作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥制造技术

提供了资源用户认证和授权。基于将检索的基于属性的加密用户密钥用作用于经由网络从资源用户的客户端设备接收的受保护资源访问请求的一组标头字段上的密钥

【技术实现步骤摘要】
【国外来华专利技术】作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥


[0001]本公开一般地涉及用户认证和授权，并且更具体地涉及在由资源用户做出的用于用户认证和授权的受保护资源访问请求的标头字段集合上将对应于该资源用户的基于属性的加密用户密钥用作用于密钥散列消息认证码数字签名的秘钥。

技术介绍

[0002]用户认证和授权是网络安全的关键组成部分。例如，认证用户的身份是由用户提供针对访问安全用户账户、执行安全交易、访问安全网络资源等的控制的第一步。认证意味着确认用户的身份，而授权意味着向用户授予许可。换言之，认证是验证用户是谁的过程，而授权是验证用户能够执行或能够访问什么的过程。授权是指定对安全或受保护资源的访问权限或特权的功能，其与访问控制相关。授权由访问控制策略定义。在授权操作期间，计算机系统使用访问控制策略来确定来自认证用户的受保护资源访问请求是被批准(即，授权访问)还是未被批准(即，拒绝访问)。受保护资源可以包括例如包含机密或敏感信息的数据、文件、文档、软件应用和程序、存储、处理器、内存、网络资源等。逻辑上，认证在授权之前。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于资源用户认证和授权的计算机实现的方法，所述计算机实现的方法包括：由计算机基于将检索的基于属性的加密用户密钥用作用于经由网络从资源用户的客户端设备接收的受保护资源访问请求的一组标头字段上的密钥散列消息认证码数字签名的秘钥来生成认证码；由所述计算机将所生成的认证码与在所述受保护资源访问请求的嵌入标头字段内读取的认证码进行比较；由所述计算机确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间是否存在匹配；响应于所述计算机确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间存在匹配，由所述计算机认证所述资源用户；以及响应于所述资源用户的认证，由所述计算机使用对应于所述资源用户的所检索的基于属性的加密用户密钥执行对应于所述受保护资源访问请求的加密的受保护资源的解密。2.根据权利要求1所述的计算机实现的方法，进一步包括：由所述计算机确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密是否成功以形成解密的受保护资源；响应于所述计算机确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密成功以形成解密的受保护资源，由所述计算机确定所述资源用户被授权访问所述解密的受保护资源并且准予访问；以及响应于所述计算机确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密不成功，由所述计算机确定所述资源用户未被授权访问所述加密的受保护资源并且拒绝访问。3.根据权利要求1所述的计算机实现的方法，进一步包括：由所述计算机经由所述网络从对应于所述资源用户的所述客户端设备接收所述受保护资源访问请求，所述受保护资源访问请求包括所述一组标头字段、包含所述认证码的嵌入认证码字段以及包含用户密钥标识符的嵌入用户密钥标识符字段；由所述计算机读取所述受保护资源访问请求中的包含所述认证码的嵌入认证码字段和包含所述用户密钥标识符的嵌入用户密钥标识符字段；以及由所述计算机使用在所述受保护资源访问请求的所述嵌入用户密钥标识符字段内读取的所述用户密钥标识符从所述计算机的密钥存储中检索基于属性的加密用户密钥以形成检索的基于属性的加密用户密钥，其中所述用户密钥标识符唯一地标识所述密钥存储中的基于属性的加密用户密钥。4.根据权利要求3所述的计算机实现的方法，其中除了所述一组标头字段外，所述客户端设备的客户端资源应用还将所述嵌入认证码字段和所述嵌入用户密钥标识符字段嵌入所述受保护资源访问请求中，并且其中所述客户端资源应用在向所述计算机发送所述受保护资源访问请求之前，将所述认证码插入所述嵌入认证码字段中并且将所述用户密钥标识符插入所述嵌入用户密钥标识符字段中，并且其中所述客户端资源应用在所述计算机成功解密后利用所述加密的受保护资源。5.根据权利要求1所述的计算机实现的方法，其中，所述受保护资源访问请求是请求访问由所述计算机托管的所述加密的受保护资源。
6.根据权利要求1所述的计算机实现的方法，其中，所检索的基于属性的加密用户密钥对应于所述资源用户。7.根据权利要求1所述的计算机实现的方法，进一步包括：响应于所述计算机确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间不存在匹配，由所述计算机确定所述资源用户未被认证并且拒绝所述资源用户对所述加密的受保护资源的访问。8.一种用于资源用户认证和授权的计算机系统，所述计算机系统包括：总线系统；连接至所述总线系统的存储设备，其中所述存储设备存储程序指令；以及连接至所述总线系统的处理器，其中所述处理器执行所述程序指令以：基于将检索的基于属性的加密用户密钥用作用于在经由网络从资源用户的客户端设备接收的受保护资源访问请求的一组标头字段上的密钥散列消息认证码数字签名的秘钥来生成认证码；将所生成的认证码与在所述受保护资源访问请求的嵌入标头字段内读取的认证码进行比较；确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间是否存在匹配；响应于确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间存在匹配，认证所述资源用户；以及响应于所述资源用户的认证，使用对应于所述资源用户的所检索的基于属性的加密用户密钥来执行对应于所述受保护资源访问请求的加密的受保护资源的解密。9.根据权利要求8所述的计算机系统，其中，所述处理器进一步执行所述程序指令以：使用所检索的基于属性的加密用户密钥确定对所述加密的受保护资源的解密是否成功以形成解密的受保护资源；响应于确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密成功以形成所述解密的受保护资源，确定所述资源用户被授权访问所述解密的受保护资源并准许访问；以及响应于确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密不成功，确定所述资源用户未被授权访问所述加密的受保护资源并且拒绝访问。10.根据权利要求8所述的计算机系统，其中，所述处理器进一步执行所述程序指令以：经由所述网络从对应...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：