CN116192483A - 认证鉴权方法、装置、设备及介质 - Google Patents
认证鉴权方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116192483A CN116192483A CN202310089040.7A CN202310089040A CN116192483A CN 116192483 A CN116192483 A CN 116192483A CN 202310089040 A CN202310089040 A CN 202310089040A CN 116192483 A CN116192483 A CN 116192483A
- Authority
- CN
- China
- Prior art keywords
- authentication
- server
- preset
- request
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请提出一种认证鉴权方法、装置、设备及介质,该方法应用于第一服务器,运行在第一可信执行环境中,包括:响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取第二服务器存储的预设隐私数据,第二服务器运行在第二可信执行环境中;确定预设隐私数据是否包含认证鉴权请求携带的用户信息;若是,则根据认证鉴权请求和预设鉴权策略库,对应用客户端的访问权限进行鉴权。本申请能够实现认证鉴权流程的安全可信,并通过内存级别的加密隔离方式读取和运行核心隐私数据。
Description
技术领域
本申请属于信息安全技术领域,具体涉及一种认证鉴权方法、装置、设备及介质。
背景技术
随着云计算、人工智能等计算机技术的不断发展,信息产业和云服务等日益成熟,数据异地存储、数据共享等服务也越来越普及,数据分析和数据库处理的工作量便与日俱增,导致数据认证鉴权请求也越来越多。而随着数据需求的增大,数据安全则是当前网络应用面临的一个重要挑战,尤其如何保护个人隐私数据,就更加成为了相关应用平台提供商必需解决的核心问题。
例如,在5G、物联网和智能终端设备日益发展的当下,终端设备需要涉及大量的应用认证鉴权场景。对于一些核心安全应用,往往需要依赖公民身份证信息、人脸图像、指纹特征等个人关键隐私数据,如何在满足应用安全流程的基础上,保证隐私数据的安全可信读写,是数据应用在终端安全普及所亟需解决的一个关键问题。
发明内容
本申请提出一种认证鉴权方法、装置、设备及介质,能够实现认证鉴权流程的安全可信,并通过内存级别的加密隔离方式读取和运行核心隐私数据。
本申请第一方面实施例提出了一种认证鉴权方法,应用于运行在第一可信执行环境中的第一服务器,包括:
响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取所述第二服务器存储的预设隐私数据,所述第二服务器运行在第二可信执行环境中;
确定所述预设隐私数据是否包含所述认证鉴权请求携带的用户信息;
若是,则根据所述认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权。
在本申请一些实施例中,所述第一服务器运行在云上;
所述响应于应用客户端发送的认证鉴权请求,包括:
响应于部署在边缘系统中的应用客户端发送的认证鉴权请求;所述应用客户端分别与云上的所述第一服务器和终端设备连接,接收所述终端设备发送的访问请求,并向所述第一服务器发送认证鉴权请求。
在本申请一些实施例中,所述应用于运行在第一可信执行环境中的第一服务器,包括:
应用于运行在机密容器中的第一服务器,所述机密容器利用所述第一可信执行环境保护容器和数据,实现机密计算。在本申请一些实施例中,所述响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取所述第二服务器存储的预设隐私数据之前,还包括:
与所述应用客户端之间建立可信通道,接收所述应用客户端发送的证明请求;
响应于所述证明请求,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明。
在本申请一些实施例中,所述对所述第一服务器和所述第二服务器之间的认证通道进行可信证明,包括:
基于预设公钥、所述第一可信执行环境的硬件标识以及所述第一服务器和所述第二服务器之间的安全传输协议,生成第一信息令牌;
获取所述第二服务器生成的第二信息令牌;所述第二信息令牌至少包括所述安全传输协议、所述第二可信执行环境的硬件标识及所述预设公钥;
基于所述第一信息令牌和所述第二信息令牌,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明。
在本申请一些实施例中,所述基于所述第一信息令牌和所述第二信息令牌,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明,包括:
分别解析所述第一信息令牌和所述第二信息令牌,得到所述第一信息令牌中包含的安全传输协议,以及所述第二信息令牌中包含的安全传输协议;
确定所述第一信息令牌中包含的安全传输协议,是否与所述第二信息令牌中包含的安全传输协议相同;
若是,则确定所述第一服务器和所述第二服务器之间的认证通道可信。
在本申请一些实施例中,所述根据所述认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权,包括:
根据所述认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略;
基于所述目标鉴权策略对所述用户的访问权限进行鉴权。
在本申请一些实施例中,所述根据所述认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略,包括:
确定所述认证鉴权请求是否包含第一预设信息;
若是,则确定所述认证鉴权请求对应的目标鉴权策略为,运行在所述第二服务器的第二鉴权策略;
若否,则确定所述认证鉴权请求对应的目标鉴权策略为,运行在所述第一服务器的第一策略信息。
在本申请一些实施例中,所述基于所述目标鉴权策略对所述用户的访问权限进行鉴权,包括:
基于所述第一预设信息生成鉴权请求;
向所述第二服务器发送所述鉴权请求,以使所述第二服务器对所述应用客户端的访问权限进行鉴权。
在本申请一些实施例中,所述根据所述认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略之前,还包括:
确定所述认证鉴权请求是否包含不属于所述预设鉴权策略库的新鉴权策略;
若是,则基于所述新鉴权策略对所述预设鉴权策略库进行扩展更新。
本申请第二方面实施例提出了一种认证鉴权装置,包括运行在第一可信执行环境中的客户端认证组件,所述客户端认证组件包括:
数据读取模块,用于响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取所述第二服务器存储的预设隐私数据,所述第二服务器运行在第二可信执行环境中;
认证模块,用于确定所述预设隐私数据是否包含所述认证鉴权请求携带的用户信息;
鉴权模块,用于若是,则根据所述认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权。
在本申请一些实施例中,还包括远程证明组件和策略扩展组件,所述远程证明组件用于:
与所述应用客户端之间建立可信通道,并接收所述应用客户端发送的证明请求;
响应于所述证明请求,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明;
所述策略扩展组件用于:
确定所述认证鉴权请求是否包含不属于所述预设鉴权策略库的新鉴权策略;
若是,则基于所述新鉴权策略对所述预设鉴权策略库进行扩展更新。
本申请第三方面的实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序以实现上述第一方面所述的方法。
本申请第四方面的实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行实现上述第一方面所述的方法。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
本申请实施例提供的认证鉴权方法,基于运行在可信执行环境中的第一服务器,在接收到应用客户端的认证鉴权请求之后,读取同样运行在可信执行环境中的第二服务器存储的预设隐私数据,鉴于,第一服务器和安全域中第二服务器之间的可信连接,第一服务器可进行机密计算(利用可信执行环境技术,使得数据始终保持加密和强隔离状态),从而保证了预设隐私数据的安全传输。且该方法先确定预设隐私数据是否包含认证鉴权请求携带的用户信息,以实现对用户身份的认证,并在身份认证通过的情况下,才根据认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权,从而保证了认证鉴权流程的安全性。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变的明显,或通过本申请的实践了解到。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。
在附图中:
图1示出了本申请一实施例所提供的一种认证鉴权方法的流程示意图;
图2示出了本申请一实施例中该认证鉴权方法应用原理示意图;
图3示出了本申请一实施例中另一该认证鉴权方法应用原理示意图;
图4示出了本申请一实施例所提供的另一种认证鉴权方法的流程示意图;
图5示出了本申请一实施例中又一该认证鉴权方法应用原理示意图;
图6示出了本申请一实施例中步骤600的具体流程示意图;
图7示出了本申请一实施例中步骤600的另一具体流程示意图;
图8示出了本申请一实施例所提供的一种认证鉴权装置的结构示意图;
图9示出了本申请一实施例所提供的另一种认证鉴权装置的结构示意图;
图10示出了本申请一实施例所提供的又一种认证鉴权装置的结构示意图;
图11示出了本申请一实施例所提供认证鉴权方法逻辑示意图;
图12示出了本申请一实施例所提供的一种电子设备的结构示意图;
图13示出了本申请一实施例所提供的一种存储介质的示意图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
现有的认证鉴权流程中,安全要求较高的用户往往会开启MFA(Multi-FactorAuthentication,多因素认证)认证,大多是依赖包含个人隐私信息的认证方式,比如人脸识别、身份证信息验证等。而这些关键隐私数据需要存储在中心化的安全域内,对于部署在边缘环境的应用客户端,在通过云上服务平台对应用客户端进行身份认证时,认证链路涉及边到云上再到安全域的漫长链路,所以,保障隐私数据在该认证链路上安全合规地传输,才能保障边缘的应用客户端的认证安全性。另外,边缘的应用客户端大多依赖云服务商的认证鉴权体系实现应用鉴权,但由于各云服务商有自身独立的认证鉴权体系,不同厂商定制化的数据面授权机制,可能会导致很多不可控的定制化修改,导致数据难以迁移,给应用客户端平台带来厂商绑定的困扰。应用客户端在与云服务平台对接过程中,可能涉及上传用户账号信息和授权配置等敏感信息,同样保障隐私数据在鉴权过程中安全合规地传输,才能保障上述敏感信息的安全性。
基于此,本申请的发明人提出了一种认证鉴权方法、装置、设备及介质,该系统运行在硬件可信执行环境中,用于实现该认证鉴权方法,其具体可以为实体服务器,也可以为云服务器,也可以为服务器中用于执行该认证鉴权方法的具体模块,本实施例对此不做具体限定。该方法基于运行在可信执行环境中的第一服务器,在接收到应用客户端的认证鉴权请求之后,读取同样运行在可信执行环境中的第二服务器存储的预设隐私数据,鉴于,第一服务器和安全域中第二服务器之间的可信连接,第一服务器可进行机密计算(利用可信执行环境技术,使得数据始终保持加密和强隔离状态),从而保证了预设隐私数据的安全传输。且该方法先确定预设隐私数据是否包含认证鉴权请求携带的用户信息,以实现对应用客户端身份的认证,并在身份认证通过的情况下,才根据认证鉴权请求和预设鉴权策略库,对应用客户端的访问权限进行鉴权,从而保证了认证鉴权流程的安全性。
下面以云服务器为执行主体,参照图1,对本申请实施例提供的的认证鉴权方法进行详细描述。如图1所示,该认证鉴权方法可以包括以下步骤:
步骤200,响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取第二服务器存储的预设隐私数据。
该方法可应用于如图2所示,由边缘的应用客户端,云上的第一服务器,及安全域中的第二服务器组成的系统。终端设备在访问某个应用服务时,先向边缘系统中部署该应用服务的应用客户端发送访问请求,应用客户端基于该访问请求向第一云服务器发送认证鉴权请求,第一云服务器根据接收到的认证鉴权请求,获取访问者(终端设备)的用户信息。然后读取安全域中第二服务器存储的预设隐私数据,后续可对访问者的用户身份进行认证,以及对访问者的权限进行鉴权。其中,访问请求可以为访问任意应用服务端的请求,只要该访问需要对身份进行验证,以及对访问权限进行鉴权即可。该认证鉴权请求可以携带登录终端设备的用户的任意用户信息,以及其要访问的应用服务端信息等,第一服务器可基于认证鉴权请求获取该些信息,并基于获取的信息对访问者的身份和权限进行认证和鉴定。
可以理解的是,该方法也可应用于云-端架构的应用系统,或者分布式服务系统中,则该应用客户端可理解为装载应用服务的终端设备上,以进一步保障终端设备访问服务器时的数据安全性。
其中,第一服务器和第二服务器可分别运行在第一可信执行环境(TrustedExecution Environments,简称TEE)中和第二可信执行环境中,且第一服务器和第二服务器之间进行可信连接,并基于容器服务和安全传输协议(Transport Layer Security,TLS),建立容器化的双向安全传输通道,使得用户数据始无论是在计算过程中,还是在传输过程中,终保持加密和强隔离状态,从而确保了用户数据的安全性和隐私性。
具体地,可通过容器的应用实现上述的第一可信执行环境和第二可信执行环境。即,第一服务器和第二服务器可分别运行在容器中。为了进一步保障用户数据的安全性和隐私性,如图3所示,本实施例可采用机密容器,机密容器利用所述第一可信执行环境保护容器和数据,实现机密计算。本实施例的机密容器可以但不限于如Kubernetes容器集群,其可基于硬件提供可信执行环境,实现内存加密和内存隔离,从而实现对运行态数据机密性、完整性和安全性的保护。
终端设备可以是任意能够进行访问服务的电子设备,如计算机、手机、平板电脑、智能终端(PDA智能终端、车载终端、可穿戴设备)。预设隐私数据可以是能够证明访问者的用户身份的任意隐私信息,包括但不限于脸部图像、身份证信息,指纹信息,虹膜信息等。
在一些实施方式中,为了保证隐私数据的安全性,以及认证鉴权流程的结果可信性,应用客户端会默认云服务商是不可信的,即本实施例中的第一服务器不可信。但是,云上认证鉴权流程和隐私数据的交互需要保证在一个安全隔离的可信环境中完成,因此在保证数据交互实现硬件级别机密的同时,可向边缘的应用客户端进行远程证明(RemoteAttestation,RA),以证明第一服务器进行的认证和鉴权结果是权威可信的。所以,如图4所示,本实施例在读取第二服务器存储的预设隐私数据之前,还可以先进行如下的远程证明流程:步骤101,与应用客户端之间建立可信通道,接收应用客户端发送的证明请求;步骤102,响应于证明请求,对基于第一服务器和第二服务器的认证通道进行可信证明。
第一服务器在与应用客户端之间建立可信通道时,如图5所示,可以基于容器服务和安全传输协议,与应用客户端上专门设置的具有隔离功能的隔离组件进行可信连接,建立容器化的双向安全传输通道(即图3-图5中的Enclave-TLS通道),应用客户端需要进行远程证明时,可以先向该隔离组件发送指令,指示发起远程证明,然后由该隔离组件向第一服务器发送证明请求,以在默认第一服务器不可信的情况下对用户数据进行保护。这里基于第一服务器和第二服务器的认证通道,可以理解为第一服务器和第二服务器之间的双向数据传输通道。
可以理解的是,在进行远程证明之后,可以对相关应用客户端进行一次或多次的认证、鉴权流程,即,当应用客户端与第一服务器之间建立连接之后,可以先进行远程证明,证明认证通道可信之后,可进行多次的身份认证的权限鉴权。在远程证明第一服务器可信之后,应用客户端可以直接向第一服务器发起认证鉴权请求,也可以通过该隔离组件向第一服务器发起认证鉴权请求,本实施例对此不做具体限定。
本实施例中,可基于硬件服务商协议实现远程证明,具体地,在对基于第一服务器和第二服务器的认证通道进行可信证明时,可以先基于预设公钥、第一可信执行环境的硬件标识以及第一服务器和第二服务器之间的安全传输协议,生成第一信息令牌;然后获取第二服务器生成的第二信息令牌;并基于第一信息令牌和第二信息令牌,对基于第一服务器和第二服务器的认证通道进行可信证明。
其中,第二信息令牌与第一信息令牌的结构类似,可至少包括安全传输协议、第二可信执行环境的硬件标识及预设公钥。第一服务器和第二服务器之间的安全传输协议,可以为将远程证明集成在TLS握手流程中的远程证明安全传输协议(RA_TLS协议)。当然也可以选择其他分布式的机密计算应用框架,在TLS握手流程前通过中心化的服务管理建立可信通道;或者选择TLS外的其他安全协议,比如谷歌的ALTS应用层传输安全协议在证书中支持集成远程或本地证明报告等。
本实施例中,鉴于第一服务器的认证组件运行的TEE可信执行环境依赖底层的硬件设备,可随着应用场景、合规要求等选择适配的硬件平台、而不同的硬件平台具有不同的硬件标识,所以可基于该硬件标识和上述远程证明安全传输协议,采用预设公钥进行加密,以生成信息令牌。然后可以将第一服务器生成的第一信息令牌和第二服务器生成的第二信息令牌都发送给作为第三方的远程证明服务PCCA(Provisioning Certificate CachingService),远程证明服务PCCA可基于硬件服务商协议实现远程证明。
进一步地,在生成第一信息令牌时,可以先基于第一服务器和第二服务器之间的安全传输协议,生成自签名证书;然后基于预设公钥对第一可信执行环境的硬件标识进行加密;然后再基于自签名证书和加密后的硬件标识,生成第一信息令牌。
在实际应用中,可基于Rat-TLS协议的可信握手认证流程,在第一服务器和第二服务器分别产生带有硬件可执行环境标识符(OID字段,即上述的硬件标识)的x509证书。具体地,可先基于第一服务器和第二服务器之间的安全传输协议,生成自签名的x509证书,然后再采用预设公钥对硬件标识进行加密,并基于加密后的硬件标识和生成的x509证书生成信息令牌。如此,第一服务器和第二服务器彼此无法获取对方的未加密数据,从而保证了远程证明过程中数据传输和应用时的安全性。
在获取令牌之后,便可基于第一信息令牌和第二信息令牌,对基于第一服务器和第二服务器的认证通道进行可信证明。具体地,可分别解析第一信息令牌和第二信息令牌,得到第一信息令牌中包含的安全传输协议,以及第二信息令牌中包含的安全传输协议;然后确定第一信息令牌中包含的安全传输协议,是否与第二信息令牌中包含的安全传输协议相同;若是,则确定第一服务器和第二服务器之间的认证通道可信。
本实施例中,第一服务器和第二服务器可分别将第一信息令牌和第二信息令牌均发送给您应用客户端的认证组件,认证组件再将第一信息令牌和第二信息令牌发送给其信任的远程证明服务PCCA,然后该远程证明服务PCCA对第一信息令牌和第二信息令牌进行解析,并对比解析出的硬件标识和安全传输协议,来证明第一服务器和第二服务器之间认证通道的可信性。若解析出的安全传输协议一致,且两个硬件标识分别与两个可信执行环境的OID字段相符,则确定第一服务器和第二服务器之间的认证通道可信。之后,可以向应用客户端发送远程证明成功的信息;若解析出的安全传输协议不一致,或者两个硬件标识与两个可信执行环境的OID字段不相符,则确定第一服务器和第二服务器之间的认证通道不可信,可以向应用客户端发送证明失败的信息,并拒绝进行认证和鉴权。
步骤400,确定预设隐私数据是否包含认证鉴权请求携带的用户信息。
其中,用户信息可以包括但限于用户的登录名、登录密码,以及用户绑定的手机号、身份证信息、脸部图像等。预设隐私数据可包括用户的多项隐私信息,认证时,可以设置用户信息中包含一项属于预设隐私数据的隐私信息,便可看作认证成功;也可设置用户信息中包含多项属于预设隐私数据的隐私信息,才看作认证成功,本实施例对此不做具体限定。
步骤600,若是,则根据认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权。
其中,预设鉴权策略库可以多个能够进行鉴权流程的鉴权策略,具体可对应用户类型(比如用户等级,用户身份,是否为新用户等),以及访问的应用服务类型(比如XXX购物app,XXX办公软件等),设置对应的鉴权策略。具体地,预设鉴权策略库可以但不限于基于OPA(Open Policy Agent,一种开源的通用策略引擎,采用松耦合的架构支持部署在系统全栈,可在整个堆栈中实现统一、上下文感知的策略控制)的鉴权策略库。
在另一些实施方式中,如图6所示,根据认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权时,可以进行如下处理:步骤610,根据认证鉴权请求和预设鉴权策略库,确定目标鉴权策略;步骤620,基于目标鉴权策略对应用客户端的访问权限进行鉴权。如此,第一服务器可根据认证鉴权请求携带的信息在预设鉴权策略库查找对应的目标鉴权策略,并基于查找到的目标鉴权策略对用户的访问权限进行鉴权。
在根据认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略时,可以先确定认证鉴权请求是否包含第一预设信息;若认证鉴权请求包含第一预设信息,则确定认证鉴权请求对应的目标鉴权策略为,运行在第二服务器的第二鉴权策略;若认证鉴权请求不包含第一预设信息,则确定认证鉴权请求对应的目标鉴权策略为,运行在第一服务器的第一策略信息。
其中,第一预设信息可以是安全要求更高的隐私数据,例如身份证信息,能够表明用户身份的生物特征信息,以及组织机构信息等。
本实施例基于上述第一预设信息将鉴权策略进行分级,可以将包含用户身份信息和/或组织架构信息的核心策略部署在安全域中第二服务器,实现安全策略的分级管理,保障用户核心数据的安全性。
具体地,若目标鉴权策略为运行在第一服务器的第一鉴权策略,则第一服务器可基于预设鉴权策略库,按照上述策略库中记载的具体鉴权策略流程,调用外部鉴权服务接口,对用户的权限进行鉴权即可。
若目标鉴权策略为运行在第二服务器的第二鉴权策略,则第一服务器先基于第一预设信息生成鉴权请求;然后向第二服务器发送鉴权请求,以使第二服务器对用户的访问权限进行鉴权。如此,对于安全性要求更高的隐私数据,可以在不迁移数据的情况下,实现对用户访问权限的鉴权,从而减少了隐私数据的传输风险,对安全性要求更高的数据起到了加强保护的作用。
本实施例可基于webhook机制,实现Webhook认证鉴权,即,HTTPS请求中认证鉴权流程和HTTP回调机制的结合,可以通过第一服务器请求触发一个POST请求,请求远端的应用服务(安全域中的第二服务器)完成鉴权任务,并返回认证鉴权结果。具体地,可在第一服务器设置webhook组件,该webhook组件可与安全域中的第二服务器连接,当目标鉴权策略为运行在第二服务器的第二鉴权策略时,可以通过该webhook组件向第二服务器发起鉴权请求,并接收第二服务器返回的鉴权结果,以及将鉴权结果反馈至边缘的应用客户端。另外,由于第一服务器和第二服务器均运行在可信执行环境中,可防止攻击者在云上发起攻击篡改webhook配置,从而进一步保障了鉴权机制的安全可靠性。
在本实施例中,第一服务器和第二服务器是客户端-服务器模式,而webhook机制可理解为一种对客户端-服务器模式的逆转机制。在传统的客户端-服务器模式中,客户端从服务器请求数据,然后服务器提供给客户端数据(客户端是在拉数据)。在Webhook机制下,服务器更新所需提供的资源,然后自动将其作为更新数据发送到客户端(服务器是在推数据),客户端不是请求者,而是被动接收方。这种控制关系的反转,可以省去许多原本需要在远程服务器上进行的复杂请求(如不断轮询的通信请求)。通过简单地接收资源而不是直接发送请求,可以更新远程代码库,轻松地分配资源,甚至将其集成到现有系统中来根据API的需要来更新端点和相关数据。
在另一些实施方式中,第一服务器可以包括策略扩展组件,以能够对上述预设策略库进行在线实时扩展,因此,如图7所示,在根据认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略之前,该认证鉴权方法还包括以下处理:步骤601,确定认证鉴权请求是否包含不属于预设鉴权策略库的新鉴权策略;步骤602,若是,则基于新鉴权策略对预设鉴权策略库进行扩展更新。
在实际应用中,第一服务器可以存储多套鉴权策略,在应用客户端需要进行鉴权时,只需选择较为合适的鉴权策略对用户的权限进行鉴权即可。但是,应用客户端为了保障鉴权流程符合自己的预期,也可以自己定制鉴权策略,并将自己的鉴权策略发送给第一服务器,使第一服务器按照应用客户端定制的鉴权策略进行鉴权。所以,第一服务器在接收到认证鉴权请求之后,可以先判断该认证鉴权请求是否包含新不属于预设鉴权策略库的新鉴权策略,并在包含的情况下及时更新鉴权策略库,以及按照新鉴权策略对用户的权限进行鉴权。如此,可实现预设鉴权策略库的自动扩展,提高鉴权流程及该认证鉴权方法的通用性。
具体地,可基于OPA策略引擎及其扩展能力,实现可对接云上资源和边缘应用场景的通用策略鉴权流程,即该策略扩展组件可以对接云服务商提供的基于RBAC(基于角色的访问控制)的身份鉴权服务,完成云上资源和边缘应用数据面资源鉴权统一配置,在接收到新鉴权策略时,实现对鉴权策略库的自动更新。
可以理解的是,上述基于OPA策略引擎的鉴权流程只是本实施例的较佳实施方式,本实施例并不限于此,也可以采用OPA以外的其他可扩展的策略引擎,只要能够实现鉴权策略的扩展即可。
综上,本实施例提供的认证鉴权方法,基于运行在可信执行环境中的第一服务器,在接收到应用客户端发送的认证鉴权请求之后,读取同样运行在可信执行环境中的第二服务器存储的预设隐私数据,鉴于,第一服务器和安全域中第二服务器之间的可信连接,第一服务器可进行机密计算(利用可信执行环境技术,使得数据始终保持加密和强隔离状态),从而保证了预设隐私数据的安全传输。且该方法先确定预设隐私数据是否包含认证鉴权请求携带的用户信息,以实现对用户身份的认证,并在身份认证通过的情况下,才根据认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权,从而保证了认证鉴权流程的安全性。
基于上述认证鉴权方法相同的构思,本实施例还提供一种认证鉴权装置,用于实现该认证鉴权方法,如图8所示,该系统可形成于上述第一服务器,包括运行在第一可信执行环境中的客户端认证组件,该客户端认证组件可以包括:
数据读取模块,用于响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取第二服务器存储的预设隐私数据,第二服务器运行在第二可信执行环境中;
认证模块,用于确定预设隐私数据是否包含认证鉴权请求携带的用户信息;
鉴权模块,用于若是,则根据认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权。
本实施例提供的认证鉴权装置,用于实现上述认证鉴权方法,故至少能够实现上述认证鉴权方法能够实现的有益效果,在此不再赘述。
在一些实施方式中,如图9所示,该认证鉴权装置还可以包括远程证明组件,远程证明组件用于:与应用客户端之间建立可信通道,并接收应用客户端发送的证明请求;响应于证明请求,对基于第一服务器和第二服务器的认证通道进行可信证明。如此,本实施例通过设置远程证明组件,可以在默认第一服务器不可信的情况下对用户数据进行保护。
在一些实施方式中,如图10所示,该认证鉴权装置还包括策略扩展组件,策略扩展组件用于:确定认证鉴权请求是否包含不属于预设鉴权策略库的新鉴权策略;若是,则基于新鉴权策略对预设鉴权策略库进行扩展更新。如此,本实施例通过设置策略扩展组件,可实现预设鉴权策略库的自动扩展,提高鉴权流程及该认证鉴权方法的通用性。
下面结合附图5和附图11,对本申请提供的认证鉴权方法和认证鉴权装置进行详细描述。如图5所示,该认证鉴权装置可以包括运行在机密容器的客户端认证组件、远程证明组件以及策略扩展组件。安全域中第二服务器包括运行在机密容器中的认证服务组件、鉴权服务组件及证明服务组件。应用客户端包括隔离组件,并通过隔离组件发起远程证明。具体可参照附图11,按照如下的步骤进行认证鉴权:
1)先按照下面流程进行远程证明:
边缘的应用客户端通过隔离组件(shelter组件)与认证鉴权装置建立可信通道,并向认证鉴权装置的远程证明组件发起远程证明请求。远程证明组件在接收到远程证明请求之后,可基于Rat-TLS协议的可信握手认证流程,在云上产生带有硬件可执行环境的加密硬件标识的x509证书,基于该证书生成信息令牌(token)。还向第二服务器的证明服务组件发送请求,使其也生成信息令牌。然后可分别将两个信息令牌发送给隔离组件,隔离组件可以发送给其信任的第三方,例如,云上的远程证明服务PCCA(可以是第一服务器的一部分),进行远程证明。远程证明服务PCCA可以将证明结果发送给隔离组件,如果认证失败,隔离组件将拒绝再对后续的认证请求进行响应。
2)身份认证:
在远程证明通过之后,应用客户端通过可信通道向认证鉴权装置的客户端认证组件发送包括认证请求的认证鉴权请求,客户端认证组件可以从第二服务器的认证服务组件读取预设隐私数据,继而完成用户的身份认证。并将认证结果通过可信通道返回给边缘的应用客户端,以保证信息的完整性。
3)可信鉴权
在身份认证通过之后,客户端认证组件可先将包括鉴权请求的认证鉴权请求发送到策略扩展组件,同时部署webhook组件连接安全域中第二服务器的鉴权服务组件。且客户端认证组件同样运行在机密容器中,可防止攻击者在云上发起攻击篡改webhook配置。通过webhook部署方式,可实现鉴权策略的安全分级管理能力,例如,可以将涉及核心身份和组织架构信息的策略语言,以webhook服务的形式部署在安全域内,鉴权结果可通过安全可信的传输通道传递至云上的客户端认证组件,客户端认证组件最终会将鉴权结果返回边缘的应用客户端。
策略扩展组件可以对接云服务商提供的身份鉴权服务,完成云上资源和边缘应用数据面资源的统一配置。第二服务器的鉴权服务组件也可以内置可扩展rego语言策略库,基于OPA提供的强大扩展机制,可以实现第二服务器内部鉴权逻辑函数、输入输出源的自动化扩展。同时,OPA代理服务器可运行在机密容器中,以保证鉴权流程的安全可信。
本申请实施方式还提供一种电子设备,以执行上述认证鉴权方法。请参考图12,其示出了本申请的一些实施方式所提供的一种电子设备的示意图。如图12所示,电子设备4包括:处理器400,存储器401,总线402和通信接口403,处理器400、通信接口403和存储器401通过总线402连接;存储器401中存储有可在处理器400上运行的计算机程序,处理器400运行计算机程序时执行本申请前述任一实施方式所提供的认证鉴权方法。
其中,存储器401可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口403(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线402可以是ISA总线、PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。其中,存储器401用于存储程序,处理器400在接收到执行指令后,执行程序,前述本申请实施例任一实施方式揭示的认证鉴权方法可以应用于处理器400中,或者由处理器400实现。
处理器400可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器400中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器400可以是通用处理器,包括处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器401,处理器400读取存储器401中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的认证鉴权方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的认证鉴权方法对应的计算机可读存储介质,请参考图13,其示出的计算机可读存储介质为光盘50,其上存储有计算机程序(即程序产品),计算机程序在被处理器运行时,会执行前述任意实施方式所提供的认证鉴权方法。
需要说明的是,计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行以实现权上述任一实施例的认证鉴权方法。
本申请的上述实施例提供的计算机可读存储介质、计算机程序产品均与本申请实施例提供的认证鉴权方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下示意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
以上,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种认证鉴权方法,其特征在于,应用于运行在第一可信执行环境中的第一服务器,包括:
响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取所述第二服务器存储的预设隐私数据,所述第二服务器运行在第二可信执行环境中;
确定所述预设隐私数据是否包含所述认证鉴权请求携带的用户信息;
若是,则根据所述认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权。
2.根据权利要求1所述的方法,其特征在于,所述第一服务器运行在云上;
所述响应于应用客户端发送的认证鉴权请求,包括:
响应于部署在边缘系统中的应用客户端发送的认证鉴权请求;所述应用客户端分别与云上的所述第一服务器和终端设备连接,接收所述终端设备发送的访问请求,并向所述第一服务器发送认证鉴权请求。
3.根据权利要求1所述的方法,其特征在于,所述应用于运行在第一可信执行环境中的第一服务器,包括:
应用于运行在机密容器中的第一服务器,所述机密容器利用所述第一可信执行环境保护容器和数据,实现机密计算。
4.根据权利要求1所述的方法,其特征在于,所述响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取所述第二服务器存储的预设隐私数据之前,还包括:
与所述应用客户端之间建立可信通道,接收所述应用客户端发送的证明请求;
响应于所述证明请求,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明。
5.根据权利要求4所述的方法,其特征在于,所述对所述第一服务器和所述第二服务器之间的认证通道进行可信证明,包括:
基于预设公钥、所述第一可信执行环境的硬件标识以及所述第一服务器和所述第二服务器之间的安全传输协议,生成第一信息令牌;
获取所述第二服务器生成的第二信息令牌;所述第二信息令牌至少包括所述安全传输协议、所述第二可信执行环境的硬件标识及所述预设公钥;
基于所述第一信息令牌和所述第二信息令牌,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明。
6.根据权利要求5所述的方法,其特征在于,所述基于所述第一信息令牌和所述第二信息令牌,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明,包括:
分别解析所述第一信息令牌和所述第二信息令牌,得到所述第一信息令牌中包含的安全传输协议,以及所述第二信息令牌中包含的安全传输协议;
确定所述第一信息令牌中包含的安全传输协议,是否与所述第二信息令牌中包含的安全传输协议相同;
若是,则确定所述第一服务器和所述第二服务器之间的认证通道可信。
7.根据权利要求1所述的方法,其特征在于,所述根据所述认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权,包括:
根据所述认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略;
基于所述目标鉴权策略对所述用户的访问权限进行鉴权。
8.根据权利要求7所述的方法,其特征在于,所述根据所述认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略,包括:
确定所述认证鉴权请求是否包含第一预设信息;
若是,则确定所述认证鉴权请求对应的目标鉴权策略为,运行在所述第二服务器的第二鉴权策略;
若否,则确定所述认证鉴权请求对应的目标鉴权策略为,运行在所述第一服务器的第一策略信息。
9.根据权利要求8所述的方法,其特征在于,所述基于所述目标鉴权策略对所述用户的访问权限进行鉴权,包括:
基于所述第一预设信息生成鉴权请求;
向所述第二服务器发送所述鉴权请求,以使所述第二服务器对所述用户的访问权限进行鉴权。
10.根据权利要求7所述的方法,其特征在于,所述根据所述认证鉴权请求和预设鉴权策略库,确定对应的目标鉴权策略之前,还包括:
确定所述认证鉴权请求是否包含不属于所述预设鉴权策略库的新鉴权策略;
若是,则基于所述新鉴权策略对所述预设鉴权策略库进行扩展更新。
11.一种认证鉴权装置,其特征在于,包括运行在第一可信执行环境中的客户端认证组件,所述客户端认证组件包括:
数据读取模块,用于响应于应用客户端发送的认证鉴权请求,基于与安全域中第二服务器之间的可信连接,读取所述第二服务器存储的预设隐私数据,所述第二服务器运行在第二可信执行环境中;
认证模块,用于确定所述预设隐私数据是否包含所述认证鉴权请求携带的用户信息;
鉴权模块,用于若是,则根据所述认证鉴权请求和预设鉴权策略库,对用户的访问权限进行鉴权。
12.根据权利要求11所述的装置,其特征在于,还包括远程证明组件和策略扩展组件,所述远程证明组件用于:
与所述应用客户端之间建立可信通道,并接收所述应用客户端发送的证明请求;
响应于所述证明请求,对所述第一服务器和所述第二服务器之间的认证通道进行可信证明;
所述策略扩展组件用于:
确定所述认证鉴权请求是否包含不属于所述预设鉴权策略库的新鉴权策略;
若是,则基于所述新鉴权策略对所述预设鉴权策略库进行扩展更新。
13.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如权利要求1-10中任一所述的方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行,以实现如权利要求1-10中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310089040.7A CN116192483A (zh) | 2023-01-16 | 2023-01-16 | 认证鉴权方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310089040.7A CN116192483A (zh) | 2023-01-16 | 2023-01-16 | 认证鉴权方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116192483A true CN116192483A (zh) | 2023-05-30 |
Family
ID=86451820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310089040.7A Pending CN116192483A (zh) | 2023-01-16 | 2023-01-16 | 认证鉴权方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116192483A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116861445A (zh) * | 2023-09-04 | 2023-10-10 | 湖北芯擎科技有限公司 | 可信执行环境的实现方法、系统级芯片及存储介质 |
| CN117014226A (zh) * | 2023-09-22 | 2023-11-07 | 云粒智慧科技有限公司 | 服务请求鉴权方法、装置、设备、系统和存储介质 |
-
2023
- 2023-01-16 CN CN202310089040.7A patent/CN116192483A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116861445A (zh) * | 2023-09-04 | 2023-10-10 | 湖北芯擎科技有限公司 | 可信执行环境的实现方法、系统级芯片及存储介质 |
| CN116861445B (zh) * | 2023-09-04 | 2023-12-15 | 湖北芯擎科技有限公司 | 可信执行环境的实现方法、系统级芯片及存储介质 |
| CN117014226A (zh) * | 2023-09-22 | 2023-11-07 | 云粒智慧科技有限公司 | 服务请求鉴权方法、装置、设备、系统和存储介质 |
| CN117014226B (zh) * | 2023-09-22 | 2024-01-12 | 云粒智慧科技有限公司 | 服务请求鉴权方法、装置、设备、系统和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7457173B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| US11153303B2 (en) | Secure authentication of a device through attestation by another device | |
| US11184346B2 (en) | Secure asymmetric key application data sharing | |
| US10164963B2 (en) | Enforcing server authentication based on a hardware token | |
| CN113316783A (zh) | 使用活动目录和一次性口令令牌组合的双因素身份认证 | |
| CN113614719A (zh) | 基于具有不同认证凭证的认证令牌提供会话访问的计算系统和方法 | |
| US10992656B2 (en) | Distributed profile and key management | |
| KR20040049272A (ko) | 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템 | |
| US20180285172A1 (en) | Data exchange between applications | |
| CN116192483A (zh) | 认证鉴权方法、装置、设备及介质 | |
| WO2023082833A1 (en) | Using device-bound credentials for enhanced security of authentication in native applications | |
| EP3794485B1 (en) | Method and network node for managing access to a blockchain | |
| CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| CN107358118B (zh) | Sfs访问控制方法及系统、sfs及终端设备 | |
| CN113395249A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| US20190065725A1 (en) | Distributed profile and key management | |
| US11750391B2 (en) | System and method for performing a secure online and offline login process | |
| US20230267232A1 (en) | System and method for protecting browser data | |
| CN111988279A (zh) | 通过sasl认证访问内存缓存服务的方法、系统、设备及介质 | |
| Ferdous et al. | Portable personal identity provider in mobile phones | |
| US20200304495A1 (en) | Network-based authorization for disconnected devices | |
| US20230351028A1 (en) | Secure element enforcing a security policy for device peripherals | |
| CN114090996A (zh) | 多方系统互信认证方法及装置 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| US20240275819A1 (en) | Secure system for hiding registration rules for dynamic client registration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |