CN116456341B - 数据保全认证方法、装置、设备及存储介质 - Google Patents

数据保全认证方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116456341B
CN116456341B CN202310714488.3A CN202310714488A CN116456341B CN 116456341 B CN116456341 B CN 116456341B CN 202310714488 A CN202310714488 A CN 202310714488A CN 116456341 B CN116456341 B CN 116456341B
Authority
CN
China
Prior art keywords
card terminal
main card
customer service
core network
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310714488.3A
Other languages
English (en)
Other versions
CN116456341A (zh
Inventor
陈海锋
李朝霞
石春达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Unicom Digital Technology Co Ltd
Unicom Cloud Data Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Unicom Digital Technology Co Ltd
Unicom Cloud Data Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd, Unicom Digital Technology Co Ltd, Unicom Cloud Data Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202310714488.3A priority Critical patent/CN116456341B/zh
Publication of CN116456341A publication Critical patent/CN116456341A/zh
Application granted granted Critical
Publication of CN116456341B publication Critical patent/CN116456341B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本申请提供一种数据保全认证方法、装置、设备及存储介质,该方法主卡终端通过对预存的第一加密结果进行属性加密的方式,获取用于认证的加密文,并将加密文拆分分别由主卡终端和副卡终端发送至目标运营商客服系统,从而目标运营商客服系统根据从主卡终端和副卡终端进行属性加密方式和同态加密方式的解密处理,得到第一加密结果,并与自身通过随机数生成的第二加密结果进行比较,可以准确判断用户对应的终端设备是否安全。

Description

数据保全认证方法、装置、设备及存储介质
技术领域
本申请涉及云服务器技术领域,尤其涉及一种数据保全认证方法、装置、设备及存储介质。
背景技术
随着通信技术与计算机技术的发展,人们的生活中会接触各种各样的电子设备,因此电子设备上数据的安全性就变得尤为重要。电子数据保全就是以电子数据形式(例如文字、图形、字母、数字、三维标志、颜色组合和声音以及上述要素组合等)存在的各类电子数据信息,运用技术进行运算、加密固定,载明保全生成标准时间、运算值、档案编号等,防止被人篡改,确保电子数据原始性和客观性的程序及方法。
传统的数据保全系统,多为中心化系统,采用集中式服务器存储数据。
然而,现有技术的数据保全方法,数据安全性低。
发明内容
本申请提供一种数据保全认证方法、装置、设备及存储介质,以解决现有技术的数据保全方法,数据安全性低的技术问题。
第一方面,本申请提供数据保全认证方法,所述方法包括:
主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,其中,所述第一加密结果为所述主卡终端对目标运营商客服系统通过区块链发送的随机数加密得到,所述主卡终端对应用户为一号双业务用户,所述目标运营商客服系统为所述主卡终端所属运营商客服系统;
主卡终端对所述加密文进行拆分处理,得到第一拆分文和第二拆分文,并将所述第二拆分文发送至所述主卡终端对应的副卡终端;
主卡终端根据主卡终端标识、主卡终端号码、所述主卡终端对应的用户属性、所述目标运营商客服系统为主卡终端分配的网际互连协议地址和所述第一拆分文,生成第一认证请求信息,将所述第一认证请求信息发送至目标运营商客服系统;
副卡终端将副卡终端标识、主卡终端号码、副卡终端号码、所述主卡终端对应的用户属性、所述目标运营商客服系统为主卡副卡终端分配的网际互连协议地址和所述第二拆分文,生成第二认证请求信息,将所述第二认证请求信息发送至目标运营商客服系统;
目标运营商客服系统在接收到所述第一认证请求信息和所述第二认证请求信息后,对所述第一认证请求信息和所述第二认证请求信息进行属性解密和同态解密处理,得到所述第一加密结果;
目标运营商客服系统根据所述随机数,生成第二加密结果;
目标运营商客服系统根据所述第一加密结果和所述第二加密结果,确定所述主卡终端和所述副卡终端对应用户的数据是否安全。
这里,本申请提供了一种针对开通了一号双业务的用户的数据保全认证方法,当用户对应的终端设备需要接入进行云上数据保全操作的时候,主卡终端通过对预存的第一加密结果进行属性加密的方式,获取用于认证的加密文,并将加密文拆分分别由主卡终端和副卡终端发送至目标运营商客服系统,从而目标运营商客服系统根据从主卡终端和副卡终端进行属性加密方式和同态加密方式的解密处理,得到第一加密结果,并与自身通过随机数生成的第二加密结果进行比较,可以准确判断用户对应的终端设备是否安全,在用户通过主卡终端接入进行云上数据保全操作的时候,增加了接入认证时的安全性,提高了数据的安全性。
可选地,在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数进行加密处理,得到第一加密结果;
保存所述第一加密结果。
其中,本申请预先通过随机数确定第一加密结果,第一加密结果的确定具有随机性,防止被泄露或窃取,进一步地提高了数据安全性。
可选地,所述主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数进行加密处理,得到第一加密结果,包括:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数、所述随机数发送的广播时间的时间戳和所述主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果;
相应的,所述目标运营商客服系统根据所述随机数,生成第二加密结果,包括:
目标运营商客服系统根据所述主卡终端对应的手机号码、所述随机数和所述随机数发送的广播时间的时间戳,生成第二加密结果。
这里,本申请目标运营商客服系统可以在接收到主卡终端发送的需要认证的信息后,获取发送给主卡终端的随机数后,生成第二加密结果,可以准确地对主卡终端以及对应的用户进行安全认证。
可选地,在所述主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数、所述随机数发送的广播时间的时间戳和所述主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果之前,还包括:
目标运营商客服系统根据预设随机数发送周期,周期性地生成随机数,通过区块链向所述主卡终端发送随机数。
可选地,在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理之前,还包括:
根据所述目标运营商客服系统周期性发送的随机数,更新所述第一加密结果。
这里,本申请中的目标运营客服系统可以周期性地生成随机数,向用户终端发送随机数,实时更新的随机数进一步地减少了数据被泄露和窃取的风险,更能够保证数据保全认证的安全性。
可选地,在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
在核心网系统的统一数据管理中,增加集团用户数据保全权限用户属性;
定义所述主卡终端对应用户的用户属性;
将所述用户属性保存至核心网系统的用户保全链的属性描述证书。
可选地,本申请预先进行用户属性设置以及配置,使用属性证书来作为用户属性的凭证,属性证书根据集团数据保全用户的信息生成,用户是否能够接入集团用户保全链节点,取决于该用户身份对应的接入控制与解密密文相关联的属性集合是否匹配,根据属性及接入结构完成加密与解密,能够准确地保证数据保全接入的安全性。
可选地,所述将所述第一认证请求信息发送至目标运营商客服系统,包括:
将所述第一认证请求信息通过移动网络发送至基站;
基站在接收到所述第一认证请求信息后,将所述第一认证请求信息使用私钥签名后,通过广播信息的方式将所述第一认证请求信息发送至目标运营商客服系统。
可选地,所述将所述第二拆分文发送至所述主卡终端对应的副卡终端,包括:
通过点到点通信技术,将所述第二拆分文发送至所述主卡终端对应的副卡终端。
这里,本申请通过主卡终端和副卡终端通过基站将第一认证请求信息和第二认证请求信息发送至目标运营商客服系统,通过点到点通信技术实现主卡终端与副卡终端之间的通信,信息传递过程安全、可靠,进一步地提高了数据保全的安全性。
可选地,所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,包括:
主卡终端通过核心网系统密钥对预存的第一加密结果进行属性加密处理,得到密文;
通过核心网系统签名私钥对所述密文进行签名处理,得到签名数据;
获取核心网系统的用户保全链的属性描述证书,并生成授权接入条件,对所述授权接入条件进行加密,得到加密会话;
根据所述加密会话、所述密文和所述签名数据,生成加密文。
这里,本申请通过核心网系统密钥、核心网系统签名私钥以及用户保全链的属性描述证书对第一加密结果进行属性加密,在加密解密过程中运用了多个属性及接入结构,进一步地提高了数据保全认证的准确性。
第二方面,本申请提供了一种数据保全认证装置,包括:
第一加密模块,用于主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,其中,所述第一加密结果为所述主卡终端对目标运营商客服系统通过区块链发送的随机数加密得到,所述主卡终端对应用户为一号双业务用户,所述目标运营商客服系统为所述主卡终端所属运营商客服系统;
拆分模块,用于主卡终端对所述加密文进行拆分处理,得到第一拆分文和第二拆分文,并将所述第二拆分文发送至所述主卡终端对应的副卡终端;
第一认证处理模块,用于主卡终端根据主卡终端标识、主卡终端号码、所述主卡终端对应的用户属性、所述目标运营商客服系统为主卡终端分配的网际互连协议地址和所述第一拆分文,生成第一认证请求信息,将所述第一认证请求信息发送至目标运营商客服系统;
第二认证处理模块,用于副卡终端将副卡终端标识、主卡终端号码、副卡终端号码、所述主卡终端对应的用户属性、所述目标运营商客服系统为主卡副卡终端分配的网际互连协议地址和所述第二拆分文,生成第二认证请求信息,将所述第二认证请求信息发送至目标运营商客服系统;
解密模块,用于目标运营商客服系统在接收到所述第一认证请求信息和所述第二认证请求信息后,对所述第一认证请求信息和所述第二认证请求信息进行属性解密和同态解密处理,得到所述第一加密结果;
第二加密模块,用于目标运营商客服系统根据所述随机数,生成第二加密结果;
确定模块,用于目标运营商客服系统根据所述第一加密结果和所述第二加密结果,确定所述主卡终端和所述副卡终端对应用户的数据是否安全。
可选地,在所述第一加密模块用于主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,上述装置还包括第三加密模块,用于:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数进行加密处理,得到第一加密结果;
保存所述第一加密结果。
可选地,所述第三加密模块具体用于:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数、所述随机数发送的广播时间的时间戳和所述主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果;
相应地,所述第二加密模块具体用于:
目标运营商客服系统根据所述主卡终端对应的手机号码、所述随机数和所述随机数发送的广播时间的时间戳,生成第二加密结果。
可选地,在所述第三加密模块用于主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数、所述随机数发送的广播时间的时间戳和所述主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果之前,上述装置还包括随机数发送模块,用于:
目标运营商客服系统根据预设随机数发送周期,周期性地生成随机数,通过区块链向所述主卡终端发送随机数。
可选地,在所述第一加密模块用于主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,上述装置还包括:
更新模块,用于根据所述目标运营商客服系统周期性发送的随机数,更新所述第一加密结果。
可选地,在所述第一加密模块用于在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,上述装置还包括属性建立模块,用于:
在核心网系统的统一数据管理中,增加集团用户数据保全权限用户属性;
定义所述主卡终端对应用户的用户属性;
将所述用户属性保存至核心网系统的用户保全链的属性描述证书。
可选地,所述第一认证处理模块具体用于:
将所述第一认证请求信息通过移动网络发送至基站;
基站在接收到所述第一认证请求信息后,将所述第一认证请求信息使用私钥签名后,通过广播信息的方式将所述第一认证请求信息发送至目标运营商客服系统。
可选地,所述拆分模块具体用于:
通过点到点通信技术,将所述第二拆分文发送至所述主卡终端对应的副卡终端。
可选地,所述第一加密模块具体用于:
主卡终端通过核心网系统密钥对预存的第一加密结果进行属性加密处理,得到密文;
通过核心网系统签名私钥对所述密文进行签名处理,得到签名数据;
获取核心网系统的用户保全链的属性描述证书,并生成授权接入条件,对所述授权接入条件进行加密,得到加密会话;
根据所述加密会话、所述密文和所述签名数据,生成加密文。
第三方面,本申请提供一种数据保全认证设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的数据保全认证方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面以及第一方面各种可能的设计所述的数据保全认证方法。
第五方面,本申请提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上第一方面以及第一方面各种可能的设计所述的数据保全认证方法。
本申请提供的数据保全认证方法、装置、设备及存储介质,其中该方法当用户对应的终端设备需要接入进行云上数据保全操作的时候,主卡终端通过对预存的第一加密结果进行属性加密的方式,获取用于认证的加密文,并将加密文拆分分别由主卡终端和副卡终端发送至目标运营商客服系统,从而目标运营商客服系统根据从主卡终端和副卡终端进行属性加密方式和同态加密方式的解密处理,得到第一加密结果,并与自身通过随机数生成的第二加密结果进行比较,可以准确判断用户对应的终端设备是否安全,在用户通过主卡终端接入进行云上数据保全操作的时候,增加了接入认证时的安全性,提高了数据的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种数据保全认证系统架构示意图;
图2为本申请实施例提供的一种数据保全认证方法的流程示意图;
图3为本申请实施例提供的一种数据保全认证装置的结构示意图;
图4为本申请实施例提供的一种数据保全认证设备的结构示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”及“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
将区块链技术应用于数据保全领域是现在的一个热点,区块链存储的优点是:可靠性高,数据存储在分布式节点,采用先进的冗余编码方式,有效防止单点故障带来的负面影响;高可用的服务;存储成本低,区块链存储费用低廉的原因在于它具有强大的降低数据重复率的能力;异地容灾性更强,区块链分布式存储功能可大幅提升容灾级别。系统只将哈希地址、数字指纹等小数据存储到区块链上,将大文件数据存储到星际文件系统(InterPlanetary File System,IPFS)网络节点上,在IPFS分布式存储的主要优势是数据不易缺失、效率高、数据访问权限取决于用户以及数据是分布式存储的。
现有的保全数据存储主要面临以下问题:数据安全问题。在传统的中心化数据保全系统中,采用集中式服务器存储数据,数据丢失后即无法恢复,同时,中心化数据存储机制面临数据被恶意篡改等风险;存储成本高;持续的存储需求。针对上述问题,数据保全安全存储的研究目的是为数据的安全存储增加一道防护屏障,为用户提供方便、全面的数据存储保护,保护敏感信息的机密性以及保证数据的完整性。现有技术的数据保全方法,数据安全性低。
为了解决上述技术问题,本申请实施例提供一种数据保全认证方法、装置、设备及存储介质,该方法用户要通过主卡终端接入进行云上数据保全操作的时候,采用属性加密和同态加密结合的方法,增加接入认证时的安全性。
可选地,本申请实施例的应用场景为:针对一种用户属于集团用户,并且开通了一号双业务的情况下,该用户要通过主卡终端接入进行云上数据保全操作的时候,采用属性加密和同态加密结合的方法,增加接入认证时的安全性,有助于数据保全业务的开展。
可选地,本申请实施例提出的集团用户数据保全链中的区块链包括以下:集团用户A主卡终端、副卡终端、集团用户B、基站、集团用户数据保全管理认证服务器、运营商5G核心网系统、运营商C的客服系统、运营商D的客服系统。
其中,集团用户A为一号双用户,在运营商系统中主卡和副卡对应同一个主卡号码。
可选地,图1为本申请实施例提供的一种数据保全认证系统架构示意图。如图1所示,上述架构包括:核心网系统101、主卡终端102、副卡终端103和目标运营商客服系统104。
例如如上述应用场景所示,主卡终端102和副卡终端103和对应同一用户A,其目标运营商客服系统为运营商C的客服系统。
其中,上述核心网系统101、主卡终端102、副卡终端103和目标运营商客服系统104均为连接在区块链网络中的节点,上述节点可以是云服务器、服务器或者终端设备等,任意两个节点之间可以通过区块链网络实现通信。
可以理解的是,上述架构中各个节点的数量及具体结构可以根据实际情况确定,图1仅是示意性的,本申请实施例对于上述节点的数目不作具体限制。
可以理解的是,本申请实施例示意的结构并不构成对数据保全认证系统架构的具体限定。在本申请另一些可行的实施方式中,上述架构可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置,具体可根据实际应用场景确定,在此不做限制。图1所示的部件可以以硬件,软件,或软件与硬件的组合实现。
另外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面以几个实施例为例对本申请的技术方案进行描述,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图2为本申请实施例提供的一种数据保全认证方法的流程示意图,本申请实施例可以应用于图1中的数据保全认证系统,具体执行主体可以根据实际应用场景确定。如图2所示,该方法包括如下步骤:
S201:主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文。
其中,第一加密结果为主卡终端对目标运营商客服系统通过区块链发送的随机数加密得到,主卡终端对应用户为一号双业务用户,目标运营商客服系统为主卡终端所属运营商客服系统。
可选地,主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,包括:主卡终端通过核心网系统密钥对预存的第一加密结果进行属性加密处理,得到密文;通过核心网系统签名私钥对密文进行签名处理,得到签名数据;获取核心网系统的用户保全链的属性描述证书,并生成授权接入条件,对授权接入条件进行加密,得到加密会话;根据加密会话、密文和签名数据,生成加密文。
这里,本申请实施例通过核心网系统密钥、核心网系统签名私钥以及用户保全链的属性描述证书对第一加密结果进行属性加密,在加密解密过程中运用了多个属性及接入结构,进一步地提高了数据保全认证的准确性。
在一种可能的实现方式中,主卡终端使用系统密钥对第一加密结果J1进行加密,得到密文E,系统签名私钥对密文E进行签名,形成签名SIGN;并获取提供集团用户保全链的属性描述证书,从中获得相关信息,并生成授权接入条件T;对授权接入条件的会话进行加密,结果为CT;生成加密文,CT+E+SIGN,例如最终的加密文为ABCD1234。
可选地,在主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数进行加密处理,得到第一加密结果;保存第一加密结果。
在一种可能的实现方式中,例如运营商客服系统发送的随机数是123456,主卡终端使用该随机数123456、该随机数发送的广播消息的时间戳、用户终端对应的手机号码186****2222的运营商客服密码KEY1,使用这3个按照预先约定的算法计算出一个加密结果J1,并将J1存储备用,当自己想接入集团用户数据保全链的时候使用。由于随机数是每经过固定时间间隔就变化的,又引入了时间戳,而时间戳是不固定的,如果该消息被截获,也无法猜测出该手机号码对应的运营商客服密码。
其中,本申请实施例预先通过随机数确定第一加密结果,第一加密结果的确定具有随机性,防止被泄露或窃取,进一步地提高了数据安全性。
可选地,主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数进行加密处理,得到第一加密结果,包括:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数、随机数发送的广播时间的时间戳和主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果;相应的,目标运营商客服系统根据随机数,生成第二加密结果,包括:目标运营商客服系统根据主卡终端对应的手机号码、随机数和随机数发送的广播时间的时间戳,生成第二加密结果。
这里,本申请实施例目标运营商客服系统可以在接收到主卡终端发送的需要认证的信息后,获取发送给主卡终端的随机数后,生成第二加密结果,可以准确地对主卡终端以及对应的用户进行安全认证。
可选地,在主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数、随机数发送的广播时间的时间戳和主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果之前,还包括:目标运营商客服系统根据预设随机数发送周期,周期性地生成随机数,通过区块链向主卡终端发送随机数。
可选地,在主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理之前,还包括:根据目标运营商客服系统周期性发送的随机数,更新第一加密结果。
这里,本申请实施例中的目标运营客服系统可以周期性地生成随机数,向用户终端发送随机数,实时更新的随机数进一步地减少了数据被泄露和窃取的风险,更能够保证数据保全认证的安全性。
可选地,在主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
在核心网系统的统一数据管理中,增加集团用户数据保全权限用户属性;定义主卡终端对应用户的用户属性;将用户属性保存至核心网系统的用户保全链的属性描述证书。
可选地,本申请实施例预先进行用户属性设置以及配置,使用属性证书来作为用户属性的凭证,属性证书根据集团数据保全用户的信息生成,用户是否能够接入集团用户保全链节点,取决于该用户身份对应的接入控制与解密密文相关联的属性集合是否匹配,根据属性及接入结构完成加密与解密,能够准确地保证数据保全接入的安全性。
S202:主卡终端对加密文进行拆分处理,得到第一拆分文和第二拆分文,并将第二拆分文发送至主卡终端对应的副卡终端。
可选地,将第二拆分文发送至主卡终端对应的副卡终端,包括:通过点到点通信技术,将第二拆分文发送至主卡终端对应的副卡终端。
这里,本申请实施例通过主卡终端和副卡终端通过基站将第一认证请求信息和第二认证请求信息发送至目标运营商客服系统,通过点到点通信技术实现主卡终端与副卡终端之间的通信,信息传递过程安全、可靠,进一步地提高了数据保全的安全性。
在一种可能的实现方式中,将加密文(ABCD1234)拆分为任意两个部分,一个部分M1(ABCD)是通过主卡终端发送,将集团数据保全用户主卡终端标识、集团数据保全用户终端号码、集团数据保全用户的属性、主卡终端分配到的IP地址(运营商C分配),密文M1通过5G移动网络发送给基站;另外一个部分M2(1234),主卡终端通过点到点通信技术(Device—to—Device Communication,D2D)的方式将M2发送给副卡终端,副卡终端再将集团数据保全用户副卡终端标识、集团数据保全用户主卡和副卡终端号码、集团数据保全用户的属性、副卡终端分配到的IP地址(运营商C分配),密文M2发送给基站。
S203:主卡终端根据主卡终端标识、主卡终端号码、主卡终端对应的用户属性、目标运营商客服系统为主卡终端分配的网际互连协议地址和第一拆分文,生成第一认证请求信息,将第一认证请求信息发送至目标运营商客服系统。
可选地,将第一认证请求信息发送至目标运营商客服系统,包括:将第一认证请求信息通过移动网络发送至基站;基站在接收到第一认证请求信息后,将第一认证请求信息使用私钥签名后,通过广播信息的方式将第一认证请求信息发送至目标运营商客服系统。
S204:副卡终端将副卡终端标识、主卡终端号码、副卡终端号码、主卡终端对应的用户属性、目标运营商客服系统为主卡副卡终端分配的网际互连协议地址和第二拆分文,生成第二认证请求信息,将第二认证请求信息发送至目标运营商客服系统。
副卡终端也可以通过基站将第二认证请求信息发送至目标运营商客服系统。
S205:目标运营商客服系统在接收到第一认证请求信息和第二认证请求信息后,对第一认证请求信息和第二认证请求信息进行属性解密和同态解密处理,得到第一加密结果。
可选地,解密方式如下:目标运营商客服系统收到该消息之后,看到该5G用户的号码属于目标运营商,于是目标运营商客服系统采用该5G用户的主卡号码、运营商在该时间段内发布的随机数123456和时间戳,按照事先约定的算法计算出一个第二加密结果J2。并对接收到的消息进行属性解密,从加密报文中获取CT,利用属性密钥SK对CT进行解密,得到会话密钥,再通过请求信息中获得E,用会话密钥对其进行解密,获得消息报文中的加密结果M1。
可选地,解密方式如下:目标运营商客服系统收到副卡终端发送的消息之后,看到该5G用户对应的主卡号码属于目标运营商,于是目标运营商客服系统的核心网系统采用该5G用户的主卡号码、目标运营商客服系统在该时间段内发布的随机数123456和时间戳,按照事先约定的算法计算出一个加密结果J2。并对接收到的消息进行属性解密,从加密报文中获取CT,利用属性密钥SK对CT进行解密,得到会话密钥,再通过请求信息中获得E,用会话密钥对其进行解密,获得消息报文中的加密结果M2。然后运营商C的客服系统将M1和M2进行同态解密,获得密文E,通过解密,获得J1。
S206:目标运营商客服系统根据随机数,生成第二加密结果。
可选地,目标运营商客服系统在该时间段内发布的随机数123456和时间戳,按照事先约定的算法计算出一个加密结果J2。
S207:目标运营商客服系统根据第一加密结果和第二加密结果,确定主卡终端和副卡终端对应用户的数据是否安全。
可选地,若第一加密结果等于第二加密结果,则认证成功,确定安全。
这里,本申请实施例提供了一种针对开通了一号双业务的用户的数据保全认证方法,当用户对应的终端设备需要接入进行云上数据保全操作的时候,主卡终端通过对预存的第一加密结果进行属性加密的方式,获取用于认证的加密文,并将加密文拆分分别由主卡终端和副卡终端发送至目标运营商客服系统,从而目标运营商客服系统根据从主卡终端和副卡终端进行属性加密方式和同态加密方式的解密处理,得到第一加密结果,并与自身通过随机数生成的第二加密结果进行比较,可以准确判断用户对应的终端设备是否安全,在用户通过主卡终端接入进行云上数据保全操作的时候,增加了接入认证时的安全性,提高了数据的安全性。
本申请实施例还提供一种数据保全认证方法,该方法执行场景包括两个运营商以及两个用户及其对应的主卡终端和副卡终端,当用户A的主卡终端需要认证时,执行步骤如下:
步骤一:首先进行用户属性设置:
用户属性设置,在5G核心网中的统一数据管理(Unified Data Management,UDM)中增加用户属性,例如——集团用户数据保全权限。
首先,在运营商的5G核心网系统进行定义,生成可以接入集团用户保全链的5G用户的条件。
在5G核心网系统中进行定义,要求具有“集团用户A”或“集团用户B”,并且用户号码具有“数据保全”属性的用户才能给予授权并允许接入集团用户数据保全链中,该条件经过加密后再存储到属性描述证书中。
符合上述条件的用户通过属性来描述,使用属性证书来作为用户属性的凭证,属性证书根据集团数据保全用户的信息生成,并进行私钥签名。集团数据保全用户的身份作为一个属性集合,该集团数据保全用户是否能够接入集团用户保全链节点,取决于该用户身份对应的接入控制与解密密文相关联的属性集合是否匹配,根据属性及接入结构完成加密与解密。同时,5G核心网系统将要求发送给集团用户保全链管理认证服务器,并由集团用户保全链管理服务器负责完成认证过程。
步骤二:用户对应的主卡终端发起介入认证请求:
当属于运营商C的集团数据保全用户(用户A),同时该用户A开通了一号双业务,并且携带有主卡终端和副卡终端,需要进行数据保全操作的时候,首先要完成认证过程。
运营商C的客服系统和运营商D的客服系统每经过固定的时间间隔在区块链网络中使用私钥签名的广播消息发送一个随机数,例如该随机数是123456+时间戳。
用户A的主卡终端在区块链网络中定期收到自己所属的运营商的客服系统发送的随机数,例如运营商客服系统发送的随机数是123456,主卡终端使用该随机数123456、该随机数发送的广播消息的时间戳、用户终端对应的手机号码186****2222的运营商客服密码KEY1,使用这3个按照预先约定的算法计算出一个加密结果J1,并将J1存储备用,当自己想接入集团用户数据保全链的时候使用。由于随机数是每经过固定时间间隔就变化的,又引入了时间戳,而时间戳是不固定的,如果该消息被截获,也无法猜测出该手机号码对应的运营商客服密码。
步骤三:认证发起过程:
主卡终端使用系统密钥对J1进行加密,得到密文E,系统签名私钥对密文E进行签名,形成签名SIGN;并获取提供集团用户保全链的属性描述证书,从中获得相关信息,并生成授权接入条件T;对会话进行加密,结果为CT;生成加密文,CT+E+SIGN,例如最终的加密文为ABCD1234。将这个加密后的密文拆分为任意两个部分,一个部分M1(ABCD)是通过主卡终端发送,将集团数据保全用户主卡终端标识、集团数据保全用户终端号码、集团数据保全用户的属性、主卡终端分配到的IP地址(运营商C分配),第一拆分文的密文为密文M1通过5G移动网络发送给基站;另外一个部分M2(1234),主卡终端通过D2D的方式将M2发送给副卡终端,副卡终端再将集团数据保全用户副卡终端标识、集团数据保全用户主卡和副卡终端号码、集团数据保全用户的属性、副卡终端分配到的IP地址(运营商C分配),密文M2发送给基站。
同时,副卡终端在收到主卡终端通过D2D方式发来的接入认证请求之后,将该消息使用私钥签名后,发送给基站,包括集团数据保全用户副卡终端标识、集团数据保全用户终端主卡和副卡号码、集团数据保全用户的属性、副卡终端分配到的IP地址(运营商C分配),第二拆分文的密文为M2。
步骤四:认证验证过程:
目标运营商客服系统收到消息之后,看到该5G用户的号码属于运营商C,于是运营商C的客服系统采用该5G用户的主卡号码、运营商C在该时间段内发布的随机数123456和时间戳,按照事先约定的算法计算出一个加密结果J2。
对接收到的消息进行属性解密,从加密报文中获取CT,利用属性密钥SK对CT进行解密,得到会话密钥,再通过请求信息中获得E,用会话密钥对其进行解密,获得消息报文中的加密结果M1。
对接收到的消息进行属性解密,从加密报文中获取CT,利用属性密钥SK对CT进行解密,得到会话密钥,再通过请求信息中获得E,用会话密钥对其进行解密,获得消息报文中的加密结果M2。然后运营商C的客服系统将M1和M2进行同态解密,获得密文E,通过解密,获得J1。
如果J1和J2相等,那么说明该用户通过验证,运营商客服系统将该消息广播到区块链中,集团用户数据保全管理认证服务器在收到该消息之后,允许该集团数据保全用户接入到集团数据保全链中,并进行相应的数据保全操作。
图3为本申请实施例提供的一种数据保全认证装置的结构示意图,如图3所示,本申请实施例的装置包括:第一加密模块301、拆分模块302、第一认证处理模块303、第二认证处理模块304、解密模块305、第二加密模块306和确定模块307。这里的数据保全认证装置可以是服务器或者终端设备,或者是实现服务器或者终端设备的功能的芯片或者集成电路。这里需要说明的是,第一加密模块301、拆分模块302、第一认证处理模块303、第二认证处理模块304、解密模块305、第二加密模块306和确定模块307的划分只是一种逻辑功能的划分,物理上两者可以是集成的,也可以是独立的。
其中,第一加密模块,用于主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,其中,第一加密结果为主卡终端对目标运营商客服系统通过区块链发送的随机数加密得到,主卡终端对应用户为一号双业务用户,目标运营商客服系统为主卡终端所属运营商客服系统;
拆分模块,用于主卡终端对加密文进行拆分处理,得到第一拆分文和第二拆分文,并将第二拆分文发送至主卡终端对应的副卡终端;
第一认证处理模块,用于主卡终端根据主卡终端标识、主卡终端号码、主卡终端对应的用户属性、目标运营商客服系统为主卡终端分配的网际互连协议地址和第一拆分文,生成第一认证请求信息,将第一认证请求信息发送至目标运营商客服系统;
第二认证处理模块,用于副卡终端将副卡终端标识、主卡终端号码、副卡终端号码、主卡终端对应的用户属性、目标运营商客服系统为主卡副卡终端分配的网际互连协议地址和第二拆分文,生成第二认证请求信息,将第二认证请求信息发送至目标运营商客服系统;
解密模块,用于目标运营商客服系统在接收到第一认证请求信息和第二认证请求信息后,对第一认证请求信息和第二认证请求信息进行属性解密和同态解密处理,得到第一加密结果;
第二加密模块,用于目标运营商客服系统根据随机数,生成第二加密结果;
确定模块,用于目标运营商客服系统根据第一加密结果和第二加密结果,确定主卡终端和副卡终端对应用户的数据是否安全。
可选地,在第一加密模块用于主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,上述装置还包括第三加密模块,用于:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数进行加密处理,得到第一加密结果;
保存第一加密结果。
可选地,第三加密模块具体用于:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数、随机数发送的广播时间的时间戳和主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果;
相应地,第二加密模块具体用于:
目标运营商客服系统根据主卡终端对应的手机号码、随机数和随机数发送的广播时间的时间戳,生成第二加密结果。
可选地,在第三加密模块用于主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对随机数、随机数发送的广播时间的时间戳和主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果之前,上述装置还包括随机数发送模块,用于:
目标运营商客服系统根据预设随机数发送周期,周期性地生成随机数,通过区块链向主卡终端发送随机数。
可选地,在第一加密模块用于主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,上述装置还包括:
更新模块,用于根据目标运营商客服系统周期性发送的随机数,更新第一加密结果。
可选地,在第一加密模块用于在主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,上述装置还包括属性建立模块,用于:
在核心网系统的统一数据管理中,增加集团用户数据保全权限用户属性;
定义主卡终端对应用户的用户属性;
将用户属性保存至核心网系统的用户保全链的属性描述证书。
可选地,第一认证处理模块具体用于:
将第一认证请求信息通过移动网络发送至基站;
基站在接收到第一认证请求信息后,将第一认证请求信息使用私钥签名后,通过广播信息的方式将第一认证请求信息发送至目标运营商客服系统。
可选地,拆分模块具体用于:
通过点到点通信技术,将第二拆分文发送至主卡终端对应的副卡终端。
可选地,第一加密模块具体用于:
主卡终端通过核心网系统密钥对预存的第一加密结果进行属性加密处理,得到密文;
通过核心网系统签名私钥对密文进行签名处理,得到签名数据;
获取核心网系统的用户保全链的属性描述证书,并生成授权接入条件,对授权接入条件进行加密,得到加密会话;
根据加密会话、密文和签名数据,生成加密文。
参考图4,其示出了适于用来实现本公开实施例的数据保全认证设备400的结构示意图,该数据保全认证设备400可以为终端设备或服务器。其中,终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、个人数字助理(Personal DigitalAssistant,简称PDA)、平板电脑(Portable Android Device,简称PAD)、便携式多媒体播放器(Portable Media Player,简称PMP)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图4示出的数据保全认证设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,数据保全认证设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(Read Only Memory ,简称ROM)402中的程序或者从存储装置408加载到随机访问存储器(Random Access Memory ,简称RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中,还存储有数据保全认证设备400操作所需的各种程序和数据。处理装置401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
通常,以下装置可以连接至I/O接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(Liquid CrystalDisplay ,简称LCD)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许数据保全认证设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的数据保全认证设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从ROM 402被安装。在该计算机程序被处理装置401执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述数据保全认证设备中所包含的;也可以是单独存在,而未装配入该数据保全认证设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该数据保全认证设备执行时,使得该数据保全认证设备执行上述实施例所示的方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network ,简称LAN)或广域网(Wide Area Network ,简称WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
本领域技术人员在考虑说明书及实践这里公开的申请后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求书指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。

Claims (11)

1.一种数据保全认证方法,其特征在于,所述方法包括:
主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,其中,所述第一加密结果为所述主卡终端对目标运营商客服系统通过区块链发送的随机数加密得到,所述主卡终端对应用户为一号双业务用户,所述目标运营商客服系统为所述主卡终端所属运营商客服系统;
主卡终端对所述加密文进行拆分处理,得到第一拆分文和第二拆分文,并将所述第二拆分文发送至所述主卡终端对应的副卡终端;
主卡终端根据主卡终端标识、主卡终端号码、所述主卡终端对应的用户属性、所述目标运营商客服系统为主卡终端分配的网际互连协议地址和所述第一拆分文,生成第一认证请求信息,将所述第一认证请求信息发送至目标运营商客服系统;
副卡终端将副卡终端标识、主卡终端号码、副卡终端号码、所述主卡终端对应的用户属性、所述目标运营商客服系统为主卡副卡终端分配的网际互连协议地址和所述第二拆分文,生成第二认证请求信息,将所述第二认证请求信息发送至目标运营商客服系统;
目标运营商客服系统在接收到所述第一认证请求信息和所述第二认证请求信息后,对所述第一认证请求信息和所述第二认证请求信息进行属性解密和同态解密处理,得到所述第一加密结果;
目标运营商客服系统根据所述随机数,生成第二加密结果;
目标运营商客服系统根据所述第一加密结果和所述第二加密结果,确定所述主卡终端和所述副卡终端对应用户的数据是否安全。
2.根据权利要求1所述的方法,其特征在于,在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数进行加密处理,得到第一加密结果;
保存所述第一加密结果。
3.根据权利要求2所述的方法,其特征在于,所述主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数进行加密处理,得到第一加密结果,包括:
主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数、所述随机数发送的广播时间的时间戳和所述主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果;
相应的,所述目标运营商客服系统根据所述随机数,生成第二加密结果,包括:
目标运营商客服系统根据所述主卡终端对应的手机号码、所述随机数和所述随机数发送的广播时间的时间戳,生成第二加密结果。
4.根据权利要求3所述的方法,其特征在于,在所述主卡终端在获取到目标运营商客服系统通过区块链发送的随机数后,对所述随机数、所述随机数发送的广播时间的时间戳和所述主卡终端对应的手机号码的运营商客服密码进行加密处理,生成第一加密结果之前,还包括:
目标运营商客服系统根据预设随机数发送周期,周期性地生成随机数,通过区块链向所述主卡终端发送随机数。
5.根据权利要求4所述的方法,其特征在于,在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
根据所述目标运营商客服系统周期性发送的随机数,更新所述第一加密结果。
6.根据权利要求1至5任一项所述的方法,其特征在于,在所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文之前,还包括:
在核心网系统的统一数据管理中,增加集团用户数据保全权限用户属性;
定义所述主卡终端对应用户的用户属性;
将所述用户属性保存至核心网系统的用户保全链的属性描述证书。
7.根据权利要求1至5任一项所述的方法,其特征在于,所述将所述第一认证请求信息发送至目标运营商客服系统,包括:
将所述第一认证请求信息通过移动网络发送至基站;
基站在接收到所述第一认证请求信息后,将所述第一认证请求信息使用私钥签名后,通过广播信息的方式将所述第一认证请求信息发送至目标运营商客服系统。
8.根据权利要求1至5任一项所述的方法,其特征在于,所述将所述第二拆分文发送至所述主卡终端对应的副卡终端,包括:
通过点到点通信技术,将所述第二拆分文发送至所述主卡终端对应的副卡终端。
9.根据权利要求1至5任一项所述的方法,其特征在于,所述主卡终端通过核心网系统密钥、核心网系统签名私钥和核心网系统的用户保全链的属性描述证书,对预存的第一加密结果进行属性加密处理,生成加密文,包括:
主卡终端通过核心网系统密钥对预存的第一加密结果进行属性加密处理,得到密文;
通过核心网系统签名私钥对所述密文进行签名处理,得到签名数据;
获取核心网系统的用户保全链的属性描述证书,并生成授权接入条件,对所述授权接入条件进行加密,得到加密会话;
根据所述加密会话、所述密文和所述签名数据,生成加密文。
10.一种数据保全认证设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至9中任一项所述的数据保全认证方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至9中任一项所述的数据保全认证方法。
CN202310714488.3A 2023-06-16 2023-06-16 数据保全认证方法、装置、设备及存储介质 Active CN116456341B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310714488.3A CN116456341B (zh) 2023-06-16 2023-06-16 数据保全认证方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310714488.3A CN116456341B (zh) 2023-06-16 2023-06-16 数据保全认证方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN116456341A CN116456341A (zh) 2023-07-18
CN116456341B true CN116456341B (zh) 2023-08-15

Family

ID=87135930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310714488.3A Active CN116456341B (zh) 2023-06-16 2023-06-16 数据保全认证方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116456341B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004288080A (ja) * 2003-03-25 2004-10-14 Hitachi Ltd Icカードシステムおよびicカード発行方法
CN108990041A (zh) * 2017-06-01 2018-12-11 中国移动通信有限公司研究院 一种进行主副卡设置的方法和设备
CN111194034A (zh) * 2020-01-10 2020-05-22 中国联合网络通信集团有限公司 一种认证方法及装置
CN111988777A (zh) * 2020-09-02 2020-11-24 中国联合网络通信集团有限公司 一号双终端业务的处理方法及核心网设备、服务器

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004288080A (ja) * 2003-03-25 2004-10-14 Hitachi Ltd Icカードシステムおよびicカード発行方法
CN108990041A (zh) * 2017-06-01 2018-12-11 中国移动通信有限公司研究院 一种进行主副卡设置的方法和设备
CN111194034A (zh) * 2020-01-10 2020-05-22 中国联合网络通信集团有限公司 一种认证方法及装置
CN111988777A (zh) * 2020-09-02 2020-11-24 中国联合网络通信集团有限公司 一号双终端业务的处理方法及核心网设备、服务器

Also Published As

Publication number Publication date
CN116456341A (zh) 2023-07-18

Similar Documents

Publication Publication Date Title
US11265319B2 (en) Method and system for associating a unique device identifier with a potential security threat
CN108924147B (zh) 通信终端数字证书签发的方法、服务器以及通信终端
US10659226B2 (en) Data encryption method, decryption method, apparatus, and system
CN111708991A (zh) 服务的授权方法、装置、计算机设备和存储介质
CN103095457A (zh) 一种应用程序的登录、验证方法
CN113849847B (zh) 用于对敏感数据进行加密和解密的方法、设备和介质
CN110310392B (zh) 车辆解锁方法、装置、计算机设备及存储介质
CN111914229A (zh) 一种身份验证方法、装置、电子设备及存储介质
CN112533202A (zh) 身份鉴别方法及装置
CN109698746A (zh) 基于主密钥协商生成绑定设备的子密钥的方法和系统
CN113422679B (zh) 密钥生成方法、装置和系统、加密方法、电子设备以及计算机可读存储介质
CN114239072B (zh) 区块链节点管理方法及区块链网络
CN116244750A (zh) 一种涉密信息维护方法、装置、设备及存储介质
CN111586023A (zh) 一种认证方法、设备和存储介质
CN114362931A (zh) 一种物联网设备注册和安全认证连接及指令交互方法
CN112039857B (zh) 一种公用基础模块的调用方法和装置
CN113792345A (zh) 一种数据访问控制方法及装置
CN113282951A (zh) 一种应用程序的安全校验方法、装置及设备
CN116015900B (zh) 数据自存储自验证方法、装置、设备及存储介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
CN115296807B (zh) 用于预防工控网络病毒的密钥生成方法、装置、设备
CN116456341B (zh) 数据保全认证方法、装置、设备及存储介质
KR20190115489A (ko) 보안기술을 활용한 iot기기 보안인증 시스템
CN111586024B (zh) 一种认证方法、设备和存储介质
CN114554485B (zh) 异步会话密钥协商和应用方法、系统、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant