CN117650950A - 安全通信方法与装置 - Google Patents
安全通信方法与装置 Download PDFInfo
- Publication number
- CN117650950A CN117650950A CN202410121768.8A CN202410121768A CN117650950A CN 117650950 A CN117650950 A CN 117650950A CN 202410121768 A CN202410121768 A CN 202410121768A CN 117650950 A CN117650950 A CN 117650950A
- Authority
- CN
- China
- Prior art keywords
- target
- account
- target account
- access
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 122
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000001514 detection method Methods 0.000 claims description 36
- 230000004044 response Effects 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 6
- 238000002360 preparation method Methods 0.000 claims description 3
- 238000006467 substitution reaction Methods 0.000 description 12
- 230000004927 fusion Effects 0.000 description 8
- 238000013507 mapping Methods 0.000 description 8
- 230000004888 barrier function Effects 0.000 description 7
- 238000000265 homogenisation Methods 0.000 description 5
- 238000013139 quantization Methods 0.000 description 4
- 238000011282 treatment Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了安全通信方法与装置,属于计算机技术领域。该方法包括在接收到第一设备访问请求的情况下,获取目标账户的账户指纹;根据账户指纹,预测目标账户在未来预设时间区间内入网访问次数;根据预测结果生成目标账户对应的动态访问令牌;将动态访问令牌返回至目标账户对应的客户端;实现目标账户与目标设备之间的安全通信;在接收到目标账户对应的客户端发出的针对目标设备的第二设备访问请求,并且第二设备访问请求携带动态访问令牌的情况下;若动态访问令牌有效,并且网络环境信息并未发生改变,根据通信安全信息直接再次实现目标账户与目标设备之间的安全通信。本申请降低频繁接收到设备访问请求的情况下的服务器的负荷。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种安全通信方法与装置。
背景技术
智能网联多网融合环境下,通信安全***需要对入网设备、访问网络的账户之间的通信进行安全保护,维护账户与设备的通信安全。通信安全的生态建设包括对可信网络环境中的账户、设备、网络和应用进行全方位的安全管理,从而充分保证账户与设备之间信息的通信安全,这也使得通信安全***内容庞杂,算法复杂,在账户与设备之间通信量较大的情况下,可能会导致通信安全***负载过重,响应力下降等问题,所以为通信安全***减负,尤其是在账户与设备之间通信量较大的情况下尽量降低该通信安全***执行的操作的总数量和相关算法的启动次数就显得十分重要,但是相关技术中缺少相关的技术方案。
发明内容
本申请实施例提供了安全通信方法与装置,以解决前述至少一个技术问题。
一方面, 本申请提供了一种安全通信方法,所述安全通信方法应用于服务器,所述安全通信方法包括:
在接收到第一设备访问请求的情况下,获取目标账户的账户指纹;
根据所述账户指纹对目标账户进行安全性检测,判断目标账户是否具备访问目标设备的权限,在安全性检测通过并且所述目标账户具备访问所述目标设备的权限,并且所述第一设备访问请求没有携带动态访问令牌的情况下,提取所述目标账户对应的访问记录;
在所述访问记录为空的情况下,根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端;
实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息;
在接收到所述目标账户对应的客户端发出的针对所述目标设备的第二设备访问请求,并且所述第二设备访问请求携带所述动态访问令牌的情况下;检测所述动态访问令牌是否有效;
若所述动态访问令牌有效,并且网络环境信息并未发生改变,根据所述通信安全信息直接再次实现所述目标账户与所述目标设备之间的安全通信,所述网络环境信息包括资源访问策略和网络环境可信状态。
在一个实施方式中,所述实现所述目标账户与所述目标设备之间的安全通信,包括:
获取公钥参数,所述公钥参数包括第一公钥、第二公钥和第三公钥;将所述公钥参数加密传输至所述目标设备;其中,所述第一公钥为大于预设值的质数,所述第二公钥为所述第一公钥的原根;
生成安全通信链路对应的私钥参数,将所述私钥参数加密传输至所述目标设备;所述公钥参数和所述私钥参数属于所述通信安全信息;所述第二公钥为底数,所述私钥参数为指数,得到指数特征值,所述指数特征值对所述第一公钥的余数为所述第三公钥;
所述目标设备根据所述第一设备访问请求生成响应数据;生成签名参数,所述签名参数与第一目标值互为素数,所述第一目标值为所述第一公钥减一所得到的结果;以所述第二公钥为底数,以所述签名参数为指数,得到第二目标值,将所述第二目标值对所述第一公钥的余数作为第一签名数据;将所述响应数据与第一签名数据与所述私钥参数的乘积,的差作为第三目标值,将所述第三目标值和所述签名参数的比值作为第四目标值,将所述第四目标值对所述第一目标值的余数作为第二签名数据;根据所述第一签名数据和所述第二签名数据,得到安全通信签名;将所述响应数据和所述安全通信签名一并发送至所述服务器;
所述服务器解析所述安全通信签名得到第三签名数据和第四签名数据,以所述第三公钥为底数以所述第三签名数据为指数,得到第五目标值;以所述第三签名数据为底数以所述第四签名数据为指数,得到第六目标值;将所述第五目标值与所述第六目标值的乘积作为第一参考值,以所述第二公钥作为底数,以所述响应数据作为指数,得到第二参考值;若所述第一参考值和所述第二参考值均针对所述第一公钥具备同余关系,则将所述响应数据加密传输至所述目标账户对应的客户端。
在一个实施方式中,所述方法还包括:
若所述第二设备访问请求与所述第一设备访问请求的间隔时长小于所述动态访问令牌对应的预设时间区间,并且所述预设时间区间内所述目标设备响应所述目标账户发送的设备访问请求的数量未达到所述动态访问令牌对应的入网访问次数,判定所述动态访问令牌有效。
在一个实施方式中,所述根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数,包括:
在账户指纹库中检索与所述目标账户的账户指纹相似度大于预设阈值的关联账户,所述关联账户为访问过所述服务器的账户;
获取每一所述关联账户在首次访问所述服务器后预设时间区间内的访问记录;
根据各所述访问记录预测所述目标账户在未来预设时间区间内入网访问次数。
在一个实施方式中,所述方法还包括:
若所述网络环境信息发生改变,对所述动态访问令牌进行失效处理,重新对所述目标账户进行安全性检测,在安全性检测通过的情况下,获取所述目标账户对应的访问记录;根据所述访问记录,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端;
在一个实施方式中,所述在安全性检测通过的情况下,获取所述目标账户对应的访问记录,包括:
在安全性检测通过的情况下,根据当前资源访问策略判断所述目标账户是否具备访问所述目标设备的权限;
在具备权限的情况下,获取所述目标账户对应的访问记录。
在一个实施方式中,所述方法还包括:
若资源访问策略发生变动或者网络可信状态发生变动,判定网络环境信息发生改变。
另一个方面,本申请还提供一种安全通信装置,应用于服务器,所述安全通信装置包括:
通信准备模块,用于接收到第一设备访问请求的情况下,获取目标账户的账户指纹;根据所述账户指纹对目标账户进行安全性检测,判断目标账户是否具备访问目标设备的权限,在安全性检测通过并且所述目标账户具备访问所述目标设备的权限,并且所述第一设备访问请求没有携带动态访问令牌的情况下,提取所述目标账户对应的访问记录;在所述访问记录为空的情况下,根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端;
通信实施模块,用于实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息;在接收到所述目标账户对应的客户端发出的针对所述目标设备的第二设备访问请求,并且所述第二设备访问请求携带所述动态访问令牌的情况下;检测所述动态访问令牌是否有效;若所述动态访问令牌有效,并且网络环境信息并未发生改变,根据所述通信安全信息直接再次实现所述目标账户与所述目标设备之间的安全通信。
另一个方面,本申请还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现前述内容所提及的安全通信方法。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个实施例提供的安全通信方法的流程示意图;
图2是本申请一个实施例提供的安全通信方法中根据目标账户的账户指纹预测目标账户在未来预设时间区间内入网访问次数的流程示意图;
图3是本申请一个实施例提供的安全通信方法中实现所述目标账户与所述目标设备之间的安全通信的流程示意图;
图4是本申请一个实施例提供的安全通信装置的结构框图。
具体实施方式
在介绍本申请提供的方法实施例之前,先对本申请方法实施例中可能涉及的相关术语或者名词进行简要介绍,以便于本申请领域技术人员理解。
请看图1,其示出安全通信方法的流程示意图,所述安全通信方法应用于服务器,服务器用于支持账户与设备之间的通信,所述方法包括:
S101.在接收到第一设备访问请求的情况下,获取目标账户的账户指纹。
本申请实施例中设备访问请求是为了访问网内的设备而向服务器发送的请求,该设备访问请求携带账户指纹,账户指纹是现有技术概念,在此不做赘述。网内设备都接受服务器的统一管理。
S102.根据所述账户指纹对目标账户进行安全性检测,判断目标账户是否具备访问目标设备的权限,在安全性检测通过并且所述目标账户具备访问所述目标设备的权限,并且所述第一设备访问请求没有携带动态访问令牌的情况下,提取所述目标账户对应的访问记录。
本申请不限定目标设备的确定方法,目标设备可以是约定的设备,或者第一设备访问请求指定的设备。安全性检测就是检查目标账户是否是安全合法访问目标设备的账户,是否具备威胁性,安全性检测是通信安全***的基础操作,对此无需进行赘言。而判断目标账户是否具备访问目标设备的权限的操作是根据服务器内置的资源访问策略而实施的,根据资源访问策略判断某个账户是否可以访问某个设备也是通信安全***的基础操作,对此无需进行赘言。虽然安全性检测和权限检测都是基础操作,但是对于维护通信安全***的安全是非常重要的,因此,相关技术对于入网的每一个访问请求都需要实施这两种检测,从而导致了频繁通信情况下通信安全***负载过重,响应力下降等问题。
本申请实施例通过设计动态访问令牌来降低这两种检测的启动频率,无需为每一个访问请求都启动这两个检测,在动态访问令牌有效期间,可以大幅度降低这两种操作启动频率,同时不影响安全通信。并且动态访问令牌被动态管理,在可能损害安全性的情况发生的时候,动态访问令牌会被失效,并在确认安全风险排除后被重新生成,从而在充分降低这两种操作启动频率的同时,灵活且持续地维护通信安全***的安全。
如果目标账户首次访问,那么就需要对动态访问令牌进行生成。为了生成动态访问令牌,在该步骤中要提取所述目标账户对应的访问记录。本申请实施例并不限定动态访问令牌的具体内容,其就是一张凭证信息,其携带了预设时间区间的入网访问次数的信息。
S103.在所述访问记录为空的情况下,根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端。
服务器会保留访问记录,如果访问记录为空,说明目标账户是首次被允许访问网内设备,也是首次被允许访问目标设备,那么无法根据访问记录中的记录内容直接生成动态访问令牌,对于首次访问的目标账户,本申请实施例提出基于目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数,然后根据预测结果生成动态访问令牌的发明构思,从而解决对首次访问的目标账户生成合适的动态访问令牌的技术问题。本申请实施例对预设时间区间长度不做限定,可以根据实际情况设置,不构成实施障碍。
如图2所示,其示出根据目标账户的账户指纹预测目标账户在未来预设时间区间内入网访问次数的流程示意图。所述根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数,包括:
S201.在账户指纹库中检索与所述目标账户的账户指纹相似度大于预设阈值的关联账户,所述关联账户为访问过所述服务器的账户。
指纹相似度的计算,以及预设阈值的设定都是现有技术,对此不做赘述。
S202.获取每一所述关联账户在首次访问所述服务器后预设时间区间内的访问记录;根据各所述访问记录预测所述目标账户在未来预设时间区间内入网访问次数。
本申请实施例通过账户指纹来查找与目标账户足够相似的关联账户,而关联账户是有访问记录的,通过对关联账户的访问记录进行分析,可以预测目标账户在未来预设时间区间内入网访问次数,从而解决对首次访问的目标账户生成合适的动态访问令牌的技术问题。具体地,可以分析这些访问记录,得到关联账户在未来预设时间区间内的平均访问次数,将该平均访问次数确定为该入网访问次数。
关联账户的查找的关键在于构建账户指纹库,账户指纹库中每个账户的账户指纹的生成方式都可以是相同的,本申请实施例对账户指纹生成方式不做限定。但是,为了提升账户指纹质量,从而提升入网访问次数预测准确度,最大化发挥动态访问令牌的技术效果,本申请实施例提出一种账户指纹生成方法。
该账户指纹生成方法中为需要生成账户指纹的账户的账户信息生成账户标识,根据所述账户标识和所述账户信息生成账户指纹,所述账户指纹具备唯一性并且所述账户指纹为账户标示性特征集的唯一映射,所述账户标示性特征集为根据所述账户信息所确定的,并且特征标示度满足预设标示度限定要求的特征维度的特征构成的特征集,所述特征标示度用于综合量化对应的特征维度下的特征自身的信息表达能力、所述特征与其他特征的关联程度、所述特征与其他特征的信息重合度。
所述账户信息包括多个特征维度下每一特征维度对应的账户特征数据,所述账户特征数据通过对对应的特征维度下的信息进行采集得到;账户信息的特征维度可以根据实际需求进行选择,比如、地域维度、教育维度、兴趣爱好维度、经济状况维度、基础生理参数维度等,这些是根据实际需求选择的,不构成实施障碍,也与通信安全***中服务器以及网内设备具体提供的服务有关。针对每一特征维度进行信息的采集、量化、离散化和均一化处理,得到账户特征数据。本申请实施例中使用的采集、量化、离散化和均一化处理的具体实现方式可以参考现有技术,对此不做赘述。本申请中的均一化可以被理解为均一化映射,就是将数据正向映射为一个0到1之间的数,数越大,映射后的数也越大。本申请实施例指出量化的目的在于可以以数值形态存储,量化的方式不做限定,只需要满足数值运算的需求即可。
为所述账户信息生成账户标识的方法可以参考现有技术,只需要保证唯一性即可。本申请实施例强调的是,所述账户信息中可能会存在冗余度较高的特征,也可能存在关联度较高的特征,关联度高也会导致冗余度高,账户信息的纯粹度不够会影响账户指纹质量,本申请实施例提出了特征标示度的指标,特征标示度是一个综合的量化指标,这个指标同时量化的是特征自身信息表达力、特征与相邻其他特征的关联度以及特征与相邻其他特征的信息重合度,特征自身信息表达力越低,特征标示度越低,上述关联度越高,特征标示度越低,信息重合度越高,特征标示度越低。本申请实施例下文提出了具体特征标示度计算方法,在此不做说明。
通过计算账户信息中每个特征维度对应的特征标示度,挑选特征标示度满足预设标示度限定要求的特征维度所对应的账户特征数据,构成账户标示性特征集。根据账户标示性特征集和账户标识生成账户指纹。具体的账户指纹生成算法就是将输入的信息映射到账户指纹的算法,这种映射方法可以参考现有技术,对此不做赘述。本申请实施例给出账户标示性特征集的获取方法:
首先,按照标号递增顺序为每一特征维度设定对应的标号,按照标号递增顺序拼接各个特征维度对应的账户特征数据,得到第一特征序列;
举个例子,特征维度1、特征维度2、特征维度3、特征维度4、特征维度5,其中1、2、3、4、5就是标号,用来唯一区别特征维度的不同,按照标号递增,可以得到唯一的特征维度排序,每个特征维度中都对应账户特征数据,所以,这个排序的结果就得到了第一特征序列。
第二,对各所述特征维度进行多次乱序处理,拼接乱序处理后的特征维度对应的账户特征数据,得到多个第二特征序列,不同的第二特征序列不能完全一样;
第三,确定每一所述第二特征序列中每一特征维度对应的特征标示度,得到所述特征维度对应的单次特征标示度;将各所述第二特征序列中具备相同标号的特征维度对应的单次特征标示度进行均一化处理,得到所述特征维度对应的特征标示度;
显然,某个特征维度对应的特征标示度是根据多个单次特征标示度所得到的综合结果,或者说是综合特征标示度。本申请实施例通过生成多个乱序的第二特征序列,目的在于使得某个特征维度可以与多种特征维度可以在多个第二特征序列中形成临时的相邻关系,从而自动在对多个第二特征序列进行该特征维度对应的单次特征标示度计算的时候将这种相邻关系和相邻产生的冗余纳入考量,所以使得最终计算得到的综合特征标示度体现出对各种可能的特征相邻情况下的关联程度的考量和信息重合度的考虑,使得综合特征标示度可以量化所述特征与其他特征的关联程度、所述特征与其他特征的信息重合度。而为了得到综合特征标示度,在计算每一个单次特征标示度的时候,相当于都考虑了特征自身的信息表达能力,从而使得最终得到的综合特征标示度可以综合量化特征自身的信息表达能力、所述特征与其他特征的关联程度、所述特征与其他特征的信息重合度。
所述确定每一所述第二特征序列中每一特征维度对应的特征标示度,得到所述特征维度对应的单次特征标示度,包括:对每一所述第二特征序列的每一特征维度执行下述操作:将所述第二特征序列中所述特征维度下对应的账户特征数据置空,得到第三特征序列;将所述第三特征序列输入特征标示度预测模型,得到所述特征维度对应的单次特征标示度。
进一步地,本申请实施例给出特征标示度预测模型训练方法,该方法包括:
(1)获取样本原始序列;对所述样本原始序列中某个特征维度对应的特征置空,得到样本特征序列。样本原始序列的获取方式与第一特征序列或者第二特征序列一致,对此不做赘述。样本特征序列的获取方式与第三特征序列一致,对此不做赘述。
(2)将所述样本特征序列输入神经网络,得到前述特征维度对应的特征标示度预测值。本申请实施例并不限定神经网络的结构,不构成实施障碍。
(3)将所述样本特征序列输入特征预测模型,所述特征预测模型用于根据所述样本特征序列中的未置空特征预测置空特征,得到置空特征预测值;在所述样本原始序列中确定出所述置空特征所对应的置空前的原始特征,根据所述原始特征和所述置空特征预测值之间的差异,确定第一替代值。
该特征预测模型对应的人工智能模型较多,无需对此赘述。根据置空特征预测值和所述置空特征所对应的置空前的原始特征之间的差异,可以得到第一替代值。本申请实施例并不限定差异量化方式,可以参考现有技术。也不限定差异与第一替代值之间的具体函数关系,因为只要保证差异与第一替代值之间具备一一映射的正相关关系即可达到本申请的技术目的。
我们假设被置空的特征是强特征标示度的特征,那么该特征被置空必然会导致置空特征预测值的不准确,从而导致第一替代值的增大,反之亦然。所以第一替代值与特征标示度的真值是具备强相关关系的,因此,虽然无法确定特征标示度的真值,但是可以从第一替代值的角度来量化该真值,或者说基于该第一替代值找到该真值的替代品(下文的特征标示度替代值),解决了无法知晓特征标示度真值的情况下,如何训练特征标示度预测模型的技术问题。
(4)对所述样本原始序列中各特征进行融合操作,得到第一融合特征;对所述样本特征序列中各特征进行融合操作,得到第二融合特征;根据所述第一融合特征和所述第二融合特征的特征距离,确定第二替代值。
本申请实施例指出,单从第一替代值的角度来量化真值可能存在不足够准确的问题,为此,本申请实施例又提出了第二替代值,第二替代值其实是从数据距离的角度来考虑的。我们假设被置空的特征是强特征标示度的特征,那么该特征被置空会导致特征距离变大,也就是置空前后所得到的融合特征的差异大的意思,反之亦然。本申请实施例不对融合操作进行限定,参考现有技术。本申请实施例并不限定特征距离与第二替代值之间的具体函数关系,因为只要保证他们之间具备一一映射的正相关关系即可达到本申请的技术目的。
(5)将所述第一替代值和所述第二替代值各自加权相加并将加权结果归一化映射,得到特征标示度替代值,对于权值不做限定,不构成本申请实施障碍,根据实际需求设定即可。根据所述特征标示度替代值和所述特征标示度预测值之间的差异,调整所述神经网络的参数,得到所述特征标示度预测模型。
本申请实施例差异的量化方法,以及根据差异调参的方法,以及训练停止条件等内容不做说明,可参考现有技术。
第四,将所述第一特征序列中特征标示度不满足预设特征标示度要求的特征维度所对应的账户特征数据删除,得到所述账户标示性特征集。本申请实施例并不对预设特征标示度要求进行限定,比如,可以设定一个下限值,如果特征标示度小于该下限值,则不满足预设特征标示度要求。该下限值可以根据实际情况设定,不构成本申请实施障碍。
S104.实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息。
本申请实施例对于实现所述目标账户与所述目标设备之间的安全通信的方法不做限定,现有技术有很多种方法,但是为了达到提升安全通信速度和提升安全性的目的,本申请实施例提出一种具体的通信方法,请参考图3,所述实现所述目标账户与所述目标设备之间的安全通信,包括:
S301.获取公钥参数,所述公钥参数包括第一公钥、第二公钥和第三公钥;将所述公钥参数加密传输至所述目标设备;其中,所述第一公钥为大于预设值的质数,所述第二公钥为所述第一公钥的原根;
为了提升安全性,本申请实施例建议第一公钥为一个相对大的数字,设置一个相对大的预设值,比如,可以设置为1500。
S302.生成安全通信链路对应的私钥参数,将所述私钥参数加密传输至所述目标设备;所述公钥参数和所述私钥参数属于所述通信安全信息;所述第二公钥为底数,所述私钥参数为指数,得到指数特征值,所述指数特征值对所述第一公钥的余数为所述第三公钥;
本申请实施例传输公钥参数和私钥参数的加密方式为目标设备与服务器的约定,遵守约定即可,不构成实施障碍,不做赘言。不限定私钥参数生成方式,满足该步骤要求即可。
S303.所述目标设备根据所述第一设备访问请求生成响应数据;生成签名参数,所述签名参数与第一目标值互为素数,所述第一目标值为所述第一公钥减一所得到的结果;以所述第二公钥为底数,以所述签名参数为指数,得到第二目标值,将所述第二目标值对所述第一公钥的余数作为第一签名数据;将所述响应数据与第一签名数据与所述私钥参数的乘积,的差作为第三目标值,将所述第三目标值和所述签名参数的比值作为第四目标值,将所述第四目标值对所述第一目标值的余数作为第二签名数据;根据所述第一签名数据和所述第二签名数据,得到安全通信签名;将所述响应数据和所述安全通信签名一并发送至所述服务器;
响应数据就是目标账户希望从目标设备获取的数据,由目标设备根据第一设备访问请求得到。本申请实施例不限定生成签名参数的方法,达到本步骤目的即可。
S304.所述服务器解析所述安全通信签名得到第三签名数据和第四签名数据,以所述第三公钥为底数以所述第三签名数据为指数,得到第五目标值;以所述第三签名数据为底数以所述第四签名数据为指数,得到第六目标值;将所述第五目标值与所述第六目标值的乘积作为第一参考值,以所述第二公钥作为底数,以所述响应数据作为指数,得到第二参考值;若所述第一参考值和所述第二参考值均针对所述第一公钥具备同余关系,则将所述响应数据加密传输至所述目标账户对应的客户端。
本申请实施例中目标设备根据所述第一签名数据和所述第二签名数据,得到安全通信签名的方式,和服务器解析安全通信签名的方式是服务器与目标设备约定好的,遵守约定即可,不构成实施障碍,不做赘言。如果传输无误,则服务器解析出来的第三签名数据和第四签名数据,分别就是第一签名数据和第二签名数据。服务器通过同余关系验证响应数据是否在传输过程中发生错漏,如果同余验证通过,则可以确认响应数据无误,将其加密发送至目标账户对应的客户端,加密和解密方法与客户端约定即可,不构成实施障碍,不做赘言。
S105.在接收到所述目标账户对应的客户端发出的针对所述目标设备的第二设备访问请求,并且所述第二设备访问请求携带所述动态访问令牌的情况下;检测所述动态访问令牌是否有效;若所述动态访问令牌有效,并且网络环境信息并未发生改变,根据所述通信安全信息直接再次实现所述目标账户与所述目标设备之间的安全通信。
在一个实施例中,所述网络环境信息包括资源访问策略和网络环境可信状态。若所述动态访问令牌有效,并且网络环境信息并未发生改变,那么动态访问令牌直接生效,无需再进行前述的安全性检测和权限检测,直接使用预先保留好的公钥私钥等通信安全信息直接实现安全通信即可,安全通信的步骤的发明构思与前文一致,无需赘言。本申请实施例对于资源访问策略和网络环境可信状态的含义不做限定,这是通信安全***的基础概念,其内容也不做限定,这是可以根据实际情况进行设定的。
若所述第二设备访问请求与所述第一设备访问请求的间隔时长小于所述动态访问令牌对应的预设时间区间,并且所述预设时间区间内所述目标设备响应所述目标账户发送的设备访问请求的数量未达到所述动态访问令牌对应的入网访问次数,则判定所述动态访问令牌有效。否则,对所述动态访问令牌进行失效处理,重新对所述目标账户进行安全性检测,在安全性检测通过的情况下,获取所述目标账户对应的访问记录;根据所述访问记录,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端。重新从头实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息。失效处理现有技术方法很多,不做限定。
若资源访问策略发生变动或者网络可信状态发生变动,则判定网络环境信息发生改变。若所述网络环境信息发生改变,对所述动态访问令牌进行失效处理,重新对所述目标账户进行安全性检测,在安全性检测通过的情况下,获取所述目标账户对应的访问记录;根据所述访问记录,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端。重新从头实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息。
这种情况下目标账户已经访问过目标设备了,自身也有了对应的访问记录,可以根据该访问记录来预测目标账户在未来预设时间区间内入网访问次数,无需再依赖账户指纹,根据该访问记录来预测目标账户在未来预设时间区间内入网访问次数的方法有很多,可以参考现有技术。
在一个实施方式中,所述在安全性检测通过的情况下,获取所述目标账户对应的访问记录,包括:在安全性检测通过的情况下,根据当前资源访问策略判断所述目标账户是否具备访问所述目标设备的权限;在具备权限的情况下,获取所述目标账户对应的访问记录。
本申请实施例提供一种安全通信装置,如图4所示,所述安全通信装置包括:
通信准备模块401,用于接收到第一设备访问请求的情况下,获取目标账户的账户指纹;根据所述账户指纹对目标账户进行安全性检测,判断目标账户是否具备访问目标设备的权限,在安全性检测通过并且所述目标账户具备访问所述目标设备的权限,并且所述第一设备访问请求没有携带动态访问令牌的情况下,提取所述目标账户对应的访问记录;在所述访问记录为空的情况下,根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端;
通信实施模块402,用于实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息;在接收到所述目标账户对应的客户端发出的针对所述目标设备的第二设备访问请求,并且所述第二设备访问请求携带所述动态访问令牌的情况下;检测所述动态访问令牌是否有效;若所述动态访问令牌有效,并且网络环境信息并未发生改变,根据所述通信安全信息直接再次实现所述目标账户与所述目标设备之间的安全通信。
所述网络环境信息包括资源访问策略和网络环境可信状态。
安全通信装置的实施例执行细节不做赘述,参看对应方法实施例。
在一个实施例中,还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如前述的安全通信方法。
以上为本申请的示例性实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种安全通信方法,其特征在于,所述安全通信方法应用于服务器,所述安全通信方法包括:
在接收到第一设备访问请求的情况下,获取目标账户的账户指纹;
根据所述账户指纹对目标账户进行安全性检测,判断目标账户是否具备访问目标设备的权限,在安全性检测通过并且所述目标账户具备访问所述目标设备的权限,并且所述第一设备访问请求没有携带动态访问令牌的情况下,提取所述目标账户对应的访问记录;
在所述访问记录为空的情况下,根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端;
实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息;
在接收到所述目标账户对应的客户端发出的针对所述目标设备的第二设备访问请求,并且所述第二设备访问请求携带所述动态访问令牌的情况下;检测所述动态访问令牌是否有效;
若所述动态访问令牌有效,并且网络环境信息并未发生改变,根据所述通信安全信息直接再次实现所述目标账户与所述目标设备之间的安全通信。
2.根据权利要求1所述的安全通信方法,其特征在于,所述实现所述目标账户与所述目标设备之间的安全通信,包括:
获取公钥参数,所述公钥参数包括第一公钥、第二公钥和第三公钥;将所述公钥参数加密传输至所述目标设备;其中,所述第一公钥为大于预设值的质数,所述第二公钥为所述第一公钥的原根;
生成安全通信链路对应的私钥参数,将所述私钥参数加密传输至所述目标设备;所述公钥参数和所述私钥参数属于所述通信安全信息;所述第二公钥为底数,所述私钥参数为指数,得到指数特征值,所述指数特征值对所述第一公钥的余数为所述第三公钥;
所述目标设备根据所述第一设备访问请求生成响应数据;生成签名参数,所述签名参数与第一目标值互为素数,所述第一目标值为所述第一公钥减一所得到的结果;以所述第二公钥为底数,以所述签名参数为指数,得到第二目标值,将所述第二目标值对所述第一公钥的余数作为第一签名数据;将所述响应数据与第一签名数据与所述私钥参数的乘积,的差作为第三目标值,将所述第三目标值和所述签名参数的比值作为第四目标值,将所述第四目标值对所述第一目标值的余数作为第二签名数据;根据所述第一签名数据和所述第二签名数据,得到安全通信签名;将所述响应数据和所述安全通信签名一并发送至所述服务器;
所述服务器解析所述安全通信签名得到第三签名数据和第四签名数据,以所述第三公钥为底数以所述第三签名数据为指数,得到第五目标值;以所述第三签名数据为底数以所述第四签名数据为指数,得到第六目标值;将所述第五目标值与所述第六目标值的乘积作为第一参考值,以所述第二公钥作为底数,以所述响应数据作为指数,得到第二参考值;若所述第一参考值和所述第二参考值均针对所述第一公钥具备同余关系,则将所述响应数据加密传输至所述目标账户对应的客户端。
3.根据权利要求1或2所述的安全通信方法,其特征在于,所述方法还包括:
若所述第二设备访问请求与所述第一设备访问请求的间隔时长小于所述动态访问令牌对应的预设时间区间,并且所述预设时间区间内所述目标设备响应所述目标账户发送的设备访问请求的数量未达到所述动态访问令牌对应的入网访问次数,判定所述动态访问令牌有效。
4.根据权利要求1所述的安全通信方法,其特征在于,所述根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数,包括:
在账户指纹库中检索与所述目标账户的账户指纹相似度大于预设阈值的关联账户,所述关联账户为访问过所述服务器的账户;
获取每一所述关联账户在首次访问所述服务器后预设时间区间内的访问记录;
根据各所述访问记录预测所述目标账户在未来预设时间区间内入网访问次数。
5.根据权利要求4所述的安全通信方法,其特征在于,所述方法还包括:
若所述网络环境信息发生改变,对所述动态访问令牌进行失效处理,重新对所述目标账户进行安全性检测,在安全性检测通过的情况下,获取所述目标账户对应的访问记录;根据所述访问记录,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端。
6.根据权利要求5所述的安全通信方法,其特征在于,所述在安全性检测通过的情况下,获取所述目标账户对应的访问记录,包括:
在安全性检测通过的情况下,根据当前资源访问策略判断所述目标账户是否具备访问所述目标设备的权限;
在具备权限的情况下,获取所述目标账户对应的访问记录。
7.根据权利要求1所述的安全通信方法,其特征在于,所述方法还包括:
若资源访问策略发生变动或者网络可信状态发生变动,判定网络环境信息发生改变。
8.一种安全通信装置,其特征在于,应用于服务器,所述安全通信装置包括:
通信准备模块,用于接收到第一设备访问请求的情况下,获取目标账户的账户指纹;根据所述账户指纹对目标账户进行安全性检测,判断目标账户是否具备访问目标设备的权限,在安全性检测通过并且所述目标账户具备访问所述目标设备的权限,并且所述第一设备访问请求没有携带动态访问令牌的情况下,提取所述目标账户对应的访问记录;在所述访问记录为空的情况下,根据所述目标账户的账户指纹,预测所述目标账户在未来预设时间区间内入网访问次数;根据预测结果生成所述目标账户对应的动态访问令牌;将所述动态访问令牌返回至所述目标账户对应的客户端;
通信实施模块,用于实现所述目标账户与所述目标设备之间的安全通信,保留所述安全通信的通信安全信息;在接收到所述目标账户对应的客户端发出的针对所述目标设备的第二设备访问请求,并且所述第二设备访问请求携带所述动态访问令牌的情况下;检测所述动态访问令牌是否有效;若所述动态访问令牌有效,并且网络环境信息并未发生改变,根据所述通信安全信息直接再次实现所述目标账户与所述目标设备之间的安全通信。
9.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至7任一项所述的安全通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410121768.8A CN117650950B (zh) | 2024-01-30 | 2024-01-30 | 安全通信方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410121768.8A CN117650950B (zh) | 2024-01-30 | 2024-01-30 | 安全通信方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117650950A true CN117650950A (zh) | 2024-03-05 |
CN117650950B CN117650950B (zh) | 2024-04-19 |
Family
ID=90045460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410121768.8A Active CN117650950B (zh) | 2024-01-30 | 2024-01-30 | 安全通信方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117650950B (zh) |
Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259502A (zh) * | 2018-01-29 | 2018-07-06 | 平安普惠企业管理有限公司 | 用于获取接口访问权限的鉴定方法、服务端及存储介质 |
CN109104378A (zh) * | 2018-08-17 | 2018-12-28 | 四川新网银行股份有限公司 | 基于时间序列预测的智能令牌预回收方法 |
US20190132293A1 (en) * | 2017-10-27 | 2019-05-02 | Brightplan Llc | Secure Messaging Systems and Methods |
US20190319967A1 (en) * | 2018-04-11 | 2019-10-17 | Barclays Services Limited | System for efficient management and storage of access tokens |
CN110968745A (zh) * | 2019-11-13 | 2020-04-07 | 泰康保险集团股份有限公司 | 数据处理方法、装置、电子设备和计算机可读介质 |
US20200366654A1 (en) * | 2017-10-27 | 2020-11-19 | Brightplan Llc | Secure Messaging Systems and Methods |
CN113691379A (zh) * | 2021-10-25 | 2021-11-23 | 徐州蜗牛智能科技有限公司 | 大数据的认证方法及装置 |
CN115001714A (zh) * | 2022-07-15 | 2022-09-02 | 中国电信股份有限公司 | 资源访问方法及装置、电子设备、存储介质 |
CN115459992A (zh) * | 2022-09-05 | 2022-12-09 | 山石网科通信技术股份有限公司 | 资源访问请求的处理方法、装置、存储介质及电子设备 |
CN115801293A (zh) * | 2021-09-08 | 2023-03-14 | 海信集团控股股份有限公司 | 一种访问控制的安全检测方法、设备及装置 |
CN116127494A (zh) * | 2023-03-29 | 2023-05-16 | 云镝智慧科技有限公司 | 用户并发访问的控制方法及相关装置 |
CN116248351A (zh) * | 2022-12-29 | 2023-06-09 | 中国联合网络通信集团有限公司 | 一种资源访问方法、装置、电子设备及存储介质 |
WO2023103527A1 (zh) * | 2021-12-10 | 2023-06-15 | 深圳前海微众银行股份有限公司 | 一种访问频次的预测方法及装置 |
CN116545650A (zh) * | 2023-04-03 | 2023-08-04 | 中国华能集团有限公司北京招标分公司 | 一种网络动态防御方法 |
US11769145B1 (en) * | 2021-12-22 | 2023-09-26 | United Services Automobile Association (Usaa) | Simulations using a token exchange system |
CN116961918A (zh) * | 2023-06-25 | 2023-10-27 | 中国建设银行股份有限公司 | 令牌获取方法和装置 |
CN117093977A (zh) * | 2023-08-11 | 2023-11-21 | 中国工商银行股份有限公司 | 用户认证方法、***、装置、存储介质以及电子设备 |
CN117155606A (zh) * | 2023-08-02 | 2023-12-01 | 浙江印象软件有限公司 | 网页登录状态的维持方法及*** |
CN117375986A (zh) * | 2023-11-08 | 2024-01-09 | 中国工商银行股份有限公司 | 一种应用访问方法、装置、服务器 |
-
2024
- 2024-01-30 CN CN202410121768.8A patent/CN117650950B/zh active Active
Patent Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190132293A1 (en) * | 2017-10-27 | 2019-05-02 | Brightplan Llc | Secure Messaging Systems and Methods |
US20200366654A1 (en) * | 2017-10-27 | 2020-11-19 | Brightplan Llc | Secure Messaging Systems and Methods |
CN108259502A (zh) * | 2018-01-29 | 2018-07-06 | 平安普惠企业管理有限公司 | 用于获取接口访问权限的鉴定方法、服务端及存储介质 |
US20190319967A1 (en) * | 2018-04-11 | 2019-10-17 | Barclays Services Limited | System for efficient management and storage of access tokens |
CN109104378A (zh) * | 2018-08-17 | 2018-12-28 | 四川新网银行股份有限公司 | 基于时间序列预测的智能令牌预回收方法 |
CN110968745A (zh) * | 2019-11-13 | 2020-04-07 | 泰康保险集团股份有限公司 | 数据处理方法、装置、电子设备和计算机可读介质 |
CN115801293A (zh) * | 2021-09-08 | 2023-03-14 | 海信集团控股股份有限公司 | 一种访问控制的安全检测方法、设备及装置 |
CN113691379A (zh) * | 2021-10-25 | 2021-11-23 | 徐州蜗牛智能科技有限公司 | 大数据的认证方法及装置 |
WO2023103527A1 (zh) * | 2021-12-10 | 2023-06-15 | 深圳前海微众银行股份有限公司 | 一种访问频次的预测方法及装置 |
US11769145B1 (en) * | 2021-12-22 | 2023-09-26 | United Services Automobile Association (Usaa) | Simulations using a token exchange system |
CN115001714A (zh) * | 2022-07-15 | 2022-09-02 | 中国电信股份有限公司 | 资源访问方法及装置、电子设备、存储介质 |
CN115459992A (zh) * | 2022-09-05 | 2022-12-09 | 山石网科通信技术股份有限公司 | 资源访问请求的处理方法、装置、存储介质及电子设备 |
CN116248351A (zh) * | 2022-12-29 | 2023-06-09 | 中国联合网络通信集团有限公司 | 一种资源访问方法、装置、电子设备及存储介质 |
CN116127494A (zh) * | 2023-03-29 | 2023-05-16 | 云镝智慧科技有限公司 | 用户并发访问的控制方法及相关装置 |
CN116545650A (zh) * | 2023-04-03 | 2023-08-04 | 中国华能集团有限公司北京招标分公司 | 一种网络动态防御方法 |
CN116961918A (zh) * | 2023-06-25 | 2023-10-27 | 中国建设银行股份有限公司 | 令牌获取方法和装置 |
CN117155606A (zh) * | 2023-08-02 | 2023-12-01 | 浙江印象软件有限公司 | 网页登录状态的维持方法及*** |
CN117093977A (zh) * | 2023-08-11 | 2023-11-21 | 中国工商银行股份有限公司 | 用户认证方法、***、装置、存储介质以及电子设备 |
CN117375986A (zh) * | 2023-11-08 | 2024-01-09 | 中国工商银行股份有限公司 | 一种应用访问方法、装置、服务器 |
Non-Patent Citations (3)
Title |
---|
WENCHENG YANG: "Secure Fingerprint Authentication with Homomorphic Encryption", 《2020 DIGITAL IMAGE COMPUTING: TECHNIQUES AND APPLICATIONS (DICTA)》, 1 March 2021 (2021-03-01) * |
梁晓实;邹福泰;谭越;: "基于AHP-GRA的用户身份可信评价方法", 通信技术, no. 04, 10 April 2020 (2020-04-10) * |
陆佳炜;吴斐斐;徐俊;张元鸣;肖刚;: "基于动态授权机制的自适应云访问控制方法研究", 计算机应用与软件, no. 07, 15 July 2017 (2017-07-15) * |
Also Published As
Publication number | Publication date |
---|---|
CN117650950B (zh) | 2024-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pyoung et al. | Blockchain of finite-lifetime blocks with applications to edge-based IoT | |
CN103166917B (zh) | 网络设备身份识别方法及*** | |
WO2019088985A1 (en) | Data security hub | |
CN116633615A (zh) | 一种基于区块链和风险评估的访问控制方法 | |
CN113111359A (zh) | 基于信息安防的大数据资源共享方法及资源共享*** | |
CN116405187A (zh) | 基于区块链的分布式节点入侵态势感知方法 | |
CN117235810A (zh) | 一种基于区块链的日志安全存储与高效查询方法 | |
Sun | Research on the tradeoff between privacy and trust in cloud computing | |
Singh et al. | An adaptive mutual trust based access control model for electronic healthcare system | |
CN113872959B (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
Mohammed et al. | Blockchain-enabled bioacoustics signal authentication for cloud-based electronic medical records | |
CN113067802B (zh) | 一种用户标识方法、装置、设备及计算机可读存储介质 | |
CN117650950B (zh) | 安全通信方法与装置 | |
WO2022121183A1 (zh) | 文本模型的训练方法、识别方法、装置、设备及存储介质 | |
CN116506206A (zh) | 基于零信任网络用户的大数据行为分析方法及*** | |
CN111917760A (zh) | 一种基于标识解析的网络协同制造跨域融合信任管控方法 | |
CN115119197B (zh) | 基于大数据的无线网络风险分析方法、装置、设备及介质 | |
CN116527317A (zh) | 访问控制方法、***及电子设备 | |
CN116070191A (zh) | 信息处理方法及其装置、存储介质、程序产品 | |
CN116112264B (zh) | 一种基于区块链的策略隐藏大数据访问控制方法和装置 | |
Vairam et al. | ApproxBC: Blockchain design alternatives for approximation-tolerant resource-constrained applications | |
CN117675755B (zh) | 智能网联设备管理方法与装置 | |
CN117408395B (zh) | 基于数字化供应链的风控平台运行稳定性优化方法及装置 | |
Gao et al. | Research of query verification algorithm on body sensing data in cloud computing environment | |
CN114866333B (zh) | 暴力破解请求的智能识别方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |