CN117134994B - 一种串行条件协同鉴权方法及系统 - Google Patents
一种串行条件协同鉴权方法及系统 Download PDFInfo
- Publication number
- CN117134994B CN117134994B CN202311380734.2A CN202311380734A CN117134994B CN 117134994 B CN117134994 B CN 117134994B CN 202311380734 A CN202311380734 A CN 202311380734A CN 117134994 B CN117134994 B CN 117134994B
- Authority
- CN
- China
- Prior art keywords
- authentication
- authorization
- certificate
- terminal group
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000013475 authorization Methods 0.000 claims abstract description 205
- 238000012795 verification Methods 0.000 claims abstract description 12
- 238000006467 substitution reaction Methods 0.000 claims description 6
- 125000004122 cyclic group Chemical group 0.000 claims description 4
- 230000002045 lasting effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供了一种串行条件协同鉴权方法及系统,属于访问鉴权的技术领域,用于解决相关技术中访问鉴权针对单一主体且鉴权凭证容易丢失和泄露的问题。在该方法和系统中,鉴权凭证基于自主设计的加密函数生成,服务器将加密凭证和凭证编号作为鉴权凭证发送至持有终端,并持久化存储验证凭证,在鉴权凭证的验证过程中,利用自主设计验证函数验证提供的鉴权凭证是否为真。提供了多种授权条件,该串行条件协同授权方法包括访问申请生成后第一预设时间内满足一个授权条件,且之后第二预设时间内满足另一个授权条件,则允许授权。该方法和系统能够实现多个持有终端协同鉴权,且鉴权过程较为可靠。
Description
技术领域
本申请涉及访问鉴权的技术领域,尤其涉及一种串行条件协同鉴权方法及系统。
背景技术
目前的访问鉴权一般包含两种方式,一种为在服务器存储相应的鉴权凭证,例如采用账号密码的方式或者数字证书的方式,另一种为通过外部存储器存储鉴权凭证,例如银行的U盾。两种方式均为针对单一主体的鉴权方案,且单一鉴权凭证存在丢失以及泄露的风险。
发明内容
本申请提供了一种串行条件协同鉴权方法及系统,其能够实现多主体协同鉴权,且一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
第一方面,本申请提供了一种串行条件协同鉴权方法。该方法应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证和一个凭证编号n;/>;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元;
构造用于加密的函数和函数,其中,t为预设数量;并将凭证编号n代入函数/>,得到加密凭证/>,将i=0,1,2,3...,t-1代入函数/>,分别得到验证凭证;
将加密凭证和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证/>;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证和凭证编号n、结合相应的验证凭证/>验证/>和/>是否相等;若是,则提供的加密凭证为真;
所述串行条件协同授权方法包括:验证访问申请生成后第一预设时间内是否满足一个授权条件,若是,则验证满足该授权条件后第二预设时间内是否满足另一个授权条件,若是,则生成允许授权信息;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
通过采用上述技术方案,实现了多个持有终端协同鉴权,在终端群体具备一定的数量规模时,由于鉴权不需要所有持有终端提供鉴权凭证,一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
进一步地,将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
进一步地,凭证编号;
在鉴权凭证生成时,加密凭证和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证/>之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证和凭证编号n。
第二方面,本申请提供了一种串行条件协同鉴权系统。该系统包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如以上第一方面所述的任意一种方法。
综上所述,本申请至少包含以下有益效果:
1.提供了一种串行条件协同鉴权方法及系统,其能够实现多个持有终端协同鉴权,且鉴权过程较为可靠;
2.鉴权凭证的生成和验证算法为自主研发,较为可靠,进一步增加了鉴权过程的可靠性。
3.提供了多种鉴权方式,使鉴权过程更为灵活可靠。
应当理解,发明内容部分中所描述的内容并非旨在限定本申请的实施例的关键或重要特征,亦非用于限制本申请的范围。本申请的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本申请实施例中一种串行条件协同鉴权方法的流程图;
图2示出了本申请实施例中一种终端群体的鉴权凭证生成过程的流程图;
图3示出了本申请实施例中一种终端群体的鉴权凭证鉴权过程的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请提供了一种串行条件协同鉴权方法及系统,其实现了多个持有终端的协同鉴权,鉴权过程灵活可靠。
第一方面,本申请提供了一种串行条件协同鉴权方法。该方法应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证和一个凭证编号n;/>;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元;
构造用于加密的函数和函数,其中,t为预设数量;并将凭证编号n代入函数/>,得到加密凭证/>,将i=0,1,2,3...,t-1代入函数/>,分别得到验证凭证;
将加密凭证和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证/>;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证和凭证编号n、结合相应的验证凭证/>验证/>和/>是否相等;若是,则提供的加密凭证为真;
所述串行条件协同授权方法包括:验证访问申请生成后第一预设时间内是否满足一个授权条件,若是,则验证满足该授权条件后第二预设时间内是否满足另一个授权条件,若是,则生成允许授权信息;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
通过采用上述技术方案,实现了多个持有终端协同鉴权,在终端群体具备一定的数量规模时,由于鉴权不需要所有持有终端提供鉴权凭证,一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
进一步地,将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
进一步地,凭证编号;
在鉴权凭证生成时,加密凭证和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证/>之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证和凭证编号n。
在一个具体示例中,预先的,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元。
服务器预先将所有持有终端划分入多个终端群体,每个终端群体包含多个持有终端,不同终端群体的持有终端数量可以相同,也可以不同,不同终端群体可以包含相同的持有终端。在本示例中,终端群体中持有终端的数量上限为。
服务器相对每一持有终端生成一鉴权凭证,实际生成时可针对每一终端群体总体生成一套鉴权凭证,服务器不存储鉴权凭证,但会将鉴权凭证分发至终端群体的所有持有终端。
参照图1和图2,下面对以一个终端群体的鉴权凭证生成过程进行详细描述。
服务器获取终端群体的持有终端的数量n()和预设数量t(/>),并随机生成一个关联于该终端群体的UUID,并随机生成t个原始凭证/>,/>,,构造用于加密的函数/>和函数。
令,得到与终端群体内持有终端一一对应的加密凭证;在函数/>,令,分别得到/>,记。
将n个加密凭证转化为16进制分别得到;将n个凭证编号0,1,2,3...,n-1转化为16进制分别得到,若/>未到两个字符,则在前面添加0补齐至两个字符得到/>;
将连接在/>后面得到/>,/>;
将作为鉴权凭证分发给n个持有方,并持久化存储/>。
以上即为一种终端群体的鉴权凭证生成过程,下面结合上述生成过程,对终端群体的鉴权过程进行详细描述。
服务器获取针对该终端群体的访问申请(该访问申请携带有该终端群体的UUID),服务器根据UUID即可调取相应的记录A,从而得知相应的n,t,C。访问申请由申请方发送。
在接收到针对该终端群体的访问申请后,服务器开始通知并等待持有终端提供鉴权凭证,并定义一集合I。在服务器接收到持有终端提供的鉴权凭证时,服务器在从后往前数第二个位置处将接收到的鉴权凭证/>拆分为两部分/>和/>,并将/>和/>转化为十进制/>和/>。
验证和/>是否相等,若相等,则检查集合I中是否包含该(/>,/>),若不包含则将该(/>,/>)放入集合I。
在收到针对该终端群体的访问申请后预设时间内,判断集合I内的数对数量是否达到预设数量t,若是,则生成针对该终端群体的授权成功信息,否则返回针对该群体的授权失败信息。
应理解,预设数量t()一般小于n,可以直接设定预设数量t,也可以设置一预设比例k(/>),并在服务器中配置预设数量/>,表示对kn取整。
在另一个示例中,与前述示例的区别之处在于,服务器还可以针对终端群体中每一凭证编号设置一凭证分值,在服务器将数对(,/>)放入集合I的同时以/>为凭证编号查询相应的凭证分值,并记录该凭证分值。已经放入集合I的数对(/>,/>)的总体的凭证分值,等于记录的所有凭证分值之和,也就是提供的所有鉴权凭证的分值之和。在服务器针对该终端群体预先设置一预设凭证阈值,当预设时间内提供的所有鉴权凭证的分值之和达到预设凭证阈值时,则针对该终端群体的该授权条件满足,否则否则针对该终端群体的该授权条件不满足。
以上即为针对单个终端群体的鉴权过程,一个终端群体可以有以上一种鉴权过程(或者说授权条件),也可以有以上两种或三种授权过程,一个授权条件可以绑定一个终端群体的一种鉴权方式,也可以绑定一个终端群体的多种鉴权方式、多个终端群体且每个终端群体提供一种鉴权方式、甚至多个终端群体每个终端群体提供多种鉴权方式。
若授权条件仅绑定一个终端群体的一种鉴权方式,采用以上鉴权方式进行鉴权即可,例如若授权条件绑定一终端群体的提供的所有鉴权凭证的分值之和达到预设凭证阈值时授权的方案,则在该终端群体在预设时间内提供的所有鉴权凭证的分值之和达到预设凭证阈值时,说明该终端群体的该授权条件满足,进而生成针对授权条件的允许授权信息。
若授权条件绑定多个终端群体,且关联于每个终端群体的一种指定授权条件,则可以认为单个终端群体的授权条件为总的授权条件的子授权条件,所有的子授权条件满足时才满足授权条件。授权条件可以包含多种多样的子授权条件的选择和组合情况,例如,至少两个终端群体的子授权条件满足、指定两个或多个终端群体的子授权条件满足(基于UUID确定指定的终端群体)、满足一个指定终端群体的子授权条件满足子授权条件的终端群体不存在冲突关系(终端群体的子授权条件的冲突关系预设)、满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系(终端群体的子授权条件的冲突关系预设)、满足的子授权条件数量达到预设数量或打到子授权条件总数量的预设比例等等。
当然,在需要满足多个终端群体的子授权条件时,服务器也可以相对每一子授权条件预设一条件分值(单一授权条件的终端群体根据UUID确定,两个或两个以上授权条件的终端群体根据UUID和授权条件标签确定),并且服务器预配置一预设条件阈值,在满足的所有子授权条件的条件分值之和在预设时间内达到预设条件阈值时,认为总体授权条件满足。
基于以上内容,可以任意构建总的授权条件包含的子授权条件内容,此处不作一一列举介绍。应理解,每个终端群体的每个授权条件的鉴权过程都是可独立进行的。
在本申请实施例中串行条件协同授权方法中,服务器接收到访问申请时,需要首先在第一预设时间内确定是否满足一个授权条件,且需要在满足该授权条件后第二预设时间内满足另一授权条件。可以理解的,两个授权条件不同,两个授权条件相互独立,两个授权条件基于前述描述可任意独立定义,例如授权条件绑定一个终端群体的一个授权条件、或授权条件绑定多个终端群体的多个子授权条件等等,基于前述描述,本领域技术人员能够理解如何实现,故此处也不对所有实现可能作穷举公开。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本申请所必须的。
以上是关于方法实施例的介绍,以下通过系统实施例,对本申请实施例所述方案进行进一步说明。
第二方面,本申请提供了一种串行条件协同鉴权系统。该系统包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如以上第一方面所述的任意一种方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
综上所述,本申请至少包含以下有益效果:
1.提供了一种串行条件协同鉴权方法及系统,其能够实现多个持有终端协同鉴权,且鉴权过程较为可靠;
2.鉴权凭证的生成和验证算法为自主研发,较为可靠,进一步增加了鉴权过程的可靠性。
3.提供了多种鉴权方式,使鉴权过程更为灵活可靠。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种串行条件协同鉴权方法,其特征在于,应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证和一个凭证编号n;/>;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元;
构造用于加密的函数和函数/>,其中,t为预设数量;并将凭证编号n代入函数/>,得到加密凭证/>,将i=0,1, 2,3...,t-1代入函数/>,分别得到验证凭证;
将加密凭证和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证/>;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证和凭证编号n、结合相应的验证凭证/>验证/>和/>是否相等;若是,则提供的加密凭证为真;
所述串行条件协同授权方法包括:验证访问申请生成后第一预设时间内是否满足一个授权条件,若是,则验证满足该授权条件后第二预设时间内是否满足另一个授权条件,若是,则生成允许授权信息;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
2.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
3.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
4.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
5.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
6.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
7.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
8.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
9.根据权利要求1所述的一种串行条件协同鉴权方法,其特征在于,凭证编号;
在鉴权凭证生成时,加密凭证和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证/>之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证和凭证编号n。
10.一种串行条件协同鉴权系统,其特征在于,包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如权利要求1-9中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311380734.2A CN117134994B (zh) | 2023-10-24 | 2023-10-24 | 一种串行条件协同鉴权方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311380734.2A CN117134994B (zh) | 2023-10-24 | 2023-10-24 | 一种串行条件协同鉴权方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117134994A CN117134994A (zh) | 2023-11-28 |
| CN117134994B true CN117134994B (zh) | 2023-12-29 |
Family
ID=88854879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311380734.2A Active CN117134994B (zh) | 2023-10-24 | 2023-10-24 | 一种串行条件协同鉴权方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117134994B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108964885A (zh) * | 2017-05-27 | 2018-12-07 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| CN113067797A (zh) * | 2021-02-01 | 2021-07-02 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权系统 |
| WO2021168829A1 (zh) * | 2020-02-28 | 2021-09-02 | 华为技术有限公司 | 一种用户标识的验证方法及相关设备 |
| CN115982247A (zh) * | 2023-03-15 | 2023-04-18 | 中国信息通信研究院 | 基于区块链的账户信息查询方法和装置、设备和介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10970385B2 (en) * | 2017-06-04 | 2021-04-06 | Apple Inc. | Multiple device credential sharing |
-
2023
- 2023-10-24 CN CN202311380734.2A patent/CN117134994B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108964885A (zh) * | 2017-05-27 | 2018-12-07 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| WO2021168829A1 (zh) * | 2020-02-28 | 2021-09-02 | 华为技术有限公司 | 一种用户标识的验证方法及相关设备 |
| CN113067797A (zh) * | 2021-02-01 | 2021-07-02 | 上海金融期货信息技术有限公司 | 支持跨网络区域多终端多凭证的身份认证和鉴权系统 |
| CN115982247A (zh) * | 2023-03-15 | 2023-04-18 | 中国信息通信研究院 | 基于区块链的账户信息查询方法和装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117134994A (zh) | 2023-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108352015B (zh) | 用于基于区块链的系统结合钱包管理系统的安全多方防遗失存储和加密密钥转移 | |
| CN112950367B (zh) | 生成和执行智能合约交易的方法及装置 | |
| Wang et al. | Privacy-preserving public auditing for data storage security in cloud computing | |
| US8296566B2 (en) | Method for session key derivation in an IC card | |
| CN109728906B (zh) | 基于非对称密钥池的抗量子计算非对称加密方法和系统 | |
| CN109918888B (zh) | 基于公钥池的抗量子证书颁发方法及颁发系统 | |
| GB2490407A (en) | Joint encryption using base groups, bilinear maps and consistency components | |
| CN111615810A (zh) | 获取数字签名的数据的计算机实现方法和系统 | |
| EP3496331A1 (en) | Two-party signature device and method | |
| CN111211910A (zh) | 基于秘密共享公钥池的抗量子计算ca及证书颁发系统及其颁发和验证方法 | |
| CN110545169B (zh) | 基于非对称密钥池和隐式证书的区块链方法和系统 | |
| EP4183105A1 (en) | Identifying denial-of-service attacks | |
| US11563566B2 (en) | Key splitting | |
| CN110519226B (zh) | 基于非对称密钥池和隐式证书的量子通信服务端保密通信方法和系统 | |
| CN108809996B (zh) | 不同流行度的删重存储数据的完整性审计方法 | |
| Yang et al. | Towards practical anonymous password authentication | |
| CN117134994B (zh) | 一种串行条件协同鉴权方法及系统 | |
| Yang et al. | A new approach for anonymous password authentication | |
| CN111064557A (zh) | 一种分布式托管的数字货币门限签名密钥分发方法 | |
| Ibrahim | AATCT: Anonymously authenticated transmission on the cloud with traceability | |
| CN117640239A (zh) | 一种循环条件协同鉴权方法及系统 | |
| CN117459225A (zh) | 一种多主体协同的多路径授权方法及系统 | |
| CN110838918B (zh) | 基于公钥池和签名偏移量的抗量子证书颁发方法及系统 | |
| CN117459224A (zh) | 一种多主体协同鉴权方法、装置及系统 | |
| CN110572256B (zh) | 基于非对称密钥池和隐式证书的抗量子计算非对称密钥管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |