一种基于标识密钥的句柄权限控制方法、装置和系统制造方法及图纸

本申请实施例提供了一种基于标识密钥的句柄权限控制方法、装置和系统，涉及句柄服务机构和句柄客户端；句柄服务机构接收句柄客户端发送的操作请求报文；句柄服务机构将操作请求报文进行哈希计算后的消息摘要值以及随机生成的随机数据作为挑战报文反馈至句柄客户端；句柄服务机构接收句柄客户端使用其标识对应的标识私钥对挑战报文进行数字签名形成的响应报文；句柄服务机构根据预设标识集合配置信息检查句柄客户端的标识是否为有效标识；且句柄服务机构根据预设标识密码系统参数配置信息获取标识密码系统参数，校验对挑战报文的数字签名；句柄客户端的标识有效且数字签名校验成功，句柄服务机构则响应句柄客户端的请求。

【技术实现步骤摘要】
一种基于标识密钥的句柄权限控制方法、装置和系统
本申请涉及工业互联网
，特别是涉及一种基于标识密钥的句柄权限控制方法、装置和系统。
技术介绍
随着物联网、5G网络和工业技术的快速发展，智慧城市、虚拟现实、工业智能化生产等新型应用不断涌现，可穿戴设备、工业机器、传感器等数量呈爆炸式增长，未来网络正由消费型向生产型转变。根据2018年思科VNI报告，到2022年，机器设备连接数量将达到146亿，份额将达到51％，超过全球连接设备的一半。工业生产的特殊性要求工业网络能通过智能化手段对环境信息进行感知、支持大量异构设备接入、支持海量多源、多模态数据高速率传输、具备更强的安全性，从而为企业生产提供更好的服务，这给传统互联网在架构、安全、性能上带来了巨大的挑战。工业互联网连接产业上下游，打破了以往相对明晰的责任边界，产生更大范围、更复杂的影响，给安全防护带来了巨大挑战。此外，工业互联网服务与企业生产、人员安全密切相关，从而对安全有更高要求。然而，现有DNS协议在设计之初并未考虑太多安全因素，协议本身存在的脆弱性使DNS面临各种威胁，如缓存投毒本文档来自技高网...

【技术保护点】
1.一种基于标识密钥的句柄权限控制方法，其特征在于，所述方法涉及句柄服务机构和句柄客户端；/n所述方法包括：/n所述句柄服务机构接收所述句柄客户端发送的操作请求报文；/n所述句柄服务机构将所述操作请求报文进行哈希计算后的消息摘要值以及随机生成的随机数据作为挑战报文反馈至所述句柄客户端；/n所述句柄服务机构接收所述句柄客户端使用其标识对应的标识私钥对所述挑战报文进行数字签名形成的响应报文；/n所述句柄服务机构根据预设标识集合配置信息检查所述句柄客户端的标识是否为有效标识；且所述句柄服务机构根据预设标识密码系统参数配置信息获取标识密码系统参数，校验所述对挑战报文的数字签名；/n若所述句柄客户端的标...

【技术特征摘要】
1.一种基于标识密钥的句柄权限控制方法，其特征在于，所述方法涉及句柄服务机构和句柄客户端；
所述方法包括：
所述句柄服务机构接收所述句柄客户端发送的操作请求报文；
所述句柄服务机构将所述操作请求报文进行哈希计算后的消息摘要值以及随机生成的随机数据作为挑战报文反馈至所述句柄客户端；
所述句柄服务机构接收所述句柄客户端使用其标识对应的标识私钥对所述挑战报文进行数字签名形成的响应报文；
所述句柄服务机构根据预设标识集合配置信息检查所述句柄客户端的标识是否为有效标识；且所述句柄服务机构根据预设标识密码系统参数配置信息获取标识密码系统参数，校验所述对挑战报文的数字签名；
若所述句柄客户端的标识有效且所述数字签名校验成功，所述句柄服务机构则响应所述句柄客户端的请求。


2.根据权利要求1所述的方法，其特征在于，所述句柄服务机构根据预设标识集合配置信息检查所述句柄客户端的标识是否为有效标识的步骤，包括：
若所述操作请求报文中句柄管理的句柄和索引指向的管理记录内有指向标识集合类型值记录，则判断所述句柄客户端的标识是否在所述标识集合类型值记录的有效用户集合内，并且不在无效用户集合内：
若是，则所述句柄客户端的标识为有效标识；
若否，则所述句柄客户端的标识为无效标识；
若所述操作请求报文中句柄管理的句柄和索引内没有指向对应标识集合类型值记录，则判断所述句柄客户端的标识与所述句柄管理的句柄和索引作为标识是否匹配：
若是，则所述句柄客户端的标识为有效标识；
若否，则所述句柄客户端的标识为无效标识。


3.根据权利要求1所述的方法，其特征在于，所述句柄服务机构根据预设标识密码系统参数配置信息获取标识密码系统参数的步骤，包括：
查找所述操作请求报文中句柄管理的句柄和索引内是否含有指向对应标识集合类型值记录；
若有，则使用所述标识集合类型值记录中<reference>指向的标识密码系统参数类型值记录作为所述标识密码系统参数配置信息，进一步查询句柄服务对应记录中的标识密码系统参数；
若无，则将所述句柄管理的句柄和索引对应记录中<reference>指向的标识密码系统参数类型值记录作为所述标识密码系统参数配置信息，进一步查询句柄服务对应记录中的标识密码系统参数。


4.根据权利要求1所述的方法，其特征在于，所述句柄客户端使用其标识对应的标识私钥对所述挑战报文数据进行数字签名及所述句柄服务机构根据标识密码系统参数配置信息获取标识密码系统参数，校验所述句柄客户端签名的步骤，包括：
若采用SM9算法，则基于SM9的标准签名、验签步骤；
若采用基于SM2的无证书算法，则签名步骤遵循算法约定，签名值包括句柄客户端的公钥数据，句柄服务机构从句柄客户端的签名数据中获取公钥数据，根据句柄客户端的标识、公钥数据、系统参数计算句柄客户端的完整公钥后验签；
若采用对称密钥算法，则基于消息认证码的生成和校验步骤。


5.根据权利要求1所述的方法，其特征在于，所述操作请求报文包括需要授权的句柄记录访问操作请求以及会话建立操作请求。


6.一种基于标识密钥的句柄权限控制方法，其特征在于，所述方法涉及句柄服务机构和句柄客户端；
所述方法包括：
所述句柄客户端生成操作请求报文，并发送至所述句柄服务机构；
所述句柄客户端接收所述句柄服务机构根据所述操作请求报文进行哈希计算后的消息摘要值以及随机生成的随机数据生成的挑战报文；
所述句柄客户端使用其...

【专利技术属性】
技术研发人员：程朝辉，但波，胡敦粮，
申请(专利权)人：深圳奥联信息安全技术有限公司，
类型：发明
国别省市：广东;44