行签名得到帐号签名数据,其中,帐号指纹数据包括目标身份标识、目标身份标识对应的身份公钥和目标帐号的帐号公钥;
生成模块,用于生成携带有目标帐号、目标身份标识和帐号签名数据的访问请求。
作为一种可选的方案,生成模块包括:
加密单元,用于使用业务系统的公钥对帐号签名数据进行加密得到第一加密数据;
封装单元,用于将第一加密数据封装到访问请求的数据段中。
作为一种可选的方案,上述装置还包括:
加密模块,用于在向业务系统发送访问请求之前,使用业务系统的公钥对请求数据进行加密得到第二加密数据,其中,请求数据用于请求对业务系统执行目标访问操作;
第一封装模块,用于将第二加密数据封装到访问请求的数据段中。
作为一种可选的方案,上述装置还包括:
第三签名模块,用于在向业务系统发送访问请求之前,使用设备私钥对目标设备标识进行签名得到设备签名数据,其中,设备签名数据用于设备身份认证;
第二封装模块,用于将设备签名数据封装到访问请求的数据段中。
作为一种可选的方案,上述装置还包括:
第四发送模块,用于在向业务系统发送访问请求之前,向业务系统发送注册请求,其中,注册请求用于请求获得访问业务系统的权限,注册请求中携带有目标帐号的帐号指纹数据,帐号指纹数据包括待注册的身份标识、待注册的身份标识对应的身份公钥和目标帐号的帐号公钥;
第六接收模块,用于接收业务系统响应注册请求返回的业务系统的公钥。
作为一种可选的方案,访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
标头字段携带有目标身份标识、帐号公钥和身份公钥,信息字段携带有帐号签名数据和请求数据,请求数据为用于请求对业务系统执行目标访问操作的数据。
本发明实施例的应用环境可以但不限于参照上述实施例中的应用环境,本实施例中对此不再赘述。本发明实施例提供了用于实施上述实时通信的连接方法的一种可选的具体应用示例。
作为一种可选的实施例,上述访问操作的执行方法可以但不限于应用于基于CDTP协议的主体请求对客体进行访问操作的场景中。在本场景中,主体在客体上注册了目标帐号以及目标帐号对应的多个身份标识。客体为主体的各个身份标识分配了对应的权限。主体随机生成自己的帐号公私钥对和身份公私钥对。主体与客体发起TCP连接,传递自身的帐号指纹信息,其中,帐号指纹信息包括:身份指纹信息、身份公钥、帐号公钥,其中,身份指纹信息可以是注册业务系统时,业务系统分配的用于标识身份的唯一标识符;帐号指纹信息用于标识用户。客体返回自身的指纹信息,例如,若客体是服务器,其指纹信息可以是其设备ID和设备公钥。交互两端保存所有需要连接方的相关指纹信息。再进行交互时,即可安全的互联互通。具体交互时,各应用在业务线上的使用,双方可根据业务需求选择不同的加密算法进行加解密,以支持业务的不同需求和正常运转。
主体采用随机生成的身份私钥对身份标识信息和身份公钥进行签名,获得身份签名数据,并采用随机生成的帐号私钥对帐号指纹信息和身份签名数据进行签名,获得帐号签名数据。根据CDTP协议格式组装报文,将携带有身份签名数据的帐号签名数据放入报文的数据段中。
客体采用帐号公钥对帐号签名数据进行验签,验签通过,即确认消息来源于帐号公钥对应的目标帐号,此时可根据授权设置对帐号权限进行确认,帐号权限符合预设规则,则进行身份验证;采用身份公钥对身份签名数据进行验签,验签通过,即确认消息来源于目标帐号的身份公钥对应的身份,此时可根据授权设置对该目标帐号的该身份的权限进行确认,身份权限符合预设规则,则验证通过;客体采用其私钥对数据段中加密消息进行解密,获取交互内容,并响应交互内容。
上述方式中的混合认证包括:原始用户口令认证、设备认证、帐号指纹认证、身份指纹认证等,可根据认证级别、安全级别,组合使用,以提高信息传输的安全性、可靠性。
根据本发明实施例的又一个方面,还提供了一种用于实施上述访问操作的执行的电子装置,如图5所示,该电子装置包括:一个或多个(图中仅示出一个)处理器502、存储器504、传感器506、编码器508以及传输装置510,该存储器中存储有计算机程序,该处理器被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收目标帐号发送的访问请求,其中,所述访问请求用于请求对业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标帐号为在所述业务系统上注册的帐号,所述目标身份标识用于标识所述目标帐号发起所述访问请求所使用的目标身份,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
S2,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作;
S3,在判断出所述业务系统记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作。
可选地,本领域普通技术人员可以理解,图5所示的结构仅为示意,电子装置也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图5其并不对上述电子装置的结构造成限定。例如,电子装置还可包括比图5中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图5所示不同的配置。
其中,存储器504可用于存储软件程序以及模块,如本发明实施例中的访问操作的执行方法和装置对应的程序指令/模块,处理器502通过运行存储在存储器504内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的目标组件的控制方法。存储器504可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器504可进一步包括相对于处理器502远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置510用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置510包括一个网络适配器(NetworkInterface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置510为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器504用于存储应用程序。
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收目标帐号发送的访问请求,其中,所述访问请求用于请求对业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标帐号为在所述业务系统上注册的帐号,所述目标身份标识用于标识所述目标帐号发起所述访问请求所使用的目标身份,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
S2,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作;
S3,在判断出所述业务系统记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作。
可选地,存储介质还被设置为存储用于执行上述实施例中的方法中所包括的步骤的计算机程序,本实施例中对此不再赘述。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种访问操作的执行方法,其特征在于,包括:
接收目标帐号发送的访问请求,其中,所述访问请求用于请求对业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标帐号为在所述业务系统上注册的帐号,所述目标身份标识用于标识所述目标帐号发起所述访问请求所使用的目标身份,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作;
在判断出所述业务系统记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作,
判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作包括:
从所述访问请求的数据段获取帐号签名数据,其中,所述帐号签名数据是所述目标帐号使用所述目标帐号的帐号私钥对所述目标帐号的帐号指纹数据和身份签名数据进行签名得到的数据,所述身份签名数据是所述目标帐号使用所述目标身份标识所对应的身份私钥对所述目标身份标识和身份公钥进行签名得到的数据,所述帐号指纹数据包括所述目标身份标识、所述目标身份标识对应的身份公钥和所述目标帐号的帐号公钥;
使用所述目标帐号的帐号公钥对所述帐号签名数据进行验签;
在所述帐号签名数据验签通过,并且所述帐号指纹数据中携带的帐号公钥在公钥列表的情况下,使用身份公钥对所述身份签名数据进行验签,其中,所述公钥列表中记录了允许访问所述业务系统的公钥;
在所述身份签名数据验签通过的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
2.根据权利要求1所述的方法,其特征在于,在判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作之后,所述方法还包括:
在判断出所述业务系统记录的允许所述目标身份执行的操作中不包括所述目标访问操作的情况下,拒绝所述目标帐号对所述业务系统执行所述目标访问操作。
3.根据权利要求1所述的方法,其特征在于,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作包括:
从具有对应关系的目标身份标识和目标操作中查找所述目标访问操作,其中,所述目标操作包括允许所述目标帐号以所述目标身份执行的操作。
4.根据权利要求1所述的方法,其特征在于,从所述访问请求的数据段获取帐号签名数据包括:
从所述访问请求的数据段获取第一加密数据,其中,所述第一加密数据是所述目标帐号使用所述业务系统的公钥对所述帐号签名数据进行加密得到的加密数据;
使用所述业务系统的私钥对所述第一加密数据进行解密,得到所述帐号签名数据。
5.根据权利要求1所述的方法,其特征在于,响应所述访问请求执行所述目标访问操作包括:
从所述访问请求的数据段获取第二加密数据,其中,所述第二加密数据是所述目标帐号使用所述业务系统的公钥对请求数据进行加密得到的加密数据,所述请求数据是用于请求对业务系统执行所述目标访问操作的数据;
使用所述业务系统的私钥对所述第二加密数据进行解密,得到所述请求数据;
响应所述请求数据执行所述目标访问操作。
6.根据权利要求1所述的方法,其特征在于,所述访问请求中还携带有所述目标帐号的目标设备标识,其中,在判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作之前,所述方法还包括:
从所述访问请求的数据段获取设备签名数据,其中,所述设备签名数据是所述目标帐号使用设备私钥对所述目标设备标识进行签名得到的数据;
使用设备公钥对所述设备签名数据进行验签;
在所述设备签名数据验签通过的情况下,判断是否允许所述目标设备标识对所述业务系统执行所述目标访问操作;
其中,在判断出允许所述目标设备标识对所述业务系统执行所述目标访问操作的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
7.根据权利要求1所述的方法,其特征在于,在接收所述目标帐号发送的所述访问请求之前,所述方法还包括:
接收所述目标帐号发送的注册请求,其中,所述注册请求用于请求获得访问所述业务系统的权限,所述注册请求中携带有所述目标帐号的帐号指纹数据,所述帐号指纹数据包括待注册的身份标识、所述待注册的身份标识对应的身份公钥和所述目标帐号的帐号公钥;
响应所述注册请求向所述目标帐号发送所述业务系统的公钥,并记录所述目标帐号与所述待注册的身份标识之间的对应关系。
8.根据权利要求1所述的方法,其特征在于,所述访问请求包括以下字段:
协议名字段,资源服务器名字段,指令编码字段,协议版本号字段,数据段内容字段,报文长度字段以及报文校验码字段;
其中,所述数据段内容字段包括以下字段:主算法字段,签名算法字段,签名方式字段,标头字段和信息字段;
所述标头字段携带有所述目标身份标识、所述帐号公钥和所述身份公钥,所述信息字段携带有所述帐号签名数据和请求数据,所述请求数据为用于请求对业务系统执行所述目标访问操作的数据。
9.一种访问操作的执行装置,其特征在于,包括:
第一接收模块,用于接收目标帐号发送的访问请求,其中,所述访问请求用于请求对业务系统执行目标访问操作,所述访问请求中携带有目标身份标识,所述目标帐号为在所述业务系统上注册的帐号,所述目标身份标识用于标识所述目标帐号发起所述访问请求所使用的目标身份,所述业务系统记录了所述目标帐号所对应的多个身份标识,所述多个身份标识包括所述目标身份标识;
第一判断模块,用于判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作,其中,所述业务系统记录了允许所述多个身份标识中的每个身份标识所标识的身份执行的操作;
执行模块,用于在判断出所述业务系统记录的允许所述目标身份执行的操作中包括所述目标访问操作的情况下,响应所述访问请求对所述业务系统执行所述目标访问操作;
所述第一判断模块包括:
第一获取单元,用于从所述访问请求的数据段获取帐号签名数据,其中,所述帐号签名数据是所述目标帐号使用所述目标帐号的帐号私钥对所述目标帐号的帐号指纹数据和身份签名数据进行签名得到的数据,所述身份签名数据是所述目标帐号使用所述目标身份标识所对应的身份私钥对所述目标身份标识和身份公钥进行签名得到的数据,所述帐号指纹数据包括所述目标身份标识、所述目标身份标识对应的身份公钥和所述目标帐号的帐号公钥;
第一验签单元,用于使用所述目标帐号的帐号公钥对所述帐号签名数据进行验签;
第二验签单元,用于在所述帐号签名数据验签通过,并且所述帐号指纹数据中携带的帐号公钥在公钥列表的情况下,使用身份公钥对所述身份签名数据进行验签,其中,所述公钥列表中记录了允许访问所述业务系统的公钥;
判断单元,用于在所述身份签名数据验签通过的情况下,判断所述业务系统记录的允许所述目标身份执行的操作中是否包括所述目标访问操作。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为处理器运行时执行所述权利要求1至8任一项中所述的方法。
11.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至8任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910550688.3A CN110351254B (zh) | 2019-06-24 | 2019-06-24 | 访问操作的执行方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910550688.3A CN110351254B (zh) | 2019-06-24 | 2019-06-24 | 访问操作的执行方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110351254A CN110351254A (zh) | 2019-10-18 |
| CN110351254B true CN110351254B (zh) | 2021-12-14 |
Family
ID=68182806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910550688.3A Active CN110351254B (zh) | 2019-06-24 | 2019-06-24 | 访问操作的执行方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351254B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147447A (zh) * | 2019-12-03 | 2020-05-12 | 苏宁云计算有限公司 | 一种数据的保护方法及系统 |
| WO2021176713A1 (ja) * | 2020-03-06 | 2021-09-10 | 三菱電機株式会社 | 通信端末、通信装置、通信管理装置、通信システム、ネットワーク参入方法およびネットワーク参入プログラム |
| CN113486060B (zh) * | 2021-06-25 | 2023-06-16 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847247A (zh) * | 2016-03-21 | 2016-08-10 | 飞天诚信科技股份有限公司 | 一种认证系统及其工作方法 |
| CN108881232A (zh) * | 2018-06-21 | 2018-11-23 | 北京海泰方圆科技股份有限公司 | 业务系统的登录访问方法、装置、存储介质和处理器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752313B (zh) * | 2012-07-18 | 2015-07-29 | 北京开心人信息技术有限公司 | 一种即时通信工具中用户多身份的方法及装置 |
| US9009787B2 (en) * | 2012-07-25 | 2015-04-14 | Oracle International Corporation | System and method of mapping and protecting communication services with OAuth |
| CN109510849B (zh) * | 2017-09-14 | 2021-06-25 | 腾讯科技(深圳)有限公司 | 云存储的帐号鉴权方法和装置 |
| CN109327314B (zh) * | 2018-11-08 | 2021-07-13 | 创新先进技术有限公司 | 业务数据的访问方法、装置、电子设备和系统 |
-
2019
- 2019-06-24 CN CN201910550688.3A patent/CN110351254B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847247A (zh) * | 2016-03-21 | 2016-08-10 | 飞天诚信科技股份有限公司 | 一种认证系统及其工作方法 |
| CN108881232A (zh) * | 2018-06-21 | 2018-11-23 | 北京海泰方圆科技股份有限公司 | 业务系统的登录访问方法、装置、存储介质和处理器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110351254A (zh) | 2019-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105554098B (zh) | 一种设备配置方法、服务器及系统 | |
| CN110351254B (zh) | 访问操作的执行方法及装置 | |
| CN108537046A (zh) | 一种基于区块链技术的在线合同签署系统及方法 | |
| CN108512862A (zh) | 基于无证书标识认证技术的物联网终端安全认证管控平台 | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| US11177963B2 (en) | Method for authenticating a user based on an image relation rule and corresponding first user device, server and system | |
| CN109618341A (zh) | 一种数字签名认证方法、系统、装置以及存储介质 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN102725995A (zh) | 至少部分地在节点之间建立安全通信信道以至少部分地允许节点之间至少部分地执行的经加密通信的检查 | |
| CN101662458A (zh) | 一种认证方法 | |
| CN104378379A (zh) | 一种数字内容加密传输方法、设备和系统 | |
| CN108737080A (zh) | 密码的存储方法、装置、系统及设备 | |
| CN108833431A (zh) | 一种密码重置的方法、装置、设备及存储介质 | |
| CN114390524B (zh) | 一键登录业务的实现方法和装置 | |
| CN112099964A (zh) | 接口的调用方法、装置、存储介质及电子装置 | |
| CN106339623B (zh) | 登录方法和装置 | |
| CN107911344A (zh) | 一种云平台的安全对接方法 | |
| CN106230860A (zh) | 发送流媒体的方法和装置 | |
| CN113965425B (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| CN109409109A (zh) | 网络服务中的数据处理方法、装置、处理器及服务器 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN105306577A (zh) | 基于app的手持设备间的资料共享系统及方法 | |
| CN110602218B (zh) | 一种自定义组装云服务的方法及相关装置 | |
| CN116232700A (zh) | 登录认证方法、装置、计算机设备、存储介质 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191125 Address after: 102300 no.6-1-21, office building, building 20, Pudong, Mentougou District, Beijing Applicant after: Beijing Siyuan ideal Holding Group Co., Ltd Address before: 100102 No. 301, No. 316 building, Nanhu garden, Chaoyang District, Beijing 18 Applicant before: Beijing Siyuan Internet Technology Co. Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220517 Address after: 214135 room 1150, building B, swan tower, Wuxi Software Park, No. 111, Linghu Avenue, Xinwu District, Wuxi City, Jiangsu Province Patentee after: Langxin Data Technology Co.,Ltd. Address before: 102300 6-1-21, office building, building 20, Pudong, Mentougou District, Beijing Patentee before: Beijing Siyuan ideal Holding Group Co.,Ltd. |
|
| TR01 | Transfer of patent right |