CN115776389A - 一种基于可信认证链路的防窃取数据安全访问方法及系统 - Google Patents
一种基于可信认证链路的防窃取数据安全访问方法及系统 Download PDFInfo
- Publication number
- CN115776389A CN115776389A CN202211372554.5A CN202211372554A CN115776389A CN 115776389 A CN115776389 A CN 115776389A CN 202211372554 A CN202211372554 A CN 202211372554A CN 115776389 A CN115776389 A CN 115776389A
- Authority
- CN
- China
- Prior art keywords
- authentication
- data
- request
- memory
- access terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004891 communication Methods 0.000 claims abstract description 95
- 238000010276 construction Methods 0.000 claims abstract description 4
- 238000012795 verification Methods 0.000 claims description 51
- 230000002265 prevention Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明的实施例公开了一种基于可信认证链路的防窃取数据安全访问方法及系统。方法包括:建立可信认证链路;通过所述可信认证链路对访问终端进行注册认证;发送数据访问请求,通信认证成功后的数据访问请求为合法请求,在第一存储器中通过协商密钥进行通信,所述第一存储器从第二存储器中得到解密数据进行存储;通信认证不成功的数据访问请求执行断电指令;所述第一存储器执行断电指令后,所保存的解密数据丢失;所述访问终端针对所述合法请求进行回复。系统包括:认证链路构建模块,注册认证模块,通信认证模块和数据回复模块。本发明能够通过高效可靠的认证,避免核心数据被非法窃取,保证网络安全,保护核心数据安全存储。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种基于可信认证链路的防窃取数据安全访问方法及系统。
背景技术
目前在生活与工作中会接触到越来越多的数据,数据安全的重要性也愈发受到重视。在数据安全领域,数据访问行为是无法避免的,如何在数据访问过程中防止核心数据被窃取,保证核心数据安全,是一个重要问题。在现有技术中,对于数据安全一般采用加密的方式,这种处理方式忽略了一个问题:当加密数据被解密之后,这些被解密的数据仍然是存在泄漏的可能的。
随着物联网技术的快速发展,物联网应用也逐渐广泛。为解决数据泄露的问题,越来越多的数据安全领域开始引入物联网边缘计算技术。相比传统物联网结构,引入边缘计算技术的物联网网络结构层级更加复杂,而物联网本身具有拓扑不稳定性,终端设备与边缘计算服务器之间的网络连接关系动态变化更新。这种情况下,物联网终端身份认证的可靠性、有效性难以得到保证,为物联网通信带来安全隐患,数据泄露、网络攻击等情况发生几率大大增加。
发明内容
有鉴于此,本发明实施例的目的在于提供一种可信认证链路的防窃取数据安全访问方法及系统,能够通过高效可靠的认证,避免核心数据被非法窃取,保证网络安全,保护核心数据安全存储。
第一方面,本发明实施例提供了一种基于可信认证链路的防窃取数据安全访问方法,其中,包括:
在物联网的多个通信域中选取多个边缘认证服务器,将区块链认证服务器与多个所述边缘认证服务器作为认证节点,相互之间进行可信认证,建立可信认证链路。
通过所述可信认证链路对访问终端进行注册认证。
访问终端中设有第一存储器和第二存储器,所述第二存储器中存有加密数据;
数据请求端向访问终端发送数据访问请求,通过第一边缘认证服务器对所述访问终端进行通信认证,通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
通信认证不成功的数据访问请求为非法请求,执行断电指令;
所述第一存储器为易失性存储器,执行断电指令后,所保存的解密数据丢失;
所述第二存储器为非易失性存储器;
所述访问终端接收来自所述边缘认证服务器的合法请求,针对所述合法请求进行回复。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复之前,还包括:
数据请求端向访问终端发送跨域数据访问请求,通过第二边缘认证服务器对所述访问终端进行跨域通信认证,跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
跨域通信认证不成功的数据访问请求为非法请求,执行断电指令。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述通过所述可信认证链路对访问终端进行注册认证,包括:
所述访问终端向所述可信认证链路中的所述边缘认证服务器发送注册请求信息M1。
所述边缘认证服务器对所述注册请求信息M1进行解密验证以确定所述访问终端是否为合法访问终端。
响应于所述访问终端为合法访问终端,所述边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送申请证书请求信息M2(M2:N1)。
所述区块链认证服务器根据所述申请证书请求信息M2进行有效性验证。
响应于所述申请证书请求M2验证有效,所述区块链生成与所述访问终端对应的数字证书并存储,所述数字证书包括与所述访问终端相对应的注册哈希值h1。
所述区块链认证服务器将所述注册哈希值h1返回给所述访问终端。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述通过第一边缘认证服务器对所述访问终端进行通信认证,包括:
所述访问终端向所述第一边缘认证服务器发送通信请求信息M3,所述通信请求信息M3包括所述访问终端自身存储的终端哈希值ht。
所述第一边缘认证服务器通过解密所述通信请求信息M3对所述访问终端进行身份认证以确定所述访问终端是否经过注册。
响应于确定所述访问终端经过注册,所述第一边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送第一终端哈希请求信息M4。
所述区块链认证服务器对所述第一终端哈希请求信息M4进行有效性验证。
响应于所述第一终端哈希请求信息M4验证有效,所述区块链认证服务器将与所述访问终端对应的所述注册哈希值h1发送给所述第一边缘认证服务器。
所述第一边缘认证服务器将所述注册哈希值h1与所述终端哈希值ht进行比较验证。
响应与所述注册哈希值h1与所述终端哈希值ht一致,所述访问终端的通信认证通过,所述第一边缘认证服务器向所述访问终端发送认证成功信息M5。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述通过第二边缘认证服务器对所述访问终端进行跨域通信认证,包括:
所述访问终端向所述第二边缘认证服务器发送跨域通信请求信息M6,所述跨域通信请求信息M6包括所述访问终端自身存储的终端哈希值ht。
所述第二边缘认证服务器向所述第一边缘认证服务器发送跨域认证请求信息M7。
所述第一边缘认证服务器向所述第二边缘认证服务器发送所述访问终端相应的注册信息M8。
所述第二边缘认证服务器对所述访问终端的所述注册信息进行有效性认证。
响应与所述注册信息M8有效,所述第二边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送第二终端哈希请求信息M9。
所述区块链认证服务器对所述第二终端哈希请求信息M9进行有效性验证。
响应于所述第二终端哈希请求信息M9验证有效,所述区块链认证服务器将与所述访问终端对应的所述注册哈希值h1发送给所述第二边缘认证服务器。
所述第二边缘认证服务器将所述注册哈希值h1与所述终端哈希值ht进行比较验证。
响应与所述注册哈希值h1与所述终端哈希值ht一致,所述访问终端的跨域通信认证通过。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述通信认证成功后的数据访问请求为合法请求,通过协商密钥进行通信,包括:
所述第二存储器对所述合法请求进行动态加密,生成标识信息和第一随机动态秘钥。
所述第一存储器接收所述标识信息和所述第一随机动态秘钥,以所述标识信息为索引,生成第二随机动态秘钥,验证所述第一随机动态秘钥和所述第二随机动态秘钥是否相同。
若相同,则用所述标识信息发送至所述第二存储器,得到解密数据。
若不同,则根据验证次数提示出错或重新生成随机动态秘钥继续验证。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,从所述第二存储器中得到解密数据,包括:
所述第二存储器对所述跨域数据访问请求进行动态加密,生成跨域标识信息和跨域第一随机动态秘钥。
所述第一存储器接收所述跨域标识信息和所述跨域第一随机动态秘钥,以所述跨域标识信息为索引,生成跨域第二随机动态秘钥,验证所述跨域第一随机动态秘钥和所述跨域第二随机动态秘钥是否相同。
若相同,则用所述跨域标识信息发送至所述第二存储器,得到解密数据。
若不同,则根据验证次数提示出错或重新生成随机动态秘钥继续验证。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,在所述第二存储器生成所述第一随机动态秘钥时,所述第一存储器与所述数据请求端断开通信连接。
在根据协商密钥解密生成解密数据后,所述第一存储器与所述第二存储器断开通信连接,并与所述数据请求端重新连接。
结合第一方面,本发明实施例提供了第一方面的第八种可能的实施方式,其中,所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复,包括:
所述访问终端接收来自所述边缘认证服务器的合法请求。
在所述第一存储器的所述解密数据中确定与所述数据访问请求相对应的目标数据,将所述目标数据发送给所述数据请求端进行回复。
第二方面,本发明实施例还提供了一种基于可信认证链路的防窃取数据安全访问系统,其中,包括:
认证链路构建模块,用于在物联网的多个通信域中选取多个边缘认证服务器,将区块链认证服务器与多个所述边缘认证服务器作为认证节点,相互之间进行可信认证,建立可信认证链路。
注册认证模块,用于通过所述可信认证链路对访问终端进行注册认证。
通信认证模块,用于数据请求端向访问终端发送数据访问请求,通过第一边缘认证服务器对所述访问终端进行通信认证,通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
跨域通信认证模块,用于数据请求端向访问终端发送跨域数据访问请求,通过第二边缘认证服务器对所述访问终端进行跨域通信认证,跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
第二存储器,用于存储加密数据,对合法请求、跨域合法请求进行动态加密,生成标识信息和第一随机动态秘钥。
第一存储器,用于接收所述标识信息和所述第一随机动态秘钥,进行验证,若验证成功,则从所述第二存储器得到所述解密数据,若验证不成功,则执行断电指令,丢失所保存的解密数据。
数据回复模块,用于所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复。
本发明实施例的有益效果是:
(1)构建“终端—边缘认证—区块链认证”的网络层级结构,由区块链认证服务器负责证书的颁发,将证书的哈希值和状态信息都存储区块链上。通过对终端设备拥有的证书哈希值与区块链上的证书哈希值进行比较以实现物联网终端设备身份认证,由于区块链具备不可篡改以及可追溯的特性,这样的方式能够提高物联网终端设备身份认证的效率和安全性。
(2)在数据访问请求的过程中采用协商密钥进行通信,需要验证随机动态秘钥的有效性才能得到解密数据,能够避免数据请求端直接获取到解密数据,使得非法手段无法通过旁路攻击获得私钥,提升协商密钥的安全性,简单、高效。
(3)每次有数据访问请求都对生成新的随机动态秘钥进行加密,即使一些未知非法手段获取到部分动态加密数据,由于加密数据和对应的随机动态秘钥的更新机制,其非法获取的数据也会很快失去意义,能够避免数据请求端根据非法窃取的部分数据内容反推出秘钥或者核心数据内容,进一步的保证数据存储的安全性能。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明基于可信认证链路的防窃取数据安全访问方法的流程图。
图2为本发明基于可信认证链路的防窃取数据安全访问方法的逻辑示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件能够以各种不同的配置来布置和设计。
请参照图1至图2,本发明的第一个实施例提供一种基于可信认证链路的防窃取数据安全访问方法,其中,包括:
在物联网的多个通信域中选取多个边缘认证服务器,将区块链认证服务器与多个所述边缘认证服务器作为认证节点,相互之间进行可信认证,建立可信认证链路。
通过所述可信认证链路对访问终端进行注册认证。
访问终端中设有第一存储器和第二存储器,所述第二存储器中存有加密数据;
数据请求端向访问终端发送数据访问请求,通过第一边缘认证服务器对所述访问终端进行通信认证,通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
通信认证不成功的数据访问请求为非法请求,执行断电指令。
所述第一存储器为易失性存储器,执行断电指令后,所保存的解密数据丢失。
所述第二存储器为非易失性存储器。
所述访问终端接收来自所述边缘认证服务器的合法请求,针对所述合法请求进行回复。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复之前,还包括:
数据请求端向访问终端发送跨域数据访问请求,通过第二边缘认证服务器对所述访问终端进行跨域通信认证,跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
跨域通信认证不成功的数据访问请求为非法请求,执行断电指令。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述通过所述可信认证链路对访问终端进行注册认证,包括:
所述访问终端向所述可信认证链路中的所述边缘认证服务器发送注册请求信息M1。
所述边缘认证服务器对所述注册请求信息M1进行解密验证以确定所述访问终端是否为合法访问终端。
响应于所述访问终端为合法访问终端,所述边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送申请证书请求信息M2(M2:N1)。
所述区块链认证服务器根据所述申请证书请求信息M2进行有效性验证。
响应于所述申请证书请求M2验证有效,所述区块链生成与所述访问终端对应的数字证书并存储,所述数字证书包括与所述访问终端相对应的注册哈希值h1。
所述区块链认证服务器将所述注册哈希值h1返回给所述访问终端。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述通过第一边缘认证服务器对所述访问终端进行通信认证,包括:
所述访问终端向所述第一边缘认证服务器发送通信请求信息M3,所述通信请求信息M3包括所述访问终端自身存储的终端哈希值ht。
所述第一边缘认证服务器通过解密所述通信请求信息M3对所述访问终端进行身份认证以确定所述访问终端是否经过注册。
响应于确定所述访问终端经过注册,所述第一边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送第一终端哈希请求信息M4。
所述区块链认证服务器对所述第一终端哈希请求信息M4进行有效性验证。
响应于所述第一终端哈希请求信息M4验证有效,所述区块链认证服务器将与所述访问终端对应的所述注册哈希值h1发送给所述第一边缘认证服务器。
所述第一边缘认证服务器将所述注册哈希值h1与所述终端哈希值ht进行比较验证。
响应与所述注册哈希值h1与所述终端哈希值ht一致,所述访问终端的通信认证通过,所述第一边缘认证服务器向所述访问终端发送认证成功信息M5。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述通过第二边缘认证服务器对所述访问终端进行跨域通信认证,包括:
所述访问终端向所述第二边缘认证服务器发送跨域通信请求信息M6,所述跨域通信请求信息M6包括所述访问终端自身存储的终端哈希值ht。
所述第二边缘认证服务器向所述第一边缘认证服务器发送跨域认证请求信息M7。
所述第一边缘认证服务器向所述第二边缘认证服务器发送所述访问终端相应的注册信息M8。
所述第二边缘认证服务器对所述访问终端的所述注册信息进行有效性认证。
响应与所述注册信息M8有效,所述第二边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送第二终端哈希请求信息M9。
所述区块链认证服务器对所述第二终端哈希请求信息M9进行有效性验证。
响应于所述第二终端哈希请求信息M9验证有效,所述区块链认证服务器将与所述访问终端对应的所述注册哈希值h1发送给所述第二边缘认证服务器。
所述第二边缘认证服务器将所述注册哈希值h1与所述终端哈希值ht进行比较验证。
响应与所述注册哈希值h1与所述终端哈希值ht一致,所述访问终端的跨域通信认证通过。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,从所述第二存储器中得到解密数据,包括:
所述第二存储器对所述合法请求进行动态加密,生成标识信息和第一随机动态秘钥。
所述第一存储器接收所述标识信息和所述第一随机动态秘钥,以所述标识信息为索引,生成第二随机动态秘钥,验证所述第一随机动态秘钥和所述第二随机动态秘钥是否相同。
若相同,则用所述标识信息发送至所述第二存储器,得到解密数据。
若不同,则根据验证次数提示出错或重新生成随机动态秘钥继续验证。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,从所述第二存储器中得到解密数据,包括:
所述第二存储器对所述跨域数据访问请求进行动态加密,生成跨域标识信息和跨域第一随机动态秘钥。
所述第一存储器收所述跨域标识信息和所述跨域第一随机动态秘钥,以所述跨域标识信息为索引,生成跨域第二随机动态秘钥,验证所述跨域第一随机动态秘钥和所述跨域第二随机动态秘钥是否相同。
若相同,则用所述跨域标识信息发送至所述第二存储器,得到解密数据。
若不同,则根据验证次数提示出错或重新生成随机动态秘钥继续验证。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,
在所述第二存储器生成所述第一随机动态秘钥时,所述第一存储器与所述数据请求端断开通信连接。
在根据协商密钥解密生成解密数据后,所述第一存储器与所述第二存储器断开通信连接,并与所述数据请求端重新连接。
结合第一方面,本发明实施例提供了第一方面的第八种可能的实施方式,其中,所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复,包括:
所述访问终端接收来自所述边缘认证服务器的合法请求。
在所述解密数据中确定与所述数据访问请求相对应的目标数据,将所述目标数据发送给所述数据请求端进行回复。
本发明的第二个实施例提供一种基于可信认证链路的防窃取数据安全访问系统,其中,包括:
认证链路构建模块,用于在物联网的多个通信域中选取多个边缘认证服务器,将区块链认证服务器与多个所述边缘认证服务器作为认证节点,相互之间进行可信认证,建立可信认证链路。
注册认证模块,用于通过所述可信认证链路对访问终端进行注册认证。
通信认证模块,用于数据请求端向访问终端发送数据访问请求,通过第一边缘认证服务器对所述访问终端进行通信认证,通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
跨域通信认证模块,用于数据请求端向访问终端发送跨域数据访问请求,通过第二边缘认证服务器对所述访问终端进行跨域通信认证,跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储。
第二存储器,用于存储加密数据,对合法请求、跨域合法请求进行动态加密,生成标识信息和第一随机动态秘钥。
第一存储器,用于接收所述标识信息和所述第一随机动态秘钥,进行验证,若验证成功,则从所述第二存储器得到所述解密数据,若验证不成功,则执行断电指令,丢失所保存的解密数据。
数据回复模块,用于所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复。
本发明实施例旨在保护一种基于可信认证链路的防窃取数据安全访问方法及系统,具备如下效果:
1.构建“终端—边缘认证—区块链认证”的网络层级结构,由区块链认证服务器负责证书的颁发,将证书的哈希值和状态信息都存储区块链上。通过对终端设备拥有的证书哈希值与区块链上的证书哈希值进行比较以实现物联网终端设备身份认证,由于区块链具备不可篡改以及可追溯的特性,这样的方式能够提高物联网终端设备身份认证的效率和安全性。
2.在数据访问请求的过程中采用协商密钥进行通信,需要验证随机动态秘钥的有效性才能得到解密数据,能够避免数据请求端直接获取到解密数据,使得非法手段无法通过旁路攻击获得私钥,提升协商密钥的安全性,简单、高效。
3.每次有数据访问请求都对生成新的随机动态秘钥进行加密,即使一些未知非法手段获取到部分动态加密数据,由于加密数据和对应的随机动态秘钥的更新机制,其非法获取的数据也会很快失去意义,能够避免数据请求端根据非法窃取的部分数据内容反推出秘钥或者核心数据内容,进一步的保证数据存储的安全性能。
本发明实施例所提供的基于可信认证链路的防窃取数据安全访问方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述基于可信认证链路的防窃取数据安全访问方法,从而能够通过高效可靠的认证,避免核心数据被非法窃取,保证网络安全,保护核心数据安全存储。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于可信认证链路的防窃取数据安全访问方法,其特征在于,包括:
在物联网的多个通信域中选取多个边缘认证服务器,将区块链认证服务器与多个所述边缘认证服务器作为认证节点,相互之间进行可信认证,建立可信认证链路;
通过所述可信认证链路对访问终端进行注册认证;
访问终端中设有第一存储器和第二存储器,所述第二存储器中存有加密数据;
数据请求端向访问终端发送数据访问请求,通过第一边缘认证服务器对所述访问终端进行通信认证,通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储;
通信认证不成功的数据访问请求为非法请求,执行断电指令;
所述第一存储器为易失性存储器,执行断电指令后,所保存的解密数据丢失;
所述第二存储器为非易失性存储器;
所述访问终端接收来自所述边缘认证服务器的合法请求,针对所述合法请求进行回复。
2.根据权利要求1所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复之前,还包括:
数据请求端向访问终端发送跨域数据访问请求,通过第二边缘认证服务器对所述访问终端进行跨域通信认证,跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储;
跨域通信认证不成功的数据访问请求为非法请求,执行断电指令。
3.根据权利要求2所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述通过所述可信认证链路对访问终端进行注册认证,包括:
所述访问终端向所述可信认证链路中的所述边缘认证服务器发送注册请求信息M1;
所述边缘认证服务器对所述注册请求信息M1进行解密验证以确定所述访问终端是否为合法访问终端;
响应于所述访问终端为合法访问终端,所述边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送申请证书请求信息M2(M2:N1);
所述区块链认证服务器根据所述申请证书请求信息M2进行有效性验证;
响应于所述申请证书请求M2验证有效,所述区块链生成与所述访问终端对应的数字证书并存储,所述数字证书包括与所述访问终端相对应的注册哈希值h1;
所述区块链认证服务器将所述注册哈希值h1返回给所述访问终端。
4.根据权利要求3所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述通过第一边缘认证服务器对所述访问终端进行通信认证,包括:
所述访问终端向所述第一边缘认证服务器发送通信请求信息M3,所述通信请求信息M3包括所述访问终端自身存储的终端哈希值ht;
所述第一边缘认证服务器通过解密所述通信请求信息M3对所述访问终端进行身份认证以确定所述访问终端是否经过注册;
响应于确定所述访问终端经过注册,所述第一边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送第一终端哈希请求信息M4;
所述区块链认证服务器对所述第一终端哈希请求信息M4进行有效性验证;
响应于所述第一终端哈希请求信息M4验证有效,所述区块链认证服务器将与所述访问终端对应的所述注册哈希值h1发送给所述第一边缘认证服务器;
所述第一边缘认证服务器将所述注册哈希值h1与所述终端哈希值ht进行比较验证;
响应与所述注册哈希值h1与所述终端哈希值ht一致,所述访问终端的通信认证通过,所述第一边缘认证服务器向所述访问终端发送认证成功信息M5。
5.根据权利要求3所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述通过第二边缘认证服务器对所述访问终端进行跨域通信认证,包括:
所述访问终端向所述第二边缘认证服务器发送跨域通信请求信息M6,所述跨域通信请求信息M6包括所述访问终端自身存储的终端哈希值ht;
所述第二边缘认证服务器向所述第一边缘认证服务器发送跨域认证请求信息M7;
所述第一边缘认证服务器向所述第二边缘认证服务器发送所述访问终端相应的注册信息M8;
所述第二边缘认证服务器对所述访问终端的所述注册信息进行有效性认证;
响应与所述注册信息M8有效,所述第二边缘认证服务器向所述可信认证链路中的所述区块链认证服务器发送第二终端哈希请求信息M9;
所述区块链认证服务器对所述第二终端哈希请求信息M9进行有效性验证;
响应于所述第二终端哈希请求信息M9验证有效,所述区块链认证服务器将与所述访问终端对应的所述注册哈希值h1发送给所述第二边缘认证服务器;
所述第二边缘认证服务器将所述注册哈希值h1与所述终端哈希值ht进行比较验证;
响应与所述注册哈希值h1与所述终端哈希值ht一致,所述访问终端的跨域通信认证通过。
6.根据权利要求1所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,从所述第二存储器中得到解密数据,包括:
所述第二存储器对所述合法请求进行动态加密,生成标识信息和第一随机动态秘钥;
所述第一存储器接收所述标识信息和所述第一随机动态秘钥,以所述标识信息为索引,生成第二随机动态秘钥,验证所述第一随机动态秘钥和所述第二随机动态秘钥是否相同;
若相同,则用所述标识信息发送至所述第二存储器,得到解密数据;
若不同,则根据验证次数提示出错或重新生成随机动态秘钥继续验证。
7.根据根据权利要求2所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,从所述第二存储器中得到解密数据,包括:
所述第二存储器对所述跨域数据访问请求进行动态加密,生成跨域标识信息和跨域第一随机动态秘钥;
所述第一存储器接收所述跨域标识信息和所述跨域第一随机动态秘钥,以所述跨域标识信息为索引,生成跨域第二随机动态秘钥,验证所述跨域第一随机动态秘钥和所述跨域第二随机动态秘钥是否相同;
若相同,则用所述跨域标识信息发送至所述第二存储器,得到解密数据;
若不同,则根据验证次数提示出错或重新生成随机动态秘钥继续验证。
8.根据权利要求6或7任一项所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,
在所述第二存储器生成所述第一随机动态秘钥时,所述第一存储器与所述数据请求端断开通信连接;
在根据协商密钥解密生成解密数据后,所述第一存储器与所述第二存储器断开通信连接,并与所述数据请求端重新连接。
9.根据权利要求6或7任一项所述的基于可信认证链路的防窃取数据安全访问方法,其特征在于,所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复,包括:
所述访问终端接收来自所述边缘认证服务器的合法请求;
在所述第一存储器的所述解密数据中确定与所述数据访问请求相对应的目标数据,将所述目标数据发送给所述数据请求端进行回复。
10.一一种基于可信认证链路的防窃取数据安全访问系统,其特征在于,包括:
认证链路构建模块,用于在物联网的多个通信域中选取多个边缘认证服务器,将区块链认证服务器与多个所述边缘认证服务器作为认证节点,相互之间进行可信认证,建立可信认证链路;
注册认证模块,用于通过所述可信认证链路对访问终端进行注册认证;
通信认证模块,用于数据请求端向访问终端发送数据访问请求,通过第一边缘认证服务器对所述访问终端进行通信认证,通信认证成功后的数据访问请求为合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储;
跨域通信认证模块,用于数据请求端向访问终端发送跨域数据访问请求,通过第二边缘认证服务器对所述访问终端进行跨域通信认证,跨域通信认证成功后的跨域数据访问请求为跨域合法请求,在所述第一存储器中通过协商密钥进行通信,所述第一存储器从所述第二存储器中得到解密数据进行存储;
第二存储器,用于存储加密数据,对合法请求、跨域合法请求进行动态加密,生成标识信息和第一随机动态秘钥;
第一存储器,用于接收所述标识信息和所述第一随机动态秘钥,进行验证,若验证成功,则从所述第二存储器得到所述解密数据,若验证不成功,则执行断电指令,丢失所保存的解密数据;
数据回复模块,用于所述访问终端接收来自所述边缘认证服务器的数据访问请求,针对所述数据访问请求进行回复。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211372554.5A CN115776389B (zh) | 2022-11-01 | 2022-11-01 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
JP2023185679A JP2024066500A (ja) | 2022-11-01 | 2023-10-30 | 信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211372554.5A CN115776389B (zh) | 2022-11-01 | 2022-11-01 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115776389A true CN115776389A (zh) | 2023-03-10 |
CN115776389B CN115776389B (zh) | 2023-11-07 |
Family
ID=85388707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211372554.5A Active CN115776389B (zh) | 2022-11-01 | 2022-11-01 | 一种基于可信认证链路的防窃取数据安全访问方法及系统 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2024066500A (zh) |
CN (1) | CN115776389B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
CN110061851A (zh) * | 2019-04-28 | 2019-07-26 | 广州大学 | 一种去中心化的跨信任域认证方法及系统 |
WO2019157810A1 (zh) * | 2018-02-13 | 2019-08-22 | 华为技术有限公司 | 一种数据传输方法、装置和网络节点 |
WO2021115449A1 (zh) * | 2019-12-13 | 2021-06-17 | 中兴通讯股份有限公司 | 跨域访问系统、方法及装置、存储介质及电子装置 |
CN113111398A (zh) * | 2021-04-19 | 2021-07-13 | 龙应斌 | 一种防止被非法窃取的数据安全存储方法和装置 |
CN114143312A (zh) * | 2021-11-26 | 2022-03-04 | 中国电信股份有限公司 | 基于区块链的边缘计算终端认证方法、系统及设备 |
CN114465730A (zh) * | 2022-01-10 | 2022-05-10 | 浙商银行股份有限公司 | 一种基于区块链技术的物联网设备相互认证方法及装置 |
CN114710317A (zh) * | 2022-03-02 | 2022-07-05 | 北京邮电大学 | 基于区块链的身份认证方法、装置以及存储介质 |
-
2022
- 2022-11-01 CN CN202211372554.5A patent/CN115776389B/zh active Active
-
2023
- 2023-10-30 JP JP2023185679A patent/JP2024066500A/ja active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
WO2019157810A1 (zh) * | 2018-02-13 | 2019-08-22 | 华为技术有限公司 | 一种数据传输方法、装置和网络节点 |
CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
CN110061851A (zh) * | 2019-04-28 | 2019-07-26 | 广州大学 | 一种去中心化的跨信任域认证方法及系统 |
WO2021115449A1 (zh) * | 2019-12-13 | 2021-06-17 | 中兴通讯股份有限公司 | 跨域访问系统、方法及装置、存储介质及电子装置 |
CN113111398A (zh) * | 2021-04-19 | 2021-07-13 | 龙应斌 | 一种防止被非法窃取的数据安全存储方法和装置 |
CN114143312A (zh) * | 2021-11-26 | 2022-03-04 | 中国电信股份有限公司 | 基于区块链的边缘计算终端认证方法、系统及设备 |
CN114465730A (zh) * | 2022-01-10 | 2022-05-10 | 浙商银行股份有限公司 | 一种基于区块链技术的物联网设备相互认证方法及装置 |
CN114710317A (zh) * | 2022-03-02 | 2022-07-05 | 北京邮电大学 | 基于区块链的身份认证方法、装置以及存储介质 |
Non-Patent Citations (1)
Title |
---|
周致成;李立新;李作辉;: "基于区块链技术的高效跨域认证方案", 计算机应用, no. 02, pages 18 - 22 * |
Also Published As
Publication number | Publication date |
---|---|
JP2024066500A (ja) | 2024-05-15 |
CN115776389B (zh) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110603783B (zh) | 采用可信硬件的安全动态阈值签名方案 | |
CN108418691B (zh) | 基于sgx的动态网络身份认证方法 | |
CN110519309B (zh) | 数据传输方法、装置、终端、服务器及存储介质 | |
JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
US8156333B2 (en) | Username based authentication security | |
CN109412812B (zh) | 数据安全处理系统、方法、装置和存储介质 | |
CN103138939B (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
TWI620092B (zh) | 用於在載入期間驗證軟體之裝置及用於在載入於裝置內期間驗證軟體之方法 | |
WO2017000648A1 (zh) | 一种被加固软件的认证方法及装置 | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
CN107920052B (zh) | 一种加密方法及智能装置 | |
CN111814132B (zh) | 安全认证方法及装置、安全认证芯片、存储介质 | |
US9509665B2 (en) | Protecting against malicious modification in cryptographic operations | |
CN110837634B (zh) | 基于硬件加密机的电子签章方法 | |
CN106992978B (zh) | 网络安全管理方法及服务器 | |
CN111932261A (zh) | 一种基于可验证声明的资产数据管理方法和装置 | |
CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
CN112769789B (zh) | 一种加密通信方法及系统 | |
CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
CN110492989B (zh) | 私钥的处理方法、访问方法和对应方法的介质、装置 | |
CN112613033A (zh) | 一种可执行文件安全调用的方法及装置 | |
CN115776389B (zh) | 一种基于可信认证链路的防窃取数据安全访问方法及系统 | |
CN115834149A (zh) | 一种基于国密算法的数控系统安全防护方法及装置 | |
CN112883396B (zh) | 可信密码模块安全管理方法及系统 | |
CN114329522A (zh) | 一种私钥保护方法、装置、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |