本申请公开了一种信息认证方法和数据访问方法、系统和电子设备。其中,该方法包括:响应于来自信息服务系统的信息验证请求,对信息验证请求中的访问凭据进行验证,得到验证结果,其中,访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境;响应于验证结果为登录信息和可信执行环境有效,生成验证通过消息,以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。本申请解决了信息认证的安全性低的技术问题。本申请解决了信息认证的安全性低的技术问题。本申请解决了信息认证的安全性低的技术问题。
【技术实现步骤摘要】
信息认证方法和数据访问方法、系统和电子设备
[0001]本申请涉及信息处理领域,具体而言,涉及一种信息认证方法和数据访问方法、系统和电子设备。
技术介绍
[0002]目前,客户端的身份是安全访问服务边界(Secure Access Service Edge,简称为SASE)系统中保证系统数据安全的核心要素,保护身份的安全是系统整体安全的根基。
[0003]在相关技术中,通常是由客户端(比如,软件)收集、生成的客户端的登录信息(比如,身份信息),但是,上述方法生成的登录信息容易被伪造,从而使攻击者骗过基于身份的认证,导致信息服务系统被攻击,进而导致存在信息认证的安全性低的技术问题。
[0004]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0005]本申请实施例提供了一种信息认证方法和数据访问方法、系统和电子设备,以至少解决信息认证的安全性低的技术问题。
[0006]根据本申请实施例的一个方面,提供了一种信息认证方法。该方法可以包括:响应于来自信息服务系统的信息验证请求,对信息验证请求中的访问凭据进行验证,得到验证结果,其中,访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境;响应于验证结果为登录信息和可信执行环境有效,生成验证通过消息,以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。
[0007]根据本申请实施例的另一方面,还提供了一种数据访问方法。该方法可以包括:向身份源系统发送信息验证请求,其中,信息验证请求包括用于使客户端进行访问的访问凭据,访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境;在身份源系统响应于信息验证请求,验证登录信息和可信执行环境有效的情况下,向客户端发送与登录信息相匹配的访问数据。
[0008]根据本申请实施例的另一方面,还提供了另一种数据访问方法。该方法可以包括:向信息服务系统发送访问凭据,其中,访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境,包括访问凭据的信息验证请求由信息服务系统发送至身份源系统;在身份源系统响应于信息验证请求,验证登录信息和可信执行环境有效的情况下,接收来自信息服务系统的与登录信息相匹配的访问数据。
[0009]根据本申请实施例的另一方面,还提供了一种数据访问系统。该系统可以包括:客户端、信息服务系统和身份源系统,其中,客户端,用于获取访问凭据,其中,访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境;信息服务系统,用于向身份源系统发送包括访问凭据的信息验证请求;身份源系统,用于响应于信息验证请求,对访问凭据进行验证,得到验证结果,且响应于验证结果为登录信息和可信执行环境有效,生成验证通过消息;其中,信息服务系统用于响应于验证通过消息,向客户端发送与登录信息相匹配
的访问数据。
[0010]根据本申请实施例的另一方面,还提供了一种电子设备,电子设备可以包括存储器和处理器;存储器用于存储计算机可执行指令,处理器用于执行计算机可执行指令,上述计算机可执行指令被处理器执行时,实现上述任意一项方法。
[0011]根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,在程序运行时执行上述任意一项方法。
[0012]根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一项方法。
[0013]在本申请实施例中,响应于来自信息服务系统的信息验证请求,对信息验证请求中的访问凭据进行验证,得到验证结果,其中,访问凭据用于表征客户端的登录信息和客户端所处设备的可信执行环境;响应于验证结果为登录信息和可信执行环境有效,生成验证通过消息,以使信息服务系统响应于验证通过消息向客户端发送与登录信息相匹配的访问数据。也即,在本申请实施例中,结合可信执行环境、在身份源系统侧,将客户端的登录信息(可以标识用户身份)与可信执行环境(可以为特定硬件执行环境)进行绑定,得到访问信息服务系统的访问凭据,从而为信息服务系统提供可信的身份验证能力,使攻击者即使盗取客户端的访问凭据,也无法在非绑定的环境中通过身份认证,进而达到了提高信息认证的安全性的技术效果,解决了信息认证的安全性低的技术问题。
[0014]容易注意到的是,上面的通用描述和后面的详细描述仅仅是为了对本申请进行举例和解释,并不构成对本申请的限定。
附图说明
[0015]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0016]图1是根据本申请实施例的一种用于实现信息认证方法的计算机终端(或移动设备)的硬件结构框图;
[0017]图2是根据本申请实施例的一种计算环境的结构框图;
[0018]图3是根据本申请实施例的一种信息认证方法的流程图;
[0019]图4是根据本申请实施例的一种数据访问方法的流程图;
[0020]图5是根据本申请实施例的另一种数据访问方法的流程图;
[0021]图6是根据本申请实施例的一种数据访问系统的示意图;
[0022]图7是根据本申请实施例的一种增强身份认证方法的流程图;
[0023]图8是根据本申请实施例的一种信息认证装置的示意图;
[0024]图9是根据本申请实施例的一种数据访问装置的示意图;
[0025]图10是根据本申请实施例的另一种数据访问装置的示意图
[0026]图11是根据本申请实施例的一种计算机终端的结构框图;
[0027]图12是根据本申请实施例的一种信息认证方法的电子设备的框图。
具体实施方式
[0028]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0029]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0030]首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
[0031]可信执行环境(Trusted Execut ion Env本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种信息认证方法,其特征在于,包括:响应于来自信息服务系统的信息验证请求,对所述信息验证请求中的访问凭据进行验证,得到验证结果,其中,所述访问凭据用于表征客户端的登录信息和所述客户端所处设备的可信执行环境;响应于所述验证结果为所述登录信息和所述可信执行环境有效,生成验证通过消息,以使所述信息服务系统响应于所述验证通过消息向所述客户端发送与所述登录信息相匹配的访问数据。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:响应于来自所述客户端的信息创建请求,创建所述登录信息的第一密钥信息,其中,所述第一密钥信息用于与所述可信执行环境进行绑定,绑定后的所述第一密钥信息用于生成所述访问凭据。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:将所述第一密钥信息返回至所述客户端,其中,所述第一密钥信息由所述客户端调用所述设备的可信执行环境接口与所述可信执行环境进行绑定。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:向信息校验端发送信息校验请求;获取信息校验端响应信息校验请求,对所述信息创建请求进行校验而得到的校验结果;响应于所述校验结果为对所述信息创建请求校验成功,允许响应于所述信息创建请求,创建所述登录信息的第一密钥信息。5.根据权利要求1所述的方法,其特征在于,所述验证通过消息包括所述登录信息,所述登录信息用于使所述信息服务系统匹配所述登录信息所属访问权限下的所述访问数据。6.根据权利要求1所述的方法,其特征在于,所述登录信息与所述访问凭据中的签名数据相匹配,所述签名数据为基于所述可信执行环境的第二密钥信息,对与所述可信执行环境绑定的第一密钥信息进行数字签名得到。7.根据权利要求6所述的方法,其特征在于,响应于来自信息服务系统的信息验证请求,对所述信息验证请求中的访问凭据进行验证,得到验证结果,包括:响应于所述信息验证请求,对所述访问凭据中的签名数据进行验证,得到所述验证结果,其中,所述签名数据为基于所述第二密钥信息对所述第一密钥信息进行数字签名得到。8.根据权利要求1所述的方法,其特征在于,响应于来自信息服务系统的信息验证请求,对所述信息验证请求中的访问凭据进行验证,得到验证结果,包括:向与所述设备的可信执行环境接口对应的第三方服务端,发送所述信息验证请求;获取所述第三方服务端响应所述信息验证请求,对所述访问凭据进行验证,而得到的所述验证结果。9.一种数据访问方法,其特征在于,包括:向身份源系统发送信息验证请求,其中,所述信息验证请求包括用于使客户端进行访问的访问凭据,所述访问凭据用于表征...
【专利技术属性】
技术研发人员:买宇飞,路放,
申请(专利权)人:阿里云计算有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。