CN113037686A - 多数据库安全通信方法和系统、计算机可读存储介质 - Google Patents

多数据库安全通信方法和系统、计算机可读存储介质 Download PDF

Info

Publication number
CN113037686A
CN113037686A CN201911345447.1A CN201911345447A CN113037686A CN 113037686 A CN113037686 A CN 113037686A CN 201911345447 A CN201911345447 A CN 201911345447A CN 113037686 A CN113037686 A CN 113037686A
Authority
CN
China
Prior art keywords
database
cross
client
engine
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911345447.1A
Other languages
English (en)
Other versions
CN113037686B (zh
Inventor
尚俊宇
孟照方
刘敬龙
阮宜龙
冯杰
黄礼莲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201911345447.1A priority Critical patent/CN113037686B/zh
Publication of CN113037686A publication Critical patent/CN113037686A/zh
Application granted granted Critical
Publication of CN113037686B publication Critical patent/CN113037686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本公开涉及一种多数据库安全通信方法和系统、计算机可读存储介质。该多数据库安全通信方法包括:建立多数据库联盟域;在多数据库联盟域系统内,客户端在一个数据库完成登录后,实现对多数据库联盟域内所有数据库的安全访问。本公开通过改变传统的多数据库认证模型的局限性,提高多数据库系统在认证中的安全性。

Description

多数据库安全通信方法和系统、计算机可读存储介质
技术领域
本公开涉及数据库通信领域,特别涉及一种多数据库安全通信方法和系统、计算机可读存储介质。
背景技术
在信息飞速发展的今天,数据安全的问题越来越引起人们的重视,相关技术多数据库身份认证是主要是基于全局用户管理集中机制,在传统的多数据库认证体系中,全球用户的维护和管理浪费了很多当地的费用;目前的多数据库系统通常是同一数据库制造商的数据库,因此可移植性差,不能与其他类型的数据库兼容;在信息传输过程中,全局数据库代理必须处理大量的认证和数据分析,这很容易导致单点故障;传输全局和本地层的信息容易被非法盗用和攻击,如重播攻击,系统中的每一个时钟都存在不完全同步的问题,攻击者可以在有限的时间内重播被拦截的数据包,然后攻击者可以获得本地数据库的访问权限。
发明内容
鉴于以上技术问题中的至少一项,本公开提供了一种多数据库安全通信方法和系统、计算机可读存储介质,以改变传统的多数据库认证模型的局限性,提高多数据库系统在认证中的安全性。
根据本公开的一个方面,提供一种多数据库安全通信方法,包括:
建立多数据库联盟域;
在多数据库联盟域系统内,客户端在一个数据库完成登录后,实现对多数据库联盟域内所有数据库的安全访问。
在本公开的一些实施例中,在多数据库联盟域包括第一数据库和第二数据库的情况下,
所述客户端在一个数据库完成登录后,可以实现对多数据库联盟域内所有数据库的安全访问包括:
客户端在第一数据库进行登录认证;
第一数据库服务器授权,第一数据库单点登录引擎加密跨数据库令牌并设置跨数据库文本文件;
第一数据库单点登录引擎将跨数据库令牌发送到第二数据库;
第二数据库单点登录引擎存储跨数据库令牌;
在客户端进行跨数据库资源请求的情况下,第二数据库响应客户端请求。
在本公开的一些实施例中,所述第一数据库为客户端所在的数据库;
所述第二数据库为多数据库联盟域内除第一数据库外的其它数据库。
在本公开的一些实施例中,所述客户端在第一数据库进行登录认证包括:
客户端向第一数据库密匙分配中心服务器发送请求消息,其中所述请求消息包括用户标识和请求资源的统一资源定位符。
在本公开的一些实施例中,所述第一数据库单点登录引擎将跨数据库令牌发送到第二数据库包括:
第一数据库密匙分配中心服务器授予资源给客户端;
第一数据库单点登录引擎拦截请求消息,将登录信息放入缓存中,将跨数据库令牌以广播形式发送给将第二数据库;
第一数据库单点登录引擎将身份信息写入第一数据库文本文件和跨数据库文本文件,其中,第一数据库文本文件和跨数据库文本文件使用第一数据库单点登录引擎的公钥进行加密存储;
第一数据库认证服务器将资源的统一资源定位符发送给客户端,以便客户端资源的访问权限。
在本公开的一些实施例中,所述第二数据库单点登录引擎存储跨数据库令牌包括:
第二数据库单点登录引擎从第一数据库单点登录引擎接收到跨数据库令牌消息后,采用预定的登录引擎密钥进行解密;
第二数据库单点登录引擎将对应的跨数据库令牌信息存储在缓存中,所述跨数据库令牌消息包括跨数据库文本文件。
在本公开的一些实施例中,所述在客户端进行跨数据库资源请求的情况下,第二数据库响应客户端请求包括:
客户端向第二数据库认证服务器发送跨数据库资源请求,其中所述跨数据库资源请求包括用户标识和请求资源的统一资源定位符;
第二数据库单点登录引擎拦截用户发送的跨数据库资源请求;
第二数据库单点登录引擎将跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息进行比较;
第二数据库单点登录引擎在用户信息相同且跨数据库令牌有效的情况下,判定验证通过,指示客户端可以直接获取第二数据库资源服务而无需重复登录。
在本公开的一些实施例中,所述多数据库安全通信方法还包括:
采用预定加密解密算法对相关信息进行加密解密。
在本公开的一些实施例中,采用预定加密解密算法对相关信息进行加密解密包括:
发送方服务器随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;
发送方服务器在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器在获得消息和签名的情况下,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
根据本公开的另一方面,提供一种多数据库安全通信方法,包括:
发送方服务器随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;
发送方服务器在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器获得消息和签名时,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
根据本公开的另一方面,提供一种多数据库安全通信系统,包括:
联盟域建立模块,用于建立多数据库联盟域;
客户端,用于在多数据库联盟域系统内,在一个数据库完成登录后,实现对多数据库联盟域内所有数据库的安全访问。
在本公开的一些实施例中,所述多数据库安全通信系统还包括第一数据库和第二数据库,第一数据库包括第一数据库单点登录引擎,第二数据库包括第二数据库单点登录引擎,其中:
客户端,用于在第一数据库进行登录认证;
第一数据库单点登录引擎,用于根据第一数据库服务器的授权,加密跨数据库令牌并设置跨数据库文本文件;将跨数据库令牌发送到第二数据库;
第二数据库单点登录引擎,用于存储跨数据库令牌;
第二数据库,用于在客户端进行跨数据库资源请求的情况下,响应客户端请求。
在本公开的一些实施例中,所述第一数据库为客户端所在的数据库;
所述第二数据库为多数据库联盟域内除第一数据库外的其它数据库。
在本公开的一些实施例中,所述客户端,用于向第一数据库密匙分配中心服务器发送请求消息,其中所述请求消息包括用户标识和请求资源的统一资源定位符。
在本公开的一些实施例中,第一数据库还包括第一数据库密匙分配中心服务器和第一数据库认证服务器,其中:
第一数据库密匙分配中心服务器,用于授予资源给客户端;
第一数据库单点登录引擎,用于拦截请求消息,将登录信息放入缓存中,将跨数据库令牌以广播形式发送给将第二数据库;将身份信息写入第一数据库文本文件和跨数据库文本文件,其中,第一数据库文本文件和跨数据库文本文件使用第一数据库单点登录引擎的公钥进行加密存储;
第一数据库认证服务器,用于将资源的统一资源定位符发送给客户端,以便客户端资源的访问权限。
在本公开的一些实施例中,第二数据库单点登录引擎,用于从第一数据库单点登录引擎接收到跨数据库令牌消息后,采用预定的登录引擎密钥进行解密;将对应的跨数据库令牌信息存储在缓存中,所述跨数据库令牌消息包括跨数据库文本文件。
在本公开的一些实施例中,客户端,用于向第二数据库认证服务器发送跨数据库资源请求,其中所述跨数据库资源请求包括用户标识和请求资源的统一资源定位符;
第二数据库单点登录引擎,用于拦截用户发送的跨数据库资源请求;将跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息进行比较;在用户信息相同且跨数据库令牌有效的情况下,判定验证通过,指示客户端可以直接获取第二数据库资源服务而无需重复登录。
在本公开的一些实施例中,多数据库安全通信系统,还用于采用预定加密解密算法对相关信息进行加密解密。
在本公开的一些实施例中,所述多数据库安全通信系统还包括:
发送方服务器,用于随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器,用于获得消息和签名时,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
根据本公开的另一方面,提供一种多数据库安全通信系统,包括:
发送方服务器,用于随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器,用于在获得消息和签名的情况下,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的多数据库安全通信方法。
本公开改变传统的多数据库认证模型的局限性,提高了多数据库系统在信息通信中的安全性。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为相关技术多数据库系统认证一些实施例的示意图。
图2为本公开多数据库安全通信方法一些实施例的示意图。
图3为本公开一些实施例中多数据库单点登录认证模型的示意图。
图4为本公开多数据库安全通信方法另一些实施例的示意图。
图5为本公开多数据库安全通信方法又一些实施例的示意图。
图6为本公开一些实施例中加密算法加密流程的示意图。
图7为本公开多数据库安全通信系统一些实施例的示意图。
图8为本公开多数据库安全通信系统另一些实施例的示意图。
图9为本公开多数据库安全通信系统又一些实施例的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
发明人通过研究发现:在信息飞速发展的今天,数据安全的问题越来越引起人们的重视,相关技术多数据库信息通信是主要是基于全局用户管理集中机制,而多数据库系统信息通信面临以下三个挑战:
(1)窃听。监控在网络通道可以窃听用户服务器或服务器端的数据包传输,所以它可以窃取密码和数据。
(2)重复攻击。攻击者可以多次重复发送被窃听的数据包,以破坏系统的正常运行,并且可以通过数据包重发来修改数据库中的数据。重复攻击可以针对数据库服务器中的数据通信过程。
(3)假攻击。攻击者可以伪造用户或数据库服务器来中断系统甚至获取数据从而使得运营商不断加快对移动通信基站以及配套基础设施建设和原有设备的利用。因此,在科学规划、合理布局,共建共享的原则下,需要解决对相关技术通信基站设备的有效管理、信息数据的实时更新。
图1为相关技术多数据库系统认证一些实施例的示意图。如图1所示,相关技术多数据库系统结合了全局认证和本地认证来实现身份认证从而进行数据通信。证书颁发机构为用户和数据库服务器颁发公钥证书,安全目录服务器使通信方能够获得有效证书和属于证书颁发机构注册的其他通信方的无效证书列表(CRL,Certificate Revocation List,证书吊销列表)。用户使用自己的证书登录系统,系统验证证书的有效性。如果证书有效,它可以从用户证书中读取唯一的身份标识标识符(User TD)标识符(identifier),然后从信息管理模式中获取用户的全局模式信息,从而进行全局层认证。接下来,它分析全局SQL结构化查询语言(Structured Query Language)语句,全局查询管理器将分解全局查询语句并将其提交给每个本地代理,因此它将每个本地数据库的操作提交到本地数据库管理器系统。交易完成后,查询处理器将处理它。
在相关技术的多数据库认证体系中,全球用户的维护和管理浪费了很多当地的费用;相关技术目前的多数据库系统通常是同一数据库制造商的数据库,因此可移植性差,不能与其他类型的数据库兼容;在信息传输过程中,全局数据库代理必须处理大量的认证和数据分析,这很容易导致单点故障;传输全局和本地层的信息容易被非法盗用和攻击,如重播攻击,系统中的每一个时钟都存在不完全同步的问题,攻击者可以在有限的时间内重播被拦截的数据包,然后攻击者可以获得本地数据库的访问权限。
为了使上述问题中的至少一项解决,本公开提供了一种多数据库安全通信方法和系统、计算机可读存储介质,下面通过具体实施例对本公开上述实施例进行说明。
图2为本公开多数据库安全通信方法一些实施例的示意图。优选的,本实施例可由本公开多数据库安全通信系统执行。该方法包括以下步骤:
步骤21,建立多数据库联盟域。
图3为本公开一些实施例中多数据库单点登录认证模型的示意图。如图3所示,本公开的多数据库联盟域可以包括四个数据库服务器,数据库服务器A、数据库服务器B、数据库服务器C和数据库服务器D。数据库服务器A、数据库服务器B、数据库服务器C和数据库服务器D内均设置有通用其可定制的单点登录引擎。
步骤22,在多数据库联盟域系统(例如图3实施例的数据库联盟域)内,客户端在一个数据库(例如图3实施例的数据库服务器A)完成登录后,实现对多数据库联盟域内所有数据库的安全访问。
在本公开的一些实施例中,在多数据库联盟域可以包括第一数据库和第二数据库的情况下,步骤22可以包括:
步骤221,客户端在第一数据库进行登录认证。
在本公开的一些实施例中,步骤221可以包括:客户端向第一数据库密匙分配中心服务器发送请求消息,其中所述请求消息包括用户标识和请求资源的统一资源定位符。
步骤222,第一数据库服务器授权,第一数据库单点登录引擎加密跨数据库令牌并设置跨数据库文本文件。
步骤223,第一数据库单点登录引擎将跨数据库令牌发送到第二数据库。
在本公开的一些实施例中,所述第一数据库为客户端所在的数据库;所述第二数据库为多数据库联盟域内除第一数据库外的其它数据库。
在本公开的一些实施例中,步骤223可以包括:第一数据库密匙分配中心服务器授予资源给客户端;第一数据库单点登录引擎拦截请求消息,将登录信息放入缓存中,将跨数据库令牌以广播形式发送给将第二数据库;第一数据库单点登录引擎将身份信息写入第一数据库文本文件和跨数据库文本文件,其中,第一数据库文本文件和跨数据库文本文件使用第一数据库单点登录引擎的公钥进行加密存储;第一数据库认证服务器将资源的统一资源定位符发送给客户端,以便客户端资源的访问权限。
步骤224,第二数据库单点登录引擎存储跨数据库令牌。
在本公开的一些实施例中,步骤224可以包括:第二数据库单点登录引擎从第一数据库单点登录引擎接收到跨数据库令牌消息后,采用预定的登录引擎密钥进行解密;第二数据库单点登录引擎将对应的跨数据库令牌信息存储在缓存中,所述跨数据库令牌消息包括跨数据库文本文件。
步骤225,在客户端进行跨数据库资源请求的情况下,第二数据库响应客户端请求。
在本公开的一些实施例中,步骤225可以包括:客户端向第二数据库认证服务器发送跨数据库资源请求,其中所述跨数据库资源请求包括用户标识和请求资源的统一资源定位符;第二数据库单点登录引擎拦截用户发送的跨数据库资源请求;第二数据库单点登录引擎将跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息进行比较;第二数据库单点登录引擎在用户信息相同且跨数据库令牌有效的情况下,判定验证通过,指示客户端可以直接获取第二数据库资源服务而无需重复登录。
基于本公开上述实施例提供的多数据库安全通信方法,介绍了多数据库联盟域的概念,一些数据库系统相互信任,数据库系统之间有联盟关系。针对多数据库系统中联盟域的访问,本公开上述实施例设计了一个通用且可定制的登录引擎,在联盟域系统中只需要一点登录实现安全访问。
本公开上述实施例提出一种新型的多数据库单点登录身份认证方案,改变传统的多数据库认证模型的局限性,提高多数据库系统在认证中的安全性。
在本公开的一些实施例中,所述多数据库安全通信方法还可以包括:采用预定加密解密算法对相关信息进行加密解密。
在本公开的一些实施例中,所述预定加密解密算法为一种新型加密算法,该新型加密算法实现过程中使用了大量的Hash函数,该新型加密算法的复杂度保证了产生的密钥具有极高的复杂度,很难被量子计算机破解,实现了极大的安全性保障。
图4为本公开多数据库安全通信方法另一些实施例的示意图。优选的,本实施例可由本公开多数据库安全通信系统执行。
图4实施例以图3实施例中第一数数据库A中的客户端U访问第二数据库B的资源为例,对单点登录引擎的工作原理进行了说明。图4实施例的多数据库安全通信方法可以包括以下步骤:
步骤1,第一数数据库A中的客户端U,向第一数数据库A的权限管理系统发送身份认证请求,其中,所述身份认证请求包括用户标识ID和资源请求URL(uniform resourcelocator,统一资源定位符)。
步骤2,第一数数据库A的权限管理系统将所述身份认证请求转发给第一数据库A的KDC(Key Distribution Center,密匙分配中心)服务器。
步骤3,在第一数据库A的KDC对客户端U的身份认证成功的情况下,向权限管理系统发送认证成功指示消息。
步骤4,权限管理系统指示第一数据库A的单点登录引擎生成并存储跨数据库令牌。
步骤5,第一数据库A服务器授权,第一数据库A的单点登录引擎加密跨数据库令牌并设置跨数据库Cookie(储存在用户本地终端上的数据类型为“小型文本文件”,是为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据)。
步骤6,第一数据库A的单点登录引擎进行跨数据库令牌群发。
在本公开的一些实施例中,步骤6可以包括:
步骤61,KDC授予资源访问客户端,登录引擎拦截消息,单点登录引擎将登录信息放入缓存中,认证令牌以广播形式发送给数据库联合成员,因此在令牌有效期内,用户可以访问其他联盟数据库,而不要求数据库A中的令牌。
步骤62,然后,单点登录引擎将身份信息写入此数据库Cookie和跨数据库Cookie,同时Cookie使用登录引擎的公钥加密存储,一方面,登录引擎可以直接使用私钥解密Cookie信息,获取信息时可以确定数据是否已被伪造;另一方面,它可以防止窃取关键数据,从而可以增强跨数据库的安全性。
步骤63,认证服务器将资源URL发送给客户端U,客户端U可以获取资源的访问权限。
步骤7,第二数据库B单点登录引擎服务器存储令牌。
在本公开的一些实施例中,步骤7可以包括:多数据库的每个登录引擎从数据库登录引擎接收到令牌消息,由协商的登录引擎密钥解锁,对应的信息存储在缓存中,如果有对应的用户访问,则可以直接获取来自Cookie的用户信息。
步骤8.客户端U进行跨数据库资源请求。
在本公开的一些实施例中,步骤8可以包括:客户端U进行跨数据库资源请求,并将ID、资源URL以及参数发送到跨数据库认证服务器,以获取资源访问权限。
步骤9.第二数据库B的权限管理系统进行令牌验证。
在本公开的一些实施例中,步骤9可以包括:交叉数据库登录引擎拦截用户发送的数据(跨数据库资源请求),然后将其与本地缓存中的数据进行比较,并验证IDe和DataBase是否与本地数据相同。
步骤10,在跨数据库资源请求中IDe和DataBase与本地缓存中的数据相同的情况下,判断相应的跨数据库令牌是否有效。
步骤11,在跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息相同、且跨数据库令牌有效的情况下,判定验证通过,指示客户端U可以访问联合数据库资源,用户可以直接获取其他数据库资源服务而不重复登录。即客户端U可以直接获取第二数据库B资源服务而无需重复登录。
本公开上述实施例具备强大的跨数据库能力,可以实现快速的跨数据库资源访问。本公开上述实施例采用分散认证方式,避免了单点故障和单点过载。
图5为本公开多数据库安全通信方法又一些实施例的示意图。图6为本公开一些实施例中加密算法加密流程的示意图。优选的,本实施例可由本公开多数据库安全通信系统执行。如图6所示,本公开多数据库安全通信方法(例如采用预定加密解密算法对相关信息进行加密解密的步骤)可以包括:
步骤51,密钥生成。发送方服务器随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表A和第二列表B中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表C和第四列表D。
在本公开的一些实施例中,如图6所示,n可以为256。
在本公开的一些实施例中,如图6所示,步骤51可以包括:
步骤511,随机生成256对256位数字(SHA256是本专利所用的哈希函数示例,亦可通过其他哈希函数实现,由此上文中的256bit消息将会产生变化,本部分内容仅作为撰写稿写作参考依据,并非专利创新点),这些数字是由安全随机数生成器生成的,这些数字对的总大小等于16KB,这是私钥(图6中的A列表和B列表)。
步骤512,发送方服务器加密过程会对之前生成的每个随机数字进行哈希变换,创建512个哈希值,而每个哈希值是256位,覆盖16KB的总空间(256对256位数字),这是公钥(图6中的C列表和D列表),最终会被公开。
步骤52,消息签名。发送方服务器在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择。
在本公开的一些实施例中,如图6所示,步骤52可以包括:服务器加密过程会通过哈希算法创建一个和消息对应的256位的哈希值,从而用于对消息进行签名。
在本公开的一些实施例中,如图6所示,步骤52可以包括:对于产生的哈希值中的每个第i位数字,发送方从私钥中选择相应的数字,i为大于等于1、小于等于n的自然数。
例如:如果消息的第i位为0,则发送方在私钥的第一列表(A列表)中选择第i个数字,如果第i+1位为1,则发送方从私钥的第二列表(B列表)中选择第i+1个数字,依此类推,这种方式将产生256个数字(由A列表、B列表组合而成),这256个数字覆盖8KB的空间。这256个数字是加密者与消息一起发送的签名。
在本公开的一些实施例中,本公开上述实施例中第一数据库A的单点登录引擎可以实现为步骤51-步骤52中的发送方服务器;本公开上述实施例中第一数据库生成跨数据库令牌并设置跨数据库Cookie,以及进行跨数据库令牌群发的步骤可以包括步骤51-步骤52的信息加密和信息签名步骤。
步骤53,签名验证。接收方服务器在获得消息和签名的情况下,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
在本公开的一些实施例中,如图6所示,步骤53可以包括:当接收者获得消息和签名时,它将创建与消息对应的256位哈希值。
在本公开的一些实施例中,如图6所示,步骤53可以包括:对于消息中的每个第i位,接收方将从发送方的两个公钥密钥列表(由C列表、D列表组合而成)中选择相应的数字,i为大于等于1、小于等于n的自然数;然后接收器将对签名中的每个数字进行哈希处理;最后对比两者是否相等,若相等则签名验证通过。
举例说明,如果消息的第i位为0,则接收方在公钥的第一个列表(C列表)中选择第i个数字,如果第n+1位为1,则接收方从公钥的第二个列表(D列表)中选择第i+1个数字。之后,对签名中的每个数字(指由A列表和B列表组成的数字签名)进行哈希处理后,若消息未被篡改,则将获得他从公钥中选取的相同数字。依此类推,这种方式将产生256个数字(由C列表、D列表组合而成),这256个数字覆盖8KB的空间。最终,如果这两个数字列表是相同的,则表示收到的消息是原始的、未经篡改的。如果这些不相同,则表示消息或签名在传输过程中已被篡改或不属于原始信息。
在本公开的一些实施例中,本公开上述实施例中第二数据库B单点登录引擎服务器可以实现为步骤53中的接收方服务器;本公开上述实施例中第二数据库B单点登录引擎服务器存储令牌,以及第二数据库B的权限管理系统进行令牌验证的步骤可以包括步骤53的签名验证步骤。
本公开上述实施例的多数据库安全通信方法主要含单点登陆方案和加密算法,该申请方案具有以下优点和安全性。首先,强大的跨数据库能力,可以实现快速的跨数据库资源访问。其次,该方案采用分散认证方式,避免了单点故障和单点过载。再次,数据包和Cookie由公钥加密,使用登录引擎加密和解密操作的公钥数据不仅可以在数据库中完成,而且可以将整个多数据库系统的登录引擎加密和解密操作,可以防止黑客拦截或篡改数据,从而保护整个多数据库系统的数据安全。最后,适用于大多数类型的数据库系统,具有更高的安全性和更好的可移植性,实现了用户和数据库的相互认证。
在本公开的一些实施例中,本公开图5和图6实施例的加密算法也可以应用于相关技术的多数据库安全通信方法,由此本公开上述实施例提出一种新型的加密算法方案,保证了产生的密钥具有极高的复杂度,很难被破解,实现了极大的安全性保障。
图7为本公开多数据库安全通信系统一些实施例的示意图。如图7所示,多数据库安全通信系统可以包括联盟域建立模块71和客户端72,其中:
联盟域建立模块71,用于建立多数据库联盟域。
客户端72,用于在多数据库联盟域系统内,在一个数据库完成登录后,实现对多数据库联盟域内所有数据库的安全访问。
图8为本公开多数据库安全通信系统另一些实施例的示意图。如图8所示,多数据库安全通信系统可以包括联盟域建立模块71、客户端72、第一数据库82和第二数据库83,其中:
在本公开的一些实施例中,所述第一数据库82为客户端72所在的数据库;所述第二数据库83为多数据库联盟域内除第一数据库82外的其它数据库。
在本公开的一些实施例中,如图8所示,第一数据库82可以包括第一数据库单点登录引擎821,第二数据库83包括第二数据库单点登录引擎831,其中:
客户端72,用于在第一数据库进行登录认证。
在本公开的一些实施例中,所述客户端72可以用于向第一数据库密匙分配中心服务器发送请求消息,其中所述请求消息包括用户标识和请求资源的统一资源定位符。
第一数据库单点登录引擎821,用于根据第一数据库服务器的授权,加密跨数据库令牌并设置跨数据库文本文件;将跨数据库令牌发送到第二数据库。
第二数据库单点登录引擎831,用于存储跨数据库令牌。
在本公开的一些实施例中,第二数据库单点登录引擎831还可以用于从第一数据库单点登录引擎821接收到跨数据库令牌消息后,采用预定的登录引擎密钥进行解密;将对应的跨数据库令牌信息存储在缓存中,所述跨数据库令牌消息包括跨数据库文本文件。
第二数据库83,用于在客户端进行跨数据库资源请求的情况下,响应客户端请求。
在本公开的一些实施例中,如图8所示,第一数据库还可以包括第一数据库密匙分配中心服务器822和第一数据库认证服务器823,第二数据库还可以包括第二数据库密匙分配中心服务器832和第二数据库认证服务器833,其中:
第一数据库密匙分配中心服务器822,用于授予资源给客户端;
第一数据库单点登录引擎821,用于拦截请求消息,将登录信息放入缓存中,将跨数据库令牌以广播形式发送给将第二数据库;将身份信息写入第一数据库文本文件和跨数据库文本文件,其中,第一数据库文本文件和跨数据库文本文件使用第一数据库单点登录引擎821的公钥进行加密存储;
第一数据库认证服务器823,用于将资源的统一资源定位符发送给客户端,以便客户端资源的访问权限。
本公开图3和图4实施例也给出了本公开多数据库安全通信系统的示意图。由此,本公开第一数据库和第二数据库均可以分别包含一个权限管理系统。
在本公开的一些实施例中,客户端72可以用于向第二数据库认证服务器发送跨数据库资源请求,其中所述跨数据库资源请求包括用户标识和请求资源的统一资源定位符;
第二数据库单点登录引擎831还可以用于拦截用户发送的跨数据库资源请求;将跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息进行比较;在用户信息相同且跨数据库令牌有效的情况下,判定验证通过,指示客户端可以直接获取第二数据库资源服务而无需重复登录。
在本公开的一些实施例中,多数据库安全通信系统还可以用于采用预定加密解密算法对相关信息进行加密解密。
基于本公开上述实施例提供的多数据库安全通信系统,介绍了多数据库联盟域的概念,一些数据库系统相互信任,数据库系统之间有联盟关系。针对多数据库系统中联盟域的访问,本公开上述实施例设计了一个通用且可定制的登录引擎,在联盟域系统中只需要一点登录实现安全访问。
本公开上述实施例提出一种新型的多数据库单点登录身份认证方案,改变传统的多数据库认证模型的局限性,提高多数据库系统在认证中的安全性。
本公开上述实施例属于多数据库安全登陆解决方案,涉及数据库通信中信息安全传输技术。
图9为本公开多数据库安全通信系统又一些实施例的示意图。如图9所示,多数据库安全通信系统可以包括发送方服务器91和接收方服务器92,其中:
发送方服务器91,用于随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择。
在本公开的一些实施例中,发送方服务器91可以实现为图8实施例的第一数据库单点登录引擎821。
接收方服务器92,用于获得消息和签名时,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
在本公开的一些实施例中,接收方服务器92可以实现为图8实施例的第二数据库单点登录引擎831。
本公开上述实施例的多数据库安全通信系统具有以下优点和安全性。首先,强大的跨数据库能力,可以实现快速的跨数据库资源访问。其次,该方案采用分散认证方式,避免了单点故障和单点过载。再次,数据包和Cookie由公钥加密,使用登录引擎加密和解密操作的公钥数据不仅可以在数据库中完成,而且可以将整个多数据库系统的登录引擎加密和解密操作,可以防止黑客拦截或篡改数据,从而保护整个多数据库系统的数据安全。最后,适用于大多数类型的数据库系统,具有更高的安全性和更好的可移植性,实现了用户和数据库的相互认证。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的多数据库安全通信方法。
基于本公开上述实施例提供的计算机可读存储介质,提出了一种新型的多数据库信息通信解决方案,改变传统的多数据库认证模型的局限性和加密的复杂度,提高多数据库系统在信息通信中的安全性。
在上面所描述的多数据库安全通信系统可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指示相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。

Claims (21)

1.一种多数据库安全通信方法,其特征在于,包括:
建立多数据库联盟域;
在多数据库联盟域系统内,客户端在一个数据库完成登录后,实现对多数据库联盟域内所有数据库的安全访问。
2.根据权利要求1所述的多数据库安全通信方法,其特征在于,在多数据库联盟域包括第一数据库和第二数据库的情况下,
所述客户端在一个数据库完成登录后,可以实现对多数据库联盟域内所有数据库的安全访问包括:
客户端在第一数据库进行登录认证;
第一数据库服务器授权,第一数据库单点登录引擎加密跨数据库令牌并设置跨数据库文本文件;
第一数据库单点登录引擎将跨数据库令牌发送到第二数据库;
第二数据库单点登录引擎存储跨数据库令牌;
在客户端进行跨数据库资源请求的情况下,第二数据库响应客户端请求。
3.根据权利要求2所述的多数据库安全通信方法,其特征在于,
所述第一数据库为客户端所在的数据库;
所述第二数据库为多数据库联盟域内除第一数据库外的其它数据库。
4.根据权利要求2或3所述的多数据库安全通信方法,其特征在于,所述客户端在第一数据库进行登录认证包括:
客户端向第一数据库密匙分配中心服务器发送请求消息,其中所述请求消息包括用户标识和请求资源的统一资源定位符。
5.根据权利要求2或3所述的多数据库安全通信方法,其特征在于,所述第一数据库单点登录引擎将跨数据库令牌发送到第二数据库包括:
第一数据库密匙分配中心服务器授予资源给客户端;
第一数据库单点登录引擎拦截请求消息,将登录信息放入缓存中,将跨数据库令牌以广播形式发送给将第二数据库;
第一数据库单点登录引擎将身份信息写入第一数据库文本文件和跨数据库文本文件,其中,第一数据库文本文件和跨数据库文本文件使用第一数据库单点登录引擎的公钥进行加密存储;
第一数据库认证服务器将资源的统一资源定位符发送给客户端,以便客户端资源的访问权限。
6.根据权利要求2或3所述的多数据库安全通信方法,其特征在于,所述第二数据库单点登录引擎存储跨数据库令牌包括:
第二数据库单点登录引擎从第一数据库单点登录引擎接收到跨数据库令牌消息后,采用预定的登录引擎密钥进行解密;
第二数据库单点登录引擎将对应的跨数据库令牌信息存储在缓存中,所述跨数据库令牌消息包括跨数据库文本文件。
7.根据权利要求2或3所述的多数据库安全通信方法,其特征在于,所述在客户端进行跨数据库资源请求的情况下,第二数据库响应客户端请求包括:
客户端向第二数据库认证服务器发送跨数据库资源请求,其中所述跨数据库资源请求包括用户标识和请求资源的统一资源定位符;
第二数据库单点登录引擎拦截用户发送的跨数据库资源请求;
第二数据库单点登录引擎将跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息进行比较;
第二数据库单点登录引擎在用户信息相同且跨数据库令牌有效的情况下,判定验证通过,指示客户端可以直接获取第二数据库资源服务而无需重复登录。
8.根据权利要求1-3中任一项所述的多数据库安全通信方法,其特征在于,还包括:
采用预定加密解密算法对相关信息进行加密解密。
9.根据权利要求8所述的多数据库安全通信方法,其特征在于,采用预定加密解密算法对相关信息进行加密解密包括:
发送方服务器随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;
发送方服务器在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器在获得消息和签名的情况下,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
10.一种多数据库安全通信方法,其特征在于,包括:
发送方服务器随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;
发送方服务器在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器获得消息和签名时,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
11.一种多数据库安全通信系统,其特征在于,包括:
联盟域建立模块,用于建立多数据库联盟域;
客户端,用于在多数据库联盟域系统内,在一个数据库完成登录后,实现对多数据库联盟域内所有数据库的安全访问。
12.根据权利要求11所述的多数据库安全通信系统,其特征在于,还包括第一数据库和第二数据库,第一数据库包括第一数据库单点登录引擎,第二数据库包括第二数据库单点登录引擎,其中:
客户端,用于在第一数据库进行登录认证;
第一数据库单点登录引擎,用于根据第一数据库服务器的授权,加密跨数据库令牌并设置跨数据库文本文件;将跨数据库令牌发送到第二数据库;
第二数据库单点登录引擎,用于存储跨数据库令牌;
第二数据库,用于在客户端进行跨数据库资源请求的情况下,响应客户端请求。
13.根据权利要求12所述的多数据库安全通信系统,其特征在于,
所述第一数据库为客户端所在的数据库;
所述第二数据库为多数据库联盟域内除第一数据库外的其它数据库。
14.根据权利要求12或13所述的多数据库安全通信系统,其特征在于,所述客户端在第一数据库进行登录认证包括:
客户端向第一数据库密匙分配中心服务器发送请求消息,其中所述请求消息包括用户标识和请求资源的统一资源定位符。
15.根据权利要求2或3所述的多数据库安全通信系统,其特征在于,第一数据库还包括第一数据库密匙分配中心服务器和第一数据库认证服务器,其中:
第一数据库密匙分配中心服务器,用于授予资源给客户端;
第一数据库单点登录引擎,用于拦截请求消息,将登录信息放入缓存中,将跨数据库令牌以广播形式发送给将第二数据库;将身份信息写入第一数据库文本文件和跨数据库文本文件,其中,第一数据库文本文件和跨数据库文本文件使用第一数据库单点登录引擎的公钥进行加密存储;
第一数据库认证服务器,用于将资源的统一资源定位符发送给客户端,以便客户端资源的访问权限。
16.根据权利要求12或13所述的多数据库安全通信系统,其特征在于,
第二数据库单点登录引擎,用于从第一数据库单点登录引擎接收到跨数据库令牌消息后,采用预定的登录引擎密钥进行解密;将对应的跨数据库令牌信息存储在缓存中,所述跨数据库令牌消息包括跨数据库文本文件。
17.根据权利要求12或13所述的多数据库安全通信系统,其特征在于,
客户端,用于向第二数据库认证服务器发送跨数据库资源请求,其中所述跨数据库资源请求包括用户标识和请求资源的统一资源定位符;
第二数据库单点登录引擎,用于拦截用户发送的跨数据库资源请求;将跨数据库资源请求中的用户信息与本地缓存跨数据库文本文件的用户信息进行比较;在用户信息相同且跨数据库令牌有效的情况下,判定验证通过,指示客户端可以直接获取第二数据库资源服务而无需重复登录。
18.根据权利要求11-13中任一项所述的多数据库安全通信系统,其特征在于,多数据库安全通信系统,还用于采用预定加密解密算法对相关信息进行加密解密。
19.根据权利要求1-3中任一项所述的多数据库安全通信系统,其特征在于,还包括:
发送方服务器,用于随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器,用于获得消息和签名时,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
20.一种多数据库安全通信系统,其特征在于,包括:
发送方服务器,用于随机生成私钥和公钥,其中,私钥包括n对n位数字,每对数字分别放置于第一列表和第二列表中,公钥为对私钥进行哈希变换生成的哈希值,公钥相应包括第三列表和第四列表;在加密过程中,通过哈希算法创建一个和消息对应的第一n位哈希值,并将所述哈希值作为签名一起发送给接收方服务器,其中,第一n位哈希值中的每一位数字均从私钥中选择;
接收方服务器,用于在获得消息和签名的情况下,创建与消息对应的第二n位哈希值,对签名中的每个数字进行哈希处理,比较哈希处理的签名和创建的第二n位哈希值是否相等,以判断验证是否通过,其中,第二n位哈希值中的每一位数字均从公钥中选择。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-10中任一项所述的多数据库安全通信方法。
CN201911345447.1A 2019-12-24 2019-12-24 多数据库安全通信方法和系统、计算机可读存储介质 Active CN113037686B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911345447.1A CN113037686B (zh) 2019-12-24 2019-12-24 多数据库安全通信方法和系统、计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911345447.1A CN113037686B (zh) 2019-12-24 2019-12-24 多数据库安全通信方法和系统、计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113037686A true CN113037686A (zh) 2021-06-25
CN113037686B CN113037686B (zh) 2022-11-29

Family

ID=76451542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911345447.1A Active CN113037686B (zh) 2019-12-24 2019-12-24 多数据库安全通信方法和系统、计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113037686B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1547343A (zh) * 2003-12-17 2004-11-17 上海市高级人民法院 一种基于数字证书的单点登录方法
CN101453328A (zh) * 2007-12-06 2009-06-10 中国移动通信集团公司 身份管理系统及身份认证系统
CN102164151A (zh) * 2011-05-20 2011-08-24 北京理工大学 一种基于双线性群的跨域联盟认证方法
EP3182318A1 (de) * 2015-12-16 2017-06-21 Bundesdruckerei GmbH Signaturgenerierung durch ein sicherheitstoken
CN107294967A (zh) * 2017-06-21 2017-10-24 浙江唯见科技有限公司 一种共享无限制登录系统和方法
CN107508837A (zh) * 2017-09-28 2017-12-22 山东浪潮通软信息科技有限公司 一种基于智能密码钥匙认证的跨平台异构系统登录方法
CN107656949A (zh) * 2016-12-23 2018-02-02 航天星图科技(北京)有限公司 一种分布式数据库的联合访问方法
CN109379336A (zh) * 2018-09-18 2019-02-22 中汇信息技术(上海)有限公司 一种统一认证方法、分布式系统和计算机可读存储介质
CN109508560A (zh) * 2018-11-20 2019-03-22 孟凡富 电子标签离线认证系统及方法
CN109739486A (zh) * 2019-01-03 2019-05-10 深圳英飞拓科技股份有限公司 基于JdbcTemplate的多数据源数据库操作实现方法及装置
CN109831435A (zh) * 2019-01-31 2019-05-31 广州银云信息科技有限公司 一种数据库操作方法、系统及代理服务器和存储介质
CN110213044A (zh) * 2019-05-15 2019-09-06 如般量子科技有限公司 基于多个非对称密钥池的抗量子计算https签密通信方法和系统

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1547343A (zh) * 2003-12-17 2004-11-17 上海市高级人民法院 一种基于数字证书的单点登录方法
CN101453328A (zh) * 2007-12-06 2009-06-10 中国移动通信集团公司 身份管理系统及身份认证系统
CN102164151A (zh) * 2011-05-20 2011-08-24 北京理工大学 一种基于双线性群的跨域联盟认证方法
EP3182318A1 (de) * 2015-12-16 2017-06-21 Bundesdruckerei GmbH Signaturgenerierung durch ein sicherheitstoken
CN107656949A (zh) * 2016-12-23 2018-02-02 航天星图科技(北京)有限公司 一种分布式数据库的联合访问方法
CN107294967A (zh) * 2017-06-21 2017-10-24 浙江唯见科技有限公司 一种共享无限制登录系统和方法
CN107508837A (zh) * 2017-09-28 2017-12-22 山东浪潮通软信息科技有限公司 一种基于智能密码钥匙认证的跨平台异构系统登录方法
CN109379336A (zh) * 2018-09-18 2019-02-22 中汇信息技术(上海)有限公司 一种统一认证方法、分布式系统和计算机可读存储介质
CN109508560A (zh) * 2018-11-20 2019-03-22 孟凡富 电子标签离线认证系统及方法
CN109739486A (zh) * 2019-01-03 2019-05-10 深圳英飞拓科技股份有限公司 基于JdbcTemplate的多数据源数据库操作实现方法及装置
CN109831435A (zh) * 2019-01-31 2019-05-31 广州银云信息科技有限公司 一种数据库操作方法、系统及代理服务器和存储介质
CN110213044A (zh) * 2019-05-15 2019-09-06 如般量子科技有限公司 基于多个非对称密钥池的抗量子计算https签密通信方法和系统

Also Published As

Publication number Publication date
CN113037686B (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
US11799656B2 (en) Security authentication method and device
KR100827650B1 (ko) 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법
US8904180B2 (en) Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys
JP5619019B2 (ja) 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証)
CN113553574A (zh) 一种基于区块链技术的物联网可信数据管理方法
AU2753402A (en) Methods and arrangements for protecting information in forwarded authentication messages
CN108809633B (zh) 一种身份认证的方法、装置及系统
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
CN114513339A (zh) 一种安全认证方法、系统及装置
Zhan et al. Research on dynamic identity authentication mechanism based on digital signature
CN112035820B (zh) 一种用于Kerberos加密环境下的数据解析方法
CN113037686B (zh) 多数据库安全通信方法和系统、计算机可读存储介质
CN111447060A (zh) 一种基于代理重加密的电子文档分发方法
KR20020040378A (ko) 공개키 기반의 패스워드 비전송 인증방법
CN112787821A (zh) 非对称加密Token验证方法、服务器、客户端及系统
Ozha Kerberos: An Authentication Protocol
CN113556236B (zh) 一种基于代理签名的能源数据中台敏感内容委托授权方法
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム
Ghorpade et al. Notice of Violation of IEEE Publication Principles: Towards Achieving Efficient and Secure Way to Share the Data
US20240121083A1 (en) Secure restoration of private key
Guo et al. Design of Multi-dimensional Electronic Channel Unified Identity Authentication Method for Power Information System
Lu et al. Design and Research of a Dual and Bidirectional Certificateless Identity Authentication Scheme Based on Hybrid SM Series Algorithms
Zhang et al. Improved CP-ABE Algorithm Based on Identity and Access Control
Prakasha et al. Secure and Efficient User Authentication Using Modified Otway Rees Protocol in Distributed Networks
JP2024110939A (ja) マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法及びシステム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant