CN117118750A - 基于白盒密码的数据共享方法、装置、电子设备及介质 - Google Patents
基于白盒密码的数据共享方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN117118750A CN117118750A CN202311368306.8A CN202311368306A CN117118750A CN 117118750 A CN117118750 A CN 117118750A CN 202311368306 A CN202311368306 A CN 202311368306A CN 117118750 A CN117118750 A CN 117118750A
- Authority
- CN
- China
- Prior art keywords
- access
- information
- user
- determining
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000012795 verification Methods 0.000 claims abstract description 175
- 238000006243 chemical reaction Methods 0.000 claims description 59
- 230000002159 abnormal effect Effects 0.000 claims description 50
- 230000014509 gene expression Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 3
- 230000010354 integration Effects 0.000 description 9
- 230000002829 reductive effect Effects 0.000 description 8
- 238000000605 extraction Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000001815 facial effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种基于白盒密码的数据共享方法、装置、电子设备及介质,方法包括当检测到用户访问共享数据库时的访问请求信息时,根据访问请求信息获取用户对应的第一身份验证信息,得到第一匹配结果;当访问地址为预存访问地址时,获取用户在访问时刻对应的动态密钥;根据访问请求信息确定用户在访问共享数据库时的访问程序,并从访问程序中确定预设程序标识;根据当前访问时刻,确定预设程序标识对应的目标加密验证信息,根据动态密钥还原目标加密验证信息,得到第二身份验证信息;根据预存第二身份信息相匹配得到第二匹配结果;根据第一匹配结果和第二匹配结果,对用户进行身份验证。本申请具能够提高数据共享过程中的安全性。
Description
技术领域
本申请涉及安全加密技术领域,尤其是涉及一种基于白盒密码的数据共享方法、装置、电子设备及介质。
背景技术
随着信息时代的发展,数据共享越来越被广泛应用于各种场景,例如不同部门、不同网域之间可建立包含有不同部门和不同网域的网络资产的共享数据库,通过共享数据库可以使属于不同部门或不同网域的访问者充分利用共享数据库内的已有数据资源,而不需要访问者进行大量资料收集以及数据采集等重复劳动。
但是在跨行业商业***中可能存在大量不可信任终端,当不可信任终端访问共享数据库时可能会给共享数据库的安全性带来很大的挑战,为了保证共享数据库中的共享数据的安全性,现亟需一种安全数据共享方法。
发明内容
为了提高数据共享过程中的安全性,本申请提供一种基于白盒密码的数据共享方法、装置、电子设备及介质。
第一方面,本申请提供一种基于白盒密码的数据共享方法,采用如下的技术方案:
一种基于白盒密码的数据共享方法,包括:
当检测到用户访问共享数据库时的访问请求信息时,根据所述访问请求信息获取所述用户对应的第一身份验证信息,所述第一身份验证信息包括用户账号和用户密码;
将所述第一身份验证信息与预存第一身份验证信息相匹配,得到第一匹配结果;
根据所述访问请求信息,确定所述用户的访问地址和访问时刻,当所述访问地址为预存访问地址时,获取所述用户在所述访问时刻对应的动态密钥;
根据所述访问请求信息确定所述用户在访问所述共享数据库时的访问程序,并从所述访问程序中确定预设程序标识;
根据所述访问时刻,和程序标识与加密验证信息的对应关系,确定所述预设程序标识对应的目标加密验证信息,根据所述动态密钥还原所述目标加密验证信息,得到第二身份验证信息;
将所述第二身份验证信息与预存第二身份信息相匹配,得到第二匹配结果;
根据所述第一匹配结果和所述第二匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
通过采用上述技术方案,通过对访问共享数据库的用户进行双重身份验证,能够降低用户账号密码被盗取而发生数据泄露的损失,通过使用账号和密码对访问者进行身份验证之外,还对用户的访问地址是否为预存访问地址进行判定,通过限定访问地址以防止未经授权的用户或者黑客通过盗窃账号密码的形式访问共享数据库,从而能够保障共享数据库内数据的安全,当确定出访问地址为预存访问地址时,基于访问时刻对应的动态密钥对访问者二次进行身份验证,动态密钥可以有效的防止黑客攻击,由于不同访问时刻对应的动态密钥不同,即使黑客截获到了某时刻的动态密钥,也无法对未来时刻的动态密钥进行预测,因此通过使用动态密钥进行身份验证,便于进一步提升身份验证时的准确性,在进行第二次身份验证时,将加密验证信息与访问程序进行绑定,可根据用户对应的访问程序直接获取加密验证信息,而不需要再次将加密验证信息进行数据传输,以便于降低加密验证信息在传输过程中被黑客截取的概率,从而便于降低黑客访问成功的概率,进而便于提高数据共享过程中的安全性。
在一种可能实现的方式中,动态密钥的形成过程,包括:
当所述用户为新用户时,将所述用户的访问地址和账号信息进行整合得到整合信息,并将所述整合信息进行格式转换得到字符信息,所述账号信息包括用户账号和用户密码;
按照预设转换频率将所述字符信息进行表达式转换得到对应的加密验证信息,并记录每次表达式转换过程对应的转换规则;
根据所述预设转换频率和每次转换对应的转换规则形成动态密钥。
通过采用上述技术方案,通过字符转换和表达式转换将用户的访问地址和账号信息进行多层加密处理以得到正则信息,通过多层加密便于提高加密信息的安全性,由于同一个字符信息能够采用多个不同的表达式进行转换,即,同一字符信息在进行表达式转换时对应多条不同的转换规则,通过预设频率切换当前时刻对应的转换规则形成的动态密钥进行身份验证,而不是采用固定密钥进行身份验证,有助于提升身份验证时的安全性和准确性。
在一种可能实现的方式中,所述确定所述用户的访问地址和访问时刻之后,还包括:
当所述访问地址不是预存访问地址时,生成生物特征获取提示信息,并将所述生物特征获取提示信息反馈至所述用户对应的终端设备,所述生物特征获取提示信息中包含至少一种待获取生物特征;
获取所述用户上传的生物特征,将所述生物特征与所述用户对应的预存生物特征相匹配,得到生物特征匹配结果;
根据所述第一匹配结果和所述生物特征匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
通过采用上述技术方案,当检测到用户未使用预存访问地址进行访问时,可能由于该用户在进行异地登录,也可能由于该用户的账号信息被盗取,而被黑客或其他未经授权的用户在进行异地登录,此时需要对登录该账号的用户进行生物特征提取,通过提取到的生物特征对该用户的身份进行验证,由于用户的生物特征是独一无二的,因此使用生物特征进行身份验证可以有效地防止冒充和伪造。
在一种可能实现的方式中,所述生成生物特征获取提示信息之前,还包括:
根据历史登录信息,确定第一预设时间段内所述用户账号对应的每个异地登录地址和与每个异地登录地址相对应的历史异地登录时刻;
根据历史生物验证信息,确定每个历史异地登录时刻的异地登录地址对应的历史生物特征匹配结果,所述历史生物特征匹配结果包括匹配和不匹配;
统计所述第一预设时间段内,每个异地登录地址对应的历史生物特征匹配结果为匹配的结果数量;
根据所述结果数量与预设数量阈值,确定所述异地登录地址的地址类型,根据所述地址类型确定所述生物特征获取提示信息中待获取生物特征数量所述地址类型包括信任地址和非信任地址;
根据地址类型与生物特征识别数量的对应关系,确定所述地址类型对应的生物特征识别数量。
通过采用上述技术方案,在确定获取生物特征指令中的待获取生物特征数量时,可以通过异地登录地址的地址类型进行确定,当地址类型为信任地址时,即表征该异地登录地址的安全级别较高,此时可降低待获取生物特征的数量,从而便于提升数据处理速率,当地址类型为非信任地址时,即表征该异地登录地址的安全级别较低,此时,可增加待获取生物特征数量,以便于提升身份验证时的准确度。
在一种可能实现的方式中,该方法还包括:
根据历史登录信息,获取第二预设时间段内每个用户账号对应的异地登录地址数量;
将异地登录地址数量超过预设阈值的用户账号确定为异常账号;
根据历史访问数据,确定所述异常账号采用预存访问地址登录时的最新历史访问数据;
根据随机数算法确定随机值;
获取所述最新历史访问数据对应的链接地址,并根据随机值从所述链接地址中确定关联账号;
将所述关联账号发送至所述预存访问地址对应的终端设备。
通过采用上述技术方案,当用户账号被多次异地登录,并且每次异地登录的地址还不同时,表征该用户账号存在风险,此时可通过生成该异常账号的关联账号,通过关联账号对共享数据库进行访问,便于提升访问过程中的安全性,确定关联账号时根据该异常账号上一次正常访问共享数据库时访问的数据对应的链接地址进行随机确定,通过链接地址随机生成的关联账号与原用户账号差异性较大,因此,相关黑客或攻击人员很难根据原用户账号联想到该关联账号,从而便于提升利用关联账号访问共享数据库时的安全性。
在一种可能实现的方式中,所述根据所述第一匹配结果和所述第二匹配结果,对所述用户进行身份验证之后,还包括:
若所述用户的身份验证成功,则获取所述用户的访问需求信息,所述访问需求信息包括待访问信息标识和待访问操作类型,所述待访问操作类型包括查看和编辑;
根据所述访问需求信息确定访问需求等级;
根据所述访问需求等级,确定访问验证指令,并将所述访问验证指令反馈至登录所述用户账号的终端设备,所述访问验证指令用于表征待获取验证标识;
当接收到所述用户上传的访问验证标识后,将所述访问验证标识与所述访问验证指令对应的预存访问验证标识相匹配,得到访问验证匹配值;
当所述访问验证匹配值高于预设访问验证匹配值时,允许所述用户根据所述访问需求信息访问所述共享数据库。
通过采用上述技术方案,当需要对安全级别较高的数据进行访问时,通过对访问者进行访问验证以便于对数据进行保护,不同安全级别的数据对应的访问验证指令不同,即不同安全级别的数据对应的访问验证要求不同,根据每个数据对应的访问需求等级,确定每个数据对应的验证要求,便于提升确定访问验证匹配结果时的准确性。
在一种可能实现的方式中,所述根据所述访问需求信息确定访问需求等级,包括:
根据历史异常数据,确定所述待访问信息标识所对应的待访问需求信息在第三预设时间段内出现异常访问的次数;
根据异常访问次数和异常访问次数与第一预设权重的对应关系,确定所述待访问需求信息的目标第一权重;
根据所述待访问信息标识和待访问操作类型确定所述待访问需求信息的标识操作类型,根据标识操作类型与第二预设权重的对应关系,确定所述待访问需求信息的目标第二权重;
根据所述待访问需求信息的所述目标第一权重和所述目标第二权重,确定所述待访问需求信息的目标权重,并根据所述目标权重和目标权重与访问需求等级的对应关系,确定所述目标权重对应的访问需求等级。
通过采用上述技术方案,通过对待访问信息的历史访问过程中出现异常的次数进行统计,以确定该待访问信息的安全等级,由于不同的待访问信息标识对应的访问等级也不同,不同的操作类型对应的访问等级也不同,通过将待访问信息标识与需要对待访问信息进行操作的操作类型进行组合,共同确定待访问信息的访问等级,便于提升确定访问需求等级时的准确度。
第二方面,本申请提供一种基于白盒密码的数据共享装置,采用如下的技术方案:
一种基于白盒密码的数据共享装置,包括:
获取第一身份验证信息模块,用于当检测到用户访问共享数据库时的访问请求信息时,根据所述访问请求信息获取所述用户对应的第一身份验证信息,所述第一身份验证信息包括用户账号和用户密码;
确定第一匹配结果模块,用于将所述第一身份验证信息与预存第一身份验证信息相匹配,得到第一匹配结果;
获取动态密钥模块,用于根据所述访问请求信息,确定所述用户的访问地址和访问时刻,当所述访问地址为预存访问地址时,获取所述用户在所述访问时刻对应的动态密钥;
确定程序标识模块,用于根据所述访问请求信息确定所述用户在访问所述共享数据库时的访问程序,并从所述访问程序中确定预设程序标识;
确定第二身份验证信息模块,用于根据所述访问时刻,和程序标识与加密验证信息的对应关系,确定所述预设程序标识对应的目标加密验证信息,根据所述动态密钥还原所述目标加密验证信息,得到第二身份验证信息;
确定第二匹配结果模块,用于将所述第二身份验证信息与预存第二身份信息相匹配,得到第二匹配结果;
身份验证模块,用于根据所述第一匹配结果和所述第二匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
通过采用上述技术方案,通过对访问共享数据库的用户进行双重身份验证,能够降低用户账号密码被盗取而发生数据泄露的损失,通过使用账号和密码对访问者进行身份验证之外,还对用户的访问地址是否为预存访问地址进行判定,通过限定访问地址以防止未经授权的用户或者黑客通过盗窃账号密码的形式访问共享数据库,从而能够保障共享数据库内数据的安全,当确定出访问地址为预存访问地址时,基于访问时刻对应的动态密钥对访问者二次进行身份验证,动态密钥可以有效的防止黑客攻击,由于不同访问时刻对应的动态密钥不同,即使黑客截获到了某时刻的动态密钥,也无法对未来时刻的动态密钥进行预测,因此通过使用动态密钥进行身份验证,便于进一步提升身份验证时的准确性,在进行第二次身份验证时,将加密验证信息与访问程序进行绑定,可根据用户对应的访问程序直接获取加密验证信息,而不需要再次将加密验证信息进行数据传输,以便于降低加密验证信息在传输过程中被黑客截取的概率,从而便于降低黑客访问成功的概率,进而便于提高数据共享过程中的安全性。
在一种可能实现的方式中,该装置还包括:
整合信息模块,用于当所述用户为新用户时,将所述用户的访问地址和账号信息进行整合得到整合信息,并将所述整合信息进行格式转换得到字符信息,所述账号信息包括用户账号和用户密码;
表达式转换模块,用于按照预设转换频率将所述字符信息进行表达式转换得到对应的加密验证信息,并记录每次表达式转换过程对应的转换规则;
确定动态密钥模块,用于根据所述预设转换频率和每次转换对应的转换规则形成动态密钥。
在一种可能实现的方式中,该装置还包括:
生物特征提取模块,用于当所述访问地址不是预存访问地址时,生成生物特征获取提示信息,并将所述生物特征获取提示信息反馈至所述用户对应的终端设备,所述生物特征获取提示信息中包含至少一种待获取生物特征;
生物特征匹配模块,用于获取所述用户上传的生物特征,将所述生物特征与所述用户对应的预存生物特征相匹配,得到生物特征匹配结果;
生物验证模块,用于根据所述第一匹配结果和所述生物特征匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
在一种可能实现的方式中,该装置还包括:
确定异地登录信息模块,用于根据历史登录信息,确定第一预设时间段内所述用户账号对应的每个异地登录地址和与每个异地登录地址相对应的历史异地登录时刻;
确定历史生物特征匹配结果模块,用于根据历史生物验证信息,确定每个历史异地登录时刻的异地登录地址对应的历史生物特征匹配结果,所述历史生物特征匹配结果包括匹配和不匹配;
统计结果模块,用于统计所述第一预设时间段内,每个异地登录地址对应的历史生物特征匹配结果为匹配的结果数量;
确定地址类型模块,用于根据所述结果数量与预设数量阈值,确定所述异地登录地址的地址类型,根据所述地址类型确定所述生物特征获取提示信息中待获取生物特征数量所述地址类型包括信任地址和非信任地址;
确定生物标识数量模块,用于根据地址类型与生物特征识别数量的对应关系,确定所述地址类型对应的生物特征识别数量。
在一种可能实现的方式中,该装置还包括:
获取异地登录信息模块,用于根据历史登录信息,获取第二预设时间段内每个用户账号对应的异地登录地址数量;
确定异常账号模块,用于将异地登录地址数量超过预设阈值的用户账号确定为异常账号;
确定历史访问数据模块,用于根据历史访问数据,确定所述异常账号采用预存访问地址登录时的最新历史访问数据;
确定随机值模块,用于根据随机数算法确定随机值;
确定关联账号模块,用于获取所述最新历史访问数据对应的链接地址,并根据随机值从所述链接地址中确定关联账号;
关联账号反馈模块,用于将所述关联账号发送至所述预存访问地址对应的终端设备。
在一种可能实现的方式中,该装置还包括:
获取访问需求模块,用于若所述用户的身份验证成功,则获取所述用户的访问需求信息,所述访问需求信息包括待访问信息标识和待访问操作类型,所述待访问操作类型包括查看和编辑;
确定需求等级模块,用于根据所述访问需求信息确定访问需求等级;
确定验证指令模块,用于根据所述访问需求等级,确定访问验证指令,并将所述访问验证指令反馈至登录所述用户账号的终端设备,所述访问验证指令用于表征待获取验证标识;
验证标识匹配模块,用于当接收到所述用户上传的访问验证标识后,将所述访问验证标识与所述访问验证指令对应的预存访问验证标识相匹配,得到访问验证匹配值;
控制访问模块,用于当所述访问验证匹配值高于预设访问验证匹配值时,允许所述用户根据所述访问需求信息访问所述共享数据库。
在一种可能实现的方式中,确定需求等级模块在根据所述访问需求信息确定访问需求等级时,具体用于:
根据历史异常数据,确定所述待访问信息标识所对应的待访问需求信息在第三预设时间段内出现异常访问的次数;
根据异常访问次数和异常访问次数与第一预设权重的对应关系,确定所述待访问需求信息的目标第一权重;
根据所述待访问信息标识和待访问操作类型确定所述待访问需求信息的标识操作类型,根据标识操作类型与第二预设权重的对应关系,确定所述待访问需求信息的目标第二权重;
根据所述待访问需求信息的所述目标第一权重和所述目标第二权重,确定所述待访问需求信息的目标权重,并根据所述目标权重和目标权重与访问需求等级的对应关系,确定所述目标权重对应的访问需求等级。
第三方面,本申请提供一种电子设备,采用如下的技术方案:
一种电子设备,该电子设备包括:
至少一个处理器;
存储器;
至少一个应用程序,其中所述至少一个应用程序被存储在存储器中并被配置为由至少一个处理器执行,所述至少一个应用程序配置用于:执行上述基于白盒密码的数据共享方法。
第四方面,本申请提供一种计算机可读存储介质,采用如下的技术方案:
一种计算机可读存储介质,包括:存储有能够被处理器加载并执行上述基于白盒密码的数据共享方法的计算机程序。
综上所述,本申请包括以下至少一种有益技术效果:
通过对访问共享数据库的用户进行双重身份验证,能够降低用户账号密码被盗取而发生数据泄露的损失,通过使用账号和密码对访问者进行身份验证之外,还对用户的访问地址是否为预存访问地址进行判定,通过限定访问地址以防止未经授权的用户或者黑客通过盗窃账号密码的形式访问共享数据库,从而能够保障共享数据库内数据的安全,当确定出访问地址为预存访问地址时,基于访问时刻对应的动态密钥对访问者二次进行身份验证,动态密钥可以有效的防止黑客攻击,由于不同访问时刻对应的动态密钥不同,即使黑客截获到了某时刻的动态密钥,也无法对未来时刻的动态密钥进行预测,因此通过使用动态密钥进行身份验证,便于进一步提升身份验证时的准确性,在进行第二次身份验证时,将加密验证信息与访问程序进行绑定,可根据用户对应的访问程序直接获取加密验证信息,而不需要再次将加密验证信息进行数据传输,以便于降低加密验证信息在传输过程中被黑客截取的概率,从而便于降低黑客访问成功的概率,进而便于提高数据共享过程中的安全性。
当用户账号被多次异地登录,并且每次异地登录的地址还不同时,表征该用户账号存在风险,此时可通过生成该异常账号的关联账号,通过关联账号对共享数据库进行访问,便于提升访问过程中的安全性,确定关联账号时根据该异常账号上一次正常访问共享数据库时访问的数据对应的链接地址进行随机确定,通过链接地址随机生成的关联账号与原用户账号差异性较大,因此,相关黑客或攻击人员很难根据原用户账号联想到该关联账号,从而便于提升利用关联账号访问共享数据库时的安全性。
附图说明
图1是本申请实施例中一种基于白盒密码的数据共享方法的流程示意图;
图2是本申请实施例中一种访问需求等级确定流程示例图;
图3是本申请实施例中一种基于白盒密码的数据共享装置的结构示意图;
图4是本申请实施例中一种电子设备的结构示意图。
具体实施方式
以下结合附图1-4对本申请作进一步详细说明。
本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改,但只要在本申请的权利要求范围内都受到专利法的保护。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
具体的,本申请实施例提供了一种基于白盒密码的数据共享方法,由电子设备执行,该电子设备可以为服务器也可以为终端设备,其中,该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机等,但并不局限于此,该终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做限制。
参考图1,图1是本申请实施例中一种基于白盒密码的数据共享方法的流程示意图,该方法包括步骤S110-步骤S170,其中:
步骤S110:当检测到用户访问共享数据库时的访问请求信息时,根据访问请求信息获取用户对应的第一身份验证信息,第一身份验证信息包括用户账号和用户密码。
具体的,共享数据库为通过一个数据库管理***对多个应用程序或网域进行共同管理的数据库,共享数据库中包含有来自不同应用程序、不同网域对应的数据信息,通过共享数据库能够实现数据跨域共享。但是,由于共享数据库内包含大量不同应用程序和不同网域的数据,因此共享数据库的安全性尤为重要,为了提高数据共享过程的安全性,需要对访问者的身份进行验证,其中,可以通过用户账号和用户密码进行登录验证。访问请求信息用于表征用户访问共享数据库之前生成的访问请求指令,电子设备在接收到用户发出的访问请求指令后,可根据访问请求指令跳转至用户登录界面,并以此获取用户账号和用户密码,访问请求信息可由用户通过用户终端发送至电子设备,还可以由用户触发电子设备的相应位置后生成,访问请求信息的形成方式在本申请实施例中不做具体限定,只要能够根据访问请求信息获取到用户账号和用户密码即可。
步骤S120:将第一身份验证信息与预存第一身份验证信息相匹配,得到第一匹配结果。
具体的,预存身份第一身份验证信息为用户第一次访问共享数据库时注册的账号信息,将第一身份验证信息与预存第一身份验证信息进行匹配时,通过将第一身份验证信息中的用户账号与注册时的账号相匹配,将第一身份验证信息中的用户密码与注册时的密码相匹配,得到第一匹配结果,第一匹配结果包括匹配成功和匹配失败,当用户账号与注册时的账号相同,并且用户密码与注册时的密码相同时,确定第一匹配结果为匹配成功。
步骤S130:根据访问请求信息,确定用户的访问地址和访问时刻,当访问地址为预存访问地址时,获取用户在访问时刻对应的动态密钥。
具体的,访问请求信息中还包括用户访问记录信息,其中用户访问记录信息中包括用户访问共享数据库时的访问IP地址和访问时刻,访问IP地址为用户在访问时刻访问共享数据库时的前端设备对应的IP地址。预存访问地址为用户第一次访问共享数据时的访问地址,具体的预存访问地址在本申请实施例中不做具体限定,由用户首次访问共享数据库时的实际访问地址进行确定,在本申请实施例中默认预存访问地址对应的终端设备设置有设备密钥,安全级别更高,若黑客或其他恶意攻击者想要采用预存访问地址对应的设备进行账号登录,还需对该设备设置的设备密钥进行破解,因此在进行第二身份验证之前,需对访问地址是否为预存访问地址进行判断,以便于进一步提升访问者访问共享数据时的安全性,当访问地址为预存访问地址时,再进行动态密钥获取,若访问请求信息中的访问地址不是预存访问地址,则不进行动态密钥获取。
由于Web 服务器会记录访问者的IP地址信息,并将其存储在访问日志中,因此在根据访问请求信息确定用户的访问地址时,可通过从访问请求信息中确定用户标识,再根据用户标识从Web 服务器日志中确定该用户在访问共享数据库时采用的访问IP地址,其中,用户标识可以为用户账号,在本申请实施例中不做具体限定,只要能够用于表征该用户即可,通过将Web服务器日志中确定出的访问IP地址与预存访问地址相匹配,便可以确定出该用户的访问地址是否为预存访问地址。
动态密钥是在对用户身份信息进行加密后生成的,用于记录加密过程,通过动态密钥可将加密后的身份信息复还,不同的访问时刻对应的动态密钥不同,只有当前访问时刻对应的动态密钥才能复原当前访问时刻对应的加密信息。
步骤S140:根据访问请求信息确定用户在访问共享数据库时的访问程序,并从访问程序中确定预设程序标识。
具体的,访问程序为用户发送访问请求信息时,用户终端设备对应的运行程序,不同的用户对应的用户源码不同,预设程序标识可以为用户源码中的部分程序,也可以为用户源码中的变量名称,具体的预设程序标识在本申请实施例中不做具体限定,可由相关技术人员进行设定,只要能够通过预设程序表示确定出对应的用户即可。用户终端设备对应的运行程序可由用户终端设备上传至电子设备。从访问程序中确定预设程序标识时,可将预设程序标识作为目标标识特征,根据该目标标识特征,从访问程序中进行遍历,以确定用户源码中包含的预设程序标识。
步骤S150:根据访问时刻,和程序标识与加密验证信息的对应关系,确定预设程序标识对应的目标加密验证信息,根据动态密钥还原目标加密验证信息,得到第二身份验证信息。
具体的,程序标识与加密验证信息的对应关系中包含有多组加密用户身份信息与对应用户程序标识之间的对应关系,具体的程序标识与加密验证信息的对应关系,在本申请实施例中不做具体限定,可由相关技术人员进行增删或修改。加密验证信息为加密后的用户身份信息,通过建立程序标识与加密验证信息的对应关系,通过程序标识与加密验证信息的对应关系能够确定任一程序标识对应的加密验证信息。根据动态密钥还原目标加密验证信息时,主要通过将加密过程进行逆序操作以还原目标加密验证信息。
步骤S160:将第二身份验证信息与预存第二身份信息相匹配,得到第二匹配结果。
具体的,第二匹配结果包括匹配成果和匹配不成功,若还原后的第二身份验证信息与预存第二身份信息一致,则确定第二匹配结果为匹配成功,若还原后的第二身份验证信息与预存第二身份验证信息不一致,则确定第二匹配结果为匹配不成功。
步骤S170:根据第一匹配结果和第二匹配结果,对用户进行身份验证,若身份验证成功,则允许用户对共享数据库进行访问。
具体的,当第一匹配结果与第二匹配结果均为匹配成功时,才允许该用户访问共享数据库。
对于本申请实施例,通过对访问共享数据库的用户进行双重身份验证,能够降低用户账号密码被盗取而发生数据泄露的损失,通过使用账号和密码对访问者进行身份验证之外,还对用户的访问地址是否为预存访问地址进行判定,通过限定访问地址以防止未经授权的用户或者黑客通过盗窃账号密码的形式访问共享数据库,从而能够保障共享数据库内数据的安全,当确定出访问地址为预存访问地址时,基于访问时刻对应的动态密钥对访问者二次进行身份验证,动态密钥可以有效的防止黑客攻击,由于不同访问时刻对应的动态密钥不同,即使黑客截获到了某时刻的动态密钥,也无法对未来时刻的动态密钥进行预测,因此通过使用动态密钥进行身份验证,便于进一步提升身份验证时的准确性,在进行第二次身份验证时,将加密验证信息与访问程序进行绑定,可根据用户对应的访问程序直接获取加密验证信息,而不需要再次将加密验证信息进行数据传输,以便于降低加密验证信息在传输过程中被黑客截取的概率,从而便于降低黑客访问成功的概率,进而便于提高数据共享过程中的安全性。
进一步地,由于不同访问时刻获取到的动态密钥不同,因此通过使用动态密钥对用户进行二次身份验证时可以有效防止黑客攻击,其中,动态密钥的形成过程包括:
当用户为新用户时,将用户的访问地址和账号信息进行整合得到整合信息,并将整合信息进行格式转换得到字符信息,账号信息包括用户账号和用户密码;按照预设转换频率将字符信息进行表达式转换得到对应的加密验证信息,并记录每次表达式转换过程对应的转换规则;根据预设转换频率和每次转换对应的转换规则形成动态密钥。
具体的,动态密钥是根据用户账号信息和该用户首次访问共享数据库时采用的访问地址构成的,因此动态密钥是在用户为新用户时生成的,即,动态密钥是在用户首次访问共享数据库时生成的。将用户的访问地址、用户账号以及用户密码进行整合,即按照随机算法生成的随机排列位置,将用户的访问地址、用户账号以及用户密码进行排列,例如,用户的访问地址为192.168.0.1,用户账号为12345,用户密码为abcd,根据随机算法生成的随机排列位置为用户账号、访问地址、用户密码,因此按照随机生成的随机排列位置进行排列后,形成的整合信息为12345/19216801/abcd,通过随机算法确定随机排列位置而不是采用固定整合方式进行整合,便于提升整合信息的私密性。
将整合信息进行格式转换得到字符信息时,可以通过将整合信息转换成ASCII码格式,例如,整合信息为“12345/19216801/abcd”转化为ASCII码格式后得到的字符信息为“49 50 51 52 53 47 49 57 50 46 49 54 56 46 48 49 47 97 98 99 100”,其中,ASCII码是一种字符编码标准,定义了128个字符(包括字母、数字和符号)的编码方式,对整合信息进行格式转换的方式在本申请实施例中不做具体限定,只要转换后的字符信息与整合信息相对应即可。
将进行格式转换后的字符信息进行表达式转换,即将字符信息以另一种方式展示出来,但是进行表达式转换后得到的加密验证信息与字符信息含义相同,其中,在对字符信息进行表达转换时,可将字符信息转换为正则表达式,得到的加密验证信息即为字符信息对应的正则表达式,正则表达式是一种基于字符匹配的字符串处理语法,用来描述一种特定模式的字符串,这个模式可以用来替换字符信息,正则表达式包含一些特殊字符和每个特征字符用于表征的含义和用法,例如可以用“ [xyz]”匹配集合内所包含的任意一个字符,即“[abc]”可以匹配“plain”中的“a”;例如“ \B”能够匹配非单词边界,如“a\B”能匹配“car”中的“a”,由于,相同的字符可采用不同的正则表达式进行表示,因此可采用预设转换频率将字符信息转换成不同的加密验证信息,对应的也会生成多个转换规则,其中,每一转换规则均有对应的加密验证信息,预设转换频率与对应的转换规则共同构成动态密钥,通过预设转换频率便于确定出当前访问时刻对应的目标动态密钥,其中,预设转换频率可以为30分钟切换一次,也可以为1小时切换一次,在本申请实施例中不做具体限定,例如,现包含有6个转换规则,预设转换频率为1小时切换一次,因此,0-1点采用的转换规则为转换规则1;2-3点采用的转换规则为2,依次类推,根据当前访问时刻,能够从动态密钥中确定出当前访问时刻对应的目标转换规则,即当前访问时刻对应的目标动态密钥。
进一步地,在进行第二次身份验证时需保证该用户采用预存访问地址进行访问,但是也存在用户本人进行异地登录的情况,例如,预存访问地址对应的前端设备为公司终端,当用户本人在家中终端进行登录时,由于家中终端对应的访问IP地址与预存访问地址不同,因此该用户无法在家中对共享数据库进行访问,为了解决这一情况,该方法还包括:
当访问地址不是预存访问地址时,生成生物特征获取提示信息,并将生物特征获取提示信息反馈至用户对应的终端设备,生物特征获取提示信息中包含至少一种待获取生物特征;获取用户上传的生物特征,将生物特征与用户对应的预存生物特征相匹配,得到生物特征匹配结果;根据第一匹配结果和生物特征匹配结果,对用户进行身份验证,若身份验证成功,则允许用户对共享数据库进行访问。
具体的,当检测到用户可能存在异地登录时,为了能够在用户异地访问过程中对共享数据库内的共享数据进行保护,可采用生物特征识别的方式对使用异地登录的用户进行二次身份验证。电子设备生成生物特征获取提示信息之后,会将生成的生物特征获取提示信息反馈至用户当前进行异地登录的设备终端,以便于采集用户的生物特征,生物特征提示信息中包含需要采集的生物特征内容,可以包括人脸特征、声音特征、指纹特征等,在本申请实施例中不做具体限定,只要能够根据识别到的生物特征对该用户进行身份验证即可。
预存生物特征为该用户在首次访问共享数据库时录入的生物特征信息,包括人脸特征、声音特征、指纹特征等,对该用户进行生物特征采集时可以采集一种,也可以采集多种,采集生物特征的数量在本申请实施例中不做具体限定,将采取到的生物特征与预存生物特征相匹配时,可通过采集到的生物特征标识,从预存生物特征中确定目标预存生物特征,当采集到的生物特征与目标预存生物特征一致时,确定该用户的生物特征匹配结果成功。当第一匹配结果与生物特征匹配结果均匹配成功时,即表征该用户的身份验证成功,也即,允许该用户采用异地登录的形式访问共享数据库。
更进一步地,为了提高生物特征验证时的准确性和效率,在生成生物特征获取提示信息之前,还包括:
根据历史登录信息,确定第一预设时间段内用户账号对应的每个异地登录地址和与每个异地登录地址相对应的历史异地登录时刻;根据历史生物验证信息,确定每个历史异地登录时刻的异地登录地址对应的历史生物特征匹配结果,历史生物特征匹配结果包括匹配和不匹配;统计第一预设时间段内,每个异地登录地址对应的历史生物特征匹配结果为匹配的结果数量;根据结果数量与预设数量阈值,确定异地登录地址的目标地址类型,地址类型包括信任地址和非信任地址;根据地址类型与生物特征识别数量的对应关系,确定地址类型对应的生物特征识别数量。
具体的,若该用户经常采用同一异地登录地址对共享数据库进行访问,并且在多次异地登录过程中对应的生物特征匹配结果匹配成功概率较大,因此当再次检测到该用户又采用相同异地登录地址对共享数据库访问时,可减少获取生物特征的数量,例如,该用户在第一次采用某异登录地址访问共享数据库时,生成的生物特征获取提示信息中待获取生物特征的数量为3个,若在第一次异地登录之后,该用户又多次采用该异地登录地址对共享数据库进行访问,并且每次生物特征匹配结果均匹配成功,则下次再检测到该用户使用同一异地登录地址访问共享数据库时,生成的生物特征获取提示信息中待获取生物特征的数量可减少为1个或2个。
第一预设时间段可以为第一次异地登录之后的5天内、或一周内,具体的预设时间段在本申请实施例中不做具体限定,只要能够对该用户进行异地登录时的登录习惯进行确定即可。预设数量阈值可以为4,也可以为5,即在预设时间段内该用户采用同一异地登录地址访问共享数据库时,生物特征匹配成功的此时为4次,或5次,具体的预设阈值在本申请实施例中不做具体限定,可由相关技术人员进行设定。地址类型与生物特征识别数量的对应关系中包括信任地址对应的生物特征识别数量,和非信任地址对应的生物特征识别数量,其中当地址类型为信任地址时对应的生物特征识别数量可以为1个,也可以为2个,非信任地址对应的生物特征识别数量为4个也可以为5个,不同的地址类型对应的生物特征识别数量在本申请实施例中不做具体限定,可由相关技术人员进行设定,只要信任地址对应的生物特征数量低于非信任生物特征数量即可。
进一步地,当确定出该异地登录地址的类型为非信任地址时,若下次再检测到该异地登录地址对共享数据库进行访问,则生成警示信息,以提醒相关技术人员及时发现当前可能存在的恶意攻击,以对共享数据库进行保护。
进一步地,若用户账号信息被黑客或其他攻击人员盗取,则黑客或其他攻击人员可能会在多个不同的设备中登录该用户账号信息,因此该用户账号存在风险的概率较大,为了降低该用户账号的风险,该方法还包括:
根据历史登录信息,获取第二预设时间段内每个用户账号对应的异地登录地址数量;将异地登录地址数量超过预设阈值的用户账号确定为异常账号;根据历史访问数据,确定异常账号采用预存访问地址登录时的最新历史访问数据;根据随机数算法确定随机值;获取最新历史访问数据对应的链接地址,并根据随机值从链接地址中确定关联账号;将关联账号发送至预存访问地址对应的终端设备。
具体的,历史登录信息中包含有每个用户账号的登录信息,其中包括每个用户账号在历次登录过程中采用的登录地址,若某用户账号在第二预设时间段内在多个异地设备上进行登录,即,在第二预设时间段内登录某用户账号的异地登录地址不同,此时可通过统计第二预设时间段内登录该用户账号的异地设备数量,即统计预设时间段内登录该用户账号时采用的异地登录地址的数量,当异地登录地址数量超过预设阈值时,表征该用户账号可能存在风险,因此将该用户账号确定为异常账号,异常账号无法再次访问共享数据库,此时为了降低对用户造成的影响,可生成该用户账号的关联账号,以便于用户使用新生成的关联账号访问共享数据库。第二预设时间段可以为当前登录时刻之前的一周或两周,具体的第二预设时间段在本申请实施例中不做具体限定。
生成关联账号时,可通过随机算法随机生成符合账号要求的随机字符串,并将该随机字符串确定为关联账号,还可以根据该用户账号的历史访问数据生成关联账号,其中,采用历史访问数据生成关联账号时,可通过随机数算法生成符合账号要求的随机数组,将随机数组中每个随机数确定为链接字符位置,根据链接字符位置从最新历史访问数据对应的链接地址中进行字符抓取,将抓取后的字符确定为关联账号,例如,采用随机数算法确定出的随机数组中包含的随机数分别为1534897,最新历史访问数据对应的链接地址为abo://1234.2333/ABCDEFG,随机数与链接地址中相应字符的对应关系如表1所示:
表1
此时,生成的关联账号为“a/o:231”。生成关联账号的方式在本申请实施例中不做具体限定,只要关联账号与原用户账号不同即可,为了提升关联账号的安全性,生成的关联账号会反馈至预存访问地址对应的终端设备。
进一步地,为了进一步对共享数据库内的共享数据进行保护,该方法还包括:
若用户的身份验证成功,则获取用户的访问需求信息,访问需求信息包括待访问信息标识和待访问操作类型,待访问操作类型包括查看和编辑;根据访问需求信息确定访问需求等级;根据访问需求等级,确定访问验证指令,并将访问验证指令反馈至登录用户账号的终端设备;当接收到用户上传的访问验证标识后,将访问验证标识与访问验证指令对应的预存访问验证标识相匹配,得到访问验证匹配值;当访问验证匹配值高于预设访问验证匹配值时,允许用户根据访问需求信息访问共享数据库。
具体的,由于共享数据库内存放有不同网域的数据,共享数据量较大,因此可能会存在一些安全级别较高的数据,数据的安全级别与访问需求等级相对应,因此,该方法还包括步骤Sa、步骤Sb、步骤Sc、步骤Sd以及步骤Se,如图2所示,其中:
步骤Sa:若用户的身份验证成功,则获取用户的访问需求信息,访问需求信息包括待访问信息标识和待访问操作类型,待访问操作类型包括查看和编辑。
具体的,用户的访问需求信息可以由用户身份验证成功时对应的登录设备发送至电子设备,用户的访问需求信息与用户的访问请求信息不同,访问请求信息中不包含待访问信息标识,即通过访问请求信息无法得知该用户的访问目的,而访问需求信息中包含有该用户的访问目的,访问目的即访问需求信息包括有该用户访问共享数据库后需要访问的目标信息,以及对该目标信息进行的操作类型。
步骤Sb:根据访问需求信息确定访问需求等级。
具体的,共享数据库中每个共享数据均对应的一个信息标识,不同的信息标识对应的数据等级不同,通过信息标识可将共享数据库中的共享数据进行等级划分,确定共享数据库中每个共享数据对应的信息标识可由相关技术人员进行人工标定,还可以基于每个共享数据历史出现异常的次数进行确定,其中,根据访问需求信息确定访问需求等级,包括:
根据历史异常数据,确定待访问信息标识所对应的待访问需求信息在第三预设时间段内出现异常访问的次数;根据异常访问次数和异常访问次数与第一预设权重的对应关系,确定待访问需求信息的目标第一权重;根据待访问信息标识和待访问操作类型确定待访问需求信息的标识操作类型,根据标识操作类型与第二预设权重的对应关系,确定待访问需求信息的目标第二权重;根据待访问需求信息的目标第一权重和目标第二权重,确定待访问需求信息的目标权重,并根据目标权重和目标权重与访问需求等级的对应关系,确定目标权重对应的访问需求等级。
具体的,历史异常数据中包含有每个存在异常访问经历的共享数据所对应的异常时刻,其中异常访问包括访问数据丢失,多用户短时间内频繁访问等,异常访问的类型在本申请实施例中不做具体限定,只要存在异常访问经历即可,具体的异常访问类型可由相关技术人员进行限定。异常访问次数和异常访问次数与第一预设权重的对应关系中包含有不同异常访问次数各自对应的第一预设权重,其中,异常访问次数在0-3次时,对应的第一预设权重为20%;异常访问次数在4-6次时,对应的第一预设权重为30%;异常访问次数为6次以上时,对应的第一预设权重为50%,具体的异常访问次数与第一预设权重的对应关系在本申请实施例中不做具体限定,可由相关技术人员进行设定。第三预设时间段可以为2天,也可以为3天,具体的第三预设时间段在本申请实施例中不做具体限定。
由于操作类型包括查看和编辑,不同的操作类型对应的第二预设权重也是不同的,例如,操作类型为查看时,对应的第二预设权重为40%;操作类型为编辑时,对应的第二预设权重为60%。通过访问需求信息确定出用户待访问信息标识和待操作类型后,可计算出该待访问需求信息对应的目标权重,例如,某访问需求信息中包含的信息标识所对应的共享数据在第三预设时间段内出现访问异常的次数为3次,标识操作类型为编辑,因此,根据异常访问次数与第一预设权重的对应关系确定出该访问需求信息对应的目标第一权重为20%,根据标识操作类型与第二预设权重的对应关系确定出该访问需求信息对应的目标第二权重为60%,此时根据待访问需求信息的目标第一权重和目标第二权重,确定待访问需求信息的目标权重为80%。
目标权重与访问需求等级的对应关系可由相关技术人员进行设定,其中,当目标权重与访问需求等级的对应关系可以为目标权重为0-80%时,对应的访问需求等级为一级访问;当目标权重与访问需求等级的对应关系可以为目标权重为81-160%时,对应的访问需求等级为二级访问;当目标权重与访问需求等级的对应关系可以为目标权重为161-200%时,对应的访问需求等级为三级访问。
步骤Sc:根据访问需求等级,确定访问验证指令,并将访问验证指令反馈至登录用户账号的终端设备,访问验证指令用于表征待获取验证标识。
步骤Sd:当接收到用户上传的访问验证标识后,将访问验证标识与访问验证指令对应的预存访问验证标识相匹配,得到访问验证匹配值。
具体的,不同的访问需求等级对应的访问验证指令不同,即不同的访问需求等级对应的待获取验证标识可能不同,不同的访问需求等级对应的待获取验证标识的数量也可能不同,例如,访问需求等级为一级访问时,对应的访问验证指令中包含的待获取验证标识可能为A和B;访问需求等级为二级访问时,对应的访问验证指令中包含的待获取验证标识可能为A、B以及C,具体的访问验证指令对应的预存访问验证标识,在本申请实施例中不做具体限定,可由相关技术人员进行设定。
步骤Se:当访问验证匹配值高于预设访问验证匹配值时,允许用户根据访问需求信息访问共享数据库。
具体的,预设访问验证匹配值可以为98%,也可以为99%,具体的预设访问验证匹配值在本申请实施例中不做具体限定,可由相关技术人员进行设定。
对于本申请实施例,当需要对安全级别较高的数据进行访问时,通过对访问者进行访问验证以便于对数据进行保护,不同安全级别的数据对应的访问验证指令不同,即不同安全级别的数据对应的访问验证要求不同,根据每个数据对应的访问需求等级,确定每个数据对应的验证要求,便于提升确定访问验证匹配结果时的准确性。
上述实施例从方法流程的角度介绍一种基于白盒密码的数据共享方法,下述实施例从虚拟模块或者虚拟单元的角度介绍了一种基于白盒密码的数据共享装置,具体详见下述实施例。
本申请实施例提供一种基于白盒密码的数据共享装置,如图3所示,该装置具体可以包括获取第一身份验证信息模块310、确定第一匹配结果模块320、获取动态密钥模块330、确定程序标识模块340、确定第二身份验证信息模块350、确定第二匹配结果模块360以及身份验证模块370,其中:
获取第一身份验证信息模310,用于当检测到用户访问共享数据库时的访问请求信息时,根据访问请求信息获取用户对应的第一身份验证信息,第一身份验证信息包括用户账号和用户密码;
确定第一匹配结果模块320,用于将第一身份验证信息与预存第一身份验证信息相匹配,得到第一匹配结果;
获取动态密钥模块330,用于根据访问请求信息,确定用户的访问地址和访问时刻,当访问地址为预存访问地址时,获取用户在访问时刻对应的动态密钥;
确定程序标识模块340,用于根据访问请求信息确定用户在访问共享数据库时的访问程序,并从访问程序中确定预设程序标识;
确定第二身份验证信息模块350,用于根据访问时刻,和程序标识与加密验证信息的对应关系,确定预设程序标识对应的目标加密验证信息,根据动态密钥还原目标加密验证信息,得到第二身份验证信息;
确定第二匹配结果模块360,用于将第二身份验证信息与预存第二身份信息相匹配,得到第二匹配结果;
身份验证模块370,用于根据第一匹配结果和第二匹配结果,对用户进行身份验证,若身份验证成功,则允许用户对共享数据库进行访问。
在一种可能实现的方式中,该装置还包括:
整合信息模块,用于当用户为新用户时,将用户的访问地址和账号信息进行整合得到整合信息,并将整合信息进行格式转换得到字符信息,账号信息包括用户账号和用户密码;
表达式转换模块,用于按照预设转换频率将字符信息进行表达式转换得到对应的加密验证信息,并记录每次表达式转换过程对应的转换规则;
确定动态密钥模块,用于根据预设转换频率和每次转换对应的转换规则形成动态密钥。
在一种可能实现的方式中,该装置还包括:
生物特征提取模块,用于当访问地址不是预存访问地址时,生成生物特征获取提示信息,并将生物特征获取提示信息反馈至用户对应的终端设备,生物特征获取提示信息中包含至少一种待获取生物特征;
生物特征匹配模块,用于获取用户上传的生物特征,将生物特征与用户对应的预存生物特征相匹配,得到生物特征匹配结果;
生物验证模块,用于根据第一匹配结果和生物特征匹配结果,对用户进行身份验证,若身份验证成功,则允许用户对共享数据库进行访问。
在一种可能实现的方式中,该装置还包括:
确定异地登录信息模块,用于根据历史登录信息,确定第一预设时间段内用户账号对应的每个异地登录地址和与每个异地登录地址相对应的历史异地登录时刻;
确定历史生物特征匹配结果模块,用于根据历史生物验证信息,确定每个历史异地登录时刻的异地登录地址对应的历史生物特征匹配结果,历史生物特征匹配结果包括匹配和不匹配;
统计结果模块,用于统计第一预设时间段内,每个异地登录地址对应的历史生物特征匹配结果为匹配的结果数量;
确定地址类型模块,用于根据结果数量与预设数量阈值,确定异地登录地址的地址类型,根据地址类型确定生物特征获取提示信息中待获取生物特征数量地址类型包括信任地址和非信任地址;
确定生物标识数量模块,用于根据地址类型与生物特征识别数量的对应关系,确定地址类型对应的生物特征识别数量。
在一种可能实现的方式中,该装置还包括:
获取异地登录信息模块,用于根据历史登录信息,获取第二预设时间段内每个用户账号对应的异地登录地址数量;
确定异常账号模块,用于将异地登录地址数量超过预设阈值的用户账号确定为异常账号;
确定历史访问数据模块,用于根据历史访问数据,确定异常账号采用预存访问地址登录时的最新历史访问数据;
确定随机值模块,用于根据随机数算法确定随机值;
确定关联账号模块,用于获取最新历史访问数据对应的链接地址,并根据随机值从链接地址中确定关联账号;
关联账号反馈模块,用于将关联账号发送至预存访问地址对应的终端设备。
在一种可能实现的方式中,该装置还包括:
获取访问需求模块,用于若用户的身份验证成功,则获取用户的访问需求信息,访问需求信息包括待访问信息标识和待访问操作类型,待访问操作类型包括查看和编辑;
确定需求等级模块,用于根据访问需求信息确定访问需求等级;
确定验证指令模块,用于根据访问需求等级,确定访问验证指令,并将访问验证指令反馈至登录用户账号的终端设备,访问验证指令用于表征待获取验证标识;
验证标识匹配模块,用于当接收到用户上传的访问验证标识后,将访问验证标识与访问验证指令对应的预存访问验证标识相匹配,得到访问验证匹配值;
控制访问模块,用于当访问验证匹配值高于预设访问验证匹配值时,允许用户根据访问需求信息访问共享数据库。
在一种可能实现的方式中,确定需求等级模块在根据访问需求信息确定访问需求等级时,具体用于:
根据历史异常数据,确定待访问信息标识所对应的待访问需求信息在第三预设时间段内出现异常访问的次数;
根据异常访问次数和异常访问次数与第一预设权重的对应关系,确定待访问需求信息的目标第一权重;
根据待访问信息标识和待访问操作类型确定待访问需求信息的标识操作类型,根据标识操作类型与第二预设权重的对应关系,确定待访问需求信息的目标第二权重;
根据待访问需求信息的目标第一权重和目标第二权重,确定待访问需求信息的目标权重,并根据目标权重和目标权重与访问需求等级的对应关系,确定目标权重对应的访问需求等级。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例中提供了一种电子设备,如图4所示,图4所示的电子设备400包括:处理器401和存储器403。其中,处理器401和存储器403相连,如通过总线402相连。可选地,电子设备400还可以包括收发器404。需要说明的是,实际应用中收发器404不限于一个,该电子设备400的结构并不构成对本申请实施例的限定。
处理器401可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器401也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线402可包括一通路,在上述组件之间传送信息。总线402可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线402可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器403可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器403用于存储执行本申请方案的应用程序代码,并由处理器401来控制执行。处理器401用于执行存储器403中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备包括但不限于:移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。还可以为服务器等。图4示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述仅是本申请的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种基于白盒密码的数据共享方法,其特征在于,包括:
当检测到用户访问共享数据库时的访问请求信息时,根据所述访问请求信息获取所述用户对应的第一身份验证信息,所述第一身份验证信息包括用户账号和用户密码;
将所述第一身份验证信息与预存第一身份验证信息相匹配,得到第一匹配结果;
根据所述访问请求信息,确定所述用户的访问地址和访问时刻,当所述访问地址为预存访问地址时,获取所述用户在所述访问时刻对应的动态密钥;
根据所述访问请求信息确定所述用户在访问所述共享数据库时的访问程序,并从所述访问程序中确定预设程序标识;
根据所述访问时刻,和程序标识与加密验证信息的对应关系,确定所述预设程序标识对应的目标加密验证信息,根据所述动态密钥还原所述目标加密验证信息,得到第二身份验证信息;
将所述第二身份验证信息与预存第二身份信息相匹配,得到第二匹配结果;
根据所述第一匹配结果和所述第二匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
2.根据权利要求1所述的一种基于白盒密码的数据共享方法,其特征在于,动态密钥的形成过程,包括:
当所述用户为新用户时,将所述用户的访问地址和账号信息进行整合得到整合信息,并将所述整合信息进行格式转换得到字符信息,所述账号信息包括用户账号和用户密码;
按照预设转换频率将所述字符信息进行表达式转换得到对应的加密验证信息,并记录每次表达式转换过程对应的转换规则;
根据所述预设转换频率和每次转换对应的转换规则形成动态密钥。
3.根据权利要求1所述的一种基于白盒密码的数据共享方法,其特征在于,所述确定所述用户的访问地址和访问时刻之后,还包括:
当所述访问地址不是预存访问地址时,生成生物特征获取提示信息,并将所述生物特征获取提示信息反馈至所述用户对应的终端设备,所述生物特征获取提示信息中包含至少一种待获取生物特征;
获取所述用户上传的生物特征,将所述生物特征与所述用户对应的预存生物特征相匹配,得到生物特征匹配结果;
根据所述第一匹配结果和所述生物特征匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
4.根据权利要求3所述的一种基于白盒密码的数据共享方法,其特征在于,所述生成生物特征获取提示信息之前,还包括:
根据历史登录信息,确定第一预设时间段内所述用户账号对应的每个异地登录地址和与每个异地登录地址相对应的历史异地登录时刻;
根据历史生物验证信息,确定每个历史异地登录时刻的异地登录地址对应的历史生物特征匹配结果,所述历史生物特征匹配结果包括匹配和不匹配;
统计所述第一预设时间段内,每个异地登录地址对应的历史生物特征匹配结果为匹配的结果数量;
根据所述结果数量与预设数量阈值,确定所述异地登录地址的地址类型,根据所述地址类型确定所述生物特征获取提示信息中待获取生物特征数量所述地址类型包括信任地址和非信任地址;
根据地址类型与生物特征识别数量的对应关系,确定所述地址类型对应的生物特征识别数量。
5.根据权利要求3所述的一种基于白盒密码的数据共享方法,其特征在于,还包括:
根据历史登录信息,获取第二预设时间段内每个用户账号对应的异地登录地址数量;
将异地登录地址数量超过预设阈值的用户账号确定为异常账号;
根据历史访问数据,确定所述异常账号采用预存访问地址登录时的最新历史访问数据;
根据随机数算法确定随机值;
获取所述最新历史访问数据对应的链接地址,并根据随机值从所述链接地址中确定关联账号;
将所述关联账号发送至所述预存访问地址对应的终端设备。
6.根据权利要求1所述的一种基于白盒密码的数据共享方法,其特征在于,所述根据所述第一匹配结果和所述第二匹配结果,对所述用户进行身份验证之后,还包括:
若所述用户的身份验证成功,则获取所述用户的访问需求信息,所述访问需求信息包括待访问信息标识和待访问操作类型,所述待访问操作类型包括查看和编辑;
根据所述访问需求信息确定访问需求等级;
根据所述访问需求等级,确定访问验证指令,并将所述访问验证指令反馈至登录所述用户账号的终端设备,所述访问验证指令用于表征待获取验证标识;
当接收到所述用户上传的访问验证标识后,将所述访问验证标识与所述访问验证指令对应的预存访问验证标识相匹配,得到访问验证匹配值;
当所述访问验证匹配值高于预设访问验证匹配值时,允许所述用户根据所述访问需求信息访问所述共享数据库。
7.根据权利要求6所述的一种基于白盒密码的数据共享方法,其特征在于,所述根据所述访问需求信息确定访问需求等级,包括:
根据历史异常数据,确定所述待访问信息标识所对应的待访问需求信息在第三预设时间段内出现异常访问的次数;
根据异常访问次数和异常访问次数与第一预设权重的对应关系,确定所述待访问需求信息的目标第一权重;
根据所述待访问信息标识和待访问操作类型确定所述待访问需求信息的标识操作类型,根据标识操作类型与第二预设权重的对应关系,确定所述待访问需求信息的目标第二权重;
根据所述待访问需求信息的所述目标第一权重和所述目标第二权重,确定所述待访问需求信息的目标权重,并根据所述目标权重和目标权重与访问需求等级的对应关系,确定所述目标权重对应的访问需求等级。
8.一种基于白盒密码的数据共享装置,其特征在于,包括:
获取第一身份验证信息模块,用于当检测到用户访问共享数据库时的访问请求信息时,根据所述访问请求信息获取所述用户对应的第一身份验证信息,所述第一身份验证信息包括用户账号和用户密码;
确定第一匹配结果模块,用于将所述第一身份验证信息与预存第一身份验证信息相匹配,得到第一匹配结果;
获取动态密钥模块,用于根据所述访问请求信息,确定所述用户的访问地址和访问时刻,当所述访问地址为预存访问地址时,获取所述用户在所述访问时刻对应的动态密钥;
确定程序标识模块,用于根据所述访问请求信息确定所述用户在访问所述共享数据库时的访问程序,并从所述访问程序中确定预设程序标识;
确定第二身份验证信息模块,用于根据当前访问时刻,和程序标识与加密验证信息的对应关系,确定所述预设程序标识对应的目标加密验证信息,根据所述动态密钥还原所述目标加密验证信息,得到第二身份验证信息;
确定第二匹配结果模块,用于将所述第二身份验证信息与预存第二身份信息相匹配,得到第二匹配结果;
身份验证模块,用于根据所述第一匹配结果和所述第二匹配结果,对所述用户进行身份验证,若身份验证成功,则允许所述用户对共享数据库进行访问。
9.一种电子设备,其特征在于,该电子设备包括:
至少一个处理器;
存储器;
至少一个应用程序,其中所述至少一个应用程序被存储在存储器中并被配置为由至少一个处理器执行,所述至少一个应用程序配置用于:执行权利要求1-7中任一项所述的一种基于白盒密码的数据共享方法。
10.一种计算机可读存储介质,其特征在于,包括:存储有能够被处理器加载并执行如权利要求1-7中任一种所述的一种基于白盒密码的数据共享方法的计算机程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311368306.8A CN117118750B (zh) | 2023-10-23 | 2023-10-23 | 基于白盒密码的数据共享方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311368306.8A CN117118750B (zh) | 2023-10-23 | 2023-10-23 | 基于白盒密码的数据共享方法、装置、电子设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117118750A true CN117118750A (zh) | 2023-11-24 |
CN117118750B CN117118750B (zh) | 2024-03-29 |
Family
ID=88796945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311368306.8A Active CN117118750B (zh) | 2023-10-23 | 2023-10-23 | 基于白盒密码的数据共享方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117118750B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108287894A (zh) * | 2018-01-19 | 2018-07-17 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算设备及存储介质 |
CN111988330A (zh) * | 2020-08-28 | 2020-11-24 | 苏州中科安源信息技术有限公司 | 分布式***中基于白盒加密的信息安全保护***和方法 |
WO2022206349A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 一种信息验证的方法、相关装置、设备以及存储介质 |
CN115333749A (zh) * | 2022-07-26 | 2022-11-11 | 国网湖北省电力有限公司信息通信公司 | 一种基于终端***访问控制与入侵的监控防护方法及设备 |
-
2023
- 2023-10-23 CN CN202311368306.8A patent/CN117118750B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108287894A (zh) * | 2018-01-19 | 2018-07-17 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算设备及存储介质 |
CN111988330A (zh) * | 2020-08-28 | 2020-11-24 | 苏州中科安源信息技术有限公司 | 分布式***中基于白盒加密的信息安全保护***和方法 |
WO2022206349A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 一种信息验证的方法、相关装置、设备以及存储介质 |
CN115333749A (zh) * | 2022-07-26 | 2022-11-11 | 国网湖北省电力有限公司信息通信公司 | 一种基于终端***访问控制与入侵的监控防护方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN117118750B (zh) | 2024-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
US10356099B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using identity services | |
US10187369B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph | |
US10250583B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score | |
EP3905078A1 (en) | Identity verification method and system therefor | |
CN112333198B (zh) | 安全跨域登录方法、***及服务器 | |
US20240031155A1 (en) | Decentralized data authentication | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN105516133B (zh) | 用户身份的验证方法、服务器及客户端 | |
US20210377258A1 (en) | Attributed network enabled by search and retreival of privity data from a registry and packaging of the privity data into a digital registration certificate for attributing the data of the attributed network | |
KR20070024633A (ko) | 갱신가능한 그리고 개인적인 바이오메트릭 | |
CN110690972B (zh) | 令牌认证方法、装置、电子设备及存储介质 | |
CN110268406B (zh) | 密码安全性 | |
CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
CN102457377A (zh) | 基于角色的Web远程认证与授权方法及*** | |
US11824850B2 (en) | Systems and methods for securing login access | |
WO2023009969A1 (en) | Non-fungible token authentication | |
CN111475866A (zh) | 一种区块链电子证据保全方法和*** | |
CN105830079A (zh) | 认证信息管理***、认证信息管理设备、程序、记录介质和认证信息管理方法 | |
CN109145543B (zh) | 一种身份认证方法 | |
CN117118750B (zh) | 基于白盒密码的数据共享方法、装置、电子设备及介质 | |
CN116720824A (zh) | 一种基于区块链的电子证照库管理***及方法 | |
KR101221728B1 (ko) | 그래픽 otp 인증을 위한 인증처리서버 및 그 방법 | |
CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
CN114553573A (zh) | 身份认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |