CN114928469A - 基于相互验证机制进行访问控制的IDaaS*** - Google Patents

基于相互验证机制进行访问控制的IDaaS*** Download PDF

Info

Publication number
CN114928469A
CN114928469A CN202210351647.3A CN202210351647A CN114928469A CN 114928469 A CN114928469 A CN 114928469A CN 202210351647 A CN202210351647 A CN 202210351647A CN 114928469 A CN114928469 A CN 114928469A
Authority
CN
China
Prior art keywords
virtual identity
identity
service
public key
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210351647.3A
Other languages
English (en)
Inventor
周文明
王志鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhongyue Technology Co ltd
Original Assignee
Shenzhen Zhongyue Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhongyue Technology Co ltd filed Critical Shenzhen Zhongyue Technology Co ltd
Publication of CN114928469A publication Critical patent/CN114928469A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开基于相互验证机制进行访问控制的IDaaS***,包括:服务请求设备、身份管理设备及服务提供设备;服务请求设备,将包括第一虚拟身份的预设注册信息发给身份管理设备,将包括由第一虚拟身份生成的第一签名结果的预设服务访问请求发给服务提供设备;服务提供设备根据接收的第二虚拟身份从身份管理设备获取第二公钥以对第一签名结果解密成功后,将包括第二公钥、第二虚拟身份及第三公钥的预设验证请求发给服务请求设备,使服务请求设备从接收的预设验证请求中确定出第一虚拟身份,将包括第三公钥、第一虚拟身份预设验证响应发给服务提供设备解密,以确定验证预设响应中虚拟身份是否为第二虚拟身份;综上,通过相互验证,可抵制身份伪造。

Description

基于相互验证机制进行访问控制的IDaaS***
技术领域
本申请涉及信息安全技术领域,尤其涉及基于相互验证机制进行访问控制的IDaaS***。
背景技术
在智慧校园的统一认证管理***的建设探索中面临信息安全问题,如遭受身份伪造攻击、身份盗窃攻击等问题。
发明内容
基于以上存在的问题以及现有技术的缺陷,本申请提供基于相互验证机制进行访问控制的IDaaS***,采用本申请,通过服务请求设备、身体管理设备以及服务提供设备之间相互验证虚拟身份的机制,以抵制身份伪造攻击、身份盗窃攻击等,提高IDaaS***中信息的安全性。
第一方面,本申请提供了基于相互验证机制进行访问控制的IDaaS***,该***包括:
服务请求设备、身份管理设备以及服务提供设备;所述服务请求设备、身份管理设备以及服务提供设备之间通过网络进行连接;
所述服务请求设备,用于生成包括第一公钥和第一私钥的秘钥对,基于所述第一公钥生成第一虚拟身份,并将包括所述第一公钥和所述第一公钥关联的所述第一虚拟身份的预设注册信息发送给所述身份管理设备,以及通过所述第一私钥对所述第一虚拟身份进行签名,生成第一签名结果,将包括所述第一签名结果的预设服务访问请求发送给所述服务提供设备;
所述身份管理设备,用于对接收的注册信息进行数字签名,将获得的第二数字签名结果存储于所述身份管理设备的数据库中;所述注册信息包括:所述预设注册信息;
所述服务提供设备,用于:响应于接收到服务访问请求,根据所述服务访问请求中的第二虚拟身份访问所述身份管理设备,从所述数据库中获取所述第二虚拟身份关联的第二公钥,以对所述服务访问请求中所述第一签名结果进行解密,并生成包括第三公钥和第三私钥的密钥对;所述服务访问请求包括:所述预设服务访问请求;
所述服务提供设备,还用于:如果所述第一签名结果解密成功,通过所述第二公钥将所述第二虚拟身份与所述第三公钥进行加密,获得第一加密结果,并将包括所述第一加密结果的预设验证请求发送给所述服务请求设备;
所述服务请求设备,还用于:确定接收到的验证请求的加密结果中虚拟身份是否为所述第一虚拟身份,如果是,则通过所述第三公钥将所述第一虚拟身份加密,获得第二加密结果,并将包括所述第二加密结果的预设验证响应发送给所述服务提供设备;所述验证请求的加密结果中虚拟身份包括:所述预设验证请求的第二加密结果中第二虚拟身份;
所述服务提供设备,还用于:响应于接收到所述服务请求设备发送的验证响应,通过所述第三私钥对所述验证响应中的加密结果进行解密,确定所述验证响应中的虚拟身份是否为所述第二虚拟身份;所述验证响应中的虚拟身份包括:所述预设验证响应中的所述第一虚拟身份;
所述服务提供设备,还用于:如果确定出所述验证响应中的虚拟身份为所述第二虚拟身份,则发送确认指示给所述服务请求设备,所述确认指示用于指示出所述服务请求设备成功访问所述服务提供设备。
结合第一方面,在一些可选的实施例中,
所述身份管理设备,具体用于:
对接收的注册信息通过所述身份管理设备生成的第四私钥进行数字签名,获得第二数字签名结果;其中,第四公钥和所述第四私钥为所述身份管理设备生成的一个秘钥对;
将所述第二数字签名结果写入区块链中,或者,将所述第二数字签名结果存储于分布式存储***。
结合第一方面,在一些可选的实施例中,
所述身份管理设备,还用于:
在所述服务提供设备根据所述服务访问请求中的第二虚拟身份访问所述身份管理设备之后,所述服务提供设备从所述数据库中获取所述第二虚拟身份关联的第二公钥之前,
响应于所述身份管理设备中接收的所述第二虚拟身份,通过所述第四公钥对所述区块链或所述分布式存储***中所存储的数字签名结果进行解密,从所述数字签名结果中确定出所述第二虚拟身份关联的第二公钥。
结合第一方面,在一些可选的实施例中,
所述服务请求设备,具体还用于:
通过所述第一私钥将接收到的验证请求的加密结果进行解密,如果解密成功,则确定出接收到的验证请求的加密结果中虚拟身份为所述第一虚拟身份,以及所述第二公钥为所述第一公钥。
结合第一方面,在一些可选的实施例中,
所述服务请求设备,具体用于:
生成包括第一公钥
Figure BDA0003580733370000031
和第一私钥
Figure BDA0003580733370000032
的秘钥对,基于所述第一公钥
Figure BDA0003580733370000033
生成第一虚拟身份
Figure BDA0003580733370000034
并将包括所述第一公钥
Figure BDA0003580733370000035
和所述第一公钥
Figure BDA0003580733370000036
关联的所述第一虚拟身份
Figure BDA0003580733370000037
的预设注册信息
Figure BDA0003580733370000038
发送给所述身份管理设备,以及通过所述第一私钥
Figure BDA0003580733370000039
对所述第一虚拟身份
Figure BDA00035807333700000310
进行签名,生成第一签名结果
Figure BDA00035807333700000311
将包括所述第一签名结果
Figure BDA00035807333700000312
的预设服务访问请求M1发送给所述服务提供设备,其中,所述
Figure BDA00035807333700000313
所述r用于判断所述M1是否被篡改。
结合第一方面,在一些可选的实施例中,
所述身份管理设备,具体用于:
对接收的预设注册信息
Figure BDA00035807333700000314
通过所述身份管理设备生成的第四私钥
Figure BDA00035807333700000315
进行数字签名,获得第二数字签名结果
Figure BDA00035807333700000316
其中,第四公钥
Figure BDA00035807333700000317
和所述第四私钥
Figure BDA00035807333700000318
为所述身份管理设备生成的一个秘钥对;
将所述第二数字签名结果
Figure BDA00035807333700000319
写入区块链中,或者,将所述第二数字签名结果存储于分布式存储***。
结合第一方面,在一些可选的实施例中,
所述服务提供设备,具体还用于:
如果所述第一签名结果
Figure BDA0003580733370000041
解密成功,通过所述第二公钥
Figure BDA0003580733370000042
将所述第二虚拟身份
Figure BDA0003580733370000043
与第三公钥
Figure BDA0003580733370000044
行加密,获得第一加密结果
Figure BDA0003580733370000045
并将包括所述第一加密结果
Figure BDA0003580733370000046
的预设验证请求M2发送给所述服务请求设备,其中,
Figure BDA0003580733370000047
所述(r+1)用于判断所述M2是否被篡改;第三私钥
Figure BDA0003580733370000048
与所述第三公钥
Figure BDA0003580733370000049
为所述服务提供设备生成的一个秘钥对。
结合第一方面,在一些可选的实施例中,
所述服务请求设备,具体还用于:
确定接收到的预设验证请求M2的第一加密结果
Figure BDA00035807333700000410
中第二虚拟身份
Figure BDA00035807333700000411
是否为所述第一虚拟身份
Figure BDA00035807333700000412
如果是,则从所述第一加密结果
Figure BDA00035807333700000413
中获得的所述第三公钥
Figure BDA00035807333700000414
通过所述第三公钥
Figure BDA00035807333700000415
将所述第一虚拟身份
Figure BDA00035807333700000416
加密,获得第二加密结果
Figure BDA00035807333700000417
并将包括所述第二加密结果
Figure BDA00035807333700000418
的预设验证响应M3发送给所述服务提供设备,其中,
Figure BDA00035807333700000419
所述(r+2)用于判断所述M3是否被篡改。
结合第一方面,在一些可选的实施例中,
所述服务提供设备,具体还用于:
响应于接收到所述服务请求设备发送的预设验证响应M3,通过所述第三私钥
Figure BDA00035807333700000420
对所述预设验证响应M3中的第二加密结果
Figure BDA00035807333700000421
进行解密,以确定所述预设验证响应M3中的第一虚拟身份
Figure BDA00035807333700000422
是否为所述第二虚拟身份
Figure BDA00035807333700000423
如果确定出所述预设验证响应M3中的第一虚拟身份
Figure BDA00035807333700000424
为所述第二虚拟身份
Figure BDA00035807333700000425
则发送一个确认指示给所述服务请求设备,所述确认指示用于指示出所述服务请求设备成功访问所述服务提供设备。
结合第一方面,在一些可选的实施例中,
所述服务请求设备,还用于:
接收到所述服务提供设备发送的确认指示之后,将获取的学生隐私数据加密后,发送给所述服务提供设备;所述学生隐私数据包括:学生的人脸图像、成绩、档案或家庭背景。
本申请提供了基于相互验证机制进行访问控制的IDaaS***,该***包括:服务请求设备、身份管理设备以及服务提供设备;其中,服务请求设备、身份管理设备以及服务提供设备之间通过网络进行连接;服务请求设备,可用于生成包括第一公钥和第一私钥的秘钥对,基于第一公钥生成第一虚拟身份,并将包括第一公钥和第一公钥关联的第一虚拟身份的预设注册信息发送给身份管理设备,以及通过第一私钥对第一虚拟身份进行签名,生成第一签名结果,将包括第一签名结果的预设服务访问请求发送给服务提供设备。
身份管理设备,用于对接收的注册信息进行数字签名,将获得的第二数字签名结果存储于身份管理设备的数据库中;注册信息包括:预设注册信息。
服务提供设备,用于:响应于接收到服务访问请求,根据服务访问请求中的第二虚拟身份访问身份管理设备,从数据库中获取第二虚拟身份关联的第二公钥,以对服务访问请求中第二签名结果进行解密,并生成包括第三公钥和第三私钥的密钥对;服务访问请求包括:预设服务访问请求;服务提供设备,还用于:如果第二签名结果解密成功,通过第二公钥将第二虚拟身份与第三公钥进行加密,获得第一加密结果,并将包括第一加密结果的预设验证请求发送给服务请求设备。
服务请求设备,还用于:确定接收到的验证请求的加密结果中虚拟身份是否为第一虚拟身份,如果是,则通过第三公钥将第一虚拟身份加密,获得第二加密结果,并将包括第二加密结果的预设验证响应发送给服务提供设备;验证请求的加密结果中虚拟身份包括:预设验证请求的第二加密结果中第二虚拟身份。
服务提供设备,还用于:响应于接收到服务请求设备发送的验证响应,通过第三私钥对所述验证响应中的加密结果进行解密,确定验证响应中的虚拟身份是否为第二虚拟身份;验证响应中的虚拟身份包括:预设验证响应中的第一虚拟身份;服务提供设备,还可用于:如果确定出验证响应中的虚拟身份为第二虚拟身份,则发送确认指示给服务请求设备,确认指示用于指示出服务请求设备成功访问服务提供设备。综上所述,采用本申请,通过服务请求设备、身体管理设备以及服务提供设备之间相互验证虚拟身份的机制,可实现抵制身份伪造攻击、身份盗窃攻击等,提高IDaaS***中信息的安全性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请提供的一种基于相互验证机制进行访问控制的IDaaS***的结构示意图;
图2是本申请提供的第一虚拟身份的具体生成过程的示意图;
图3是本申请提供的另一种基于相互验证机制进行访问控制的IDaaS***的结构示意图。
具体实施方式
下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为提高IDaaS***中的信息安全性,抵制身份伪造攻击、身份盗窃攻击和身份认证攻击,本申请提供了基于相互验证机制进行访问控制的IDaaS***。具体的,
参见图1,是本申请提供的一种基于相互验证机制进行访问控制的IDaaS***的结构示意图,如图1所示,
该IDaaS***可包括但不限于:
服务请求设备、身份管理设备以及服务提供设备;其中,服务请求设备、身份管理设备以及服务提供设备之间可通过通信网络进行连接;
应当说明的,服务请求设备可包括但不限于:可用于数据采集的摄像头、可用于数据采集的AI智能盒子、可用于数据采集的摄像机、或者其他可用于数据采集的设备。
服务提供设备可包括但不限于:可用于对学生隐私数据进行处理的服务器。
应当说明的,上述通信网络可包括但不限于下述方式:
方式1:有线方式(如:网线或光纤)的通信网络;
方式2:无线方式(如:WIFI6或5G)的通信网络;
方式3:上述有线方式和无线方式相结合的通信网络。
服务请求设备,可用于:
生成包括第一公钥和第一私钥的秘钥对,基于第一公钥生成第一虚拟身份,并将包括第一公钥和第一公钥关联的第一虚拟身份的预设注册信息发送给身份管理设备,以及通过第一私钥对第一虚拟身份进行签名,生成第一签名结果,将包括第一签名结果的预设服务访问请求发送给服务提供设备。
应当说的,本申请实施例中的第一、第二、第三或第四仅仅用于区分不同的虚拟身份、公钥、私钥或数字签名结果等,不应对本申请做出限制。
服务请求设备,具体可用于:将上述第一公钥经过一系列单向的哈希算法得到第一虚拟身份,更具体的,
服务请求设备,可用于:
首先基于上述第一公钥,通过哈希算法利用哈希运算计算出SHA256(第一公钥),然后通过哈希运算计算出RIPEMD160(SHA256(第一公钥)),再将 RIPEMD160(SHA256(第一公钥))通过Base58Check进行编码,并将编码结果作为第一虚拟身份,应当说的,本申请中有关第一虚拟身份的具体生成过程,可参考图2,如图2所示,具体的,
身份管理设备,可用于:
对接收的注册信息进行数字签名,将获得的第二数字签名结果存储于身份管理设备的数据库中;注册信息包括:预设注册信息。
应当说明的,身份管理设备,具体可用于:
对接收的注册信息通过身份管理设备生成的第四私钥进行数字签名,获得第二数字签名结果;其中,第四公钥和第四私钥为身份管理设备生成的一个秘钥对;
将第二数字签名结果写入区块链中,或者,将第二数字签名结果存储于分布式存储***,或者存储于身份管理设备的本地数据库中,或者存储于身份管理设备的云端数据库中。
应当说明的,上述区块链可包括但不限于:
私有区块链或公有区块链。
上述分布式存储***,可包括但不限于:ipfs(InterPlanetary File System,星际文件***)分布式存储***。
服务提供设备,可用于:
响应于接收到服务访问请求,根据服务访问请求中的第二虚拟身份访问身份管理设备,从数据库中获取第二虚拟身份关联的第二公钥,以对服务访问请求中第一签名结果进行解密,并生成包括第三公钥和第三私钥的密钥对;服务访问请求包括:预设服务访问请求。
其中,预设服务访问请求为服务访问请求中的一个请求;
应当说明的,身份管理设备,还可用于:
在服务提供设备根据服务访问请求中的第二虚拟身份访问所述身份管理设备之后,服务提供设备从数据库中获取第二虚拟身份关联的第二公钥之前,
响应于身份管理设备中接收的第二虚拟身份,从身份管理设备中存储的数字签名结果中确定出第二虚拟身份关联的第二公钥。
其中,上述数字签名结果包括:第二数字签名结果。
服务提供设备,还可用于:如果第一签名结果解密成功,通过第二公钥将第二虚拟身份与第三公钥进行加密,获得第一加密结果,并将包括第一加密结果的预设验证请求发送给服务请求设备。
服务请求设备,还可用于:确定接收到的验证请求的加密结果中虚拟身份是否为第一虚拟身份,如果是,则通过第三公钥将第一虚拟身份加密,获得第二加密结果,并将包括第二加密结果的预设验证响应发送给服务提供设备。
应当说明的,上述验证请求的加密结果中虚拟身份包括:预设验证请求的第二加密结果中第二虚拟身份。
也即是说,服务请求设备,具体还可用于:
通过第一私钥将接收到的验证请求的加密结果进行解密,如果解密成功,则确定出接收到的验证请求的加密结果中虚拟身份为第一虚拟身份,以及第二公钥为第一公钥。
服务提供设备,还可用于:响应于接收到服务请求设备发送的验证响应,通过第三私钥对验证响应中的加密结果进行解密,确定验证响应中的虚拟身份是否为第二虚拟身份。
应当说明的,验证响应中的虚拟身份包括:预设验证响应中的第一虚拟身份。
服务提供设备,还可用于:如果确定出验证响应中的虚拟身份为第二虚拟身份,则发送一个确认指示给服务请求设备,其中,该确认指示可用于指示出服务请求设备成功访问服务提供设备。
也即是说,如果服务提供设备确定出预设验证响应中的第一虚拟身份为第二虚拟身份,则发送一个确认指示给服务请求设备。
综上所述,服务请求设备分别将包括第一虚拟身份的预设注册信息发给身份管理设备,将包括由第一虚拟身份生成的第一签名结果的预设服务访问请求发给服务提供设备;服务提供设备根据接收的第二虚拟身份从身份管理设备获取第二公钥以对第一签名结果解密成功后,将包括第二公钥、第二虚拟身份及第三公钥的预设验证请求发给服务请求设备,使服务请求设备从接收的预设验证请求中确定出第一虚拟身份,并将包括第三公钥、第一虚拟身份预设验证响应发送给服务提供设备进行解密,以确定验证预设响应中的第一虚拟身份与第二虚拟身份是否相等,如果是,则发送确认指示给服务请求设备,确认指示用于指示出服务请求设备成功访问服务提供设备;
采用本申请,通过服务请求设备、身体管理设备以及服务提供设备之间相互验证虚拟身份的机制,可实现抵制身份伪造攻击、身份盗窃攻击等,提高IDaaS ***中信息的安全性。
为提高IDaaS***中的信息安全性,抵制身份伪造攻击、身份盗窃攻击和身份认证攻击进一步进行详细阐述,本申请还提供了另一种基于相互验证机制进行访问控制的IDaaS***。
参见图3,是本申请提供的另一种基于相互验证机制进行访问控制的IDaaS ***的结构示意图,如图3所示,该***可包括但不限于:
服务请求设备、身份管理设备以及服务提供设备;上述服务请求设备、身份管理设备以及服务提供设备之间通过网络进行连接;其中,
服务请求设备,具体可用于:
生成包括第一公钥
Figure BDA0003580733370000101
和第一私钥
Figure BDA0003580733370000102
的秘钥对,基于第一公钥
Figure BDA0003580733370000103
生成第一虚拟身份
Figure BDA0003580733370000104
并将包括第一公钥
Figure BDA0003580733370000105
和第一公钥
Figure BDA0003580733370000106
关联的第一虚拟身份
Figure BDA0003580733370000107
的预设注册信息
Figure BDA0003580733370000108
发送给身份管理设备,以及通过第一私钥
Figure BDA0003580733370000109
对第一虚拟身份
Figure BDA00035807333700001010
进行签名,生成第一签名结果
Figure BDA00035807333700001011
将包括第一签名结果
Figure BDA00035807333700001012
的预设服务访问请求M1发送给服务提供设备,其中,
Figure BDA00035807333700001013
其中上述r用于判断预设服务访问请求M1是否被篡改。
身份管理设备,具体可用于:
对接收的预设注册信息
Figure BDA00035807333700001014
通过身份管理设备生成的第四私钥
Figure BDA00035807333700001015
进行数字签名,获得第二数字签名结果
Figure BDA00035807333700001016
其中,第四公钥
Figure BDA00035807333700001017
和第四私钥
Figure BDA00035807333700001018
为身份管理设备生成的一个秘钥对;
将第二数字签名结果
Figure BDA00035807333700001019
写入区块链中,或者,将第二数字签名结果存储于分布式存储***。
服务提供设备,具体还可用于:
如果第一签名结果
Figure BDA00035807333700001020
解密成功,通过第二公钥
Figure BDA00035807333700001021
将第二虚拟身份
Figure BDA00035807333700001022
与第三公钥
Figure BDA00035807333700001023
行加密,获得第一加密结果
Figure BDA00035807333700001024
并将包括第一加密结果
Figure BDA00035807333700001025
的预设验证请求M2发送给服务请求设备,其中,
Figure BDA00035807333700001026
其中,上述(r+1)用于判断预设验证请求M2是否被篡改;第三私钥
Figure BDA00035807333700001027
与第三公钥
Figure BDA00035807333700001028
为服务提供设备生成的一个秘钥对。
服务请求设备,具体还可用于:
确定接收到的预设验证请求M2的第一加密结果
Figure BDA00035807333700001029
中第二虚拟身份
Figure BDA00035807333700001030
是否为第一虚拟身份
Figure BDA00035807333700001031
如果第二虚拟身份
Figure BDA00035807333700001032
是第一虚拟身份
Figure BDA00035807333700001033
则从第一加密结果
Figure BDA00035807333700001035
中获得的第三公钥
Figure BDA00035807333700001036
通过第三公钥
Figure BDA00035807333700001037
将第一虚拟身份
Figure BDA00035807333700001038
加密,获得第二加密结果
Figure BDA00035807333700001039
并将包括第二加密结果
Figure BDA00035807333700001040
的预设验证响应M3发送给服务提供设备,其中,
Figure BDA00035807333700001041
其中,上述(r+2)用于判断M3是否被篡改。
服务提供设备,具体还可用于:
响应于接收到服务请求设备发送的预设验证响应M3,通过第三私钥
Figure BDA00035807333700001042
对预设验证响应M3中的第二加密结果
Figure BDA0003580733370000111
进行解密,以确定预设验证响应M3中的第一虚拟身份
Figure BDA0003580733370000112
是否为第二虚拟身份
Figure BDA0003580733370000113
如果确定出预设验证响应M3中的第一虚拟身份
Figure BDA0003580733370000114
为第二虚拟身份
Figure BDA0003580733370000115
则发送一个确认指示给服务请求设备,上述确认指示用于指示出服务请求设备成功访问服务提供设备。
服务请求设备,还可用于:
接收到服务提供设备发送的确认指示之后,将获取的学生隐私数据加密后,发送给服务提供设备。
综上所述,服务请求设备分别将包括第一虚拟身份
Figure BDA0003580733370000116
的预设注册信息
Figure BDA0003580733370000117
发给身份管理设备,将包括由第一虚拟身份生成的第一签名结果
Figure BDA0003580733370000118
的预设服务访问请求
Figure BDA0003580733370000119
发给服务提供设备;服务提供设备根据接收的第二虚拟身份
Figure BDA00035807333700001110
从身份管理设备获取第二公钥以对第一签名结果解密成功后,将包括第二公钥
Figure BDA00035807333700001111
第二虚拟身份
Figure BDA00035807333700001112
及第三公钥
Figure BDA00035807333700001113
的预设验证请求M2发给服务请求设备,使服务请求设备从接收的预设验证请求中确定出第一虚拟身份,并将包括第三公钥
Figure BDA00035807333700001114
第一虚拟身份
Figure BDA00035807333700001115
预设验证响应 M3发送给服务提供设备进行解密,以确定验证预设响应中的虚拟身份是否为第二虚拟身份
Figure BDA00035807333700001116
如果是,则发送确认指示给服务请求设备,确认指示用于指示出服务请求设备成功访问服务提供设备;因而,采用本申请,通过服务请求设备、服务提供设备以及身份提供设备之间相互验证机制,可实现抵制身份伪造攻击、身份盗窃攻击等,提高IDaaS***中信息的安全性。
应当说明的,图3实施例中未详细进行解释的定义或说明,可参考图1实施例。
应当说明的,图1-3仅用于对本申请进行阐述及说明,不应对本申请的保护范围做出限制。
本领域普通技术人员可以意识到,结合本申请中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、***和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
上述描述的装置、设备的实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、设备、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储器中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于相互验证机制进行访问控制的IDaaS***,其特征在于,包括:
服务请求设备、身份管理设备以及服务提供设备;所述服务请求设备、身份管理设备以及服务提供设备之间通过网络进行连接;
所述服务请求设备,用于生成包括第一公钥和第一私钥的秘钥对,基于所述第一公钥生成第一虚拟身份,并将包括所述第一公钥和所述第一公钥关联的所述第一虚拟身份的预设注册信息发送给所述身份管理设备,以及通过所述第一私钥对所述第一虚拟身份进行签名,生成第一签名结果,将包括所述第一签名结果的预设服务访问请求发送给所述服务提供设备;
所述身份管理设备,用于对接收的注册信息进行数字签名,将获得的第二数字签名结果存储于所述身份管理设备的数据库中;所述注册信息包括:所述预设注册信息;
所述服务提供设备,用于:响应于接收到服务访问请求,根据所述服务访问请求中的第二虚拟身份访问所述身份管理设备,从所述数据库中获取所述第二虚拟身份关联的第二公钥,以对所述服务访问请求中所述第一签名结果进行解密,并生成包括第三公钥和第三私钥的密钥对;所述服务访问请求包括:所述预设服务访问请求;
所述服务提供设备,还用于:如果所述第一签名结果解密成功,通过所述第二公钥将所述第二虚拟身份与所述第三公钥进行加密,获得第一加密结果,并将包括所述第一加密结果的预设验证请求发送给所述服务请求设备;
所述服务请求设备,还用于:确定接收到的验证请求的加密结果中虚拟身份是否为所述第一虚拟身份,如果是,则通过所述第三公钥将所述第一虚拟身份加密,获得第二加密结果,并将包括所述第二加密结果的预设验证响应发送给所述服务提供设备;所述验证请求的加密结果中虚拟身份包括:所述预设验证请求的第二加密结果中第二虚拟身份;
所述服务提供设备,还用于:响应于接收到所述服务请求设备发送的验证响应,通过所述第三私钥对所述验证响应中的加密结果进行解密,确定所述验证响应中的虚拟身份是否为所述第二虚拟身份;所述验证响应中的虚拟身份包括:所述预设验证响应中的所述第一虚拟身份;
所述服务提供设备,还用于:如果确定出所述验证响应中的虚拟身份为所述第二虚拟身份,则发送确认指示给所述服务请求设备,所述确认指示用于指示出所述服务请求设备成功访问所述服务提供设备。
2.如权利要求1所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述身份管理设备,具体用于:
对接收的注册信息通过所述身份管理设备生成的第四私钥进行数字签名,获得第二数字签名结果;其中,第四公钥和所述第四私钥为所述身份管理设备生成的一个秘钥对;
将所述第二数字签名结果写入区块链中,或者,将所述第二数字签名结果存储于分布式存储***。
3.如权利要求2所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述身份管理设备,还用于:
在所述服务提供设备根据所述服务访问请求中的第二虚拟身份访问所述身份管理设备之后,所述服务提供设备从所述数据库中获取所述第二虚拟身份关联的第二公钥之前,
响应于所述身份管理设备中接收的所述第二虚拟身份,通过所述第四公钥对所述区块链或所述分布式存储***中所存储的数字签名结果进行解密,从所述数字签名结果中确定出所述第二虚拟身份关联的第二公钥。
4.如权利要求3所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述服务请求设备,具体还用于:
通过所述第一私钥将接收到的验证请求的加密结果进行解密,如果解密成功,则确定出接收到的验证请求的加密结果中虚拟身份为所述第一虚拟身份,以及所述第二公钥为所述第一公钥。
5.如权利要求1所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述服务请求设备,具体用于:
生成包括第一公钥
Figure FDA0003580733360000031
和第一私钥
Figure FDA0003580733360000032
的秘钥对,基于所述第一公钥
Figure FDA0003580733360000033
生成第一虚拟身份
Figure FDA0003580733360000034
并将包括所述第一公钥
Figure FDA0003580733360000035
和所述第一公钥
Figure FDA0003580733360000036
关联的所述第一虚拟身份
Figure FDA0003580733360000037
的预设注册信息
Figure FDA0003580733360000038
发送给所述身份管理设备,以及通过所述第一私钥
Figure FDA0003580733360000039
对所述第一虚拟身份
Figure FDA00035807333600000310
进行签名,生成第一签名结果
Figure FDA00035807333600000311
将包括所述第一签名结果
Figure FDA00035807333600000312
的预设服务访问请求M1发送给所述服务提供设备,其中,所述
Figure FDA00035807333600000313
所述r用于判断所述M1是否被篡改。
6.如权利要求5所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述身份管理设备,具体用于:
对接收的预设注册信息
Figure FDA00035807333600000314
通过所述身份管理设备生成的第四私钥
Figure FDA00035807333600000315
进行数字签名,获得第二数字签名结果
Figure FDA00035807333600000316
其中,第四公钥
Figure FDA00035807333600000317
和所述第四私钥
Figure FDA00035807333600000318
为所述身份管理设备生成的一个秘钥对;
将所述第二数字签名结果
Figure FDA00035807333600000319
写入区块链中,或者,将所述第二数字签名结果存储于分布式存储***。
7.如权利要求6所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述服务提供设备,具体还用于:
如果所述第一签名结果
Figure FDA00035807333600000320
解密成功,通过所述第二公钥
Figure FDA00035807333600000321
将所述第二虚拟身份
Figure FDA00035807333600000322
与第三公钥
Figure FDA00035807333600000323
行加密,获得第一加密结果
Figure FDA00035807333600000324
并将包括所述第一加密结果
Figure FDA00035807333600000325
的预设验证请求M2发送给所述服务请求设备,其中,
Figure FDA00035807333600000326
所述(r+1)用于判断所述M2是否被篡改;第三私钥
Figure FDA00035807333600000327
与所述第三公钥
Figure FDA00035807333600000328
为所述服务提供设备生成的一个秘钥对。
8.如权利要求7所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述服务请求设备,具体还用于:
确定接收到的预设验证请求M2的第一加密结果
Figure FDA0003580733360000041
中第二虚拟身份
Figure FDA0003580733360000042
是否为所述第一虚拟身份
Figure FDA0003580733360000043
如果是,则从所述第一加密结果
Figure FDA0003580733360000044
中获得的所述第三公钥
Figure FDA0003580733360000045
通过所述第三公钥
Figure FDA0003580733360000046
将所述第一虚拟身份
Figure FDA0003580733360000047
加密,获得第二加密结果
Figure FDA0003580733360000048
并将包括所述第二加密结果
Figure FDA0003580733360000049
的预设验证响应M3发送给所述服务提供设备,其中,
Figure FDA00035807333600000410
所述(r+2)用于判断所述M3是否被篡改。
9.如权利要求8所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述服务提供设备,具体还用于:
响应于接收到所述服务请求设备发送的预设验证响应M3,通过所述第三私钥
Figure FDA00035807333600000411
对所述预设验证响应M3中的第二加密结果
Figure FDA00035807333600000412
进行解密,以确定所述预设验证响应M3中的第一虚拟身份
Figure FDA00035807333600000413
是否为所述第二虚拟身份
Figure FDA00035807333600000414
如果确定出所述预设验证响应M3中的第一虚拟身份
Figure FDA00035807333600000415
为所述第二虚拟身份
Figure FDA00035807333600000416
则发送一个确认指示给所述服务请求设备,所述确认指示用于指示出所述服务请求设备成功访问所述服务提供设备。
10.如权利要求9所述基于相互验证机制进行访问控制的IDaaS***,其特征在于,
所述服务请求设备,还用于:
接收到所述服务提供设备发送的确认指示之后,将获取的学生隐私数据加密后,发送给所述服务提供设备;所述学生隐私数据包括:学生的人脸图像、成绩、档案或家庭背景。
CN202210351647.3A 2022-03-28 2022-04-02 基于相互验证机制进行访问控制的IDaaS*** Pending CN114928469A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202220690604 2022-03-28
CN2022206906043 2022-03-28

Publications (1)

Publication Number Publication Date
CN114928469A true CN114928469A (zh) 2022-08-19

Family

ID=82805599

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210351647.3A Pending CN114928469A (zh) 2022-03-28 2022-04-02 基于相互验证机制进行访问控制的IDaaS***

Country Status (1)

Country Link
CN (1) CN114928469A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110401615A (zh) * 2018-04-24 2019-11-01 广东工业大学 一种身份认证方法、装置、设备、***及可读存储介质
CN111245870A (zh) * 2020-04-26 2020-06-05 国网电子商务有限公司 基于移动终端的身份认证方法及相关装置
US20200412554A1 (en) * 2017-12-26 2020-12-31 Sangmyung University Cheonan Council For Industry-Academic Cooperation Foundation Id as service based on blockchain
CN113407361A (zh) * 2021-05-27 2021-09-17 中国联合网络通信集团有限公司 桌面访问控制方法和***

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200412554A1 (en) * 2017-12-26 2020-12-31 Sangmyung University Cheonan Council For Industry-Academic Cooperation Foundation Id as service based on blockchain
CN110401615A (zh) * 2018-04-24 2019-11-01 广东工业大学 一种身份认证方法、装置、设备、***及可读存储介质
CN111245870A (zh) * 2020-04-26 2020-06-05 国网电子商务有限公司 基于移动终端的身份认证方法及相关装置
CN113407361A (zh) * 2021-05-27 2021-09-17 中国联合网络通信集团有限公司 桌面访问控制方法和***

Similar Documents

Publication Publication Date Title
CN106612180B (zh) 实现会话标识同步的方法及装置
US20220191012A1 (en) Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System
KR101226651B1 (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
CN114726643B (zh) 云平台上的数据存储、访问方法及装置
KR100670005B1 (ko) 모바일 플랫폼을 위한 메모리의 무결성을 원격으로 확인하는 확인장치 및 그 시스템 그리고 무결성 확인 방법
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
WO2017164159A1 (ja) 1:n生体認証・暗号・署名システム
US9401059B2 (en) System and method for secure voting
EP3132368B1 (en) Method and apparatus of verifying usability of biological characteristic image
US10021077B1 (en) System and method for distributing and using signed send tokens
KR20010052105A (ko) 생체 측정 데이터를 이용한 암호키 발생
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
CN108616531B (zh) 一种射频信号安全通信方法及***
CN102217277A (zh) 基于令牌进行认证的方法和***
EP2901351A1 (en) Device, method, and system for controlling access to web objects of a webpage or web-brower application
CN110690956B (zh) 双向认证方法及***、服务器和终端
CN112565265B (zh) 物联网终端设备间的认证方法、认证***及通讯方法
CN111740995B (zh) 一种授权认证方法及相关装置
CN117240625B (zh) 一种涉及防篡改的数据处理方法、装置及电子设备
JP2005197912A (ja) 情報開示制御方法、情報開示制御プログラム、ならびに、耐タンパ装置
CN105191332B (zh) 用于在未压缩的视频数据中嵌入水印的方法和设备
CN116743470A (zh) 业务数据加密处理方法及装置
WO2020183250A1 (en) A system for generation and verification of identity and a method thereof
JP2018133739A (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
US20060200667A1 (en) Method and system for consistent recognition of ongoing digital relationships

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination