本发明专利技术实施例公开了一种授信管理方法和装置,应用于服务端,所述方法包括:将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;接收来自第一设备的加入请求包,所述加入请求包与授信文件相关并包括第一设备的设备公钥及第一校验码;将授信文件和所述加入请求包发送给N个受信任设备中的M个受信任设备进行验证,1≤M≤N,如从完成验证的受信任设备接收到包括更新后公钥表的更新后授信文件,则用更新后公钥表覆盖原公钥表,更新后公钥表包括第一设备的设备公钥。通过本发明专利技术实施例的方案,能够在特定设备之间建立可靠的信任关系,非法设备无法加入到已建立的信任关系中。
A Credit Management Method and Device
【技术实现步骤摘要】
一种授信管理方法及装置
本专利技术涉及信息安全
,特别涉及一种授信管理方法及装置。
技术介绍
随着信息技术及互联网技术的发展,现在的智能设备越来越多的与互联网账号相关联。与同一互联网账号关联的设备之间通常需要进行信息交互和数据同步。这就需要一种可靠的机制来在设备之间建立信任关系。现有技术中,通常在不同设备上进行同一账号的登录,登录成功后即认为该设备与该互联网账号关联,且该设备与其他关联到相同账号的设备互相信任。此方案中存在安全风险:如果账号的密码被恶意攻击者获取,那么恶意攻击者可以将其非法设备关联到此账号,从而与其他合法设备建立信任关系,危害其他合法设备中信息的安全。恶意攻击者也可以在没有获取账号密码的情况下,通过攻击互联网服务器,将其非法设备关联到任意账号下,从而危害其他合法设备中信息的安全。
技术实现思路
有鉴于此,本专利技术实施例提出了一种授信管理方法和装置,通过在设备间建立信任关系来屏蔽恶意攻击者对设备安全的威胁。为此,本专利技术实施例提出了一种授信管理方法,应用于服务端,所述方法包括:将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;接收来自第一设备的加入请求包,所述加入请求包与所述授信文件相关并包括第一设备的设备公钥及第一校验码;将授信文件和所述加入请求包发送给N个受信任设备中的任意M个受信任设备进行验证,1≤M≤N,如从完成验证的受信任设备接收到包括更新后公钥表的更新后授信文件,则用更新后公钥表覆盖原公钥表,更新后公钥表包括第一设备的设备公钥。可选地,所述授信文件与第一用户账号关联存储。可选地,所述授信文件中还包括使用所述N个受信任设备中的任意K个受信任设备的设备私钥对公钥表进行签名处理生成的第一数字签名,1≤K≤N。可选地,所述更新后授信文件包括使用所述M个受信任设备中任意L个受信任设备的设备私钥对所述更新后公钥表进行签名处理生成的第二数字签名,1≤L≤M。可选地,所述授信文件中包括使用基于第一用户账号的登录信息生成的公私钥对中的私钥对公钥表进行签名处理生成的第三数字签名。可选地,所述更新后授信文件包括使用基于第一用户账号的登录信息生成的公私钥对中的私钥对所述更新后公钥表进行签名处理生成的第四数字签名。可选地,所述第一校验码包括通过使用所述第一设备对所述第一设备的设备公钥进行签名处理生成的第五数字签名。可选地,所述加入请求包中包括使用基于第一用户账号的登录信息生成的公私钥对中的私钥对第一设备的设备公钥进行签名处理生成的第六数字签名。本专利技术实施例还提出了一种授信管理装置,应用于服务端,包括:处理单元,其配置为将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;通信单元,其配置为接收来自第一设备的加入请求包,将授信文件和所述加入请求包发送给N个受信任设备中的任意M个受信任设备进行验证,1≤M≤N,其中,所述加入请求包与所述授信文件相关并包括第一设备的设备公钥及第一校验码,其中,所述处理单元还配置为,如所述通信单元从完成验证的受信任设备接收到包括更新后公钥表的更新后授信文件,则所述处理单元用更新后公钥表覆盖原公钥表,其中,更新后公钥表包括第一设备的设备公钥。本专利技术实施例同时提出了一种授信管理装置,应用于服务端,包括:存储器,其存储有预定的计算机可执行指令;处理器,其配置为运行所述预定的计算机可执行指令以执行上述任一实施例中的授信管理方法。通过本专利技术实施例的授信管理方法和装置,能够在关联同一用户账号的设备之间建立可靠的信任关系,即使在恶意攻击者非法获取到该用户账号的登录信息的情况下,由于无法通过已建立信任关系的设备的验证,无法将其非法设备加入到该信任关系中。附图说明图1为本专利技术一个实施例的授信管理方法的示例性流程图;图2为本专利技术另一个实施例的授信管理方法的示例性流程图;图3为本专利技术一个实施例的授信管理装置的示例性框图。具体实施方式下面参照附图对本专利技术的各个实施例进行详细说明。图1为本专利技术一个实施例的授信管理方法的示意性流程图。本专利技术实施例的授信管理方法应用于服务端。如图1所示,本专利技术实施例的授信管理方法包括:S11、将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;S12、接收来自第一设备的加入请求包,所述加入请求包与所述授信文件相关并包括第一设备的设备公钥及第一校验码;S13、将授信文件和所述加入请求包发送给N个受信任设备中的任意M个受信任设备进行验证,1≤M≤N;S14、确认是否从完成验证的受信任设备接收到包括更新后公钥表的更新后授信文件,如是则进行S15,否则结束处理;S15、用更新后公钥表覆盖原公钥表,更新后公钥表包括第一设备的设备公钥。授信文件用来记录待建立相互间信任关系的受信任设备的设备公钥,并且新加入授信文件的设备需要经过已加入授信文件的设备的验证。这里,加入同一信任关系群的受信任设备之间可以存在某种关系,或者可以不存在关系。例如,加入同一信任关系群的受信任设备之间存在关系的情况可以包括均属于同一用户、用户均属于同一家庭的成员、用户均属于同一企业的成员的情况等,相应地,服务端可以例如将同一用户的用户ID、同一家庭的家庭ID、同一企业的企业ID或同一工作小组的小组ID等与授信文件关联存储。或者服务端也可以将同一家庭或同一企业不同成员的设备要登录的同一用户账号与授信文件关联存储,第一用户账号可以是用户在服务应用或服务网站注册并使用的账号,个人用户或家庭用户可以在不同的设备上使用第一用户账号登录到服务应用或服务网站,或者第一用户账号可以是企业在企业服务器上配置的工作账号,同一公司的多个不同的用户也可以在不同的设备上使用同一个用户账号登录到企业服务器。首先对N=1,M=1时的情形进行说明。N=1且M=1即授信文件的公钥表中只有一个受信任设备的设备公钥。具体而言,例如,注册了第一用户账号的用户在一设备上首次登录第一用户账号时将该设备作为第一个受信任设备关联到第一用户账号,或者企业的一位工作人员需要为企业的准备成立的一个工作小组的设备建立信任关系,此时,由注册了第一用户账号的用户或该工作人员使用其所操作的设备作为第一个受信任设备创建授信文件,在授信文件中包括公钥表,该公钥表中仅包括该第一个受信任设备的设备公钥,然后该用户或该工作人员通过该第一个受信任设备将该创建的授信文件发送到服务端。服务端接收到来自该第一个受信任设备的授信文件后,将该授信文件进行存储,在存储该授信文件时可以将该第一个受信任设备所登录的第一用户账号或者该组工作人员的小组ID相关联地进行存储(S11)。之后,当用户需要在另一个设备上登录上述第一用户账号,或者另一工作人员需要加入上述工作小组,需要将该另一个设备或该另一工作人员的设备加入设备信任关系,在此也即与第一个受信任设备之间建立信任关系时,通过该另一个设备或该另一工作人员的设备向服务端发送加入请求包。这里的该另一个设备或该另一工作人员的设备即为S12中的第一设备。加入请求包中需要包括第一设备的设备公钥和第一校验码,第一校验码用于对第一设备进行验证,第一设备的设备公钥用于在对第一设备进行验证成功后加入到授信文件的公钥表中。加入请求包中还可以包括用于表示该加入请求包与授信文件相关的信息,本文档来自技高网...
【技术保护点】
1.一种授信管理方法,应用于服务端,所述方法包括:将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;接收来自第一设备的加入请求包,所述加入请求包与所述授信文件相关并包括第一设备的设备公钥及第一校验码;将授信文件和所述加入请求包发送给N个受信任设备中的任意M个受信任设备进行验证,1≤M≤N,如从完成验证的受信任设备接收到包括更新后公钥表的更新后授信文件,则用更新后公钥表覆盖原公钥表,更新后公钥表包括第一设备的设备公钥。
【技术特征摘要】
1.一种授信管理方法,应用于服务端,所述方法包括:将包括公钥表的授信文件进行存储,所述公钥表包括N个受信任设备的设备公钥,N≥1;接收来自第一设备的加入请求包,所述加入请求包与所述授信文件相关并包括第一设备的设备公钥及第一校验码;将授信文件和所述加入请求包发送给N个受信任设备中的任意M个受信任设备进行验证,1≤M≤N,如从完成验证的受信任设备接收到包括更新后公钥表的更新后授信文件,则用更新后公钥表覆盖原公钥表,更新后公钥表包括第一设备的设备公钥。2.如权利要求1所述的方法,其特征在于,所述授信文件与第一用户账号关联存储。3.如权利要求1所述的方法,其特征在于,所述授信文件中包括使用所述N个受信任设备中的任意K个受信任设备的设备私钥对公钥表进行签名处理生成的K个第一数字签名,1≤K≤N。4.如权利要求1或3所述的方法,其特征在于,所述更新后授信文件包括使用所述M个受信任设备中任意L个受信任设备的设备私钥对所述更新后公钥表进行签名处理生成的第二数字签名,1≤L≤M。5.如权利要求2所述的方法,其特征在于,所述授信文件中包括使用基于第一用户账号的登录信息生成的公私钥对中的私钥对公钥表进行签名处理生成的第三数字签名。6.如权利要求1或5所述的方法,其特征在于,所述更新后授信文件包括使用基于第一用户账号的登录信...
【专利技术属性】
技术研发人员:孙吉平,刘跃峰,
申请(专利权)人:北京深思数盾科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。