CN115987497A - Hss越权访问防护方法、系统、电子设备及存储介质 - Google Patents
Hss越权访问防护方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115987497A CN115987497A CN202211550853.3A CN202211550853A CN115987497A CN 115987497 A CN115987497 A CN 115987497A CN 202211550853 A CN202211550853 A CN 202211550853A CN 115987497 A CN115987497 A CN 115987497A
- Authority
- CN
- China
- Prior art keywords
- access
- attribute information
- access request
- hss
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及安全防护技术领域,揭露了一种HSS越权访问防护方法,包括:获取用户对HSS服务器的原始访问请求,解析原始访问请求对应的属性信息及用户私钥;将属性信息添加至原始访问请求中,得到包含属性信息的访问请求,并根据包含属性信息的访问请求生成访问控制策略;查询访问控制策略在HSS服务器中对应的访问资源列表,基于访问资源列表及属性信息,利用预设的加密算法生成验证私钥,在验证私钥与用户私钥不一致时,禁止访问资源列表对应的资源。本发明还提出一种HSS越权访问防护系统、电子设备以及存储介质。本发明可以提高HSS服务器的安全性。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种HSS越权访问防护方法、系统、电子设备及存储介质。
背景技术
HSS(Home Subscriber Server,归属签约用户服务器)是数据平台中用户存储用户签约信息的服务器,用于管理用户的签约数据及移动用户的位置信息等用户隐私数据,为了保证用户隐私数据的安全,需要对用户进行访问控制,从而防止用户隐私数据被非法越权访问和使用,提高用户隐私数据的安全性。
现有的服务器访问控制方法存在控制单点化以及控制决策的中心化,访问控制机制只是基于用户的指定的静态策略进行授权,不能根据用户的多个属性标签进行分组授权,更不能根据用户的属性变化进行权限的动态变更,仅能够实现用户到角色、角色到权限的单一映射授权,灵活性差、可扩展性不高,导致出现用户越权对HSS进行数据访问,造成用户隐私数据泄露,使得用户隐私数据的安全性较差。
发明内容
本发明提供一种HSS越权访问防护方法、系统、电子设备及存储介质,其主要目的在于解决分布式数据的部署效率较低的问题。
为实现上述目的,本发明提供的一种HSS越权访问防护方法,包括:
获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
可选地,所述解析所述原始访问请求所对应的属性信息及用户私钥,包括:
确定所述原始访问请求对应的统一资源标识符及访问请求报文,并提取所述访问请求报文中的报文字段;
利用所述统一资源标识符获取所述原始访问请求对应的解析规则,利用所述解析规则对所述报文字段进行解析,得到所述原始访问请求所对应的属性信息及用户私钥。
可选地,所述利用所述解析规则对所述报文字段进行解析,得到所述原始访问请求所对应的属性信息及用户私钥,包括:
提取所述解析规则中的解析函数,根据所述解析函数生成解析规则树;
根据所述规则树确定所述解析函数的解析执行顺序;
根据所述解析执行顺序对所述报文字段进行处理,得到所述原始访问请求所对应的属性信息及用户私钥。
可选地,所述将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,包括:
获取所述原始访问请求的访问请求报文并确定所述访问请求报文的报文字段;
将所述属性信息转化为所述报文字段对应的字段,得到属性信息字段;
将所述属性信息字段添加至所述访问请求报文中预设的报文位置,得到包含属性信息的访问请求。
可选地,所述根据所述包含属性信息的访问请求生成访问控制策略,包括:
解析所述包含属性信息的访问请求中的请求信息,得到属性请求信息;
对所述属性请求信息进行类别划分,得到多个类别信息,并确定每个类别信息中的信息值域;
根据所述信息值域确定每个所述类别信息的类别权限并构建类别信息-类别权限的权限哈希表,基于所述权限哈希表得到访问控制策略。
可选地,所述基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥,包括:
初始化固定字长,根据所述固定字长对所述访问资源列表及所述属性信息进行归一化,得到归一化后的访问资源列表及属性信息;
利用如下公式对所述访问资源列表及所述属性信息进行归一化:
其中,Z为归一化后的访问资源列表或属性信息,x为所述访问资源列表或属性信息,M为所述访问资源列表或属性信息中的最大字长,N为所述固定字长;
对所述归一化后的访问资源列表及属性信息进行映射,得到映射数据,并对所述映射数据进行数据截断;
对所述数据截断后的映射数据进行预设次数的迭代,得到验证私钥。
可选地,利用如下公式对所述归一化后的访问资源列表及属性信息进行映射,得到映射数据:
f(Z)=uZ(1-Z),u∈(3.571448…,4)
其中,f(Z)为映射数据,u为预设的映射参数,Z为所述归一化后的访问资源列表或属性信息。
为了解决上述问题,本发明还提供一种HSS越权访问防护系统,所述系统包括:
请求解析模块,用于获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
访问控制策略生成模块,用于将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
验证私钥生成模块,用于查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
越权防护模块,用于在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述所述的HSS越权访问防护方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的HSS越权访问防护方法。
本发明实施例中,本发明实施例通过解析原始访问请求对应的属性信息以及用户私钥;并根据包含属性信息的访问请求生成访问控制策略,能够根据属性信息对用户进行细粒度的划分,灵活地生成访问控制策略;同时根据访问控制策略获取HSS中对应的访问资源列表,能够有效地避免用户越权访问属性信息中不可访问的资源,提高HSS的数据安全性;利用访问资源列表及属性信息生成验证私钥;判断验证私钥与用户私钥是否一致,保证用户私钥的一致性,避免用户私钥被盗用,防止非法用户越权访问,从而进一步地提高HSS的数据安全性。因此本发明提出的HSS越权访问防护方法、系统、电子设备及计算机可读存储介质,可以解决HSS非法越权访问的问题。
附图说明
图1为本发明一实施例提供的HSS越权访问防护方法的流程示意图;
图2为本发明一实施例提供的生成访问控制策略的流程示意图;
图3为本发明一实施例提供的HSS越权访问防护系统的功能模块图;
图4为本发明一实施例提供的实现所述HSS越权访问防护方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种HSS越权访问防护方法。所述HSS越权访问防护方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述HSS越权访问防护方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。所述服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
参照图1所示,为本发明一实施例提供的HSS越权访问防护方法的流程示意图。在本实施例中,所述HSS越权访问防护方法包括:
S1、获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥。
本发明实施例中,所述原始访问请求是用户向HSS服务器发送的初始访问请求,用于向HSS服务器申请访问权限,包括用户基础信息,例如用户账号名、账号密码,以及用于验证用户权限的属性信息以及用户私钥,从而判断原始访问请求的合法性。
本发明实施例中,所述属性信息是原始请求包含的用户属性以及用户属性对应的属性等级,例如,用户的年龄属性,职位属性、职务属性等用于表明用户访问权限的属性,所述私钥是对所述HSS服务器中的用户数据进行加密时生成的唯一标识符,对资源进行加密后将私钥返回给用户,用户发送访问请求时携带私钥用于访问权限的验证,以保证数据访问的安全性。
本发明实施例中,所述解析所述原始访问请求所对应的属性信息及用户私钥,包括:
确定所述原始访问请求对应的统一资源标识符及访问请求报文,并提取所述访问请求报文中的报文字段;
利用所述统一资源标识符获取所述原始访问请求对应的解析规则,利用所述解析规则对所述报文字段进行解析,得到所述原始访问请求所对应的属性信息及用户私钥。
本发明实例中,所述解析规则为根据统一资源标识符预先设定的请问报文解析协议生成的,不同的统一资源定位符对应着不同的用户服务器,因此根据统一资源标识符获取对应的解析规则,使得解析结果更精确。
进一步地,本发明实例中,所述利用所述解析规则对所述报文字段进行解析,得到所述原始访问请求所对应的属性信息及用户私钥,包括:
提取所述解析规则中的解析函数,根据所述解析函数生成解析规则树;
根据所述规则树确定所述解析函数的解析执行顺序;
根据所述解析执行顺序对所述报文字段进行处理,得到所述原始访问请求所对应的属性信息及用户私钥。
本发明实施例中,所述解析函数为解析所述解析规则中出现的运算符,具体地,可利用预设的运算符表提取所述解析规则中的解析函数,从而生成解析规则树,进一步地确定解析解析函数的解析执行顺序,避免解析过程中的混乱,提高解析的效率以及解析结果的准确性。
S2、将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略。
本发明实施例中,通过将属性信息添加至原始访问请求中,能够使得包含属性信息的访问请求是基于属性信息得到的,从而能够基于属性信息对原始访问请求进行访问控制,并进一步地生成访问控制策略。
本发明实施例中,所述访问控制策略是一种访问控制机制,用于根据属性信息确定访问请求对应的资源,并对属性信息进行判断,例如,判断属性信息是否满足资源访问的条件,从而确定每个属性信息可进行访问的资源。
本发明实施例中,所述将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,包括:
获取所述原始访问请求的访问请求报文并确定所述访问请求报文的报文字段;
将所述属性信息转化为所述报文字段对应的字段,得到属性信息字段;
将所述属性信息字段添加至所述访问请求报文中预设的报文位置,得到包含属性信息的访问请求。
本发明实施例中,所述访问请求报文为上述S1中的原始访问请求的访问请求报文,通过属性信息转换为与访问请求报文一致的字段,以保证访问请求报文中数据字段的一致性,本发明实施例可以将属性信息字段添加至访问请求报文中用户基础信息后的报文位置中,使得属性信息在访问请求报文中的位置更清晰。
进一步地,本发明实施例中,参阅图2所示,所述根据所述包含属性信息的访问请求生成访问控制策略,包括:
S21、解析所述包含属性信息的访问请求中的请求信息,得到属性请求信息;
S22、对所述属性请求信息进行类别划分,得到多个类别信息,并确定每个类别信息中的信息值域;
S23、根据所述信息值域确定每个所述类别信息的类别权限并构建类别信息-类别权限的权限哈希表,基于所述权限哈希表得到访问控制策略。
本发明实施例中,所述属性请求信息为所述包含属性信息的访问请求中包含的字段信息,例如,用户基础信息、属性信息、属性对应的角色信息等,具体地,本发明实施例可利用上述解析原始访问请求的方法对包含属性信息的访问请求进行解析。
本发明另一可选实施例中,多个类别信息包括但不限于用于角色信息用户的基础信息、访问请求的资源类型信息、操作类型信息、操作目的信息以及请求访问的时间信息等类别信息,具体地,信息值域表示每个信息类别的信息等级,例如,用户的年龄所处的等级、用户职务所处的信息等级以及用户的身份类别所处的信息等级,从而根据信息值域确定包含属性信息的访问请求的权限信息。
本发明实施例中,所述类别信息-类别权限的权限哈希表是通过散列函数将类别信息及对应的类别权限映射到表中的一个位置来进行存储,从而能够将类别信息及对应的类别权限一一对应,从而能够确定属性信息的权限,进而得到访问控制策略。
本发明实施例中,通过所述类别信息能够将用户的属性请求信息进行划分,实现对用户请求信息的细粒度划分,从而能够为不同权限级别的HSS服务器中得访问资源进行访问控制,以避免用户越权访问无权限的资源,进一步地提高HSS服务器中的资源安全。
S3、查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥。
本发明实施例中,所述资源列表是访问控制策略可以进行访问的HSS服务器中的资源,具体地,可以利用所述访问控制策略遍历所述HSS服务器,从而确定所述访问控制策略在所述HSS服务器中对应的访问资源列表。
本发明实施例中,所述预设的加密算法可以是一种基于Logistic映射(单峰印象)的加密算法,这种加密算法是一种二次多项式映射(递归关系),通过映射向资源列表以及属性信息中添加扰动项,实现将资源列表以及属性信息转变为具有噪声的密文的加密算法,从而通过所述预设的加密算法对访问资源列表及属性信息进行加密时生成验证私钥。
本发明实施例中,所述基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥,包括:
初始化固定字长,根据所述固定字长对所述访问资源列表及所述属性信息进行归一化,得到归一化后的访问资源列表及属性信息;
对所述归一化后的访问资源列表及属性信息进行映射,得到映射数据,并对所述映射数据进行数据截断;
对所述数据截断后的映射数据进行预设次数的迭代,得到验证私钥。
本发明实施例中,因为访问资源列表及属性信息是量纲不统一的信息,包括但不限于文本信息或数值信息,所以需要对访问资源列表及属性信息进行归一化,使得访问资源列表及属性信息成为无量纲的数据,从而消除不同信息之前的差异,提高加密的准确度。
本发明实施例中,所述数据截断是保证映射数据的字长与固定字长一致,减小计算量,本发明实施例通过对数据截断后的映射数据进行预设次数的迭代,能够使得验证私钥的序列的随机性更强,从而确定验证私钥的安全性,具体地,可对数据截断后的映射数据进行200次迭代,从而得到验证私钥。
进一步地,利用如下公式对所述访问资源列表及所述属性信息进行归一化:
其中,Z为归一化后的访问资源列表或属性信息,x为所述访问资源列表或属性信息,M为所述访问资源列表或属性信息中的最大字长,N为所述固定字长。
本发明实施例中,例如,所述固定字长初始化为6,则HSS服务器中的所有资源列表均使用固定字长6进行归一化,以保证私钥验证的可行性,通过所述固定字长能够将归一化后的访问资源列表或属性信息得字长限制在一定范围,同时对访问资源列表或属性信息进行了限制,提高了信息的安全性。
本发明实施例中,利用如下公式对所述归一化后的访问资源列表及属性信息进行映射,得到映射数据:
f(Z)=uZ(1-Z),u∈(3.571448…,4)
其中,f(Z)为映射数据,u为预设的映射参数,Z为所述归一化后的访问资源列表或属性信息。
本发明实施例中,通过所述预设的加密算法,能够根据访问资源列表及属性信息对资源列表中的信息进行双重加密,同时保证了可进行访问的私钥的一致性,从而能够通过验证私钥判断用户是否越权访问,进一步地提高HSS服务器中的资源安全性。
在所述验证私钥与所述用户私钥不一致时,执行S4、禁止访问所述访问资源列表对应的HSS服务器资源。
本发明实施例中,在验证私钥与用户私钥不一致时,表示用户不具有访问所述访问资源列表对应的HSS服务器资源的权限,存在越权访问的风险,则禁止访问所述访问资源列表对应的HSS服务器资源。
在所述验证私钥与所述用户私钥一致时,执行S5、允许访问所述访问资源列表对应的HSS服务器资源。
本发明实施例中,在验证私钥与用户私钥一致时,表示用户可访问的资源列表即为资源访问资源列表,用户具有访问所述访问资源列表对应的HSS服务器资源的权限,则允许访问所述访问资源列表对应的HSS服务器资源。
本发明实施例中,本发明实施例通过解析原始访问请求对应的属性信息以及用户私钥;并根据包含属性信息的访问请求生成访问控制策略,能够根据属性信息对用户进行细粒度的划分,灵活地生成访问控制策略;同时根据访问控制策略获取HSS中对应的访问资源列表,能够有效地避免用户越权访问属性信息中不可访问的资源,提高HSS的数据安全性;利用访问资源列表及属性信息生成验证私钥;判断验证私钥与用户私钥是否一致,保证用户私钥的一致性,避免用户私钥被盗用,防止非法用户越权访问,从而进一步地提高HSS的数据安全性。因此本发明提出的HSS越权访问防护方法,可以解决HSS非法越权访问的问题。
如图3所示,是本发明一实施例提供的HSS越权访问防护系统的功能模块图。
本发明所述HSS越权访问防护系统100可以安装于电子设备中。根据实现的功能,所述HSS越权访问防护系统100可以包括请求解析模块101、访问控制策略生成模块102、验证私钥生成模块103及越权防护模块104。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述请求解析模块101,用于获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
所述访问控制策略生成模块102,用于将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
所述验证私钥生成模块103,用于查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
所述越权防护模块104,用于在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
详细地,本发明实施例中所述HSS越权访问防护系统100中所述的各模块在使用时采用与上述图1至图2中所述的HSS越权访问防护方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图4所示,是本发明一实施例提供的实现HSS越权访问防护方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如HSS越权访问防护程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行HSS越权访问防护程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如HSS越权访问防护程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图中仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图中示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理系统与所述至少一个处理器10逻辑相连,从而通过电源管理系统实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的HSS越权访问防护程序是多个指令的组合,在所述处理器10中运行时,可以实现:
获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
具体地,所述处理器10对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或系统、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或系统也可以由一个单元或系统通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种HSS越权访问防护方法,其特征在于,所述方法包括:
获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
2.如权利要求1所述的HSS越权访问防护方法,其特征在于,所述解析所述原始访问请求所对应的属性信息及用户私钥,包括:
确定所述原始访问请求对应的统一资源标识符及访问请求报文,并提取所述访问请求报文中的报文字段;
利用所述统一资源标识符获取所述原始访问请求对应的解析规则,利用所述解析规则对所述报文字段进行解析,得到所述原始访问请求所对应的属性信息及用户私钥。
3.如权利要求2所述的HSS越权访问防护方法,其特征在于,所述利用所述解析规则对所述报文字段进行解析,得到所述原始访问请求所对应的属性信息及用户私钥,包括:
提取所述解析规则中的解析函数,根据所述解析函数生成解析规则树;
根据所述规则树确定所述解析函数的解析执行顺序;
根据所述解析执行顺序对所述报文字段进行处理,得到所述原始访问请求所对应的属性信息及用户私钥。
4.如权利要求1所述的HSS越权访问防护方法,其特征在于,所述将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,包括:
获取所述原始访问请求的访问请求报文并确定所述访问请求报文的报文字段;
将所述属性信息转化为所述报文字段对应的字段,得到属性信息字段;
将所述属性信息字段添加至所述访问请求报文中预设的报文位置,得到包含属性信息的访问请求。
5.如权利要求1所述的HSS越权访问防护方法,其特征在于,所述根据所述包含属性信息的访问请求生成访问控制策略,包括:
解析所述包含属性信息的访问请求中的请求信息,得到属性请求信息;
对所述属性请求信息进行类别划分,得到多个类别信息,并确定每个类别信息中的信息值域;
根据所述信息值域确定每个所述类别信息的类别权限并构建类别信息-类别权限的权限哈希表,基于所述权限哈希表得到访问控制策略。
6.如权利要求1所述的HSS越权访问防护方法,其特征在于,所述基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥,包括:
初始化固定字长,根据所述固定字长对所述访问资源列表及所述属性信息进行归一化,得到归一化后的访问资源列表及属性信息;
利用如下公式对所述访问资源列表及所述属性信息进行归一化:
其中,Z为归一化后的访问资源列表或属性信息,x为所述访问资源列表或属性信息,M为所述访问资源列表或属性信息中的最大字长,N为所述固定字长;
对所述归一化后的访问资源列表及属性信息进行映射,得到映射数据,并对所述映射数据进行数据截断;
对所述数据截断后的映射数据进行预设次数的迭代,得到验证私钥。
7.如权利要求6所述的HSS越权访问防护方法,其特征在于,利用如下公式对所述归一化后的访问资源列表及属性信息进行映射,得到映射数据:
f(Z)=uZ(1-Z),u∈(3.571448…,4)
其中,f(Z)为映射数据,u为预设的映射参数,Z为所述归一化后的访问资源列表或属性信息。
8.一种HSS越权访问防护系统,其特征在于,所述系统包括:
请求解析模块,用于获取用户对HSS服务器的原始访问请求,解析所述原始访问请求所对应的属性信息及用户私钥;
访问控制策略生成模块,用于将所述属性信息添加至所述原始访问请求中,得到包含属性信息的访问请求,并根据所述包含属性信息的访问请求生成访问控制策略;
验证私钥生成模块,用于查找所述访问控制策略在所述HSS服务器中对应的访问资源列表,基于所述访问资源列表及所述属性信息,利用预设的加密算法生成验证私钥;
越权防护模块,用于在验证私钥与所述用户私钥不一致时,禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的HSS越权访问防护方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的HSS越权访问防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211550853.3A CN115987497A (zh) | 2022-12-05 | 2022-12-05 | Hss越权访问防护方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211550853.3A CN115987497A (zh) | 2022-12-05 | 2022-12-05 | Hss越权访问防护方法、系统、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115987497A true CN115987497A (zh) | 2023-04-18 |
Family
ID=85958439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211550853.3A Pending CN115987497A (zh) | 2022-12-05 | 2022-12-05 | Hss越权访问防护方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987497A (zh) |
-
2022
- 2022-12-05 CN CN202211550853.3A patent/CN115987497A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102514325B1 (ko) | 모델 훈련 시스템 및 방법과, 저장 매체 | |
| CN111600899A (zh) | 微服务访问控制方法、装置、电子设备及存储介质 | |
| CN111782923A (zh) | 数据查询方法、装置、电子设备及存储介质 | |
| CN112651035A (zh) | 数据处理方法、装置、电子设备及介质 | |
| CN110839014B (zh) | 一种认证方法、装置、计算机设备及可读存储介质 | |
| CN112560067A (zh) | 基于令牌权限校验的访问方法、装置、设备及存储介质 | |
| CN112328982A (zh) | 数据访问控制方法、装置、设备及存储介质 | |
| CN113434901A (zh) | 数据智能查询方法、装置、电子设备及存储介质 | |
| CN112446022A (zh) | 数据权限控制方法、装置、电子设备及存储介质 | |
| CN113364753A (zh) | 反爬虫方法、装置、电子设备及计算机可读存储介质 | |
| CN113127915A (zh) | 数据加密脱敏方法、装置、电子设备及存储介质 | |
| CN113704781A (zh) | 文件安全传输方法、装置、电子设备及计算机存储介质 | |
| CN113158207A (zh) | 基于区块链的报告生成方法、装置、电子设备及存储介质 | |
| CN113382017B (zh) | 基于白名单的权限控制方法、装置、电子设备及存储介质 | |
| Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
| CN114626079A (zh) | 基于用户权限的文件查看方法、装置、设备及存储介质 | |
| CN113221154A (zh) | 服务密码获取方法、装置、电子设备及存储介质 | |
| CN101192263A (zh) | 信息处理系统及方法 | |
| CN115086047B (zh) | 接口鉴权方法、装置、电子设备及存储介质 | |
| CN112988888B (zh) | 密钥管理方法、装置、电子设备及存储介质 | |
| CN115987497A (zh) | Hss越权访问防护方法、系统、电子设备及存储介质 | |
| CN114697132A (zh) | 重复访问请求攻击拦截方法、装置、设备及存储介质 | |
| CN115102770A (zh) | 基于用户权限的资源访问方法、装置、设备及存储介质 | |
| CN115001767A (zh) | 基于国密加密卡的服务调用的方法、装置、设备及介质 | |
| CN113792323A (zh) | 一种基于农产品的敏感数据加密方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |