CN111611620B - 一种访问平台的访问请求处理方法及相关装置 - Google Patents
一种访问平台的访问请求处理方法及相关装置 Download PDFInfo
- Publication number
- CN111611620B CN111611620B CN202010456257.3A CN202010456257A CN111611620B CN 111611620 B CN111611620 B CN 111611620B CN 202010456257 A CN202010456257 A CN 202010456257A CN 111611620 B CN111611620 B CN 111611620B
- Authority
- CN
- China
- Prior art keywords
- sgx
- data
- access
- request
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种访问平台的访问请求处理方法,包括:SGX服务器根据客户端发送的认证请求进行远程认证操作;当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求;采用HSM加密方式和SGX数据密封方式执行用户请求对应的访问操作,得到操作结果;向客户端返回操作结果。通过先进行远程认证操作,当通过时通过TLS接收用户请求,并在执行对应访问操作时通过HSM加密方式和SGX数据密封方式进行数据操作,最后返回操作结果,而不是直接发送用户的访问数据,提高了用户对访问平台进行访问请求处理的安全性和隐私性。本申请还公开了一种访问平台的访问请求处理装置、服务器以及计算机可读存储介质,具有以上有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种访问平台的访问请求处理方法、访问请求处理装置、服务器以及计算机可读存储介质。
背景技术
随着信息技术的不断发展,区块链应用越发的广泛,区块链上的交易数据的安全性越来越被重视。其中,交易数据查询是区块链应用中的关键组成部分,传统的链上数据查询大多是用户直接登录网页或者钱包客户端,完成个人交易数据的访问与查询。而恶意第三方或者数据收集机构可以通过监控用户网页、攻击用户应用程序来获取用户的隐私数据,造成严重的数据威胁。
现有技术中,为了提高数据存储的安全性,一般采用数据访问平台对用户的数据访问进行管理。其中,数据访问平台是用户进行数据访问时的一种常用媒介,传统的数据访问平台,通过软件手段对用户数据进行保护,当用户在数据访问平台上注册后,平台会分配给用户一个专有ID,之后用户利用ID和相应的登录密码进行登录访问。但是,现有技术首先无法对硬件层面的攻击进行防御,同时用户无法清晰的确认平台声称的安全保护措施已经真正的用到了平台中,存在平台上实际运行的代码与平台声称的代码不一致的可能。同时恶意第三方可以对访问平台进行攻击以获取用户的ID及登录密码,冒用用户身份进行登录。也就是说,现有的数据访问平台存在严重的数据安全问题,其隐私性和安全性较低。
因此,如何提高区块链平台中访问数据的安全性和隐私性是本领域技术人员关注的重点问题。
发明内容
本申请的目的是提供一种访问平台的访问请求处理方法、访问请求处理装置、服务器以及计算机可读存储介质,通过先进行远程认证操作,当通过时通过TLS接收用户请求,并在执行对应访问操作时通过HSM加密方式和SGX数据密封方式进行数据操作,最后返回操作结果,而不是直接发送用户的访问数据,提高了用户对访问平台进行访问请求处理的安全性和隐私性。
为解决上述技术问题,本申请提供一种访问平台的访问请求处理方法,包括:
SGX服务器根据客户端发送的认证请求进行远程认证操作;
当所述远程认证操作通过时,所述SGX服务器通过TLS接收到所述客户端发送的用户请求;
采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果;
向所述客户端返回所述操作结果。
可选的,所述用户请求包括注册请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器将密封填充后的加密信息通过HSM加密方式和SGX数据密封方式发送至身份信息数据库,以便当所述加密信息写入成功时,向所述SGX服务器发送写入结果;
对接收到的所述写入结果进行校验;
当校验成功时,所述SGX服务器在个人常用数据库以所述客户端的用户序列号为索引建立数据集,以便当所述数据集奖励成功时,所述个人常用数据库向所述SGX服务器发送建立成功结果;
当接收到所述建立成功结果时,将注册成功结果作为所述操作结果。
可选的,所述用户请求包括登录请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器根据接收到的加密ID通过HSM加密方式和SGX数据密封方式向身份信息数据库发送对比凭证查询请求,以便所述身份信息数据库根据所述对比凭证请求将解密后的对比凭证发送至所述SGX服务器;
根据接收到所述对比凭证进行登录对比;
当所述登录对比通过时,将登录成功结果作为所述操作结果。
可选的,还包括:
根据预设时长对所述客户端的登录状态执行维护操作。
可选的,所述用户请求包括第一查询请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器根据接收到的密钥对所述第一查询请求进行解密,得到解密查询请求;
通过HSM加密方式和SGX数据密封方式根据客户端的ID索引向个人常用数据库发送所述解密查询请求,以便当判断所述个人常用数据库未存储对应的数据时,向所述SGX服务器发送查询失败消息;
当接收到所述查询失败消息时,与全节点建立TLS通信,并向所述全节点发送所述解密查询请求,以便所述全节点通过TLS将对应的查询数据发送至SGX服务器;
当所述SGX服务器接s收到所述查询数据时,根据所述接收到的密钥将查询数据进行加密,得到加密查询数据,将所述加密查询数据作为所述操作结果。
可选的,还包括:
通过HSM加密方式和SGX数据密封方式将所述加密查询数据发送至所述个人常用数据库。
可选的,所述用户请求包括第二查询请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器根据接收到的密钥对所述第二查询请求进行解密,得到解密查询请求;
通过HSM加密方式和SGX数据密封方式根据客户端的ID索引向个人常用数据库发送所述解密查询请求,以便当查询到对应的查询数据时,将所述查询数据发送至所述SGX服务器;
当接收到所述查询数据时,将所述查询数据作为所述操作结果,以便通过TLS将分割填充后的操作结果发送至所述客户端。
本申请还提供一种访问平台的访问请求处理装置,包括:
远程认证模块,用于根据客户端发送的认证请求进行远程认证操作;
用户请求接收模块,用于当所述远程认证操作通过时,通过TLS接收到所述客户端发送的用户请求;
访问操作执行模块,用于采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果;
操作结果返回模块,用于向所述客户端返回所述操作结果。
本申请还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的访问请求处理方法的步骤。
本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的访问请求处理方法的步骤。
本申请所提供的一种访问平台的访问请求处理方法,包括:SGX服务器根据客户端发送的认证请求进行远程认证操作;当所述远程认证操作通过时,所述SGX服务器通过TLS接收到所述客户端发送的用户请求;采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果;向所述客户端返回所述操作结果。
首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,最后向该客户端返回操作结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
本申请还提供一种访问平台的访问请求处理装置、服务器以及计算机可读存储介质,具有以上有益效果,在此不作赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的第一种访问平台的访问请求处理方法的流程图;
图2为本申请实施例所提供的第二种访问平台的访问请求处理方法的流程图;
图3为本申请实施例所提供的第三种访问平台的访问请求处理方法的流程图;
图4为本申请实施例所提供的第四种访问平台的访问请求处理方法的流程图;
图5为本申请实施例所提供的第五种访问平台的访问请求处理方法的流程图;
图6为本申请实施例所提供的一种访问平台的访问请求处理装置的结构示意图。
具体实施方式
本申请的核心是提供一种访问平台的访问请求处理方法、访问请求处理装置、服务器以及计算机可读存储介质,通过先进行远程认证操作,当通过时通过TLS接收用户请求,并在执行对应访问操作时通过HSM加密方式和SGX数据密封方式进行数据操作,最后返回操作结果,而不是直接发送用户的访问数据,提高了用户对访问平台进行访问请求处理的安全性和隐私性。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
现有技术中,为了提高数据存储的安全性,一般采用数据访问平台对用户的数据访问进行管理。其中,数据访问平台是用户进行数据访问时的一种常用媒介,传统的数据访问平台,通过软件手段对用户数据进行保护,当用户在数据访问平台上注册后,平台会分配给用户一个专有ID,之后用户利用ID和相应的登录密码进行登录访问。但是,现有技术首先无法对硬件层面的攻击进行防御,同时用户无法清晰的确认平台声称的安全保护措施已经真正的用到了平台中,存在平台上实际运行的代码与平台声称的代码不一致的可能。同时恶意第三方可以对访问平台进行攻击以获取用户的ID及登录密码,冒用用户身份进行登录。也就是说,现有的数据访问平台存在严重的数据安全问题,其隐私性和安全性较低。
因此,本申请提供一种访问平台的访问请求处理方法,首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,最后向该客户端返回操作结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
以下通过一个实施例,对本申请提供的一种访问平台的访问请求处理方法进行说明。
请参考图1,图1为本申请实施例所提供的第一种访问平台的访问请求处理方法的流程图。
本实施例中,该方法可以包括:
S101,SGX服务器根据客户端发送的认证请求进行远程认证操作;
本步骤旨在SGX服务器根据客户端发送的认证请求进行远程认证操作。也就是说,本实施例在对客户端的请求进行接收之前首先在SGX(Software Guard Extensions软件保护扩展)服务器与客户端之间进行远程认证操作,以便建立TLS(Transport LayerSecurity安全传输层协议)通信。
其中,SGX服务器指设置了SGX的服务器。进一步的,SGX是指旨在以硬件安全为强制性保障,不依赖于固件和软件的安全状态,提供用户空间的可信执行环境,通过一组新的指令集扩展与访问控制机制,实现不同程序间的隔离运行,保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏.不同于其他安全技术,SGX的可信计算机仅包括硬件,避免了基于软件的自身存在软件安全漏洞与威胁的缺陷,极大地提升了系统安全保障。此外,SGX可保障运行时的可信执行环境,恶意代码无法访问与篡改其他程序运行时的保护内容,进一步增强了系统的安全性;基于指令集的扩展与独立的认证方式,使得应用程序可以灵活调用这一安全功能并进行验证。
其中,TLS是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
可见,通过本步骤实现了客户端到服务器之间的数据传输的安全性。
S102,当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求;
在S101的基础上,本步骤旨在当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求。也就是,在TLS建立成功的基础上,客户端通过TLS向SGX服务器发送用户请求,SGX服务器同样通过TLS接收到该用户请求。
其中,用户请求指的是客户端向SGX服务器发送,用于访问数据的请求。可以想到是的,存在不同的访问请求。可以是注册访问,将新的用户数据保存至数据库中。也可以是登录访问,将用户数据与已注册的数据进行对比,以便保持登录状态。还可以是获取数据访问,从数据库中获取到对应的数据。可见,本实施例中用户请求的具体内容并不唯一,在此不做具体限定。
S103,采用HSM加密方式和SGX数据密封方式执行用户请求对应的访问操作,得到操作结果;
在S102的基础上,本步骤旨在采用HSM(hardware security module硬件安全模块)加密方式和SGX数据密封方式执行用户请求对应的访问操作,得到操作结果。也就是说,无论获取到什么类型的用户请求,在SGX服务器中均执行该用户请求对应的访问操作。其中,访问操作包括但不限于注册操作,登录操作,数据获取操作。
而这些操作均需要对数据库进行操作,例如,写入,获取,查询等。在现有技术中,客户端在查询或者访问数据时,没有进行隐私处理,恶意第三方可以直接监控查询数据的具体内容,进而分析用户行为,判断用户喜好并进一步获取用户的其他隐私信息。并且,客户端无法确认平台上运行的代码确实是供应方声称的代码。
因此,本步骤中采用HSM加密方式和SGX数据密封方式执行该访问操作。具体来说,只要当出现SGX服务器与数据库之间的操作时,均采用HSM加密方式和SGX数据密封方式进行数据传输。进一步的,在数据库中直接保存HSM加密方式和SGX数据密封方式加密后的数据,避免数据库中的数据出现泄漏隐患。
其中,HSM是一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备。HSM提供篡改留证、篡改抵抗两种方式的防篡改功能,前者设计使得篡改行为会留下痕迹,后者设计使得篡改行为会令HSM销毁密钥一类的受保护信息。每种HSM都会包括一个或多个安全协处理器,用于阻止篡改或总线探测。
S104,向客户端返回操作结果。
在S103的基础上,本步骤旨在向该客户端返回该操作结果。也就是,最后将得到的操作结果向客户端发送。
可以想到的是,根据不同的用户请求执行不同的访问操作,进而会得到不同类型的操作结果。但无论获取到什么类型的操作结果,均需要返回至该客户端中。
综上,本实施例首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行用户请求对应的访问操作,得到操作结果,最后向该客户端返回操作结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
以下通过另一个实施例,对本申请提供的一种访问平台的访问请求处理方法进行说明。
请参考图2,图2为本申请实施例所提供的第二种访问平台的访问请求处理方法的流程图。
本实施例中,该方法可以包括:
S201,SGX服务器根据客户端发送的认证请求进行远程认证操作;
S202,当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求;其中,用户请求包括注册请求;
S203,SGX服务器将密封填充后的加密信息通过HSM加密方式和SGX数据密封方式发送至身份信息数据库,以便当加密信息写入成功时,向SGX服务器发送写入结果;
S204,对接收到的写入结果进行校验;
S205,当校验成功时,SGX服务器在个人常用数据库以客户端的用户序列号为索引建立数据集,以便当数据集奖励成功时,个人常用数据库向SGX服务器发送建立成功结果;
S206,当接收到建立成功结果时,将注册成功结果作为操作结果;
S207,向客户端返回操作结果。
可见,本实施例主要是对客户端在SGX服务器中如何进行注册操作进行说明。在该注册过程中,均采用HSM加密方式和SGX数据密封方式将数据进行加密。并且,在身份信息数据库保存的加密后的数据,进一步保持了数据的安全性。
当本实施例应用在具体场景中时,以上步骤可以包括:
步骤1,首先,用户客户端要求SGX服务器发起远程认证,认证SGX环境可信;然后,用户客户端和SGX环境建立TLS通信,并将用户客户端的个人密钥、用户客户端序列号、各项个人信息通过TLS发送到SGX内部;
步骤2,SGX内部利用用户客户端的个人密钥将用户客户端的个人身份信息密封填充后得到加密信息,将用户客户端的序列号及加密信息通过SGX密封及HSM加密传入身份信息数据库。其中,采用密封填充的目的主要是避免SGX服务器中传输数据存在的漏洞问题,避免因该漏洞出现数据泄漏,提高数据的安全性。
步骤3,数据成功写入数据库后,将结果返回SGX服务器,SGX服务器做数据保存成功的校验。
步骤4,若步骤3校验成功,则在个人常用数据库中以用户客户端序列号为索引建立一个空的数据集;
步骤5,创建成功后,将创建成功消息返回SGX服务器;
步骤6,SGX服务器收到创建成功的结果,将注册成功的结果返回给客户端,用户客户端结束会话。
可见,本实施例在注册过程中首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行注册操作,得到操作结果,最后向该客户端返回操作结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
以下通过另一个实施例,对本申请提供的一种访问平台的访问请求处理方法进行说明。
请参考图3,图3为本申请实施例所提供的第三种访问平台的访问请求处理方法的流程图。
本实施例中,该方法可以包括:
S301,SGX服务器根据客户端发送的认证请求进行远程认证操作;
S302,当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求;其中,用户请求包括登录请求;
S303,SGX服务器根据接收到的加密ID通过HSM加密方式和SGX数据密封方式向身份信息数据库发送对比凭证查询请求,以便身份信息数据库根据对比凭证请求将解密后的对比凭证发送至SGX服务器;
S304,根据接收到对比凭证进行登录对比;
S305,当登录对比通过时,将登录成功结果作为操作结果;
S306,向客户端返回操作结果。
可选的,本实施例还可以包括:
根据预设时长对客户端的登录状态执行维护操作。
可见,本可选方案主要是对如何执行登录操作进行说明。在登录过程中主要是将获取到的登录信息与身份信息数据库中获取到的对比凭证进行对比。在本实施例中,为了进一步提高数据的安全性,获取到的对比凭证的加密状态的数据。在本实施例中,进行进一步解密操作后,再进行登录对比。该登录对比就是登录信息验证操作。
当本实施例应用在具体场景中时,以上步骤可以包括:
步骤1,首先用户客户端触发SGX服务器的远程认证流程,SGX服务器进行远程认证,并将认证结果返回给用户客户端,认证通过后,用户客户端发起基于TLS的会话,发起登录请求;然后,SGX服务器发起登录验证,使用户客户端提供密钥和登录凭证并发送一个随机值给用户客户端;
其中,发送密钥的原因是SGX服务器及数据库不存储用户客户端密钥,用户客户端注册的登录凭证是加密存储的,需要用户客户端的密钥进行解密,发送随机的作用是防重放。
步骤2,收到用户客户端的登录凭证等信息后,SGX服务器根据用户客户端提供的加密后的ID,从身份信息数据库中获取用户客户端注册时存储的对比凭证。也就是向身份信息数据库发送查询请求;
其中,加密ID同时也通过HSM加密方式和SGX数据密封方式进行加密,所以传入数据库时的查询索引(即加密ID)与加密存储在数据库中的值是同一个值,可以在数据库中直接搜索。
步骤3,将数据库中搜索的结果经过HSM解密及SGX解封之后传回SGX服务器,在SGX服务器利用用户客户端提供的密钥对数据进行解密,然后进行用户客户端登录比较。
步骤4,当比较通过,向用户客户端返回登录成功,同时按照系统约定的时间,为用户客户端在一定时间内维护登录状态。
可见,本实施例在登录过程中首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行登录操作,最后向该客户端返回登录成功结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
以下通过另一个实施例,对本申请提供的一种访问平台的访问请求处理方法进行说明。
请参考图4,图4为本申请实施例所提供的第四种访问平台的访问请求处理方法的流程图。
本实施例中,该方法可以包括:
S401,SGX服务器根据客户端发送的认证请求进行远程认证操作;
S402,当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求;其中,用户请求包括第一查询请求;
S403,SGX服务器根据接收到的密钥对第一查询请求进行解密,得到解密查询请求;
S404,通过HSM加密方式和SGX数据密封方式根据客户端的ID索引向个人常用数据库发送解密查询请求,以便当判断个人常用数据库未存储对应的数据时,向SGX服务器发送查询失败消息;
S405,当接收到查询失败消息时,与全节点建立TLS通信,并向全节点发送解密查询请求,以便全节点通过TLS将对应的查询数据发送至SGX服务器;
S406,当SGX服务器接收到查询数据时,根据接收到的密钥将查询数据进行加密,得到加密查询数据,将加密查询数据作为操作结果;
S407,向客户端返回操作结果。
可选的,本实施例还可以包括:
通过HSM加密方式和SGX数据密封方式将加密查询数据发送至个人常用数据库。
可见,本实施例主要是对用户获取数据的方式进行说明。在本实施例中首先向个人常用数据库进行查询,判断是否存在对应的数据。当查询不到对应的数据时,再向全节点中查询对应的数据。
当本实施例应用在具体场景中时,以上步骤可以包括:
步骤1,首先用户客户端触发SGX服务器的远程认证流程,SGX服务器进行远程认证,并将认证结果返回给用户客户端,认证通过后,用户客户端发起基于TLS的会话,发起查询请求并将查询内容以加密形式发送至SGX服务器内;然后,SGX服务器利用之前用户客户端登录时传入的密钥对用户客户端的查询内容进行解密。
步骤2,SGX服务器利用用户客户端的ID到常用信息数据库中进行查找,查询用户客户端请求的内容是否在个人数据列表中;此时,用户客户端ID等信息会经过同样的SGX封装及HSM加密流程,保障恶意第三方无法对用户客户端数据进行分析猜测,数据库中会以密文匹配的形式对用户客户端申请的数据进行查询。
步骤3,当发现用户客户端要查询的数据在数据库中并没有存储,向SGX服务器发送查询失败消息。
步骤4,当SGX服务器接收到该查询失败消息时,SGX服务器与全节点建立TLS通信,在全节点上查询用户客户端要查询的内容数据。
步骤5,全节点利用TLS通道,将内容数据回传给SGX服务器;
步骤6,SGX服务器收到用户客户端要查询的信息,利用之前用户客户端传入的密钥对此信息进行加密。然后,将数据以密文的形式传给用户客户端,同时以密文的形式经过SGX封装与HSM加密后将数据存入对应用户客户端的数据表中;其中,将数据回传给用户客户端时,利用数据分割和填充的方式,防止基于SGX的侧信道等攻击,提高数据的隐私性。
可见,本实施例在数据查询过程中首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行数据查询操作,最后向该客户端返回数据查询成功结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
以下通过另一个实施例,对本申请提供的一种访问平台的访问请求处理方法进行说明。
请参考图5,图5为本申请实施例所提供的第五种访问平台的访问请求处理方法的流程图。
本实施例中,该方法可以包括:
S501,SGX服务器根据客户端发送的认证请求进行远程认证操作;
S502,当远程认证操作通过时,SGX服务器通过TLS接收到客户端发送的用户请求;其中,用户请求包括第二查询请求;
S503,SGX服务器根据接收到的密钥对第二查询请求进行解密,得到解密查询请求;
S504,通过HSM加密方式和SGX数据密封方式根据客户端的ID索引向个人常用数据库发送解密查询请求,以便当查询到对应的查询数据时,将查询数据发送至SGX服务器;
S505,当接收到查询数据时,将查询数据作为操作结果;
S506,通过TLS将分割填充后的操作结果发送至客户端。
可见,本实施例主要是对查询获取数据的过程进行说明。在本实施例中,该获取数据的过程中,直接从个人常用数据库中获取到对应的查询数据。
当本实施例应用在具体场景中时,以上步骤可以包括:
步骤1,首先用户客户端触发SGX服务器的远程认证流程,SGX服务器进行远程认证,并将认证结果返回给用户客户端,认证通过后,用户客户端发起基于TLS的会话,发起查询请求并将查询内容以加密形式发送至SGX服务器内;然后,SGX服务器利用之前用户客户端登录时传入的密钥对用户客户端的查询内容进行解密;
步骤2,SGX服务器利用用户客户端的ID到常用信息数据库中进行查找,查询用户客户端请求的内容是否在个人数据列表中;其中,用户客户端ID等信息会经过同样的SGX封装及HSM加密流程,保障恶意第三方无法对用户客户端数据进行分析猜测,数据库中会以密文匹配的形式对用户客户端申请的数据进行查询。可见,进一步提高数据存储及传输的隐私性,提高数据访问平台整体的安全性。
步骤3,当发现用户客户端要查询的数据在数据库中有存储备份,将用户客户端要查询的数据及前后各两次的数据同时返回给SGX服务器;其中,发送前后各两次的数据是为了将数据在SGX服务器中进行提前缓存,提高数据获取到效率。
步骤4,SGX服务器将用户客户端需要的数据进行分割填充后利用TLS安全通道回传给用户客户端,同时将该数据前后两次的数据解密。当用户客户端查询前后数据时直接返回给用户客户端,当作预取数据处理。其中,用户客户端要查询的数据在从数据库回传给SGX时经过了HSM解密与SGX解封。
可见,本实施例在数据查询过程中首先与客户端之间进行远程认证操作,用于建立专用的数据传输通道,然后SGX服务器通过TLS接收到客户端发送的用户请求,之后采用HSM加密方式和SGX数据密封方式执行数据查询操作,最后向该客户端返回数据查询成功结果,可见,本方案从硬件底层采用了安全性较高的SGX服务器作为访问平台,并且在数据传输的过程中采用TLS、HSM加密方式以及SGX数据密封方式,保持了数据在传输过程中不被泄漏,进一步提高了数据在访问平台中的安全性和隐私性。
下面对本申请实施例提供的一种访问平台的访问请求处理装置进行介绍,下文描述的一种访问平台的访问请求处理装置与上文描述的一种访问平台的访问请求处理方法可相互对应参照。
请参考图6,图6为本申请实施例所提供的一种访问平台的访问请求处理装置的结构示意图。
本实施例中,该装置可以包括:
远程认证模块100,用于根据客户端发送的认证请求进行远程认证操作;
用户请求接收模块200,用于当远程认证操作通过时,通过TLS接收到客户端发送的用户请求;
访问操作执行模块300,用于采用HSM加密方式和SGX数据密封方式执行用户请求对应的访问操作,得到操作结果;
操作结果返回模块400,用于向客户端返回操作结果
本申请实施例还提供一种服务器,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如以上实施例所述的访问请求处理方法的步骤。
该处理器可以是可信处理器。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如以上实施例所述的访问请求处理方法的步骤
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种访问平台的访问请求处理方法、访问请求处理装置、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (9)
1.一种访问平台的访问请求处理方法,其特征在于,包括:
SGX服务器根据客户端发送的认证请求进行远程认证操作;
当所述远程认证操作通过时,所述SGX服务器通过TLS接收到所述客户端发送的用户请求;
采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果;
向所述客户端返回所述操作结果;
当所述用户请求包括注册请求,其中,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器将密封填充后的加密信息通过HSM加密方式和SGX数据密封方式发送至身份信息数据库,以便当所述加密信息写入成功时,向所述SGX服务器发送写入结果;
对接收到的所述写入结果进行校验;
当校验成功时,所述SGX服务器在个人常用数据库以所述客户端的用户序列号为索引建立数据集,以便当所述数据集建立成功时,所述个人常用数据库向所述SGX服务器发送建立成功结果;
当接收到所述建立成功结果时,将注册成功结果作为所述操作结果。
2.根据权利要求1所述的访问请求处理方法,其特征在于,所述用户请求包括登录请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器根据接收到的加密ID通过HSM加密方式和SGX数据密封方式向身份信息数据库发送对比凭证查询请求,以便所述身份信息数据库根据所述对比凭证请求将解密后的对比凭证发送至所述SGX服务器;
根据接收到所述对比凭证进行登录对比;
当所述登录对比通过时,将登录成功结果作为所述操作结果。
3.根据权利要求2所述的访问请求处理方法,其特征在于,还包括:
根据预设时长对所述客户端的登录状态执行维护操作。
4.根据权利要求1所述的访问请求处理方法,其特征在于,所述用户请求包括第一查询请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器根据接收到的密钥对所述第一查询请求进行解密,得到解密查询请求;
通过HSM加密方式和SGX数据密封方式根据客户端的ID索引向个人常用数据库发送所述解密查询请求,以便当判断所述个人常用数据库未存储对应的数据时,向所述SGX服务器发送查询失败消息;
当接收到所述查询失败消息时,与全节点建立TLS通信,并向所述全节点发送所述解密查询请求,以便所述全节点通过TLS将对应的查询数据发送至SGX服务器;
当所述SGX服务器接收到所述查询数据时,根据所述接收到的密钥将查询数据进行加密,得到加密查询数据,将所述加密查询数据作为所述操作结果。
5.根据权利要求4所述的访问请求处理方法,其特征在于,还包括:
通过HSM加密方式和SGX数据密封方式将所述加密查询数据发送至所述个人常用数据库。
6.根据权利要求1所述的访问请求处理方法,其特征在于,所述用户请求包括第二查询请求;
相应的,采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果,包括:
所述SGX服务器根据接收到的密钥对所述第二查询请求进行解密,得到解密查询请求;
通过HSM加密方式和SGX数据密封方式根据客户端的ID索引向个人常用数据库发送所述解密查询请求,以便当查询到对应的查询数据时,将所述查询数据发送至所述SGX服务器;
当接收到所述查询数据时,将所述查询数据作为所述操作结果,以便通过TLS将分割填充后的操作结果发送至所述客户端。
7.一种访问平台的访问请求处理装置,其特征在于,所述访问平台为SGX服务器,所述访问请求处理装置包括:
远程认证模块,用于根据客户端发送的认证请求进行远程认证操作;
用户请求接收模块,用于当所述远程认证操作通过时,通过TLS接收到所述客户端发送的用户请求;
访问操作执行模块,用于采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作,得到操作结果;
操作结果返回模块,用于向所述客户端返回所述操作结果;
当所述用户请求包括注册请求,所述访问操作执行模块采用HSM加密方式和SGX数据密封方式执行所述用户请求对应的访问操作的过程,包括:
将密封填充后的加密信息通过HSM加密方式和SGX数据密封方式发送至身份信息数据库,以便当所述加密信息写入成功时,向所述SGX服务器发送写入结果;
对接收到的所述写入结果进行校验;
当校验成功时,所述SGX服务器在个人常用数据库以所述客户端的用户序列号为索引建立数据集,以便当所述数据集建立成功时,所述个人常用数据库向所述SGX服务器发送建立成功结果;
当接收到所述建立成功结果时,将注册成功结果作为所述操作结果。
8.一种服务器,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述的访问请求处理方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的访问请求处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010456257.3A CN111611620B (zh) | 2020-05-26 | 2020-05-26 | 一种访问平台的访问请求处理方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010456257.3A CN111611620B (zh) | 2020-05-26 | 2020-05-26 | 一种访问平台的访问请求处理方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111611620A CN111611620A (zh) | 2020-09-01 |
| CN111611620B true CN111611620B (zh) | 2023-07-25 |
Family
ID=72204369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010456257.3A Active CN111611620B (zh) | 2020-05-26 | 2020-05-26 | 一种访问平台的访问请求处理方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111611620B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112395631B (zh) * | 2020-11-27 | 2022-09-20 | 上海交通大学 | 基于sgx技术的安全数据库系统、方法及介质 |
| CN112560104B (zh) * | 2021-01-17 | 2022-07-19 | 金网络(北京)电子商务有限公司 | 一种基于云计算和区块链的数据存储方法及安全信息平台 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120569A (zh) * | 2004-12-28 | 2008-02-06 | 意大利电信股份公司 | 用户从用户终端远程访问终端设备的远程访问系统和方法 |
| CN105516110A (zh) * | 2015-12-01 | 2016-04-20 | 成都汇合乾元科技有限公司 | 移动设备安全数据传送方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462689B (zh) * | 2017-02-22 | 2022-04-01 | 英特尔公司 | 用于远程sgx飞地认证的技术 |
| US20190065406A1 (en) * | 2017-11-17 | 2019-02-28 | Intel Corporation | Technology For Establishing Trust During A Transport Layer Security Handshake |
| EP3522088B1 (en) * | 2018-02-05 | 2022-03-16 | Nokia Technologies Oy | Securing blockchain access through a gateway |
| KR102078920B1 (ko) * | 2018-05-08 | 2020-02-19 | 한국과학기술원 | 씰링 및 원격 증명을 기반으로 하는 2차 인증 방법 및 시스템 |
| CN109981579B (zh) * | 2019-02-25 | 2021-07-02 | 北京工业大学 | 基于SGX的Hadoop秘钥管理服务安全加强方法 |
| CN110138799B (zh) * | 2019-05-30 | 2020-07-17 | 东北大学 | 一种基于sgx的安全云存储方法 |
-
2020
- 2020-05-26 CN CN202010456257.3A patent/CN111611620B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101120569A (zh) * | 2004-12-28 | 2008-02-06 | 意大利电信股份公司 | 用户从用户终端远程访问终端设备的远程访问系统和方法 |
| CN105516110A (zh) * | 2015-12-01 | 2016-04-20 | 成都汇合乾元科技有限公司 | 移动设备安全数据传送方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111611620A (zh) | 2020-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109409045B (zh) | 浏览器自动登录账号安全保护方法和装置 | |
| CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
| CN108418691A (zh) | 基于sgx的动态网络身份认证方法 | |
| CN102377756B (zh) | 业务访问、鉴权方法及对应的系统、客户端、鉴权服务器 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN111770088A (zh) | 数据鉴权方法、装置、电子设备和计算机可读存储介质 | |
| CN109981665B (zh) | 资源提供方法及装置、资源访问方法及装置和系统 | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| US9954853B2 (en) | Network security | |
| CN114338019B (zh) | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 | |
| CN111611620B (zh) | 一种访问平台的访问请求处理方法及相关装置 | |
| US20150328119A1 (en) | Method of treating hair | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
| CN105187369A (zh) | 一种数据访问方法及装置 | |
| CN114244508A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN113703911B (zh) | 一种虚拟机迁移方法、装置、设备、存储介质 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| CN110035035B (zh) | 一种单点登录的二次认证方法及系统 | |
| CN112272089B (zh) | 云主机登录方法、装置、设备及计算机可读存储介质 | |
| CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
| US20100146605A1 (en) | Method and system for providing secure online authentication | |
| CN109474431A (zh) | 客户端认证方法及计算机可读存储介质 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| CN102025492A (zh) | 一种web服务器及其数据保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |