CN113190833B - 一种权限处理方法、装置、存储介质及电子装置 - Google Patents
一种权限处理方法、装置、存储介质及电子装置 Download PDFInfo
- Publication number
- CN113190833B CN113190833B CN202110611146.XA CN202110611146A CN113190833B CN 113190833 B CN113190833 B CN 113190833B CN 202110611146 A CN202110611146 A CN 202110611146A CN 113190833 B CN113190833 B CN 113190833B
- Authority
- CN
- China
- Prior art keywords
- key
- sub
- request
- target
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种权限处理方法、装置、存储介质及电子装置,其方法包括:第一设备获取来自客户端的密码重置请求,密码重置请求用于请求重置第一主密钥;第一设备根据密码重置请求,向多个目标设备发送密钥重构请求;第一设备接收多个目标设备根据密钥重构请求反馈的中间子密钥,并对接收到的多个中间子密钥进行验证;在验证通过的情况下,第一设备为客户端配置密码重置权限。通过本发明,解决了相关技术中密码重置过程安全性低的问题,进而达到了提高密码重置安全性的效果。
Description
技术领域
本发明实施例涉及通信领域,具体而言,涉及一种权限处理方法、装置、存储介质及电子装置。
背景技术
当今社会物联网产品应用越来越广泛,视频专网、智能楼宇等应用中充斥着大量物理网设备。因物联网设备数量众多,其账户管理问题就越发凸显。用户常常因需维护众多的设备账户,而使用了强度较弱的密码,或者因密码复杂度较高而导致密码遗忘。所以密码重置功能成为了用户急需,设备必备的功能。但目前较多的密码重置功能是在服务器接收到用户的重置请求后根据设备反馈的回复信息来实现的,如果回复信息被非法设备截取,则会使得非法设备也具有密码重置权限,从而容易造成密码的重复重置或无法正常重置,降低了密码重置过程的安全性,也影响了设备的正常使用。
发明内容
本发明实施例提供了一种权限处理方法、装置、存储介质及电子装置,以至少解决相关技术中密码重置过程安全性较低的问题。
根据本发明的一个实施例,提供了一种权限处理方法,包括:
第一设备获取来自客户端的密码重置请求,所述密码重置请求用于请求重置第一主密钥;
所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求,其中,所述目标设备预先接收了基于所述第一主密钥确定的子密钥;
所述第一设备接收多个所述目标设备根据所述密钥重构请求反馈的中间子密钥,并对接收到的多个所述中间子密钥进行验证,其中,所述中间子密钥是对所述子密钥进行第一重构处理后所得到的密钥;
在验证通过的情况下,所述第一设备为所述客户端配置密码重置权限。
在一个示例性实施例中,在所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求之前,所述方法还包括:
所述第一设备接收来自所述目标设备的连接请求;
所述第一设备对所述连接请求进行合法性检测;
在合法性检测通过的情况下,所述第一设备与所述目标设备建立管理连接;
所述第一设备根据建立管理连接的所述目标设备的数量,对所述第一主密钥进行分配计算,以得到与每个所述目标设备分别对应的所述子密钥;
所述第一设备将所述子密钥分别发送至对应的所述目标设备。
在一个示例性实施例中,所述第一设备接收多个所述目标设备根据所述密钥重构请求反馈的所述子密钥,并对接收到的多个所述子密钥进行验证包括:
所述第一设备确定已接收到所述中间子密钥的数量;
所述第一设备在确定已接收到的中间子密钥的数量满足第一预设值的情况下,对接收到的多个所述中间子密钥进行第二重构处理,以得到第二主密钥,其中,所述第一预设值小于等于与所述第一设备建立管理连接的所述目标设备的数量;
在所述第二主密钥与所述第一主密钥相同的情况下,确定验证通过。
在一个示例性实施例中,在所述第一设备接收多个所述目标设备根据所述密钥重构请求反馈的中间子密钥之前,所述方法还包括:
所述目标设备根据所述密钥重构请求,向所述客户端发送子密钥反馈请求,其中,所述子密钥反馈请求用于请求是否允许向所述第一设备发送所述中间子密钥;
所述目标设备在接收到所述客户端基于所述子密钥反馈请求返回的第一反馈响应的情况下,向所述第一设备发送所述中间子密钥,其中,所述第一反馈响应用于指示允许向所述第一设备发送所述中间子密钥。
在一个示例性实施例中,在所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求之后,所述方法还包括:
