CN117332387A - 用户权限的确定方法、装置、设备及计算机存储介质 - Google Patents

用户权限的确定方法、装置、设备及计算机存储介质 Download PDF

Info

Publication number
CN117332387A
CN117332387A CN202210766266.1A CN202210766266A CN117332387A CN 117332387 A CN117332387 A CN 117332387A CN 202210766266 A CN202210766266 A CN 202210766266A CN 117332387 A CN117332387 A CN 117332387A
Authority
CN
China
Prior art keywords
certificate
application program
key
sent
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210766266.1A
Other languages
English (en)
Inventor
李志超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing CHJ Automobile Technology Co Ltd
Original Assignee
Beijing CHJ Automobile Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing CHJ Automobile Technology Co Ltd filed Critical Beijing CHJ Automobile Technology Co Ltd
Priority to CN202210766266.1A priority Critical patent/CN117332387A/zh
Publication of CN117332387A publication Critical patent/CN117332387A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种用户权限的确定方法、装置、设备及计算机存储介质。方法包括:接收应用程序发送的认证请求,基于认证中心发送的公钥对认证请求中的证书进行验证,在验证有效时,生成随机数的加密数据并向应用程序发送加密数据,当接收的应用程序的解密数据与随机数相同时,向用户开放证书中密钥标识的使用权限。根据本申请实施例的方法,能够使应用程序仅可以使用对其开放权限的密钥标识,并实现密钥标识对应的密钥的调用,避免了对密钥的恶意调用,提高了安全性。

Description

用户权限的确定方法、装置、设备及计算机存储介质
技术领域
本申请属于密钥技术领域,尤其涉及一种用户权限的确定方法、装置、设备及计算机存储介质。
背景技术
目前,作为性能稳定的多用户网络操作系统,Linux系统得到了广泛使用。在Linux系统中,主要通过硬件安全引擎和安全中间件实现密钥的调用,进而实现应用程序的安全相关功能。其中,在调用密钥时,应用程序使用安全中间件中预先存储的各密钥标识(KeyIdentifier,KeyID)调用硬件安全引擎中的密钥。但应用程序在使用安全中间件中的密钥标识时,由于可以使用所有密钥标识,存在非法应用程序恶意使用密钥标识调用密钥,存在一定的安全风险。
发明内容
本申请实施例提供了一种用户权限的确定方法、装置、设备及计算机存储介质,能够根据接收的应用程序的认证的证书和认证中心的根公钥对应用程序进行认证,并基于认证结果设置用户的密钥标识的使用权限,使应用程序仅可以使用对其开放权限的密钥标识,并实现密钥标识对应的密钥的调用,避免了对密钥的恶意调用,提高了安全性。
第一方面,本申请实施例提供一种用户权限的确定方法,应用于第一设备,第一设备为动态库和应用程序所在的设备,方法包括:
基于根公钥对应用程序的认证请求中的证书进行验证,根公钥为接收的认证中心发送的公钥,证书为认证中心发送的;
当验证证书有效时,生成随机数;
基于证书中的公钥对随机数进行加密得到加密数据;
向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,私钥与证书中的公钥对应,私钥为认证中心发送;
接收应用程序发送的解密数据;
当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,以用于应用程序基于密钥标识的使用权限调用密钥标识,密钥标识存储在证书中。
第二方面,本申请实施例提供了一种用户权限的确定方法,应用于认证中心,方法包括:
接收应用程序发送的证书请求;
基于证书请求向第一设备发送根公钥,以用于第一设备基于根公钥对应用程序的认证请求中的证书进行验证,在验证证书有效时,生成随机数,基于证书中的公钥对随机数进行加密得到加密数据,向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,接收应用程序发送的解密数据,当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,私钥和证书为认证中心发送的。
第三方面,本申请实施例提供了一种用户权限的确定装置,装置包括:
验证模块,用于基于根公钥对应用程序的认证请求中的证书进行验证,根公钥为接收的认证中心发送的公钥,证书为认证中心发送的;
生成模块,用于当验证证书有效时,生成随机数;
加密模块,用于基于证书中的公钥对随机数进行加密得到加密数据;
发送模块,用于向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,私钥与证书中的公钥对应,私钥为认证中心发送;
接收模块,用于接收应用程序发送的解密数据;
开放模块,用于当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,以用于应用程序基于密钥标识的使用权限调用密钥标识,密钥标识存储在证书中。
第四方面,本申请实施例提供了一种用户权限的确定装置,装置包括:
接收模块,用于接收应用程序发送的证书请求;
发送模块,用于基于证书请求向第一设备发送根公钥,以用于第一设备基于根公钥对应用程序的认证请求中的证书进行验证,在验证证书有效时,生成随机数,基于证书中的公钥对随机数进行加密得到加密数据,向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,接收应用程序发送的解密数据,当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,私钥和证书为认证中心发送的。
第五方面,本申请实施例提供了一种用户权限的确定设备,设备包括:
处理器,以及存储有计算机程序指令的存储器;
处理器读取并执行计算机程序指令,以实现第一方面或第二方面的用户权限的确定方法。
第六方面,本申请实施例提供了一种计算机存储介质,其特征在于,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现第一方面或第二方面的用户权限的确定方法。
第七方面,本申请实施例提供了一种车辆,车辆包括以下至少一种:第三方面或第四方面的用户权限的确定装置;第五方面的用户权限的确定设备;第六方面的计算机存储介质。
本申请实施例的用户权限的确定方法,能够接收应用程序的认证的证书和认证中心的根公钥,基于根公钥对证书的有效性进行验证,当验证有效时生成随机数的加密数据对应用程序进行进一步验证,当验证成功时,向应用程序开放证书中存储的密钥标识的使用权限。使应用程序仅可以使用对其开放权限的密钥标识,并实现密钥标识对应的密钥的调用,避免了应用程序对密钥的恶意调用,提高了安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种应用于第一设备的用户权限的确定方法的流程示意图;
图2是本申请实施例提供的一种应用于认证中心的用户权限的确定方法的流程示意图;
图3是本申请实施例提供的一种证书签发的流程示意图;
图4是本申请实施例提供的一种用户权限的确定流程示意图;
图5是本申请实施例提供的一种用户权限的确定装置的结构示意图;
图6是本申请实施例提供的另一种用户权限的确定装置的结构示意图;
图7是本申请实施例提供的一种用户权限的确定设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
目前,用于保护和管理强认证系统所使用的密钥存储在硬件安全引擎(HardwareSecurity Module,HSM)或硬件安全模块(Hardware Security Module,HSM)中,应用程序通过安全中间件与硬件安全引擎连接。在应用程序需要调用密钥实现相关安全功能时,需要使用安全中间件中存储的密钥标识实现对硬件安全引擎中密钥的调用。在使用安全中间件中的密钥标识时,所有的应用程序都能够使用安全中间件中的任意标识,并调用任意密钥,伪造的应用程序也能够使用安全中间件中的任意标识,进而调用相应的密钥,存在安全风险。
为了解决现有技术问题,本申请实施例提供了一种用户权限的确定方法、装置、设备及计算机存储介质,能够对应用程序设置操作权限,使应用程序只具有操作安全件中特定密钥标识的权限,避免应用程序对密钥标识的任意调用,提高了密钥调用的安全性。下面首先对本申请实施例提供的用户权限的确定方法进行介绍。
图1示出了本申请实施例提供的一种用户权限的确定方法的流程示意图,应用于第一设备,第一设备为动态库和应用程序所在的设备,如图1所示,该方法可以包括以下步骤:
S110、基于根公钥对应用程序的认证请求中的证书进行验证,根公钥为接收的认证中心发送的公钥,证书为认证中心发送的。
动态库根据预先接收的认证中心发送的根公钥对应用程序发送的证书进行验证,具体地,对证书中的签名进行验证。利用根公钥对证书中的数字签名解密,得到数字摘要,将该数字摘要与利用哈希算法计算证书的数据得到的数字摘要进行比对。其中,根公钥与根私钥对应,根私钥为认证中心对数字摘要加密得到签名的私钥;根私钥存储在认证中心,认证中心保证根私钥不泄露。
在进行应用程序和动态库的认证时,动态库通过与应用程序连接的接口接收应用程序发送的认证请求,认证请求中包括证书中心为应用程序签发的证书。其中,证书中包括应用程序名称(app_name)、密钥标识、应用程序的公钥(pub_app)、加密的应用程序的私钥(pri_app)和签名(sign)等数据。
在一些实施例中,接收应用程序发送的认证请求之前,方法还包括:在认证中心接收到应用程序发送的证书请求的情况下,接收认证中心发送的根公钥。
S120、当验证证书有效时,生成随机数。
当验证证书中的签名有效时,即利用根公钥解密数字签名得到的数字摘要与利用哈希算法计算证书的数据得到的数字摘要相同时,证书有效,生成一个随机数。其中,证书有效表征该证书合法,证书中的数据是可信的。
S130、基于证书中的公钥对随机数进行加密得到加密数据。
动态库利用证书中的公钥对生成的随机数加密,得到该随机数的加密数据。其中,证书为应用程序接收的认证中心基于应用程序的证书请求发送的。
S140、向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,私钥与证书中的公钥对应,私钥为认证中心发送的。
动态库向应用程序发送随机数的加密数据,以用于应用程序基于加密的应用程序的私钥对加密数据进行解密,得到解密数据。其中,加密的应用程序的私钥与证书中的公钥对应。
S150、接收应用程序发送的解密数据。
接收应用程序发送的利用私钥对加密数据解密得到的数据。
S160、当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,以用于应用程序基于密钥标识的使用权限调用密钥标识,密钥标识存储在证书中。
动态库对解密数据和生成的随机数进行对比,当动态库接收的应用程序发送的解密数据与动态库生成的随机数相同时,应用程序认证成功,向应用程序开放证书中密钥标识的使用权限,以用于应用程序基于开放的权限调用对应的密钥,实现相关安全功能。其中,密钥标识为应用程序需要开放权限的标识,存储在证书中。
本申请实施例提供的用户权限的确定方法,能够接收应用程序的认证的证书和认证中心的根公钥,基于根公钥对证书的有效性进行验证,当验证有效时生成随机数的加密数据对应用程序进行进一步验证,当验证成功时,向应用程序开放证书中存储的密钥标识的使用权限。使应用程序仅可以使用对其开放权限的密钥标识,并实现密钥标识对应的密钥的调用,避免了应用程序对密钥的恶意调用,提高了安全性。
在一些实施例中,在基于根公钥对应用程序的认证请求中的证书进行验证之前,方法还包括:接收认证中心发送的根公钥,根公钥为认证中心响应于应用程序发送的证书请求发送的。应用程序向认证中心发送证书请求,请求中包括应用程序需要使用的密钥标识。动态库接收认证中心响应于证书请求发送的根公钥。
本申请实施例提供的用户权限的确定方法,能够在进行应用程序和动态库的认证前向认证中心请求证书,基于接收的根公钥对应用程序的证书进行验证,验证通过后,进行随机数的验证流程,进而向应用程序开放密钥标识的使用权限,提高了用户权限的确定的安全性。
在一些实施例中,私钥为应用程序基于密钥对私钥数据解密得到的,密钥和私钥数据为应用程序接收的认证中心响应于证书请求发送的应用程序接收的认证中心发送的私钥以白盒加密的形式获取,同时接收白盒加密的密钥aes密钥。应用程序根据获取的aes密钥进行白盒解密,得到私钥,私钥用于解密应用程序接收的动态库发送的加密数据。
本申请实施例提供的用户权限的确定方法,能够向动态库发送包含证书的请求,并接收动态库响应于请求发送的加密数据,根据接收的认证中心发送的私钥进行解密。使动态库根据解密结果对用户开放证书中密钥标识的使用权限,使用户进行通过应用程序使用对其开放权限的密钥标识,进而实现对密钥的调用,提高了密钥调用的安全性。其中,接收的私钥以加密的数据形式获取,并基于同时获取加密的密钥解密得到私钥,进一步提高了安全性。
图2示出了本申请实施例提供的一种用户权限的确定方法的流程示意图,应用于认证中心,如图2所示,该方法可以包括以下步骤:
S210、接收应用程序发送的证书请求。
接收应用程序发送的证书请求,证书请求中包括应用程序请求使用权限的密钥标识。
S220、基于证书请求向第一设备发送根公钥,以用于第一设备基于根公钥对应用程序的认证请求中的证书进行验证,在验证证书有效时,生成随机数,基于证书中的公钥对随机数进行加密得到加密数据,向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,接收应用程序发送的解密数据,当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,私钥和证书为认证中心发送的。
响应于应用程序发送的证书请求,向应用程序发送私钥和证书,以用于应用程序利用私钥对接收的动态库发送的随机数的加密数据进行解密,得到相应的解密数据,并向动态库发送包含证书的认证请求。证书中存储有私钥对应的公钥、密钥标识、签名和应用程序名称等数据。
响应于应用程序发送的证书请求,向动态库发送根公钥,以用于动态库基于根公钥对应用程序发送的证书签名进行验证,根公钥为根私钥对应的公钥。根私钥存储在认证中心,用于对证书的数据进行加密得到签名。
本申请实施例提供的用户权限的确定方法,能够基于应用程序发送的证书请求向应用程序发送私钥和证书,并向动态库发送根公钥,使应用程序和动态库基于根公钥、私钥和证书实现认证,并使动态库向应用程序的用户开放存储于证书中的密钥标识的使用权限,避免应用程序任用密钥标识对密钥进行恶意调用,提高了安全性。
在一些实施例中,私钥为应用程序基于密钥对私钥数据解密得到的,密钥和私钥数据为认证中心响应于证书请求向应用程序发送的认证中心向应用程序发送的私钥是以白盒加密的方式发送的,并同时发送加密的密钥,以用于应用程序进行解密得到私钥。
本申请实施例提供的用户权限的确定方法,能够基于应用程序发送的证书请求向应用程序发送私钥和证书,并向动态库发送根公钥,使应用程序和动态库基于根公钥、私钥和证书实现认证,并使动态库向应用程序的用户开放存储于证书中的密钥标识的使用权限,避免应用程序任用密钥标识对密钥进行恶意调用,提高了安全性。其中,向应用程序发送的私钥以白盒加密的形式发送,进一步提高了密钥标识使用流程的安全性。
在一种示例中,如图3所示为一种证书签发的流程示意图,应用程序基于应用程序名称app_name、需要使用的密钥标识keyid、公钥pub_app和私钥pri_app向认证中心申请证书,认证中心基于申请证书的请求向应用程序签发证书certificate、密钥aes_key和密钥白盒加密的私钥pri_app。其中,证书中存储有应用程序名称app_name、密钥标识keyid、公钥pub_app和签名sign。认证中心向动态库发送根公钥pub_root。其中,认证中心存储有根私钥。
在一种示例中,如图4所示为一种用户权限的确定流程示意图,应用程序向动态库发送认证请求,认证请求携带证书。动态库接收到认证请求后,用根公钥认证证书,在证书验证通过时生成随机数,并用证书中的公钥加密;在证书验证不通过时,继续接收应用程序的认证信息。将加密的数据返回至应用程序。应用程序用白盒解密私钥,接收动态库发送的加密数据。应用程序根据私钥解密,得到随机数,并将随机数返回至动态库。动态库验证随机数,当随机数对比一致时,向应用程序开放对应密钥标识的权限。应用程序正常操作密钥。
图5是本申请实施例提供的一种用户权限的确定装置500的结构示意图。如图5所示,该装置可以包括验证模块510、生成模块520、加密模块530、发送模块540、接收模块550和开放模块560。
验证模块510,用于基于根公钥对应用程序的认证请求中的证书进行验证,根公钥为接收的认证中心发送的公钥,证书为认证中心发送的。
生成模块520,用于当验证证书有效时,生成随机数。
加密模块530,用于基于证书中的公钥对随机数进行加密得到加密数据。
发送模块540,用于向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,私钥与证书中的公钥对应,私钥为认证中心发送。
接收模块550,用于接收应用程序发送的解密数据;
开放模块560,用于当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,以用于应用程序基于密钥标识的使用权限调用密钥标识,密钥标识存储在证书中。
本申请实施例提供的用户权限的确定装置,能够接收应用程序的认证的证书和认证中心的根公钥,基于根公钥对证书的有效性进行验证,当验证有效时生成随机数的加密数据对应用程序进行进一步验证,当验证成功时,向应用程序开放证书中存储的密钥标识的使用权限。使应用程序仅可以使用对其开放权限的密钥标识,并实现密钥标识对应的密钥的调用,避免了应用程序对密钥的恶意调用,提高了安全性。
在一些实施例中,装置还包括:接收模块550,用于接收认证中心发送的根公钥,根公钥为认证中心响应于应用程序发送的证书请求发送的。
本申请实施例提供的用户权限的确定方法,能够在进行应用程序和动态库的认证前向认证中心请求证书,基于根公钥对应用程序的证书进行验证,验证通过后,进行随机数的验证流程,进而向应用程序开放密钥标识的使用权限
在一些实施例中,私钥为应用程序基于密钥对私钥数据解密得到的,密钥和私钥数据为应用程序接收的认证中心响应于证书请求发送的。
本申请实施例提供的用户权限的确定方法,能够向动态库发送包含证书的请求,并接收动态库响应于请求发送的加密数据,根据接收的认证中心发送的私钥进行解密。使动态库根据解密结果对用户开放证书中密钥标识的使用权限,使用户进行通过应用程序使用对其开放权限的密钥标识,进而实现对密钥的调用,提高了密钥调用的安全性。其中,接收的私钥以加密的数据形式获取,并基于同时获取加密的密钥解密得到私钥,进一步提高了安全性。
图6是本申请实施例提供的一种用户权限的确定装置600的结构示意图。如图6所示,该装置可以包括接收模块610和发送模块620。
接收模块610,用于接收应用程序发送的证书请求。
发送模块620,用于基于证书请求向第一设备发送根公钥,以用于第一设备基于根公钥对应用程序的认证请求中的证书进行验证,在验证证书有效时,生成随机数,基于证书中的公钥对随机数进行加密得到加密数据,向应用程序发送加密数据,以用于应用程序基于私钥对加密数据解密,得到解密数据,接收应用程序发送的解密数据,当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,私钥和证书为认证中心发送的。
本申请实施例提供的用户权限的确定装置,能够基于应用程序发送的证书请求向应用程序发送私钥和证书,并向动态库发送根公钥,使应用程序和动态库基于根公钥、私钥和证书实现认证,并使动态库向应用程序的用户开放存储于证书中的密钥标识的使用权限,避免应用程序任用密钥标识对密钥进行恶意调用,提高了安全性。
在一些实施例中,私钥为应用程序基于密钥对私钥数据解密得到的,密钥和私钥数据为认证中心响应于证书请求向应用程序发送的。
本申请实施例提供的用户权限的确定装置,能够基于应用程序发送的证书请求向应用程序发送私钥和证书,并向动态库发送根公钥,使应用程序和动态库基于根公钥、私钥和证书实现认证,并使动态库向应用程序的用户开放存储于证书中的密钥标识的使用权限,避免应用程序任用密钥标识对密钥进行恶意调用,提高了安全性。其中,向应用程序发送的私钥以白盒加密的形式发送,进一步提高了密钥标识使用流程的安全性。
图7示出了本申请实施例提供的用户权限的确定设备的硬件结构示意图。
在增程器功率的确定设备可以包括处理器701以及存储有计算机程序指令的存储器702。
具体地,上述处理器701可以包括中央处理器(Central Processing Unit,CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器702可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器702可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在一个实例中,存储器702可以包括可移除或不可移除(或固定)的介质,或者存储器702是非易失性固态存储器。存储器702可在综合网关容灾设备的内部或外部。
在一个实例中,存储器702可包括只读存储器(ROM),随机存取存储器(RAM),磁盘存储介质设备,光存储介质设备,闪存设备,电气、光学或其他物理/有形的存储器存储设备。因此,通常,存储器702包括一个或多个编码有包括计算机可执行指令的软件的有形(非暂态)计算机可读存储介质(例如,存储器设备),并且当该软件被执行(例如,由一个或多个处理器)时,其可操作来执行参考根据本申请的一方面的方法所描述的操作。
处理器701通过读取并执行存储器702中存储的计算机程序指令,以实现图1所示实施例中的方法/步骤S110至S160,并达到图1所示实例执行其方法/步骤达到的相应技术效果,或处理器701通过读取并执行存储器702中存储的计算机程序指令,以实现图2所示实施例中的方法/步骤S210至S220,并达到图2所示实例执行其方法/步骤达到的相应技术效果,为简洁描述在此不再赘述。
在一个示例中,增程器功率的确定设备还可包括通信接口703和总线710。其中,如图7所示,处理器701、存储器702、通信接口703通过总线710连接并完成相互间的通信。
通信接口703,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。
总线710包括硬件、软件或两者,将在线数据流量计费设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(Accelerated Graphics Port,AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,EISA)总线、前端总线(Front Side Bus,FSB)、超传输(Hyper Transport,HT)互连、工业标准架构(Industry Standard Architecture,ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线710可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该用户权限的确定设备可以基于获取证书和根公钥执行本申请实施例中的用户权限的确定方法,从而实现结合图1或2描述的用户权限的确定方法。
另外,结合上述实施例中的用户权限的确定方法,本申请实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种用户权限的确定方法。
另外,结合上述实施例中的用户权限的确定方法,本发明实施例可提供一种车辆来实现。该车辆包括上述实施例中的用户权限的确定装置、用户权限的确定设备和计算机可读存储介质。
需要明确的是,本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本申请的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本申请的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RadioFrequency,RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本申请中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本申请不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
上面参考根据本申请的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各方面。应当理解,流程图和/或框图中的每个方框以及流程图和/或框图中各方框的组合可以由计算机程序指令实现。这些计算机程序指令可被提供给通用计算机、专用计算机、或其它可编程数据处理装置的处理器,以产生一种机器,使得经由计算机或其它可编程数据处理装置的处理器执行的这些指令使能对流程图和/或框图的一个或多个方框中指定的功能/动作的实现。这种处理器可以是但不限于是通用处理器、专用处理器、特殊应用处理器或者现场可编程逻辑电路。还可理解,框图和/或流程图中的每个方框以及框图和/或流程图中的方框的组合,也可以由执行指定的功能或动作的专用硬件来实现,或可由专用硬件和计算机指令的组合来实现。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述,仅为本申请的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (10)

1.一种用户权限的确定方法,应用于第一设备,所述第一设备为动态库和应用程序所在的设备,其特征在于,方法包括:
基于根公钥对应用程序的认证请求中的证书进行验证,所述根公钥为接收的认证中心发送的公钥,所述证书为所述认证中心发送的;
当验证所述证书有效时,生成随机数;
基于所述证书中的公钥对所述随机数进行加密得到加密数据;
向所述应用程序发送所述加密数据,以用于所述应用程序基于私钥对所述加密数据解密,得到解密数据,所述私钥与所述证书中的公钥对应,所述私钥为认证中心发送;
接收所述应用程序发送的解密数据;
当所述解密数据与所述随机数相同时,向所述应用程序开放密钥标识的使用权限,以用于所述应用程序基于所述密钥标识的使用权限调用所述密钥标识,所述密钥标识存储在所述证书中。
2.如权利要求1所述的方法,其特征在于,所述在基于根公钥对应用程序的认证请求中的证书进行验证之前,所述方法还包括:
接收所述认证中心发送的所述根公钥,所述根公钥为所述认证中心响应于所述应用程序发送的证书请求发送的。
3.如权利要求2所述的方法,其特征在于,所述私钥为所述应用程序基于密钥对私钥数据解密得到的,所述密钥和所述私钥数据为所述应用程序接收的所述认证中心响应于所述证书请求发送的。
4.一种用户权限的确定方法,应用于认证中心,其特征在于,方法包括:
接收应用程序发送的证书请求;
基于所述证书请求向所述第一设备发送根公钥,以用于所述第一设备基于所述根公钥对所述应用程序的认证请求中的证书进行验证,在验证所述证书有效时,生成随机数,基于所述证书中的公钥对所述随机数进行加密得到加密数据,向所述应用程序发送所述加密数据,以用于所述应用程序基于私钥对所述加密数据解密,得到解密数据,接收所述应用程序发送的解密数据,当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,所述私钥和所述证书为所述认证中心发送的。
5.如权利要求4所述的方法,其特征在于,所述私钥为所述应用程序基于密钥对私钥数据解密得到的,所述密钥和所述私钥数据为所述认证中心响应于所述证书请求向所述应用程序发送的。
6.一种用户权限的确定装置,其特征在于,所述装置包括:
验证模块,用于基于根公钥对应用程序的认证请求中的证书进行验证,所述根公钥为接收的认证中心发送的公钥,所述证书为所述认证中心发送的;
生成模块,用于当验证所述证书有效时,生成随机数;
加密模块,用于基于所述证书中的公钥对所述随机数进行加密得到加密数据;
发送模块,用于向所述应用程序发送所述加密数据,以用于所述应用程序基于私钥对所述加密数据解密,得到解密数据,所述私钥与所述证书中的公钥对应,所述私钥为认证中心发送;
接收模块,用于接收所述应用程序发送的解密数据;
开放模块,用于当所述解密数据与所述随机数相同时,向所述应用程序开放密钥标识的使用权限,以用于所述应用程序基于所述密钥标识的使用权限调用所述密钥标识,所述密钥标识存储在所述证书中。
7.一种用户权限的确定装置,其特征在于,所述装置包括:
接收模块,用于接收应用程序发送的证书请求;
发送模块,用于基于所述证书请求向所述第一设备发送根公钥,以用于所述第一设备基于所述根公钥对所述应用程序的认证请求中的证书进行验证,在验证所述证书有效时,生成随机数,基于所述证书中的公钥对所述随机数进行加密得到加密数据,向所述应用程序发送所述加密数据,以用于所述应用程序基于私钥对所述加密数据解密,得到解密数据,接收所述应用程序发送的解密数据,当解密数据与随机数相同时,向应用程序开放密钥标识的使用权限,所述私钥和所述证书为所述认证中心发送的。
8.一种用户权限的确定设备,其特征在于,所述设备包括:处理器,以及存储有计算机程序指令的存储器;
所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-5任意一项所述的用户权限的确定方法。
9.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-5任意一项所述的用户权限的确定方法。
10.一种车辆,其特征在于,所述车辆包括以下至少一种:
如权利要求6或7任意一项所述的用户权限的确定装置;
如权利要求8所述的用户权限的确定设备;
如权利要求9所述的计算机存储介质。
CN202210766266.1A 2022-07-01 2022-07-01 用户权限的确定方法、装置、设备及计算机存储介质 Pending CN117332387A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210766266.1A CN117332387A (zh) 2022-07-01 2022-07-01 用户权限的确定方法、装置、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210766266.1A CN117332387A (zh) 2022-07-01 2022-07-01 用户权限的确定方法、装置、设备及计算机存储介质

Publications (1)

Publication Number Publication Date
CN117332387A true CN117332387A (zh) 2024-01-02

Family

ID=89288985

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210766266.1A Pending CN117332387A (zh) 2022-07-01 2022-07-01 用户权限的确定方法、装置、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN117332387A (zh)

Similar Documents

Publication Publication Date Title
US6948065B2 (en) Platform and method for securely transmitting an authorization secret
CN110519309B (zh) 数据传输方法、装置、终端、服务器及存储介质
CN106452764B (zh) 一种标识私钥自动更新的方法及密码系统
CN107733636B (zh) 认证方法以及认证系统
CN110650478B (zh) Ota方法、系统、设备、se模块、程序服务器和介质
CN112396735B (zh) 网联汽车数字钥匙安全认证方法及装置
CN107733652B (zh) 用于共享交通工具的开锁方法和系统及车锁
CN115567197B (zh) 数字证书申请方法、装置、设备及计算机存储介质
CN111614684B (zh) 工业设备安全终端认证系统和认证方法
CN106792669A (zh) 基于混合加密算法的移动终端信息加密方法及装置
CN114389793B (zh) 会话密钥验证的方法、装置、设备及计算机存储介质
CN111080856A (zh) 蓝牙门禁开锁方法
CN113115255A (zh) 证书下发、密钥认证、车辆解锁方法、设备及存储介质
CN105873043B (zh) 一种用于移动终端的网络私匙的生成及应用方法及其系统
CN114386075B (zh) 数据传输通道建立、数据传输方法、装置、设备及介质
CN115344848B (zh) 标识获取方法、装置、设备及计算机可读存储介质
CN107343276B (zh) 一种终端的sim卡锁数据的保护方法及系统
CN117332387A (zh) 用户权限的确定方法、装置、设备及计算机存储介质
CN114444062A (zh) 一种身份信息认证的方法、系统、电子设备及存储介质
TW202101299A (zh) 多因子動態快速反應碼認證系統及方法
CN115225293B (zh) 鉴权方法、系统、装置、设备及计算机存储介质
CN116192416A (zh) 一种车辆身份验证方法、装置、设备及存储介质
CN115186286B (zh) 模型处理方法、装置、设备、可读存储介质及程序产品
CN117113381A (zh) 数据处理方法、装置、设备及存储介质
CN117014204A (zh) 物联网设备之间的通信方法、系统、设备、介质及产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination