[go: up one dir, main page]

CN115225286A - 应用访问鉴权方法及装置 - Google Patents

应用访问鉴权方法及装置 Download PDF

Info

Publication number
CN115225286A
CN115225286A CN202210859459.1A CN202210859459A CN115225286A CN 115225286 A CN115225286 A CN 115225286A CN 202210859459 A CN202210859459 A CN 202210859459A CN 115225286 A CN115225286 A CN 115225286A
Authority
CN
China
Prior art keywords
party
key
information
docking
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210859459.1A
Other languages
English (en)
Inventor
李登峰
李奕辰
孙馨愉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202210859459.1A priority Critical patent/CN115225286A/zh
Publication of CN115225286A publication Critical patent/CN115225286A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种应用访问鉴权方法及装置,涉及网络安全,其中该方法包括:服务方接收对接方发送的第一密文信息以及第二密文信息后,使用非对称算法的第二密钥的私钥解密第二密文信息获得第一密钥;使用第一密钥对第一密文信息进行解密获得第一信息,第一信息中包括当前时间、设备标识,以及应用标识;按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;在具备时,根据设备标识生成包含唯一许可编号的第二信息;服务方对第二信息进行散列算法处理后用第二密钥的私钥对第一散列值加密获得第三信息;用第一密钥加密第二信息获得第四信息;将第三信息以及第四信息发送至对接方。本发明可以避免引发安全风险。

Description

应用访问鉴权方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及应用访问鉴权方法及装置。
背景技术
随着互联网的快速发展,网络安全形势也日趋严峻。目前服务方提供的互联网产品众多,客户端通过互联网访问、使用服务方互联网产品的场景也随处可见。
现有技术的不足在于:现有的互联网产品访问机制存在安全风险。
发明内容
本发明实施例提供一种应用访问鉴权方法,用以解决现有的互联网产品访问机制存在安全风险的问题,该方法包括:
对接方确定当前时间、设备标识,以及应用标识,其中,所述应用是作为外部第三方的对接方通过互联网在服务方上访问的应用;
对接方生成对称算法的第一密钥,使用第一密钥对第一信息进行加密后获得第一密文信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
对接方使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息,其中,第二密钥的公钥是服务方提供给对接方的;
对接方将第一密文信息以及第二密文信息发送给服务方;
对接方接收服务方发送的第三信息以及第四信息;
对接方使用第二密钥的公钥对第三信息进行解密后,获得第一散列值;
对接方使用第一密钥对第四信息进行解密后,获得第二信息;
对接方对第二信息进行散列算法处理后获得第二散列值;
对接方将第一散列值与第二散列值进行比对;
对接方对在比对结果相同时,使用所述设备标识所标识的设备携带所述唯一许可编号访问服务方的所述应用标识所标识的应用,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证。
本发明实施例提供一种应用访问鉴权方法,用以解决现有的互联网产品访问机制存在安全风险的问题,该方法包括:
服务方接收对接方发送的第一密文信息以及第二密文信息;
服务方使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥,其中,第二密钥的私钥是与服务方提供给对接方的第二密钥的公钥相对应的私钥;
服务方使用第一密钥对第一密文信息进行解密后获得第一信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
服务方按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;
服务方在具备时,根据设备标识生成包含唯一许可编号的第二信息,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证;
服务方对第二信息进行散列算法处理后获得第一散列值,用第二密钥的私钥对第一散列值加密后获得第三信息;
服务方用第一密钥加密第二信息后获得第四信息;
服务方将第三信息以及第四信息发送至对接方。
本发明实施例还提供一种应用访问鉴权装置,用以解决现有的互联网产品访问机制存在安全风险的问题,该装置包括:
对接方设备模块,用于确定当前时间、设备标识,以及应用标识,其中,所述应用是作为外部第三方的对接方通过互联网在服务方上访问的应用;
对接方第一加解密模块,用于生成对称算法的第一密钥,使用第一密钥对第一信息进行加密后获得第一密文信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
对接方第二加解密模块,用于使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息,其中,第二密钥的公钥是服务方提供给对接方的;
对接方发送模块,用于将第一密文信息以及第二密文信息发送给服务方;
对接方接收模块,用于接收服务方发送的第三信息以及第四信息;
对接方第二加解密模块还用于使用第二密钥的公钥对第三信息进行解密后,获得第一散列值;
对接方第一加解密模块还用于使用第一密钥对第四信息进行解密后,获得第二信息;
对接方散列模块,用于对第二信息进行散列算法处理后获得第二散列值;
对接方比对模块,用于将第一散列值与第二散列值进行比对;
对接方访问模块,用于对在比对结果相同时,使用所述设备标识所标识的设备携带所述唯一许可编号访问服务方的所述应用标识所标识的应用,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证。
本发明实施例还提供一种应用访问鉴权装置,用以解决现有的互联网产品访问机制存在安全风险的问题,该装置包括:
服务方接收模块,用于接收对接方发送的第一密文信息以及第二密文信息;
服务方第二加解密模块,用于使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥,其中,第二密钥的私钥是与服务方提供给对接方的第二密钥的公钥相对应的私钥;
服务方第一加解密模块,用于使用第一密钥对第一密文信息进行解密后获得第一信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
服务方鉴权模块,用于按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;
服务方授权模块,用于在具备时,根据设备标识生成包含唯一许可编号的第二信息,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证;
服务方散列模块,用于对第二信息进行散列算法处理后获得第一散列值;
服务方第二加解密模块还用于用第二密钥的私钥对第一散列值加密后获得第三信息;
服务方第一加解密模块还用于用第一密钥加密第二信息后获得第四信息;
服务方发送模块,用于将第三信息以及第四信息发送至对接方。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述应用访问鉴权方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述应用访问鉴权方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述应用访问鉴权方法。
本发明实施例中,与现有技术中不对访问来源的合法性进行校验的技术方案相比,由于采用了对称算法、非对称算法对传输的信息进行了加密,保证了对接方与服务方之间交互的信息的安全;由于对对接方的使用时间(当前时间)按照预定的合乎安全要求的规则进行鉴权,保证了用户的可靠性;由于基于对接方在当前时间所使用的设备标识生成唯一许可编号,保证了对接方访问设备的合法性以及安全性;由于采用了散列算法对传输信息进行校验,保证了数据的一致性,从而避免了数据不一致的的风险,因此,采用本发明实施例中提供的技术方案可以对访问来源的合法性在安全的环境下进行校验,避免引发安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中对接方侧的应用访问鉴权方法实施流程示意图;
图2为本发明实施例中服务方侧的应用访问鉴权方法实施流程示意图;
图3为本发明实施例中应用访问鉴权主要流程示意图;
图4为本发明实施例中应用访问鉴权方法实施流程示意图;
图5为本发明实施例中对接方侧的应用访问鉴权装置结构示意图;
图6为本发明实施例中服务方侧的应用访问鉴权装置结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
发明人在发明过程中注意到:
随着互联网的快速发展,网络安全形势也日趋严峻。目前服务方提供的互联网产品众多,客户端通过互联网访问、使用服务方互联网产品的场景也随处可见。客户在通过互联网使用服务方提供的互联网产品时,此时需对访问来源的合法性进行校验,才能避免引发安全风险。
然而,现有访问互联网产品时缺失鉴权机制,也即未鉴别访问来源,因而存在安全风险。
基于此,本发明实施例中将提供一种可防止未获取合法授权的外部访问者访问互联网产品的应用,使之无法使用服务方提供的互联网产品。
下面结合附图对本发明的具体实施方式进行说明。
在说明过程中,将分别从对接方与服务方侧的实施进行说明,然后还将给出二者配合实施的实例以更好地理解本发明实施例中给出的方案的实施。这样的说明方式并不意味着二者必须配合实施、或者必须单独实施,实际上,当对接方与服务方分开实施时,其也各自解决自身一侧的问题,而二者结合使用时,会获得更好的技术效果。
首先对实施例中涉及到的技术特征进行简要说明。
对接方:通过互联网访问、使用服务方提供的互联网产品的外部第三方;
公钥、私钥:公钥(publicKey)和私钥(privateKey)成对出现,公钥加密的内容只有私钥能解密,私钥加密后只有公钥能解密;
应用(APP)编号:每个对接方申请服务方提供的互联网产品授权成功后,均会被分配一个唯一编号;
SM4算法:对称加密算法,加密和解密使用同一个密钥;
SM2算法:非对称加密算法,公钥加密、私钥解密,私钥加密、公钥解密;
Hash(哈希)算法:散列算法,将一个不定长的数据,通过散列算法生成该数据的摘要,用于保证数据的一致性;
许可编号(licenseId):用于记录某一设备的许可编号,具有唯一性和不可复用性,通过有效期时长和访问次数限制访问来源。
图1为对接方侧的应用访问鉴权方法实施流程示意图,如图所示,可以包括:
步骤101、对接方确定当前时间、设备标识,以及应用标识,其中,所述应用是作为外部第三方的对接方通过互联网在服务方上访问的应用;
步骤102、对接方生成对称算法的第一密钥,使用第一密钥对第一信息进行加密后获得第一密文信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
步骤103、对接方使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息,其中,第二密钥的公钥是服务方提供给对接方的;
步骤104、对接方将第一密文信息以及第二密文信息发送给服务方;
步骤105、对接方接收服务方发送的第三信息以及第四信息;
步骤106、对接方使用第二密钥的公钥对第三信息进行解密后,获得第一散列值;
步骤107、对接方使用第一密钥对第四信息进行解密后,获得第二信息;
步骤108、对接方对第二信息进行散列算法处理后获得第二散列值;
步骤109、将第一散列值与第二散列值进行比对;
步骤110、对接方对在比对结果相同时,使用所述设备标识所标识的设备携带所述唯一许可编号访问服务方的所述应用标识所标识的应用,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证。
图2为服务方侧的应用访问鉴权方法实施流程示意图,如图所示,可以包括:
步骤201、服务方接收对接方发送的第一密文信息以及第二密文信息;
步骤202、服务方使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥,其中,第二密钥的私钥是与服务方提供给对接方的第二密钥的公钥相对应的私钥;
步骤203、服务方使用第一密钥对第一密文信息进行解密后获得第一信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
步骤204、服务方按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;
步骤205、服务方在具备时,根据设备标识生成包含唯一许可编号的第二信息,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证;
步骤206、服务方对第二信息进行散列算法处理后获得第一散列值,用第二密钥的私钥对第一散列值加密后获得第三信息;
步骤207、服务方用第一密钥加密第二信息后获得第四信息;
步骤208、服务方将第三信息以及第四信息发送至对接方。
实施中,所述散列算法是hash散列算法。
实施中,对称算法的第一密钥是由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文。
具体的,实施例提供的技术方案旨在建立通过互联网访问服务方提供的互联网产品的鉴权机制。
实施时,基于SM2非对称算法、HASH散列算法和SM4对称算法完成此方案。首先,对接方需获取公钥、应用编号和设备编号,组装数据后发送至服务方进行鉴权,通过鉴权后服务方返回许可编号,对接方通过此许可编号即可继续访问服务方提供的互联网产品;若鉴权失败则认定此对接方未获取服务方授权,无权访问服务方提供的互联网产品。
在对接方未获取到许可编号时,均需完成图1、图2的步骤;获取到许可编号且许可在有效期内时,可跳过图1、图2的步骤。
更具体的,对接方:通过互联网访问、使用服务方提供的互联网产品的外部第三方,记录并发送客户操作,满足客户需求;
服务方:接收互联网产品上传的信息,对访问来源进行鉴权,判断是否合法。访问来源合法则继续交易,非法时拒绝交易。
方案中采用的加密验签功能,用于确定请求者是否具备合法授权。
图3为应用访问鉴权主要流程示意图,如图所示,对接方与服务方之间主要的交互过程包括:
步骤301、对接方申请服务方的互联网产品授权,通过后获取服务方返回的授权信息;
步骤302、对接方根据授权信息生成数据对象,通过互联网发送给服务方的后台系统请求交易;
步骤303、服务方的后台系统接收数据对象,鉴别此数据来源的合法性,若合法则执行此请求并返回响应;
步骤304、对接方收到响应后,确定数据的一致性有效,则展示于客户。
下面以实例进行说明。
图4为应用访问鉴权方法实施流程示意图,如图所示,可以包括:
步骤401、对接方发起接入申请;
步骤402、服务方返回公钥证书和应用编号;
步骤403、对接方完成数据组装,发送数据请求;
步骤404、服务方完成鉴权以及数据组装,返回结果;
步骤405、对接方收到许可编号后,可正常访问服务方提供的互联网产品。
下面对具体的实施进行说明,为便于实践人员理解,将会采用更贴近具体实施采用的方式说明,如公钥文件publicKey和应用编号appId,同时为了理解与图1、图2中步骤的关系,也会进行相应的对应说明,如:密钥原文oriKey(第一密钥)、使用oriKey加密oriStr(第一信息),生成密文secStr(第一密文信息)等。
一、准备工作。
1、对接方通过互联网访问服务方提供的互联网产品前,可以先在服务方申请此服务的授权;
2、授权通过后,服务方发送用于加密数据的公钥文件publicKey和应用编号appId至对接方。
也即,实施中,对于对接方一侧,还可以进一步包括:
对接方向服务方申请该应用标识对应的服务的授权;
对接方在授权通过后,接收服务方提供给对接方的非对称算法的第二密钥的公钥,以及应用标识。
相应的,对于服务方一侧,还可以进一步包括:
服务方接收对接方对该应用标识对应的服务的授权的申请;
服务方在授权通过后,向对接方提供非对称算法的第二密钥的公钥,以及应用标识。
二、对接方组装数据。
1、对接方获取当前时间(例中以北京时间bjTime示意)、设备编号deviceId,以及应用编号appId,通过“|”连接生成请求原文oriStr(第一信息);
2、生成32位SM4密钥原文oriKey(第一密钥)(可以由数字、大小写字母随机组成),通过SM4对称加密,使用oriKey加密oriStr(第一信息),生成密文secStr(第一密文信息),可以保存oriKey,后续用于第五部分第2节;
3、通过SM2非对称算法,使用公钥文件publicKey(第二密钥的公钥)加密oriKey,生成密钥密文secKey(第二密文信息);
4、将secStr和secKey组合成数据对象secObj(第一密文信息以及第二密文信息)后,发送请求访问服务方提供的互联网产品,同时携带数据对象secObj。
三、服务方鉴权。
1、服务方提供的互联网产品将接受到的数据对象发送至后台系统,后台系统使用与对接方收到的publicKey成对的私钥privateKey(第二密钥的私钥),解密接收到的secObj内含的secKey(第二密文信息),获取oriKey(第一密钥)。然后通过oriKey解密secStr(第一密文信息),获取oriStr(第一信息);
2、校验oriStr中是否包含bjTime、deviceId和appId,校验当前北京时间和bjTime是否处于合理范围内(此范围可以由服务方设定),比对appId是否具备服务授权;均通过验证则认定鉴权成功,返回根据deviceId生成的响应数据responseStr(第二信息)(内含唯一许可编号licenseId);
四、服务方组装返回数据。
1、服务方的后台系统对responseStr(第二信息)进行hash散列算法,获得摘要oriHmac(第一散列值),再使用privateKey(第二密钥的私钥)加密oriHmac,生成签名sign(第三信息);
2、使用oriKey(第一密钥)加密responseStr(第二信息),生成secResponseStr(第四信息),将sign和secResponseStr组装成对象返回给对接方;
五、对接方接收数据。
1、对接方使用publicKey(第二密钥的公钥)解密sign(第三信息),获得oriHmac(第一散列值);
2、使用第二部分第2节中保存的oriKey(第一密钥)解密secResponseStr(第四信息),获取responseStr(第二信息),对responseStr进行hash,生成摘要hmac(第二散列值);
3、比对oriHmac(第一散列值)和hmac(第二散列值),相同则确定数据传输过程中responseStr未被篡改,licenseId合法有效;若比对结果不同,则拒绝交易,返回报错信息;
4、对接方在后续访问已授权的服务方提供的互联网产品时,使用同一设备且携带此licenseId,只要licenseId处于有效期内,可正常使用服务方提供的互联网产品,licenseId有限期时长和访问次数均可配置。
本发明实施例中还提供了一种应用访问鉴权装置,如下面的实施例所述。由于该装置解决问题的原理与对接方侧和/或服务方侧的应用访问鉴权方法相似,因此该装置的实施可以参见对接方侧和/或服务方侧的应用访问鉴权方法的实施,重复之处不再赘述。
图5为对接方侧的应用访问鉴权装置结构示意图,如图所示,可以包括:
对接方设备模块501,用于确定当前时间、设备标识,以及应用标识,其中,所述应用是作为外部第三方的对接方通过互联网在服务方上访问的应用;
对接方第一加解密模块502,用于生成对称算法的第一密钥,使用第一密钥对第一信息进行加密后获得第一密文信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
对接方第二加解密模块503,用于使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息,其中,第二密钥的公钥是服务方提供给对接方的;
对接方发送模块504,用于将第一密文信息以及第二密文信息发送给服务方;
对接方接收模块505,用于接收服务方发送的第三信息以及第四信息;
对接方第二加解密模块还用于使用第二密钥的公钥对第三信息进行解密后,获得第一散列值;
对接方第一加解密模块还用于使用第一密钥对第四信息进行解密后,获得第二信息;
对接方散列模块506,用于对第二信息进行散列算法处理后获得第二散列值;
对接方比对模块507,用于将第一散列值与第二散列值进行比对;
对接方访问模块508,用于对在比对结果相同时,使用所述设备标识所标识的设备携带所述唯一许可编号访问服务方的所述应用标识所标识的应用,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证。
实施中,对接方散列模块进一步用于采用hash散列算法。
实施中,对接方第一加解密模块进一步用于采用由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文作为对称算法的第一密钥。
实施中,对接方发送模块进一步用于向服务方申请该应用标识对应的服务的授权;
对接方接收模块进一步用于在授权通过后,接收服务方提供给对接方的非对称算法的第二密钥的公钥,以及应用标识。
图6为服务方侧的应用访问鉴权装置结构示意图,如图所示,可以包括:
服务方接收模块601,用于接收对接方发送的第一密文信息以及第二密文信息;
服务方第二加解密模块602,用于使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥,其中,第二密钥的私钥是与服务方提供给对接方的第二密钥的公钥相对应的私钥;
服务方第一加解密模块603,用于使用第一密钥对第一密文信息进行解密后获得第一信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
服务方鉴权模块604,用于按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;
服务方授权模块605,用于在具备时,根据设备标识生成包含唯一许可编号的第二信息,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证;
服务方散列模块606,用于对第二信息进行散列算法处理后获得第一散列值;
服务方第二加解密模块还用于用第二密钥的私钥对第一散列值加密后获得第三信息;
服务方第一加解密模块还用于用第一密钥加密第二信息后获得第四信息;
服务方发送模块607,用于将第三信息以及第四信息发送至对接方。
实施中,服务方散列模块进一步用于采用hash散列算法。
实施中,服务方第一加解密模块进一步用于采用由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文作为对称算法的第一密钥。
实施中,服务方接收模块进一步用于接收对接方对该应用标识对应的服务的授权的申请;
服务方发送模块进一步用于在授权通过后,向对接方提供非对称算法的第二密钥的公钥,以及应用标识。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述应用访问鉴权方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述应用访问鉴权方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述应用访问鉴权方法。
本发明实施例中,与现有技术中不对访问来源的合法性进行校验的技术方案相比,由于采用了对称算法、非对称算法对传输的信息进行了加密,保证了对接方与服务方之间交互的信息的安全;由于对对接方的使用时间(当前时间)按照预定的合乎安全要求的规则进行鉴权,保证了用户的可靠性;由于基于对接方在当前时间所使用的设备标识生成唯一许可编号,保证了对接方访问设备的合法性以及安全性;由于采用了散列算法对传输信息进行校验,保证了数据的一致性,从而避免了数据不一致的的风险,因此,采用本发明实施例中提供的技术方案可以对访问来源的合法性在安全的环境下进行校验,避免引发安全风险。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定,本申请获取的个人、客户和人群等相关的个人身份数据、操作数据、行为数据等多种类型的数据,均已获得授权。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (19)

1.一种应用访问鉴权方法,其特征在于,包括:
对接方确定当前时间、设备标识,以及应用标识,其中,所述应用是作为外部第三方的对接方通过互联网在服务方上访问的应用;
对接方生成对称算法的第一密钥,使用第一密钥对第一信息进行加密后获得第一密文信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
对接方使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息,其中,第二密钥的公钥是服务方提供给对接方的;
对接方将第一密文信息以及第二密文信息发送给服务方;
对接方接收服务方发送的第三信息以及第四信息;
对接方使用第二密钥的公钥对第三信息进行解密后,获得第一散列值;
对接方使用第一密钥对第四信息进行解密后,获得第二信息;
对接方对第二信息进行散列算法处理后获得第二散列值;
对接方将第一散列值与第二散列值进行比对;
对接方对在比对结果相同时,使用所述设备标识所标识的设备携带唯一许可编号访问服务方的所述应用标识所标识的应用,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证。
2.如权利要求1所述的方法,其特征在于,所述散列算法是hash散列算法。
3.如权利要求1所述的方法,其特征在于,对称算法的第一密钥是由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文。
4.如权利要求1至3任一所述的方法,其特征在于,进一步包括:
对接方向服务方申请该应用标识对应的服务的授权;
对接方在授权通过后,接收服务方提供给对接方的非对称算法的第二密钥的公钥,以及应用标识。
5.一种应用访问鉴权方法,其特征在于,包括:
服务方接收对接方发送的第一密文信息以及第二密文信息;
服务方使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥,其中,第二密钥的私钥是与服务方提供给对接方的第二密钥的公钥相对应的私钥;
服务方使用第一密钥对第一密文信息进行解密后获得第一信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
服务方按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;
服务方在具备时,根据设备标识生成包含唯一许可编号的第二信息,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证;
服务方对第二信息进行散列算法处理后获得第一散列值,用第二密钥的私钥对第一散列值加密后获得第三信息;
服务方用第一密钥加密第二信息后获得第四信息;
服务方将第三信息以及第四信息发送至对接方。
6.如权利要求5所述的方法,其特征在于,所述散列算法是hash散列算法。
7.如权利要求5所述的方法,其特征在于,对称算法的第一密钥是由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文。
8.如权利要求5至7任一所述的方法,其特征在于,进一步包括:
服务方接收对接方对该应用标识对应的服务的授权的申请;
服务方在授权通过后,向对接方提供非对称算法的第二密钥的公钥,以及应用标识。
9.一种应用访问鉴权装置,其特征在于,包括:
对接方设备模块,用于确定当前时间、设备标识,以及应用标识,其中,所述应用是作为外部第三方的对接方通过互联网在服务方上访问的应用;
对接方第一加解密模块,用于生成对称算法的第一密钥,使用第一密钥对第一信息进行加密后获得第一密文信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
对接方第二加解密模块,用于使用非对称算法的第二密钥的公钥加密第一密钥后获得第二密文信息,其中,第二密钥的公钥是服务方提供给对接方的;
对接方发送模块,用于将第一密文信息以及第二密文信息发送给服务方;
对接方接收模块,用于接收服务方发送的第三信息以及第四信息;
对接方第二加解密模块还用于使用第二密钥的公钥对第三信息进行解密后,获得第一散列值;
对接方第一加解密模块还用于使用第一密钥对第四信息进行解密后,获得第二信息;
对接方散列模块,用于对第二信息进行散列算法处理后获得第二散列值;
对接方比对模块,用于将第一散列值与第二散列值进行比对;
对接方访问模块,用于对在比对结果相同时,使用所述设备标识所标识的设备携带唯一许可编号访问服务方的所述应用标识所标识的应用,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证。
10.如权利要求9所述的装置,其特征在于,对接方散列模块进一步用于采用hash散列算法。
11.如权利要求9所述的装置,其特征在于,对接方第一加解密模块进一步用于采用由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文作为对称算法的第一密钥。
12.如权利要求9至11任一所述的装置,其特征在于,
对接方发送模块进一步用于向服务方申请该应用标识对应的服务的授权;
对接方接收模块进一步用于在授权通过后,接收服务方提供给对接方的非对称算法的第二密钥的公钥,以及应用标识。
13.一种应用访问鉴权装置,其特征在于,包括:
服务方接收模块,用于接收对接方发送的第一密文信息以及第二密文信息;
服务方第二加解密模块,用于使用非对称算法的第二密钥的私钥解密第二密文信息后获得第一密钥,其中,第二密钥的私钥是与服务方提供给对接方的第二密钥的公钥相对应的私钥;
服务方第一加解密模块,用于使用第一密钥对第一密文信息进行解密后获得第一信息,其中,所述第一信息中包括当前时间、设备标识,以及应用标识;
服务方鉴权模块,用于按预设规则根据当前时间确定对接方是否具备该应用标识对应的服务的授权;
服务方授权模块,用于在具备时,根据设备标识生成包含唯一许可编号的第二信息,所述唯一许可编号是对接方访问该应用标识对应的服务的授权凭证;
服务方散列模块,用于对第二信息进行散列算法处理后获得第一散列值;
服务方第二加解密模块还用于用第二密钥的私钥对第一散列值加密后获得第三信息;
服务方第一加解密模块还用于用第一密钥加密第二信息后获得第四信息;
服务方发送模块,用于将第三信息以及第四信息发送至对接方。
14.如权利要求13所述的装置,其特征在于,服务方散列模块进一步用于采用hash散列算法。
15.如权利要求13所述的装置,其特征在于,服务方第一加解密模块进一步用于采用由数字、大写字母、小写字母之一或者其组合之一随机组成的32位SM4密钥原文作为对称算法的第一密钥。
16.如权利要求13至15任一所述的装置,其特征在于,
服务方接收模块进一步用于接收对接方对该应用标识对应的服务的授权的申请;
服务方发送模块进一步用于在授权通过后,向对接方提供非对称算法的第二密钥的公钥,以及应用标识。
17.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8任一所述方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至8任一所述方法。
19.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至8任一所述方法。
CN202210859459.1A 2022-07-21 2022-07-21 应用访问鉴权方法及装置 Pending CN115225286A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210859459.1A CN115225286A (zh) 2022-07-21 2022-07-21 应用访问鉴权方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210859459.1A CN115225286A (zh) 2022-07-21 2022-07-21 应用访问鉴权方法及装置

Publications (1)

Publication Number Publication Date
CN115225286A true CN115225286A (zh) 2022-10-21

Family

ID=83613083

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210859459.1A Pending CN115225286A (zh) 2022-07-21 2022-07-21 应用访问鉴权方法及装置

Country Status (1)

Country Link
CN (1) CN115225286A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115842679A (zh) * 2022-12-30 2023-03-24 江西曼荼罗软件有限公司 一种基于数字信封技术的数据传输方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106204182A (zh) * 2015-04-08 2016-12-07 财团法人工业技术研究院 数字交易方法与装置
CN109684790A (zh) * 2018-12-26 2019-04-26 佛山市瑞德物联科技有限公司 软件启动方法、软件授权验证方法、设备和存储介质
CN113225352A (zh) * 2021-05-28 2021-08-06 国网绿色能源有限公司 一种数据传输方法、装置、电子设备及存储介质
US20210288959A1 (en) * 2020-03-11 2021-09-16 International Business Machines Corporation Stateless multi-party authorization system in web applications

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106204182A (zh) * 2015-04-08 2016-12-07 财团法人工业技术研究院 数字交易方法与装置
CN109684790A (zh) * 2018-12-26 2019-04-26 佛山市瑞德物联科技有限公司 软件启动方法、软件授权验证方法、设备和存储介质
US20210288959A1 (en) * 2020-03-11 2021-09-16 International Business Machines Corporation Stateless multi-party authorization system in web applications
CN113225352A (zh) * 2021-05-28 2021-08-06 国网绿色能源有限公司 一种数据传输方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李继勇,陶然: "一种单点登录协议的设计", 计算机工程, vol. 34, no. 14, 14 August 2008 (2008-08-14) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115842679A (zh) * 2022-12-30 2023-03-24 江西曼荼罗软件有限公司 一种基于数字信封技术的数据传输方法及系统

Similar Documents

Publication Publication Date Title
US11658961B2 (en) Method and system for authenticated login using static or dynamic codes
JP7181539B2 (ja) 利用者識別認証データを管理する方法および装置
CN109309565B (zh) 一种安全认证的方法及装置
CN108810029B (zh) 一种微服务架构服务间鉴权系统及优化方法
JP5695120B2 (ja) システム間シングルサインオン
US10027670B2 (en) Distributed authentication
CN108684041B (zh) 登录认证的系统和方法
WO2020062668A1 (zh) 一种身份认证方法、身份认证装置及计算机可读介质
US20200412554A1 (en) Id as service based on blockchain
MXPA04003226A (es) Metodo y sistema para proporcionar privacidad al cliente cuando solicite contenido de un servidor publico.
WO2017000479A1 (zh) 身份信息认证方法、用户终端、服务终端、认证服务器以及服务系统
CN111327629B (zh) 身份验证方法、客户端和服务端
CN115277168A (zh) 一种访问服务器的方法以及装置、系统
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
WO2020211481A1 (zh) 用于生成区块链授权信息的方法、装置及系统
KR102157695B1 (ko) 익명 디지털 아이덴티티 수립 방법
CN114491626A (zh) 一种基于授权中心的数据使用授权方法及设备
JP6533542B2 (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
CN110086818B (zh) 一种云文件安全存储系统及访问控制方法
US20130205374A1 (en) Method and system for network access control
US12107956B2 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
KR102032210B1 (ko) 개인 식별번호의 입력을 통한 간편 인증이 가능한 사용자 인증 처리 장치 및 그 동작 방법
CN115225286A (zh) 应用访问鉴权方法及装置
JP2004140636A (ja) 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム
CN115242471B (zh) 信息传输方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination