CN113079154B - 密钥授权使用方法、电子设备及计算机可读存储介质 - Google Patents
密钥授权使用方法、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113079154B CN113079154B CN202110331978.6A CN202110331978A CN113079154B CN 113079154 B CN113079154 B CN 113079154B CN 202110331978 A CN202110331978 A CN 202110331978A CN 113079154 B CN113079154 B CN 113079154B
- Authority
- CN
- China
- Prior art keywords
- user
- authorization
- key
- node
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种密钥授权使用方法、电子设备及计算机可读存储介质,该方法包括:接收第一用户发送的用于请求使用密钥执行特定操作的操作请求;基于所述第一用户的用户标识确定所述第一用户的授权链;基于所述密钥标识从所述第一用户的授权链中获取第一授权凭证,所述第一授权凭证为被请求使用的密钥的授权凭证;基于所述第一授权凭证调取被请求使用的密钥执行所述特定操作。该方法通过授权链能够实现高效、准确且安全的管理授权凭证,以提高系统响应速度,缩短响应时间。
Description
技术领域
本申请涉及密钥授权技术领域,特别涉及一种密钥授权使用方法、电子设备及计算机可读存储介质。
背景技术
密钥是生成的用于进行加密、解密、签名或验签等操作的信息,在生成密钥后,还需对相应的客户端进行授权,相应的客户端才能够使用该密钥执行相应操作。通常情况下在生成密钥后,针对不同用户的客户端分别生成授权信息,以使各个客户端可基于其各自的授权信息使用该密钥。但当面对公司、组织、团体等具有多层级的客户群体时,就会出现授权凭证较多不容易管理的问题,因此,如何对授权凭证进行高效、准确且安全的管理及使用成为亟待解决的技术问题。
发明内容
有鉴于现有技术中存在的上述问题,本申请提供了一种密钥授权使用方法、电子设备及计算机可读存储介质,本申请实施例采用的技术方案如下:
一种密钥授权使用方法,包括:
接收第一用户发送的用于请求使用密钥执行特定操作的操作请求,其中,所述操作请求包括所述第一用户的用户标识,以及用于标识被请求使用的密钥的密钥标识;
基于所述第一用户的用户标识确定所述第一用户的授权链,其中,所述第一用户的授权链包括与所述第一用户的用户标识相对应节点及下游节点处存储的授权凭证,每个节点处存储的授权凭证用于授权用户使用相应密钥;
基于所述密钥标识从所述第一用户的授权链中获取第一授权凭证,所述第一授权凭证为被请求使用的密钥的授权凭证;
基于所述第一授权凭证调取被请求使用的密钥执行所述特定操作。
在一些实施例中,所述第一用户的授权链包括存储在与所述第一用户的用户标识相对应的至少一个节点处且用于授权所述第一用户使用相应密钥的授权凭证,以及存储在该至少一个节点的下游节点处的用于授权其他用户使用其他密钥的授权凭证。
在一些实施例中,所述基于所述第一用户的用户标识确定所述第一用户的授权链,包括:
调取包括一个或多个顺序排列的节点的第一链表,确定所述第一链表中与所述第一用户的用户标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户的授权链。
在一些实施例中,所述调取包括一个或多个顺序排列的节点的第一链表,确定所述第一链表中与所述第一用户的用户标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户的授权链,包括:
基于所述第一用户的用户标识确定所述第一用户所属的第一用户组,并获取用于标识该第一用户组的组标识;
调取所述第一链表,确定所述第一链表中与所述第一用户组的组标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户组的授权链。
在一些实施例中,所述方法还包括:
基于获取的所述密钥的许可信息和所述第一用户的用户标识,生成用于授权所述第一用户使用所述密钥的授权凭证;
将所述授权凭证添加至所述第一链表中形成节点,以通过该节点及下游节点形成所述第一用户的授权链,使所述第一用户获得其授权链中授权凭证的使用权限。
在一些实施例中,所述基于获取的所述密钥的许可信息和所述第一用户的用户标识,生成用于授权所述第一用户使用所述密钥的授权凭证,包括:
获取所述密钥的许可信息和用于标识第一用户组的组标识;
基于所述密钥的许可信息和所述第一用户的组标识,生成用于授权所述第一用户组使用所述密钥的授权凭证,以在所述第一用户的用户标识添加至所述第一用户组的情况下,授权所述第一用户使用该授权凭证。
在一些实施例中,所述将所述授权凭证添加至所述第一链表中形成节点,以通过该节点及下游节点形成所述第一用户的授权链,使所述第一用户获得其授权链中授权凭证的使用权限,包括:
将用于授权所述第一用户组使用所述密钥的授权凭证,添加至所述第一链表中形成节点,以通过该节点及现有节点形成所述第一用户组的授权链,使所述第一用户获得所述第一用户组的授权链中的授权凭证的使用权限。
在一些实施例中,所述方法还包括:
获取另一密钥的许可信息和用于标识第二用户组的组标识;其中,所述第二用户组位于所述第一用户组内;
基于所述另一密钥的许可信息和所述第二用户组的组标识,生成用于授权所述第二用户组使用所述另一密钥的另一授权凭证,以在第二用户的用户标识添加至所述第二用户组的情况下,授权所述第二用户使用所述另一授权凭证;
将所述另一授权凭证添加至所述第一链表中形成另一节点,以通过该另一节点及下游节点形成所述第二用户组的授权链,使所述第二用户获得所述第二用户组的授权链中的授权凭证的使用权限。
一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,所述处理器在执行所述存储器上的程序时实现如上所述的方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现如上所述的方法。
本申请实施例的密钥授权使用方法,接收到第一用户的操作请求,可确定第一用户的授权链,基于操作请求中的密钥标识从第一用户的授权链中获取第一授权凭证,基于该第一授权凭证调取被请求使用的密钥执行特定操作,通过授权链能够实现高效、准确且安全的管理授权凭证,以提高系统响应速度,缩短响应时间。
附图说明
图1为本申请实施例的密钥授权使用方法的第一种实施例的流程图;
图2为本申请实施例的密钥授权使用方法中步骤S2一种实施例的流程图;
图3为本申请实施例的密钥授权使用方法的第二种实施例的流程图;
图4为本申请实施例的密钥授权使用方法的第三种实施例的流程图;
图5为本申请实施例的密钥授权使用方法的第四种实施例的流程图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的可选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
图1为本申请实施例的密钥授权使用方法的第一种实施例的流程图,参见图1所示,本申请实施例的密钥授权使用方法具体可包括如下步骤:
S1,接收第一用户发送的用于请求使用密钥执行特定操作的操作请求,其中,所述操作请求包括所述第一用户的用户标识,以及用于标识被请求使用的密钥的密钥标识。
该密钥授权使用方法可应用于例如服务器等电子设备,以下以服务器为例对本申请实施例的方法进行说明,但可以理解的是,该密钥授权使用方法所能够应用的电子设备不仅限于服务器。该密钥可布置在服务器侧,在第一用户需要请求一密钥执行特定操作时,可向服务器发送操作请求。在具体实施时,服务器可包括调用单元、组织管理单元、授权管理单元和密钥管理单元。密钥可由密钥管理单元创建。调用单元作为服务器与用户的接口,也作为与底层数据库连接的接口,可由调用单元从第一用户处获取操作请求。
该操作请求至少包括第一用户的用户标识,以及用于标识被请求使用的密钥的密钥标识。其中,第一用户的用户标识用于在一定范围内唯一标识一个用户,可包括例如用户名称、用户编号、用户职级及地址信息等,该第一用户是指需要使用该密钥执行相应操作的用户。密钥标识可在创建密钥时生成,也可在管理密钥过程中添加,用于在一定范围内唯一标识一个特定的密钥,例如,可为密钥编号、密钥级别、密钥的存储地址等。
S2,基于所述第一用户的用户标识确定所述第一用户的授权链,其中,所述第一用户的授权链包括与所述第一用户的用户标识相对应节点及下游节点处存储的授权凭证,每个节点处存储的授权凭证用于授权用户使用相应密钥。
在具体实施时,调取单元接收到操作请求可将第一用户的用户标识发送至授权管理单元,由例如授权管理单元基于第一用户的用户标识,确定与第一用户的用户标识相对应的节点,继而确定包含该节点及下游节点处存储的授权凭证的第一用户的授权链。
该第一用户的授权链中的每个节点处均存储的授权凭证用于授权用户使用相应密钥。授权凭证为用户具有相应的密钥使用权限的证明,使得用户能够基于该授权凭证调取相应密钥执行特定操作。在本申请各实施例所面对的密钥使用场景下,各实施例中涉及的授权凭证可以视作一种数据凭证,其可以包括密钥标识、颁发者标识、使用者标识和许可信息。颁发者标识用于指示该特定密钥的管理者,该管理者可以理解为具有包括使用、颁发、赋予、许可各实施例中密钥等功能在内的身份。使用者标识用于指示特定的用户或组织,即特定密钥的管理者允许可以使用该特定密钥的主体,当该主体为单一用户时,该使用者标识可包括例如用户标识。许可信息用于指示该特定用户被特定密钥的管理者所赋予的使用该特定密钥的权限。
该第一用户的授权链包括与第一用户的用户标识相对应节点及下游节点处存储的授权凭证,也即,该第一用户的授权链中位于顶端的一个或多个节点处存储的授权凭证为授予第一用户使用相应密钥的授权凭证。当然,该第一用户的授权链中各个节点处存储的授权凭证均可为授予第一用户使用相应密钥的授权凭证,也即,该顶端节点的一个或多个下游节点处也可存储有授予第一用户使用相应密钥的授权凭证。该第一用户的授权链中也可存储有用于授予其他用户使用其他密钥的授权凭证。也即,与第一用户的用户标识相对应的至少一个节点的下游节点处可存储有授予其他用户使用其他密钥的授权凭证。
S3,基于所述密钥标识从所述第一用户的授权链中获取第一授权凭证,所述第一授权凭证为被请求使用的密钥的授权凭证。
在确定第一用户的授权链的情况下,可基于操作请求中所包含的密钥标识从第一用户的授权链中获取第一授权凭证,该第一授权凭证为被请求使用的密钥的授权凭证。该第一授权凭证可为授予第一用户使用相应密钥的授权凭证,也可为授予其他用户使用相应密钥的授权凭证。如,在一些实施例中第一用户与其他用户或者其他用户群存在级别不同的情况下,一级用户可请求使用授予其使用一级密钥的一级授权凭证,一级用户也可请求使用授予二级用户使用二级密钥的二级授权凭证,或者请求使用授予三级用户使用三级密钥的三级授权凭证。
在具体实施时,调取单元不仅可以将第一用户的用户标识发送至授权管理单元,也可将密钥标识发送至授权管理单元。授权管理单元在确定了第一用户的授权链的情况下,还从第一用户的授权链中获取与密钥标识相对应的第一授权凭证。授权管理单元在获取到第一授权凭证后,可将该第一授权凭证反馈给调取单元。
S4,基于所述第一授权凭证调取被请求使用的密钥执行所述特定操作。
在获取到第一授权凭证的情况下,可基于该第一授权凭证调取被请求使用的密钥,基于该被请求使用的密钥执行特定操作,生成操作结果,并将操作结果反馈给第一用户。
具体的,可由调取单元将第一授权凭证发送至密钥管理单元,通过密钥管理单元基于该第一授权凭证调取被请求使用的密钥,并通过密钥管理单元基于该被请求使用的密钥执行特定操作,生成操作结果,密钥管理单元可将生成的操作结果反馈至调取单元,由调取单元将该操作结果反馈给第一用户。
该特定操作可包括加密、解密、签名、验签及授权等操作。例如,第一用户可请求服务器对加密的第一文件执行解密操作,此时,操作请求中不仅可包括第一用户的用户标识和密钥标识,还可包括加密的第一文件,调取单元可将该加密的第一文件和第一授权凭证一并发送至密钥管理单元,密钥管理单元基于密钥对加密的第一文件进行解密后获得第一文件,并将第一文件反馈至调取单元,并由调取单元将该第一文件反馈至第一用户。
本申请实施例的密钥授权使用方法,接收到第一用户的操作请求,可确定第一用户的授权链,基于操作请求中的密钥标识从第一用户的授权链中获取第一授权凭证,基于该第一授权凭证调取被请求使用的密钥执行特定操作,通过授权链能够实现高效、准确且安全的管理授权凭证,以提高系统响应速度,缩短响应时间。
在一些实施例中,所述基于所述第一用户的用户标识确定所述第一用户的授权链,包括:
调取包括一个或多个顺序排列的节点的第一链表,确定所述第一链表中与所述第一用户的用户标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户的授权链。
第一链表中可按照密钥级别和/或用户级别依次存储多个授权凭证,多个授权凭证分别形成多个节点。该用户级别可为用户在公司或组织中的级别,也可为为便于对授权凭证进行管理而配置的级别;密钥级别可为基于对密钥的管理所配置的级别,也可与密钥所执行操作的对象的密级相对应。例如,第一链表中的第一节点处可存储有授予一级用户使用一级密钥的一级授权凭证,第一链表中的第二节点处可存储有授予二级用户使用二级密钥的二级授权凭证,第一链表中的第三节点处可存储有授予三级用户使用三级密钥的三级授权凭证,第一链表中的第四节点处可存储有授予四级用户使用四级密钥的四级授权凭证。
在具体实施时,授权管理单元接收到第一用户的用户标识,可调取该第一链表,基于第一用户的用户标识确定与之相对应的节点,继而确定包含该节点及下游节点处的授权凭证的第一用户的授权链表。以该第一用户为二级用户为例,第一链表中与该第一用户的用户标识相对应的节点为第二节点,该第一用户的授权链包括第二节点、第三节点及第四节点处存储的授权凭证。如此,对授权凭证进行管理时,可按照密钥级别和/或用户级别将授权凭证存储在第一链表中,用户就拥有了与用户的用户标识对应的节点及下游节点的授权凭证的使用权限,能够实现对授权凭证进行分级管理,而且能够简化授权操作。