所述第一目标设备根据所述密钥重构请求,对预先接收的所述子密钥进行第一重构处理,以得到所述中间子密钥,其中,所述第一目标设备为多个所述目标设备中的任一个设备;
所述第一目标设备向所述第一设备反馈所述中间子密钥。
在一个示例性实施例中,在所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求之后,所述方法还包括:
所述第一目标设备根据所述密钥重构请求,对预先接收的所述子密钥进行第一重构处理,以得到第一中间子密钥,其中,所述第一目标设备为多个所述目标设备中的任一个设备;
所述第一目标设备向第二目标设备发送所述第一中间子密钥,以指示所述第二目标设备执行以下处理,其中,所述第二目标设备为多个所述目标设备包含的除所述第一目标设备以外的设备:
根据所述密钥重构请求,对预先接收的所述子密钥以及所述第一中间子密钥进行第二子密钥重构处理,以得到所述中间子密钥;向所述第一设备反馈所述中间子密钥。
根据本发明的另一个实施例,提供了一种权限处理装置,包括:
重置请求接收模块,用于获取来自客户端的密码重置请求,所述密码重置请求用于请求重置第一主密钥;
重构请求发送模块,用于根据所述密码重置请求,向多个所述目标设备发送密钥重构请求,其中,所述目标设备预先接收了基于所述第一主密钥确定的子密钥;
子密钥接收模块,用于接收多个所述目标设备根据所述密钥重构请求反馈的中间子密钥,并对接收到的多个所述中间子密钥进行验证,其中,所述中间子密钥是对所述子密钥进行第一重构处理后所得到的密钥;
权限配置模块,用于在验证通过的情况下,为所述客户端配置密码重置权限。
根据本发明的另一个实施例,提供了一种权限处理系统,包括:
包括前述的第一设备、客户端以及目标设备。
根据本发明的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,由于在密码重置过程中需要进行中间子密钥的验证,因而可以避免非法设备对密码的重置或者错误指令下对密码的错误重置,因此,可以解决相关技术中密码重置安全性较低的问题,达到提高密码重置的安全性的效果。
附图说明
图1是本发明实施例的一种权限处理方法的移动终端的硬件结构框图;
图2是根据本发明实施例的一种权限处理方法的流程图;
图3是根据本发明实施例的应用于第一设备的一种权限处理装置的结构框图;
图4是根据本发明实施例的目标设备装置的结构框图;
图5是根据本发明的具体实施例的流程图;
图6是根据本发明的具体实施例的密码分配的流程图;
图7是根据本发明实施例的密码重置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明的实施例。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种权限处理方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种密码方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种权限处理方法,图1是根据本发明实施例的一种权项处理方法的流程图,如图1所示,该流程包括如下步骤:
步骤S202,第一设备获取来自客户端的密码重置请求,密码重置请求用于请求重置第一主密钥;
在本实施例中,根据客户端的密码重置请求来重置第一主密钥,能够实现用户对密码重置情况进行主动控制,方便用户的使用;而重置第一主密钥是为了适应重置后的密码,避免密码重置后,第一主密钥无法与重置后的相适应造成的密码识别错误,同时由于需要进行第一主密钥重置,因而能够根据第一主密钥对客户端的合法性进行判断,提高了密码重置过程的安全性。
其中,第一设备可以(但不限于)是局域网中的主控计算机、用于进行局域网内系统控制的管理中心、用于控制局域网与外部网络交互的控制中心、或者其它起管理作用的设备或装置,例如,可以是工业计算机、多个计算机联立的控制中心等;客户端可以(但不限于)是通过局域网与第一设备进行连接的移动设备,例如,通过局域网与控制中心连接的控制面板或控制终端等,也可以是同时连接局域网与外部网络的网关等;第一主密钥可以(但不限于)是多个操作设备共享的密钥,其中,多个操作设备的共享方式可以是通过同一套密钥计算方法得到的密钥;密码重置请求可以(但不限于)是以电信号方式传输的请求信号,也可以是通过局域网无线传输的数据包;相应的,密码重置请求可以(但不限于)是通过局域网中的无线网络进行传输的,例如,蓝牙模块等,也可以是通过局域网中的有线网络进行传输的,例如,光纤、电缆等。
例如,第一主密钥通过秘密共享算法生成多份子密钥后(具体的数量由当前第一设备连接的目标设备的数量决定),通过安全分发方式将子密钥分别分发给参与者,使得每个参与者得到一份子密钥。其中,安全分发可以使用安全可信信道如TLS/HTTPS进行分发,也可以使用密钥协商算法如DH等进行分发,而密钥协商算法的安全性由密码学安全性来保证。
需要说明的是,第一主密钥主要用于校验是否提供密码重置能力给用户,在实际使用过程中,秘密管理中心会将第一主密钥生成多分子密钥并分发给多个目标设备。
步骤S204,第一设备根据密码重置请求,向多个目标设备发送密钥重构请求,其中,目标设备预先接收了基于第一主密钥确定的子密钥;
在本实施例中,第一设备向目标设备发送密钥重构请求是为了确定密码重置请求对应的目标设备是否正确,避免非法设备对密码进行修改,提高了密码重置过程的安全性,同时避免错误的密码修改操作的执行。
其中,目标设备可以(但不限于)是通过局域网与第一设备连接的具体操作设备,例如,位于车间内与第一设备无线/有线连接的数控机床等;目标设备的数量可以是一个,也可以是至少两个,目标设备可以(但不限于)是彼此相同的设备,也可以是彼此不同的设备,还可以是部分相同的设备;子密钥可以(但不限于)是根据特定的算法对第一主密钥进行计算确定的,也可以是预先设置的;子密钥的数量可以(但不限于)与目标设备的数量相关,也可以是与目标设备的种类相关。
步骤S206,第一设备接收多个目标设备根据密钥重构请求反馈的中间子密钥,并对接收到的多个中间子密钥进行验证,其中,中间子密钥是对子密钥进行第一重构处理后所得到的密钥;
在本实施例中,目标设备对子密钥进行第一重构能够避免非法设备在中间子密钥传输过程中进行截取而获得对密码的重置权限,提高密码重置过程的安全性;而对中间子密钥进行验证是为了确定反馈的中间子密钥与第一主密钥之间的关系,从而确定反馈的中间子密钥是否为根据第一主密钥进行重构得到的,进一步保证了密码重构过程的安全性。
其中,对子密钥进行第一重构过程可以是根据特定的算法进行计算得到的,而为保证计算的准确性,第一重构过程所用的算法需要与子密钥的确定过程所用的算法具有相关性,以保证验证过程能够得到正确的结果。
例如,第一设备通过秘密分配算法对第一主密钥进行计算,以生成多分子密钥,并在接收到目标设备反馈的中间子密钥之后,通过秘密重构算法将中间子密钥重构为第一主密钥;这里的秘密分配算法以及秘密重构算法,同指秘密共享算法;秘密共享的原理可以用以下形式化定义解释:
S(s,t,n)->{<s0>,<s1>,…,<sn>};
其中s表示第一主密钥,t表示恢复门限,n表示拆分数量;
可通过恢复函数R,对于任意m>=t,则有R(<s0>,<s1>,…,<sm>)->S。
秘密共享算法可以使用shamir、中国剩余定理、Brickell、Blakley等算法实现。
需要说明的是,因秘密共享的门限方案的特性(由密码学算法保证),在进行重构时,只要正确的子密钥数量大于或等于既定的恢复门限数量时,即可成功重构主密钥,否则将无法成功重构。
步骤S208,在验证通过的情况下,第一设备为客户端配置密码重置权限。
在本实施例中,在验证通过的情况下再为客户端配置重置权限能够避免非法设备对密码的非法重置。
需要说明的是,在进行密码重置时,各目标设备将中间子密钥发送给第一设备进行重构,当成功重构出第一主密钥并校验通过后,则说明是由多方设备协同认证的,可正常提供密码重置功能;否则将无法提供密码重置功能。
通过上述步骤,由于在密码重置过程中多次进行密钥重构和验证,因而能够避免非法设备拥有密码重置权限,解决了相关技术中密码重置过程安全性低的问题,提高了密码重置过程的安全性。
在一个可选的实施例中,在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之前,该方法还包括:
步骤S2002,第一设备接收来自目标设备的连接请求;
步骤S2004,第一设备对连接请求进行合法性检测;
步骤S2006,在合法性检测通过的情况下,第一设备与目标设备建立管理连接;
步骤S2008,第一设备根据建立管理连接的目标设备的数量,对第一主密钥进行分配计算,以得到与每个目标设备分别对应的子密钥;
步骤S20010,第一设备将子密钥分别发送至对应的目标设备。
在本实施例中,在分配子密钥之前先确定与第一设备连接的目标设备是为了避免非法设备也被分配子密钥,从而保证密码重置过程的安全性;对应的,第一设备对连接请求进行合法性检测也是为了确定发送连接请求的目标设备是否合法,从而避免非法设备的接入。
其中,连接请求可以(但不限于)是目标设备向第一设备发送的电信号,也可以目标设备向第一设备发送的请求数据包,其中,请求数据包可以包括(但不限于)目标设备的IP地址、目标设备的ID、目标设备的工作周期等设备信息,对应的,连接请求的传输可以(但不限于)是通过局域网的光纤、线缆等有线设备进行传输的,也可以是通过蓝牙等无线设备进行传输的;合法性检测可以(但不限于)是根据连接请求,将连接请求对应的目标设备的设备信息与第一设备存储的设备进行匹配,也可以是直接对连接请求中包含的设备信息进行检测,还可以是通过其它方式进行检测;建立管理连接可以(但不限于)是将第一设备与目标设备建立通信连接,使得第一设备可以识别目标设备反馈的子密钥并向目标设备发送子密钥;对第一主密钥进行分配计算可以是根据预设的算法对第一主密钥进行计算,以得到与目标设备数量相关联的子密钥数量,例如,在确定建立了管理连接的目标设备的数量为N时,根据特定的算法对第一主密钥S进行分配计算,以得到N个子密钥,随后再将N个子密钥分别发送给对应的目标设备。
需要说明的是,N个子密钥可以彼此相同的,也可以彼此不相同,还可以是部分相同,部分不相同;将子密钥进行分配发送时,可以是根据连接请求进行发送,也可以是根据其它方式进行发送。
在一个可选的实施例中,第一设备接收多个目标设备根据密钥重构请求反馈的子密钥,并对接收到的多个子密钥进行验证包括:
步骤S2062,第一设备确定已接收到中间子密钥的数量;
步骤S2064,第一设备在确定已接收到的中间子密钥的数量满足第一预设值的情况下,对接收到的多个中间子密钥进行第二重构处理,以得到第二主密钥,其中,第一预设值小于等于与第一设备建立管理连接的所述目标设备的数量;
步骤S2066,第一设备在第二主密钥与第一主密钥相同的情况下,确定验证通过。
在本实施例中,在第二主密钥与第一主密钥相同的情况下,可以由特定的算法确定中间子密钥与原本基于第一主密钥分配的子密钥为同源密钥,因而可以允许部分目标设备不反馈中间子密钥或反馈错误的子密钥,从而提高了容错率,保证了权限处理过程的正常运行;而对中间子密钥进行第二重构处理是为了对中间子密钥进行还原以及对还原后的子密钥进行逆向重构,以得到第一主密钥。
例如,在与第一设备建立管理连接的目标设备的数量为N的情况下,在接收到N-2或N个正确的中间子密钥时即可执行第二重构处理,由于此时正确的中间子密钥的数量大于前述的门限值,因而允许存在2个中间子密钥为错误的中间子密钥。
在一个可选的实施例中,在第一设备接收多个目标设备根据密钥重构请求反馈的中间子密钥之前,该方法还包括:
步骤S20602,目标设备根据密钥重构请求,向客户端发送子密钥反馈请求,其中,子密钥反馈请求用于请求是否允许向第一设备发送中间子密钥;
步骤S20604,目标设备在接收到客户端基于子密钥反馈请求返回的第一反馈响应的情况下,向第一设备发送中间子密钥,其中,第一反馈响应用于指示允许向第一设备发送中间子密钥。
在本实施例中,目标设备根据客户端反馈的第一反馈响应再执行向第一设备反馈中间子密钥是为了避免因非法设备的入侵或者错误操作造成的错误重置,从而提高了密码重置过程安全性。
其中,子密钥反馈请求可以是电信号,也可以是数据包,其中,数据包中可以包括目标设备的IP地址、目标设备的ID、目标设备的工作周期等设备信息,对应的,子密钥反馈请求以及第一反馈响应的传输可以(但不限于)是通过局域网的光纤、线缆等有线设备进行传输的,也可以是通过蓝牙等无线设备进行传输的。
在一个可选的实施例中,在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之后,该方法还包括:
步骤S2042,第一目标设备根据密钥重构请求,对预先接收的子密钥进行第一重构处理,以得到中间子密钥,其中,第一目标设备为多个目标设备中的任一个设备;
步骤S2044,第一目标设备向第一设备反馈中间子密钥。
在本实施例中,第一目标设备在执行第一重构处理后,直接将中间子密钥反馈至第一设备,缩短了中间子密钥的传输路径,提高了中间子密钥的传输效率。
在一个可选的实施例中,在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之后,该方法还包括:
步骤S2046,第一目标设备根据密钥重构请求,对预先接收的子密钥进行第一重构处理,以得到第一中间子密钥,其中,第一目标设备为多个目标设备中的任一个设备;
步骤S2048,第一目标设备向第二目标设备发送第一中间子密钥,以指示第二目标设备执行以下处理,其中,第二目标设备为多个目标设备包含的除第一目标设备以外的设备:
根据密钥重构请求,对预先接收的子密钥以及第一中间子密钥进行第二子密钥重构处理,以得到中间子密钥;向第一设备反馈中间子密钥。
在本实施例中,第一目标设备在得到第一中间子密钥后,将第一中间子密钥发送至第二目标设备,以执行第一子密钥重构处理是为了对第一中间子密钥进行二次加密,从而进一步加强密码重置过程的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种权限处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本发明实施例的一种权限处理装置的结构框图,该装置应用于第一设备,如图3所示,该装置包括:
重置请求接收模块32,用于获取来自客户端的密码重置请求,密码重置请求用于请求重置第一主密钥;
重构请求发送模块34,用于根据密码重置请求,向多个目标设备发送密钥重构请求,其中,目标设备预先接收了基于第一主密钥确定的子密钥;
子密钥接收模块36,用于接收多个目标设备根据密钥重构请求反馈的中间子密钥,并对接收到的多个中间子密钥进行验证,其中,中间子密钥是对子密钥进行第一重构处理后所得到的密钥;
权限配置模块38,用于在验证通过的情况下,为客户端配置密码重置权限。
在一个可选的实施例中,该装置还包括:
连接请求接收模块302,用于在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之前,接收来自目标设备的连接请求;
合法检测模块304,用于对连接请求进行合法性检测;
连接建立模块306,用于在合法性检测通过的情况下,第一设备与目标设备建立管理连接;
分配计算模块308,用于根据建立管理连接的目标设备的数量,对第一主密钥进行分配计算,以得到与每个目标设备分别对应的子密钥;
子密钥转发模块3010,用于将子密钥分别发送至对应的目标设备。
在一个可选的实施例中,子密钥接收模块36包括:
数量确定单元362,用于确定已接收到中间子密钥的数量;
重构单元364,用于在确定已接收到的中间子密钥的数量满足第一预设值的情况下,对接收到的多个中间子密钥进行第二重构处理,以得到第二主密钥,其中,第一预设值小于等于与第一设备建立管理连接的目标设备的数量;
验证确定单元366,用于在第二主密钥与第一主密钥相同的情况下,确定验证通过。
在一个可选的实施例中,如图4所示,本发明还提供一种权限处理系统,其中,该系统除包括前述的权限处理装置,还包括目标设备,其中,该目标设备包括:
反馈请求发送模块42,用于在第一设备接收多个目标设备根据密钥重构请求反馈的中间子密钥之前,根据密钥重构请求,向客户端发送子密钥反馈请求,其中,子密钥反馈请求用于请求是否允许向第一设备发送中间子密钥;
中间子密钥发送模块44,用于在接收到客户端基于子密钥反馈请求返回的第一反馈响应的情况下,向第一设备发送中间子密钥,其中,第一反馈响应用于指示允许向第一设备发送中间子密钥。
在一个可选的实施例中,目标设备还包括多个第一目标设备,其中,第一目标设备为多个目标设备中的任一个设备;第一目标设备包括:
第一重构单元46,用于在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之后,根据密钥重构请求,对预先接收的子密钥进行第一重构处理,以得到中间子密钥;
反馈单元48,用于向第一设备反馈中间子密钥。
在一个可选的实施例中,目标设备还包括多个第二目标设备,其中,第二目标设备为多个目标设备包含的除第一目标设备以外的设备;上述第一目标设备还包括:
第一子密钥重构模块410,用于在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之后,根据密钥重构请求,对预先接收的子密钥进行第一重构处理,以得到第一中间子密钥,其中,第一目标设备为多个目标设备中的任一个设备;
中间子密钥发送模块412,用于向第二目标设备发送第一中间子密钥,以指示第二目标设备执行以下处理:
根据密钥重构请求,对预先接收的子密钥以及第一中间子密钥进行第二子密钥重构处理,以得到中间子密钥;向第一设备反馈中间子密钥。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
下面结合具体实施例对本发明进行说明。
如图5所示,本发明包括三个阶段:
子密钥分配阶段S501(对应前述步骤S2008-S20010):该阶段在设备初期执行,密码管理中心(对应前述的第一设备)通过秘密分配算法将主密钥S(对应前述的第一主密钥)生成N个子密钥(对应前述的子密钥),并对应的将子密钥通过安全通信信道发送至对应的参与者(对应前述的目标设备);
密码重置阶段S502(对应前述步骤S202-S204):当用户(对应前述的客户端)发起密码重置请求后,密码管理中心向当前与其连接的参与者发起秘密重置请求。各参与者按照既定协议进行秘密重构(对应前述的第一重构处理和/或第二子密钥重构处理)后,将最终秘密通过安全通信信道返回给密码管理中心;
校验阶段S503(对应前述步骤S206-S208):密码管理中心对其进行校验(对应前述的第二重构处理),若校验成功,则提供用户本设备的密码重置能力。
其中,如图6所示,子密钥分配阶段包括:
步骤S601(对应前述步骤S2002-S2006),参与者与设备(密码管理中心)建立连接并进行合法的认证(可通过账号体系或证书体系等方式);
步骤S602(对应前述步骤S2008),密码管理中心根据与其连接的参与者数量n,将主密钥通过秘密分配算法生成n分子密钥;
步骤S603(对应前述步骤S20010),通过安全可信信道,密码管理中心将生成的子密钥分发至对应的参与者,如将子密钥1分发给参与者1,将子密钥2分发给参与者2,直至分发给参与者N,此时需保证各参与者之前无法获取其余参与者的子密钥。
其中,在进行子密钥分配之前,参与者设备需作为客户端与密码管理中心所在的设备建立连接并通过认证,从而保证参与者设备的合法性。
如图7所示,密码重置阶段包括:
步骤S701(对应前述步骤S202),用户先通过客户端登录至参与者,随后通过客户端向密码管理中心发起密码重置请求;
步骤S702(对应前述步骤S204),密码管理中心向各个参与者发起密钥重构请求;
步骤S703(对应前述步骤S206),获取各参与者根据反馈响应返回的中间子密钥,以保证参与本次主密钥重构的参与者保存有之前分发的子密钥,并最终实现主密钥的正确重构;其中,反馈响应是各参与者根据密钥重构请求向客户端发起的(对应前述步骤S20602),客户端在确定允许参与者向密码管理中心发送中间子密钥的情况下,向对应的参与者返回允许发送指示(对应前述步骤S20604),以指示对应的参与者向密码管理中心发送中间子密钥;
步骤S704(对应前述步骤S206-S208),重构主密钥并进行密钥重置,而在重置后需要确定重置的主密钥是否正确,在重置的主密钥正确的情况下,为客户端配置密码重置权限,以使客户端可以重置密码,其中,该过程可允许部分参与者不返回或返回错误的子密钥,密码管理中心可使用密钥重构算法重构主密钥。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种权限处理方法,其特征在于,包括:
第一设备获取来自客户端的密码重置请求,所述密码重置请求用于请求重置第一主密钥;
所述第一设备根据所述密码重置请求,向多个目标设备发送密钥重构请求,其中,所述目标设备预先接收了基于所述第一主密钥确定的子密钥;
所述第一设备接收多个所述目标设备根据所述密钥重构请求反馈的中间子密钥,并对接收到的多个所述中间子密钥进行验证,其中,所述中间子密钥是对所述子密钥进行第一重构处理后所得到的密钥;
在验证通过的情况下,所述第一设备为所述客户端配置密码重置权限;
其中,在所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求之后,所述方法还包括:第一目标设备根据所述密钥重构请求,对预先接收的所述子密钥进行第一重构处理,以得到第一中间子密钥,其中,所述第一目标设备为多个所述目标设备中的任一个设备;所述第一目标设备向第二目标设备发送所述第一中间子密钥,以指示所述第二目标设备执行以下处理,其中,所述第二目标设备为多个所述目标设备包含的除所述第一目标设备以外的设备:根据所述密钥重构请求,对预先接收的所述子密钥以及所述第一中间子密钥进行第二子密钥重构处理,以得到所述中间子密钥;向所述第一设备反馈所述中间子密钥。
2.根据权利要求1所述的方法,其特征在于,在所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求之前,所述方法还包括:
所述第一设备接收来自所述目标设备的连接请求;
所述第一设备对所述连接请求进行合法性检测;
在合法性检测通过的情况下,所述第一设备与所述目标设备建立管理连接;
所述第一设备根据建立管理连接的所述目标设备的数量,对所述第一主密钥进行分配计算,以得到与每个所述目标设备分别对应的所述子密钥;
所述第一设备将所述子密钥分别发送至对应的所述目标设备。
3.根据权利要求1所述的方法,其特征在于,所述第一设备接收多个所述目标设备根据所述密钥重构请求反馈的所述子密钥,并对接收到的多个所述子密钥进行验证包括:
所述第一设备确定已接收到所述中间子密钥的数量;
所述第一设备在确定已接收到的中间子密钥的数量满足第一预设值的情况下,对接收到的多个所述中间子密钥进行第二重构处理,以得到第二主密钥,其中,所述第一预设值小于等于与所述第一设备建立管理连接的所述目标设备的数量;
所述第一设备在所述第二主密钥与所述第一主密钥相同的情况下,确定验证通过。
4.根据权利要求1所述的方法,其特征在于,在所述第一设备接收多个所述目标设备根据所述密钥重构请求反馈的中间子密钥之前,所述方法还包括:
所述目标设备根据所述密钥重构请求,向所述客户端发送子密钥反馈请求,其中,所述子密钥反馈请求用于请求是否允许向所述第一设备发送所述中间子密钥;
所述目标设备在接收到所述客户端基于所述子密钥反馈请求返回的第一反馈响应的情况下,向所述第一设备发送所述中间子密钥,其中,所述第一反馈响应用于指示允许向所述第一设备发送所述中间子密钥。
5.根据权利要求1所述的方法,其特征在于,在所述第一设备根据所述密码重置请求,向多个所述目标设备发送密钥重构请求之后,所述方法还包括:
第一目标设备根据所述密钥重构请求,对预先接收的所述子密钥进行第一重构处理,以得到所述中间子密钥,其中,所述第一目标设备为多个所述目标设备中的任一个设备;
所述第一目标设备向所述第一设备反馈所述中间子密钥。
6.一种权限处理装置,其特征在于,应用于第一设备中,包括:
重置请求接收模块,用于获取来自客户端的密码重置请求,所述密码重置请求用于请求重置第一主密钥;
重构请求发送模块,用于根据所述密码重置请求,向多个目标设备发送密钥重构请求,其中,所述目标设备预先接收了基于所述第一主密钥确定的子密钥;
子密钥接收模块,用于接收多个所述目标设备根据所述密钥重构请求反馈的中间子密钥,并对接收到的多个所述中间子密钥进行验证,其中,所述中间子密钥是对所述子密钥进行第一重构处理后所得到的密钥;
权限配置模块,用于在验证通过的情况下,为所述客户端配置密码重置权限;
其中,所述装置还包括:第一子密钥重构模块,用于在第一设备根据密码重置请求,向多个目标设备发送密钥重构请求之后,根据密钥重构请求,对预先接收的子密钥进行第一重构处理,以得到第一中间子密钥,其中,第一目标设备为多个目标设备中的任一个设备;中间子密钥发送模块,用于向第二目标设备发送第一中间子密钥,以指示第二目标设备执行以下处理:根据密钥重构请求,对预先接收的子密钥以及第一中间子密钥进行第二子密钥重构处理,以得到中间子密钥;向第一设备反馈中间子密钥。
7.根据权利要求6所述的装置,其特征在于,在第一设备根据所述密码重置请求,向多个目标设备发送密钥重构请求之前,所述装置还包括:
连接请求接收模块,用于接收来自所述目标设备的连接请求;
合法检测模块,用于对所述连接请求进行合法性检测;
连接建立模块,用于在合法性检测通过的情况下,所述第一设备与所述目标设备建立管理连接;
分配计算模块,用于根据建立管理连接的所述目标设备的数量,对所述第一主密钥进行分配计算,以得到与每个所述目标设备分别对应的所述子密钥;
子密钥转发模块,用于将所述子密钥分别发送至对应的所述目标设备。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至5任一项中所述的方法。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至5任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110611146.XA CN113190833B (zh) | 2021-06-01 | 2021-06-01 | 一种权限处理方法、装置、存储介质及电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110611146.XA CN113190833B (zh) | 2021-06-01 | 2021-06-01 | 一种权限处理方法、装置、存储介质及电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113190833A CN113190833A (zh) | 2021-07-30 |
| CN113190833B true CN113190833B (zh) | 2022-11-18 |
Family
ID=76986270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110611146.XA Active CN113190833B (zh) | 2021-06-01 | 2021-06-01 | 一种权限处理方法、装置、存储介质及电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113190833B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020143246A1 (zh) * | 2019-01-07 | 2020-07-16 | 苏宁云计算有限公司 | 一种结合区块链和秘密共享的去匿名化的方法及系统 |
| CN112700152A (zh) * | 2021-01-06 | 2021-04-23 | 南方电网科学研究院有限责任公司 | 基于中国剩余定理的层次化安全多方计算方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101776137B1 (ko) * | 2014-10-30 | 2017-09-19 | 에스케이 텔레콤주식회사 | 양자 키 분배 시스템에서 복수의 장치에 키를 공급하는 장치 및 방법 |
| CN111585760B (zh) * | 2017-10-27 | 2023-04-18 | 财付通支付科技有限公司 | 密钥找回方法、装置、终端及可读介质 |
| CN109818753B (zh) * | 2019-02-28 | 2022-03-08 | 矩阵元技术(深圳)有限公司 | 择一客户端为多客户端多服务器生成密钥的方法和设备 |
| CN109714165B (zh) * | 2019-02-28 | 2021-12-07 | 矩阵元技术(深圳)有限公司 | 客户端各自生成密钥分量的密钥管理方法和电子设备 |
| CN109981591B (zh) * | 2019-02-28 | 2021-09-21 | 矩阵元技术(深圳)有限公司 | 单一客户端生成私钥的密钥管理方法、电子设备 |
| CN109787762B (zh) * | 2019-02-28 | 2021-09-21 | 矩阵元技术(深圳)有限公司 | 服务器各自生成密钥分量的密钥管理方法、电子设备 |
| CN112800439B (zh) * | 2020-12-02 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及系统 |
-
2021
- 2021-06-01 CN CN202110611146.XA patent/CN113190833B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020143246A1 (zh) * | 2019-01-07 | 2020-07-16 | 苏宁云计算有限公司 | 一种结合区块链和秘密共享的去匿名化的方法及系统 |
| CN112700152A (zh) * | 2021-01-06 | 2021-04-23 | 南方电网科学研究院有限责任公司 | 基于中国剩余定理的层次化安全多方计算方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113190833A (zh) | 2021-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3499847B1 (en) | Efficient validation of transaction policy compliance in a distributed ledger system | |
| US8688988B2 (en) | Transaction auditing for data security devices | |
| US10171235B2 (en) | User-initiated migration of encryption keys | |
| CN109302311B (zh) | 实现网络态势感知的区块链网络、感知方法及电子设备 | |
| US9374221B1 (en) | Distributed protection of credential stores utilizing multiple keys derived from a master key | |
| EP3584993A1 (en) | Method for securely sharing data under certain conditions on a distributed ledger | |
| WO2017033442A1 (ja) | 情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラムを記録する記録媒体 | |
| US20210167947A1 (en) | System and method for processing secret sharing authentication | |
| CN111294349B (zh) | 用于物联网设备数据共享的方法及装置 | |
| CN111538977B (zh) | 云api密钥的管理、云平台的访问方法、装置及服务器 | |
| CN109167802A (zh) | 防止会话劫持的方法、服务器以及终端 | |
| US12052353B2 (en) | Method for securing a data exchange in a distributed infrastructure | |
| CN117118763B (zh) | 用于数据传输的方法及装置、系统 | |
| CN107040501B (zh) | 基于平台即服务的认证方法和装置 | |
| CN114218598B (zh) | 一种业务处理方法、装置、设备和存储介质 | |
| CN108390878B (zh) | 用于验证网络请求安全性的方法、装置 | |
| CN104506552B (zh) | 一种信息系统安全监控及访问控制方法 | |
| CN107888615B (zh) | 一种节点注册的安全认证方法 | |
| CN113190833B (zh) | 一种权限处理方法、装置、存储介质及电子装置 | |
| CN114268437A (zh) | 数据处理方法、区块链节点、系统和计算机可读存储介质 | |
| CN116055172A (zh) | 一种设备认证方法、系统、电子设备及存储介质 | |
| CN112699391B (zh) | 目标数据的发送方法及隐私计算平台 | |
| CN115344882A (zh) | 基于可信计算环境的多方计算方法、装置及存储介质 | |
| CN115242501B (zh) | 一种登录方法、服务器、终端及计算机可读存储介质 | |
| US11777922B2 (en) | Autonomous multi-factor authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |