CN111556027A - 一种基于电信数据库的访问控制系统 - Google Patents
一种基于电信数据库的访问控制系统 Download PDFInfo
- Publication number
- CN111556027A CN111556027A CN202010278526.1A CN202010278526A CN111556027A CN 111556027 A CN111556027 A CN 111556027A CN 202010278526 A CN202010278526 A CN 202010278526A CN 111556027 A CN111556027 A CN 111556027A
- Authority
- CN
- China
- Prior art keywords
- access control
- control system
- terminal
- telecommunication
- platform server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及电信数据库访问控制技术领域,且公开了一种基于电信数据库的访问控制系统,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;访问控制系统采用基于零知识证明的验证方法对PC终端Ui的用户身份进行验证,并且只有PC终端Ui的用户身份通过了访问控制系统的验证,电信平台服务器Sdf才允许PC终端Ui对电信平台数据库Si的访问请求。本发明解决了电信数据库的访问控制系统,由于具有管理权限的密码泄露,导致运营数据被篡改牟利、敏感数据泄漏的技术问题。
Description
技术领域
本发明涉及电信数据库访问控制技术领域,具体为一种基于电信数据库的访问控制系统。
背景技术
随着运营数据被篡改牟利、敏感数据泄漏等安全事件不断出现,电信运行商越来越重视数据库的安全防护和加固。一个信息系统必须整体上部署安全策略,数据库的安全首先依赖于网络系统的安全。防火墙作为系统的第一道防线,监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问。操作系统足数据库系统的运行平台,能够为数据库提供第二道的安全保护。
操作系统安全包括用户账户控制、密码策略、访问权限、审计等方面,其中,安全的密码是保护数据库访问的最有力方式,但是如果具有管理权限的密码泄露了,其他的安全措施将形同虚设,但遗憾的是,管理员常常忽略对密码的有效保护。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于电信数据库的访问控制系统,以解决电信数据库的访问控制系统,由于具有管理权限的密码泄露,导致运营数据被篡改牟利、敏感数据泄漏的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种基于电信数据库的访问控制系统,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;
电信平台服务器Sdf的访问控制系统与PC终端Ui的交互验证方法,包括以下步骤:
步骤一:PC终端Ui在电信平台服务器Sdf的访问控制系统上进行用户注册,具体包括:
(1)访问控制系统在注册页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)设定椭圆曲线E定义在有限域K上,生成元P∈E,PC终端Ui选取k个整数(χ1,χ2,…,χk)作为私钥,计算Y1=χ1P,Y2=χ2P,…,Yk=χkP作为公钥,输入至对话框内,即发送给访问控制系统;
步骤二:当PC终端Ui向电信平台服务器Sdf发送访问请求时,访问控制系统开始对PC终端Ui的身份进行验证,具体的验证过程为:
(1)访问控制系统在验证页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)PC终端Ui随机选择一个整数R,计算V=RP,并将V发送给访问控制系统,即输入到对话框内;
(3)访问控制系统产生k个任意数(a1,a2,…,ak),并将(a1,a2,…,ak)发送给PC终端Ui,即显示在对话框内;
若上述等式成立,证明PC终端Ui知悉私有密钥(χ1,χ2,…,χk),则访问控制系统通过PC终端Ui的身份验证,否则就拒绝通过PC终端Ui的身份验证。
优选的,所述(χ1,χ2,…,χk)为私有密钥,该私有密钥为唯一合法的证明密钥,并且仅为PC终端Ui单独拥有,即访问控制系统并不知晓私有密钥(χ1,χ2,…,χk)。
优选的,所述步骤二中,将步骤(2)、步骤(3)和步骤(4)构成一轮认证,重复执行ki次,在某一轮验证的执行过程中,PC终端Ui没有通过验证,则整个验证过程终止,即PC终端Ui未通过访问控制系统的身份验证。
优选的,所述的交互式通信对话框具备无痕迹通信功能,即对话框内的所有交互通信内容均没有任何备份记录。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明的访问控制系统采用基于零知识证明的验证方法对PC终端Ui的用户身份进行验证,并且只有PC终端Ui的用户身份通过了访问控制系统的验证,电信平台服务器Sdf才允许PC终端Ui对电信平台数据库Si的访问请求,否则电信平台服务器Sdf拒绝PC终端Ui对电信平台数据库Si的访问请求;
并且PC终端Ui的用户身份通过了访问控制系统的验证完成之后,访问控制系统只是知道PC终端Ui的身份是否合法,其并不知道PC终端Ui的私有密钥(χ1,χ2,…,χk),即PC终端Ui在不泄露自己的私有密钥(χ1,χ2,…,χk)的前提下,完成了身份的验证;
从而解决了电信数据库的访问控制系统,由于具有管理权限的密码泄露,导致运营数据被篡改牟利、敏感数据泄漏的技术问题。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于电信数据库的访问控制系统,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;
为了防止或避免未经授权的PC终端Ui非法对电信平台服务器Sdf的电信平台数据库Si进行访问,访问控制系统采用基于零知识证明的验证方法对PC终端Ui的用户身份进行验证,并且只有PC终端Ui的用户身份通过了访问控制系统的验证,电信平台服务器Sdf才允许PC终端Ui对电信平台数据库Si的访问请求,否则电信平台服务器Sdf拒绝PC终端Ui对电信平台数据库Si的访问请求;
电信平台服务器Sdf的访问控制系统与PC终端Ui的交互验证方法,包括以下步骤:
步骤一:PC终端Ui在电信平台服务器Sdf的访问控制系统上进行用户注册,具体包括:
(1)访问控制系统在注册页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)设定椭圆曲线E定义在有限域K上,生成元P∈E,PC终端Ui选取k个整数(χ1,χ2,…,χk)作为私钥,计算Y1=χ1P,Y2=χ2P,…,Yk=χkP作为公钥,输入至对话框内,即发送给访问控制系统;
其中,(χ1,χ2,…,χk)为私有密钥,该私有密钥为唯一合法的证明密钥,并且仅为PC终端Ui单独拥有,即访问控制系统并不知晓私有密钥(χ1,χ2,…,χk);
步骤二:当PC终端Ui向电信平台服务器Sdf发送访问请求时,访问控制系统开始对PC终端Ui的身份进行验证,具体的验证过程为:
(1)访问控制系统在验证页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)PC终端Ui随机选择一个整数R,计算V=RP,并将V发送给访问控制系统,即输入到对话框内;
(3)访问控制系统产生k个任意数(a1,a2,…,ak),并将(a1,a2,…,ak)发送给PC终端Ui,即显示在对话框内;
若上述等式成立,证明PC终端Ui知悉私有密钥(χ1,χ2,…,χk),则访问控制系统通过PC终端Ui的身份验证,否则就拒绝通过PC终端Ui的身份验证;
(5)将步骤(2)、步骤(3)和步骤(4)构成一轮认证,重复执行ki次,在某一轮验证的执行过程中,PC终端Ui没有通过验证,则整个验证过程终止,即PC终端Ui未通过访问控制系统的身份验证;
所述的交互式通信对话框具备无痕迹通信功能,即对话框内的所有交互通信内容均没有任何备份记录;
上述的身份验证完成之后,访问控制系统只是知道PC终端Ui的身份是否合法,其并不知道PC终端Ui的私有密钥(χ1,χ2,…,χk),即PC终端Ui在不泄露自己的私有密钥(χ1,χ2,…,χk)的前提下,完成了身份的验证。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.一种基于电信数据库的访问控制系统,其特征在于,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;
电信平台服务器Sdf的访问控制系统与PC终端Ui的交互验证方法,包括以下步骤:
步骤一:PC终端Ui在电信平台服务器Sdf的访问控制系统上进行用户注册,具体包括:
(1)访问控制系统在注册页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)设定椭圆曲线E定义在有限域K上,生成元P∈E,PC终端Ui选取k个整数(χ1,χ2,…,χk)作为私钥,计算Y1=χ1P,Y2=χ2P,…,Yk=χkP作为公钥,输入至对话框内,即发送给访问控制系统;
步骤二:当PC终端Ui向电信平台服务器Sdf发送访问请求时,访问控制系统开始对PC终端Ui的身份进行验证,具体的验证过程为:
(1)访问控制系统在验证页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)PC终端Ui随机选择一个整数R,计算V=RP,并将V发送给访问控制系统,即输入到对话框内;
(3)访问控制系统产生k个任意数(a1,a2,…,ak),并将(a1,a2,…,ak)发送给PC终端Ui,即显示在对话框内;
若上述等式成立,证明PC终端Ui知悉私有密钥(χ1,χ2,…,χk),则访问控制系统通过PC终端Ui的身份验证,否则就拒绝通过PC终端Ui的身份验证。
2.根据权利要求1所述的基于电信数据库的访问控制系统,其特征在于,所述(χ1,χ2,…,χk)为私有密钥,该私有密钥为唯一合法的证明密钥,并且仅为PC终端Ui单独拥有,即访问控制系统并不知晓私有密钥(χ1,χ2,…,χk)。
3.根据权利要求1所述的基于电信数据库的访问控制系统,其特征在于,所述步骤二中,将步骤(2)、步骤(3)和步骤(4)构成一轮认证,重复执行ki次,在某一轮验证的执行过程中,PC终端Ui没有通过验证,则整个验证过程终止,即PC终端Ui未通过访问控制系统的身份验证。
4.根据权利要求1所述的基于电信数据库的访问控制系统,其特征在于,所述的交互式通信对话框具备无痕迹通信功能,即对话框内的所有交互通信内容均没有任何备份记录。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010278526.1A CN111556027A (zh) | 2020-04-10 | 2020-04-10 | 一种基于电信数据库的访问控制系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010278526.1A CN111556027A (zh) | 2020-04-10 | 2020-04-10 | 一种基于电信数据库的访问控制系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111556027A true CN111556027A (zh) | 2020-08-18 |
Family
ID=72002897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010278526.1A Withdrawn CN111556027A (zh) | 2020-04-10 | 2020-04-10 | 一种基于电信数据库的访问控制系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111556027A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110289565A1 (en) * | 2010-05-19 | 2011-11-24 | Cleversafe, Inc. | Retrieving access information in a dispersed storage network |
CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
US20180176222A1 (en) * | 2015-06-30 | 2018-06-21 | Raghav Bhaskar | User friendly two factor authentication |
CN108416221A (zh) * | 2018-01-22 | 2018-08-17 | 西安电子科技大学 | 一种云环境中安全的相似数据拥有证明方案 |
CN109347857A (zh) * | 2018-11-14 | 2019-02-15 | 天津市国瑞数码安全系统股份有限公司 | 一种基于标识的通用跨网认证方法 |
CN109905374A (zh) * | 2019-01-29 | 2019-06-18 | 杭州电子科技大学 | 一种面向智能家庭的具有隐私保护特性的身份认证方法 |
CN109936509A (zh) * | 2019-03-06 | 2019-06-25 | 西安电子科技大学 | 一种基于多元身份的设备群组认证方法及系统 |
CN110826084A (zh) * | 2019-10-14 | 2020-02-21 | 李纳 | 一种基于区块链的互联网公益系统 |
-
2020
- 2020-04-10 CN CN202010278526.1A patent/CN111556027A/zh not_active Withdrawn
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110289565A1 (en) * | 2010-05-19 | 2011-11-24 | Cleversafe, Inc. | Retrieving access information in a dispersed storage network |
US20180176222A1 (en) * | 2015-06-30 | 2018-06-21 | Raghav Bhaskar | User friendly two factor authentication |
CN107743133A (zh) * | 2017-11-30 | 2018-02-27 | 中国石油大学(北京) | 移动终端及其基于可信安全环境的访问控制方法和系统 |
CN108416221A (zh) * | 2018-01-22 | 2018-08-17 | 西安电子科技大学 | 一种云环境中安全的相似数据拥有证明方案 |
CN109347857A (zh) * | 2018-11-14 | 2019-02-15 | 天津市国瑞数码安全系统股份有限公司 | 一种基于标识的通用跨网认证方法 |
CN109905374A (zh) * | 2019-01-29 | 2019-06-18 | 杭州电子科技大学 | 一种面向智能家庭的具有隐私保护特性的身份认证方法 |
CN109936509A (zh) * | 2019-03-06 | 2019-06-25 | 西安电子科技大学 | 一种基于多元身份的设备群组认证方法及系统 |
CN110826084A (zh) * | 2019-10-14 | 2020-02-21 | 李纳 | 一种基于区块链的互联网公益系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113051602B (zh) | 一种基于零信任架构的数据库细粒度访问控制方法 | |
US8255977B2 (en) | Trusted network connect method based on tri-element peer authentication | |
CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
Atashzar et al. | A survey on web application vulnerabilities and countermeasures | |
CN102035838B (zh) | 一种基于平台身份的信任服务连接方法与信任服务系统 | |
CN102438044A (zh) | 一种基于云计算的数字内容可信使用控制方法 | |
CN109688119A (zh) | 一种云计算中的可匿名追踪性身份认证方法 | |
CN101686128A (zh) | 一种新型的USBKey外部认证方法和USBKey装置 | |
US8572690B2 (en) | Apparatus and method for performing session validation to access confidential resources | |
CN116032533A (zh) | 基于零信任的远程办公访问方法及系统 | |
CN106899561A (zh) | 一种基于acl的tnc权限控制方法和系统 | |
CN112016073B (zh) | 一种服务器零信任连接架构的构建方法 | |
O'Mahony | Security considerations in a network management environment | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
KR102148452B1 (ko) | 블록체인 기술을 이용한 국군 여가문화 컨텐츠 전용 보안 시스템 및 그 구동방법 | |
CN114915427B (zh) | 访问控制方法、装置、设备及存储介质 | |
CN111556027A (zh) | 一种基于电信数据库的访问控制系统 | |
CN113468591A (zh) | 数据访问方法、系统、电子设备及计算机可读存储介质 | |
US8726340B2 (en) | Apparatus and method for expert decisioning | |
CN111600838A (zh) | 一种基于网络数据库的权限管理系统 | |
Sabbari et al. | A security model and its strategies for web services | |
CN112035853B (zh) | 一种基于企业云盘的存储数据访问控制系统 | |
CN117294465B (zh) | 一种基于跨域通信的属性加密系统及方法 | |
Okafor et al. | DiVerify: Diversifying Identity Verification in Next-Generation Software Signing | |
Magnanini | Riprogettare Sistemi IT per Garantire Survivability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200818 |