配合图2和图3所示,在一些实施例中,所述调取包括一个或多个顺序排列的节点的第一链表,确定所述第一链表中与所述第一用户的用户标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户的授权链,包括:
S21,基于所述第一用户的用户标识确定所述第一用户所属的第一用户组,并获取用于标识该第一用户组的组标识;
S22,调取所述第一链表,确定所述第一链表中与所述第一用户组的组标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户组的授权链。
在具体实施时,可构建第一用户组,向第一用户组中添加第一用户的用户标识能够使第一用户成为第一用户组的成员。在此基础上,可创建授予第一用户组使用密钥的授权凭证,并形成第一用户组的授权链,以使第一用户拥有第一用户组的授权链中授权凭证的使用权限。
具体的,调取单元接收到操作请求,可将第一用户的用户标识发送至组织管理单元,由组织管理单元基于该第一用户的用户标识,确定第一用户所属的第一用户组,并获取第一用户组的组标识。该组标识可为例如用户组的编号、用户组的级别或者用于标识用户组中用户级别的信息等。组织管理单元将第一用户组的组标识反馈至调取单元,由调取单元将该第一用户组的组标识发送至授权管理单元,授权管理单元基于该第一用户组的组标识,确定第一链表中与该第一用户组的组标识相对应的节点,并进一步确定该第一用户组的授权链。继而,可从第一用户组的授权链中获取第一授权凭证,并基于第一授权凭证调取被请求使用的密钥执行特定操作。这样,使第一用户组中的第一用户能够从第一用户组的授权链中调取授权凭证,并基于该授权凭证调取密钥执行操作,能够规范在多用户情况下的授权凭证管理,简化授权操作。
配合图4所示,在一些实施例中,所述方法还包括:
S5,基于获取的所述密钥的许可信息和所述第一用户的用户标识,生成用于授权所述第一用户使用所述密钥的授权凭证。
其中,密钥的许可信息和第一用户的用户标识可从例如系统管理员等用户处获取。例如,系统管理员可向服务器发送指令,该指令可包括密钥的许可信息和第一用户的用户标识,以指示服务器生成授权第一用户使用相应密钥的授权凭证。密钥的许可信息和第一用户的用户标识也可存储在服务器侧,服务器可响应于系统管理员的指令,从本地调取密钥的许可信息和第一用户的用户标识。该系统管理员可为专用于进行系统管理的用户,也可为普通用户中具有系统管理权限的用户,而第一用户为密钥的使用者,也即需要请求使用密钥执行特定操作的用户。
在获取到密钥的许可信息和第一用户的用户标识的情况下,可生成授权第一用户使用该密钥的授权凭证。具体的,可由调取单元接收系统管理员的指令,获取密钥的许可信息和第一用户的用户标识,并将密钥的许可信息和第一用户的用户标识发送至授权管理单元,由授权管理单元生成用于授权第一用户使用密钥的授权凭证。
如前所述,许可信息用于指示该特定用户被特定密钥的管理者所赋予的使用该特定密钥的权限。其中,许可信息具体可包括针对密钥的许可使用的开始时间、结束时间及许可期限,也可包括针对密钥的许可使用次数和该许可的父许可等,还可包括许可使用策略,如允许继承、许可执行解密操作、许可执行加密操作、许可执行打印操作或许可执行导出操作等。
需要说明的是,在创建了某个密钥之后,该密钥的管理者,例如系统管理员等,可以将该密钥授权给一个或多个用户使用。对于不同的用户,系统管理员所配置的许可信息可以相同或者不同,但所生成的授权凭证必然是不同的实体。此步骤中生成的授权凭证,是为前述用户的用户标识所标识的这个特定用户生成的授权凭证。
S6,将所述授权凭证添加至所述第一链表中形成节点,以通过该节点及下游节点形成所述第一用户的授权链,使所述第一用户获得其授权链中授权凭证的使用权限。
该第一链表作为存储授权凭证的数据存储结构,可由例如服务器的授权管理单元基于例如系统管理员的指令创建。该第一链表中可添加多个授权凭证,每个授权凭证能够形成一个节点,节点之间按顺序依次排列。此处的顺序排列可由授权凭证在第一链表中按顺序依次存储来实现,也可通过例如指针实现逻辑上的顺序排列。
授权管理单元在创建完成授权凭证的情况下,可将该授权凭证添加至第一链表中形成一个节点,以通过该节点及下游节点形成第一用户的授权链。如此,第一用户既能够获得该节点处的授权凭证的使用资格,还能够获得下游节点处的授权凭证的使用资格,针对多层级用户能够实现密钥的高效、准确且安全的授权使用。具体的,在第一链表中不存在现有节点的情况下,授权管理单元可直接将该授权凭证添加到第一链表中即可;在第一链表中存在现有节点的情况下,授权管理单元可基于系统管理员的指示,向第一链表中添加授权凭证,并配置该授权凭证与第一链表中现有节点的位置关系,以配置第一用户的授权链。
以公司或组织为例,绝密信息通常通过一级密钥等较高等级的密钥进行例如加密、解密、签名及验签等操作处理,机密信息通常通过二级密钥等中等级的密钥进行操作处理,秘密信息通常通过三级密钥等低等级的密钥进行操作处理,普通信息通常通过四级密钥等普通密钥进行操作处理,以保证数据安全和完整性。可向公司或组织的高级领导人等一级用户授予一级密钥的使用权限,以生成一级授权凭证,向部门领导人等二级用户授予二级密钥的使用权限,生成二级授权凭证,向小组领导人等三级用户授予三级密钥的使用权限,生成三级授权凭证,向普通员工或普通会员授予四级密钥的使用权限,生成四级授权凭证,依次将一级授权凭证、二级授权凭证、三级授权凭证和四级授权凭证添加至第一链表中。如此,针对一级用户,只需针对一级密钥进行授权,就能够使一级用户获得一级授权凭证,以及下游节点的二级授权凭证、三级授权凭证和四级授权凭证的使用资格,无须重复授权。以此类推,二级用户获得了二级授权凭证、三级授权凭证和四级授权凭证的使用资格,而四级用户则只获得了四级授权凭证的使用资格。
在一些实施例中,所述基于获取的所述密钥的许可信息和所述第一用户的用户标识,生成用于授权所述第一用户使用所述密钥的授权凭证,包括:
获取所述密钥的许可信息和用于标识第一用户组的组标识;
基于所述密钥的许可信息和所述第一用户的组标识,生成用于授权所述第一用户组使用所述密钥的授权凭证,以在所述第一用户的用户标识添加至所述第一用户组的情况下,授权所述第一用户使用该授权凭证;
相应的,所述将所述授权凭证添加至所述第一链表中形成节点,以通过该节点及下游节点形成所述第一用户的授权链,使所述第一用户获得其授权链中授权凭证的使用权限,包括:
将用于授权所述第一用户组使用所述密钥的授权凭证,添加至所述第一链表中形成节点,以通过该节点及现有节点形成所述第一用户组的授权链,使所述第一用户获得所述第一用户组的授权链中的授权凭证的使用权限。
针对公司或组织中同一级别的用户,可通过组织管理单元创建第一用户组,并将该级别用户的用户标识添加至用户组中,通过授权管理单元生成针对该第一用户组的授权凭证,并将针对第一用户组的授权凭证添加至第一链表中,就能够形成第一用户组的授权链,只需要一次授权就能够使该级别用户全部获得第一用户组的授权链中授权凭证的使用权限,能够进一步简化授权操作,提高系统的管理效率。
配合图5所示,在具体实施时,服务器可通过调取单元接收系统管理员的指令,将该指令发送至授权管理单元,由授权管理单元创建第一链表,并通过调取单元将第一链表的链表标识反馈给系统管理员。该链表标识可包括用于标识该第一链表的链表编号等信息。
服务器还可接收系统管理员的另一指令,组织管理单元可响应于该另一指令,创建第一用户组,并生成用于标识第一用户组的组标识。密钥管理单元创建与第一用户组相对应的密钥,并生成密钥标识。授权管理单元基于许可信息和第一用户组的组标识,生成用于授权第一用户组使用密钥的授权凭证,从而使得第一用户组获得该密钥的使用权限。将该针对第一用户组的授权凭证添加至第一链表中形成一个节点,以通过该节点及下游节点处的授权凭证形成第一用户组的授权链。之后,向用户反馈信息,以告知第一用户组、针对该第一用户组的密钥和针对第一用户组的授权凭证创建成功,且授权凭证已经添加至第一链表中,确定了第一用户组的授权链。
服务器通过调取单元接收到系统管理员用户的又一指令时,组织管理单元可响应于该又一指令,将该又一指令所指示的第一用户的用户标识添加至相应的用户组中。继而向系统管理员反馈信息,以告知向第一用户组中添加第一用户的用户标识的操作执行完成。至此,针对第一用户组中第一用户进行密钥授权的操作执行完成,第一用户获得了第一用户组的授权链中全部授权凭证的使用资格。需要说明的是,上述步骤的先后顺序可以基于实际需求进行调整,只要能够实现针对第一用户组中的第一用户进行密钥授权的目的即可。
在一些实施例中,所述方法还包括:
获取另一密钥的许可信息和用于标识第二用户组的组标识;其中,所述第二用户组位于所述第一用户组内;
基于所述另一密钥的许可信息和所述第二用户组的组标识,生成用于授权所述第二用户组使用所述另一密钥的另一授权凭证,以在第二用户的用户标识添加至所述第二用户组的情况下,授权所述第二用户使用所述另一授权凭证;
将所述另一授权凭证添加至所述第一链表中形成另一节点,以通过该另一节点及下游节点形成所述第二用户组的授权链,使所述第二用户获得所述第二用户组的授权链中的授权凭证的使用权限。
第一用户可为公司或组织中职级较高的用户,第二用户可为公司或组织中职级相对较低的用户,在第一用户组中构建第二用户组,或者将第二用户组添加至第一用户组,使第一用户组包含第二用户组,形成类似于公司或组织的组织架构的数据结构,便于按照组织架构对用户标识进行管理,具有较好的用户体验。
本申请实施例还提供了一种电子设备,至少包括存储器和处理器,存储器上存储有程序,处理器在执行存储器上的程序时实现上述任一实施例所述的方法。具体的,该电子设备可为服务器、云服务器或分布式处理系统等。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机可执行指令,在执行计算机可读存储介质中的计算机可执行指令时实现如上任一实施例所述的方法。
本领域技术人员应明白,本申请的实施例可提供为方法、电子设备、计算机可读存储介质或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。当通过软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
上述处理器可以是通用处理器、数字信号处理器、专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,简称GAL)或其任意组合。通用处理器可以是微处理器或者任何常规的处理器等。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
上述可读存储介质可为磁碟、光盘、DVD、USB、只读存储记忆体(ROM)或随机存储记忆体(RAM)等,本申请对具体的存储介质形式不作限定。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (9)
1.一种密钥授权使用方法,其特征在于,包括:
接收第一用户发送的用于请求使用密钥执行特定操作的操作请求,其中,所述操作请求包括所述第一用户的用户标识,以及用于标识被请求使用的密钥的密钥标识;
基于所述第一用户的用户标识确定所述第一用户的授权链,其中,所述第一用户的授权链包括与所述第一用户的用户标识相对应节点及下游节点处存储的授权凭证,每个节点处存储的授权凭证用于授权用户使用相应密钥;
基于所述密钥标识从所述第一用户的授权链中获取第一授权凭证,所述第一授权凭证为被请求使用的密钥的授权凭证;
基于所述第一授权凭证调取被请求使用的密钥执行所述特定操作;
其中,所述基于所述第一用户的用户标识确定所述第一用户的授权链,包括:
调取包括多个顺序排列的节点的第一链表,确定所述第一链表中与所述第一用户的用户标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户的授权链,其中,所述第一链表中依次存储多个所述授权凭证,每个所述授权凭证形成一个所述节点。
2.根据权利要求1所述的方法,其特征在于,所述第一用户的授权链包括存储在与所述第一用户的用户标识相对应的至少一个节点处且用于授权所述第一用户使用相应密钥的授权凭证,以及存储在该至少一个节点的下游节点处的用于授权其他用户使用其他密钥的授权凭证。
3.根据权利要求1所述的方法,其特征在于,所述调取包括多个顺序排列的节点的第一链表,确定所述第一链表中与所述第一用户的用户标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户的授权链,包括:
基于所述第一用户的用户标识确定所述第一用户所属的第一用户组,并获取用于标识该第一用户组的组标识;
调取所述第一链表,确定所述第一链表中与所述第一用户组的组标识相对应的节点,以确定包括该节点及下游节点处存储的授权凭证的所述第一用户组的授权链。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于获取的所述密钥的许可信息和所述第一用户的用户标识,生成用于授权所述第一用户使用所述密钥的授权凭证;
将所述授权凭证添加至所述第一链表中形成节点,以通过该节点及下游节点形成所述第一用户的授权链,使所述第一用户获得其授权链中授权凭证的使用权限。
5.根据权利要求4所述的方法,其特征在于,所述基于获取的所述密钥的许可信息和所述第一用户的用户标识,生成用于授权所述第一用户使用所述密钥的授权凭证,包括:
获取所述密钥的许可信息和用于标识第一用户组的组标识;
基于所述密钥的许可信息和所述第一用户的组标识,生成用于授权所述第一用户组使用所述密钥的授权凭证,以在所述第一用户的用户标识添加至所述第一用户组的情况下,授权所述第一用户使用该授权凭证。
6.根据权利要求5所述的方法,其特征在于,所述将所述授权凭证添加至所述第一链表中形成节点,以通过该节点及下游节点形成所述第一用户的授权链,使所述第一用户获得其授权链中授权凭证的使用权限,包括:
将用于授权所述第一用户组使用所述密钥的授权凭证,添加至所述第一链表中形成节点,以通过该节点及现有节点形成所述第一用户组的授权链,使所述第一用户获得所述第一用户组的授权链中的授权凭证的使用权限。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
获取另一密钥的许可信息和用于标识第二用户组的组标识;其中,所述第二用户组位于所述第一用户组内;
基于所述另一密钥的许可信息和所述第二用户组的组标识,生成用于授权所述第二用户组使用所述另一密钥的另一授权凭证,以在第二用户的用户标识添加至所述第二用户组的情况下,授权所述第二用户使用所述另一授权凭证;
将所述另一授权凭证添加至所述第一链表中形成另一节点,以通过该另一节点及下游节点形成所述第二用户组的授权链,使所述第二用户获得所述第二用户组的授权链中的授权凭证的使用权限。
8.一种电子设备,至少包括存储器和处理器,所述存储器上存储有程序,其特征在于,所述处理器在执行所述存储器上的程序时实现权利要求1-7任一项所述的方法。
9.一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,其特征在于,在执行所述计算机可读存储介质中的所述计算机可执行指令时实现权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110331978.6A CN113079154B (zh) | 2021-03-29 | 2021-03-29 | 密钥授权使用方法、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110331978.6A CN113079154B (zh) | 2021-03-29 | 2021-03-29 | 密钥授权使用方法、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113079154A CN113079154A (zh) | 2021-07-06 |
| CN113079154B true CN113079154B (zh) | 2021-12-31 |
Family
ID=76611235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110331978.6A Active CN113079154B (zh) | 2021-03-29 | 2021-03-29 | 密钥授权使用方法、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113079154B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115935318B (zh) * | 2022-12-27 | 2024-02-13 | 北京深盾科技股份有限公司 | 一种信息处理方法、装置、服务器、客户端及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9503442B1 (en) * | 2014-06-20 | 2016-11-22 | EMC IP Holding Company LLC | Credential-based application programming interface keys |
| CN109951295A (zh) * | 2019-02-27 | 2019-06-28 | 百度在线网络技术(北京)有限公司 | 密钥处理和使用方法、装置、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9350556B1 (en) * | 2015-04-20 | 2016-05-24 | Google Inc. | Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key |
| CN109871712B (zh) * | 2019-01-24 | 2022-10-14 | 平安科技(深圳)有限公司 | 医疗记录权限管理方法、装置、可读存储介质及服务器 |
| US11102196B2 (en) * | 2019-04-06 | 2021-08-24 | International Business Machines Corporation | Authenticating API service invocations |
| CN111131336B (zh) * | 2020-03-30 | 2020-07-17 | 腾讯科技(深圳)有限公司 | 多方授权场景下的资源访问方法、装置、设备及存储介质 |
-
2021
- 2021-03-29 CN CN202110331978.6A patent/CN113079154B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9503442B1 (en) * | 2014-06-20 | 2016-11-22 | EMC IP Holding Company LLC | Credential-based application programming interface keys |
| CN109951295A (zh) * | 2019-02-27 | 2019-06-28 | 百度在线网络技术(北京)有限公司 | 密钥处理和使用方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113079154A (zh) | 2021-07-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11314891B2 (en) | Method and system for managing access to personal data by means of a smart contract | |
| JP7426031B2 (ja) | 鍵セキュリティ管理システムおよび方法、媒体、ならびにコンピュータプログラム | |
| US10367796B2 (en) | Methods and apparatus for recording a change of authorization state of one or more authorization agents | |
| US10002152B2 (en) | Client computer for updating a database stored on a server via a network | |
| US8621561B2 (en) | Selective authorization based on authentication input attributes | |
| US20110276490A1 (en) | Security service level agreements with publicly verifiable proofs of compliance | |
| US20180115587A1 (en) | Security policies with probabilistic actions | |
| US11418499B2 (en) | Password security | |
| US11943345B2 (en) | Key management method and related device | |
| US20210034735A1 (en) | Enforcement of password uniqueness | |
| US20170279786A1 (en) | Systems and methods to protect sensitive information in data exchange and aggregation | |
| CN113079154B (zh) | 密钥授权使用方法、电子设备及计算机可读存储介质 | |
| EP4302221A1 (en) | Authorized encryption | |
| US20170093844A1 (en) | Data Theft Deterrence | |
| JP6199506B2 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
| CN113079006B (zh) | 针对密钥的信息处理方法、电子设备及存储介质 | |
| US20230147493A1 (en) | Method for managing a sensitive data | |
| JP5865386B2 (ja) | バックエンド制約委譲モデル | |
| US11502840B2 (en) | Password management system and method | |
| JP2010262550A (ja) | 暗号化システム及び暗号化プログラム及び暗号化方法及び暗号装置 | |
| JP2008090701A (ja) | 認証アクセス制御システム及びこれに使用するアドインモジュール | |
| JP2023031804A (ja) | 機器制御装置、管理装置、機器管理システム、機器制御方法、及びプログラム | |
| US20200117816A1 (en) | Methods for securing and accessing a digital document | |
| JP2023132934A (ja) | 認証情報署名システム、認証装置、認証情報署名プログラム及び認証情報署名方法 | |
| CN113139194A (zh) | 公安数据查询方法、装置、终端设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |