CN106487765A - 授权访问方法以及使用该方法的设备 - Google Patents
授权访问方法以及使用该方法的设备 Download PDFInfo
- Publication number
- CN106487765A CN106487765A CN201510547741.6A CN201510547741A CN106487765A CN 106487765 A CN106487765 A CN 106487765A CN 201510547741 A CN201510547741 A CN 201510547741A CN 106487765 A CN106487765 A CN 106487765A
- Authority
- CN
- China
- Prior art keywords
- server
- voucher
- client
- resource
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000008569 process Effects 0.000 claims description 26
- 238000012795 verification Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 2
- 238000013475 authorization Methods 0.000 description 51
- 230000006854 communication Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 230000015654 memory Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000015572 biosynthetic process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 241000208340 Araliaceae Species 0.000 description 3
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 3
- 235000003140 Panax quinquefolius Nutrition 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 235000008434 ginseng Nutrition 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000009533 lab test Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
- H04W74/0833—Random access procedures, e.g. with 4-step access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
Abstract
公开了授权访问方法以及使用该方法的设备。该方法包括:密钥生成中心针对每一个服务器生成公开身份参数和秘密身份参数;客户端使用来自资源拥有者的第一凭证所指示的第一服务器的公开身份参数对第一凭证和第一随机参数进行身份加密,以生成发送至第一服务器的第一请求消息;第一服务器使用其秘密身份参数对第一请求消息进行解密,并且根据解密的第一凭证生成第二凭证以提供给客户端;客户端使用第二凭证所指示的第二服务器的公开身份参数对第二凭证和第二随机参数进行身份加密,以生成发送至第二服务器的第二请求消息;第二服务器使用其秘密身份参数对第二请求消息进行解密,并且根据解密的第二凭证确定资源以提供给客户端。
Description
技术领域
本发明的实施例涉及一种授权访问方法以及使用该授权访问方法的设备,更具体地,涉及一种使用身份加密技术的安全的授权访问方法以及使用该方法的客户端设备和服务器设备。
背景技术
典型地,通信网络由多个互相连接的具有信息交换和处理能力的节点(网络实体)组成。在通信过程中,各网络实体需要遵循预先建立的规则或标准,即网络协议。
在授权访问技术中,当网络中的某一实体要访问特定资源时,其需要先获得相应的授权。授权访问协议定义了对访问资源的权利进行授权和管理的过程,是针对授权访问过程的网络协议。需要说明这里的资源泛指各种数字资源,例如可以是数据、图像、音频、视频以及文本等等。
作为一种授权访问协议,OAuth(开放授权,Open Authorization)协议为授权访问受保护的资源提供了一个安全、开放而又简易的标准。根据OAuth协议,第三方无需使用资源拥有者(本文中称为用户)的账号信息(如用户名和密码)就可以申请访问用户的受保护资源。具体来说,在访问受保护资源之前,第三方需要先从用户处获取授权,然后用该授权向授权服务器换取访问凭证,然后通过向资源服务器出示该访问凭证来获取受保护资源。
目前推荐使用的是OAuth 2.0协议,但OAuth 2.0协议本身不提供通信安全性保护机制。也就是说,当需要访问用户的重要私密资源时,无法保护第三方与服务器之间的通信过程的安全性。因此在应用OAuth 2.0协议时,开发者需要另外地实现保护通信机密性和完整性的安全机制。
Anuchart Tassanaviboon和Guang Gong提出了一种基于OAuth的AAuth协议,其是基于密文策略的属性基密码(CP-ABE,Ciphertext-Policy Attribute Based Encryption)设计的端到端加密解决方案。AAuth协议可完全替换OAuth协议,但二者无法兼容使用。由于当前已广泛采用OAuth协议,因此AAuth协议在现存的许多应用场景中实现时存在许多困难,例如,不但需要修改协议的通信流程,还需要处理对后台的数据与访问策略绑定的问题。
因此,存在着对一种能够提供安全性保护机制、同时与OAuth协议具有良好兼容性的授权访问技术的需求。
发明内容
为了解决上述问题,本发明的实施例基于OAuth 2.0协议和身份加密技术,提出了一种安全的授权访问技术。该技术不需要修改OAuth 2.0协议的通信流程,因而与OAuth 2.0协议具有良好的兼容性。在当前采用OAuth 2.0协议的场景中,只需进行简单的升级即可实现本发明的实施例的安全的授权访问技术。除了保护通信内容的机密性之外,本技术还可以保护通信内容的完整性。
本发明的实施例采用的身份加密技术属于公钥密码体制,其直接利用网络实体的唯一身份标识作为密钥,而不采用数字证书。相比于传统的基于数字证书的公钥体制,采用身份加密技术的***的结构更加简单。
根据本发明的一个方面,提供了一种用于基于授权访问协议来访问资源的客户端设备,包括一个或多个处理器,所述一个或多个处理器被配置为:在生成访问资源所需的请求消息时,通过身份加密方法,根据所述请求消息所要发送到的服务器的身份对凭证和随机参数的组合进行身份加密,以及将经加密的所述凭证和所述随机参数包含在所述请求消息中;以及在处理所述服务器对于所述请求消息的应答消息时,使用所述随机参数对所述应答消息的内容进行解密。
根据本发明的另一个方面,提供了一种执行授权访问协议的服务器设备,包括一个或多个处理器,所述一个或多个处理器被配置为:根据所述服务器设备的身份对来自客户端的请求消息进行身份解密,以获得凭证和随机参数;根据所述凭证确定要提供给所述客户端的内容;以及使用所述随机参数对要提供给所述客户端的所述内容进行加密。
根据本发明的另一个方面,提供了一种授权访问方法,包括:密钥生成中心针对一个或多个服务器中的每一个服务器生成公开身份参数和秘密身份参数;客户端使用来自资源拥有者的第一凭证所指示的第一服务器的公开身份参数对所述第一凭证和第一随机参数的组合进行身份加密,以生成发送至所述第一服务器的第一请求消息;所述第一服务器使用其的秘密身份参数对所述第一请求消息进行解密,以获得所述第一凭证和所述第一随机参数,并且根据所述第一凭证生成第二凭证以提供给所述客户端;所述客户端使用所述第二凭证所指示的第二服务器的公开身份参数对所述第二凭证和第二随机参数的组合进行身份加密,以生成发送至所述第二服务器的第二请求消息;所述第二服务器使用其的秘密身份参数对所述第二请求消息进行解密,以获得所述第二凭证和所述第二随机参数,并且根据所述第二凭证确定资源以提供给所述客户端。
附图说明
可以通过参考下文中结合附图所给出的描述来更好地理解本发明,其中在所有附图中使用了相同或相似的附图标记来表示相同或者相似的部件。附图连同下面的详细说明一起包含在本说明书中并且形成本说明书的一部分,而且用来进一步说明本发明的优选实施例和解释本发明的原理和优点。在附图中:
图1是根据本发明一个实施例的授权访问***的结构的示意图;
图2是根据本发明一个实施例的安全的授权访问流程的示意图;
图3是根据本发明一个实施例的客户端的功能模块的示意图;
图4A和4B分别是根据本发明实施例的授权服务器和资源服务器的功能模块的示意图;
图5示出了本发明的实施例应用于医疗领域的具体示例;以及
图6是示出了用于实现本发明实施例的计算机硬件的示例配置的框图。
具体实施方式
图1示出了根据本发明一个实施例的授权访问***的示意性结构。如图1所示,该***包括密钥生成中心100、客户端200、授权服务器300以及资源服务器400。
密钥生成中心100为授权服务器300和资源服务器400中的每一个生成秘密身份参数(身份密钥),并以安全的方式(例如通过物理地运输的方式)将秘密身份参数传送给授权服务器300和资源服务器400。此外,密钥生成中心100还为授权服务器300和资源服务器400中的每一个生成公开身份参数,并将公开身份参数发布给客户端200。具体地,该发布可以是将公开身份参数自动发送至客户端200,也可以是采用公告的形式,由客户端200通过主动查询而获得授权服务器300和资源服务器400的公开身份参数。
由密钥生成中心100生成的公开身份参数可表示如下:
Y=e(g,g)y
此外,由密钥生成中心100生成的秘密身份参数Di可表示如下:
在上述表达式中,ti(i=1,2,...,n)是Zp域中的随机整数,并且ti(i=1,2,...,n)对应于各个服务器的标识ID1,ID2,...,IDn(其中n为服务器的数目)。y是Zp域中的随机整数。
客户端200可以向资源拥有者(即用户,未示出)请求授权,以访问用户的受保护资源。当客户端200获得用户的授权后,其向授权服务器300请求验证该授权。当验证通过后,授权服务器300将访问凭证(accesscredential)(AC)发送给客户端200。然后客户端200使用该访问凭证AC向资源服务器400请求所要访问的受保护资源。资源服务器400在通过了对该访问凭证AC的验证后,将所请求的资源发送给客户端200。该处理与OAuth 2.0协议的流程一致,因此本技术与OAuth 2.0协议具有兼容性。
需要说明的是,虽然图1中将授权服务器和资源服务器示出为不同的服务器,但它们也可以是同一个服务器。即,验证授权以及提供所请求的资源的功能都由同一个服务器来实现。在此情况下,可以省去发放访问凭证AC以及验证访问凭证AC的处理,也就是说,当该服务器验证通过由客户端200提供的用户授权之后,即可将所请求的受保护资源提供给客户端200。
以下将结合图2来具体说明根据本发明一个实施例的能够提供安全性保护机制的授权访问方法。
参见图2,密钥生成中心100在步骤S210为授权服务器300和资源服务器400分别生成秘密身份参数和公开身份参数,并且在步骤S220将所生成的秘密身份参数安全地传送至授权服务器300和资源服务器400,并且将所生成的公开身份参数发布给客户端200。
在客户端200意图访问用户所拥有的特定资源的情况下,客户端200在步骤S230向用户发送授权凭证请求消息。该授权凭证请求消息中包括要访问的目标信息(例如,IP地址,统一资源定位符URL,服务器ID等),要访问的资源(例如,数据情报、图像、视频、音频、文本、应用程序等),以及授权期限等。
用户响应于客户端200的请求消息而生成有效的授权凭证(authorization grant)(AG),并且在步骤S240将授权凭证AG提供给客户端200。该授权凭证AG中包括与上述相同的内容,如要访问的目标信息、要访问的资源以及授权期限等。
需要说明的是,授权凭证AG可以由用户自行生成,也可以在用户与授权服务器300进行交互之后生成,这取决于具体的应用场景。
客户端200在获得了授权凭证AG之后,在步骤S250使用该授权凭证AG向授权服务器300请求用于访问资源的访问凭证AC。这一请求消息将通过加密的方式发送至授权服务器300。以下将具体描述客户端200生成访问凭证请求消息的处理。
首先,客户端200根据授权凭证AG中所指示的目标信息(在本实施例中假设是授权服务器300的ID),确定对应于授权服务器300的公开身份参数Ti和Y。此外,客户端200生成随机会话密钥K1。
然后,客户端200通过以下计算生成向授权服务器300请求访问凭证的请求消息。
合并授权凭证AG和随机会话密钥K1:AG‖K1,将其作为要加密的内容;
加密AG‖K1,得到密文如下:
其中r1是Zp域中的随机整数;
计算与授权服务器300的身份有关的属性参数Ei:
得到用于请求访问凭证AC的请求消息如下:
(密文,属性参数)=(Ciphertext,Ei)。
以上描述了基于身份加密技术生成访问凭证请求消息的处理,该处理能够保护所发送的授权凭证AG和随机会话密钥K1的机密性。另外地,在进一步考虑确保传输内容的完整性的情况下,可以使用哈希(HASH)算法或消息认证码(MAC)。
例如,在使用HASH算法的情况下,可以通过以下计算来生成访问凭证请求消息。
使用HASH算法对要加密的内容AG‖K1计算摘要:
H(AG‖K1)
如上所述地计算密文Ciphertext以及属性参数Ei;
得到请求消息如下:
参见图2,授权服务器300在接收到客户端200的访问凭证请求消息后,其利用从密钥生成中心100获取的秘密身份参数Di来解密该请求消息,具体计算如下:
计算
计算从而恢复出客户端200的加密内容。
可选地,如果客户端200发送的访问凭证请求消息中包含用于验证完整性的信息(摘要),则授权服务器300在解密请求消息后相应地验证内容的完整性。例如,授权服务器300对恢复出的内容AG‖K1进行哈希计算H(AG‖K1)。如果计算的值和请求消息中包括的摘要值一致,则通过完整性验证。否则,说明内容AG‖K1的完整性不可靠,从而终止操作。
授权服务器300在获得AG‖K1之后,进一步将其分解得到授权凭证AG和随机会话密钥K1。然后,授权服务器300根据AG的内容,生成相应的访问凭证AC。该访问凭证例如可以包括允许客户端200访问的目标服务器的标识、资源以及许可期限等。
授权服务器300使用解密获得的随机会话密钥K1来加密该访问凭证AC:EK1(AC),并且在步骤S260将加密的访问凭证发送给客户端200。加密方法E()可以采用已知的任何安全的加密算法。
作为示例,以上描述了客户端200与一个授权服务器300进行通信以获取访问凭证AC的过程。根据本技术,如果客户端200从用户处获得的授权凭证AG中指示了多个目标授权服务器300,则客户端200可以同时向该多个授权服务器300请求访问凭证AC。也就是说,客户端200可以将同一访问凭证请求消息发送至该多个授权服务器300,而接收到该请求消息的多个授权服务器300在处理之后分别向客户端200反馈各自的访问凭证AC。
具体来说,假设授权凭证AG指示了m个目标授权服务器300,其标识分别为ID1,ID2,...,IDm,则客户端200将生成如下的访问凭证请求消息,并同时发送给该m个授权服务器300,
该m个目标授权服务器300在接收到上述请求消息后,使用各自的秘密身份参数Di进行解密,计算得到授权凭证AG和随机会话密钥K1。然后根据授权凭证AG的内容各自生成访问凭证AC,并用随机会话密钥K1加密该访问凭证AC后发送给客户端200。
需要说明的是,存在以下两种情况:(1)该m个授权服务器300可以处理同一格式和内容的授权凭证AG,因此通过对单个授权凭证AG进行加密而生成上述访问凭证请求消息,(2)该m个授权服务器300支持不同格式或内容的授权凭证AG,因此通过对多个授权凭证AG的集合进行加密来生成上述访问凭证请求消息,在此种情况下,对每个授权凭证AG进行变换或加密之后将其组合在一起,再进行身份加密,从而生成访问凭证请求消息。这样,避免了某一授权服务器300在解密该请求消息之后获得所有授权凭证AG的可能性,也就是说,该授权服务器300将只能处理与自身有关的授权凭证AG,由此确保了安全性。
如上所述,客户端200可通过同一请求消息同时向多个授权服务器请求访问凭证AC,从而可以简化处理,提供***运营效率。
返回参见图2,客户端200在从授权服务器300获得加密的访问凭证之后,使用随机会话密钥K1来进行解密,从而得到访问凭证AC。然后客户端200在步骤S270使用该访问凭证AC向资源服务器400请求要访问的资源。以下将具体描述客户端200生成资源请求消息的处理。
首先,客户端200根据访问凭证AC中所指示的目标服务器(在本实施例中假设是资源服务器400),确定对应于资源服务器400的公开参数Tj和Y。此外,客户端200生成随机会话密钥K2。
然后,客户端200通过以下计算生成向资源服务器400请求资源的请求消息。
合并访问凭证(AC)和随机会话密钥K2:AC‖K2,将其作为要加密的内容;
加密AC‖K2,得到密文如下:
其中r2是Zp域中的随机整数;
计算与资源服务器400的身份有关的属性参数Ej:
得到用于请求资源的请求消息如下:
(密文,属性参数)=(Ciphertext,Ej)。
可选地,可以进一步使用哈希(HASH)算法或消息认证码(MAC)来确保传输内容的完整性。例如,在使用HASH算法的情况下,可以得到如下的资源请求消息:
然后,客户端200在步骤S270将生成的资源请求消息发送给资源服务器400。
资源服务器400在接收到客户端200的资源请求消息后,利用从密钥生成中心100获取的秘密身份参数Dj来解密该请求消息,具体计算如下:
计算
计算从而恢复出客户端200的加密内容。
如果客户端200发送的资源请求消息中包含用于验证完整性的信息,则资源服务器400在解密该资源请求消息之后验证AC‖K2的完整性。验证过程与之前授权服务器300所进行的验证类似。如果没有通过完整性验证,则终止操作。
如果通过完整性验证,则资源服务器400进一步将AC‖K2分解,得到访问凭证AC和随机会话密钥K2。然后,资源服务器400将访问凭证AC中所指示的资源用随机会话密钥K2加密,并在步骤S280将加密的资源提供给客户端200。加密算法可以使用已知的任何安全的加密算法。
客户端200使用随机会话密钥K2解密由资源服务器400提供的内容,得到所需要的资源的明文信息,并且在步骤S290将该明文信息呈现给用户。
以上参照图2描述了根据本发明一个实施例的授权访问流程,该流程中的步骤S230-S290与OAuth 2.0协议的流程一致。因此,本发明的实施例在为OAuth 2.0协议提供了安全性保护机制的同时无需更改协议的流程,这对于开发者来说极大地简化了升级工作。
以下将参照图3和图4A-4B分别描述根据本发明实施例的客户端和服务器的功能模块。
如图3所示,客户端200包括公开身份参数获取单元210、授权凭证获取单元220、访问凭证请求消息生成单元230、资源请求消息生成单元240、解密单元250、随机密钥生成单元260以及收发单元270。
公开身份参数获取单元210用于获取由密钥生成中心100生成的授权服务器300或资源服务器400的公共身份参数,以便在生成访问凭证请求消息或资源请求消息时使用。
授权凭证获取单元220用于从用户处获取授权凭证AG。
访问凭证请求消息生成单元230用于生成加密的访问凭证请求消息,以通过收发单元270发送至相应的授权服务器300。如图所示,访问凭证请求消息生成单元230包括加密单元231和完整性信息计算单元232,其中加密单元231使用身份加密技术对所获取的授权凭证AG以及由随机密钥生成单元260生成的随机会话密钥K1进行加密,完整性信息计算单元232针对授权凭证AG和随机会话密钥K1的组合计算用于完整性验证的信息。所生成的访问凭证请求消息中包括加密的授权凭证AG和随机会话密钥K1,以及用于完整性验证的信息。
资源请求消息生成单元240用于生成加密的资源请求消息,以通过收发单元270发送至相应的资源服务器400。资源请求消息生成单元240包括加密单元241和完整性信息计算单元242,其中加密单元241使用身份加密技术对所获取的访问凭证AC以及由随机密钥生成单元260生成的随机会话密钥K2进行加密,完整性信息计算单元242针对访问凭证AC和随机会话密钥K2的组合计算用于完整性验证的信息。所生成的资源请求消息中包括加密的访问凭证AC和随机会话密钥K2,以及用于完整性验证的信息。
解密单元250使用随机密钥生成单元260生成的随机会话密钥K1和K2来分别解密来自授权服务器300和资源服务器400的信息,从而获得访问凭证AC和所需要的资源的明文信息。
收发单元270用于执行客户端200与其它设备或网络实体之间的信号发送和接收。
需要说明的是,在不需要考虑确保通信内容的完整性的情况下,客户端200可以不包括完整性信息计算单元232、242。
图4A和4B分别示出了授权服务器300和资源服务器400的功能模块。如图4A所示,授权服务器300包括秘密身份参数获取单元310、解密单元320、完整性验证单元330、访问凭证生成单元340、加密单元350以及收发单元360。
秘密身份参数获取单元310获取由密钥生成中心100为授权服务器300生成的秘密身份参数。解密单元320使用该秘密身份参数对来自客户端200的访问凭证请求消息进行解密,从而获得授权凭证AG和随机会话密钥K1。完整性验证单元330可以验证所获得的授权凭证AG和随机会话密钥K1的完整性。当通过完整性验证后,访问凭证生成单元340可根据授权凭证AG来生成相应的访问凭证AC。加密单元350使用所获得的随机会话密钥K1对该访问凭证AC加密后,由收发单元360将加密的AC发送至客户端200。
如图4B所示,资源服务器400包括秘密身份参数获取单元410、解密单元420、完整性验证单元430、加密单元440、资源存储单元450以及收发单元460。
秘密身份参数获取单元410获取由密钥生成中心100为资源服务器400生成的秘密身份参数。解密单元420使用该秘密身份参数对来自客户端200的资源请求消息进行解密,从而获得访问凭证AC和随机会话密钥K2。完整性验证单元430可以验证所获得的访问凭证AC和随机会话密钥K2的完整性。当通过完整性验证后,加密单元440使用所获得的随机会话密钥K2对资源存储单元450中存储的所请求资源进行加密,由收发单元460将加密的资源发送至客户端200。
需要说明的是,在不需要考虑确保传输内容的完整性的情况下,授权服务器300和资源服务器400可以不包括完整性验证单元330、430。
以上结合附图描述了根据本发明实施例的安全的授权访问方法以及使用该方法的客户端和服务器,本发明可以应用于例如医疗、电力、通信等领域。
以下将以医疗领域为例来描述本发明的实施例的具体应用实例。通常,医疗机构(例如医院)保存有用户的医疗数据,如病例等。通过采用本发明的技术,第三方服务机构可以在获得用户授权的情况下以安全的方式从医疗机构获得此类数据,并提供给用户。
具体参见图5,在步骤S510,用户登录第三方服务的客户端200并选择服务项目,客户端200根据用户所选的服务项目向用户请求授权凭证AG。此时用户可以通过步骤S520与授权服务器300(如医院的服务器)进行交互以获得授权凭证AG,并提供给客户端200(未示出)。需要说明的是,该授权凭证AG也可以由用户事先通过与授权服务器300交互而获得,因此在接收到客户端200的请求时,用户可以将已经获得的授权凭证AG提供给客户端200。
然后,如步骤S530所示,客户端200使用获得的授权凭证AG向医疗机构的授权服务器300请求访问凭证AC,授权服务器300在验证了授权凭证AG之后将相应的访问凭证AC发送给客户端200。访问凭证请求消息的加密和生成过程如上文所述,此处不再赘述。
然后,如步骤S540所示,客户端200使用获得的访问凭证AC向资源服务器400(如医院的服务器)请求获取医疗数据资源,资源服务器400在验证了访问凭证AC之后将相应的资源提供给客户端200。资源请求消息的加密和生成过程如上文所述。
最后,客户端200在步骤S550对数据资源进行整理并呈现给用户。
用户所获得的数据例如可以是用户全年的医疗消费,在这种情况下,客户端200访问用户发生医疗消费的各个医疗机构,并将访问获得的数据合成后呈现给用户。例如,用户获得的数据也可以是某个医疗周期内的所有化验结果,在这种情况下,客户端200可以将访问获得的数据进行处理后形成示意图呈现给用户。
在上述访问用户医疗数据的通信过程中,数据均以加密形式进行传输,由此保证了安全性,有效地防止了用户隐私信息的泄露。
类似地,电力部门、通信运营商等也都保存着用户的个人数据或记录,通过采用本发明的安全的授权访问技术,用户可以通过第三方服务的客户端来容易地查看自己的数据信息。
本文中所描述的各个设备或模块仅是逻辑意义上的,并不严格对应于物理设备或实体。例如,本文所描述的每个模块的功能可能由多个物理实体来实现,或者,本文所描述的多个模块的功能可能由单个物理实体来实现。
在上述实施例中由每个设备或模块执行的一系列处理可以由软件、硬件或者软件和硬件的组合来实现。包括在软件中的程序可以事先存储在每个设备的内部或外部所设置的存储介质中。作为一个示例,在执行期间,这些程序被写入随机存取存储器(RAM)并且由处理器(例如CPU)来执行。
图6是示出了根据程序执行上述处理的计算机硬件的示例配置框图。
在计算机600中,中央处理单元(CPU)601、只读存储器(ROM)602以及随机存取存储器(RAM)603通过总线604彼此连接。
输入/输出接口605进一步与总线604连接。输入/输出接口605连接有以下组件:以键盘、鼠标、麦克风等形成的输入单元606;以显示器、扬声器等形成的输出单元607;以硬盘、非易失性存储器等形成的存储单元608;以网络接口卡(诸如局域网(LAN)卡、调制解调器等)形成的通信单元609;以及驱动移动介质611的驱动器610,该移动介质611诸如是磁盘、光盘、磁光盘或半导体存储器。
在具有上述结构的计算机中,CPU 601将存储在存储单元608中的程序经由输入/输出接口605和总线604加载到RAM 603中,并且执行该程序,以便执行上述处理。
要由计算机(CPU 601)执行的程序可以被记录在作为封装介质的移动介质611上,该封装介质以例如磁盘(包括软盘)、光盘(包括压缩光盘-只读存储器(CD-ROM))、数字多功能光盘(DVD)等)、磁光盘、或半导体存储器来形成。此外,要由计算机(CPU 601)执行的程序也可以经由诸如局域网、因特网、或数字卫星广播的有线或无线传输介质来提供。
当移动介质611安装在驱动器610中时,可以将程序经由输入/输出接口605安装在存储单元608中。另外,可以经由有线或无线传输介质由通信单元609来接收程序,并且将程序安装在存储单元608中。可替选地,可以将程序预先安装在ROM 602或存储单元608中。
要由计算机执行的程序可以是根据本说明书中描述的顺序来执行处理的程序,或者可以是并行地执行处理或当需要时(诸如,当调用时)执行处理的程序。
以上已经结合附图详细描述了本发明的实施例以及技术效果,但是本发明的范围不限于此。本领域普通技术人员应该理解的是,取决于设计要求和其他因素,在不偏离本发明的原理和精神的情况下,可以对本文中所讨论的实施方式进行各种修改或变化。本发明的范围由所附权利要求或其等同方案来限定。
此外,本发明的实施例也可以被配置如下。
一种用于基于授权访问协议来访问资源的客户端设备,包括一个或多个处理器,所述一个或多个处理器被配置为:在生成访问资源所需的请求消息时,通过身份加密方法,根据所述请求消息所要发送到的服务器的身份对凭证和随机参数的组合进行身份加密,并且将经加密的所述凭证和所述随机参数包含在所述请求消息中;以及在处理所述服务器对于所述请求消息的应答消息时,使用所述随机参数对所述应答消息的内容进行解密。
所述一个或多个处理器进一步被配置为:针对所述凭证和所述随机参数的组合计算用于完整性验证的信息,以及将所述计算的信息包含在所述请求消息中。
所述凭证是来自资源拥有者的第一凭证,所述第一凭证包括所述拥有者授权所述客户端设备访问的第一服务器的标识、授权所述客户端设备访问的资源以及授权有效期限。
所述一个或多个处理器进一步被配置为:根据所述第一服务器的身份对所述第一凭证和第一随机参数的组合进行身份加密,以生成第一请求消息。
所述第一服务器包括多个第一服务器,并且所述一个或多个处理器进一步被配置为:根据所述多个第一服务器的身份进行身份加密,以生成同时针对所述多个第一服务器的第一请求消息。
所述一个或多个处理器进一步被配置为:使用所述第一随机参数对来自所述第一服务器的应答消息的内容进行解密,以获得第二凭证,其中,所述第二凭证包括允许所述客户端访问的第二服务器的标识、允许所述客户端访问的资源以及许可有效期限。
所述一个或多个处理器进一步被配置为:根据所述第二服务器的身份对所述第二凭证和第二随机参数的组合进行身份加密,以生成针对所述第二服务器的第二请求消息。
所述一个或多个处理器进一步被配置为:使用所述第二随机参数对来自所述第二服务器的应答消息的内容进行解密,以获得所述要访问的资源。
所述第一服务器与所述第二服务器是不同的服务器。
所述第一服务器与所述第二服务器是同一服务器。
所述第一服务器和所述第二服务器的身份包括由密钥生成中心为所述第一服务器和所述第二服务器生成的公开身份参数。
一种执行授权访问协议的服务器设备,包括一个或多个处理器,所述一个或多个处理器被配置为:根据所述服务器设备的身份对来自客户端的请求消息进行身份解密,以获得凭证和随机参数;根据所述凭证确定要提供给所述客户端的内容;以及使用所述随机参数对要提供给所述客户端的所述内容进行加密。
所述一个或多个处理器进一步被配置为:在进行解密之后,对获得的所述凭证和所述随机参数进行完整性验证。
所述一个或多个处理器进一步被配置为:对来自所述客户端的第一请求消息进行身份解密,以获得第一凭证和第一随机参数,其中,所述第一凭证包括由资源拥有者授权所述客户端访问的服务器的标识、授权所述客户端设备访问的资源以及授权有效期限;以及根据所述第一凭证生成第二凭证以提供给所述客户端,其中,所述第二凭证包括允许所述客户端访问的服务器的标识、允许所述客户端访问的资源以及许可有效期限。
所述一个或多个处理器进一步被配置为:使用获得的所述第一随机参数对所述第二凭证进行加密,以提供给所述客户端。
对来自所述客户端的第二请求消息进行身份解密,以获得所述第二凭证和第二随机参数,以及根据所述第二凭证确定资源以提供给所述客户端。
所述一个或多个处理器进一步被配置为:使用获得的所述第二随机参数对所述资源进行加密,以提供给所述客户端。
所述服务器的身份包括由密钥生成中心为所述服务器生成的秘密身份参数。
一种授权访问方法,包括:密钥生成中心针对一个或多个服务器中的每一个服务器生成公开身份参数和秘密身份参数;客户端使用来自资源拥有者的第一凭证所指示的第一服务器的公开身份参数对所述第一凭证和第一随机参数的组合进行身份加密,以生成发送至所述第一服务器的第一请求消息;所述第一服务器使用其的秘密身份参数对所述第一请求消息进行解密,以获得所述第一凭证和所述第一随机参数,并且根据所述第一凭证生成第二凭证以提供给所述客户端;所述客户端使用所述第二凭证所指示的第二服务器的公开身份参数对所述第二凭证和第二随机参数的组合进行身份加密,以生成发送至所述第二服务器的第二请求消息;所述第二服务器使用其的秘密身份参数对所述第二请求消息进行解密,以获得所述第二凭证和所述第二随机参数,并且根据所述第二凭证确定资源以提供给所述客户端。
所述第一凭证指示多个第一服务器,并且其中,所述客户端使用所述多个第一服务器的公开身份参数进行加密,以生成同时发送至所述多个第一服务器的第一请求消息。
所述客户端针对所述第一凭证和所述第一随机参数的组合以及所述第二凭证和所述第二随机参数的组合分别计算用于完整性验证的信息;所述第一服务器基于所述信息对解密后获得的所述第一凭证和所述第一随机参数验证完整性;以及所述第二服务器基于所述信息对解密后获得的所述第二凭证和所述第二随机参数验证完整性。
所述第一服务器使用所述第一随机参数对所述第二凭证进行加密,以提供给所述客户端;以及所述客户端使用所述第一随机参数对加密的所述第二凭证进行解密。
所述第二服务器使用所述第二随机参数对所述资源进行加密,以提供给所述客户端;以及所述客户端使用所述第二随机参数对加密的所述资源进行解密。
所述第一服务器与所述第二服务器是不同的服务器。
所述第一服务器与所述第二服务器是同一服务器。
所述资源包括数据情报、图像、视频、音频、文本、应用程序中的一个或多个。
Claims (26)
1.一种用于基于授权访问协议来访问资源的客户端设备,包括一个或多个处理器,所述一个或多个处理器被配置为:
在生成访问资源所需的请求消息时,
通过身份加密方法,根据所述请求消息所要发送到的服务器的身份对凭证和随机参数的组合进行身份加密;以及
将经加密的所述凭证和所述随机参数包含在所述请求消息中;以及
在处理所述服务器对于所述请求消息的应答消息时,
使用所述随机参数对所述应答消息的内容进行解密。
2.根据权利要求1所述的客户端设备,所述一个或多个处理器进一步被配置为:
针对所述凭证和所述随机参数的组合计算用于完整性验证的信息,以及
将所述计算的信息包含在所述请求消息中。
3.根据权利要求1所述的客户端设备,其中,所述凭证是来自资源拥有者的第一凭证,所述第一凭证包括所述拥有者授权所述客户端设备访问的第一服务器的标识、授权所述客户端设备访问的资源以及授权有效期限。
4.根据权利要求3所述的客户端设备,所述一个或多个处理器进一步被配置为:
根据所述第一服务器的身份对所述第一凭证和第一随机参数的组合进行身份加密,以生成第一请求消息。
5.根据权利要求4所述的客户端设备,其中,所述第一服务器包括多个第一服务器,以及
其中,所述一个或多个处理器进一步被配置为:
根据所述多个第一服务器的身份进行身份加密,以生成同时针对所述多个第一服务器的第一请求消息。
6.根据权利要求4所述的客户端设备,所述一个或多个处理器进一步被配置为:使用所述第一随机参数对来自所述第一服务器的应答消息的内容进行解密,以获得第二凭证,
其中,所述第二凭证包括允许所述客户端访问的第二服务器的标识、允许所述客户端访问的资源以及许可有效期限。
7.根据权利要求6所述的客户端设备,所述一个或多个处理器进一步被配置为:根据所述第二服务器的身份对所述第二凭证和第二随机参数的组合进行身份加密,以生成针对所述第二服务器的第二请求消息。
8.根据权利要求7所述的客户端设备,所述一个或多个处理器进一步被配置为:使用所述第二随机参数对来自所述第二服务器的应答消息的内容进行解密,以获得所述要访问的资源。
9.根据权利要求6-8中任一项所述的客户端设备,其中,所述第一服务器与所述第二服务器是不同的服务器。
10.根据权利要求6-8中任一项所述的客户端设备,其中,所述第一服务器与所述第二服务器是同一服务器。
11.根据权利要求1所述的客户端设备,所述第一服务器和所述第二服务器的身份包括由密钥生成中心为所述第一服务器和所述第二服务器生成的公开身份参数。
12.一种执行授权访问协议的服务器设备,包括一个或多个处理器,所述一个或多个处理器被配置为:
根据所述服务器设备的身份对来自客户端的请求消息进行身份解密,以获得凭证和随机参数;
根据所述凭证确定要提供给所述客户端的内容;以及
使用所述随机参数对要提供给所述客户端的所述内容进行加密。
13.根据权利要求12所述的服务器设备,所述一个或多个处理器进一步被配置为:
在进行解密之后,对获得的所述凭证和所述随机参数进行完整性验证。
14.根据权利要求12所述的服务器设备,所述一个或多个处理器进一步被配置为:
对来自所述客户端的第一请求消息进行身份解密,以获得第一凭证和第一随机参数,其中,所述第一凭证包括由资源拥有者授权所述客户端访问的服务器的标识、授权所述客户端设备访问的资源以及授权有效期限;以及
根据所述第一凭证生成第二凭证以提供给所述客户端,其中,所述第二凭证包括允许所述客户端访问的服务器的标识、允许所述客户端访问的资源以及许可有效期限。
15.根据权利要求14所述的服务器设备,所述一个或多个处理器进一步被配置为:使用获得的所述第一随机参数对所述第二凭证进行加密,以提供给所述客户端。
16.根据权利要求14所述的服务器设备,所述一个或多个处理器进一步被配置为:对来自所述客户端的第二请求消息进行身份解密,以获得所述第二凭证和第二随机参数,以及
根据所述第二凭证确定资源以提供给所述客户端。
17.根据权利要求16所述的服务器设备,所述一个或多个处理器进一步被配置为:使用获得的所述第二随机参数对所述资源进行加密,以提供给所述客户端。
18.根据权利要求12所述的服务器设备,其中所述服务器的身份包括由密钥生成中心为所述服务器生成的秘密身份参数。
19.一种授权访问方法,包括:
密钥生成中心针对一个或多个服务器中的每一个服务器生成公开身份参数和秘密身份参数;
客户端使用来自资源拥有者的第一凭证所指示的第一服务器的公开身份参数对所述第一凭证和第一随机参数的组合进行身份加密,以生成发送至所述第一服务器的第一请求消息;
所述第一服务器使用其的秘密身份参数对所述第一请求消息进行解密,以获得所述第一凭证和所述第一随机参数,并且根据所述第一凭证生成第二凭证以提供给所述客户端;
所述客户端使用所述第二凭证所指示的第二服务器的公开身份参数对所述第二凭证和第二随机参数的组合进行身份加密,以生成发送至所述第二服务器的第二请求消息;
所述第二服务器使用其的秘密身份参数对所述第二请求消息进行解密,以获得所述第二凭证和所述第二随机参数,并且根据所述第二凭证确定资源以提供给所述客户端。
20.根据权利要求19所述的方法,其中,所述第一凭证指示多个第一服务器,并且其中,所述客户端使用所述多个第一服务器的公开身份参数进行加密,以生成同时发送至所述多个第一服务器的第一请求消息。
21.根据权利要求19所述的方法,进一步包括:
所述客户端针对所述第一凭证和所述第一随机参数的组合以及所述第二凭证和所述第二随机参数的组合分别计算用于完整性验证的信息;
所述第一服务器基于所述信息对解密后获得的所述第一凭证和所述第一随机参数验证完整性;以及
所述第二服务器基于所述信息对解密后获得的所述第二凭证和所述第二随机参数验证完整性。
22.根据权利要求19所述的方法,进一步包括:
所述第一服务器使用所述第一随机参数对所述第二凭证进行加密,以提供给所述客户端;以及
所述客户端使用所述第一随机参数对加密的所述第二凭证进行解密。
23.根据权利要求19所述的方法,进一步包括:
所述第二服务器使用所述第二随机参数对所述资源进行加密,以提供给所述客户端;以及
所述客户端使用所述第二随机参数对加密的所述资源进行解密。
24.根据权利要求19所述的方法,其中,所述第一服务器与所述第二服务器是不同的服务器。
25.根据权利要求19所述的方法,其中,所述第一服务器与所述第二服务器是同一服务器。
26.根据权利要求19所述的方法,其中,所述资源包括数据情报、图像、视频、音频、文本、应用程序中的一个或多个。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510547741.6A CN106487765B (zh) | 2015-08-31 | 2015-08-31 | 授权访问方法以及使用该方法的设备 |
| PCT/CN2016/079175 WO2017036146A1 (zh) | 2015-08-31 | 2016-04-13 | 授权访问方法以及使用该方法的设备 |
| US16/074,253 US11134069B2 (en) | 2015-08-31 | 2016-04-13 | Method for authorizing access and apparatus using the method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510547741.6A CN106487765B (zh) | 2015-08-31 | 2015-08-31 | 授权访问方法以及使用该方法的设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106487765A true CN106487765A (zh) | 2017-03-08 |
| CN106487765B CN106487765B (zh) | 2021-10-29 |
Family
ID=58186509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510547741.6A Active CN106487765B (zh) | 2015-08-31 | 2015-08-31 | 授权访问方法以及使用该方法的设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11134069B2 (zh) |
| CN (1) | CN106487765B (zh) |
| WO (1) | WO2017036146A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107222485A (zh) * | 2017-06-14 | 2017-09-29 | 腾讯科技(深圳)有限公司 | 一种授权方法以及相关设备 |
| CN108768618A (zh) * | 2018-06-07 | 2018-11-06 | 广东工业大学 | 一种基于区块链的ip软核授权方法、装置及介质 |
| CN109523948A (zh) * | 2018-12-28 | 2019-03-26 | 深圳市奥拓电子股份有限公司 | Led显示屏授权控制方法、led显示屏及存储介质 |
| CN110636043A (zh) * | 2019-08-16 | 2019-12-31 | 中国人民银行数字货币研究所 | 一种基于区块链的文件授权访问方法、装置及*** |
| CN110999255A (zh) * | 2019-03-29 | 2020-04-10 | 阿里巴巴集团控股有限公司 | 使用高可用性的可信执行环境检索区块链网络的访问数据 |
| CN112333199A (zh) * | 2020-11-17 | 2021-02-05 | 珠海大横琴科技发展有限公司 | 一种数据处理的方法和装置 |
| US11323271B2 (en) | 2019-03-27 | 2022-05-03 | Advanced New Technologies Co., Ltd. | Retrieving public data for blockchain networks using highly available trusted execution environments |
| US11449641B2 (en) | 2019-03-27 | 2022-09-20 | Advanced New Technologies Co., Ltd. | Integrity of communications between blockchain networks and external data sources |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11336438B2 (en) * | 2020-03-31 | 2022-05-17 | EMC IP Holding Company LLC | Remote approval and execution of restricted operations |
| CN112016082B (zh) * | 2020-10-26 | 2021-01-22 | 成都掌控者网络科技有限公司 | 一种权限清单安全控制方法 |
| FR3118382B1 (fr) * | 2020-12-21 | 2024-04-26 | Commissariat Energie Atomique | Procédé et dispositif permettant un accès autorisé et authentifié pour des identités fédérées |
| CN113242224B (zh) * | 2021-04-30 | 2022-08-30 | 北京市商汤科技开发有限公司 | 授权方法及装置、电子设备和存储介质 |
| US11979411B2 (en) * | 2021-10-28 | 2024-05-07 | International Business Machines Corporation | Control of access to computing resources implemented in isolated environments |
| CN115174577B (zh) * | 2022-07-11 | 2023-10-27 | 中汽创智科技有限公司 | 一种资源访问方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101208952A (zh) * | 2005-06-23 | 2008-06-25 | 汤姆森特许公司 | 多媒体访问设备注册***和方法 |
| CN102484583A (zh) * | 2009-08-28 | 2012-05-30 | 阿尔卡特朗讯公司 | 多媒体通信***中的安全密钥管理 |
| US20130212377A1 (en) * | 2012-02-10 | 2013-08-15 | Behzad Malek | Method and System for a Certificate-less Authenticated Encryption Scheme Using Identity-based Encryption |
| CN103460215A (zh) * | 2011-03-08 | 2013-12-18 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
| CN103795692A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 开放授权方法、***与认证授权服务器 |
| CN104243434A (zh) * | 2013-06-21 | 2014-12-24 | 镇江新晔网络科技有限公司 | 一种基于OAuth的HTTP协议*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2400699B (en) * | 2003-04-17 | 2006-07-05 | Hewlett Packard Development Co | Security data provision method and apparatus and data recovery method and system |
| US7017181B2 (en) * | 2003-06-25 | 2006-03-21 | Voltage Security, Inc. | Identity-based-encryption messaging system with public parameter host servers |
| US8656177B2 (en) * | 2008-06-23 | 2014-02-18 | Voltage Security, Inc. | Identity-based-encryption system |
| US8837718B2 (en) * | 2009-03-27 | 2014-09-16 | Microsoft Corporation | User-specified sharing of data via policy and/or inference from a hierarchical cryptographic store |
| CN102271333B (zh) * | 2011-08-08 | 2014-04-16 | 东南大学 | 一种基于可信链传递的3g消息安全收发方法 |
| US8769259B2 (en) * | 2012-01-06 | 2014-07-01 | Alcatel Lucent | Methods and apparatuses for secure information sharing in social networks using randomly-generated keys |
| US9490980B2 (en) * | 2012-02-27 | 2016-11-08 | Nachiket Girish Deshpande | Authentication and secured information exchange system, and method therefor |
| CN103327100B (zh) * | 2013-06-21 | 2017-04-19 | 华为技术有限公司 | 资源处理方法和站点服务器 |
-
2015
- 2015-08-31 CN CN201510547741.6A patent/CN106487765B/zh active Active
-
2016
- 2016-04-13 US US16/074,253 patent/US11134069B2/en active Active
- 2016-04-13 WO PCT/CN2016/079175 patent/WO2017036146A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101208952A (zh) * | 2005-06-23 | 2008-06-25 | 汤姆森特许公司 | 多媒体访问设备注册***和方法 |
| CN102484583A (zh) * | 2009-08-28 | 2012-05-30 | 阿尔卡特朗讯公司 | 多媒体通信***中的安全密钥管理 |
| CN103460215A (zh) * | 2011-03-08 | 2013-12-18 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
| US20130212377A1 (en) * | 2012-02-10 | 2013-08-15 | Behzad Malek | Method and System for a Certificate-less Authenticated Encryption Scheme Using Identity-based Encryption |
| CN103795692A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 开放授权方法、***与认证授权服务器 |
| CN104243434A (zh) * | 2013-06-21 | 2014-12-24 | 镇江新晔网络科技有限公司 | 一种基于OAuth的HTTP协议*** |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107222485A (zh) * | 2017-06-14 | 2017-09-29 | 腾讯科技(深圳)有限公司 | 一种授权方法以及相关设备 |
| CN107222485B (zh) * | 2017-06-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 一种授权方法以及相关设备 |
| CN108768618A (zh) * | 2018-06-07 | 2018-11-06 | 广东工业大学 | 一种基于区块链的ip软核授权方法、装置及介质 |
| CN108768618B (zh) * | 2018-06-07 | 2021-05-11 | 广东工业大学 | 一种基于区块链的ip软核授权方法、装置及介质 |
| CN109523948A (zh) * | 2018-12-28 | 2019-03-26 | 深圳市奥拓电子股份有限公司 | Led显示屏授权控制方法、led显示屏及存储介质 |
| US11323271B2 (en) | 2019-03-27 | 2022-05-03 | Advanced New Technologies Co., Ltd. | Retrieving public data for blockchain networks using highly available trusted execution environments |
| US11449641B2 (en) | 2019-03-27 | 2022-09-20 | Advanced New Technologies Co., Ltd. | Integrity of communications between blockchain networks and external data sources |
| CN110999255A (zh) * | 2019-03-29 | 2020-04-10 | 阿里巴巴集团控股有限公司 | 使用高可用性的可信执行环境检索区块链网络的访问数据 |
| US11405372B2 (en) | 2019-03-29 | 2022-08-02 | Advanced New Technologies Co., Ltd. | Retrieving access data for blockchain networks using highly available trusted execution environments |
| CN110636043A (zh) * | 2019-08-16 | 2019-12-31 | 中国人民银行数字货币研究所 | 一种基于区块链的文件授权访问方法、装置及*** |
| CN112333199A (zh) * | 2020-11-17 | 2021-02-05 | 珠海大横琴科技发展有限公司 | 一种数据处理的方法和装置 |
| CN112333199B (zh) * | 2020-11-17 | 2023-04-21 | 珠海大横琴科技发展有限公司 | 一种数据处理的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210006548A1 (en) | 2021-01-07 |
| US11134069B2 (en) | 2021-09-28 |
| WO2017036146A1 (zh) | 2017-03-09 |
| CN106487765B (zh) | 2021-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106487765A (zh) | 授权访问方法以及使用该方法的设备 | |
| Ma et al. | Attribute-based secure announcement sharing among vehicles using blockchain | |
| US9875368B1 (en) | Remote authorization of usage of protected data in trusted execution environments | |
| US9294274B2 (en) | Technologies for synchronizing and restoring reference templates | |
| CN103780618B (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
| US8843415B2 (en) | Secure software service systems and methods | |
| CN111181720A (zh) | 基于可信执行环境的业务处理方法及装置 | |
| Chen et al. | A secure electronic medical record authorization system for smart device application in cloud computing environments | |
| JP2009526287A (ja) | 権利委任によって権利オブジェクトを代理して生成する方法および装置 | |
| JP2023500570A (ja) | コールドウォレットを用いたデジタルシグニチャ生成 | |
| Win et al. | Privacy enabled digital rights management without trusted third party assumption | |
| Xu et al. | An efficient blockchain‐based privacy‐preserving scheme with attribute and homomorphic encryption | |
| CN110716724B (zh) | 基于fpga实现隐私区块链的方法及装置 | |
| CN106992978B (zh) | 网络安全管理方法及服务器 | |
| KR20210058313A (ko) | 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템 | |
| KR20220125567A (ko) | 의료 클라우드 환경에서 환자의 의료 데이터 공유 시스템 및 방법 | |
| CN107919958A (zh) | 一种数据加密的处理方法、装置及设备 | |
| US11757856B2 (en) | Cryptographic communication system, cryptographic communication method, and cryptographic communication apparatus | |
| WO2017107642A1 (zh) | 一种安全输入法的文本处理方法、装置和*** | |
| De Oliveira et al. | Red Alert: break-glass protocol to access encrypted medical records in the cloud | |
| CN113904830A (zh) | 一种spa认证的方法、装置、电子设备和可读存储介质 | |
| JP6353412B2 (ja) | Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム | |
| CN114697113B (zh) | 一种基于硬件加速卡的多方隐私计算方法、装置及*** | |
| CN116599771B (zh) | 数据分级保护传输方法及装置、存储介质和终端 | |
| CN112039852B (zh) | 一种核心接口保护的方法、存储介质、电子设备及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |