CN115348035A - 访问请求的处理方法及装置、存储介质、电子设备 - Google Patents

访问请求的处理方法及装置、存储介质、电子设备 Download PDF

Info

Publication number
CN115348035A
CN115348035A CN202210989295.4A CN202210989295A CN115348035A CN 115348035 A CN115348035 A CN 115348035A CN 202210989295 A CN202210989295 A CN 202210989295A CN 115348035 A CN115348035 A CN 115348035A
Authority
CN
China
Prior art keywords
access
token
context
terminal equipment
context attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210989295.4A
Other languages
English (en)
Inventor
徐帅健妮
闵婕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210989295.4A priority Critical patent/CN115348035A/zh
Publication of CN115348035A publication Critical patent/CN115348035A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本公开是关于一种访问请求的处理方法及装置、存储介质、电子设备,涉及网络技术与安全技术领域,该方法包括:接收终端设备发送的初始访问请求,并根据初始访问请求中包括的上下文属性信息,生成终端设备的上下文属性访问结构树;根据上下文属性访问结构树生成终端设备的上下文令牌密文;接收终端设备在对上下文令牌密文进行解密后得到的访问令牌,并在确定访问令牌为有效令牌时,根据访问令牌生成具有时间戳的访问许可凭证;接收终端设备发送的包括访问许可凭证的目标访问请求,并在确定目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许访问请求对数据进行访问。本公开提高了零信任安全架构系统的安全性。

Description

访问请求的处理方法及装置、存储介质、电子设备
技术领域
本公开实施例涉及网络技术与安全技术领域,具体而言,涉及一种访问请求的处理方法、访问请求的处理装置、计算机可读存储介质以及电子设备。
背景技术
现有的对访问请求的处理方法中,是通过如下方式实现的:首先,定义用于不同认证级别的认证机制;其次,关联不同的上下文与不同的认证级别;然后,自适应授权模块要求对应的授权机制;最后,利用所要求的认证机制授权用户。但是,该方法并未考虑到终端设备的上下文属性信息,进而使得系统的安全性较低。
需要说明的是,在上述背景技术部分发明的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种访问请求的处理方法、访问请求的处理装置、计算机可读存储介质以及电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的系统的安全性较低的问题。
根据本公开的一个方面,提供一种访问请求的处理方法,包括:
接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;
根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;
接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;
接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
在本公开的一种示例性实施例中,根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树,包括:
对所述初始访问请求进行解析,得到所述初始访问请求中包括的终端设备的上下文属性信息;其中,所述终端设备的上下文属性信息包括用户行为信息、设备属性信息、访问时间以及设备位置信息中的一种或多种;
根据所述上下文属性信息确定所述终端设备的用户预期行为模式,并根据所述用户预期行为模式,确定所述终端设备所需要的当前认证级别;
获取与所述当前认证级别对应的认证条件以及所述认证条件之间的逻辑关系,并基于所述认证条件、逻辑关系以及所述上下文属性信息,生成所述上下文属性访问结构树。
在本公开的一种示例性实施例中,所述访问请求的处理方法还包括:
获取预设的安全参数以及公共参数,并确定所述预设的安全参数所具有的字符长度以及与所述公共参数对应的密码取值区间;
随机的从所述密码取值区间中获取具有所述字符长度的数值,并根据所述获取到的数值生成所述终端设备的主密钥以及私钥;
将所述私钥发送至所述终端设备,以使得所述终端设备通过所述私钥对上下文令牌密文进行解密。
在本公开的一种示例性实施例中,根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,包括:
通过所述主密钥对所述上下文属性访问结构树以及所述当前认证级别进行加密,得到所述终端设备的上下文令牌密文。
在本公开的一种示例性实施例中,所述访问令牌是通过如下方式得到的:
所述终端设备通过私钥对所述上下文令牌密文进行解密,得到所述当前认证级别以及上下文属性访问结构树,并从上下文属性集合中获取所述当前认证级别对应的上下文属性子集;
所述终端设备对所述上下文属性子集以及所述上下文属性访问结构树进行匹配,并在所述上下文属性子集以及上下文属性访问结构树匹配成功时,得到具有所述当前认证级别的访问令牌。
在本公开的一种示例性实施例中,所述访问请求的处理方法还包括:
判断所述上下文属性集合中包括的上下文属性子集是否存在更新;
在确定任一上下文属性子集存在更新时,判断更新后的上下文属性子集与上下文属性访问结构树是否匹配;
若更新后的上下文属性子集与上下文属性访问结构树不匹配,则确定与所述上下文属性访问结构树对应的上下文令牌密文以及访问许可凭证失效,并向与所述上下文属性访问结构树对应的终端设备发送提示消息。
在本公开的一种示例性实施例中,在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证,包括:
在预设的上下文令牌集中匹配与所述访问令牌对应的目标令牌,并在确定所述上下文令牌集中存在于所述访问令牌对应的目标令牌后,确定所述访问令牌为有效令牌;
在确定所述访问令牌为有效令牌时,根据当前时间节点确定时间戳,并根据所述时间戳以及所述访问令牌,生成具有时间戳的访问许可凭证。
根据本公开的一个方面,提供一种访问请求的处理装置,包括:
上下文属性访问结构树生成模块,用于接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;
上下文令牌密文生成模块,用于根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;
访问许可凭证生成模块,用于接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;
数据访问模块,用于接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的访问请求的处理方法。
根据本公开的一个方面,提供一种电子设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的访问请求的处理方法。
本公开实施例提供的一种访问请求的处理方法,一方面,由于可以根据初始访问请求中包括的上下文属性信息,生成终端设备的上下文属性访问结构树;然后根据上下文属性访问结构树生成终端设备的上下文令牌密文,并将上下文令牌密文发送至终端设备;进而接收终端设备在对上下文令牌密文进行解密后得到的访问令牌,并在确定访问令牌为有效令牌时,根据访问令牌生成具有时间戳的访问许可凭证;最后再接收终端设备发送的包括访问许可凭证的目标访问请求,并在确定目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许访问请求对数据进行访问,解决了现有技术中由于未考虑到终端设备的上下文属性信息,进而使得系统的安全性较低的问题,提高了系统的安全性;另一方面,由于在向终端设备发送上下文令牌时,是以密文的形式发送的,进而保证了上下文属性信息的隐私性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出根据本公开示例实施例的一种访问请求的处理方法的流程图。
图2示意性示出根据本公开示例实施例的一种访问请求的处理系统的架构图。
图3示意性示出根据本公开示例实施例的一种零信任安全架构系统的框图。
图4示意性示出根据本公开示例实施例的一种根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树的方法流程图。
图5示意性示出根据本公开示例实施例的一种上下文属性访问结构树的示例图。
图6示意性示出根据本公开示例实施例的另一种上下文属性访问结构树的示例图。
图7示意性示出根据本公开示例实施例的一种上下文属性更新的方法流程图。
图8示意性示出根据本公开示例实施例的一种多端交互的访问请求的处理方法的流程图。
图9示意性示出根据本公开示例实施例的一种访问请求的处理装置的框图。
图10示意性示出根据本公开示例实施例的一种用于实现上述访问请求的处理方法的电子设备。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了一种访问请求的处理方法,该方法可以运行于网络管理侧的服务器、服务器集群或云服务器等;当然,本领域技术人员也可以根据需求在其他平台运行本公开的方法,本示例性实施例中对此不做特殊限定。具体的,参考图1所示,该访问请求的处理方法可以包括以下步骤:
步骤S110.接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;
步骤S120.根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;
步骤S130.接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;
步骤S140.接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
上述访问请求的处理方法中,一方面,由于可以根据初始访问请求中包括的上下文属性信息,生成终端设备的上下文属性访问结构树;然后根据上下文属性访问结构树生成终端设备的上下文令牌密文,并将上下文令牌密文发送至终端设备;进而接收终端设备在对上下文令牌密文进行解密后得到的访问令牌,并在确定访问令牌为有效令牌时,根据访问令牌生成具有时间戳的访问许可凭证;最后再接收终端设备发送的包括访问许可凭证的目标访问请求,并在确定目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许访问请求对数据进行访问,解决了现有技术中由于未考虑到终端设备的上下文属性信息,进而使得系统的安全性较低的问题,提高了系统的安全性;另一方面,由于在向终端设备发送上下文令牌时,是以密文的形式发送的,进而保证了上下文属性信息的隐私性。
以下,将结合附图对本公开示例实施例访问请求的处理方法进行详细的解释以及说明。
首先,对本公开示例实施例中所涉及到的名词进行解释以及说明。
属性基加密:属性基加密的思想是让密文和密钥与属性集合和访问结构产生关联,当且仅当属性集合满足访问结构的时候,方能解密成功;那么,根据这其中两两的对应关系,又可以将属性基加密分为两类:一类是,密钥策略属性基加密(KP-ABE,Key PolicyAttribute-Based Encryption);另一类是,密文策略属性基加密(CP-ABE,CiphertextPolicy Attribute-Based Encryption)。其中:
KP-ABE,是指用户的密钥中蕴含访问结构(访问策略),密文中对应着一系列属性集合,当且仅当密文的属性集合满足用户密钥的访问结构时,用户才能解密成功;CP-ABE,是指用户的密钥对应着一系列属性的集合,密文中蕴含着访问结构(策略),当且仅当用户的属性集合满足密文的访问结构时,用户才能解密成功。在具体的应用过程中,ABE中的CP-ABE中数据拥有者(加密明文得到密文的人)可以根据自己的需求,定义合适的访问结构,让他所期待的一群用户能够解密;而ABE采用主密钥+属性密钥的形式,是为了方便加密的外包以及撤销;当然,撤销是为了设置有效期,实现更完善的访问控制。
本公开示例实施例所记载的访问请求的处理方法,利用密文策略属性基(CP-ABE)加密,构造访问上下文属性访问结构树,对于不同的上下文属性,可定义更加具有细粒度的任意数量的认证级别,以充分应对当前零信任安全架构下,云上安全环境中各种复杂的情况。
其次,对本公开示例实施例的所记载的访问请求的处理方法所具有的应用场景进行解释以及说明。具体的,在零信任安全架构中,当用户需要访问云服务器上的信息时,自适应身份验证可以向被识别并以预期行为模式表现的用户请求更少的信息;同时,当情况表明存在更大的安全风险时,它只会偶尔向用户询问更多信息,这意味着对用户的干扰更少,进入门槛更低,安全性更高;在此场景下,自适应身份验证允许系统根据上下文信息(例如用户行为、设备信息、访问时间、位置和其他属性)动态调整用户身份验证策略。
本公开示例实施例所记载的访问请求的处理方法,旨在面向零信任安全架构,针对性的构造了一个基于属性基加密的自适应认证方法,设计了完整认证流程,明确了流程中算法涉及的实体。利用本公开示例实施例所记载的访问请求的处理方法,一方面,为访问非敏感信息的客户、合作伙伴和员工创造较低的进入门槛和更少的中断,并为请求访问敏感网关的客户、合作伙伴和员工创造了高安全性的自适应多因素身份验证;另一方面,还可以为安全和运维人员提供更轻松的部署和维护。
进一步的,对本公开示例实施例所记载的访问请求的处理系统进行解释以及说明。具体的,参考图2所示,该访问请求的处理系统可以包括终端设备210以及零信任安全架构系统220;其中,终端设备可以通过有线或者无线的方式与零信任安全架构系统网络连接;同时,终端设备也即用户侧(User),用户侧可以是对云服务器上存储的信息提出访问请求的客户、合作伙伴和员工等,其可以用于向零信任安全架构系统发送访问请求;同时,终端设备可以根据其自身情况,拥有对应的上下文属性子集;零信任安全架构系统可以用于实现本公开示例实施例所记载的访问请求的处理方法。
进一步的,参考图3所示,上述零信任安全架构系统可以包括如下实体:密钥生成中心(Key Generation Center,KGC)301、上下文管理器(Context Manager,CM)302、认证服务器(Authentication Server,AS)303、云服务器(Cloud Server,CS)304。其中,密钥生成中心(KGC),可以用于负责系统的初始化、公共参数生成和用户密钥分配;上下文管理器(CM),可以用于负责动态上下文变化的控制;也即,当用户发出访问请求或被检测到上下文发生变化时,验证用户的上下文并生成访问令牌;认证服务器(AS),也可以称为认证中心,主要负责管理对云服务器的远程访问控制;云服务器(CS),主要负责存储用户感兴趣的数据信息。
以下,将结合图2以及图3对图1中所示出的访问请求的处理方法进行详细的解释以及说明。具体的:
在步骤S110中,接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树。
在本示例实施例中,在接收终端设备发送的初始访问请求之前,首先需要对零信任安全架构系统进行系统初始化处理;其中,在系统初始化处理的过程中,需要执行以下流程:首先,以预设的安全参数k以及密钥生成中心所生成的公共参数pp(publicparameters)为输入,生成主密钥(Master Stage Key,MSK)以及私钥(Stage Key,SK);然后,将主密钥分发给系统中的所有实体,私钥发送给用户(也即终端设备);其中,此处所记载的主密钥,也可以被称为是主阶段密钥,主密钥与私钥是一对密钥,私钥可以用于对通过主密钥加密后的上下文令牌密文进行解密。
其次,当零信任安全架构系统初始化完成以后,即可接收终端设备发送的初始访问请求。此处需要补充说明的是,此处所记载的初始访问请求中,是指没有包括访问令牌的访问请求,在终端设备对应用程序进行访问的过程中,首先需要发送一个初始访问请求,向零信任安全架构系统请求一个访问令牌,然后携带该访问令牌进行访问。此外,在零信任安全架构系统初始化的过程中,上下文管理器还可以通过采集大量的终端设备的上下文属性,进而根据该上下文属性确定该终端设备对应的用户预期行为模式,同时定义上下文属性集S、上下文属性访问结构树Γ、多个(例如c个)认证级别{kl}l∈[1,c]和上下文令牌集M={ml}l∈[1,c]等等。
进一步的,当接收到终端设备发送的初始访问请求以后,即可根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树。具体的,参考图4所示,上下文属性访问结构树的具体生成过程可以包括以下步骤:
步骤S410,对所述初始访问请求进行解析,得到所述初始访问请求中包括的终端设备的上下文属性信息;其中,所述终端设备的上下文属性信息包括用户行为信息、设备属性信息、访问时间以及设备位置信息中的一种或多种;
步骤S420,根据所述上下文属性信息确定所述终端设备的用户预期行为模式,并根据所述用户预期行为模式,确定所述终端设备所需要的当前认证级别;
步骤S430,获取与所述当前认证级别对应的认证条件以及所述认证条件之间的逻辑关系,并基于所述认证条件、逻辑关系以及所述上下文属性信息,生成所述上下文属性访问结构树。
以下,将对步骤S410-步骤S430进行解释以及说明。
具体的,首先,对所述初始访问请求进行解析,进而得到上下文属性信息;其中,该属性信息可以包括用户行为信息、设备属性信息、访问时间以及设备位置信息等等;在实际应用中,用户行为信息可以根据初始访问请求中的报文数据中所包括的目的地址(Destination ID)得知,设备属性信息可以包括设备序列号、设备型号或者设备类型等等,访问时间可以是该初始访问请求的发送时间,也可以是需要具体访问的预期访问时间,本示例对此不做特殊限制,设备文职信息可以根据报文数据中包括的源地址地址(SourceID)得到;
其次,当得到上下文属性信息以后,即可根据该上下文属性信息确定终端设备的用户预期行为模式。此处需要补充说明的是,为了提高所得到的用户预期行为模式的准确率,还可以根据设备属性信息中包括的设备标识(设备序列号或者设备型号),获取与该终端设备对应的历史访问请求中包括的历史上下文属性信息,进而基于该历史上下文属性信息确定用户预期行为模式。在用户预期行为模式的确定过程中,可以基于预设的用户行为预期模型来实现,也即,可以将上下文属性信息输入至预设的用户行为预期模型中,进而得到用户预期行为模式;其中,此处所记载的用户行为预期模型,可以包括卷积神经网络模型、循环神经网络模型、深度神经网络模型以及决策树模型等等,本示例对此不做特殊限制;
进一步的,当得到用户预期行为模式以后,即可根据该用户预期行为模式确定该终端设备所需要的当前认证级别;其中,该用户预期行为模式可以包括多种不同的模式,也即,访问一些核心程序的模式、访问机密程序的模式、访问私密程序的模式、访问一般程序的模式或者访问禁止程序的模式等等,在确定该用户预期行为模式以后,即可得到对应的当前认证级别,其中,当前认证级别可以与对应的用户预期行为模式一一对应;
最后,当得到当前认证级别以后,即可获取与当前认证级别对应的认证条件以及认证条件之间的逻辑关系,并基于认证条件、逻辑关系以及上下文属性信息,生成上下文属性访问结构树。其中,所生成的上下文属性访问结构树具体可以参考图5以及图6所示。
在一些示例实施例中,在图6所示出的上下文属性访问结构树中,当当前认证级别为一级(一级认证级别对应的用户预期行为模式例如可以是访问机密程序的模式)时,可以得到认证条件为S1、S2、S3、S4以及S5,则具体的逻辑关系为S1&S2&S3&S4&S5;其中,S1、S2、S3、S4以及S5可以是对应的上下文属性信息,也可以是其他条件,本示例对此不做特殊限制,该上下文属性访问结构树的叶子节点记为对应的上下文属性信息的属性值。
在另一些示例实施例中,在图6所示出的上下文属性访问结构树中,当当前认证级别为二级(二级认证级别对应的用户预期行为模式例如可以是访问私密程序的模式)时,可以得到认证条件为S1、S2、S3、S4以及S5,则具体的逻辑关系为(S1&S2)or(S3&S4&S5);其中,S1、S2、S3、S4以及S5可以是对应的上下文属性信息,也可以是其他条件,本示例对此不做特殊限制,该上下文属性访问结构树的叶子节点记为对应的上下文属性信息的属性值。
在步骤S120中,根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备。
在本示例实施例中,在生成终端设备的上下文令牌密文之前,首先需要生成主密钥以及私钥;其中,主密钥以及私钥的具体生成过程,可以通过如下方式实现:首先,获取预设的安全参数以及公共参数,并确定所述预设的安全参数所具有的字符长度以及与所述公共参数对应的密码取值区间;其次,随机的从所述密码取值区间中获取具有所述字符长度的数值,并根据所述获取到的数值生成所述终端设备的主密钥以及私钥;然后,将所述私钥发送至所述终端设备,以使得所述终端设备通过所述私钥对上下文令牌密文进行解密。此处需要补充说明的是,在生成主密钥以及私钥的过程中,预设的安全参数用于指示该主密钥以及私钥的所具有的数值长度(也即需要由多少位数字组成该主密钥以及私钥),公共参数可以用于指示该主密钥以及私钥的取值区间(也即该主密钥以及私钥在取值过程中所需要依赖参考的密码数值表);在此前提下,即可在确定的密码数值表中随机选取对应长度的数值,并生成对应的主密钥以及私钥。
此处需要进一步补充说明的是,在选取主密钥以及私钥的数值的过程中,可以通过随机选取的方式选取,也可以基于一定的规则(比如顺序选取或者间隔数字选取、倒序选取等等)进行选取,本示例对此不做特殊限制;同时,主密钥以及私钥的选取规则可以相同,也可以不同,本示例对此不做特殊限制;当生成主密钥以及私钥以后,可以建立两者的映射关系,进而再将主密钥发送至零信任安全架构系统中包括的实体,并将私钥发送至终端设备(用户User)。
进一步的,当得到主密钥以后,即可根据上下文属性访问结构树生成终端设备的上下文令牌密文;具体的,可以通过如下方式实现:通过所述主密钥对所述上下文属性访问结构树以及所述当前认证级别进行加密,得到所述终端设备的上下文令牌密文。也即,可以以主密钥MSK、上下文属性访问结构树Γ、c个认证级别{kl}l∈[1,c]和上下文令牌集M为输入;当User对CS发起访问请求时,CM为User生成上下文令牌密文;其中,该上下文令牌密文可以CT,具体的:
Figure BDA0003803228680000121
其中,{STi}l是满足认证级别kl的上下文属性子集;当得到上下文令牌密文以后,即可将该上下文令牌密文发送给User。此处需要补充说明的是,通过将包括用户行为、设备信息、访问时间、位置在内的上下文属性作为一组特殊信息嵌入到访问结构中,在为用户提供多级别认证的同时,也保证了用户相关信息的隐私性。
在步骤S130中,接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证。
在本示例实施例中,当终端设备接收到上下文令牌密文以后,可以通过如下方式生成访问令牌:所述终端设备通过私钥对所述上下文令牌密文进行解密,得到所述当前认证级别以及上下文属性访问结构树,并从上下文属性集合中获取所述当前认证级别对应的上下文属性子集;所述终端设备对所述上下文属性子集以及所述上下文属性访问结构树进行匹配,并在所述上下文属性子集以及上下文属性访问结构树匹配成功时,得到具有所述当前认证级别的访问令牌。也即,当终端设备接收到上下文令牌密文以后,即可以利用KGC生成的sk和终端设备所具有的自身的上下文属性子集S对上下文令牌CT进行解密;同时,当且仅当上下文属性子集S与上下文属性访问结构树Γ匹配时,User解密获取对应认证级别kl的访问令牌ml。此处需要补充说明的是,通过利用密文策略属性基加密,构造访问上下文属性访问结构树。对比现有专利,本专利对于不同的上下文属性,可定义更加具有细粒度的任意数量的认证级别,以充分应对当前零信任安全架构下,云上安全环境中各种复杂的情况。
进一步的,当终端设备得到访问令牌以后,即可将该访问令牌发送至零信任安全架构系统,当零信任安全架构系统接收到该访问令牌以后,即可通过认证服务器AS认证该访问令牌有效性;在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证。具体的,可以通过如下方式实现:首先,在预设的上下文令牌集中匹配与所述访问令牌对应的目标令牌,并在确定所述上下文令牌集中存在于所述访问令牌对应的目标令牌后,确定所述访问令牌为有效令牌;其次,在确定所述访问令牌为有效令牌时,根据当前时间节点确定时间戳,并根据所述时间戳以及所述访问令牌,生成具有时间戳的访问许可凭证。也即,如果该访问令牌的有效性认证通过,则返回给User一个带有时间戳的访问许可凭证Tl
在步骤S140中,接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
在本示例实施例中,当终端设备接收到具有时间戳的访问许可凭证以后,即可利用具有时间戳的访问许可凭证Tl生成目标访问请求,并通过目标访问请求对云服务器CS发起访问;进一步的,当云服务器CS接收到访问许可凭证后重定向至认证服务器AS,由认证服务器AS对该访问许可凭证中包括的时间戳的有效性进行认证;同时,如果访问许可凭证仍在时间戳的有效范围内,则允许User对云服务器CS上的数据的访问。
图7示意性示出了根据本公开示例实施例的一种上下文属性更新的方法流程图。具体的,参考图7所示,可以包括以下步骤:
步骤S710,判断所述上下文属性集合中包括的上下文属性子集是否存在更新;
步骤S720,在确定任一上下文属性子集存在更新时,判断更新后的上下文属性子集与上下文属性访问结构树是否匹配;
步骤S730,若更新后的上下文属性子集与上下文属性访问结构树不匹配,则确定与所述上下文属性访问结构树对应的上下文令牌密文以及访问许可凭证失效,并向与所述上下文属性访问结构树对应的终端设备发送提示消息。
以下,将对步骤S710-步骤S730进行解释以及说明。具体的,当检测到User的上下文属性子集S发生变化时,上下文管理器CM将检测当前User的上下文属性子集S是否仍与上下文属性访问结构树Γ匹配;如果匹配,则不进行任何操作;如果不匹配,上下文管理器CM将与认证服务器AS同步状态,使得User当前访问令牌ml和访问许可凭证Tl失效,提示User重新发起对CS的访问请求,并重新生成访问令牌以及访问许可凭证。进而实现对访问令牌以及访问许可凭证的更新。
以下,将结合图8对本公开示例实施例访问请求的处理方法进行进一步的解释以及说明。具体的,参考图8所示,该访问请求的处理方法可以包括以下步骤:
步骤S801,系统初始化:以安全参数为以及密钥生成中心生成的公共参数为输入,生成主密钥和私钥;再将主密钥分发给系统中的所有实体,并将私钥发送给用户;此外,上下文管理器通过采集大量上下文属性,确定用户预期行为模式,定义上下文属性集、上下文属性访问结构树、多个认证级别和上下文令牌集;
步骤S802,上下文令牌密文生成:以主密钥、上下文属性访问结构树、多个认证级别和上下文令牌集为输入;当用户对云服务器发起访问请求时,上下文管理器为用户生成上下文令牌,并发送给用户;
步骤S803,访问令牌获取:以上下文令牌和私钥为输入;具体的,用户利用密钥生成中心生成的私钥和其上下文属性子集对上下文令牌进行解密,当且仅当其上下文属性子集与上下文属性访问结构树匹配时,用户解密获取对应认证级别的访问令牌;
步骤S804,令牌认证:用户将令牌送至认证中心(也即认证服务器),认证中心认证其令牌有效性。如果认证通过,则返回给用户一个带有时间戳的访问许可凭证;
步骤S805,数据访问:用户利用访问许可凭证对云服务器发起访问。云服务器接到访问许可凭证后重定向至认证中心,由认证中心进行认证。如果访问许可凭证仍在时间戳有效范围内,则允许用户对云服务器上数据的访问;
步骤S806,上下文属性更新:当检测到用户的上下文属性子集S发生变化时,上下文管理器将检测当前用户的上下文属性子集S是否仍与上下文属性访问结构树匹;如果匹配,则不进行任何操作;如果不匹配,上下文管理器将与认证中心同步状态,使用户当前令牌和凭证失效,提示用户重新发起对云服务器的访问请求。
至此,本公开示例实施例所记载的访问请求的处理方法已经全部完成。基于前述记载的内容可以得知,本公开示例实施例所记载的访问请求的处理方法,至少具有以下优点:一方面,本公开示例实施例所记载的访问请求的处理方法,将包括用户角色、设备信息、访问时间、位置在内的上下文属性,利用属性基加密技术,作为一组特殊属性嵌入到访问结构中,并生成访问令牌;同时,通过构造访问上下文属性访问结构树,对于不同的上下文属性子集,可定义更加具有细粒度的、任意数量的认证级别,相较于现有方案中认证级别单一(只区分通过与不通过认证)具,意义较大;另一方面,对于用户上下文属性发生变化,但依然满足访问结构的情况,无需更换上下令牌,用户在访问过程中将更少中断;同时,还提供了上下文属性发生变化,且不满足访问结构时的令牌更新流程;进一步的,通过将包括用户行为、设备信息、访问时间、位置在内的上下文属性作为一组特殊信息嵌入到访问结构中,在为用户提供多级别认证的同时,也保证了用户相关信息的隐私性;进一步的,利用密文策略属性基加密,构造访问上下文属性访问结构树;相较于现有方案,本公开对于不同的上下文属性,可定义更加具有细粒度的任意数量的认证级别,以充分应对当前零信任安全架构下,云上安全环境中各种复杂的情况。
本公开示例实施例还提供了一种访问请求的处理装置。具体的,参考图9所示,该反问请求的处理装置可以包括上下文属性访问结构树生成模块910、上下文令牌密文生成模920、访问许可凭证生成模块930以及数据访问模块940。其中:
上下文属性访问结构树生成模块910,可以用于接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;
上下文令牌密文生成模块920,可以用于根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;
访问许可凭证生成模块930,可以用于接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;
数据访问模块940,可以用于接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
在本公开的一种示例性实施例中,根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树,包括:
对所述初始访问请求进行解析,得到所述初始访问请求中包括的终端设备的上下文属性信息;其中,所述终端设备的上下文属性信息包括用户行为信息、设备属性信息、访问时间以及设备位置信息中的一种或多种;
根据所述上下文属性信息确定所述终端设备的用户预期行为模式,并根据所述用户预期行为模式,确定所述终端设备所需要的当前认证级别;
获取与所述当前认证级别对应的认证条件以及所述认证条件之间的逻辑关系,并基于所述认证条件、逻辑关系以及所述上下文属性信息,生成所述上下文属性访问结构树。
在本公开的一种示例性实施例中,所述访问请求的处理装置还包括:
密码取值区间确定模块,可以用于获取预设的安全参数以及公共参数,并确定所述预设的安全参数所具有的字符长度以及与所述公共参数对应的密码取值区间;
主密钥以及私钥生成模块,可以用于随机的从所述密码取值区间中获取具有所述字符长度的数值,并根据所述获取到的数值生成所述终端设备的主密钥以及私钥;
主密钥以及私钥发送模块,可以用于将所述私钥发送至所述终端设备,以使得所述终端设备通过所述私钥对上下文令牌密文进行解密。
在本公开的一种示例性实施例中,根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,包括:
通过所述主密钥对所述上下文属性访问结构树以及所述当前认证级别进行加密,得到所述终端设备的上下文令牌密文。
在本公开的一种示例性实施例中,所述访问令牌是通过如下方式得到的:
所述终端设备通过私钥对所述上下文令牌密文进行解密,得到所述当前认证级别以及上下文属性访问结构树,并从上下文属性集合中获取所述当前认证级别对应的上下文属性子集;
所述终端设备对所述上下文属性子集以及所述上下文属性访问结构树进行匹配,并在所述上下文属性子集以及上下文属性访问结构树匹配成功时,得到具有所述当前认证级别的访问令牌。
在本公开的一种示例性实施例中,所述访问请求的处理装置还包括:
第一判断模块,可以用于判断所述上下文属性集合中包括的上下文属性子集是否存在更新;
第二判断模块,可以用于在确定任一上下文属性子集存在更新时,判断更新后的上下文属性子集与上下文属性访问结构树是否匹配;
提示消息发送模块,可以用于若更新后的上下文属性子集与上下文属性访问结构树不匹配,则确定与所述上下文属性访问结构树对应的上下文令牌密文以及访问许可凭证失效,并向与所述上下文属性访问结构树对应的终端设备发送提示消息。
在本公开的一种示例性实施例中,在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证,包括:
在预设的上下文令牌集中匹配与所述访问令牌对应的目标令牌,并在确定所述上下文令牌集中存在于所述访问令牌对应的目标令牌后,确定所述访问令牌为有效令牌;
在确定所述访问令牌为有效令牌时,根据当前时间节点确定时间戳,并根据所述时间戳以及所述访问令牌,生成具有时间戳的访问许可凭证。
上述访问请求的处理装置中各模块的具体细节已经在对应的访问请求的处理方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图10来描述根据本公开的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于:上述至少一个处理单元1010、上述至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030以及显示单元1040。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1010执行,使得所述处理单元1010执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元1010可以执行如图1中所示的步骤S110:接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;步骤S120:根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;步骤S130:接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;步骤S140:接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
存储单元1020可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202,还可以进一步包括只读存储单元(ROM)10203。
存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204,这样的程序模块10205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1030可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1000也可以与一个或多个外部设备1100(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1000交互的设备通信,和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且,电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器1060通过总线1030与电子设备1000的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1000使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
根据本公开的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里发明的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。

Claims (10)

1.一种访问请求的处理方法,其特征在于,包括:
接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;
根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;
接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;
接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
2.根据权利要求1所述的访问请求的处理方法,其特征在于,根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树,包括:
对所述初始访问请求进行解析,得到所述初始访问请求中包括的终端设备的上下文属性信息;其中,所述终端设备的上下文属性信息包括用户行为信息、设备属性信息、访问时间以及设备位置信息中的一种或多种;
根据所述上下文属性信息确定所述终端设备的用户预期行为模式,并根据所述用户预期行为模式,确定所述终端设备所需要的当前认证级别;
获取与所述当前认证级别对应的认证条件以及所述认证条件之间的逻辑关系,并基于所述认证条件、逻辑关系以及所述上下文属性信息,生成所述上下文属性访问结构树。
3.根据权利要求1所述的访问请求的处理方法,其特征在于,所述访问请求的处理方法还包括:
获取预设的安全参数以及公共参数,并确定所述预设的安全参数所具有的字符长度以及与所述公共参数对应的密码取值区间;
随机的从所述密码取值区间中获取具有所述字符长度的数值,并根据所述获取到的数值生成所述终端设备的主密钥以及私钥;
将所述私钥发送至所述终端设备,以使得所述终端设备通过所述私钥对上下文令牌密文进行解密。
4.根据权利要求2所述的访问请求的处理方法,其特征在于,根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,包括:
通过所述主密钥对所述上下文属性访问结构树以及所述当前认证级别进行加密,得到所述终端设备的上下文令牌密文。
5.根据权利要求1所述的访问请求的处理方法,其特征在于,所述访问令牌是通过如下方式得到的:
所述终端设备通过私钥对所述上下文令牌密文进行解密,得到所述当前认证级别以及上下文属性访问结构树,并从上下文属性集合中获取所述当前认证级别对应的上下文属性子集;
所述终端设备对所述上下文属性子集以及所述上下文属性访问结构树进行匹配,并在所述上下文属性子集以及上下文属性访问结构树匹配成功时,得到具有所述当前认证级别的访问令牌。
6.根据权利要求1所述的访问请求的处理方法,其特征在于,所述访问请求的处理方法还包括:
判断所述上下文属性集合中包括的上下文属性子集是否存在更新;
在确定任一上下文属性子集存在更新时,判断更新后的上下文属性子集与上下文属性访问结构树是否匹配;
若更新后的上下文属性子集与上下文属性访问结构树不匹配,则确定与所述上下文属性访问结构树对应的上下文令牌密文以及访问许可凭证失效,并向与所述上下文属性访问结构树对应的终端设备发送提示消息。
7.根据权利要求1所述的访问请求的处理方法,其特征在于,在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证,包括:
在预设的上下文令牌集中匹配与所述访问令牌对应的目标令牌,并在确定所述上下文令牌集中存在于所述访问令牌对应的目标令牌后,确定所述访问令牌为有效令牌;
在确定所述访问令牌为有效令牌时,根据当前时间节点确定时间戳,并根据所述时间戳以及所述访问令牌,生成具有时间戳的访问许可凭证。
8.一种访问请求的处理装置,其特征在于,包括:
上下文属性访问结构树生成模块,用于接收终端设备发送的初始访问请求,并根据所述初始访问请求中包括的上下文属性信息,生成所述终端设备的上下文属性访问结构树;
上下文令牌密文生成模块,用于根据所述上下文属性访问结构树生成所述终端设备的上下文令牌密文,并将所述上下文令牌密文发送至所述终端设备;
访问许可凭证生成模块,用于接收所述终端设备在对所述上下文令牌密文进行解密后得到的访问令牌,并在确定所述访问令牌为有效令牌时,根据所述访问令牌生成具有时间戳的访问许可凭证;
数据访问模块,用于接收所述终端设备发送的包括所述访问许可凭证的目标访问请求,并在确定所述目标访问请求中包括的访问许可凭证的时间戳在有效访问时间内时,允许所述访问请求对数据进行访问。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的访问请求的处理方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-7任一项所述的访问请求的处理方法。
CN202210989295.4A 2022-08-17 2022-08-17 访问请求的处理方法及装置、存储介质、电子设备 Pending CN115348035A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210989295.4A CN115348035A (zh) 2022-08-17 2022-08-17 访问请求的处理方法及装置、存储介质、电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210989295.4A CN115348035A (zh) 2022-08-17 2022-08-17 访问请求的处理方法及装置、存储介质、电子设备

Publications (1)

Publication Number Publication Date
CN115348035A true CN115348035A (zh) 2022-11-15

Family

ID=83951626

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210989295.4A Pending CN115348035A (zh) 2022-08-17 2022-08-17 访问请求的处理方法及装置、存储介质、电子设备

Country Status (1)

Country Link
CN (1) CN115348035A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150172283A1 (en) * 2013-12-12 2015-06-18 Orange Method of Authentication by Token
CN110300125A (zh) * 2019-02-02 2019-10-01 奇安信科技集团股份有限公司 Api访问控制方法及api访问代理装置
CN110324276A (zh) * 2018-03-28 2019-10-11 腾讯科技(深圳)有限公司 一种登录应用的方法、系统、终端和电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150172283A1 (en) * 2013-12-12 2015-06-18 Orange Method of Authentication by Token
CN110324276A (zh) * 2018-03-28 2019-10-11 腾讯科技(深圳)有限公司 一种登录应用的方法、系统、终端和电子设备
CN110300125A (zh) * 2019-02-02 2019-10-01 奇安信科技集团股份有限公司 Api访问控制方法及api访问代理装置

Similar Documents

Publication Publication Date Title
US11665006B2 (en) User authentication with self-signed certificate and identity verification
US10985913B2 (en) Method and system for protecting data keys in trusted computing
CN111783075B (zh) 基于密钥的权限管理方法、装置、介质及电子设备
KR102117584B1 (ko) 로컬 디바이스 인증
US20220191012A1 (en) Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System
JP6335280B2 (ja) 企業システムにおけるユーザおよびデバイスの認証
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
US20140082707A1 (en) Systems and methods for network connected authentication
US11556617B2 (en) Authentication translation
US8953805B2 (en) Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method
WO2013101245A1 (en) Method, device, and system for managing user authentication
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
US11750391B2 (en) System and method for performing a secure online and offline login process
JP2020078067A (ja) モバイルデバイスを有するユーザがスタンドアロンコンピューティングデバイスの能力にアクセスすることをセキュアに可能にするためのシステム及び方法
US12107956B2 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
KR101769861B1 (ko) 패스워드 노출 없는 hsm 스마트 카드를 이용한 사용자 바이오 인증 방법 및 시스템
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
US20150237050A1 (en) Apparatus and method for providing home network access control
JP7174730B2 (ja) 端末装置、情報処理方法及び情報処理プログラム
CN115348035A (zh) 访问请求的处理方法及装置、存储介质、电子设备
CN108345801B (zh) 一种面向密文数据库的中间件动态用户认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination