CN116015906B - 用于隐私计算的节点授权方法、节点通信方法和装置 - Google Patents
用于隐私计算的节点授权方法、节点通信方法和装置Info
- Publication number
- CN116015906B CN116015906B CN202211709291.2A CN202211709291A CN116015906B CN 116015906 B CN116015906 B CN 116015906B CN 202211709291 A CN202211709291 A CN 202211709291A CN 116015906 B CN116015906 B CN 116015906B
- Authority
- CN
- China
- Prior art keywords
- node
- key
- authorization
- authorized
- verified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 204
- 238000000034 method Methods 0.000 title claims abstract description 92
- 238000004891 communication Methods 0.000 title claims abstract description 76
- 238000004364 calculation method Methods 0.000 title abstract description 48
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000012795 verification Methods 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 241000579895 Chlorostilbon Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000010976 emerald Substances 0.000 description 1
- 229910052876 emerald Inorganic materials 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000010977 jade Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- ZLIBICFPKPWGIZ-UHFFFAOYSA-N pyrimethanil Chemical compound CC1=CC(C)=NC(NC=2C=CC=CC=2)=N1 ZLIBICFPKPWGIZ-UHFFFAOYSA-N 0.000 description 1
- 238000011158 quantitative evaluation Methods 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Abstract
本说明书的实施例提供了一种用于隐私计算的节点授权方法、节点通信方法和装置。在该用于隐私计算的节点授权方法中,基于授权节点和待被授权节点共同的信任根分别向授权节点和待被授权节点签发的第一数字证书和第二数字证书进行节点认证;响应于节点认证通过,在节点认证通过的有效期内执行以下授权凭证协商步骤:生成第一密钥;接收待被授权节点发送的第二加密密钥,其中,第二加密密钥使用经对第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;根据第一密钥和使用授权节点的私钥对第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
Description
技术领域
本说明书实施例通常涉及计算机技术领域,尤其涉及用于隐私计算的节点授权方法、节点通信方法和装置。
背景技术
随着计算机技术的飞速发展和对数据安全的日益重视,隐私计算(Privacycompute)技术也取得了越来越多的应用。由于隐私计算往往需要多方参与,为了保证数据的安全,各参与方之间的交互与协同都依赖于高效、安全的授权方式。而采用现有技术中的SSL(secure socket layer,安全套接层)协议或TLS(transport layer security,安全传输层)协议则需要通信双方建立相应的链路连接,并不适用于隐私计算中各方在进行节点授权时已通过7层代理(例如nginx)完成TLS卸载因而无法形成上述链路连接的情况。因此,如何实现隐私计算的参与方之间的节点授权成为需要解决的问题。
发明内容
鉴于上述,本说明书实施例提供了一种用于隐私计算的节点授权方法、节点通信方法和装置。利用该方法、装置,可以实现共同参与隐私计算的不同参与方之间的授权和通信。
根据本说明书的实施例的一个方面,提供一种用于隐私计算的节点授权方法,其中,所述隐私计算的参与方包括授权节点和待被授权节点,应用于所述授权节点的节点授权方法包括:基于第一数字证书和第二数字证书进行节点认证,其中,所述第一数字证书和所述第二证书是所述授权节点和所述待被授权节点共同的信任根分别向所述授权节点和所述待被授权节点签发的数字证书,所述信任根的根证书预置于所述授权节点和所述待被授权节点;响应于节点认证通过,在所述节点认证通过的有效期内执行以下授权凭证协商步骤:生成第一密钥;接收所述待被授权节点发送的第二加密密钥,其中,所述第二加密密钥使用经对所述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;根据所述第一密钥和使用所述授权节点的私钥对所述第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
根据本说明书的实施例的另一个方面,提供一种用于隐私计算的节点通信方法,其中,所述隐私计算的参与方包括第一计算参与方和第二计算参与方,应用于所述第一计算参与方的节点通信方法包括:接收目标节点发送的通信数据,其中,所述目标节点位于所述第二计算参与方;根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点,其中,所述授权凭证通过如上所述的节点授权方法生成;响应于所述目标节点属于具备访问权限的节点,回复与所述通信数据相应的答复信息。
根据本说明书的实施例的又一个方面,提供一种用于隐私计算的节点授权装置,其中,所述隐私计算的参与方包括授权节点和待被授权节点,应用于所述授权节点的节点授权装置包括:节点认证单元,被配置为基于第一数字证书和第二数字证书进行节点认证,其中,所述第一数字证书和所述第二证书是所述授权节点和所述待被授权节点共同的信任根分别向所述授权节点和所述待被授权节点签发的数字证书,所述信任根的根证书预置于所述授权节点和所述待被授权节点;授权凭证协商单元,被配置为响应于节点认证通过,在所述节点认证通过的有效期内执行以下授权凭证协商步骤:生成第一密钥;接收所述待被授权节点发送的第二加密密钥,其中,所述第二加密密钥使用经对所述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;根据所述第一密钥和使用所述授权节点的私钥对所述第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
根据本说明书的实施例的再一个方面,提供一种用于隐私计算的节点通信装置,其中,所述隐私计算的参与方包括第一计算参与方和第二计算参与方,应用于所述第一计算参与方的节点通信装置包括:接收单元,被配置为接收目标节点发送的通信数据,其中,所述目标节点位于所述第二计算参与方;确定单元,被配置为根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点,其中,所述授权凭证通过如上所述的节点授权方法生成;答复单元,被配置为响应于所述目标节点属于具备访问权限的节点,回复与所述通信数据相应的答复信息。
根据本说明书的实施例的另一方面,提供一种用于隐私计算的节点授权装置,包括:至少一个处理器,以及与所述至少一个处理器耦合的存储器,以及存储在所述存储器上的计算机程序,所述至少一个处理器执行所述计算机程序来实现如上所述的节点授权方法。
根据本说明书的实施例的另一方面,提供一种用于隐私计算的节点通信装置,包括:至少一个处理器,以及与所述至少一个处理器耦合的存储器,以及存储在所述存储器上的计算机程序,所述至少一个处理器执行所述计算机程序来实现如上所述的节点通信方法。
根据本说明书的实施例的另一方面,提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的用于隐私计算的节点授权方法和/或实现如上所述的用于隐私计算的节点通信方法。
根据本说明书的实施例的另一方面,提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行来实现如上所述的用于隐私计算的节点授权方法和/或实现如上所述的用于隐私计算的节点通信方法。
附图说明
通过参照下面的附图,可以实现对于本说明书内容的本质和优点的进一步理解。在附图中,类似组件或特征可以具有相同的附图标记。
图1示出了根据本说明书的实施例的用于隐私计算的节点授权方法和装置、节点通信方法和装置的示例性架构。
图2示出了根据本说明书的实施例的用于隐私计算的节点授权方法的一个示例的流程图。
图3示出了根据本说明书的实施例的用于隐私计算的节点授权方法的节点认证过程的一个示例的流程图。
图4示出了根据本说明书的实施例的用于隐私计算的节点授权方法的对第一待验证信息的验证过程的一个示例的流程图。
图5示出了根据本说明书的实施例的用于隐私计算的节点授权方法的一个示例的信令图。
图6示出了根据本说明书的实施例的用于隐私计算的节点通信方法的一个示例的流程图。
图7示出了根据本说明书的实施例的用于隐私计算的节点授权装置的一个示例的方框图。
图8示出了根据本说明书的实施例的用于隐私计算的节点授权装置中节点认证单元的一个示例的方框图。
图9示出了根据本说明书的实施例的用于隐私计算的节点通信装置的一个示例的方框图。
图10示出了根据本说明书的实施例的用于隐私计算的节点授权装置的一个示例的方框图。
图11示出了根据本说明书的实施例的用于隐私计算的节点通信装置的一个示例的方框图。
具体实施方式
以下将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本说明书实施例内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
在本说明书中,术语“隐私计算”是指面向隐私信息全生命周期保护的计算理论和方法,具体是指在处理视频、音频、图像、图形、文字、数值、泛在网络行为信息流等信息时,对所涉及的隐私信息进行描述、度量、评价和融合等操作,形成一套符号化、公式化且具有量化评价标准的隐私计算理论、算法及应用技术,支持多系统融合的隐私信息保护。
在本说明书中,术语“数字证书(digital certificate)”是指在互联网通讯中标志通讯各方身份信息的一个数字认证。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。数字证书的基本架构是公钥基础设施(Public Key Infrastructure,PKI),即利用一对密钥实施加密和解密。其中密钥包括私钥和公钥,私钥主要用于签名和解密,由用户保存;公钥用于签名验证和加密,可被多个用户共享。
下面将结合附图来详细描述根据本说明书实施例的用于隐私计算的节点授权方法、节点通信方法和装置。
图1示出了根据本说明书实施例的用于隐私计算的节点授权方法、节点通信方法和装置的示例性架构100。
在图1中,用于隐私计算的中心节点120、隐私计算节点1(如图1中的130所示)和隐私计算节点(如图1中的140所示)之间可以通过网络110进行互连。上述网络110可以是能够对网络实体进行互连的任何类型的网络。网络可以是单个网络或各种网络的组合。在覆盖范围方面,网络可以是局域网(LAN)、广域网(WAN)等。在承载介质方面,网络可以是有线网络、无线网络等。在数据交换技术方面,网络可以是电路交换网络、分组交换网络等。
中心节点120可以用以管理、调度、协调整个隐私计算集群的资源和状态。隐私计算节点1(如图1中的130所示)、隐私计算节点2(如图1中的140所示)等可以部署于云计算服务商的主站和各合作机构,负责执行各种具体计算任务,例如离线训练任务,运行在线模型服务等。
需要说明的是,本公开中的用于隐私计算的节点授权方法所涉及的授权节点和待被授权节点可以是属于同一隐私计算平台的节点,也可以是借助于不同隐私计算平台之间互联互通技术而分属于不同隐私计算平台而共同参与隐私计算的节点,此处不作限定。
应当理解,图1中所示的所有网络实体都是示例性的,根据具体的应用需求,架构100中可以涉及任何其它网络实体。
图2示出了根据本说明书的实施例的用于隐私计算的节点授权方法200的流程图。
如图2所示,在210,基于第一数字证书和第二数字证书进行节点认证。
在本实施例中,可以通过各种方式基于第一数字证书和第二数字证书进行节点认证。其中,上述第一数字证书和第二证书可以是授权节点和待被授权节点共同的信任根分别向上述授权节点和上述待被授权节点签发的数字证书。上述信任根的根证书(root CA)可以预置于上述授权节点和上述待被授权节点。作为示例,上述授权节点可以部署于地方性银行A,上述待被授权节点可以部署于地方性银行B,上述信任根的根证书的颁发机构可以是中国人民银行,即被地方性银行A和地方性银行B共同信任的机构。
在一个示例中,可以在授权节点和待被授权节点的节点部署过程中预置上述信任根的根证书。上述信任根可以使用自己的私钥分别向上述授权节点和上述待被授权节点签名出一份X.509格式的数字证书。由于上述数字证书是使用信任根的私钥对包含授权节点或待被授权节点的公钥的内容进行加密而得到的,上述授权节点可以使用自己的私钥基于上述第二数字证书对上述待被授权节点的公钥进行验证。同理,上述待被授权节点可以使用自己的私钥基于上述第一数字证书对上述授权节点的公钥进行验证,从而实现节点认证。
图3示出了根据本说明书的实施例的用于隐私计算的节点授权方法的节点认证过程300的一个示例的流程图。
如图3所示,在310,向待被授权节点发送用于认证的第一密钥协商请求。
在本实施例中,授权节点可以向待被授权节点发送用于认证的第一密钥协商请求。在一个示例中,上述第一密钥协商请求中可以包括密钥协商参数。上述密钥协商参数例如可以包括所使用的加密方式。上述加密方式例如可以包括但不限于以下至少一项:高级加密标准(Advanced Encryption Standard,AES),SM4.0(一种国家密码局认定的国产密码算法)。
在320,接收待被授权节点发送的第一待验证信息。
在本实施例中,可以接收待被授权节点发送的与上述第一密钥协商请求相对应的第一待验证信息。其中,上述第一待验证信息可以为待被授权节点对上述第一密钥协商请求的响应。上述第一待验证信息可以包括上述第二数字证书和使用上述待被授权节点的私钥加密得到的第一待验证字符串。在一个示例中,上述第一待验证字符串可以是使用上述待被授权节点的私钥针对指定内容进行加密后所得到的。在一个示例中,上述第一待验证信息中可以包括待被授权节点所选定的密钥协商参数。
在330,基于信任根的公钥对第一待验证信息进行验证。
在本实施例中,可以通过各种方式基于信任根的公钥对第一待验证信息进行验证。在一个示例中,可以使用信任根的公钥对上述第一待验证信息中的第二数字证书进行解密,从而得到上述待被授权节点的公钥。之后,可以使用对上述第二数字证书解密得到的待被授权节点的公钥对上述第一待验证信息中的第一待验证字符串进行解密。在一个示例中,响应于对上述第一待验证字符串解密成功,确定对第一待验证信息的验证通过。在一个示例中,响应于上述第一待验证字符串解密得到的指定内容无误,确定对第一待验证信息的验证通过。
图4示出了根据本说明书的实施例的用于隐私计算的节点授权方法的对第一待验证信息的验证过程400的一个示例的流程图。
如图4所示,在410,根据信任根的公钥对第二数字证书进行解密,得到待被授权节点的公钥。
在本实施例中,可以根据上述信任根的公钥对上述第二数字证书进行解密,得到待被授权节点的公钥。
在420,根据所得到的待被授权节点的公钥对第一待验证字符串进行解密,得到待验证请求体。
在本实施例中,上述第一待验证字符串可以包括使用上述待被授权节点的私钥对上述第一密钥协商请求的请求体进行加密后得到的哈希值。在一个示例中,可以使用上述所得到的待被授权节点的公钥对上述第一待验证字符串进行解密,得到待验证请求体。
在430,响应于确定待验证请求体与密钥协商请求的请求体一致,确定验证通过。
在本实施例中,可以通过确定上述解密得到的待验证请求体与所发送的密钥协商请求的请求体是否一致,确定验证通过。当待验证请求体与所发送的密钥协商请求的请求体一致时确定验证通过。
基于此,可以利用密钥协商请求的请求体实现对第一待验证信息的验证,无需额外传送信息,从而提高信息验证的效率。
回到图3,在340,响应于验证通过,向待被授权节点发送第二待验证信息。
在本实施例中,响应于验证通过,授权节点可以向待被授权节点发送第二待验证信息。其中,上述第二待验证信息可以包括上述第一数字证书和使用上述授权节点的私钥加密得到的第二待验证字符串。上述第二待验证信息用于上述待被授权节点对上述授权节点进行节点认证。在一个示例中,上述第二待验证字符串可以是使用上述授权节点的私钥针对预定内容进行加密后所得到的。
在一个示例中,上述待被授权节点可以基于上述第二待验证信息对上述授权节点进行节点认证。对上述授权节点进行节点认证的具体方式可以参考前述图3、图4实施例所描述的节点认证过程和对第一待验证信息的验证过程的相关描述,此处不再赘述。在一个示例中,上述第一待验证信息中可以包括待被授权节点所选定的密钥协商参数。
在350,接收待被授权节点发送的指示认证通过的信息。
在本实施例中,当上述待被授权节点基于上述第二待验证信息对上述授权节点认证通过,可以向授权节点发送指示认证通过的信息。从而,授权节点可以接收上述待被授权节点发送的指示认证通过的信息。
基于此,可以实现授权节点和待被授权节点双方的节点认证,为后续授权过程提供技术基础。
回到图2,在220,判断节点认证是否通过。
在步骤220判断为是的情况下,继续执行以下步骤221至223。
在221,生成第一密钥。
在本实施例中,授权节点可以在对被授权节点的节点认证通过的情况下生成第一密钥。在一个示例中,上述第一密钥可以是授权节点随机生成的256bit的字符串。
在222,接收待被授权节点发送的第二加密密钥。
在本实施例中,授权节点可以接收待被授权节点发送的第二加密密钥。其中,上述第二加密密钥可以使用经对上述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到。在一个示例中,上述第二密钥可以是待被授权节点随机生成的256bit的字符串。在一个示例中,待被授权节点可以使用上述信任根的公钥对上述第一数字证书进行解密,得到授权节点的公钥。待被授权节点再使用上述解密过程得到的授权节点的公钥对上述第二密钥进行加密,得到向授权节点发送的第二加密密钥。
在223,根据第一密钥和使用授权节点的私钥对第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
在本实施例中,授权节点可以使用自己的私钥对所接收的第二加密密钥进行解密,得到第二密钥。之后,可以利用经过与待被授权节点协商的密钥生成算法,根据上述第一密钥和第二密钥生成作为授权凭证的密钥。
在本实施例的一些可选的实现方式中,在上述步骤221之后,还可以执行以下步骤224、225。
在224,使用经对第二数字证书处理后得到的第二公钥对所生成的第一密钥进行加密,得到第一加密密钥。
在一个示例中,可以使用上述信任根的公钥对上述第二数字证书进行解密,得到第二公钥,即待被授权节点的公钥。授权节点再使用上述解密过程得到的待被授权节点的公钥对上述第一密钥进行加密,得到第一加密密钥。
在225,向待被授权节点发送第一加密密钥,以使待被授权节点根据第二密钥和使用待被授权节点的私钥对第一加密密钥进行解密后得到的第一密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
在一个示例中,授权节点可以向待被授权节点发送上述第一加密密钥。从而,可以使待被授权节点使用自己的私钥对上述第一加密密钥进行解密,得到第一密钥。待被授权节点可以根据解密得到的第一密钥和本方生成的第二密钥,使用与上述相同的经协商的密钥生成算法生成作为授权凭证的密钥。
可选地,上述步骤224、225也可以在上述步骤222、223之前,此处不作限定。
基于此,可以实现授权节点和待被授权节点分别在本地生成相同的、作为授权凭证的密钥,用以后续进行授权。
在本实施例的一些可选的实现方式中,上述授权凭证可以对应有上述授权节点指定的有效期信息。上述授权节点和待被授权节点可以分别将所生成的授权凭证保存在本方,用以后续的授权比对。
在本实施例的一些可选的实现方式中,授权节点还可以在目标时间点向上述待被授权节点发送用于授权的第二密钥协商请求,以继续执行上述授权凭证协商步骤(例如上述步骤221至223,步骤221至225),生成新的授权凭证。
在一个示例中,上述目标时间点与上述有效期信息所指示的失效时间点之间通常存在时间间隔。在上述时间间隔内可以保持上述授权凭证和上述新的授权凭证均有效。例如,授权节点可以在上述有效期信息所指示的失效时间点之前3分钟向上述待被授权节点发送用于授权的第二密钥协商请求,从而在生成新的授权凭证后至上述失效时间点之间保持原授权凭证和上述新的授权凭证均有效。
基于此,可以由授权方实现对授权凭证的周期性更新,并且实现新的授权凭证在时间窗口内的平滑过渡。而且,通过由授权方主动发起授权凭证的协商和周期性授权,有效缓解了由待被授权方请求授权的低效和安全风险。
图5示出了根据本说明书的实施例的用于隐私计算的节点授权方法500的一个示例的信令图。
如图5所示,在511,信任根向授权节点发送第一数字证书。
在512,信任根向待被授权节点发送第二数字证书。
在一个示例中,上述预置证书510的过程可以参考前述图2实施例中步骤210的相关描述,此处不再赘述。
针对节点认证520的过程,在521,授权节点向待被授权节点发送第一密钥协商请求。
在一个示例中,可以参考图3实施例中步骤310的具体描述。
在522,待被授权节点向授权节点发送第一待验证信息。
在一个示例中,可以参考图3实施例中步骤320的相关描述。
在523,授权节点基于信任根的公钥对第一待验证信息进行验证。
在一个示例中,可以参考图3实施例中步骤330或图4实施例的验证过程400的相关描述。
在524,响应于验证通过,授权节点向待被授权节点发送第二待验证信息。
在一个示例中,可以参考图3实施例中步骤340的具体描述。
在525,待被授权节点基于信任根的公钥对第二待验证信息进行验证。
在一个示例中,待被授权节点可以基于信任根的公钥对上述第二待验证信息中的第一数字证书进行解密,得到授权节点的公钥。之后,使用解密得到的授权节点的公钥对上述第二待验证信息中的第二待验证字符串进行解密,若解密成功,则确定验证通过。
在526,响应于验证通过,待被授权节点向授权节点发送指示认证通过的信息。
在一个示例中,可以参考图3实施例中步骤350的相关描述。
针对授权凭证协商530的过程,在531,生成第一密钥。
在一个示例中,可以参考图2实施例中步骤221的具体描述。
在532,授权节点向待被授权节点发送对第一密钥进行加密后得到的第一加密密钥。
在一个示例中,可以参考图2实施例中步骤224、225的相关描述。
在533,待被授权节点基于第一数字证书对第一加密密钥进行解密,得到第一密钥。
在534,待被授权节点向授权节点发送对第二密钥进行加密后得到的第二加密密钥。
在一个示例中,可以参考图2实施例中步骤222的相关描述。
在535,授权节点基于第二数字证书对第二加密密钥进行解密,得到第二密钥。
在536,授权节点根据第一密钥和第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
在一个示例中,可以参考图2实施例中步骤223的相关描述。
在537,待被授权节点根据第一密钥和第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
在一个示例中,步骤533、537可以参考图2实施例中步骤225的相关描述。
利用图1-图5中公开的用于隐私计算的节点授权方法,通过将节点授权方法划分为节点认证和授权凭证协商两个阶段,一方面在节点认证阶段采用双方基于共同的信任根所签发的数字证书进行认证而无需与信任根进行交互,整个过程无需信任根保持在线,提高了方案的适用性。另一方面在前期节点认证通过的基础上进行授权凭证协商,无需每次协商均进行身份认证,且通过双方节点各自在本地生成作为授权凭证的密钥,提供了一种尤其适用于隐私计算等无需依赖SSL或TLS的节点授权方法。
图6示出了根据本说明书的实施例的用于隐私计算的节点通信方法600的一个示例的流程图。
如图6所示,在610,接收目标节点发送的通信数据。
在本实施例中,位于第一计算参与方的节点可以接收位于第二计算参与方的目标节点发送的通信数据。上述第一计算参与方和第二计算参与方共同参与隐私计算。
在620,根据本地保存的授权凭证确定目标节点是否属于具备访问权限的节点。
在本实施例中,位于第一计算参与方的节点可以根据本地保存的授权凭证确定上述目标节点是否属于具备访问权限的节点。其中,上述本地保存的授权凭证通过如前述图2至图5实施例所描述的用于隐私计算的节点授权方法生成。
在一个示例中,上述通信数据的预设字段中可以包括待验证的授权凭证。可以根据从上述预设字段中提取的待验证的授权凭证与本地保存的授权凭证是否一致,确定上述目标节点是否属于具备访问权限的节点。具体地,当一致时,可以确定上述目标节点属于具备访问权限的节点。当不一致时,可以确定上述目标节点不属于具备访问权限的节点。在一个示例中,上述预设字段可以是在请求头中预先定义的字段。
在一个示例中,上述通信数据中可以包括使用待验证的授权凭证进行加密后的加密数据。可以使用本地保存的授权凭证对上述加密数据进行解密,根据所得到的解密后数据确定上述目标节点是否属于具备访问权限的节点。在一个示例中,目标节点可以根据待验证的授权凭证(即目标节点本地保存的授权凭证)对指定内容进行加密,得到通信数据中的上述加密数据。位于第一计算参与方的节点可以根据本地保存的授权凭证对上述加密数据进行解密,当能够成功解密时,可以确定上述目标节点属于具备访问权限的节点;当无法成功解密时,可以确定上述目标节点不属于具备访问权限的节点。可选地,还可以将解密得到的内容与上述指定内容进行比对,当一致时可以确定上述目标节点属于具备访问权限的节点,否则反之。
在630,响应于目标节点属于具备访问权限的节点,回复与通信数据相应的答复信息。
在本实施例中,响应于目标节点属于具备访问权限的节点,位于第一计算参与方的节点可以回复与通信数据相应的答复信息。在一个示例中,上述通信数据可以是数据查询请求,则上述答复信息可以是与上述数据查询请求相对应的数据查询结果。在一个示例中,上述通信数据可以是任务状态查询请求,则上述答复信息可以是与上述任务状态查询请求相对应的任务状态信息。
利用图6中公开的节点通信方法,可以通过参与隐私计算的第一计算参与方和第二计算参与方之间传输的通信数据中包含的与授权凭证相关的内容(例如预设字段或加密数据)与本方保存的授权凭证是否一致,来确定对方是否具备访问权限进而确定是否进行答复,从而提供了一种可以根据安全性要求来选取对称加密或直接比对的方式进行通信前的授权认证的方式,可以兼顾安全性与运算资源的消耗。
图7示出了根据本说明书的实施例的用于隐私计算的节点授权装置700的一个示例的方框图。该装置实施例可以与图2-图5所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图7所示,用于隐私计算的节点授权装置700可以包括节点认证单元710和授权凭证协商单元720。
节点认证单元710,被配置为基于第一数字证书和第二数字证书进行节点认证,其中,所述第一数字证书和所述第二证书是所述授权节点和所述待被授权节点共同的信任根分别向所述授权节点和所述待被授权节点签发的数字证书,所述信任根的根证书预置于所述授权节点和所述待被授权节点。节点认证单元710的操作可以参考上面图2描述的210的操作。
在一个示例中,如图8所示,节点认证单元800可以包括第一发送模块810、第一接收模块820、验证模块830、第二发送模块840、第二接收模块850。
第一发送模块810,可以被配置为向所述待被授权节点发送用于认证的第一密钥协商请求。第一发送模块810的操作可以参考上面图3描述的310的操作。
第一接收模块820,可以被配置为接收所述待被授权节点发送的第一待验证信息。其中,所述第一待验证信息包括所述第二数字证书和使用所述待被授权节点的私钥加密得到的第一待验证字符串。第一接收模块820的操作可以参考上面图3描述的320的操作。
验证模块830,可以被配置为基于所述信任根的公钥对所述第一待验证信息进行验证。验证模块830的操作可以参考上面图3描述的330的操作。
在一个示例中,第一待验证字符串可以包括使用所述待被授权节点的私钥对所述第一密钥协商请求的请求体进行加密后得到的哈希值。所述验证模块830可以进一步被配置为:根据所述信任根的公钥对所述第二数字证书进行解密,得到所述待被授权节点的公钥;根据所得到的所述待被授权节点的公钥对所述待第一验证字符串进行解密,得到待验证请求体;响应于确定所述待验证请求体与所述密钥协商请求的请求体一致,确定验证通过。验证模块830的上述操作可以参考上面图4描述的对第一待验证信息的验证过程400的操作。
第二发送模块840,可以被配置为响应于验证通过,向所述待被授权节点发送第二待验证信息。其中,所述第二待验证信息包括所述第一数字证书和使用所述授权节点的私钥加密得到的第二待验证字符串。第二发送模块840的操作可以参考上面图3描述的340的操作。
第二接收模块850,被配置为接收所述待被授权节点发送的指示认证通过的信息。第二接收模块850的操作可以参考上面图3描述的350的操作。
回到图7,授权凭证协商单元720,可以被配置为响应于节点认证通过,在所述节点认证通过的有效期内执行以下授权凭证协商步骤:生成第一密钥;接收所述待被授权节点发送的第二加密密钥,其中,所述第二加密密钥使用经对所述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;根据所述第一密钥和使用所述授权节点的私钥对所述第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。授权凭证协商单元720的操作可以参考上面图2描述的220、221至223的操作。
在一个示例中,授权凭证协商单元720,可以进一步被配置为:使用经对所述第二数字证书处理后得到的第二公钥对所生成的第一密钥进行加密,得到第一加密密钥;向所述待被授权节点发送所述第一加密密钥,以使所述待被授权节点根据所述第二密钥和使用所述待被授权节点的私钥对所述第一加密密钥进行解密后得到的第一密钥使用所述协商的密钥生成算法生成作为授权凭证的密钥。授权凭证协商单元720的上述操作可以参考上面图2描述的224、225的操作。
在一个示例中,上述授权凭证可以对应有所述授权节点指定的有效期信息。上述授权凭证协商单元720还可以包括:保存模块,被配置为将所生成的授权凭证保存在本方。上述授权凭证协商单元720可以被进一步配置为:在目标时间点向所述待被授权节点发送用于授权的第二密钥协商请求,以继续执行所述授权凭证协商步骤,生成新的授权凭证,其中,所述目标时间点与所述有效期信息所指示的失效时间点之间存在时间间隔,在所述时间间隔内保持所述授权凭证和所述新的授权凭证均有效。授权凭证协商单元720的上述操作可以参考上面图2描述的可选的实现方式的相应操作。
图9示出了根据本说明书的实施例的用于隐私计算的节点通信装置900的一个示例的方框图。该装置实施例可以与图6所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图9所示,用于隐私计算的节点通信装置900可以包括接收单元910、确定单元920和答复单元930。
接收单元910,可以被配置为接收目标节点发送的通信数据。其中,所述目标节点位于所述第二计算参与方。接收单元910的操作可以参考上面图6描述的610的操作。
确定单元920,可以被配置为根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点。其中,所述授权凭证通过如上述的节点授权方法生成。确定单元920的操作可以参考上面图6描述的620的操作。
在一个示例中,上述通信数据的预设字段中可以包括待验证的授权凭证。上述确定单元920可以进一步被配置为:根据所述待验证的授权凭证与本地保存的授权凭证是否一致,确定所述目标节点是否属于具备访问权限的节点。确定单元920的上述操作可以参考上面图6描述的620中一个示例的相应操作。
在一个示例中,上述通信数据中可以包括使用待验证的授权凭证进行加密后的加密数据。上述确定单元进一步被配置为:使用本地保存的授权凭证对所述加密数据进行解密,根据所得到的解密后数据确定所述目标节点是否属于具备访问权限的节点。确定单元920的上述操作可以参考上面图6描述的620中一个示例的相应操作。
答复单元930,可以被配置为响应于所述目标节点属于具备访问权限的节点,回复与所述通信数据相应的答复信息。答复单元930的操作可以参考上面图6描述的630的操作。
以上参照图1到图9,对根据本说明书实施例的用于隐私计算的节点授权方法和装置、以及用于隐私计算的节点通信方法和装置的实施例进行了描述。
本说明书实施例的用于隐私计算的节点授权装置和用于隐私计算的节点通信装置可以采用硬件实现,也可以采用软件或者硬件和软件的组合来实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将存储器中对应的计算机程序指令读取到内存中运行形成的。在本说明书实施例中,用于隐私计算的节点授权装置和用于隐私计算的节点通信装置例如可以利用电子设备实现。
图10示出了本说明书的实施例的用于隐私计算的节点授权装置1000的示意图。
如图10所示,用于隐私计算的节点授权装置1000可以包括至少一个处理器1010、存储器(例如,非易失性存储器)1020、内存1030和通信接口1040,并且至少一个处理器1010、存储器1020、内存1030和通信接口1040经由总线1050连接在一起。至少一个处理器1010执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器1010:基于第一数字证书和第二数字证书进行节点认证,其中,所述第一数字证书和所述第二证书是所述授权节点和所述待被授权节点共同的信任根分别向所述授权节点和所述待被授权节点签发的数字证书,所述信任根的根证书预置于所述授权节点和所述待被授权节点;响应于节点认证通过,在所述节点认证通过的有效期内执行以下授权凭证协商步骤:生成第一密钥;接收所述待被授权节点发送的第二加密密钥,其中,所述第二加密密钥使用经对所述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;根据所述第一密钥和使用所述授权节点的私钥对所述第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器1010进行本说明书的各个实施例中以上结合图1-5描述的各种操作和功能。
图11示出了本说明书的实施例的用于隐私计算的节点通信装置1100的示意图。
如图11所示,用于隐私计算的节点通信装置1100可以包括至少一个处理器1110、存储器(例如,非易失性存储器)1120、内存1130和通信接口1140,并且至少一个处理器1110、存储器1120、内存1130和通信接口1140经由总线1150连接在一起。至少一个处理器1110执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器1110:接收目标节点发送的通信数据,其中,所述目标节点位于所述第二计算参与方;根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点,其中,所述授权凭证通过如上所述的节点授权方法生成;响应于所述目标节点属于具备访问权限的节点,回复与所述通信数据相应的答复信息。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器1110进行本说明书的各个实施例中以上结合图6描述的各种操作和功能。
根据一个实施例,提供了一种例如计算机可读介质的程序产品。计算机可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被计算机执行时,使得计算机执行本说明书的各个实施例中以上结合图1-6描述的各种操作和功能。
具体地,可以提供配有可读存储介质的系统或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
在这种情况下,从可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的可读存储介质构成了本发明的一部分。
本说明书各部分操作所需的计算机程序代码可以用任意一种或多种程序语言编写,包括面向对象编程语言,如Java、Scala、Smalltalk、Eiffel、JADE、Emerald、C++、C#、VB、NET以及Python等,常规程序化编程语言如C语言、Visual Basic 2003、Perl、COBOL2002、PHP以及ABAP,动态编程语言如Python、Ruby和Groovy,或者其他编程语言等。该程序编码可以在用户计算机上运行,或者作为独立的软件包在用户计算机上运行,或者部分在用户计算机上运行另一部分在远程计算机运行,或者全部在远程计算机或服务器上运行。在后一种情况下,远程计算机可以通过任何网络形式与用户计算机连接,比如局域网(LAN)或广域网(WAN),或连接至外部计算机(例如通过因特网),或者在云计算环境中,或者作为服务使用,比如软件即服务(SaaS)。
可读存储介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD-RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
上述各流程和各系统结构图中不是所有的步骤和单元都是必须的,可以根据实际的需要忽略某些步骤或单元。各步骤的执行顺序不是固定的,可以根据需要进行确定。上述各实施例中描述的装置结构可以是物理结构,也可以是逻辑结构,即,有些单元可能由同一物理实体实现,或者,有些单元可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
在整个本说明书中使用的术语“示例性”意味着“用作示例、实例或例示”,并不意味着比其它实施例“优选”或“具有优势”。出于提供对所描述技术的理解的目的,具体实施方式包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,为了避免对所描述的实施例的概念造成难以理解,公知的结构和装置以框图形式示出。
以上结合附图详细描述了本说明书的实施例的可选实施方式,但是,本说明书的实施例并不限于上述实施方式中的具体细节,在本说明书的实施例的技术构思范围内,可以对本说明书的实施例的技术方案进行多种简单变型,这些简单变型均属于本说明书的实施例的保护范围。
本说明书内容的上述描述被提供来使得本领域任何普通技术人员能够实现或者使用本说明书内容。对于本领域普通技术人员来说,对本说明书内容进行的各种修改是显而易见的,并且,也可以在不脱离本说明书内容的保护范围的情况下,将本文所定义的一般性原理应用于其它变型。因此,本说明书内容并不限于本文所描述的示例和设计,而是与符合本文公开的原理和新颖性特征的最广范围相一致。
Claims (18)
1.一种用于隐私计算的节点授权方法,其中,所述隐私计算的参与方包括授权节点和待被授权节点,应用于所述授权节点的节点授权方法包括:
基于第一数字证书和第二数字证书进行节点认证,其中,所述第一数字证书和所述第二数字证书是所述授权节点和所述待被授权节点共同的信任根分别向所述授权节点和所述待被授权节点签发的数字证书,所述信任根的根证书预置于所述授权节点和所述待被授权节点;
响应于节点认证通过,在所述节点认证通过的有效期内执行以下授权凭证协商步骤:
生成第一密钥;
接收所述待被授权节点发送的第二加密密钥,其中,所述第二加密密钥使用经对所述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;以及
根据所述第一密钥和使用所述授权节点的私钥对所述第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥;
其中,所述基于第一数字证书和第二数字证书进行节点认证包括:
向所述待被授权节点发送用于认证的第一密钥协商请求,其中,所述第一密钥协商请求中包括用于指示所使用的加密方式的密钥协商参数;
接收所述待被授权节点发送的第一待验证信息,其中,所述第一待验证信息包括所述第二数字证书、所述待被授权节点所选定的密钥协商参数和使用所述待被授权节点的私钥对所述第一密钥协商请求的请求体进行加密得到的第一待验证字符串;
基于所述信任根的公钥对所述第一待验证信息进行验证;
响应于验证通过,向所述待被授权节点发送第二待验证信息,其中,所述第二待验证信息包括所述第一数字证书和使用所述授权节点的私钥加密得到的第二待验证字符串;以及
接收所述待被授权节点发送的指示认证通过的信息。
2.如权利要求1所述的节点授权方法,其中,在所述生成第一密钥之后,所述授权凭证协商步骤还包括:
使用经对所述第二数字证书处理后得到的第二公钥对所生成的第一密钥进行加密,得到第一加密密钥;以及
向所述待被授权节点发送所述第一加密密钥,以使所述待被授权节点根据所述第二密钥和使用所述待被授权节点的私钥对所述第一加密密钥进行解密后得到的第一密钥使用所述协商的密钥生成算法生成作为授权凭证的密钥。
3.如权利要求1所述的节点授权方法,其中,
所述基于所述信任根的公钥对所述第一待验证信息进行验证包括:
根据所述信任根的公钥对所述第二数字证书进行解密,得到所述待被授权节点的公钥;
根据所得到的所述待被授权节点的公钥对所述第一待验证字符串进行解密,得到待验证请求体;以及
响应于确定所述待验证请求体与所述密钥协商请求的请求体一致,确定验证通过。
4.如权利要求1到3中任一所述的节点授权方法,其中,所述授权凭证对应有所述授权节点指定的有效期信息,
所述授权凭证协商步骤还包括:
将所生成的授权凭证保存在本方,
所述节点授权方法还包括:
在目标时间点向所述待被授权节点发送用于授权的第二密钥协商请求,以继续执行所述授权凭证协商步骤,生成新的授权凭证,其中,所述目标时间点与所述有效期信息所指示的失效时间点之间存在时间间隔,在所述时间间隔内保持所述授权凭证和所述新的授权凭证均有效。
5.一种用于隐私计算的节点通信方法,其中,所述隐私计算的参与方包括第一计算参与方和第二计算参与方,应用于所述第一计算参与方的节点通信方法包括:
接收目标节点发送的通信数据,其中,所述目标节点位于所述第二计算参与方;
根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点,其中,所述授权凭证通过如权利要求1到4中任一所述的节点授权方法生成;以及
响应于所述目标节点属于具备访问权限的节点,回复与所述通信数据相应的答复信息。
6.如权利要求5所述的节点通信方法,其中,所述通信数据的预设字段中包括待验证的授权凭证,
所述根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点包括:
根据所述待验证的授权凭证与本地保存的授权凭证是否一致,确定所述目标节点是否属于具备访问权限的节点。
7.如权利要求5所述的节点通信方法,其中,所述通信数据中包括使用待验证的授权凭证进行加密后的加密数据,
所述根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点包括:
使用本地保存的授权凭证对所述加密数据进行解密,根据所得到的解密后数据确定所述目标节点是否属于具备访问权限的节点。
8.一种用于隐私计算的节点授权装置,其中,所述隐私计算的参与方包括授权节点和待被授权节点,应用于所述授权节点的节点授权装置包括:
节点认证单元,被配置为基于第一数字证书和第二数字证书进行节点认证,其中,所述第一数字证书和所述第二数字证书是所述授权节点和所述待被授权节点共同的信任根分别向所述授权节点和所述待被授权节点签发的数字证书,所述信任根的根证书预置于所述授权节点和所述待被授权节点;
授权凭证协商单元,被配置为响应于节点认证通过,在所述节点认证通过的有效期内执行以下授权凭证协商步骤:生成第一密钥;接收所述待被授权节点发送的第二加密密钥,其中,所述第二加密密钥使用经对所述第一数字证书处理后得到的第一公钥对第二密钥进行加密得到;根据所述第一密钥和使用所述授权节点的私钥对所述第二加密密钥进行解密后得到的第二密钥使用协商的密钥生成算法生成作为授权凭证的密钥;
其中,所述节点认证单元包括:
第一发送模块,被配置为向所述待被授权节点发送用于认证的第一密钥协商请求,其中,所述第一密钥协商请求中包括用于指示所使用的加密方式的密钥协商参数;
第一接收模块,被配置为接收所述待被授权节点发送的第一待验证信息,其中,所述第一待验证信息包括所述第二数字证书、所述待被授权节点所选定的密钥协商参数和使用所述待被授权节点的私钥对所述第一密钥协商请求的请求体进行加密得到的第一待验证字符串;
验证模块,被配置为基于所述信任根的公钥对所述第一待验证信息进行验证;
第二发送模块,被配置为响应于验证通过,向所述待被授权节点发送第二待验证信息,其中,所述第二待验证信息包括所述第一数字证书和使用所述授权节点的私钥加密得到的第二待验证字符串;
第二接收模块,被配置为接收所述待被授权节点发送的指示认证通过的信息。
9.如权利要求8所述的节点授权装置,其中,所述授权凭证协商单元,进一步被配置为:
使用经对所述第二数字证书处理后得到的第二公钥对所生成的第一密钥进行加密,得到第一加密密钥;
向所述待被授权节点发送所述第一加密密钥,以使所述待被授权节点根据所述第二密钥和使用所述待被授权节点的私钥对所述第一加密密钥进行解密后得到的第一密钥使用所述协商的密钥生成算法生成作为授权凭证的密钥。
10.如权利要求8所述的节点授权装置,其中,所述验证模块,进一步被配置为:
根据所述信任根的公钥对所述第二数字证书进行解密,得到所述待被授权节点的公钥;
根据所得到的所述待被授权节点的公钥对所述第一待验证字符串进行解密,得到待验证请求体;
响应于确定所述待验证请求体与所述密钥协商请求的请求体一致,确定验证通过。
11.如权利要求8到10中任一所述的节点授权装置,其中,所述授权凭证对应有所述授权节点指定的有效期信息,所述授权凭证协商单元还包括:
保存模块,被配置为将所生成的授权凭证保存在本方,
所述授权凭证协商单元,被进一步配置为:
在目标时间点向所述待被授权节点发送用于授权的第二密钥协商请求,以继续执行所述授权凭证协商步骤,生成新的授权凭证,其中,所述目标时间点与所述有效期信息所指示的失效时间点之间存在时间间隔,在所述时间间隔内保持所述授权凭证和所述新的授权凭证均有效。
12.一种用于隐私计算的节点通信装置,其中,所述隐私计算的参与方包括第一计算参与方和第二计算参与方,应用于所述第一计算参与方的节点通信装置包括:
接收单元,被配置为接收目标节点发送的通信数据,其中,所述目标节点位于所述第二计算参与方;
确定单元,被配置为根据本地保存的授权凭证确定所述目标节点是否属于具备访问权限的节点,其中,所述授权凭证通过如权利要求1到4中任一所述的节点授权方法生成;
答复单元,被配置为响应于所述目标节点属于具备访问权限的节点,回复与所述通信数据相应的答复信息。
13.如权利要求12所述的节点通信装置,其中,所述通信数据的预设字段中包括待验证的授权凭证,所述确定单元进一步被配置为:
根据所述待验证的授权凭证与本地保存的授权凭证是否一致,确定所述目标节点是否属于具备访问权限的节点。
14.如权利要求12所述的节点通信装置,其中,所述通信数据中包括使用待验证的授权凭证进行加密后的加密数据,所述确定单元进一步被配置为:
使用本地保存的授权凭证对所述加密数据进行解密,根据所得到的解密后数据确定所述目标节点是否属于具备访问权限的节点。
15.一种用于隐私计算的节点授权装置,包括:至少一个处理器,与所述至少一个处理器耦合的存储器,以及存储在所述存储器上的计算机程序,所述至少一个处理器执行所述计算机程序来实现如权利要求1到4中任一所述的节点授权方法。
16.一种用于隐私计算的节点通信装置,包括:至少一个处理器,与所述至少一个处理器耦合的存储器,以及存储在所述存储器上的计算机程序,所述至少一个处理器执行所述计算机程序来实现如权利要求5到7中任一所述的节点通信方法。
17.一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1到4中任一所述的用于隐私计算的节点授权方法或实现如权利要求5到7中任一所述的用于隐私计算的节点通信方法。
18.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行来实现如权利要求1到4中任一所述的用于隐私计算的节点授权方法或实现如权利要求5到7中任一所述的用于隐私计算的节点通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211709291.2A CN116015906B (zh) | 2022-12-29 | 用于隐私计算的节点授权方法、节点通信方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211709291.2A CN116015906B (zh) | 2022-12-29 | 用于隐私计算的节点授权方法、节点通信方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116015906A CN116015906A (zh) | 2023-04-25 |
CN116015906B true CN116015906B (zh) | 2024-07-02 |
Family
ID=
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312691A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云平台的认证与接入方法及系统 |
CN113596004A (zh) * | 2021-07-22 | 2021-11-02 | 支付宝(杭州)信息技术有限公司 | 多方安全计算中的身份认证方法和装置 |
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312691A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云平台的认证与接入方法及系统 |
CN113596004A (zh) * | 2021-07-22 | 2021-11-02 | 支付宝(杭州)信息技术有限公司 | 多方安全计算中的身份认证方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110380852B (zh) | 双向认证方法及通信系统 | |
CN111355745B (zh) | 基于边缘计算网络架构的跨域身份认证方法 | |
KR100827650B1 (ko) | 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법 | |
US8732461B2 (en) | Client apparatus, server apparatus, and program using entity authentication and biometric authentication | |
CN110750803B (zh) | 数据提供和融合的方法及装置 | |
US8670563B2 (en) | System and method for designing secure client-server communication protocols based on certificateless public key infrastructure | |
US10516654B2 (en) | System, apparatus and method for key provisioning delegation | |
US11044082B2 (en) | Authenticating secure channel establishment messages based on shared-secret | |
US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
TW200402981A (en) | Methods for remotely changing a communications password | |
CN109547413B (zh) | 具有数据源认证的可转换的数据云存储的访问控制方法 | |
CN111756528A (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
US11153344B2 (en) | Establishing a protected communication channel | |
WO2022135392A1 (zh) | 身份鉴别方法、装置、设备、芯片、存储介质及程序 | |
WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
US20240113885A1 (en) | Hub-based token generation and endpoint selection for secure channel establishment | |
CN116743372A (zh) | 基于ssl协议的量子安全协议实现方法及系统 | |
CN116599719A (zh) | 一种用户登录认证方法、装置、设备、存储介质 | |
CN113329003B (zh) | 一种物联网的访问控制方法、用户设备以及系统 | |
CN116015906B (zh) | 用于隐私计算的节点授权方法、节点通信方法和装置 | |
KR20200043855A (ko) | Dim을 이용한 드론 인증 방법 및 장치 | |
JP5393594B2 (ja) | 効率的相互認証方法,プログラム,及び装置 | |
CN117176353A (zh) | 处理数据的方法及装置 | |
CN116015906A (zh) | 用于隐私计算的节点授权方法、节点通信方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |