CN111245830B - 一种非对称加密的无中心化的用户认证和授权方法 - Google Patents

一种非对称加密的无中心化的用户认证和授权方法 Download PDF

Info

Publication number
CN111245830B
CN111245830B CN202010025109.6A CN202010025109A CN111245830B CN 111245830 B CN111245830 B CN 111245830B CN 202010025109 A CN202010025109 A CN 202010025109A CN 111245830 B CN111245830 B CN 111245830B
Authority
CN
China
Prior art keywords
user
authorization
access control
control agent
credential
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010025109.6A
Other languages
English (en)
Other versions
CN111245830A (zh
Inventor
高守贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Zhongke Hexun Technology Co ltd
Original Assignee
Chengdu Zhongke Hexun Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Zhongke Hexun Technology Co ltd filed Critical Chengdu Zhongke Hexun Technology Co ltd
Priority to CN202010025109.6A priority Critical patent/CN111245830B/zh
Publication of CN111245830A publication Critical patent/CN111245830A/zh
Application granted granted Critical
Publication of CN111245830B publication Critical patent/CN111245830B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种非对称加密的无中心化的用户认证和授权方法,该通过引入访问控制代理,实现了在微服务场景下进行大规模服务的无中心化认证操作,并且该无中心化认证操作的透明化服务过程能够有效地避免认证与授权在系统中的单点和性能问题,同该方法还能够通过访问控制代理针对相应的服务生产端做细粒度配置,从而实现业务权限的细粒度控制,此外,该方法还通过非对称加密方式对用户请求进行加密,从而大大地提高系统进行用户请求和用户响应的保密性。

Description

一种非对称加密的无中心化的用户认证和授权方法
技术领域
本发明涉及分布式网络服务的技术领域,尤其涉及一种非对称加密的无中心化的用户认证和授权方法。
背景技术
目前,在分布式网络服务接入场景中,通常是采用前置API网关技术将API网格暴露给用户以及屏蔽具体业务接口来实现的,其中利用API网关实现将用户请求路由到适当的具体业务,以便于对用户的具体请求作出相应,并且API网格还根据配置的规则对用户请求进行处理和判断,并决定是否放行相应的请求,其主要包括通过中心化的API网格接收来自网络的请求、通过中心化的API网格根据用户凭证信息和权限规则决定是否放行用户请求、以及获取请求路由信息和将相关请求信息和授权信息发送至相应的后端服务以响应用户的请求者三个主要步骤。但是,上述用户认证和授权的方式是依赖相应的中心化API网格来实现的,这会导致该中心化API网格长时间处于高任务负荷的状态而降低其服务响应效率,并且该方式也不利于实现对用户请求的保密传输和处理。
发明内容
针对上述现有技术存在的缺陷,本发明提供一种非对称加密的无中心化的用户认证和授权方法,该非对称加密的无中心化的用户认证和授权方法包括如下步骤:步骤S1,通过访问控制代理,以非对称加密方式生成关于用户请求的用户凭证,以及通过主代理,对该用户凭证的有效性进行第一判断处理;步骤S2,根据该第一判断处理的结果,对该用户凭证进行授权验证处理或者重定向处理;步骤S3,根据该授权认证处理的结果,对用户进行权限授予或者权限拒绝的响应;步骤S4,根据该重定向处理的结果,对该用户凭证进行事实正确与否的第二判断处理,以此实现对该用户凭证的适应性变换处理;可见,该非对称加密的无中心化的用户认证和授权方法通过引入访问控制代理,实现了在微服务场景下进行大规模服务的无中心化认证操作,并且该无中心化认证操作的透明化服务过程能够有效地避免认证与授权在系统中的单点和性能问题,同该方法还能够通过访问控制代理针对相应的服务生产端做细粒度配置,从而实现业务权限的细粒度控制,此外,该方法还通过非对称加密方式对用户请求进行加密,从而大大地提高系统进行用户请求和用户响应的保密性。
本发明提供一种非对称加密的无中心化的用户认证和授权方法,其特征在于,所述非对称加密的无中心化的用户认证和授权方法包括如下步骤:
步骤S1,通过访问控制代理,以非对称加密方式生成关于用户请求的用户凭证,以及通过主代理,对所述用户凭证的有效性进行第一判断处理;
步骤S2,根据所述第一判断处理的结果,对所述用户凭证进行授权验证处理或者重定向处理;
步骤S3,根据所述授权认证处理的结果,对用户进行权限授予或者权限拒绝的响应;
步骤S4,根据所述重定向处理的结果,对所述用户凭证进行事实正确与否的第二判断处理,以此实现对所述用户凭证的适应性变换处理;
进一步,在所述步骤S1中,通过访问控制代理,以非对称加密方式生成关于用户请求的用户凭证,以及通过主代理,对所述用户凭证的有效性进行第一判断处理具体包括,
步骤S101,对服务消费端和服务生产端两者分别部署相应的第一访问控制代理和第二访问控制代理;
步骤S102,通过所述第一访问控制代理,以所述非对称加密方式生成所述用户凭证;
步骤S103,将所述用户凭证同步到所述主代理,以通过所述主代理进行所述第一判断处理;
进一步,在所述步骤S101中,对服务消费端和服务生产端两者分别部署相应的第一访问控制代理和第二访问控制代理具体包括,
步骤S1011,在所述服务消费端的数据传输口通过预设接口与所述第一访问控制代理进行中转连接;
步骤S1012,在所述服务生产端的数据传输口通过环回地址或者主机内部地址的模式与所述第二访问控制代理进行中转连接;
步骤S1013,将所述第一访问控制代理和所述第二访问控制代理共同形成相互同步的状态;
步骤S1014,通过所述第一访问控制代理和所述第二访问控制代理,分别将所述服务消费端和所述服务生产端接入至认证授权配置数据库;
或者,
在所述步骤S102中,通过所述第一访问控制代理,以所述非对称加密方式生成所述用户凭证具体包括,
步骤S1021,通过所述第一访问控制代理,获取来自用户的私钥;
步骤S1022,根据所述私钥,对来所述服务消费端的用户请求进行非对称加密处理,以生成所述用户凭证;
步骤S1023,在所述用户凭证生成完毕后,通过所述第一访问控制代理,将所述私钥返回至所述用户;
或者,
在所述步骤S103中,将所述用户凭证同步到所述主代理,以通过所述主代理进行所述第一判断处理具体包括,
步骤S1031,将所述第一访问控制代理和所述第二访问控制代理分别同步至对应的所述服务消费端和所述服务生产端;
步骤S1032,采用Raft选举协议在所述第一访问控制代理和所述第二访问控制代理之间产生所述主代理;
步骤S1033,将所述用户凭证同步到所述主代理,并通过所述主代理判断所述用户凭证是否具有有效性;
进一步,在所述步骤S2中,根据所述第一判断处理的结果,对所述用户凭证进行授权验证处理或者重定向处理具体包括,
步骤S201,若所述第一判断处理确定所述用户凭证具有有效性,则对所述用户凭证进行所述授权验证处理;
步骤S202,若所述第一判断处理确定所述用户凭证不具有有效性,则对所述用户凭证进行所述重定向处理;
进一步,在所述步骤S3中,根据所述授权认证处理的结果,对用户进行权限授予或者权限拒绝的响应具体包括,
步骤S301,从所述用户凭证中提取关于用户请求的验证码,并将所述验证码与授权配置数据库进行匹配,以实现所述授权认证处理;
步骤S302,若所述验证码匹配于所述授权配置数据库,则对所述用户进行权限授予的响应操作;
步骤S303,若所述验证码不匹配于所述授权配置数据库,则对所述用户进行授权拒绝的响应操作;
进一步,在所述步骤S301中,从所述用户凭证中提取关于用户请求的验证码,并将所述验证码与授权配置数据库进行匹配,以实现所述授权认证处理具体包括,
步骤S3011,根据所述用户凭证对应的服务消费端的用户识别序列码,对所述用户凭证进行码变换处理,以生成所述验证码;
步骤S3012,将所述验证码与所述授权配置数据库中的关于所有用户的配置参数进行匹配处理,以实现所述授权认证处理;
或者,
在所述步骤S302中,若所述验证码匹配于所述授权配置数据库,则对所述用户进行权限授予的响应操作具体包括,
步骤S3021,若所述验证码与所述授权配置数据库中的关于所有用户的配置参数相匹配,则确定所述用户凭证处于请求权限合法状态;
步骤S3022,根据所述请求权限合法状态,将所述用户凭证对应的用户请求通过相应的访问控制代理传送至相应的服务生产端;
或者,
在所述步骤S303中,若所述验证码不匹配于所述授权配置数据库,则对所述用户进行授权拒绝的响应操作具体包括,
步骤S3031,若所述验证码与所述授权配置数据库中的关于所有用户的配置参数不匹配,则确定所述用户凭证处于请求权限非法状态;
步骤S3032,根据所述请求权限非法状态,针对所述用户凭证对应的用户请求进行返回提示操作或者直接拒收操作;
进一步,在所述步骤S4中,根据所述重定向处理的结果,对所述用户凭证进行事实正确与否的第二判断处理,以此实现对所述用户凭证的适应性变换处理具体包括,
步骤S401,从所述用户凭证中提取关于用户请求的地址参数,并根据所述地址参数对所述用户凭证进行所述重定向处理;
步骤S402,根据所述重定向处理的结果,获取所述用户凭证对应的输入事实;
步骤S403,对所述用户凭证对应的输入事实进行关于事实正确与否的所述第二判断处理,以此将所述用户凭证变换为另一用户凭证;
进一步,在所述步骤S401中,从所述用户凭证中提取关于用户请求的地址参数,并根据所述地址参数对所述用户凭证进行所述重定向处理具体包括,
步骤S4011,从所述用户凭证中确定其对应的传输路径,并根据所述传输路径提取得到所述关于用户的地址参数;
步骤S4012,根据所述地址参数,从服务消费端中重定向相应的用户凭证;
进一步,在所述步骤S402中,根据所述重定向处理的结果,获取所述用户凭证对应的输入事实具体包括,
步骤S4021,从所述重定向处理的结果中提取所述用户凭证对应的重定向用户请求的请求内容;
步骤S4022,对所述重定向用户请求的请求内容进行解析处理,以获取所述用户凭证对应的输入事实,并对用户进行相应的提示;
进一步,在所述步骤S403中,对所述用户凭证对应的输入事实进行关于事实正确与否的所述第二判断处理,以此将所述用户凭证变换为另一用户凭证具体包括,
步骤S4031,根据用户数据库的用户表征数据,确定所述用户凭证对应的输入事实是否具有正确性,并对用户进行相应的提示;
步骤S4032,若所述用户凭证对应的输入事实具有正确性,则创建另一用户凭证和对所述另一用户凭证进行加密处理;
步骤S4033,将所述另一用户凭证同步至若干不同认证代理。
相比于现有技术,本发明的非对称加密的无中心化的用户认证和授权方法通过引入访问控制代理,实现了在微服务场景下进行大规模服务的无中心化认证操作,并且该无中心化认证操作的透明化服务过程能够有效地避免认证与授权在系统中的单点和性能问题,同该方法还能够通过访问控制代理针对相应的服务生产端做细粒度配置,从而实现业务权限的细粒度控制,此外,该方法还通过非对称加密方式对用户请求进行加密,从而大大地提高系统进行用户请求和用户响应的保密性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种非对称加密的无中心化的用户认证和授权方法的流程示意图。
图2为本发明提供的一种非对称加密的无中心化的用户认证和授权方法对应的系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,为本发明提供的一种非对称加密的无中心化的用户认证和授权方法的流程示意图。该非对称加密的无中心化的用户认证和授权方法包括如下步骤:
步骤S1,通过访问控制代理,以非对称加密方式生成关于用户请求的用户凭证,以及通过主代理,对该用户凭证的有效性进行第一判断处理;
步骤S2,根据该第一判断处理的结果,对该用户凭证进行授权验证处理或者重定向处理;
步骤S3,根据该授权认证处理的结果,对用户进行权限授予或者权限拒绝的响应;
步骤S4,根据该重定向处理的结果,对该用户凭证进行事实正确与否的第二判断处理,以此实现对该用户凭证的适应性变换处理。
优选地,在该步骤S1中,通过访问控制代理,以非对称加密方式生成关于用户请求的用户凭证,以及通过主代理,对该用户凭证的有效性进行第一判断处理具体包括,
步骤S101,对服务消费端和服务生产端两者分别部署相应的第一访问控制代理和第二访问控制代理;
步骤S102,通过该第一访问控制代理,以该非对称加密方式生成该用户凭证;
步骤S103,将该用户凭证同步到该主代理,以通过该主代理进行该第一判断处理。
优选地,在该步骤S101中,对服务消费端和服务生产端两者分别部署相应的第一访问控制代理和第二访问控制代理具体包括,
步骤S1011,在该服务消费端的数据传输口通过预设接口与该第一访问控制代理进行中转连接;
步骤S1012,在该服务生产端的数据传输口通过环回地址或者主机内部地址的模式与该第二访问控制代理进行中转连接;
步骤S1013,将该第一访问控制代理和该第二访问控制代理共同形成相互同步的状态;
步骤S1014,通过该第一访问控制代理和该第二访问控制代理,分别将该服务消费端和该服务生产端接入至认证授权配置数据库。
优选地,在该步骤S102中,通过该第一访问控制代理,以该非对称加密方式生成该用户凭证具体包括,
步骤S1021,通过该第一访问控制代理,获取来自用户的私钥;
步骤S1022,根据该私钥,对来该服务消费端的用户请求进行非对称加密处理,以生成该用户凭证;
步骤S1023,在该用户凭证生成完毕后,通过该第一访问控制代理,将该私钥返回至该用户。
优选地,在该步骤S103中,将该用户凭证同步到该主代理,以通过该主代理进行该第一判断处理具体包括,
步骤S1031,将该第一访问控制代理和该第二访问控制代理分别同步至对应的该服务消费端和该服务生产端;
S1032,采用Raft选举协议在该第一访问控制代理和该第二访问控制代理之间产生该主代理;
步骤S1033,将该用户凭证同步到该主代理,并通过该主代理判断该用户凭证是否具有有效性。
地,在该步骤S2中,根据该第一判断处理的结果,对该用户凭证进行授权验证处理或者重定向处理具体包括,
S201,若该第一判断处理确定该用户凭证具有有效性,则对该用户凭证进行该授权验证处理;
步骤S202,若该第一判断处理确定该用户凭证不具有有效性,则对该用户凭证进行该重定向处理。
优选地,在该步骤S3中,根据该授权认证处理的结果,对用户进行权限授予或者权限拒绝的响应具体包括,
步骤S301,从该用户凭证中提取关于用户请求的验证码,并将该验证码与授权配置数据库进行匹配,以实现该授权认证处理;
步骤S302,若该验证码匹配于该授权配置数据库,则对该用户进行权限授予的响应操作;
步骤S303,若该验证码不匹配于该授权配置数据库,则对该用户进行授权拒绝的响应操作。
优选地,在该步骤S301中,从该用户凭证中提取关于用户请求的验证码,并将该验证码与授权配置数据库进行匹配,以实现该授权认证处理具体包括,
步骤S3011,根据该用户凭证对应的服务消费端的用户识别序列码,对该用户凭证进行码变换处理,以生成该验证码;
步骤S3012,将该验证码与该授权配置数据库中的关于所有用户的配置参数进行匹配处理,以实现该授权认证处理。
优选地,在该步骤S302中,若该验证码匹配于该授权配置数据库,则对该用户进行权限授予的响应操作具体包括,
步骤S3021,若该验证码与该授权配置数据库中的关于所有用户的配置参数相匹配,则确定该用户凭证处于请求权限合法状态;
步骤S3022,根据该请求权限合法状态,将该用户凭证对应的用户请求通过相应的访问控制代理传送至相应的服务生产端。
优选地,在该步骤S303中,若该验证码不匹配于该授权配置数据库,则对该用户进行授权拒绝的响应操作具体包括,
步骤S3031,若该验证码与该授权配置数据库中的关于所有用户的配置参数不匹配,则确定该用户凭证处于请求权限非法状态;
步骤S3032,根据该请求权限非法状态,针对该用户凭证对应的用户请求进行返回提示操作或者直接拒收操作。
优选地,在该步骤S4中,根据该重定向处理的结果,对该用户凭证进行事实正确与否的第二判断处理,以此实现对该用户凭证的适应性变换处理具体包括,
步骤S401,从该用户凭证中提取关于用户请求的地址参数,并根据该地址参数对该用户凭证进行该重定向处理;
步骤S402,根据该重定向处理的结果,获取该用户凭证对应的输入事实;
步骤S403,对该用户凭证对应的输入事实进行关于事实正确与否的该第二判断处理,以此将该用户凭证变换为另一用户凭证。
优选地,在该步骤S401中,从该用户凭证中提取关于用户请求的地址参数,并根据该地址参数对该用户凭证进行该重定向处理具体包括,
步骤S4011,从该用户凭证中确定其对应的传输路径,并根据该传输路径提取得到该关于用户的地址参数;
步骤S4012,根据该地址参数,从服务消费端中重定向相应的用户凭证。
优选地,在该步骤S402中,根据该重定向处理的结果,获取该用户凭证对应的输入事实具体包括,
步骤S4021,从该重定向处理的结果中提取该用户凭证对应的重定向用户请求的请求内容;
步骤S4022,对该重定向用户请求的请求内容进行解析处理,以获取该用户凭证对应的输入事实,并对用户进行相应的提示。
优选地,在该步骤S403中,对该用户凭证对应的输入事实进行关于事实正确与否的该第二判断处理,以此将该用户凭证变换为另一用户凭证具体包括,
步骤S4031,根据用户数据库的用户表征数据,确定该用户凭证对应的输入事实是否具有正确性,并对用户进行相应的提示;
步骤S4032,若该用户凭证对应的输入事实具有正确性,则创建另一用户凭证和对该另一用户凭证进行加密处理;
步骤S4033,将该另一用户凭证同步至若干不同认证代理。
参阅图2,为本发明提供的一种非对称加密的无中心化的用户认证和授权方法对应的系统结构示意图。该系统的运行过程与图1所示的非对称加密的无中心化的用户认证和授权方法操作过程相同,这里就不再做进一步的累述。
从上述实施例的内容可知,该非对称加密的无中心化的用户认证和授权方法通过引入访问控制代理,实现了在微服务场景下进行大规模服务的无中心化认证操作,并且该无中心化认证操作的透明化服务过程能够有效地避免认证与授权在系统中的单点和性能问题,同该方法还能够通过访问控制代理针对相应的服务生产端做细粒度配置,从而实现业务权限的细粒度控制,此外,该方法还通过非对称加密方式对用户请求进行加密,从而大大地提高系统进行用户请求和用户响应的保密性。

Claims (6)

1.一种非对称加密的无中心化的用户认证和授权方法,其特征在于,所述非对称加密的无中心化的用户认证和授权方法包括如下步骤:
步骤S1,通过访问控制代理,以非对称加密方式生成关于用户请求的用户凭证,以及通过主代理,对所述用户凭证的有效性进行第一判断处理,具体包括:
步骤S101,对服务消费端和服务生产端两者分别部署相应的第一访问控制代理和第二访问控制代理;
步骤S102,通过所述第一访问控制代理,以所述非对称加密方式生成所述用户凭证;
步骤S103,将所述用户凭证同步到所述主代理,以通过所述主代理进行所述第一判断处理;
步骤S2,根据所述第一判断处理的结果,对所述用户凭证进行授权验证处理或者重定向处理,具体包括:
步骤S201,若所述第一判断处理确定所述用户凭证具有有效性,则对所述用户凭证进行所述授权验证处理;
步骤S202,若所述第一判断处理确定所述用户凭证不具有有效性,则对所述用户凭证进行所述重定向处理;
步骤S3,根据授权认证处理的结果,对用户进行权限授予或者权限拒绝的响应,具体包括:
步骤S301,从所述用户凭证中提取关于用户请求的验证码,并将所述验证码与授权配置数据库进行匹配,以实现所述授权认证处理;
步骤S302,若所述验证码匹配于所述授权配置数据库,则对所述用户进行权限授予的响应操作;
步骤S303,若所述验证码不匹配于所述授权配置数据库,则对所述用户进行授权拒绝的响应操作;
步骤S4,根据所述重定向处理的结果,对所述用户凭证进行事实正确与否的第二判断处理,以此实现对所述用户凭证的适应性变换处理,具体包括:
步骤S401,从所述用户凭证中提取关于用户请求的地址参数,并根据所述地址参数对所述用户凭证进行所述重定向处理;
步骤S402,根据所述重定向处理的结果,获取所述用户凭证对应的输入事实;
步骤S403,对所述用户凭证对应的输入事实进行关于事实正确与否的所述第二判断处理,以此将所述用户凭证变换为另一用户凭证;
其中,在所述步骤S103中,将所述用户凭证同步到所述主代理,以通过所述主代理进行所述第一判断处理具体包括,
步骤S1031,将所述第一访问控制代理和所述第二访问控制代理分别同步至对应的所述服务消费端和所述服务生产端;
步骤S1032,采用Raft选举协议在所述第一访问控制代理和所述第二访问控制代理之间产生所述主代理;
步骤S1033,将所述用户凭证同步到所述主代理,并通过所述主代理判断所述用户凭证是否具有有效性。
2.根据权利要求1所述的非对称加密的无中心化的用户认证和授权方法,其特征在于:
在所述步骤S101中,对服务消费端和服务生产端两者分别部署相应的第一访问控制代理和第二访问控制代理具体包括,
步骤S1011,在所述服务消费端的数据传输口通过预设接口与所述第一访问控制代理进行中转连接;
步骤S1012,在所述服务生产端的数据传输口通过环回地址或者主机内部地址的模式与所述第二访问控制代理进行中转连接;
步骤S1013,将所述第一访问控制代理和所述第二访问控制代理共同形成相互同步的状态;
步骤S1014,通过所述第一访问控制代理和所述第二访问控制代理,分别将所述服务消费端和所述服务生产端接入至认证授权配置数据库;
或者,
在所述步骤S102中,通过所述第一访问控制代理,以所述非对称加密方式生成所述用户凭证具体包括,
步骤S1021,通过所述第一访问控制代理,获取来自用户的私钥;
步骤S1022,根据所述私钥,对来所述服务消费端的用户请求进行非对称加密处理,以生成所述用户凭证;
步骤S1023,在所述用户凭证生成完毕后,通过所述第一访问控制代理,将所述私钥返回至所述用户。
3.根据权利要求1所述的非对称加密的无中心化的用户认证和授权方法,其特征在于:
在所述步骤S301中,从所述用户凭证中提取关于用户请求的验证码,并将所述验证码与授权配置数据库进行匹配,以实现所述授权认证处理具体包括,
步骤S3011,根据所述用户凭证对应的服务消费端的用户识别序列码,对所述用户凭证进行码变换处理,以生成所述验证码;
步骤S3012,将所述验证码与所述授权配置数据库中的关于所有用户的配置参数进行匹配处理,以实现所述授权认证处理;
或者,
在所述步骤S302中,若所述验证码匹配于所述授权配置数据库,则对所述用户进行权限授予的响应操作具体包括,
步骤S3021,若所述验证码与所述授权配置数据库中的关于所有用户的配置参数相匹配,则确定所述用户凭证处于请求权限合法状态;
步骤S3022,根据所述请求权限合法状态,将所述用户凭证对应的用户请求通过相应的访问控制代理传送至相应的服务生产端;
或者,
在所述步骤S303中,若所述验证码不匹配于所述授权配置数据库,则对所述用户进行授权拒绝的响应操作具体包括,
步骤S3031,若所述验证码与所述授权配置数据库中的关于所有用户的配置参数不匹配,则确定所述用户凭证处于请求权限非法状态;
步骤S3032,根据所述请求权限非法状态,针对所述用户凭证对应的用户请求进行返回提示操作或者直接拒收操作。
4.根据权利要求1所述的非对称加密的无中心化的用户认证和授权方法,其特征在于:
在所述步骤S401中,从所述用户凭证中提取关于用户请求的地址参数,并根据所述地址参数对所述用户凭证进行所述重定向处理具体包括,
步骤S4011,从所述用户凭证中确定其对应的传输路径,并根据所述传输路径提取得到所述关于用户的地址参数;
步骤S4012,根据所述地址参数,从服务消费端中重定向相应的用户凭证。
5.根据权利要求1所述的非对称加密的无中心化的用户认证和授权方法,其特征在于:
在所述步骤S402中,根据所述重定向处理的结果,获取所述用户凭证对应的输入事实具体包括,
步骤S4021,从所述重定向处理的结果中提取所述用户凭证对应的重定向用户请求的请求内容;
步骤S4022,对所述重定向用户请求的请求内容进行解析处理,以获取所述用户凭证对应的输入事实,并对用户进行相应的提示。
6.根据权利要求1所述的非对称加密的无中心化的用户认证和授权方法,其特征在于:
在所述步骤S403中,对所述用户凭证对应的输入事实进行关于事实正确与否的所述第二判断处理,以此将所述用户凭证变换为另一用户凭证具体包括,
步骤S4031,根据用户数据库的用户表征数据,确定所述用户凭证对应的输入事实是否具有正确性,并对用户进行相应的提示;
步骤S4032,若所述用户凭证对应的输入事实具有正确性,则创建另一用户凭证和对所述另一用户凭证进行加密处理;
步骤S4033,将所述另一用户凭证同步至若干不同认证代理。
CN202010025109.6A 2020-01-10 2020-01-10 一种非对称加密的无中心化的用户认证和授权方法 Active CN111245830B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010025109.6A CN111245830B (zh) 2020-01-10 2020-01-10 一种非对称加密的无中心化的用户认证和授权方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010025109.6A CN111245830B (zh) 2020-01-10 2020-01-10 一种非对称加密的无中心化的用户认证和授权方法

Publications (2)

Publication Number Publication Date
CN111245830A CN111245830A (zh) 2020-06-05
CN111245830B true CN111245830B (zh) 2021-12-24

Family

ID=70874475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010025109.6A Active CN111245830B (zh) 2020-01-10 2020-01-10 一种非对称加密的无中心化的用户认证和授权方法

Country Status (1)

Country Link
CN (1) CN111245830B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143134A (zh) * 2010-08-05 2011-08-03 华为技术有限公司 分布式身份认证方法、装置与系统
US8613066B1 (en) * 2011-12-30 2013-12-17 Amazon Technologies, Inc. Techniques for user authentication
CN104618384A (zh) * 2015-02-13 2015-05-13 成都中科合迅科技有限公司 基于ad服务器的单机认证方法
CN107464106A (zh) * 2017-07-25 2017-12-12 北京果仁宝科技有限公司 区块链主链与侧链间交易的方法及系统
US9900160B1 (en) * 2015-12-03 2018-02-20 Amazon Technologies, Inc. Asymmetric session credentials
CN108234515A (zh) * 2018-01-25 2018-06-29 中国科学院合肥物质科学研究院 一种基于智能合约的自认证数字身份管理系统及其方法
CN109150539A (zh) * 2018-07-24 2019-01-04 深圳前海益链网络科技有限公司 一种基于区块链的分布式ca认证系统、方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9218462B2 (en) * 2012-04-25 2015-12-22 Hewlett Packard Enterprise Development Lp Authentication using lights-out management credentials
CN107181765A (zh) * 2017-07-25 2017-09-19 光载无限(北京)科技有限公司 基于区块链技术的网络数字身份认证方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102143134A (zh) * 2010-08-05 2011-08-03 华为技术有限公司 分布式身份认证方法、装置与系统
US8613066B1 (en) * 2011-12-30 2013-12-17 Amazon Technologies, Inc. Techniques for user authentication
CN104618384A (zh) * 2015-02-13 2015-05-13 成都中科合迅科技有限公司 基于ad服务器的单机认证方法
US9900160B1 (en) * 2015-12-03 2018-02-20 Amazon Technologies, Inc. Asymmetric session credentials
CN107464106A (zh) * 2017-07-25 2017-12-12 北京果仁宝科技有限公司 区块链主链与侧链间交易的方法及系统
CN108234515A (zh) * 2018-01-25 2018-06-29 中国科学院合肥物质科学研究院 一种基于智能合约的自认证数字身份管理系统及其方法
CN109150539A (zh) * 2018-07-24 2019-01-04 深圳前海益链网络科技有限公司 一种基于区块链的分布式ca认证系统、方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
区块链技术及其在信息安全领域的研究进展;刘敖迪等;《软件学报》;20180427(第07期);全文 *
基于区块链技术的跨域认证方案;马晓婷等;《电子学报》;20181115(第11期);全文 *

Also Published As

Publication number Publication date
CN111245830A (zh) 2020-06-05

Similar Documents

Publication Publication Date Title
US6490679B1 (en) Seamless integration of application programs with security key infrastructure
JP4304362B2 (ja) Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
US20170289134A1 (en) Methods and apparatus for assessing authentication risk and implementing single sign on (sso) using a distributed consensus database
US8522333B2 (en) Client/server system for communicating according to the standard protocol OPC UA and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
JP5292712B2 (ja) 認証連携システム、中継装置、認証連携方法および認証連携プログラム
US8402511B2 (en) LDAPI communication across OS instances
CN112231692A (zh) 安全认证方法、装置、设备及存储介质
US20210056198A1 (en) Remote processing of credential requests
CN1930850A (zh) 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法
CN102893575A (zh) 借助于ipsec和ike第1版认证的一次性密码
KR101063354B1 (ko) 공개 키 기반의 프로토콜을 이용한 과금 시스템 및 그 방법
CN110719265A (zh) 一种实现网络安全通信的方法、装置及设备
US20080183872A1 (en) Method and System for Authorization and Access Control Delegation in an On Demand Grid Environment
CN111245830B (zh) 一种非对称加密的无中心化的用户认证和授权方法
CN113329003B (zh) 一种物联网的访问控制方法、用户设备以及系统
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
CN110493236B (zh) 一种通信方法、计算机设备及存储介质
Bastian et al. Combination of x509 and DID/VC for inheritance properties of trust in digital identities
CN112367188A (zh) 一种基于零信任模型的私有化安全系统及实现方法
CN113987465B (zh) 一种海量异构物联网设备的通用精准访问控制系统及方法
CN115150154B (zh) 用户登录认证方法及相关装置
CN116506104B (zh) 基于跨链区块链的不同部门信息安全交互的方法及系统
CN114021094B (zh) 远程服务器登录方法、电子设备及存储介质
EP3815297B1 (en) Authentication through secure sharing of digital secrets previously established between devices
CN116961966A (zh) 安全认证方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant