本发明专利技术涉及一种在协同签名系统中增强访问控制安全性的方法,属于信息安全技术领域,该方法包括业务预约和业务调用两个阶段,业务预约阶段中:业务应用获取协同签名客户端唯一标识,向业务授权服务发送业务预约请求,业务预约请求中至少包含客户端唯一标识、业务功能和预约有效期;业务授权服务向协同签名服务端发送业务预约消息,协同签名服务端记录业务预约消息;业务调用阶段中:协同签名服务端检查来自客户端的业务请求是否与业务预约消息匹配;如果匹配,将所述业务预约消息的状态标记为已核销;协同签名服务端执行业务请求中的操作。本发明专利技术提供的方法能够显著增强访问控制的安全性,从而提升协同签名系统的整体安全性。从而提升协同签名系统的整体安全性。从而提升协同签名系统的整体安全性。
【技术实现步骤摘要】
一种在协同签名系统中增强访问控制安全性的方法
[0001]本专利技术属于信息安全
,具体为一种在协同签名系统中增强访问控制安全性的方法。
技术介绍
[0002]随着移动互联网业务的飞速发展,用户已经习惯使用手机来处理各种安全业务,比如通过手机应用进行支付、身份认证、签署电子合同等。传统的基于SE的安全方案因为需要额外的硬件资源,移动终端用户使用起来不方便、用户体验不好,部署和采购成本高。纯软件实现的安全方案严重依赖移动终端操作系统的安全性:如果操作系统被攻击,存储用户密钥的文件可能泄露或被篡改,密钥生成和密码运算过程在内存中也面临攻击威胁。
[0003]协同签名系统是一种客户端+服务端的安全解决方案,其客户端不依赖硬件密码芯片、用软件实现密码运算和数字证书应用等安全功能;其服务端具有高等级的安全环境和安全设备。协同签名系统在满足移动终端用户的身份认证、业务数据完整性、抗抵赖等安全需求的同时,还具有部署成本低、用户学习成本低、使用简单便捷、安全性高等显著优势。
[0004]在协同签名系统中,生成用户密钥对时,由客户端、服务端各自生成和保管用户私钥分量,且互相不知道对方持有的分量。使用用户私钥做数字签名、数据加解密时,也是由客户端、服务端依次用自己持有的私钥分量进行密码运算,客户端、服务端之间通过交换计算过程的中间参数,最终得到计算结果。在密钥生成、密钥使用阶段从不会出现完整的用户私钥,可以有效的保护用户密钥安全。
[0005]对协同签名系统进行威胁分析时,按攻击者的能力,破坏行为大致可分为三类:客户端静态分析、客户端动态分析、服务端攻击,具体见下表1。
[0006]表1协同签名系统受到的破坏行为分类
[0007][0008]还可以考虑不同攻击结果造成的破坏性,下列攻击结果在威胁程度上依次递增:
[0009]a)能控制用户手机完成签名、解密的本地计算,但被服务端拒绝;
[0010]b)能获得客户端私钥分量的明文,可在任意设备上完成签名、解密的本地计算,但被服务端拒绝;
[0011]c)能使服务端响应请求,能得到签名、解密结果;
[0012]d)能获得客户端私钥分量的明文,及服务端私钥分量的明文,完全掌握用户私钥。
[0013]协同签名系统的安全性在于:当攻击者只具有上述一类能力时,不能破坏整个系统的安全性;即使攻击者能完全控制客户端,服务端还可以通过停用对应用户的服务端私钥分量,使攻击者不能仅通过客户端私钥分量完成密码计算,及时制止风险行为。
[0014]如果服务端的访问控制设计为仅依赖客户端提供的信息,那么当客户端被攻击者完全控制时,服务端的访问控制也会失效;在攻击被发现之前,攻击者可以随意通过被控制的客户端向服务端发出业务请求并通过访问控制检查,使服务端执行请求并返回响应,达到攻击目的。
[0015]通常,协同签名系统服务端对客户端的访问控制策略基于以下安全需求:
[0016]a)对用户的鉴别:合法用户才能生成密钥,只有密钥的所有者可以使用该密钥;
[0017]b)对客户端应用的鉴别:服务端只响应合法的应用的请求;
[0018]c)对客户端设备的鉴别:请求生成密钥的设备与该密钥绑定,将来也只允许该设备访问此密钥。
[0019]因此,客户端发给服务端的业务请求中,通常包含表2中的鉴别信息。协同签名系统的服务端收到来自客户端的业务请求时,会先验证表2中的鉴别信息,确认请求的合法性后,再执行请求的业务。
[0020]表2鉴别信息
[0021]鉴别信息示例用户的鉴别用户ID、用户密码、用户PIN客户端应用的鉴别应用ID、应用签名、应用证书、SecretKey客户端设备的鉴别设备软硬件信息、设备指纹、设备证书
[0022]上述鉴别信息的获取方式和处理者见表3。
[0023]表3鉴别信息的获取方式和处理者
[0024]鉴别信息获取方式处理者用户的鉴别用户在客户端应用中输入客户端设备客户端应用的鉴别客户端应用提供客户端设备客户端设备的鉴别客户端应用在客户端设备上采集客户端设备
[0025]可见,上述鉴别信息虽然具有多因素的特征,但都源自客户端设备,依赖客户端设备具有可信的运行环境和数据输入输出接口。考虑到协同签名系统的服务端的软硬件环境的安全性通常远高于客户端设备环境的安全性,而服务端对客户端业务请求的访问控制,全部鉴别数据都源自客户端提供的信息,实质上降低了系统的整体安全性。即攻击者只需对安全性较低的客户端实施攻击,即可控制安全性较高的服务端,执行期望的业务功能。在攻击行为被发现之前,攻击者可以用较低的成本突破原本安全级别较高的设施。服务端对客户端的访问控制成了系统安全的短板。
技术实现思路
[0026]为解决现有技术存在的缺陷,本专利技术的目的在于提供一种在协同签名系统中增强访问控制安全性的方法,通过该方法能够显著增强访问控制的安全性,从而提升协同签名系统的整体安全性。
[0027]为达到以上目的,本专利技术采用的一种技术方案是:
[0028]一种在协同签名系统中增强访问控制安全性的方法,所述协同签名系统包括协同签名客户端和协同签名服务端,所述协同签名系统服务于业务系统,所述业务系统包括业务授权服务和运行在所述协同签名客户端上的业务应用;
[0029]所述方法包括业务预约阶段和业务调用阶段,业务预约阶段包括以下步骤:
[0030]S11、业务应用获取协同签名客户端的唯一标识;
[0031]S12、所述业务应用向业务授权服务发送业务预约请求;
[0032]S13、所述业务授权服务根据业务系统的既有规则验证业务请求的合法性;
[0033]S14、验证通过后,所述业务授权服务向协同签名服务端发送业务预约消息;
[0034]S15、所述协同签名服务端记录所述业务预约消息;
[0035]业务调用阶段包括以下步骤:
[0036]S21、所述业务应用调用所述协同签名客户端执行业务功能;
[0037]S22、所述协同签名客户端执行本地计算后,向所述协同签名服务端发起业务请求;
[0038]S23、所述协同签名服务端在已记录的业务预约消息中查找与当前业务请求相匹配的记录,如果未找到匹配的业务预约消息,丢弃当前业务请求,不做处理;
[0039]S24、如果找到匹配的业务预约消息,将所述业务预约消息记录的状态标记为已核销;
[0040]S25、所述协同签名服务端执行业务请求中的操作,并向所述协同签名客户端返回应答消息;
[0041]S26、所述协同签名客户端接收所述协同签名服务端的应答消息,完成本地计算后向所述业务应用返回调用结果。
[0042]进一步,如上所述的在协同签名系统中增强访问控制安全性的方法,所述协同签名服务端和所述业务授权服务处于同一内部网络或其他互相信任的网络域中。
[0043]进一步,如上所述的在协同签名系统中增强访问控制安全性的方法,所述协同签本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种在协同签名系统中增强访问控制安全性的方法,所述协同签名系统包括协同签名客户端和协同签名服务端,所述协同签名系统服务于业务系统,所述业务系统包括业务授权服务和运行在所述协同签名客户端上的业务应用;所述方法包括业务预约阶段和业务调用阶段,业务预约阶段包括以下步骤:S11、业务应用获取协同签名客户端的唯一标识;S12、所述业务应用向业务授权服务发送业务预约请求;S13、所述业务授权服务根据业务系统的既有规则验证业务请求的合法性;S14、验证通过后,所述业务授权服务向协同签名服务端发送业务预约消息;S15、所述协同签名服务端记录所述业务预约消息;业务调用阶段包括以下步骤:S21、所述业务应用调用所述协同签名客户端执行业务功能;S22、所述协同签名客户端执行本地计算后,向所述协同签名服务端发起业务请求;S23、所述协同签名服务端在已记录的业务预约消息中查找与当前业务请求相匹配的记录,如果未找到匹配的业务预约消息,丢弃当前业务请求,不做处理;S24、如果找到匹配的业务预约消息,将所述业务预约消息记录的状态标记为已核销;S25、所述协同签名服务端执行业务请求中的操作,并向所述协同签名客户端返回应答消息;S26、所述协同签名客户端接收所述协同签名服务端的应答消息,完成本地计算后向所述业务应用返回调用结果。2.根据权利要求1所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,所述协同签名服务端和所述业务授权服务处于同一内部网络或其他相互信任的网络域中。3.根据权利要求2所述的在协同签名系统中增强访问控制安全性的方法,其特征在于,所述协同签名服务端包括内部网络输入接口和外部网络输入接口,所述内部网络输入接口用于接收所述业务授权服务的业务预约请求;所述外部网络输入接口用于接收所述协同签名客户端的业务请求。4.根据权利要求3所...
【专利技术属性】
技术研发人员:李勃,刘亚雷,张渊,
申请(专利权)人:北京握奇智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。