CN102035846A - 一种基于关系声明的社交网用户身份认证方法 - Google Patents
一种基于关系声明的社交网用户身份认证方法 Download PDFInfo
- Publication number
- CN102035846A CN102035846A CN 201010601818 CN201010601818A CN102035846A CN 102035846 A CN102035846 A CN 102035846A CN 201010601818 CN201010601818 CN 201010601818 CN 201010601818 A CN201010601818 A CN 201010601818A CN 102035846 A CN102035846 A CN 102035846A
- Authority
- CN
- China
- Prior art keywords
- relation
- statement
- user
- resource
- depth
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明一种基于关系声明的社交网用户身份认证方法,该方法有三大步骤;步骤一:颁发关系声明;步骤二:定义访问规则;步骤三:实施关系认证。用户通过为其直接关系好友颁发关系声明来明确其与好友的关系类型,关系服务器依据用户颁发的关系声明为用户之间建立关系路径;由于每级关系均由关系声明发布者进行签名,使得该级关系的可靠性得到有效保证,进而从整体上提高了关系路径的可靠性。本发明操作简便,验证方便,它在网络安全技术领域里具有较好的实用价值和广阔的应用前景。
Description
(一)技术领域
本发明涉及一种基于关系声明的社交网用户身份认证方法,它用于解决社交网中依赖成员之间关系实现访问控制的问题,属于网络安全技术领域。
(二)背景技术
随着社交网的广泛流行和用户群的增多,社交网中的安全问题引起了人们越来越多的关注。其中,访问控制问题是社交网安全问题中的一项重要内容。
在社交网中,用户创建数据资源并与他人分享,有些情况下,用户可能希望所创建的隐私数据资源只与特定关系的好友分享。但问题是,当访问请求者与拥有者之间并不是直接好友关系,而是具有间接关系时,我们如何去验证这种关系的真实性。
当前的社交网站大多是基于中心化的设计模式,成员之间的关系一般是由网站服务器根据用户提供的属性来为其建立,但这样的设计方法存在严重的安全隐患。首先,用户难以对网站服务器的行为进行监督;其次,这种方法从本质上容易导致假冒攻击,即当不法分子利用其掌握的被害人个人身份信息冒充被害人时,用户难以对不法分子的身份进行识别。
文献“Lockr:为了实现社交网络更好的隐私性”(Amin Tootoonchian,Stefan Saroiu,Yashar Ganjali,“Lockr:Better privacy for socia1 networks”,CoNEXT’09,December1-4,2009,Rome,Ita1y.“Lockr”为作者为其方案所取的名称)中提出了一种基于通行证思想的认证方案。该方案要求建立关系的双方互相为对方颁发关系证明,通过关系证明明确两者的社会关系。当请求者申请访问目标对象的资源时,出示相应的关系证明,访问控制执行端对关系证明进行验证,以确定请求者的身份。该方案的不足之处在于,只能对直接好友的关系进行验证,无法对与用户之间具有间接关系的好友进行关系认证。
(三)发明内容
1、目的:为了克服以上问题,实现对具有间接关系的用户身份的认证,本发明提供了一种基于关系声明的社交网用户身份认证方法,它能解决社交网中依赖成员之间关系实施访问控制时需要对访问请求者进行关系认证的问题。
2、技术方案:本发明一种基于关系声明的社交网用户身份认证方法,该方法具体步骤如下:
步骤一:颁发关系声明
用户首先为其直接好友颁发关系声明,关系声明中包含这几个参数:{关系声明的发布者,接收者,关系类型,时间戳}。其中,关系声明的发布者是指该关系声明的颁布者;接收者是指关系声明发布者与之声明关系的对象;关系类型指关系声明发布者与接收者之间所具有的关系;时间戳指示关系声明签署的时间。可扩展标示语言形式的关系声明如下:
<关系声明>
<发布者>发布者公钥</发布者>
<接收者>接收者公钥</接收者>
<关系类型>关系类型</关系类型>
<时间戳>当前时间</时间戳>
</关系声明>
例如在图2中,A想要对B颁发具有同事关系的关系声明,此关系声明可表述为:SigA(PA,PB,CollegueOf,TS),其中TS指时间戳。在本方案中,用户为其所有直接好友颁发关系声明,并对关系声明结果进行签名,最后将关系声明保存到关系服务器上。关系服务器为每个用户预留一个关系声明存储目录,用来存放其颁发的关系声明。
步骤二:定义访问规则
我们利用关系类型来指定授权对象,同时引入授权深度作为访问控制参数。一个访问控制规则也包括四个参数:{拥有者,资源标识符,授权对象,授权深度}。其中,拥有者是指资源的创建者;资源标识符表示某个资源对应的资源id,授权对象既可以是某种关系也可以是某个个体,授权深度指用户之间按照一定关系所建立起的路径的距离。比如A与F之间按同事关系建立起来的路径是A->C->F,则此时F与A之间的深度是2。可扩展标示语言形式的访问控制规则如下:
<访问规则>
<拥有者>拥有者公钥</拥有者>
<资源标识符>资源标识符</资源标识符>
<授权对象>授权的关系类型或个体</授权对象>
<授权深度>授权的深度值</授权深度>
</访问规则>
最后,用户对定义好的资源访问规则进行签名,并将签名后的访问控制规则保存在本地第三方服务器中。
步骤三:实施关系认证
例如用户A创建了标识符为rid的资源,并设定该资源向同事分享,分享深度为2。
我们假定用户F想要访问该资源,则认证流程如图3所示,各步骤说明如下:
1)F向A发出访问资源rid的申请,并出示自己的公钥;
2)A用F的公钥加密一串随机数和会话密钥,并返回给F;
3)F将解密出的随机数用解密出的会话密钥加密后发还给A;
4)A向本地服务器调取该资源对应的访问规则AR=SigA(PA,rid,CollegueOf,2);
7)A验证关系服务器返回的结果并决定是否授予F访问权限。
3、优点及功效:
本发明通过用户为其直接好友颁发关系声明来明确与被声明者之间的关系,而关系服务器则依据用户签名认同的关系声明来为关系双方建立路径,使得这种关系路径更加牢固可信。同时,授权时引入访问深度作为参数也更好的契合了社交网络的社交特性。总体来看,本发明具有如下优点:
1)自主定制:在本方案中,用户自己对其直接好友进行关系声明及更新,并定义资源的访问控制策略,所有的关系声明结果及访问控制规则由用户签名,其他人无法更改。社交网络本身只作为网络应用服务提供商,不参与用户数据资源的管理,从而实现了用户数据资源管理与网络服务相分离,突出了用户对自己资源的掌控。
2)方便验证:关系服务器返回的路径中,每一个环节都由不同的关系声明颁布者进行签名,用户可以使用关系声明颁布者的公钥对关系类型进行验证。
3)行为约束:由于每个环节的关系都由关系发布者进行签名认证,最大程度的约束了关系签署者对这份直接关系的责任。
4)操作简便:用户作为客户端主要进行两项操作,即:对直接好友进行关系声明和对资源定义基于关系类型的访问控制策略;访问请求者只需提供自己的公钥和想要访问的对象;其余大部分工作通过服务器来完成。
(四)附图说明
图1本发明流程图。
图2社交网成员关系示意图。
图3一次具体认证流程示意图。
图中符号说明如下:
图2中的A、B、C、D、E、F、G表示用户,箭头表示两个用户之间关系的指向,箭头上的文字指示两者的关系类型。
图3中的AR是指访问规则(Access Rule),nonce指一串随机数,object指目标对象,terminate指会话中止,CS是关系服务器的代号,session key指会话密钥,College Of指同事关系,depth指深度,rid指资源的标识符,PX指用户X的公钥,EX(Y)指用密钥X加密Y,SigX(Y||Z)指用户X对括号中的内容进行数字签名,||指将数据串接。
(五)具体实施方式:
见图1,本发明是一种基于关系声明的社交网用户身份认证方法,该方法具体步骤如下:
步骤一:颁发关系声明
用户首先为其直接好友颁发关系声明,关系声明中包含这几个参数:{关系声明的发布者,接收者,关系类型,时间戳}。其中时间戳指示关系声明签署的时间。可扩展标示语言形式即XML形式的关系声明如下:
<关系声明>
<发布者>发布者公钥</发布者>
<接收者>接收者公钥</接收者>
<关系类型>关系类型</关系类型>
<时间戳>当前时间</时间戳>
</关系声明>
例如在图2中,A想要对B颁发具有同事关系的关系声明,此关系声明可表述为:SigA(PA,PB,CollegueOf,TS),其中TS指时间戳。在本方案中,用户为其所有直接好友颁发关系声明,并对关系声明结果进行签名,最后将关系声明保存到关系服务器上。关系服务器为每个用户预留一个关系声明存储目录,用来存放其颁发的关系声明。
步骤二:定义访问规则
我们利用关系类型来指定授权对象,同时引入授权深度作为访问控制参数。一个访问控制规则也包括四个参数:{拥有者,资源标识符,授权对象,授权深度}。其中,资源标识符表示某个资源对应的资源id,授权对象既可以是某种关系也可以是某个个体,授权深度指用户之间按照一定关系所建立起的路径的距离。比如A与F之间按同事关系建立起来的路径是A->C->F,则此时F与A之间的深度是2。XML形式的访问控制规则如下:
<访问规则>
<拥有者>拥有者公钥</拥有者>
<资源标识符>资源标识符</资源标识符>
<授权对象>授权的关系类型或个体</授权对象>
<授权深度>授权的深度值</授权深度>
</访问规则>
最后,用户对定义好的资源访问规则进行签名,并将签名后的访问控制规则保存在本地第三方服务器中。
步骤三:实施关系认证
例如用户A创建了标识符为rid的资源,并设定该资源向同事分享,分享深度为2。
我们假定用户F想要访问该资源,则认证流程如图3所示,各步骤说明如下:
1)F向A发出访问资源rid的申请,并出示自己的公钥;
2)A用F的公钥加密一串随机数和会话密钥,并返回给F;
3)F将解密出的随机数用解密出的会话密钥加密后发还给A;
4)A向本地服务器调取该资源对应的访问规则AR=SigA(PA,rid,CollegueOf,2);
6)关系服务器按照A的要求寻找路径,找到A->C->F这条路径,对结果签名后再用A的公钥加密。即,
7)A验证关系服务器返回的结果并决定是否授予F访问权限。
Claims (1)
1.一种基于关系声明的社交网用户身份认证方法,其特征在于:该方法具体步骤如下:步骤一:颁发关系声明
用户首先为其直接好友颁发关系声明,关系声明中包含这几个参数:{关系声明的发布者,接收者,关系类型,时间戳};其中,关系声明的发布者是指该关系声明的颁布者;接收者是指关系声明发布者与之声明关系的对象;关系类型指关系声明发布者与接收者之间所具有的关系;时间戳指示关系声明签署的时间;可扩展标示语言形式的关系声明如下:
<关系声明>
<发布者>发布者公钥</发布者>
<接收者>接收者公钥</接收者>
<关系类型>关系类型</关系类型>
<时间戳>当前时间</时间戳>
</关系声明>
设A想要对B颁发具有同事关系的关系声明,此关系声明可表述为:SigA(PA,PB,CollegueOf,TS),其中TS指时间戳,在此,用户为其所有直接好友颁发关系声明,并对关系声明结果进行签名,最后将关系声明保存到关系服务器上;关系服务器为每个用户预留一个关系声明存储目录,用来存放其颁发的关系声明;
步骤二:定义访问规则
我们利用关系类型来指定授权对象,同时引入授权深度作为访问控制参数;一个访问控制规则也包括四个参数:{拥有者,资源标识符,授权对象,授权深度};其中,拥有者是指资源的创建者;资源标识符表示某个资源对应的资源id,授权对象既可以是某种关系也可以是某个个体,授权深度指用户之间按照一定关系所建立起的路径的距离;如A与F之间按同事关系建立起来的路径是A->C->F,则此时F与A之间的深度是2;可扩展标示语言形式的访问控制规则如下:
<访问规则>
<拥有者>拥有者公钥</拥有者>
<资源标识符>资源标识符</资源标识符>
<授权对象>授权的关系类型或个体</授权对象>
<授权深度>授权的深度值</授权深度>
</访问规则>
最后,用户对定义好的资源访问规则进行签名,并将签名后的访问控制规则保存在本地第三方服务器中;
步骤三:实施关系认证
设用户A创建了标识符为rid的资源,并设定该资源向同事分享,分享深度为2;
我们假定用户F想要访问该资源,则认证流程即实现过程如下:
1)F向A发出访问资源rid的申请,并出示自己的公钥;
2)A用F的公钥加密一串随机数和会话密钥,并返回给F;
3)F将解密出的随机数用解密出的会话密钥加密后发还给A;
4)A向本地服务器调取该资源对应的访问规则AR=SigA(PA,rid,CollegueOf,2);
7)A验证关系服务器返回的结果并决定是否授予F访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010106018180A CN102035846B (zh) | 2010-12-22 | 2010-12-22 | 一种基于关系声明的社交网用户身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010106018180A CN102035846B (zh) | 2010-12-22 | 2010-12-22 | 一种基于关系声明的社交网用户身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102035846A true CN102035846A (zh) | 2011-04-27 |
CN102035846B CN102035846B (zh) | 2012-07-04 |
Family
ID=43888169
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010106018180A Active CN102035846B (zh) | 2010-12-22 | 2010-12-22 | 一种基于关系声明的社交网用户身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102035846B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103036869A (zh) * | 2011-10-08 | 2013-04-10 | 美国博通公司 | 社交网络中的社交设备安全 |
CN103220315A (zh) * | 2012-01-19 | 2013-07-24 | 北京千橡网景科技发展有限公司 | 在社交网络服务网站中计算用户距离的方法和设备 |
CN103248483A (zh) * | 2013-03-22 | 2013-08-14 | 张经纶 | 一种实名验证装置 |
CN103312757A (zh) * | 2012-03-15 | 2013-09-18 | 深圳市腾讯计算机***有限公司 | 共享图片的方法和*** |
CN104081799A (zh) * | 2012-01-26 | 2014-10-01 | 脸谱公司 | 社交热点 |
CN104333530A (zh) * | 2013-07-22 | 2015-02-04 | 深圳市腾讯计算机***有限公司 | 信息可信度验证方法及装置 |
CN104487993A (zh) * | 2012-07-03 | 2015-04-01 | 律商联讯风险解决方案佛罗里达公司 | 利用社交网络进行身份验证的***及方法 |
WO2015063729A1 (en) * | 2013-11-01 | 2015-05-07 | International Business Machines Corporation | Anonymously sharing resources based on social network user data |
CN106534041A (zh) * | 2015-09-09 | 2017-03-22 | 腾讯科技(深圳)有限公司 | 验证方法、验证平台及客户端 |
CN106941475A (zh) * | 2016-01-04 | 2017-07-11 | 阿里巴巴集团控股有限公司 | 一种基于信任关系的认证方法及装置 |
CN107079002A (zh) * | 2014-10-17 | 2017-08-18 | 三星电子株式会社 | 用于物联网的终端及其操作方法 |
CN108881666A (zh) * | 2017-05-11 | 2018-11-23 | 柯尼卡美能达株式会社 | 权限授予装置、以及权限授予装置的控制程序 |
CN111475841A (zh) * | 2020-04-07 | 2020-07-31 | 腾讯科技(深圳)有限公司 | 一种访问控制的方法、相关装置、设备、***及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
CN101707594A (zh) * | 2009-10-21 | 2010-05-12 | 南京邮电大学 | 基于单点登录的网格认证信任模型 |
-
2010
- 2010-12-22 CN CN2010106018180A patent/CN102035846B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101552784A (zh) * | 2009-04-30 | 2009-10-07 | 浙江大学 | 一种Web服务链的联合身份认证方法 |
CN101707594A (zh) * | 2009-10-21 | 2010-05-12 | 南京邮电大学 | 基于单点登录的网格认证信任模型 |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103036869A (zh) * | 2011-10-08 | 2013-04-10 | 美国博通公司 | 社交网络中的社交设备安全 |
CN103220315A (zh) * | 2012-01-19 | 2013-07-24 | 北京千橡网景科技发展有限公司 | 在社交网络服务网站中计算用户距离的方法和设备 |
CN103220315B (zh) * | 2012-01-19 | 2018-01-05 | 北京千橡网景科技发展有限公司 | 在社交网络服务网站中计算用户距离的方法和设备 |
CN104081799A (zh) * | 2012-01-26 | 2014-10-01 | 脸谱公司 | 社交热点 |
CN104081799B (zh) * | 2012-01-26 | 2016-04-20 | 脸谱公司 | 社交热点 |
CN103312757B (zh) * | 2012-03-15 | 2017-01-25 | 深圳市腾讯计算机***有限公司 | 共享图片的方法和*** |
CN103312757A (zh) * | 2012-03-15 | 2013-09-18 | 深圳市腾讯计算机***有限公司 | 共享图片的方法和*** |
CN104487993A (zh) * | 2012-07-03 | 2015-04-01 | 律商联讯风险解决方案佛罗里达公司 | 利用社交网络进行身份验证的***及方法 |
CN104487993B (zh) * | 2012-07-03 | 2018-03-13 | 律商联讯风险解决方案佛罗里达公司 | 利用社交网络进行身份验证的***及方法 |
CN103248483B (zh) * | 2013-03-22 | 2016-12-28 | 张经纶 | 一种实名验证装置 |
CN103248483A (zh) * | 2013-03-22 | 2013-08-14 | 张经纶 | 一种实名验证装置 |
CN104333530A (zh) * | 2013-07-22 | 2015-02-04 | 深圳市腾讯计算机***有限公司 | 信息可信度验证方法及装置 |
CN104333530B (zh) * | 2013-07-22 | 2019-02-22 | 深圳市腾讯计算机***有限公司 | 信息可信度验证方法及装置 |
US10225258B2 (en) | 2013-11-01 | 2019-03-05 | International Business Machines Corporation | Anonymously sharing resources based on social network user data |
WO2015063729A1 (en) * | 2013-11-01 | 2015-05-07 | International Business Machines Corporation | Anonymously sharing resources based on social network user data |
CN107079002A (zh) * | 2014-10-17 | 2017-08-18 | 三星电子株式会社 | 用于物联网的终端及其操作方法 |
US10645089B2 (en) | 2014-10-17 | 2020-05-05 | Samsung Electronics Co., Ltd. | Terminal for internet of things and operation method of the same |
CN107079002B (zh) * | 2014-10-17 | 2021-02-02 | 三星电子株式会社 | 用于物联网的电子设备、物联网装置及其方法和*** |
US11477206B2 (en) | 2014-10-17 | 2022-10-18 | Samsung Electronics Co., Ltd. | Terminal for internet of things and operation method of the same |
CN106534041A (zh) * | 2015-09-09 | 2017-03-22 | 腾讯科技(深圳)有限公司 | 验证方法、验证平台及客户端 |
CN106534041B (zh) * | 2015-09-09 | 2020-08-07 | 腾讯科技(深圳)有限公司 | 验证方法、验证平台及客户端 |
CN106941475A (zh) * | 2016-01-04 | 2017-07-11 | 阿里巴巴集团控股有限公司 | 一种基于信任关系的认证方法及装置 |
CN108881666A (zh) * | 2017-05-11 | 2018-11-23 | 柯尼卡美能达株式会社 | 权限授予装置、以及权限授予装置的控制程序 |
US10409969B2 (en) | 2017-05-11 | 2019-09-10 | Konica Minolta, Inc. | Authorization device that grants authority to guest users |
CN108881666B (zh) * | 2017-05-11 | 2020-03-17 | 柯尼卡美能达株式会社 | 权限授予装置、以及权限授予装置的控制程序 |
CN111475841A (zh) * | 2020-04-07 | 2020-07-31 | 腾讯科技(深圳)有限公司 | 一种访问控制的方法、相关装置、设备、***及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN102035846B (zh) | 2012-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102035846B (zh) | 一种基于关系声明的社交网用户身份认证方法 | |
CN105991278B (zh) | 一种基于cp-abe的密文访问控制方法 | |
US11122047B2 (en) | Invitation links with enhanced protection | |
Mei et al. | Blockchain-enabled privacy-preserving authentication mechanism for transportation CPS with cloud-edge computing | |
CN109922077A (zh) | 一种基于区块链的身份认证方法及其*** | |
Khattak et al. | A study on threat model for federated identities in federated identity management system | |
CN110069918A (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
US20160269416A1 (en) | Anonymously sharing resources based on social network user data | |
CN106254324A (zh) | 一种存储文件的加密方法及装置 | |
Wu et al. | A lightweight authenticated key agreement protocol using fog nodes in social internet of vehicles | |
CN102333096B (zh) | 匿名通信***的信誉度控制方法及*** | |
Guo et al. | Proposed security mechanism for XMPP-based communications of ISO/IEC/IEEE 21451 sensor networks | |
Caviglione et al. | A taxonomy-based model of security and privacy in online social networks | |
CN109687965A (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
CN102223420A (zh) | 一种面向多媒体社交网络的数字内容分发方法 | |
CN114008968A (zh) | 用于计算环境中的许可授权的***、方法和存储介质 | |
CN112688927A (zh) | 一种基于区块链的分布式访问控制方法 | |
US8793773B2 (en) | System and method for providing reputation reciprocity with anonymous identities | |
Xue et al. | A blockchain based user subscription data management and access control scheme in mobile communication networks | |
Ahmed et al. | Turning trust around: smart contract-assisted public key infrastructure | |
Yan et al. | Access control scheme based on blockchain and attribute-based searchable encryption in cloud environment | |
Halpin | Semantic insecurity: security and the semantic web | |
Hörbe et al. | Privacy by design in federated identity management | |
Schulz et al. | d 2 Deleting Diaspora: Practical attacks for profile discovery and deletion | |
Saleh et al. | SignedQuery: Protecting users data in multi-tenant SaaS environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |