CN113612770A - 一种跨域安全交互方法、系统、终端以及存储介质 - Google Patents
一种跨域安全交互方法、系统、终端以及存储介质 Download PDFInfo
- Publication number
- CN113612770A CN113612770A CN202110880949.5A CN202110880949A CN113612770A CN 113612770 A CN113612770 A CN 113612770A CN 202110880949 A CN202110880949 A CN 202110880949A CN 113612770 A CN113612770 A CN 113612770A
- Authority
- CN
- China
- Prior art keywords
- domain
- access
- certificate
- cross
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000003993 interaction Effects 0.000 title claims abstract description 48
- 238000013507 mapping Methods 0.000 claims abstract description 54
- 238000012795 verification Methods 0.000 claims abstract description 27
- 239000003795 chemical substances by application Substances 0.000 claims description 49
- 238000012986 modification Methods 0.000 claims description 13
- 230000004048 modification Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 7
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 239000002699 waste material Substances 0.000 description 3
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
Abstract
本申请涉及一种跨域安全交互方法、系统、终端以及存储介质。所述方法包括:构建第三方代理认证中心,通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证;通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。本申请实施例实现了异构系统之间一对多的跨域身份验证,提高了访问效率和跨域访问控制的安全性。
Description
技术领域
本申请属于网络安全技术领域,特别涉及一种跨域安全交互方法、系统、终端以及存储介质。
背景技术
近年来,为了消除信息孤岛,实施互联互通,推进集约化建设,政务信息整合和共享受到各级政府的高度重视。用户注册数据库统一建立在省政务服务平台,用户注册统一由省政务服务平台提供,各市、部门政务服务页面不再提供用户注册功能。同样,用户登录界面也由省政务服务平台统一提供,各市、各部门只提供相应的跳转链接。各部门政务服务系统虽然不提供用户注册和登录检验功能,但是必须建立一个统一用户认证对接管理模块,统一处理和省政务服务平台用户认证子系统之间的相互调用。
异构系统是指节点分布在不同安全域中的系统结构,跨域认证也就是针对不同信任域下的用户在进行跨域访问、通信时进行身份验证。常见的网络安全方案中,服务器一般通过约定好的身份验证协议验证客户端的身份,由于物联网中存在种类繁多的设备和应用系统,这种传统的安全模式存在各种弊端。首先,如果设备数量过于庞大可能导致设备身份的管理困难,并导致系统服务器的性能要求高和身份管理代价大;其次,不同的应用系统独立存储设备的身份信息并独立完成身份验证,这种相互独立的模式,每个系统都将是一个信任孤岛,各个系统之间的资源、信息无法共享使用,造成资源的浪费;最后,相互独立的不同系统之间的认证机制可能不相同,不同种类的设备的安全性也不相同,这也导致客户端的身份的认证存在诸多的不确定性因素。
另外,为了保护用户的隐私,在域中传输数据时需要对数据进行加密。传统方法是使用对称或非对称加密算法,但该方法不适用于政务系统的复杂场景。
基于上述,如何在分布式的多域环境下,对原本独立安全的单个域构建安全高效的跨域访问控制模型进而与外域进行安全交互成为研究难点。
发明内容
本申请提供了一种跨域安全交互方法、系统、终端以及存储介质,旨在至少在一定程度上解决现有技术中的上述技术问题之一。
为了解决上述问题,本申请提供了如下技术方案:
一种跨域安全交互方法,包括:
构建第三方代理认证中心,通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证;
通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;所述访问请求中包括背书凭证;
通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
本申请实施例采取的技术方案还包括:所述向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证具体为:
识别请求接入所述第三方代理认证中心的系统信息,向支持跨域访问的系统签发数字证书;
接收所述系统下的设备发送的注册请求,并对所述注册请求进行解析后,根据所述系统的认证方式向所述设备签发背书凭证。
本申请实施例采取的技术方案还包括:所述向设备签发背书凭证具体包括:
解析所述设备的注册请求,验证设备的用户身份信息以及注册请求是否合法,如何合法,查询所述设备期待访问的目标域信息,并生成一对密钥,根据所述密钥和用户身份信息生成背书凭证;
使用所述数字证书中的密钥对背书凭证进行数字签名;
将所述背书凭证、数字签名以及私钥签发给设备,并将所述背书凭证签发记录写入到第三方代理认证中心;
所述背书凭证中包括设备的唯一身份标识、凭证出具系统的标识、凭证出具系统的名称、凭证出具系统的认证方式、设备认证结果、凭证有效时间以及时间戳、数字签名、期待访问的目标域系统标识、目标域内被请求访问的系统支持的属性操作以及与设备加密通信的密钥。
本申请实施例采取的技术方案还包括:所述属性证书中包括设备的身份信息、密钥信息,唯一的证书序列号、证书的有效使用期限、属性信息、使用域、签发单位、签发单位的公钥信息以及证书类型;
所述访问请求中包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证。
本申请实施例采取的技术方案还包括:所述通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书具体包括:
构造属性表存储模块,所述属性表存储模块用于存储域与域之间的属性转换关系;
构造属性映射表,所述属性映射表用于记录源域和目标域的所有属性,以及属性间的相互映射关系;
在属性映射服务模块构造缓冲区,通过所述缓冲区存储常用域间的属性映射表;
利用所述属性映射表对属性证书进行属性映射,如果属性映射表对应可完全映射,则代表支持跨域访问以及同步修改操作;如果属性映射表对应不能映射,则代表不能进行跨域访问;如果属性映射表部分映射,则代表可进行跨域访问但不能进行修改操作。
本申请实施例采取的技术方案还包括:所述通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证还包括:
通过所述目标域内被请求访问的系统对所述访问请求和属性证书进行解析;所述解析过程包括:
对所述访问请求进行解析,查看所述访问请求的时间戳和请求内容;
通过所述第三方代理认证中心查询背书凭证签发方的信息,验证数字签名,并验证所述背书凭证是否完整;
检查所述背书凭证的有效期以及签发方状态,验证所述访问请求是否合规,并查看所述背书凭证签发方是否在本域的信任列表中。
本申请实施例采取的技术方案还包括:所述如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互具体包括:
在所述目标域内被请求访问的系统的数据域中开辟可支持读写操作的数据共享域,所述数据共享域支持源域内请求访问的系统下的设备进行同步修改操作;
所述数据共享域由第三方代理认证中心向目标域指明。
本申请实施例采取的另一技术方案为:一种跨域安全交互系统,包括:
认证中心构建模块:用于构建第三方代理认证中心,通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证;
请求发送模块:用于通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;所述访问请求中包括背书凭证;
系统验证模块:用于通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
本申请实施例采取的又一技术方案为:一种终端,所述终端包括处理器、与所述处理器耦接的存储器,其中,
所述存储器存储有用于实现所述跨域安全交互方法的程序指令;
所述处理器用于执行所述存储器存储的所述程序指令以控制跨域安全交互。
本申请实施例采取的又一技术方案为:一种存储介质,存储有处理器可运行的程序指令,所述程序指令用于执行所述跨域安全交互方法。
相对于现有技术,本申请实施例产生的有益效果在于:本申请实施例的跨域安全交互方法、系统、终端以及存储介质通过建立一个可信的第三方代理认证中心,通过该第三方代理认证中心为不同系统和系统下的设备构建统一的身份标识,利用数字证书对不同系统在物联网环境下的跨域身份进行验证,实现异构系统之间一对多的跨域身份验证;并在身份验证成功之后在被请求访问的系统的数据域中划分出可支持读写操作的数据共享域,实现不同域间安全互操作的同时,保证了某些不可被修改访问的数据域的安全性,且避免了资源的浪费。本发明在跨域访问过程中采用基于属性证书加密算法的数据传输方式,提高了访问效率和跨域访问控制的安全性。
附图说明
图1是本申请第一实施例的跨域安全交互方法的流程图;
图2是本申请第二实施例的跨域安全交互方法的流程图;
图3为本申请实施例的属性证书示意图;
图4为本申请实施例的跨域安全交互系统结构示意图;
图5为本申请实施例的终端结构示意图;
图6为本申请实施例的存储介质的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
请参阅图1,是本申请第一实施例的跨域安全交互方法的流程图。本申请第一实施例的跨域安全交互方法包括以下步骤:
S100:构建第三方代理认证中心,通过第三方代理认证中心向支持跨域访问的系统签发数字证书,并向系统下的设备签发背书凭证;
其中,第三方代理认证中心包括数字认证中心、属性映射中心以及数据操作记录缓存中心,具有所有支持跨域访问的系统的信息,并具有私钥生成功能,用于协助系统与系统下的设备之间进行密钥协商。通过第三方代理认证中心为不同的系统和系统下的设备构建统一的身份标识,实现异构身份系统之间一对多的跨域认证。
S110:通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;
其中,属性证书中包括设备的身份信息、密钥信息,唯一的证书序列号、证书的有效使用期限、属性的相关信息、使用域、签发单位、签发单位的公钥信息以及证书类型等信息。访问请求具体包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证等信息。
S120:通过第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互;
其中,如果验证通过,表示请求访问的系统可信任,则在被请求访问的系统的数据域中开辟支持读写操作的数据共享域,该数据共享域可支持源域系统的设备进行数据读写等修改操作,在能够支持源域系统修改操作的同时,保障了目标域系统的隐秘性。
请参阅图2,是本申请第二实施例的跨域安全交互方法的流程图。本申请第二实施例的跨域安全交互方法包括以下步骤:
S200:构建第三方代理认证中心;
本步骤中,通过在第三方系统或者云服务器中建立一个被不同系统信任的认证中心,不同的系统接入该认证中心,通过设备在系统中进行注册并登录所注册的系统。第三方代理认证中心包括数字认证中心、属性映射中心以及数据操作记录缓存中心,具有所有支持跨域访问的系统的信息,并具有私钥生成功能,用于协助系统与系统下的设备之间进行密钥协商。通过第三方代理认证中心为不同的系统和系统下的设备构建统一的身份标识,实现异构身份系统之间一对多的跨域认证。
S210:通过第三方代理认证中心识别请求接入该认证中心的系统信息,并向支持跨域访问的系统签发数字证书;
本步骤中,数字证书用于验证是否支持具有背书凭证的系统访问。
S220:通过第三方代理认证中心接收支持跨域访问的系统下的设备发送的注册请求,并对注册请求进行解析后,根据不同系统的认证方式向对应的设备签发背书凭证;
具体的,背书凭证是数字证书的一种,系统下的每个设备只需要在第三方代理认证中心中注册一次即可凭签发的背书凭证直接访问支持代理的其他系统,不会因为跨域访问而给设备造成额外的负担。第三方代理认证中心向设备签发背书凭证的过程具体包括:解析设备的注册请求,验证设备身份信息以及注册请求是否合法,如何合法,则查询设备期待访问的目标域系统信息,并生成一对密钥,根据密钥和设备身份信息生成背书凭证;然后,使用第三方代理认证中心签发的数字证书中的密钥对背书凭证进行数字签名;最后,将背书凭证、数字签名以及私钥发送给设备,同时将背书凭证签发记录写入到第三方代理认证中心的数据操作记录缓存中心。其中,背书凭证中包括设备的唯一身份标识、凭证出具系统的标识、凭证出具系统的名称、凭证出具系统的认证方式、设备认证结果、凭证有效时间以及时间戳、凭证出具的数字签名、期待访问的目标域系统标识、目标域内被请求访问的系统支持的属性操作以及与设备加密通信的密钥等信息。
S230:通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,源域内请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;
本步骤中,如图3所示,为本申请实施例的属性证书示意图。属性证书由第三方代理认证中心里的属性映射中心和用户密钥生成,用户密钥是指不同系统访问的对应密钥,即不同系统的识别号。属性映射中心使用混合加密的方式将密钥和属性访问权限进行加密后再放到链路上进行传输,保证在属性证书生成过程中的安全传输。属性证书中包括设备的身份信息、密钥信息,唯一的证书序列号、证书的有效使用期限、属性的相关信息、使用域、签发单位、签发单位的公钥信息以及证书类型等信息。访问请求具体包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证等信息。
本申请实施例中,属性映射方法具体包括:
S231:构造属性表存储模块;属性表存储模块用于存储域与域之间的属性转换关系,属性表存储模块采用哈希表的索引结构,便于提取被请求访问的系统支持的相应属性。
S232:构造属性映射表;属性映射表是一个二维矩阵,第一列和第一行分别记录了源域和目标域中的所有属性;表中的数字记录了属性间的相互映射关系;其中1表示完全映射,0表示不能映射,介于0、1之间的数字表示部分映射。
S233:在属性映射服务模块构造缓冲区,通过缓冲区存储常用域间的属性映射表;由于在多域环境中,进行跨域访问控制的往往是固定的几个常用域,因此,在属性映射服务模块构造一个缓冲区,通过该缓冲区存储常用域间的属性映射表,便于在进行属性映射时先在该缓冲区中寻找常用域的属性映射表。
S234:利用属性映射表对属性证书进行属性映射,如果属性映射表对应可完全映射,则代表支持跨域访问以及同步修改操作;如果属性映射表对应不能映射,则代表不能进行跨域访问;如果属性映射表部分映射,则代表可进行跨域访问但不能进行修改操作;其中,本申请实施例在属性证书上加入属性映射的操作,在实现跨域系统身份验证的同时,保障了数据的安全,并且在一定程度上减少了数据读取的难度。属性映射的方法可以适用于多个控制域环境,提升了整个数据网络处理数据的性能。
通过上述操作,拥有属性证书的源域系统可以直接利用属性证书向目标域系统请求进行数据访问,并通过数据解密的方式获得明文,提高了访问效率和跨域访问控制的安全性。
S240:通过目标域内被请求访问的系统对访问请求和属性证书进行解析,通过第三方代理认证中心根据解析后的访问请求和属性证书验证请求访问的系统是否可信任,并将验证结果返回至目标域的被请求访问的系统;
本步骤中,对访问请求和属性证书的解析过程具体包括:首先被请求访问的系统对访问请求进行解析,查看访问请求的时间戳和请求内容;然后通过第三方代理认证中心查询背书凭证签发方的信息,验证数字签名,并验证背书凭证是否完整;最后检查背书凭证的有效期以及签发方状态,验证访问请求是否合规,并查看背书凭证签发方是否在本域的信任列表中。
S250:根据第三方代理认证中心返回的验证结果在被请求访问的系统的数据域中开辟数据共享域,建立源域系统与目标域系统的安全连接以及数据共享操作;
本步骤中,目标域系统基于自身系统的安全性考虑根据第三方代理认证中心返回的验证结果开辟数据共享域,该数据共享域可支持源域系统的设备进行数据读写等修改操作,并将操作记录传输至第三方代理认证中心进行维护,在能够支持源域系统修改操作的同时,保障了目标域系统的隐秘性,实现了跨域访问的安全交互,解决现有技术中跨域操作难以实现以及跨域操作被请求访问的系统安全性较低的技术缺陷。其中数据共享域由第三方代理认证中心向目标域指明。
基于上述,本申请实施例的跨域安全交互方法通过建立一个可信的第三方代理认证中心,通过该第三方代理认证中心为不同系统和系统下的设备构建统一的身份标识,利用数字证书对不同系统在物联网环境下的跨域身份进行验证,实现异构系统之间一对多的跨域身份验证;并在身份验证成功之后在被请求访问的系统的数据域中划分出可支持读写操作的数据共享域,实现不同域间安全互操作的同时,保证了某些不可被修改访问的数据域的安全性,且避免了资源的浪费。本发明在跨域访问过程中采用基于属性证书加密算法的数据传输方式,提高了访问效率和跨域访问控制的安全性。
请参阅图4,为本申请实施例的跨域安全交互系统结构示意图。本申请实施例的跨域安全交互系统40包括:
认证中心构建模块41:用于构建第三方代理认证中心,通过第三方代理认证中心向支持跨域访问的系统签发数字证书,并向系统下的设备签发背书凭证;
请求发送模块42:用于通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;访问请求中包括背书凭证;
系统验证模块43:用于通过第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
请参阅图5,为本申请实施例的终端结构示意图。该终端50包括处理器51、与处理器51耦接的存储器52。
存储器52存储有用于实现上述跨域安全交互方法的程序指令。
处理器51用于执行存储器52存储的程序指令以控制跨域安全交互。
其中,处理器51还可以称为CPU(Central Processing Unit,中央处理单元)。处理器51可能是一种集成电路芯片,具有信号的处理能力。处理器51还可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
请参阅图6,为本申请实施例的存储介质的结构示意图。本申请实施例的存储介质存储有能够实现上述所有方法的程序文件61,其中,该程序文件61可以以软件产品的形式存储在上述存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施方式方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,或者是计算机、服务器、手机、平板等终端设备。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本申请中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本申请所示的这些实施例,而是要符合与本申请所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种跨域安全交互方法,其特征在于,包括:
构建第三方代理认证中心,通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证;
通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;所述访问请求中包括背书凭证;
通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
2.根据权利要求1所述的跨域安全交互方法,其特征在于,所述向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证具体为:
识别请求接入所述第三方代理认证中心的系统信息,向支持跨域访问的系统签发数字证书;
接收所述系统下的设备发送的注册请求,并对所述注册请求进行解析后,根据所述系统的认证方式向所述设备签发背书凭证。
3.根据权利要求2所述的跨域安全交互方法,其特征在于,所述向设备签发背书凭证具体包括:
解析所述设备的注册请求,验证设备的用户身份信息以及注册请求是否合法,如何合法,查询所述设备期待访问的目标域信息,并生成一对密钥,根据所述密钥和用户身份信息生成背书凭证;
使用所述数字证书中的密钥对背书凭证进行数字签名;
将所述背书凭证、数字签名以及私钥签发给设备,并将所述背书凭证签发记录写入到第三方代理认证中心;
所述背书凭证中包括设备的唯一身份标识、凭证出具系统的标识、凭证出具系统的名称、凭证出具系统的认证方式、设备认证结果、凭证有效时间以及时间戳、数字签名、期待访问的目标域系统标识、目标域内被请求访问的系统支持的属性操作以及与设备加密通信的密钥。
4.根据权利要求1至3任一项所述的跨域安全交互方法,其特征在于,所述属性证书中包括设备的身份信息、密钥信息,唯一的证书序列号、证书的有效使用期限、属性信息、使用域、签发单位、签发单位的公钥信息以及证书类型;
所述访问请求中包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证。
5.根据权利要求4所述的跨域安全交互方法,其特征在于,所述通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书具体包括:
构造属性表存储模块,所述属性表存储模块用于存储域与域之间的属性转换关系;
构造属性映射表,所述属性映射表用于记录源域和目标域的所有属性,以及属性间的相互映射关系;
在属性映射服务模块构造缓冲区,通过所述缓冲区存储常用域间的属性映射表;
利用所述属性映射表对属性证书进行属性映射,如果属性映射表对应可完全映射,则代表支持跨域访问以及同步修改操作;如果属性映射表对应不能映射,则代表不能进行跨域访问;如果属性映射表部分映射,则代表可进行跨域访问但不能进行修改操作。
6.根据权利要求5所述的跨域安全交互方法,其特征在于,所述通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证还包括:
通过所述目标域内被请求访问的系统对所述访问请求和属性证书进行解析;所述解析过程包括:
对所述访问请求进行解析,查看所述访问请求的时间戳和请求内容;
通过所述第三方代理认证中心查询背书凭证签发方的信息,验证数字签名,并验证所述背书凭证是否完整;
检查所述背书凭证的有效期以及签发方状态,验证所述访问请求是否合规,并查看所述背书凭证签发方是否在本域的信任列表中。
7.根据权利要求6所述的跨域安全交互方法,其特征在于,所述如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互具体包括:
在所述目标域内被请求访问的系统的数据域中开辟可支持读写操作的数据共享域,所述数据共享域支持源域内请求访问的系统下的设备进行同步修改操作;
所述数据共享域由第三方代理认证中心向目标域指明。
8.一种跨域安全交互系统,其特征在于,包括:
认证中心构建模块:用于构建第三方代理认证中心,通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书,并向所述系统下的设备签发背书凭证;
请求发送模块:用于通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书,所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求;所述访问请求中包括背书凭证;
系统验证模块:用于通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证,如果验证通过,建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
9.一种终端,其特征在于,所述终端包括处理器、与所述处理器耦接的存储器,其中,
所述存储器存储有用于实现权利要求1-7任一项所述的跨域安全交互方法的程序指令;
所述处理器用于执行所述存储器存储的所述程序指令以控制跨域安全交互。
10.一种存储介质,其特征在于,存储有处理器可运行的程序指令,所述程序指令用于执行权利要求1至7任一项所述跨域安全交互方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110880949.5A CN113612770A (zh) | 2021-08-02 | 2021-08-02 | 一种跨域安全交互方法、系统、终端以及存储介质 |
| PCT/CN2021/112257 WO2023010608A1 (zh) | 2021-08-02 | 2021-08-12 | 一种跨域安全交互方法、系统、终端以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110880949.5A CN113612770A (zh) | 2021-08-02 | 2021-08-02 | 一种跨域安全交互方法、系统、终端以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113612770A true CN113612770A (zh) | 2021-11-05 |
Family
ID=78306481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110880949.5A Pending CN113612770A (zh) | 2021-08-02 | 2021-08-02 | 一种跨域安全交互方法、系统、终端以及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113612770A (zh) |
| WO (1) | WO2023010608A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157503A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 访问请求的认证方法及装置、api网关设备、存储介质 |
| CN114205132A (zh) * | 2021-12-02 | 2022-03-18 | 北京八分量信息科技有限公司 | 异构网络中接入认证方法、装置及相关产品 |
| CN114221796A (zh) * | 2021-12-02 | 2022-03-22 | 北京八分量信息科技有限公司 | 异构网络中匿名性身份认证方法、装置及相关产品 |
| WO2023202461A1 (zh) * | 2022-04-20 | 2023-10-26 | 京东方科技集团股份有限公司 | 控制跨域设备的方法、控制终端、服务器及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657156A (zh) * | 2017-02-08 | 2017-05-10 | 济南浪潮高新科技投资发展有限公司 | 一种基于跨域身份认证的云计算接入方法 |
| CN109257364A (zh) * | 2018-10-12 | 2019-01-22 | 成都信息工程大学 | 一种基于云平台的多核网状式多级跨域访问控制方法 |
| CN110166444A (zh) * | 2019-05-05 | 2019-08-23 | 桂林电子科技大学 | 一种云环境下基于可信代理的异构跨域认证方法 |
| US20190386994A1 (en) * | 2018-06-13 | 2019-12-19 | International Business Machines Corporation | Cross domain registration and authorization |
| CN111447187A (zh) * | 2020-03-19 | 2020-07-24 | 重庆邮电大学 | 一种异构物联网的跨域认证方法 |
| CN112532591A (zh) * | 2020-11-06 | 2021-03-19 | 西安电子科技大学 | 跨域访问控制方法、系统、存储介质、计算机设备及终端 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399671B (zh) * | 2008-11-18 | 2011-02-02 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN103067338B (zh) * | 2011-10-20 | 2017-04-19 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
-
2021
- 2021-08-02 CN CN202110880949.5A patent/CN113612770A/zh active Pending
- 2021-08-12 WO PCT/CN2021/112257 patent/WO2023010608A1/zh unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106657156A (zh) * | 2017-02-08 | 2017-05-10 | 济南浪潮高新科技投资发展有限公司 | 一种基于跨域身份认证的云计算接入方法 |
| US20190386994A1 (en) * | 2018-06-13 | 2019-12-19 | International Business Machines Corporation | Cross domain registration and authorization |
| CN109257364A (zh) * | 2018-10-12 | 2019-01-22 | 成都信息工程大学 | 一种基于云平台的多核网状式多级跨域访问控制方法 |
| CN110166444A (zh) * | 2019-05-05 | 2019-08-23 | 桂林电子科技大学 | 一种云环境下基于可信代理的异构跨域认证方法 |
| CN111447187A (zh) * | 2020-03-19 | 2020-07-24 | 重庆邮电大学 | 一种异构物联网的跨域认证方法 |
| CN112532591A (zh) * | 2020-11-06 | 2021-03-19 | 西安电子科技大学 | 跨域访问控制方法、系统、存储介质、计算机设备及终端 |
Non-Patent Citations (2)
| Title |
|---|
| 单云江: "基于属性证书的跨域访问技术设计与实现", 《数字通信》 * |
| 闫鲁生等: "基于SOA的跨域访问控制研究", 《信息安全与通信保密》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205132A (zh) * | 2021-12-02 | 2022-03-18 | 北京八分量信息科技有限公司 | 异构网络中接入认证方法、装置及相关产品 |
| CN114221796A (zh) * | 2021-12-02 | 2022-03-22 | 北京八分量信息科技有限公司 | 异构网络中匿名性身份认证方法、装置及相关产品 |
| CN114157503A (zh) * | 2021-12-08 | 2022-03-08 | 北京天融信网络安全技术有限公司 | 访问请求的认证方法及装置、api网关设备、存储介质 |
| WO2023202461A1 (zh) * | 2022-04-20 | 2023-10-26 | 京东方科技集团股份有限公司 | 控制跨域设备的方法、控制终端、服务器及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023010608A1 (zh) | 2023-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11159307B2 (en) | Ad-hoc trusted groups on a blockchain | |
| WO2020143470A1 (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| US20210319132A1 (en) | Methods and Devices For Managing User Identity Authentication Data | |
| WO2020062668A1 (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| US7397922B2 (en) | Group security | |
| US20200084045A1 (en) | Establishing provenance of digital assets using blockchain system | |
| CN113612770A (zh) | 一种跨域安全交互方法、系统、终端以及存储介质 | |
| US11829502B2 (en) | Data sharing via distributed ledgers | |
| US20230014599A1 (en) | Data processing method and apparatus for blockchain system | |
| CN111478769A (zh) | 一种分布式可信身份认证方法、系统、存储介质、终端 | |
| JP7421771B2 (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
| CN109981287B (zh) | 一种代码签名方法及其存储介质 | |
| JP2009534940A (ja) | ピアツーピアコンタクト情報交換 | |
| WO2014207554A2 (en) | Method and apparatus for providing database access authorization | |
| US11757640B2 (en) | Non-fungible token authentication | |
| CN113271311B (zh) | 一种跨链网络中的数字身份管理方法及系统 | |
| US11757877B1 (en) | Decentralized application authentication | |
| CN113094334B (zh) | 基于分布式存储的数字服务方法、装置、设备及储存介质 | |
| TWI812366B (zh) | 一種資料共用方法、裝置、設備及存儲介質 | |
| EP3817320A1 (en) | Blockchain-based system for issuing and validating certificates | |
| WO2022033350A1 (zh) | 注册服务的方法及设备 | |
| JP2005137011A (ja) | 秘密認証データの知識を必要としないチャレンジ−ベースの認証 | |
| US20240039707A1 (en) | Mobile authenticator for performing a role in user authentication | |
| CN117157623A (zh) | 结合容器化应用程序使用时保护秘密的系统和方法 | |
| CN111292082B (zh) | 一种块链式账本中的公钥管理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211105 |
|
| RJ01 | Rejection of invention patent application after publication |