CN111556027A - 一种基于电信数据库的访问控制系统 - Google Patents

一种基于电信数据库的访问控制系统 Download PDF

Info

Publication number
CN111556027A
CN111556027A CN202010278526.1A CN202010278526A CN111556027A CN 111556027 A CN111556027 A CN 111556027A CN 202010278526 A CN202010278526 A CN 202010278526A CN 111556027 A CN111556027 A CN 111556027A
Authority
CN
China
Prior art keywords
access control
control system
terminal
telecommunication
platform server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202010278526.1A
Other languages
English (en)
Inventor
王尧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202010278526.1A priority Critical patent/CN111556027A/zh
Publication of CN111556027A publication Critical patent/CN111556027A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及电信数据库访问控制技术领域,且公开了一种基于电信数据库的访问控制系统,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;访问控制系统采用基于零知识证明的验证方法对PC终端Ui的用户身份进行验证,并且只有PC终端Ui的用户身份通过了访问控制系统的验证,电信平台服务器Sdf才允许PC终端Ui对电信平台数据库Si的访问请求。本发明解决了电信数据库的访问控制系统,由于具有管理权限的密码泄露,导致运营数据被篡改牟利、敏感数据泄漏的技术问题。

Description

一种基于电信数据库的访问控制系统
技术领域
本发明涉及电信数据库访问控制技术领域,具体为一种基于电信数据库的访问控制系统。
背景技术
随着运营数据被篡改牟利、敏感数据泄漏等安全事件不断出现,电信运行商越来越重视数据库的安全防护和加固。一个信息系统必须整体上部署安全策略,数据库的安全首先依赖于网络系统的安全。防火墙作为系统的第一道防线,监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问。操作系统足数据库系统的运行平台,能够为数据库提供第二道的安全保护。
操作系统安全包括用户账户控制、密码策略、访问权限、审计等方面,其中,安全的密码是保护数据库访问的最有力方式,但是如果具有管理权限的密码泄露了,其他的安全措施将形同虚设,但遗憾的是,管理员常常忽略对密码的有效保护。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于电信数据库的访问控制系统,以解决电信数据库的访问控制系统,由于具有管理权限的密码泄露,导致运营数据被篡改牟利、敏感数据泄漏的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种基于电信数据库的访问控制系统,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;
电信平台服务器Sdf的访问控制系统与PC终端Ui的交互验证方法,包括以下步骤:
步骤一:PC终端Ui在电信平台服务器Sdf的访问控制系统上进行用户注册,具体包括:
(1)访问控制系统在注册页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)设定椭圆曲线E定义在有限域K上,生成元P∈E,PC终端Ui选取k个整数(χ12,…,χk)作为私钥,计算Y1=χ1P,Y2=χ2P,…,Yk=χkP作为公钥,输入至对话框内,即发送给访问控制系统;
步骤二:当PC终端Ui向电信平台服务器Sdf发送访问请求时,访问控制系统开始对PC终端Ui的身份进行验证,具体的验证过程为:
(1)访问控制系统在验证页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)PC终端Ui随机选择一个整数R,计算V=RP,并将V发送给访问控制系统,即输入到对话框内;
(3)访问控制系统产生k个任意数(a1,a2,…,ak),并将(a1,a2,…,ak)发送给PC终端Ui,即显示在对话框内;
(4)PC终端Ui计算
Figure BDA0002445680710000031
并传送给访问控制系统,即输入到对话框内;
(5)访问控制系统进行如下验证:
Figure BDA0002445680710000032
是否等于
Figure BDA0002445680710000033
若上述等式成立,证明PC终端Ui知悉私有密钥(χ12,…,χk),则访问控制系统通过PC终端Ui的身份验证,否则就拒绝通过PC终端Ui的身份验证。
优选的,所述(χ12,…,χk)为私有密钥,该私有密钥为唯一合法的证明密钥,并且仅为PC终端Ui单独拥有,即访问控制系统并不知晓私有密钥(χ12,…,χk)。
优选的,所述步骤二中,将步骤(2)、步骤(3)和步骤(4)构成一轮认证,重复执行ki次,在某一轮验证的执行过程中,PC终端Ui没有通过验证,则整个验证过程终止,即PC终端Ui未通过访问控制系统的身份验证。
优选的,所述的交互式通信对话框具备无痕迹通信功能,即对话框内的所有交互通信内容均没有任何备份记录。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明的访问控制系统采用基于零知识证明的验证方法对PC终端Ui的用户身份进行验证,并且只有PC终端Ui的用户身份通过了访问控制系统的验证,电信平台服务器Sdf才允许PC终端Ui对电信平台数据库Si的访问请求,否则电信平台服务器Sdf拒绝PC终端Ui对电信平台数据库Si的访问请求;
并且PC终端Ui的用户身份通过了访问控制系统的验证完成之后,访问控制系统只是知道PC终端Ui的身份是否合法,其并不知道PC终端Ui的私有密钥(χ12,…,χk),即PC终端Ui在不泄露自己的私有密钥(χ12,…,χk)的前提下,完成了身份的验证;
从而解决了电信数据库的访问控制系统,由于具有管理权限的密码泄露,导致运营数据被篡改牟利、敏感数据泄漏的技术问题。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于电信数据库的访问控制系统,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;
为了防止或避免未经授权的PC终端Ui非法对电信平台服务器Sdf的电信平台数据库Si进行访问,访问控制系统采用基于零知识证明的验证方法对PC终端Ui的用户身份进行验证,并且只有PC终端Ui的用户身份通过了访问控制系统的验证,电信平台服务器Sdf才允许PC终端Ui对电信平台数据库Si的访问请求,否则电信平台服务器Sdf拒绝PC终端Ui对电信平台数据库Si的访问请求;
电信平台服务器Sdf的访问控制系统与PC终端Ui的交互验证方法,包括以下步骤:
步骤一:PC终端Ui在电信平台服务器Sdf的访问控制系统上进行用户注册,具体包括:
(1)访问控制系统在注册页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)设定椭圆曲线E定义在有限域K上,生成元P∈E,PC终端Ui选取k个整数(χ12,…,χk)作为私钥,计算Y1=χ1P,Y2=χ2P,…,Yk=χkP作为公钥,输入至对话框内,即发送给访问控制系统;
其中,(χ12,…,χk)为私有密钥,该私有密钥为唯一合法的证明密钥,并且仅为PC终端Ui单独拥有,即访问控制系统并不知晓私有密钥(χ12,…,χk);
步骤二:当PC终端Ui向电信平台服务器Sdf发送访问请求时,访问控制系统开始对PC终端Ui的身份进行验证,具体的验证过程为:
(1)访问控制系统在验证页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)PC终端Ui随机选择一个整数R,计算V=RP,并将V发送给访问控制系统,即输入到对话框内;
(3)访问控制系统产生k个任意数(a1,a2,…,ak),并将(a1,a2,…,ak)发送给PC终端Ui,即显示在对话框内;
(4)PC终端Ui计算
Figure BDA0002445680710000051
并传送给访问控制系统,即输入到对话框内;
(5)访问控制系统进行如下验证:
Figure BDA0002445680710000061
是否等于
Figure BDA0002445680710000062
若上述等式成立,证明PC终端Ui知悉私有密钥(χ12,…,χk),则访问控制系统通过PC终端Ui的身份验证,否则就拒绝通过PC终端Ui的身份验证;
(5)将步骤(2)、步骤(3)和步骤(4)构成一轮认证,重复执行ki次,在某一轮验证的执行过程中,PC终端Ui没有通过验证,则整个验证过程终止,即PC终端Ui未通过访问控制系统的身份验证;
所述的交互式通信对话框具备无痕迹通信功能,即对话框内的所有交互通信内容均没有任何备份记录;
上述的身份验证完成之后,访问控制系统只是知道PC终端Ui的身份是否合法,其并不知道PC终端Ui的私有密钥(χ12,…,χk),即PC终端Ui在不泄露自己的私有密钥(χ12,…,χk)的前提下,完成了身份的验证。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (4)

1.一种基于电信数据库的访问控制系统,其特征在于,包括:运行有访问控制系统的电信平台服务器Sdf,电信平台服务器Sdf配置有电信平台数据库Si,运行有访问控制系统的PC终端Ui,PC终端Ui通过网络通信设备在访问控制系统上与电信平台服务器Sdf实现相互之间的通信连接;
电信平台服务器Sdf的访问控制系统与PC终端Ui的交互验证方法,包括以下步骤:
步骤一:PC终端Ui在电信平台服务器Sdf的访问控制系统上进行用户注册,具体包括:
(1)访问控制系统在注册页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)设定椭圆曲线E定义在有限域K上,生成元P∈E,PC终端Ui选取k个整数(χ12,…,χk)作为私钥,计算Y1=χ1P,Y2=χ2P,…,Yk=χkP作为公钥,输入至对话框内,即发送给访问控制系统;
步骤二:当PC终端Ui向电信平台服务器Sdf发送访问请求时,访问控制系统开始对PC终端Ui的身份进行验证,具体的验证过程为:
(1)访问控制系统在验证页面上弹出与PC终端Ui进行交互式通信的对话框;
(2)PC终端Ui随机选择一个整数R,计算V=RP,并将V发送给访问控制系统,即输入到对话框内;
(3)访问控制系统产生k个任意数(a1,a2,…,ak),并将(a1,a2,…,ak)发送给PC终端Ui,即显示在对话框内;
(4)PC终端Ui计算
Figure FDA0002445680700000021
并传送给访问控制系统,即输入到对话框内;
(5)访问控制系统进行如下验证:
Figure FDA0002445680700000022
是否等于
Figure FDA0002445680700000023
若上述等式成立,证明PC终端Ui知悉私有密钥(χ12,…,χk),则访问控制系统通过PC终端Ui的身份验证,否则就拒绝通过PC终端Ui的身份验证。
2.根据权利要求1所述的基于电信数据库的访问控制系统,其特征在于,所述(χ12,…,χk)为私有密钥,该私有密钥为唯一合法的证明密钥,并且仅为PC终端Ui单独拥有,即访问控制系统并不知晓私有密钥(χ12,…,χk)。
3.根据权利要求1所述的基于电信数据库的访问控制系统,其特征在于,所述步骤二中,将步骤(2)、步骤(3)和步骤(4)构成一轮认证,重复执行ki次,在某一轮验证的执行过程中,PC终端Ui没有通过验证,则整个验证过程终止,即PC终端Ui未通过访问控制系统的身份验证。
4.根据权利要求1所述的基于电信数据库的访问控制系统,其特征在于,所述的交互式通信对话框具备无痕迹通信功能,即对话框内的所有交互通信内容均没有任何备份记录。
CN202010278526.1A 2020-04-10 2020-04-10 一种基于电信数据库的访问控制系统 Withdrawn CN111556027A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010278526.1A CN111556027A (zh) 2020-04-10 2020-04-10 一种基于电信数据库的访问控制系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010278526.1A CN111556027A (zh) 2020-04-10 2020-04-10 一种基于电信数据库的访问控制系统

Publications (1)

Publication Number Publication Date
CN111556027A true CN111556027A (zh) 2020-08-18

Family

ID=72002897

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010278526.1A Withdrawn CN111556027A (zh) 2020-04-10 2020-04-10 一种基于电信数据库的访问控制系统

Country Status (1)

Country Link
CN (1) CN111556027A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110289565A1 (en) * 2010-05-19 2011-11-24 Cleversafe, Inc. Retrieving access information in a dispersed storage network
CN107743133A (zh) * 2017-11-30 2018-02-27 中国石油大学(北京) 移动终端及其基于可信安全环境的访问控制方法和系统
US20180176222A1 (en) * 2015-06-30 2018-06-21 Raghav Bhaskar User friendly two factor authentication
CN108416221A (zh) * 2018-01-22 2018-08-17 西安电子科技大学 一种云环境中安全的相似数据拥有证明方案
CN109347857A (zh) * 2018-11-14 2019-02-15 天津市国瑞数码安全系统股份有限公司 一种基于标识的通用跨网认证方法
CN109905374A (zh) * 2019-01-29 2019-06-18 杭州电子科技大学 一种面向智能家庭的具有隐私保护特性的身份认证方法
CN109936509A (zh) * 2019-03-06 2019-06-25 西安电子科技大学 一种基于多元身份的设备群组认证方法及系统
CN110826084A (zh) * 2019-10-14 2020-02-21 李纳 一种基于区块链的互联网公益系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110289565A1 (en) * 2010-05-19 2011-11-24 Cleversafe, Inc. Retrieving access information in a dispersed storage network
US20180176222A1 (en) * 2015-06-30 2018-06-21 Raghav Bhaskar User friendly two factor authentication
CN107743133A (zh) * 2017-11-30 2018-02-27 中国石油大学(北京) 移动终端及其基于可信安全环境的访问控制方法和系统
CN108416221A (zh) * 2018-01-22 2018-08-17 西安电子科技大学 一种云环境中安全的相似数据拥有证明方案
CN109347857A (zh) * 2018-11-14 2019-02-15 天津市国瑞数码安全系统股份有限公司 一种基于标识的通用跨网认证方法
CN109905374A (zh) * 2019-01-29 2019-06-18 杭州电子科技大学 一种面向智能家庭的具有隐私保护特性的身份认证方法
CN109936509A (zh) * 2019-03-06 2019-06-25 西安电子科技大学 一种基于多元身份的设备群组认证方法及系统
CN110826084A (zh) * 2019-10-14 2020-02-21 李纳 一种基于区块链的互联网公益系统

Similar Documents

Publication Publication Date Title
CN113051602B (zh) 一种基于零信任架构的数据库细粒度访问控制方法
US8255977B2 (en) Trusted network connect method based on tri-element peer authentication
CN109687965B (zh) 一种保护网络中用户身份信息的实名认证方法
Atashzar et al. A survey on web application vulnerabilities and countermeasures
CN102035838B (zh) 一种基于平台身份的信任服务连接方法与信任服务系统
CN102438044A (zh) 一种基于云计算的数字内容可信使用控制方法
CN109688119A (zh) 一种云计算中的可匿名追踪性身份认证方法
CN101686128A (zh) 一种新型的USBKey外部认证方法和USBKey装置
US8572690B2 (en) Apparatus and method for performing session validation to access confidential resources
CN116032533A (zh) 基于零信任的远程办公访问方法及系统
CN106899561A (zh) 一种基于acl的tnc权限控制方法和系统
CN112016073B (zh) 一种服务器零信任连接架构的构建方法
O'Mahony Security considerations in a network management environment
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
KR102148452B1 (ko) 블록체인 기술을 이용한 국군 여가문화 컨텐츠 전용 보안 시스템 및 그 구동방법
CN114915427B (zh) 访问控制方法、装置、设备及存储介质
CN111556027A (zh) 一种基于电信数据库的访问控制系统
CN113468591A (zh) 数据访问方法、系统、电子设备及计算机可读存储介质
US8726340B2 (en) Apparatus and method for expert decisioning
CN111600838A (zh) 一种基于网络数据库的权限管理系统
Sabbari et al. A security model and its strategies for web services
CN112035853B (zh) 一种基于企业云盘的存储数据访问控制系统
CN117294465B (zh) 一种基于跨域通信的属性加密系统及方法
Okafor et al. DiVerify: Diversifying Identity Verification in Next-Generation Software Signing
Magnanini Riprogettare Sistemi IT per Garantire Survivability

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20200818