CN112468465B - 一种基于担保派生的零信任环境下终端账户身份认证方法和系统 - Google Patents
一种基于担保派生的零信任环境下终端账户身份认证方法和系统 Download PDFInfo
- Publication number
- CN112468465B CN112468465B CN202011278342.1A CN202011278342A CN112468465B CN 112468465 B CN112468465 B CN 112468465B CN 202011278342 A CN202011278342 A CN 202011278342A CN 112468465 B CN112468465 B CN 112468465B
- Authority
- CN
- China
- Prior art keywords
- guarantee
- account terminal
- account
- terminal
- guaranteed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000009795 derivation Methods 0.000 title claims abstract description 20
- 238000012790 confirmation Methods 0.000 claims abstract description 59
- 238000012795 verification Methods 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 13
- 238000009825 accumulation Methods 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 2
- 230000002159 abnormal effect Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于担保派生的零信任环境下终端账户身份认证方法和系统,其方法步骤包括:响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;接收所述担保账户终端返回的确认担保信息,并上传至所述安全服务器,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;接收所述安全服务器发送的所述待担保账户终端的可信性判定结果,所述可信性判定结果由所述确认担保信息的数量决定。从而构建账户终端之间,涉及社交形式的可信性认证方法,克服现有鉴别方式存在的普适性不强和客观性不足的问题。
Description
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种基于担保派生的零信任环境下终端账户身份认证方法和系统。
背景技术
目前账户身份安全性的鉴别方法多采用单一账户的技术路线,即根据账户自身的历史数据进行分析,从而确定账户的可信性。
这种方法对于注册时间比较短的账户可行性鉴别效果并不理想:一旦账户由于涉及到需要鉴别的情况,注册时间比较短的账户的鉴别往往会由于历史数据不充分而难以鉴别。此外,单一账户的技术路线的鉴别方法往往只有单一的鉴别标准,这种方式得到的可信性大部分情况下缺乏客观性。
因此,需要一种更加客观的账户身份安全性的鉴别方法,以克服现有鉴别方式存在的普适性不强和客观性不足的问题。
发明内容
本发明提供了一种基于担保派生的零信任环境下终端账户身份认证方法和系统,用于克服现有鉴别方式存在的普适性不强和客观性不足的问题。
第一方面,本发明提供的一种基于担保派生的零信任环境下终端账户身份认证方法,包括:
响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;
接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;
根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;
根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。
可选地,根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,包括:
根据所述确认担保信息,确定返回所述确认担保信息的已担保账户终端;
从所述安全服务器中确定所述已担保账户终端的担保权重值;
累积所有担保权值,得到待担保账户终端的可信度。
可选地,响应于鉴别请求,发送担保请求到担保账户终端,包括:
响应于所述鉴别请求,通过级联方式将所述待担保账户终端与所述担保账户终端关联,形成级联标识;
基于所述级联标识,依次发送所述担保请求至所述担保账户终端。
可选地,从所述安全服务器中确定所述已担保账户终端的担保权重值之前,还包括:
通过每个所述账户终端对应的公钥,依次对所述确认担保信息验签;所述确认担保信息为所述担保账户终端通过私钥,对所述担保请求签名得到。
可选地,根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性,包括:
判断所述待担保账户终端的可信度是否大于预先设定的可信阈值;
若是,则所述待担保账户终端判断所述待担保账户终端为可信账户终端;
若否,则判断所述待担保账户终端为不可信账户终端。
第二方面,本发明提供的一种基于担保派生的零信任环境下终端账户身份认证系统,包括:
请求响应模块,用于响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;
担保信息接收模块,用于接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;
可信度确定模块,用于根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;
可信性确定模块,用于根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。
可选地,所述可信度确定模块包括:
担保信息确定子模块,用于根据所述确认担保信息,确定返回所述确认担保信息的已担保账户终端;
担保权重值确定子模块,用于从所述安全服务器中确定所述已担保账户终端的担保权重值;
累积模块,用于累积所有担保权值,得到待担保账户终端的可信度。
可选地,所述请求响应模块包括:
级联标识形成子模块,用于响应于所述鉴别请求,通过级联方式将所述待担保账户终端与所述担保账户终端关联,形成级联标识;
发送子模块,用于基于所述级联标识,依次发送所述担保请求至所述担保账户终端。
可选地,所述系统还包括:
验签模块,用于通过每个所述账户终端对应的公钥,依次对所述确认担保信息验签;所述确认担保信息为所述担保账户终端通过私钥,对所述担保请求签名得到。
可选地,所述可信性确定模块包括:
判断子模块,用于判断所述待担保账户终端的可信度是否大于预先设定的可信阈值;
若是,则所述待担保账户终端判断所述待担保账户终端为可信账户终端;
若否,则判断所述待担保账户终端为不可信账户终端。
从以上技术方案可以看出,本发明具有以下优点:
在本发明实施例所提供的一种基于担保派生的零信任环境下终端账户身份认证方法,通过响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。从而构建账户终端之间,涉及社交形式的可信性认证方法,并且在担保账户终端进行担保验证的还预先评定每个担保账户终端的权重值,以便对于待担保账户终端的可信度判定结果更加准确,克服现有鉴别方式存在的普适性不强和客观性不足的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种基于担保派生的零信任环境下终端账户身份认证方法实施例一的步骤流程图;
图2为本发明的一种基于担保派生的零信任环境下终端账户身份认证方法实施例二的步骤流程图;
图3为本发明的一种基于担保派生的零信任环境下终端账户身份认证系统实施例的结构框图。
具体实施方式
本发明实施例提供了一种基于担保派生的零信任环境下终端账户身份认证方法和系统,用于构建账户终端之间,涉及社交形式的可信性认证方法,克服现有鉴别方式存在的普适性不强和客观性不足的问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一,请参阅图1,图1为本发明的一种基于担保派生的零信任环境下终端账户身份认证方法实施例一的步骤流程图,具体可以包括如下步骤:
步骤S101,响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;
在具体实现中,待担保账户终端会根据安全服务器或随机终端发出的鉴别请求发送担保请求到固定数量的随机账户终端,随机账户终端可以是与待担保账户终端存在相同历史数据的账户终端,也可以是毫无关联的任意账户终端;随机账户终端的数量可以根据实际情况进行设定,举例说明:假如账户终端是在零信任环境下,即在此之前并没有任何社交鉴别的情况,可以将数量定为50,从而可以快速构建担保关系,实现账户终端可信性的快速鉴别。
在本发明实施例中,安全服务器在检测出账户终端异常的情况下,或任意当前账户存在异常情况的随机终端,会发出鉴别请求到待担保账户终端。
状态异常的账户可以是当前网络状态异常的账户终端,也可以是设备登录地点异常的账户终端,本发明在此不作限制。
步骤S102,接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;
步骤S103,根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;
步骤S104,根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。
在本发明实施例中,安全服务器会通过待担保账户终端发送的确认担保信息的数量,确定待担保账户终端的可信性,并将可信性判定结果发送至待担保账户终端。
在本发明实施例所提供的一种基于担保派生的零信任环境下终端账户身份认证方法,通过响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端对所述担保请求利用签名得到;根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。从而构建账户终端之间,涉及社交形式的可信性认证方法,并且在担保账户终端进行担保验证的还预先评定每个担保账户终端的权重值,以便对于待担保账户终端的可信度判定结果更加准确,克服现有鉴别方式存在的普适性不强和客观性不足的问题。
实施例二,请参阅图2,为本发明的一种基于担保派生的零信任环境下终端账户身份认证方法实施例二的步骤流程图,所述步骤具体包括:
步骤S201,响应于鉴别请求,通过级联方式将所述待担保账户终端与所述担保账户终端关联,形成级联标识;
需要说明的是,级联在计算机科学里指多个对象之间的映射关系,建立数据之间的级联标识提高管理效率。
在具体实现中,担保账户终端指固定数量的随机账户终端,因此在绝大部分情况下,担保账户终端的数量不会是一个。
在本发明实施例中,待担保账户终端Ub会根据安全服务器的鉴别请求发送担保请求到担保账户终端Ua,且担保请求的形成过程具体为:待担保账户终端Ub利用级联到担保账户终端Ua,形成担保标识Ub||Ua,其中||表示级联。
步骤S202,基于所述级联标识,依次发送所述担保请求至所述担保账户终端;
在本发明实施例中,待担保账户终端Ua根据待担保账户终端Ua和担保账户终端Ub之间的担保标识Ub||Ua,逐一将担保请求发送至担保账户终端Ua。
步骤S203,接收所述担保账户终端返回的确认担保信息;
在本发明实施例中,担保账户终端Ua在接收到担保请求之后,可以根据对于待担保账户Ub的实际情况进行客观的事实评定,从而确定是否需要发送确认担保信息至待担保账户终端Ub。
举例说明:假如担保账户终端Ua与待担保账户终端Ub之间存在一定的交涉,比如说现实生活当中各自终端的使用者都是相熟的朋友,那么担保账户终端Ua可以发送确认担保信息;而如果担保账户终端Ua与待担保账户终端Ub并无交涉,且待担保账户终端Ub也并没有实际的使用痕迹,担保账户终端Ua可以完全忽略担保请求。假如确定需要发送确认担保信息,担保账户终端Ua可以基于非对称加密算法,使用自身的私钥Pa对待担保账户终端Ub签名,即signature=sig(Ub||Ua,Pa),并把签名发送给待担保账户终端Ub,同时将自己的公钥公开。待担保账户终端Ub接收签名signature并保存,用于证明担保账户终端Ua对待担保账户终端Ub的信任。
非对称加密是指加密和解密使用不同密钥的加密算法,也称为公私钥加密。
步骤S204,根据所述确认担保信息,确定返回所述确认担保信息的已担保账户终端;
步骤S205,通过每个所述已担保账户终端对应的公钥,依次对所述确认担保信息验签;所述确认担保信息为所述担保账户终端通过私钥,对所述担保请求签名得到;
在本发明实施例中,在安全服务器利用在已担保账户终端在签名时公开的公钥,验签确认担保信息。
步骤S206,从所述安全服务器中确定所述已担保账户终端的担保权重值;
在本发明实施例中,对于返回了确认担保信息的已担保账户终端,安全服务器会根据待担保账户终端上传的全部确认担保信息确定,从而通过安全服务器根据确认担保信息的权重,确定所述待担保账户终端Ub的可信性。
步骤S207,累积所有担保权值,得到待担保账户终端的可信度;
在本发明实施例中,假设安全服务器将已担保账户终端A的担保权重设为Pa,将已担保账户终端B的担保权重设为Pb……以此类推,假设总共有26个已担保账户终端返回了确认担保信息,那么,待担保账户终端的可信度即可Pa+Pb+……Pz。
在一种特殊的情境中,可以针对特定数量的账户终端的可信度进行互相的鉴别,现设数量为5,且担保情况如下:
1.用户B和用户D对用户A进行担保,假设其权重分别为Pba和Pda,则A的总担保值为Pba+Pda。
2.同样,用户B的总担保值为Pdb,用户C的总担保值为Pac+Pbc+Pec,用户D的总担保值为Pbd,用户E的总担保值为0。
3.系统检查每个用户的总担保值,由于用户E的总担保值最小,系统可针对用户E开展二次身份鉴别。
具体的担保关系如下表所示:
| 用户A | 用户B | 用户C | 用户D | 用户E | |
| 用户A | - | P<sub>ac</sub> | |||
| 用户B | P<sub>ba</sub> | - | P<sub>bc</sub> | P<sub>bd</sub> | |
| 用户C | - | ||||
| 用户D | P<sub>da</sub> | P<sub>db</sub> | - | ||
| 用户E | P<sub>ec</sub> | - |
步骤S208,判断所述待担保账户终端的可信度是否大于预先设定的可信阈值;
步骤S209,若是,则所述待担保账户终端判断所述待担保账户终端为可信账户终端;
步骤S210,若否,则判断所述待担保账户终端为不可信账户终端。
在本发明实施例中,将待保障账户终端的可信度和预先设定的可信阈值进行比较,从而可以在社交层面确定待担保账户终端的可信性。
在本发明实施例所提供的一种基于担保派生的零信任环境下终端账户身份认证方法,通过响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。从而构建账户终端之间,涉及社交形式的可信性认证方法,并且在担保账户终端进行担保验证的还预先评定每个担保账户终端的权重值,以便对于待担保账户终端的可信度判定结果更加准确,克服现有鉴别方式存在的普适性不强和客观性不足的问题。
请参阅图3,示出了一种基于担保派生的零信任环境下终端账户身份认证系统实施例的结构框图,包括如下模块:
请求响应模块101,用于响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;
担保信息接收模块102,用于接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;
可信度确定模块103,用于根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;
可信性确定模块104,用于根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。
在一个可选实施例中,所述可信度确定模块103包括:
担保信息确定子模块,用于根据所述确认担保信息,确定返回所述确认担保信息的已担保账户终端;
担保权重值确定子模块,用于从所述安全服务器中确定所述已担保账户终端的担保权重值;
累积模块,用于累积所有担保权值,得到待担保账户终端的可信度。
在一个可选实施例中,所述请求响应模块101包括:
级联标识形成子模块,用于响应于所述鉴别请求,通过级联方式将所述待担保账户终端与所述担保账户终端关联,形成级联标识;
发送子模块,用于基于所述级联标识,依次发送所述担保请求至所述担保账户终端。
在一个可选实施例中,所述系统还包括:
验签模块,用于通过每个所述账户终端对应的公钥,依次对所述确认担保信息验签;所述确认担保信息为所述担保账户终端通过私钥,对所述担保请求签名得到。
在一个可选实施例中,所述可信性确定模块104包括:
判断子模块,用于判断所述待担保账户终端的可信度是否大于预先设定的可信阈值;
若是,则所述待担保账户终端判断所述待担保账户终端为可信账户终端;
若否,则判断所述待担保账户终端为不可信账户终端。
对于系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于担保派生的零信任环境下终端账户身份认证方法,其特征在于,包括:
响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;所述随机账户终端包括与待担保账户终端存在相同历史数据的第一账户终端,以及与所述待担保账户终端无关联的第二账户终端;
接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;
根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;
根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。
2.根据权利要求1所述的基于担保派生的零信任环境下终端账户身份认证方法,其特征在于,根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,包括:
根据所述确认担保信息,确定返回所述确认担保信息的已担保账户终端;
从安全服务器中确定所述已担保账户终端的担保权重值;
累积所有担保权值,得到待担保账户终端的可信度。
3.根据权利要求2所述的基于担保派生的零信任环境下终端账户身份认证方法,其特征在于,响应于鉴别请求,发送担保请求到担保账户终端,包括:
响应于所述鉴别请求,通过级联方式将所述待担保账户终端与所述担保账户终端关联,形成级联标识;
基于所述级联标识,依次发送所述担保请求至所述担保账户终端。
4.根据权利要求3所述的基于担保派生的零信任环境下终端账户身份认证方法,其特征在于,从安全服务器中确定所述已担保账户终端的担保权重值之前,还包括:
通过每个所述账户终端对应的公钥,依次对所述确认担保信息验签;所述确认担保信息为所述担保账户终端通过私钥,对所述担保请求签名得到。
5.根据权利要求1-4中任一所述的基于担保派生的零信任环境下终端账户身份认证方法,其特征在于,根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性,包括:
判断所述待担保账户终端的可信度是否大于预先设定的可信阈值;
若是,则判断所述待担保账户终端为可信账户终端;
若否,则判断所述待担保账户终端为不可信账户终端。
6.一种基于担保派生的零信任环境下终端账户身份认证系统,其特征在于,包括:
请求响应模块,用于响应于鉴别请求,发送担保请求到担保账户终端,所述担保账户终端为数量固定的随机账户终端,且所述担保账户终端存在有对应的公钥和私钥;所述随机账户终端包括与待担保账户终端存在相同历史数据的第一账户终端,以及与所述待担保账户终端无关联的第二账户终端;
担保信息接收模块,用于接收所述担保账户终端返回的确认担保信息,所述确认担保信息为所述担保账户终端依据所述担保请求签名得到;
可信度确定模块,用于根据所述确认担保信息及其对应担保账户终端的权重值,确定所述待担保账户终端的可信度,所述担保账户终端的权重由所述担保账户终端的历史数据以及过往的对应可信性检定结果决定;
可信性确定模块,用于根据所述待担保账户终端的可信度,确定所述待担保账户终端的可信性。
7.根据权利要求6所述的基于担保派生的零信任环境下终端账户身份认证系统,其特征在于,所述可信度确定模块包括:
担保信息确定子模块,用于根据所述确认担保信息,确定返回所述确认担保信息的已担保账户终端;
担保权重值确定子模块,用于从安全服务器中确定所述已担保账户终端的担保权重值;
累积模块,用于累积所有担保权值,得到待担保账户终端的可信度。
8.根据权利要求7所述的基于担保派生的零信任环境下终端账户身份认证系统,其特征在于,所述请求响应模块包括:
级联标识形成子模块,用于响应于所述鉴别请求,通过级联方式将所述待担保账户终端与所述担保账户终端关联,形成级联标识;
发送子模块,用于基于所述级联标识,依次发送所述担保请求至所述担保账户终端。
9.根据权利要求8所述的基于担保派生的零信任环境下终端账户身份认证系统,其特征在于,还包括:
验签模块,用于通过每个所述账户终端对应的公钥,依次对所述确认担保信息验签;所述确认担保信息为所述担保账户终端通过私钥,对所述担保请求签名得到。
10.根据权利要求6-9中任一所述的基于担保派生的零信任环境下终端账户身份认证系统,其特征在于,所述可信性确定模块包括:
判断子模块,用于判断所述待担保账户终端的可信度是否大于预先设定的可信阈值;
若是,则所述待担保账户终端判断所述待担保账户终端为可信账户终端;
若否,则判断所述待担保账户终端为不可信账户终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278342.1A CN112468465B (zh) | 2020-11-16 | 2020-11-16 | 一种基于担保派生的零信任环境下终端账户身份认证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278342.1A CN112468465B (zh) | 2020-11-16 | 2020-11-16 | 一种基于担保派生的零信任环境下终端账户身份认证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468465A CN112468465A (zh) | 2021-03-09 |
| CN112468465B true CN112468465B (zh) | 2022-06-21 |
Family
ID=74837499
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011278342.1A Active CN112468465B (zh) | 2020-11-16 | 2020-11-16 | 一种基于担保派生的零信任环境下终端账户身份认证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468465B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113674085A (zh) * | 2021-08-19 | 2021-11-19 | 支付宝(杭州)信息技术有限公司 | 一种账户的解限方法、装置及设备 |
| CN115134155A (zh) * | 2022-06-29 | 2022-09-30 | 北京天融信网络安全技术有限公司 | 一种鉴权方法及装置、计算机程序产品、电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430167A (zh) * | 2019-07-05 | 2019-11-08 | 浙江大华技术股份有限公司 | 临时账户的管理方法、电子设备、管理终端及存储介质 |
| CN111476572A (zh) * | 2020-04-09 | 2020-07-31 | 财付通支付科技有限公司 | 基于区块链的数据处理方法、装置、存储介质及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101669150A (zh) * | 2006-12-04 | 2010-03-10 | 科学游戏控股有限公司 | 用于一种向账户提供资金的游戏终端的系统和方法 |
| US10367797B2 (en) * | 2013-10-28 | 2019-07-30 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for authenticating users using multiple services |
| US10771449B2 (en) * | 2017-12-04 | 2020-09-08 | Mastercard International Incorporated | Method and system for trustworthiness using digital certificates |
-
2020
- 2020-11-16 CN CN202011278342.1A patent/CN112468465B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110430167A (zh) * | 2019-07-05 | 2019-11-08 | 浙江大华技术股份有限公司 | 临时账户的管理方法、电子设备、管理终端及存储介质 |
| CN111476572A (zh) * | 2020-04-09 | 2020-07-31 | 财付通支付科技有限公司 | 基于区块链的数据处理方法、装置、存储介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468465A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310234B2 (en) | Securing permissioned blockchain network from pseudospoofing network attacks | |
| US10178076B2 (en) | Cryptographic security functions based on anticipated changes in dynamic minutiae | |
| US20210160082A1 (en) | Blockchain transaction method and apparatus | |
| CN106797371B (zh) | 用于用户认证的方法和系统 | |
| CN110049087B (zh) | 一种联盟链的可信度验证方法、系统、装置及设备 | |
| CN112468465B (zh) | 一种基于担保派生的零信任环境下终端账户身份认证方法和系统 | |
| CN111523890A (zh) | 基于区块链的数据处理方法、装置、存储介质及设备 | |
| CN110046901B (zh) | 联盟链的可信度验证方法、系统、装置及设备 | |
| US11362836B2 (en) | Consensus protocol for permissioned ledgers | |
| CN110022345B (zh) | 联盟链中的请求处理方法、系统、装置及设备 | |
| US20210241270A1 (en) | System and method of blockchain transaction verification | |
| CN113055188A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| EP3598333A1 (en) | Electronic device update management | |
| CN113645257B (zh) | 一种身份认证方法及装置、电子设备及存储介质 | |
| CN112651044B (zh) | 基于区块链技术的业务交易方法、系统及存储介质 | |
| CN116318911A (zh) | 一种域名访问方法、装置、电子设备及存储介质 | |
| KR20210039190A (ko) | 블록체인을 이용한 개인정보 관리 방법 및 그 방법이 적용된 블록체인 네트워크 관리자 | |
| CN112291262B (zh) | 一种零信任环境下账户终端担保派生关系的构建方法和系统 | |
| KR102498336B1 (ko) | 블록체인에 기반하여 유저들의 평판을 관리하는 방법 및 시스템 | |
| CN105357185B (zh) | 共享帐号登录验证方法、装置及系统 | |
| CN110266708B (zh) | 一种基于设备集群的终端安全验证系统和方法 | |
| CN110809001B (zh) | 身份验证的方法、装置、设备及存储介质 | |
| CN113055886A (zh) | 边缘计算网络中的终端认证方法、系统、服务器及介质 | |
| CN114679284A (zh) | 可信远程证明系统及其存储、验证方法、存储介质 | |
| CN112636926B (zh) | 签名处理方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |