CN117640239A - 一种循环条件协同鉴权方法及系统 - Google Patents
一种循环条件协同鉴权方法及系统 Download PDFInfo
- Publication number
- CN117640239A CN117640239A CN202311702560.7A CN202311702560A CN117640239A CN 117640239 A CN117640239 A CN 117640239A CN 202311702560 A CN202311702560 A CN 202311702560A CN 117640239 A CN117640239 A CN 117640239A
- Authority
- CN
- China
- Prior art keywords
- authorization
- authentication
- certificate
- terminal group
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000013475 authorization Methods 0.000 claims abstract description 250
- 238000012795 verification Methods 0.000 claims abstract description 11
- 125000004122 cyclic group Chemical group 0.000 claims abstract description 9
- 238000006467 substitution reaction Methods 0.000 claims description 6
- 230000002045 lasting effect Effects 0.000 abstract 1
- 230000006870 function Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供了一种循环条件协同鉴权方法及系统,属于访问鉴权领域,用于解决访问鉴权针对单一主体且鉴权凭证容易丢失和泄露的问题。其中,鉴权凭证基于加密函数生成,服务器将鉴权凭证发送至持有终端,并持久化存储验证凭证,在鉴权凭证的验证过程中,利用验证函数验证提供的鉴权凭证是否为真。有多种授权条件,循环条件协同授权方法包括访问申请生成后第一预设时间内满足一个授权条件,并在第一预设时间结束时继续生成第二预设时长的授权触发信息以及再次访问申请,若第二预设时长结束时满足一个授权条件,则再次生成与授权条件相应的预设授权时长的授权触发信息,如此循环往复。该方法和系统能够实现多个持有终端协同鉴权,且鉴权过程较为可靠。
Description
技术领域
本申请涉及访问鉴权的技术领域,尤其涉及一种循环条件协同鉴权方法及系统。
背景技术
目前的访问鉴权一般包含两种方式,一种为在服务器存储相应的鉴权凭证,例如采用账号密码的方式或者数字证书的方式,另一种为通过外部存储器存储鉴权凭证,例如银行的U盾。两种方式均为针对单一主体的鉴权方案,且单一鉴权凭证存在丢失以及泄露的风险。
发明内容
本申请提供了一种循环条件协同鉴权方法及系统,其能够实现多主体协同鉴权,且一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
第一方面,本申请提供了一种循环条件协同鉴权方法。该方法应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证和一个凭证编号n;/>;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数f是循环群G的q阶生成元;
构造用于加密的函数和函数/>,其中,t为预设数量;并将凭证编号n代入函数/>,得到加密凭证/>,将i=0,1,2, 3...,t-1代入函数/>,分别得到验证凭证/>;
将加密凭证和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证/>;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证和凭证编号n、结合相应的验证凭证/>验证/>和/>是否相等;若是,则提供的加密凭证为真;
所述循环条件协同授权方法包括:验证访问申请生成后第一预设时间内是否满足至少一个授权条件,若是,则生成与授权条件相应的至少一个预设授权时长的授权触发信息,在预设授权时长结束后,继续生成第二预设时长的授权触发信息并同时生成再次访问申请,若在第二预设时长结束时满足至少一个授权条件,则再次生成与授权条件相应的至少一个预设授权时长的授权触发信息,如此循环往复,直至授权触发信息中断;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
通过采用上述技术方案,实现了多个持有终端协同鉴权,在终端群体具备一定的数量规模时,由于鉴权不需要所有持有终端提供鉴权凭证,一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
进一步地,将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
进一步地,凭证编号;
在鉴权凭证生成时,加密凭证和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证/>之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证和凭证编号n。
第二方面,本申请提供了一种循环条件协同鉴权系统。该系统包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如以上第一方面所述的任意一种方法。
综上所述,本申请至少包含以下有益效果:
1.提供了一种循环条件协同鉴权方法及系统,其能够实现多个持有终端协同鉴权,且鉴权过程较为可靠;
2.鉴权凭证的生成和验证算法为自主研发,较为可靠,进一步增加了鉴权过程的可靠性;
3.提供了多种鉴权方式,使鉴权过程更为灵活可靠。
应当理解,发明内容部分中所描述的内容并非旨在限定本申请的实施例的关键或重要特征,亦非用于限制本申请的范围。本申请的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了本申请实施例中一种循环条件协同鉴权方法的流程图;
图2示出了本申请实施例中一种终端群体的鉴权凭证生成过程的流程图;
图3示出了本申请实施例中一种终端群体的鉴权凭证鉴权过程的流程图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请提供了一种循环条件协同鉴权方法及系统,其实现了多个持有终端的协同鉴权,鉴权过程灵活可靠。
第一方面,本申请实施例公开了一种循环条件协同鉴权方法。该方法应用于服务器与多个鉴权凭证的持有终端组成的系统。
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证和一个凭证编号n;/>;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数f是循环群G的q阶生成元;
构造用于加密的函数和函数/>,其中,t为预设数量;并将凭证编号n代入函数/>,得到加密凭证/>,将i=0,1,2, 3...,t-1代入函数/>,分别得到验证凭证/>;
将加密凭证和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证/>;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证和凭证编号n、结合相应的验证凭证/>验证/>和/>是否相等;若是,则提供的加密凭证为真;
所述循环条件协同授权方法包括:验证访问申请生成后第一预设时间内是否满足至少一个授权条件,若是,则生成与授权条件相应的至少一个预设授权时长的授权触发信息,在预设授权时长结束后,继续生成第二预设时长的授权触发信息并同时生成再次访问申请,若在第二预设时长结束时满足至少一个授权条件,则再次生成与授权条件相应的至少一个预设授权时长的授权触发信息,如此循环往复,直至授权触发信息中断;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
通过采用上述技术方案,实现了多个持有终端协同鉴权,在终端群体具备一定的数量规模时,由于鉴权不需要所有持有终端提供鉴权凭证,一个或少数几个鉴权凭证丢失或泄露不影响鉴权过程。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
进一步地,将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
进一步地,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
进一步地,凭证编号;
在鉴权凭证生成时,加密凭证和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证/>之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证和凭证编号n。
在一个具体示例中,预先的,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数f是循环群G的q阶生成元。
服务器预先将所有持有终端划分入多个终端群体,每个终端群体包含多个持有终端,不同终端群体的持有终端数量可以相同,也可以不同,不同终端群体可以包含相同的持有终端。在本示例中,终端群体中持有终端的数量上限为。
服务器相对每一持有终端生成一鉴权凭证,实际生成时可针对每一终端群体总体生成一套鉴权凭证,服务器不存储鉴权凭证,但会将鉴权凭证分发至终端群体的所有持有终端。
参照图1和图2,下面对以一个终端群体的鉴权凭证生成过程进行详细描述。
服务器获取终端群体的持有终端的数量n()和预设数量t(/>),并随机生成一个关联于该终端群体的UUID,并随机生成t个原始凭证/>,/>,/>,构造用于加密的函数/>和函数/>。
令,得到与终端群体内持有终端一一对应的加密凭证;在函数/>,令/>,分别得到/>,记/>。
将n个加密凭证转化为16进制分别得到;将n个凭证编号0,1,2,3...,n-1转化为16进制分别得到,若/>未到两个字符,则在前面添加0补齐至两个字符得到;
将连接在/>后面得到/>,/>;
将作为鉴权凭证分发给n个持有方,并持久化存储/>。
以上即为一种终端群体的鉴权凭证生成过程,下面结合上述生成过程,对终端群体的鉴权过程进行详细描述。
服务器获取针对该终端群体的访问申请(该访问申请携带有该终端群体的UUID),服务器根据UUID即可调取相应的记录A,从而得知相应的n,t,C。访问申请由申请方发送。
在接收到针对该终端群体的访问申请后,服务器开始通知并等待持有终端提供鉴权凭证,并定义一集合I。在服务器接收到持有终端提供的鉴权凭证时,服务器在从后往前数第二个位置处将接收到的鉴权凭证/>拆分为两部分/>和/>,并将/>和/>转化为十进制/>和/>。
验证和/>是否相等,若相等,则检查集合I中是否包含该(/>,/>),若不包含则将该(/>,/>)放入集合I。
在收到针对该终端群体的访问申请后预设时间内,判断集合I内的数对数量是否达到预设数量t,若是,则生成针对该终端群体的授权成功信息,否则返回针对该群体的授权失败信息。
应理解,预设数量t()一般小于n,可以直接设定预设数量t,也可以设置一预设比例k(/>),并在服务器中配置预设数量/>,表示对kn取整。
在另一个示例中,与前述示例的区别之处在于,服务器还可以针对终端群体中每一凭证编号设置一凭证分值,在服务器将数对(,/>)放入集合I的同时以/>为凭证编号查询相应的凭证分值,并记录该凭证分值。已经放入集合I的数对(/>,/>)的总体的凭证分值,等于记录的所有凭证分值之和,也就是提供的所有鉴权凭证的分值之和。在服务器针对该终端群体预先设置一预设凭证阈值,当预设时间内提供的所有鉴权凭证的分值之和达到预设凭证阈值时,则针对该终端群体的该授权条件满足,否则否则针对该终端群体的该授权条件不满足。
以上即为针对单个终端群体的鉴权过程,一个终端群体可以有以上一种鉴权过程(或者说授权条件),也可以有以上两种或三种授权过程,一个授权条件可以绑定一个终端群体的一种鉴权方式,也可以绑定一个终端群体的多种鉴权方式、多个终端群体且每个终端群体提供一种鉴权方式、甚至多个终端群体每个终端群体提供多种鉴权方式。
若授权条件仅绑定一个终端群体的一种鉴权方式,采用以上鉴权方式进行鉴权即可,例如若授权条件绑定一终端群体的提供的所有鉴权凭证的分值之和达到预设凭证阈值时授权的方案,则在该终端群体在预设时间内提供的所有鉴权凭证的分值之和达到预设凭证阈值时,说明该终端群体的该授权条件满足,进而生成针对授权条件的允许授权信息。
若授权条件绑定多个终端群体,且关联于每个终端群体的一种指定授权条件,则可以认为单个终端群体的授权条件为总的授权条件的子授权条件,所有的子授权条件满足时才满足授权条件。授权条件可以包含多种多样的子授权条件的选择和组合情况,例如,至少两个终端群体的子授权条件满足、指定两个或多个终端群体的子授权条件满足(基于UUID确定指定的终端群体)、满足一个指定终端群体的子授权条件满足子授权条件的终端群体不存在冲突关系(终端群体的子授权条件的冲突关系预设)、满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系(终端群体的子授权条件的冲突关系预设)、满足的子授权条件数量达到预设数量或打到子授权条件总数量的预设比例等等。
当然,在需要满足多个终端群体的子授权条件时,服务器也可以相对每一子授权条件预设一条件分值(单一授权条件的终端群体根据UUID确定,两个或两个以上授权条件的终端群体根据UUID和授权条件标签确定),并且服务器预配置一预设条件阈值,在满足的所有子授权条件的条件分值之和在预设时间内达到预设条件阈值时,认为总体授权条件满足。
基于以上内容,可以任意构建总的授权条件包含的子授权条件内容,此处不作一一列举介绍。应理解,每个终端群体的每个授权条件的鉴权过程都是可独立进行的。
在本申请实施例中循环条件协同授权方法中,服务器接收到访问申请时,需要首先在第一预设时间内确定是否满足一个授权条件,并在满足该授权条件时生成授权触发信息,授权触发信息持续预设授权时长,预设授权时长与授权条件对应且对应关系预设。在预设授权时长结束时,继续生成第二预设时长的授权触发信息,并且同时生成再次访问申请,再次访问申请与初次访问申请的作用相同,区别仅在于初次的访问申请为申请方发出,而再次访问申请由服务器自动生成。服务器在获取到再次访问申请时,会在第二预设时长内通知并等待授权条件的满足,若在第二预设时长结束时满足一个授权条件,则再次生成与该授权条件相应的预设授权时长的授权触发信息,在该预设授权时长结束时,继续生成第二预设时长的授权触发信息并再次生成再次访问申请,如此循环往复,直至授权触发信息中断。在授权触发信息存续期间,授权申请方访问。
在授权触发信息中断后预设停止时间内,拒绝同一申请方的访问申请。
可以理解的,在另一个示例中,若一个访问申请或一个再次访问申请使两个或两个以上授权条件满足,该次授权触发信息的持续时间可以为该两个或两个以上的授权条件对应的两个或两个以上的预设授权时间之和。
可以理解的,访问申请或再次访问申请满足的授权条件不同,不同授权条件相互独立,授权条件基于前述描述可任意独立定义,例如授权条件绑定一个终端群体的一个授权条件、或授权条件绑定多个终端群体的多个子授权条件等等,基于前述描述,本领域技术人员能够理解如何实现,故此处也不对所有实现可能作穷举公开。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本申请所必须的。
以上是关于方法实施例的介绍,以下通过系统实施例,对本申请实施例所述方案进行进一步说明。
第二方面,本申请提供了一种循环条件协同鉴权系统。该系统包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如以上第一方面所述的任意一种方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述描述的系统的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
综上所述,本申请至少包含以下有益效果:
1.提供了一种循环条件协同鉴权方法及系统,其能够实现多个持有终端协同鉴权,且鉴权过程较为可靠;
2.鉴权凭证的生成和验证算法为自主研发,较为可靠,进一步增加了鉴权过程的可靠性;
3.提供了多种鉴权方式,使鉴权过程更为灵活可靠。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离前述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种循环条件协同鉴权方法,其特征在于,应用于服务器与多个鉴权凭证的持有终端组成的系统;
所述鉴权凭证的生成方法包括:
服务器随机生成t个原始凭证和一个凭证编号n;/>;其中,服务器选定一个大素数p,得到自然数q,满足p-1能够被q整除,正整数f是循环群G的q阶生成元;
构造用于加密的函数和函数/>,其中,t为预设数量;并将凭证编号n代入函数/>,得到加密凭证/>,将i=0,1,2,3...,t-1代入函数/>,分别得到验证凭证/>;
将加密凭证和凭证编号n作为鉴权凭证发送至相应的持有终端,且服务器持久化存储验证凭证/>;
所述鉴权凭证的验证方法包括:
在持有终端向服务器提供鉴权凭证时,根据鉴权凭证的加密凭证和凭证编号n、结合相应的验证凭证/>验证/>和/>是否相等;若是,则提供的加密凭证为真;
所述循环条件协同授权方法包括:验证访问申请生成后第一预设时间内是否满足至少一个授权条件,若是,则生成与授权条件相应的至少一个预设授权时长的授权触发信息,在预设授权时长结束后,继续生成第二预设时长的授权触发信息并同时生成再次访问申请,若在第二预设时长结束时满足至少一个授权条件,则再次生成与授权条件相应的至少一个预设授权时长的授权触发信息,如此循环往复,直至授权触发信息中断;
所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,若终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足。
2.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量,则该终端群体的授权条件满足,所述授权需求数量等于终端群体总数量的预设比例。
3.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一授权条件,所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值,则该终端群体的授权条件满足;其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和。
4.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括至少两个终端群体的子授权条件均满足。
5.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和,授权条件包括指定两个或多个终端群体的子授权条件均满足。
6.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少一个终端群体的子授权条件,且满足子授权条件的终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
7.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;授权条件包括满足至少两个指定终端群体的子授权条件且满足的其他子授权条件的终端群体与该两个指定终端群体不存在冲突关系,终端群体的子授权条件的冲突关系预设。
8.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,所述授权条件包括:将所有持有终端划分入若干个终端群体,针对每一终端群体确定一子授权条件,所述终端群体提供的鉴权凭证的数量在预设时间内达到授权需求数量、或所述终端群体提供的鉴权凭证的数量在预设时间内达到终端群体总数量的预设比例、或所述终端群体提供的鉴权凭证的总体的凭证分值在预设时间内超出预设凭证阈值时,该终端群体的子授权条件满足,其中,服务器相对每一鉴权凭证预设一凭证分值,总体的凭证分值等于所有鉴权凭证的分值之和;
若满足的子授权条件的总体的条件分值超出预设条件阈值,则满足授权条件;其中,服务器还相对每一子授权条件预设一条件分值。
9.根据权利要求1所述的一种循环条件协同鉴权方法,其特征在于,凭证编号;
在鉴权凭证生成时,加密凭证和凭证编号n转化为16进制并连接为整体编码后作为鉴权凭证发送至持有终端,其中,凭证编号转化为二位16进制,鉴权凭证整体编码中转化的凭证编号n连接在转化后的加密凭证/>之后;
在鉴权凭证验证时,由倒数第二位的位置拆分鉴权凭证的整体编码并转化为10进制,得到加密凭证和凭证编号n。
10.一种循环条件协同鉴权系统,其特征在于,包括服务器与多个鉴权凭证的持有终端组成的系统,所述服务器应用如权利要求1-9中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311702560.7A CN117640239A (zh) | 2023-12-12 | 2023-12-12 | 一种循环条件协同鉴权方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311702560.7A CN117640239A (zh) | 2023-12-12 | 2023-12-12 | 一种循环条件协同鉴权方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117640239A true CN117640239A (zh) | 2024-03-01 |
Family
ID=90023332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311702560.7A Pending CN117640239A (zh) | 2023-12-12 | 2023-12-12 | 一种循环条件协同鉴权方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117640239A (zh) |
-
2023
- 2023-12-12 CN CN202311702560.7A patent/CN117640239A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220417025A1 (en) | Computer-implemented system and method providing a decentralised protocol for the recovery of cryptographic assets | |
| CN108632292B (zh) | 基于联盟链的数据共享方法和系统 | |
| Krawczyk | Simple forward-secure signatures from any signature scheme | |
| CN110719165B (zh) | 一种区块链分布式动态网络密钥生成和加密方法 | |
| TWI293529B (en) | User authentication by linking randomly-generated authentication secret with personalized secret and medium | |
| CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
| JP6497747B2 (ja) | 鍵交換方法、鍵交換システム | |
| WO2014167525A1 (en) | Secure backup and recovery system for private sensitive data | |
| EP3313020B1 (en) | Method of digital identity generation and authentication | |
| CN114467280A (zh) | 使用冷钱包生成数字签名 | |
| US20110213985A1 (en) | Two factor authentication scheme | |
| CN110719172B (zh) | 区块链系统中的签名方法、签名系统以及相关设备 | |
| CN110046511A (zh) | 基于联盟链的防止数据泄露方法、装置、设备和存储介质 | |
| Yang et al. | Towards practical anonymous password authentication | |
| CN109302286B (zh) | 一种Fido设备密钥索引的生成方法 | |
| CN112001717A (zh) | 一种数字电视的加密货币计算方法、系统及存储介质 | |
| CN111064557A (zh) | 一种分布式托管的数字货币门限签名密钥分发方法 | |
| CN112561701A (zh) | 一种区块链系统的交易创建方法、验证方法及交易设备 | |
| KR102149706B1 (ko) | 블록체인을 이용한 전자 서명 기반의 사용자 인증 처리 장치 및 그 동작 방법 | |
| CN117640239A (zh) | 一种循环条件协同鉴权方法及系统 | |
| CN117134994B (zh) | 一种串行条件协同鉴权方法及系统 | |
| CN110912703A (zh) | 一种基于网络安全的多级密钥管理方法、装置及系统 | |
| Chandrakar et al. | A secure two-factor mutual authentication and session key agreement protocol using Elliptic curve cryptography | |
| CN117459225A (zh) | 一种多主体协同的多路径授权方法及系统 | |
| CN108521396B (zh) | 隐私信息盲运算方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |