CN116318994B - 一种DOA的handle系统的身份委托认证方法及相关装置 - Google Patents

一种DOA的handle系统的身份委托认证方法及相关装置 Download PDF

Info

Publication number
CN116318994B
CN116318994B CN202310271133.1A CN202310271133A CN116318994B CN 116318994 B CN116318994 B CN 116318994B CN 202310271133 A CN202310271133 A CN 202310271133A CN 116318994 B CN116318994 B CN 116318994B
Authority
CN
China
Prior art keywords
client
data
handle system
node server
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310271133.1A
Other languages
English (en)
Other versions
CN116318994A (zh
Inventor
黄伟
郭燕
杨瑀
张建元
刘家骥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xinyuan Electronic Information Technology Co ltd
Original Assignee
Beijing Xinyuan Electronic Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xinyuan Electronic Information Technology Co ltd filed Critical Beijing Xinyuan Electronic Information Technology Co ltd
Priority to CN202310271133.1A priority Critical patent/CN116318994B/zh
Publication of CN116318994A publication Critical patent/CN116318994A/zh
Application granted granted Critical
Publication of CN116318994B publication Critical patent/CN116318994B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种DOA的handle系统的身份委托认证方法及相关装置,本发明是在节点服务器IODSYS对用户进行身份认证,再进一步通过handle系统进行身份认证通过后,客户端才能与handle系统进行通信,所以本发明能够有效保证handle系统的安全性,同时本发明还通过节点服务器来协助和扩展handle系统的各种数据交互功能,从而增强了handle系统的适用范围和灵活性。也就是说,本发明是通过一个代理服务器来协助handle系统,从而在提高handle系统安全性的基础上,也扩充了handle系统的功能,进而提高了用户体验。

Description

一种DOA的handle系统的身份委托认证方法及相关装置
技术领域
本发明涉及计算机技术领域,特别是涉及一种DOA的handle系统的身份委托认证方法及相关装置。
背景技术
DOA/Handle是由国际组织管理,全球分布的,在互联网上定位数字对象的,可实现其互联、互通、互操作的数字信息管理系统。具有编码、解析、数据管理和信息安全四大核心功能。独立解析体系、不依赖于DNS、兼容已有标识。被ITU誉为下一代互联网的关键基础设施。
目前Handle系统可以为公网等网络提供handle解析和管理服务。每个handle可以分配到一组值。客户端可以使用handle解析服务将handle解析为它的设定值。每个handle都具有一种数据类型和一个唯一的索引值(value index)。客户端可以基于数据类型或索引值来查询特定handle值。handle管理服务通过回应来自客户端的请求管理handle,这些措施包括对handle值进行增、删、改等操作。handle管理服务还通过命名授权handle来管理命名授权。每个handle可以拥有自己的一个或多个管理员,每个管理员都可以被授予一定的权限。
也就是说,现有是通过客户端直接与Handle系统的交互来进行数据处理,但是这种交互方式存在比较大的安全隐患,所以如何提高客户端与Handle系统之间交互的安全性成为现在亟待需要解决的问题。
发明内容
本发明提供了一种DOA的handle系统的身份委托认证方法及相关装置,以解决现有技术中客户端直接与Handle系统的交互存在安全隐患的问题。
第一方面,本发明提供了一种DOA的handle系统的身份委托认证方法,应用于节点服务器,该方法包括:当所述节点服务器接收客户端发送来的身份认证请求后,通过所述节点服务器的控制,使所述节点服务器、所述handle系统与所述客户端进行一系列的交互,以对所述客户端进行身份认证;在所述handle系统对所述客户端进行身份认证通过后,所述节点服务器基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理。
可选地,通过所述节点服务器的控制,使所述节点服务器、所述handle系统与所述客户端进行一系列的交互,以对所述客户端进行身份认证,包括:
所述节点服务器基于所述客户端发来的身份认证请求对所述客户端进行校验,并在校验通过后,控制所述handle系统与所述客户端进行交互,以对所述客户端进行身份认证。
可选地,控制所述handle系统与所述客户端进行交互,以对所述客户端进行身份认证,包括:
所述节点服务器接收客户端发送来的用户信息和私钥后,与所述handle系统通过互联网建立会话,将所述客户端信息发送给所述handle系统,以使所述handle系统根据所述客户端信息进行校验确定所述客户端是否合法;
在确定所述客户端合法时,所述节点服务器接收所述handle系统反馈的公钥,生成待签名数据,将所述待签名数据和所述公钥发送给所述客户端,以供所述客户端进行公私钥匹配,并使用私钥对待签名数据进行签字加密发送给所述节点服务器;
所述节点服务器对所述客户端发送来的待签名数据进行校验后,发送给所述handle系统,接收所述handle系统返回用于标识所述客户端的唯一身份标识,并将所述唯一身份标识发送给所述客户端,完成对所述客户端的身份认证。
可选地,所述handle系统在对所述客户端进行身份认证通过后,为所述客户端进行权限分配,并将所述客户端的唯一身份标识和对应的权限分配一并反馈给所述节点服务器;
所述唯一身份标识是handle码,所述节点服务器将所述handle码与所述客户端的身份信息进行绑定,并存储于相应的数据对象中,以对数据对象进行标识。
可选地,对数据定义进行处理包括:对基于用户提交的数据构建数据对象,为所述数据对象分配handle码;
对数据对象关联处理包括:对所述数据对象进行关联,以实现数据对象的正向挖掘和反向关联;
对数据对象模糊检索处理包括:实现数据对象及其数据定义字段进行模糊检索;
对用户节点统计处理包括:对用户节点状态的若干指标进行统计,以便掌握系统工作情况。
可选地,所述数据对象包括以下字段:索引、类型、标识资源字节序列、记录值存活时间、权限、时间戳、引用字段;
所述权限包括:读、写、管理。
可选地,所述方法还包括:通过所述节点服务器创建版本层级关系表,所述版本层级关系表用于记录数据对象的数据定义字段,创建数据对象,并通过所述节点服务器判断所述版本层级关系表中是否存在待定义数据对象的数据定义字段,若存在,基于所述版本层级关系表中该字段定义待定义数据对象数据定义字段,否则,直接定义所述待定义数据对象。
第二方面,本发明提供了一种节点服务器,所述节点服务器包括:
接收单元,用于接收客户端发送来的身份认证请求;
认证单元,用于与所述handle系统和所述客户端进行一系列的交互,以对所述客户端信息进行身份认证;
处理单元,用于在所述handle系统对所述客户端进行身份认证通过后,基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理。
第三方面,本发明提供了一种DOA的handle系统的身份委托认证系统,所述系统包括:
所述节点服务器,用于接收客户端发送来的身份认证请求,并在接收客户端发送来的身份认证请求后,控制所述handle系统与所述客户端进行一系列的交互,以对所述客户端信息进行身份认证,以及在所述handle系统对所述客户端进行身份认证通过后,基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理
所述handle系统,用于基于所述节点服务器的触发,对所述客户端信息进行身份认证,并将身份认证结果反馈给所述节点服务器。
第四方面,本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现上述任一种所述的DOA的handle系统的身份委托认证方法。
本发明有益效果如下:
本发明是在节点服务器IODSYS对用户进行身份认证,再进一步通过handle系统进行身份认证通过后,客户端才能与handle系统进行通信,所以本发明能够有效保证handle系统的安全性,同时本发明还通过节点服务器来协助和扩展handle系统的各种数据交互功能,从而增强了handle系统的适用范围和灵活性。也就是说,本发明是通过一个代理服务器来协助handle系统,从而在提高handle系统安全性的基础上,也扩充了handle系统的功能,进而提高了用户体验。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明第一实施例提供的一种DOA的handle系统的身份委托认证方法的流程示意图;
图2是本发明第一实施例提供的另一种DOA的handle系统的身份委托认证方法的流程示意图;
图3是本发明第一实施例提供的节点服务器的结构示意图。
具体实施方式
本发明实施例针对现有客户端直接与Handle系统的交互存在安全隐患的问题,通过设置一个代理服务器,即节点服务器,通过该节点服务器IODSYS对用户进行身份认证,再进一步通过handle系统进行身份认证通过后,客户端才能与handle系统进行通信,所以本发明能够有效保证handle系统的安全性,同时本发明还通过节点服务器来协助和扩展handle系统的各种数据交互功能,从而增强了handle系统的适用范围和灵活性,进而提高了用户体验。以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
实施例一
本发明第一实施例提供了一种DOA的handle系统的身份委托认证方法,参见图1,该方法包括:
S101、当节点服务器接收客户端发送来的身份认证请求后,通过节点服务器的控制,使所述节点服务器、所述handle系统与所述客户端进行一系列的交互,以对所述客户端进行身份认证;
具体来说,本发明实施例是在节点服务器接收客户端发送来的身份认证请求后,节点服务器就基于所述客户端发来的身份认证请求对所述客户端进行校验,并在校验通过后,控制所述handle系统与所述客户端进行交互,以最终对所述客户端进行身份认证。
需要说明的是,本发明实施例所述的节点服务器可以是多个,具体可以根据实际需要进行任意设置,例如,可以根据区域大小、客户端的数量以及数据处理量等条件来设置节点服务器,最终以满足用户数据处理需求作为设置节点服务器的布局原则,如在具体实施时,可以根据具体的用户数量和用户使用频率而在北京、上海、广州和西安分别设置一个上述节点服务器,以代理其下所对应的区域内的所有的客户端的身份认证以及数据处理请求。
也就是说,本发明实施例是通过设置一个代理服务器,即节点服务器来对客户端进行身份验证,并进一步通过handle系统进一步进行身份认证,从而有效保证handle系统的安全性。
具体实施时,本发明实施例中,用户是通过客户端的浏览器等方式来发送该身份认证请求,例如,用户通过在客户端的浏览器中输入用户名和密钥,客户端即可生成身份认证请求,并将其发送给节点服务器。
S102、在handle系统对所述客户端进行身份认证通过后,节点服务器基于客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理。
总体来说,本发明实施例是针对现有客户端直接与Handle系统的交互存在用户伪装、假冒网络地址以及窃听等问题,从而威胁客户端以及Handle系统的安全性的问题,通过设置一个代理服务器,即节点服务器,通过该节点服务器IODSYS对用户进行身份认证,再进一步通过handle系统进行身份认证通过后,最终双侧的认证通过后,客户端才能与handle系统进行通信,所以本发明能够有效保证handle系统的安全性,同时本发明还通过节点服务器来协助和扩展handle系统的各种数据交互功能,从而增强了handle系统的适用范围和灵活性,进而提高了用户体验。
具体实施时,本发明实施例中所述步骤S101具体包括:节点服务器接收客户端发送来的用户信息和私钥后,与所述handle系统通过互联网建立会话,将所述客户端信息发送给所述handle系统,以使所述handle系统根据所述客户端信息进行校验确定所述客户端是否合法;
在确定所述客户端合法时,所述节点服务器接收所述handle系统反馈的公钥,生成待签名数据,将所述待签名数据和所述公钥发送给所述客户端,以供所述客户端进行公私钥匹配,并使用私钥对待签名数据进行签字加密发送给所述节点服务器;
所述节点服务器对所述客户端发送来的待签名数据进行校验后,发送给所述handle系统,接收所述handle系统返回用于标识所述客户端的唯一身份标识,并将所述唯一身份标识发送给所述客户端,完成对所述客户端的身份认证。
本发明实施例中的所述唯一身份标识是handle码,所述节点服务器将所述handle码与所述客户端的身份信息进行绑定,并存储于相应的数据对象中,以对数据对象进行标识。也就是说,在以后数据交互过程中,所有的该客户端的数据对象都会携带有该handle码,从而对该数据进行标识。
需要说明的是,本发明实施例中客户端的私钥是由handle系统的服务器所提供的,也就是说,本发明中不需要设置专门的密钥服务器,而是通过handle系统的服务器来实现密钥功能,换句话来说,本发明实施例的handle系统的服务器既能接收客户端的请求进行数据处理,也是密钥服务器,为客户端分配私钥,并在客户端验证通过后,向其发送公钥。而本发明实施例这种由handle系统的服务器来生成密钥的方法,能够节省系统的配置成本,也能有效避免从密钥服务器获取密钥过程中密钥被窃取的风险,所以本发明能够大大提升用户体验。
下面将结合图2对本发明所述的handle系统的身份委托认证方法进行详细的解释和说明:
登录过程:
1)用户调用接口1得到站点,即上述的节点服务器IODSYS,的前缀信息,输入用户信息(包括账号密码),向站点发出认证请求;
如表1所示,客户端从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步的处理;
表1客户端接口1对照查询表
2)通过对接口1的调用返回等待签名的数据和用户的私钥;
客户端服务器向handle系统,或者也可以称为Handle服务器发起登录请求;
3)站点与handle服务器建立会话,并上传用户信息;
Handle服务器判断用户信息;
4)handle服务器返回公钥信息,站点生成待签名的数据并返回给用户;
5)站点向用户返回公钥和待签名的数据;
6)客户端进行公私钥匹配,调用接口2完成私钥签名,将私钥签后的数据用接口2返回的结构体作为参数,为signed赋值,具体如表2所示;站点对客户端发送的数据进行解密,检验等操作;
表2客户端接口2对照查询表
7)站点如果验证成功,登录handle系统;
8)handle服务器返回handle唯一身份,站点进行身份绑定业务处理,即,所述节点服务器基于所述客户端的唯一身份标识,将所述唯一身份标识与所述客户端进行绑定,从而为后续消息识别使用;
9)调用接口3登录IODSYS将上一步中拼装的结构体作为参数提交,成功后拿到返回值登录令牌token,登陆完成,具体如表3所示。
表3客户端接口3对照查询表
10)用户向handle服务器发送登出请求
11)handle服务器向handle根节点服务器发出登出请求,最终用户成功登录handle服务器。
需要说明的是,本发明实施例handle系统在对客户端进行身份认证通过后,还为客户端进行权限分配,并将所述客户端的唯一身份标识和对应的权限分配一并反馈给所述节点服务器。也即,本发明为了便于对客户端进行管理,可以通过针对不同的客户端来设置不同的权限,以提高客户端的管理效率。
综上,本发明通过一种基于handle技术的数字对象授权获取机制,确保数据使用的安全性,如果handle系统受到字典攻击,handle系统本身无法识别是否是合法用户,IODSYS本身是合法用户,所以通过IODSYS代理认证,证明了用户合法身份,因此本发明能够有效提高handle系统的安全性,并且由于所有的处理基本都是由节点服务器来完成,所以,本发明所述的方法并不会降低handle系统的服务性能。
本发明实施例中的节点服务器可以基于客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理。
具体实施时,节点服务器可以实现对基于用户提交的数据构建数据对象,为所述数据对象分配handle码、对所述数据对象进行关联,以实现数据对象的正向挖掘和反向关联、实现数据对象及其数据定义字段进行模糊检索、对用户节点状态的若干指标进行统计,以便掌握系统工作情况。当然在具体实施时,本领域技术人员也可以根据实际需要来通过设置,以使所述节点服务器来实现其他的各种功能,从而更好地满足用户的不同数据处理需求。然后所述节点服务器通过创建版本层级关系表,所述版本层级关系表用于记录数据对象的数据定义字段,创建数据对象,并通过所述节点服务器判断所述版本层级关系表中是否存在待定义数据对象的数据定义字段,若存在,基于所述版本层级关系表中该字段定义待定义数据对象数据定义字段,否则,直接定义所述待定义数据对象。
需要说明的是,本发明实施例所述数据对象包括以下字段:索引、类型、标识资源字节序列、记录值存活时间、权限、时间戳、引用字段;所述权限包括:读、写、管理。
具体来说,本发明实施例所述数据对象包括以下字段:index(索引)、type(数据类型)、data(标识资源字节序列)、TTL(记录值存活时间)、permission(权限)、timestamp(权限时间戳)、reference(引用)。数据对象权限字段的扩展、增强包括读、写以及管理权限字段。
Handle系统管理数字对象和其它互联网资源的唯一名称——即handle。
Handle系统提供了公共互联网中的名称—值绑定服务。每个Handle具有一组分配给它的值。Handle系统保有每个Handle设置的值,并会在响应Handle解析时返回这个值。Handle系统数据模型定义了这些值的数据结构。
Handle码:就是数据对象的名称;
Handle值:由数值集构成,是handle数据对象;
数据对象:每一数值集、具有handle协议规定的数据结构;
Handle系统中,数据对象DO的handle值是一组n个handle值的集合,如图2所示,数据结构为:
每个值有唯一索引index,每个Handle值都可以通过Handle和索引值的组合进行唯一的引用,其中字段index(索引)、type(数据类型)、data(标识资源字节序列)、TTL(记录值存活时间)、permission(权限)、timestamp(时间戳)、reference(引用),表示数据的类型。
所述权限包括数据对象权限字段的扩展、增强包括读、写以及管理权限字段。
也就是说,本发明实施例中的节点服务器能够提供标识解析、数据定义、数据采集、数据存储、数据检索、数据解析和分析服务,以及数据安全管理等。在Handle系统的支撑下,可实现异地、异主、异构的信息系统之间的信息安全互操作,节点服务器依托Handle标识解析技术进行建设,在建立信息采集和信息上传的规范化管理机制的同时,为数据对象标识解析节点建设和数据管理应用提供精确、有效、全面的技术支撑。
总体来说,本发明是基于这样一个场景,在一个网络中可能有不同的handle服务器。这些服务器都有认证的需求。很自然的,不可能让每个服务器自己实现一套认证系统,而是提供一个中心认证服务器供这些服务器使用。IODSYS就是中心认证服务器,这样任何客户端就只需维护一个密码就能登录所有handle服务器。因此,在节点服务器中至少有三个角色:认证服务器,客户端和普通服务器。客户端和服务器将在AS的帮助下完成相互认证。
实施例二
本发明第二实施例提供了一种节点服务器,参见图3,所述节点服务器包括:
接收单元,用于接收客户端发送来的身份认证请求;
认证单元,用于与所述handle系统和所述客户端进行一系列的交互,以对所述客户端信息进行身份认证;
处理单元,用于在所述handle系统对所述客户端进行身份认证通过后,基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理。
需要说明的是,本发明实施例所述的节点服务器可以是多个,具体可以根据实际需要进行任意设置,例如,可以根据区域大小、客户端的数量以及数据处理量等条件来设置节点服务器,最终以满足用户数据处理需求作为设置节点服务器的布局原则,如在具体实施时,可以根据具体的用户数量和用户使用频率而在北京、上海、广州和西安分别设置一个上述节点服务器,以代理其下所对应的区域内的所有的客户端的身份认证以及数据处理请求。
也就是说,本发明实施例是通过设置一个代理服务器,即节点服务器来对客户端进行身份验证,并进一步通过handle系统进一步进行身份认证,从而有效保证handle系统的安全性。
总体来说,本发明实施例是针对现有客户端直接与Handle系统的交互存在用户伪装、假冒网络地址以及窃听等问题,从而威胁客户端以及Handle系统的安全性的问题,通过设置一个代理服务器,即节点服务器,通过该节点服务器IODSYS对用户进行身份认证,再进一步通过handle系统进行身份认证通过后,最终双侧的认证通过后,客户端才能与handle系统进行通信,所以本发明能够有效保证handle系统的安全性,同时本发明还通过节点服务器来协助和扩展handle系统的各种数据交互功能,从而增强了handle系统的适用范围和灵活性,进而提高了用户体验。
具体实施时,本发明实施例所述认证单元接收客户端发送来的用户信息和私钥后,与所述handle系统通过互联网建立会话,将所述客户端信息发送给所述handle系统,以使所述handle系统根据所述客户端信息进行校验确定所述客户端是否合法;在确定所述客户端合法时,接收所述handle系统反馈的公钥,生成待签名数据,将所述待签名数据和所述公钥发送给所述客户端,以供所述客户端进行公私钥匹配,并使用私钥对待签名数据进行签字加密;对所述客户端发送来的待签名数据进行校验后,发送给所述handle系统,接收所述handle系统返回用于标识所述客户端的唯一身份标识,并将所述唯一身份标识发送给所述客户端,完成对所述客户端的身份认证。
本发明实施例中的处理单元还用于,对基于用户提交的数据构建数据对象,为所述数据对象分配handle码;对对所述数据对象进行关联,以实现数据对象的正向挖掘和反向关联;实现数据对象及其数据定义字段进行模糊检索;对用户节点状态的若干指标进行统计,以便掌握系统工作情况。
本发明实施例的相关内容可参见本发明第一实施例进行理解,在此不做详细论述。
实施例三
本发明实施例提供了一种DOA的handle系统的身份委托认证系统,该系统包括:
所述节点服务器,用于接收客户端发送来的身份认证请求,并在接收客户端发送来的身份认证请求后,控制所述handle系统与所述客户端进行一系列的交互,以对所述客户端信息进行身份认证,以及在所述handle系统对所述客户端进行身份认证通过后,基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理
所述handle系统,用于基于所述节点服务器的触发,对所述客户端信息进行身份认证,并将身份认证结果反馈给所述节点服务器。
总体来说,本发明实施例是针对现有客户端直接与Handle系统的交互存在用户伪装、假冒网络地址以及窃听等问题,从而威胁客户端以及Handle系统的安全性的问题,通过设置一个代理服务器,即节点服务器,通过该节点服务器IODSYS对用户进行身份认证,再进一步通过handle系统进行身份认证通过后,最终双侧的认证通过后,客户端才能与handle系统进行通信,所以本发明能够有效保证handle系统的安全性,同时本发明还通过节点服务器来协助和扩展handle系统的各种数据交互功能,从而增强了handle系统的适用范围和灵活性,进而提高了用户体验。
本发明实施例的相关内容可参见本发明第一实施例进行理解,在此不做详细论述。
实施例四
本发明第四实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现本发明第一实施例中任一种所述的DOA的handle系统的身份委托认证方法。
本发明实施例的相关内容可参见本发明第一实施例进行理解,在此不做详细论述。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (8)

1.一种DOA的handle系统的身份委托认证方法,其特征在于,应用于节点服务器,包括:
当所述节点服务器接收客户端发送来的身份认证请求后,通过所述节点服务器的控制,使所述节点服务器、所述handle系统与所述客户端进行一系列的交互,以对所述客户端进行身份认证;
在所述handle系统对所述客户端进行身份认证通过后,所述节点服务器基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理;
通过所述节点服务器的控制,使所述节点服务器、所述handle系统与所述客户端进行一系列的交互,以对所述客户端进行身份认证,包括:所述节点服务器基于所述客户端发来的身份认证请求对所述客户端进行校验,并在校验通过后,控制所述handle系统与所述客户端进行交互,以对所述客户端进行身份认证;
控制所述handle系统与所述客户端进行交互,以对所述客户端进行身份认证,包括:
所述节点服务器接收客户端发送来的用户信息和私钥后,与所述handle系统通过互联网建立会话,将所述客户端信息发送给所述handle系统,以使所述handle系统根据所述客户端信息进行校验确定所述客户端是否合法;
在确定所述客户端合法时,所述节点服务器接收所述handle系统反馈的公钥,生成待签名数据,将所述待签名数据和所述公钥发送给所述客户端,以供所述客户端进行公私钥匹配,并使用私钥对待签名数据进行签字加密发送给所述节点服务器;
所述节点服务器对所述客户端发送来的待签名数据进行校验后,发送给所述handle系统,接收所述handle系统返回用于标识所述客户端的唯一身份标识,并将所述唯一身份标识发送给所述客户端,完成对所述客户端的身份认证。
2.根据权利要求1所述的方法,其特征在于,
所述handle系统在对所述客户端进行身份认证通过后,为所述客户端进行权限分配,并将所述客户端的唯一身份标识和对应的权限分配一并反馈给所述节点服务器;
所述唯一身份标识是handle码,所述节点服务器将所述handle码与所述客户端的身份信息进行绑定,并存储于相应的数据对象中,以对数据对象进行标识。
3.根据权利要求1所述的方法,其特征在于,
对数据定义进行处理包括:对基于用户提交的数据构建数据对象,为所述数据对象分配handle码;
对数据对象关联处理包括:对所述数据对象进行关联,以实现数据对象的正向挖掘和反向关联;
对数据对象模糊检索处理包括:实现数据对象及其数据定义字段进行模糊检索;
对用户节点统计处理包括:对用户节点状态的若干指标进行统计,以便掌握系统工作情况;
其中,所述数据对象包括以下字段:索引、类型、标识资源字节序列、记录值存活时间、权限、时间戳、引用字段;所述权限包括:读、写、管理。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述节点服务器为多个,且根据区域大小、客户端的数量以及平均数据处理量来分配布局所述节点服务器,以满足用户数据处理需求作为设置节点服务器的布局原则。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述节点服务器创建版本层级关系表,该版本层级关系表记录数据对象的数据定义字段,创建数据对象,并通过所述节点服务器判断所述版本层级关系表中是否存在待定义数据对象的数据定义字段,若存在,基于所述版本层级关系表中该字段定义待定义数据对象数据定义字段,否则,直接定义所述待定义数据对象。
6.一种节点服务器,其特征在于,所述节点服务器包括:
接收单元,用于接收客户端发送来的身份认证请求;
认证单元,用于与handle系统和所述客户端进行一系列的交互,以对所述客户端信息进行身份认证;
处理单元,用于在所述handle系统对所述客户端进行身份认证通过后,基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理;
所述认证单元还用于,在所述节点服务器基于所述客户端发来的身份认证请求对所述客户端进行校验,并在校验通过后,所述节点服务器接收客户端发送来的用户信息和私钥后,与所述handle系统通过互联网建立会话,将所述客户端信息发送给所述handle系统,以使所述handle系统根据所述客户端信息进行校验确定所述客户端是否合法;在确定所述客户端合法时,所述节点服务器接收所述handle系统反馈的公钥,生成待签名数据,将所述待签名数据和所述公钥发送给所述客户端,以供所述客户端进行公私钥匹配,并使用私钥对待签名数据进行签字加密发送给所述节点服务器;所述节点服务器对所述客户端发送来的待签名数据进行校验后,发送给所述handle系统,接收所述handle系统返回用于标识所述客户端的唯一身份标识,并将所述唯一身份标识发送给所述客户端,完成对所述客户端的身份认证。
7.一种DOA的handle系统的身份委托认证系统,其特征在于,包括:
节点服务器,用于接收客户端发送来的身份认证请求,并在接收客户端发送来的身份认证请求后,控制handle系统与所述客户端进行一系列的交互,以对所述客户端信息进行身份认证,以及在所述handle系统对所述客户端进行身份认证通过后,基于所述客户端发出的请求进行数据处理,所述数据处理包括数据对象定义处理、数据对象关联处理、数据对象模糊检索处理和用户节点统计处理;
所述handle系统,用于基于所述节点服务器的触发,对所述客户端信息进行身份认证,并将身份认证结果反馈给所述节点服务器;
所述节点服务器还用于,在所述节点服务器基于所述客户端发来的身份认证请求对所述客户端进行校验,并在校验通过后,所述节点服务器接收客户端发送来的用户信息和私钥后,与所述handle系统通过互联网建立会话,将所述客户端信息发送给所述handle系统,以使所述handle系统根据所述客户端信息进行校验确定所述客户端是否合法;在确定所述客户端合法时,所述节点服务器接收所述handle系统反馈的公钥,生成待签名数据,将所述待签名数据和所述公钥发送给所述客户端,以供所述客户端进行公私钥匹配,并使用私钥对待签名数据进行签字加密发送给所述节点服务器;所述节点服务器对所述客户端发送来的待签名数据进行校验后,发送给所述handle系统,接收所述handle系统返回用于标识所述客户端的唯一身份标识,并将所述唯一身份标识发送给所述客户端,完成对所述客户端的身份认证。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被至少一个处理器执行时,以实现权利要求1-5中任意一项所述的DOA的handle系统的身份委托认证方法。
CN202310271133.1A 2023-03-17 2023-03-17 一种DOA的handle系统的身份委托认证方法及相关装置 Active CN116318994B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310271133.1A CN116318994B (zh) 2023-03-17 2023-03-17 一种DOA的handle系统的身份委托认证方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310271133.1A CN116318994B (zh) 2023-03-17 2023-03-17 一种DOA的handle系统的身份委托认证方法及相关装置

Publications (2)

Publication Number Publication Date
CN116318994A CN116318994A (zh) 2023-06-23
CN116318994B true CN116318994B (zh) 2024-01-26

Family

ID=86835703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310271133.1A Active CN116318994B (zh) 2023-03-17 2023-03-17 一种DOA的handle系统的身份委托认证方法及相关装置

Country Status (1)

Country Link
CN (1) CN116318994B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110708322A (zh) * 2019-10-12 2020-01-17 北京工业大学 一种工业互联网标识解析系统代理服务的实现方法
CN113259504A (zh) * 2021-06-29 2021-08-13 北京信源电子信息技术有限公司 基于DOA/handle标识解析技术的数据管理系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060005237A1 (en) * 2003-01-30 2006-01-05 Hiroshi Kobata Securing computer network communication using a proxy server

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110708322A (zh) * 2019-10-12 2020-01-17 北京工业大学 一种工业互联网标识解析系统代理服务的实现方法
CN113259504A (zh) * 2021-06-29 2021-08-13 北京信源电子信息技术有限公司 基于DOA/handle标识解析技术的数据管理系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
第二讲:工业互联网标识解析进展与分析;刘阳;张天石;曾鹏;;仪器仪表标准化与计量(02);全文 *

Also Published As

Publication number Publication date
CN116318994A (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
JP6754809B2 (ja) 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること
EP3843364B1 (en) Method, device, and apparatus for processing cloud service in cloud system
US9866556B2 (en) Common internet file system proxy authentication of multiple servers
US9473419B2 (en) Multi-tenant cloud storage system
US9137304B2 (en) Method and apparatus for achieving data security in a distributed cloud computing environment
US8132239B2 (en) System and method for validating requests in an identity metasystem
US20090013063A1 (en) Method for enabling internet access to information hosted on csd
US7668954B1 (en) Unique identifier validation
US8301753B1 (en) Endpoint activity logging
US9088561B2 (en) Method and system for authentication in a computer network
CN111291043A (zh) 标识值查询方法、标识解析服务器和存储介质
US10263789B1 (en) Auto-generation of security certificate
CN110636057B (zh) 一种应用访问方法、装置和计算机可读存储介质
CN113094334B (zh) 基于分布式存储的数字服务方法、装置、设备及储存介质
CN112039851B (zh) 服务器登录方法、系统及装置
CN112507320A (zh) 访问控制方法、装置、系统、电子设备和存储介质
CN112311830B (zh) 基于云存储的Hadoop集群的多租户认证系统及方法
JP6840505B2 (ja) システム、サービス提供装置、システムの制御方法およびプログラム
CN116318994B (zh) 一种DOA的handle系统的身份委托认证方法及相关装置
US9232078B1 (en) Method and system for data usage accounting across multiple communication networks
CN111817860B (zh) 一种通信认证方法、装置、设备及存储介质
US20180139198A1 (en) Key based authorization for programmatic clients
CN113973017B (zh) 一种商业智能平台数据处理系统及方法
TW201824887A (zh) 以認證伺服器在伺服群組中實現免登入之系統及其方法
JP2004295711A (ja) パスワード管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant