CN117459225A - 一种多主体协同的多路径授权方法及系统 - Google Patents
一种多主体协同的多路径授权方法及系统 Download PDFInfo
- Publication number
- CN117459225A CN117459225A CN202311411014.8A CN202311411014A CN117459225A CN 117459225 A CN117459225 A CN 117459225A CN 202311411014 A CN202311411014 A CN 202311411014A CN 117459225 A CN117459225 A CN 117459225A
- Authority
- CN
- China
- Prior art keywords
- authorization
- certificate
- authentication
- terminal group
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 238
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000012795 verification Methods 0.000 claims abstract description 21
- 125000004122 cyclic group Chemical group 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 23
- 238000005516 engineering process Methods 0.000 abstract description 2
- 230000002045 lasting effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种多主体协同的多路径授权方法及系统,属于访问鉴权的技术领域,用于解决相关技术中访问鉴权针对单一主体且鉴权凭证容易丢失和泄露的问题。在该方法和系统中,鉴权凭证基于自主设计的加密函数生成,服务器将加密凭证和凭证编号作为鉴权凭证发送至持有终端,并持久化存储验证凭证,在鉴权凭证的验证过程中,利用自主设计验证函数验证提供的鉴权凭证是否为真。提供了多种授权条件,该多主体协同多路径授权方法包括访问申请生成后第一预设时间内满足一个授权条件则允许授权。该方法和系统能够实现多个持有终端协同鉴权,且鉴权过程较为可靠。
Description
技术领域
本申请涉及访问鉴权的技术领域,尤其涉及一种多主体协同的多路径授权方法及系统。
背景技术
目前的访问鉴权一般包含两种方式,一种为在服务器存储相应的鉴权凭证,例如采用账号密码的方式或者数字证书的方式,另一种为通过外部存储器存储鉴权凭证,例如银行的U盾。两种方式均为针对单一主体的鉴权方案,且单一鉴权凭证存在丢失以及泄露的风险。
发明内容
本申请提供了一种多主体协同的多路径授权方法及系统,其能够实现多主体协同鉴权授权,且一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
第一方面,本申请提供了一种多主体协同的多路径授权方法。该方法应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证si和一个凭证编号n;si∈G;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元;
构造用于加密的函数和函数ci=gf(x)modp,其中,t为预设数量;并将凭证编号n代入函数f(x),得到加密凭证f(n),将i=0,1,2,3...,t-1代入函数ci,分别得到验证凭证c0,c1,c2,...,ct-1;
将加密凭证f(n)和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证c0,c1,c2,...,ct-1;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证f(n)和凭证编号n、结合相应的验证凭证c0,c1,c2,...,ct-1验证gf(n)和是否相等;若是,则提供的加密凭证为真;
所述多主体协同的多路径授权方法包括:验证访问申请生成后第一预设时间内是否满足于至少一个授权条件,若是,则生成允许授权信息;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
通过采用上述技术方案,实现了多个持有终端协同鉴权,在终端群体具备一定的数量规模时,由于鉴权不需要所有持有终端提供鉴权凭证,一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
进一步地,凭证编号n≤216;
在鉴权凭证生成时,加密凭证f(n)和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证f(n)之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证f(n)和凭证编号n。
第二方面,本申请提供了一种多主体协同的多路径授权系统。该系统包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如以上第一方面所述的任意一种方法。
综上所述,本申请至少包含以下有益效果:
1.提供了一种多主体协同的多路径授权方法及系统,其能够实现多个持有终端协同鉴权,且鉴权过程较为可靠;
2.鉴权凭证的生成和验证算法为自主研发,较为可靠,进一步增加了鉴权过程的可靠性。
3.提供了多种鉴权方式,使鉴权过程更为灵活可靠。
应当理解,发明内容部分中所描述的内容并非旨在限定本申请的实施例的关键或重要特征,亦非用于限制本申请的范围。本申请的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本申请实施例中一种多主体协同的多路径授权方法的流程图;
图2示出了本申请实施例中一种终端群体的鉴权凭证生成过程的流程图;
图3示出了本申请实施例中一种终端群体的鉴权凭证鉴权过程的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请提供了一种多主体协同的多路径授权方法及系统,其实现了多个持有终端的协同鉴权,鉴权过程灵活可靠。
第一方面,本申请提供了一种多主体协同的多路径授权方法。该方法应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证si和一个凭证编号n;si∈G;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元;
构造用于加密的函数和函数ci=gf(x)modp,其中,t为预设数量;并将凭证编号n代入函数f(x),得到加密凭证f(n),将i=0,1,2,3...,t-1代入函数ci,分别得到验证凭证c0,c1,c2,...,ct-1;
将加密凭证f(n)和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证c0,c1,c2,...,ct-1;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证f(n)和凭证编号n、结合相应的验证凭证c0,c1,c2,...,ct-1验证gf(n)和是否相等;若是,则提供的加密凭证为真;
所述多主体协同的多路径授权方法包括:验证访问申请生成后第一预设时间内是否满足于至少一个授权条件,若是,则生成允许授权信息;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
通过采用上述技术方案,实现了多个持有终端协同鉴权,在终端群体具备一定的数量规模时,由于鉴权不需要所有持有终端提供鉴权凭证,一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
进一步地,凭证编号n≤216;
在鉴权凭证生成时,加密凭证f(n)和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证f(n)之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证f(n)和凭证编号n。
在一个具体示例中,预先的,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元。
服务器预先将所有持有终端划分入多个终端群体,每个终端群体包含多个持有终端,不同终端群体的持有终端数量可以相同,也可以不同,不同终端群体可以包含相同的持有终端。在本示例中,终端群体中持有终端的数量上限为216。
服务器相对每一持有终端生成一鉴权凭证,实际生成时可针对每一终端群体总体生成一套鉴权凭证,服务器不存储鉴权凭证,但会将鉴权凭证分发至终端群体的所有持有终端。
参照图1和图2,下面对以一个终端群体的鉴权凭证生成过程进行详细描述。
服务器获取终端群体的持有终端的数量n(n≤216)和预设数量t(t≤n),并随机生成一个关联于该终端群体的UUID,并随机生成t个原始凭证si,si∈G,i=0,1,...,t-1,构造用于加密的函数和函数ci=gf(x)modp。
令x=0,1,...,n-1,得到与终端群体内持有终端一一对应的加密凭证f(0),f(1),...,f(n-1);在函数ci=gf(x)modp,令i=0,1,2,3...,t-1;分别得到c0,c1,c2,...,ct-1;记C={c0,c1,c2,...,ct-1}。
将n个加密凭证f(0),f(1),...,f(n-1)转化为16进制分别得到H0,H1,H2,...,Hn-1;将n个凭证编号0,1,2,3...,n-1转化为16进制分别得到C0,C1,C2,...,Cn-1,若C0,C1,C2,...,Cn-1未到两个字符,则在前面添加0补齐至两个字符得到B0,B1,B2,...,Bn-1;
将Bj连接在Hj后面得到Rj,j=0,1,2,3...,n-1;
将Rj作为鉴权凭证分发给n个持有方,并持久化存储A={UUID,n,t,C}。
以上即为一种终端群体的鉴权凭证生成过程,下面结合上述生成过程,对终端群体的鉴权过程进行详细描述。
服务器获取针对该终端群体的访问申请(该访问申请携带有该终端群体的UUID),服务器根据UUID即可调取相应的记录A,从而得知相应的n,t,C。访问申请由申请方发送。
在接收到针对该终端群体的访问申请后,服务器开始通知并等待持有终端提供鉴权凭证,并定义一集合I。在服务器接收到持有终端提供的鉴权凭证R’ j时,服务器在从后往前数第二个位置处将接收到的鉴权凭证R’ j拆分为两部分v1和v2,并将v1和v2转化为十进制u1和u2。
验证和/>是否相等,若相等,则检查集合I中是否包含该(u1,u2),若不包含则将该(u1,u2)放入集合I。
在收到针对该终端群体的访问申请后预设时间内,判断集合I内的数对数量是否达到预设数量t,若是,则生成针对该终端群体的授权成功信息,否则返回针对该群体的授权失败信息。
应理解,预设数量t(t≤n)一般小于n,可以直接设定预设数量t,也可以设置一预设比例k(0<k≤1),并在服务器中配置预设数量t=[kn],表示对kn取整。
在另一个示例中,与前述示例的区别之处在于,服务器还可以针对终端群体中每一凭证编号设置一凭证分值,在服务器将数对(u1,u2)放入集合I的同时以u2为凭证编号查询相应的凭证分值,并记录该凭证分值。已经放入集合I的数对(u1,u2)的总体的凭证分值,等于记录的所有凭证分值之和,也就是提供的所有鉴权凭证的分值之和。在服务器针对该终端群体预先设置一预设凭证阈值,当预设时间内提供的所有鉴权凭证的分值之和达到预设凭证阈值时,则针对该终端群体的该授权条件满足,否则否则针对该终端群体的该授权条件不满足。
以上即为针对单个终端群体的鉴权过程,一个终端群体可以有以上一种鉴权过程(或者说授权条件),也可以有以上两种或三种授权过程,一个授权条件可以绑定一个终端群体的一种鉴权方式,也可以绑定一个终端群体的多种鉴权方式、多个终端群体且每个终端群体提供一种鉴权方式、甚至多个终端群体每个终端群体提供多种鉴权方式。
若授权条件仅绑定一个终端群体的一种鉴权方式,采用以上鉴权方式进行鉴权即可,例如若授权条件绑定一终端群体的提供的所有鉴权凭证的分值之和达到预设凭证阈值时授权的方案,则在该终端群体在预设时间内提供的所有鉴权凭证的分值之和达到预设凭证阈值时,说明该终端群体的该授权条件满足,进而生成针对授权条件的允许授权信息。
若授权条件绑定多个终端群体,且关联于每个终端群体的一种指定授权条件,则可以认为单个终端群体的授权条件为总的授权条件的子授权条件,所有的子授权条件满足时才满足授权条件。授权条件可以包含多种多样的子授权条件的选择和组合情况,例如,至少两个终端群体的子授权条件满足、指定两个或多个终端群体的子授权条件满足(基于UUID确定指定的终端群体)、满足一个指定终端群体的子授权条件满足子授权条件的终端群体不存在冲突关系(终端群体的子授权条件的冲突关系预设)、满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系(终端群体的子授权条件的冲突关系预设)、满足的子授权条件数量达到预设数量或打到子授权条件总数量的预设比例等等。
当然,在需要满足多个终端群体的子授权条件时,服务器也可以相对每一子授权条件预设一条件分值(单一授权条件的终端群体根据UUID确定,两个或两个以上授权条件的终端群体根据UUID和授权条件标签确定),并且服务器预配置一预设条件阈值,在满足的所有子授权条件的条件分值之和在预设时间内达到预设条件阈值时,认为总体授权条件满足。
基于以上内容,可以任意构建总的授权条件包含的子授权条件内容,此处不作一一列举介绍。应理解,每个终端群体的每个授权条件的鉴权过程都是可独立进行的。
在本申请实施例中多主体协同的多路径授权方法中,服务器接收到访问申请时,需要首先在第一预设时间内确定是否满足至少一个授权条件。应理解,不同的授权条件需要提供的授权凭证数量不同,需要提供的授权凭证数量越多的授权条件,理论上来说会越安全可靠,需要提供的授权凭证数量越少的授权条件,理论上来说安全可靠性会相对较差,故可以针对每一终端群体中t的数量,确定一个特定的预设时间,即不同终端群体、不同授权条件的预设时间不同,授权条件需要参与的持有终端越多,可以给越长的响应时间(即预设时间),终端群体的授权条件与预设时间的对照关系预设。第一预设时间一般长于任一终端群体的预设时间。
串行条件协同授权方法中,服务器接收到访问申请时,需要首先在第一预设时间内确定是否满足一个授权条件,且需要在满足该授权条件后第二预设时间内满足另一授权条件。可以理解的,两个授权条件不同,两个授权条件相互独立,两个授权条件基于前述描述可任意独立定义,例如授权条件绑定一个终端群体的一个授权条件、或授权条件绑定多个终端群体的多个子授权条件等等,基于前述描述,本领域技术人员能够理解如何实现,故此处也不对所有实现可能作穷举公开。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本申请所必须的。
以上是关于方法实施例的介绍,以下通过系统实施例,对本申请实施例所述方案进行进一步说明。
第二方面,本申请提供了一种多主体协同的多路径授权系统。该系统包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如以上第一方面所述的任意一种方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
综上所述,本申请至少包含以下有益效果:
1.提供了一种多主体协同的多路径授权方法及系统,其能够实现多个持有终端协同鉴权,且鉴权过程较为可靠;
2.鉴权凭证的生成和验证算法为自主研发,较为可靠,进一步增加了鉴权过程的可靠性。
3.提供了多种鉴权方式,使鉴权过程更为灵活可靠。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (9)
1.一种多主体协同的多路径授权方法,其特征在于,应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证si和一个凭证编号n;si∈G;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数g是循环群G的q阶生成元;
构造用于加密的函数和函数ci=gf(x)modp,其中,t为预设数量;并将凭证编号n代入函数f(x),得到加密凭证f(n),将i=0,1,2,3...,t-1代入函数ci,分别得到验证凭证c0,c1,c2,...,ct-1;
将加密凭证f(n)和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证c0,c1,c2,...,ct-1;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证f(n)和凭证编号n、结合相应的验证凭证c0,c1,c2,...,ct-1验证gf(n)和是否相等;若是,则提供的加密凭证为真;
所述多主体协同的多路径授权方法包括:验证访问申请生成后第一预设时间内是否满足于至少一个授权条件,若是,则生成允许授权信息;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
2.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
3.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
4.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
5.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
6.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
7.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
8.根据权利要求1所述的一种多主体协同的多路径授权方法,其特征在于,凭证编号n≤216;
在鉴权凭证生成时,加密凭证f(n)和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证f(n)之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证f(n)和凭证编号n。
9.一种多主体协同的多路径授权系统,其特征在于,包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如权利要求1-9中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311411014.8A CN117459225A (zh) | 2023-10-28 | 2023-10-28 | 一种多主体协同的多路径授权方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311411014.8A CN117459225A (zh) | 2023-10-28 | 2023-10-28 | 一种多主体协同的多路径授权方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117459225A true CN117459225A (zh) | 2024-01-26 |
Family
ID=89588652
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311411014.8A Pending CN117459225A (zh) | 2023-10-28 | 2023-10-28 | 一种多主体协同的多路径授权方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117459225A (zh) |
-
2023
- 2023-10-28 CN CN202311411014.8A patent/CN117459225A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110011802B (zh) | 一种高效的sm9两方协同生成数字签名的方法及系统 | |
JP4588874B2 (ja) | 内在的証明書方式 | |
US6377689B1 (en) | Key transmission system | |
CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
US4309569A (en) | Method of providing digital signatures | |
Krawczyk | Simple forward-secure signatures from any signature scheme | |
CA2196356C (en) | Transaction verification protocol for smart cards | |
CN110167021B (zh) | 一种车载虚拟钥匙实现及通信方法 | |
US7590850B2 (en) | Digital signature method based on identification information of group members, and method of acquiring identification information of signed-group member, and digital signature system for performing digital signature based on identification information of group members | |
CA2200592A1 (en) | Secret-key certificates | |
KR960042341A (ko) | 인증교환 방법, 복원형 전자서명 방법, 부가형 전자서명 방법, 키교환 방법, 복원형 다중전자서명 방법, 부가형 다중전자서명 방법 및 블라인드 전자서명 방법 | |
US5719940A (en) | Method for providing information security by exchanging authentication and signing an electronic signature and apparatus therefor | |
CN111163109B (zh) | 区块链去中心式节点防仿冒方法 | |
US20110213985A1 (en) | Two factor authentication scheme | |
US6084965A (en) | Identification scheme, digital signature scheme giving message recovery and digital signature scheme with appendix | |
CN113098681B (zh) | 云存储中口令增强且可更新的盲化密钥管理方法 | |
US20070150944A1 (en) | User authentication system and method for a communications network | |
CN111064557A (zh) | 一种分布式托管的数字货币门限签名密钥分发方法 | |
CN117459225A (zh) | 一种多主体协同的多路径授权方法及系统 | |
CN117134994B (zh) | 一种串行条件协同鉴权方法及系统 | |
CN117375820A (zh) | 一种基于预设权重的多主体协同鉴权方法、装置及系统 | |
CN114337990A (zh) | 一种两轮多重变色龙哈希函数计算方法及系统 | |
CN117459224A (zh) | 一种多主体协同鉴权方法、装置及系统 | |
CN117640239A (zh) | 一种循环条件协同鉴权方法及系统 | |
CN114389808A (zh) | 一种基于SM9盲签名的OpenID协议设计方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |