【技术实现步骤摘要】
【国外来华专利技术】作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥
[0001]本公开一般地涉及用户认证和授权,并且更具体地涉及在由资源用户做出的用于用户认证和授权的受保护资源访问请求的标头字段集合上将对应于该资源用户的基于属性的加密用户密钥用作用于密钥散列消息认证码数字签名的秘钥。
技术介绍
[0002]用户认证和授权是网络安全的关键组成部分。例如,认证用户的身份是由用户提供针对访问安全用户账户、执行安全交易、访问安全网络资源等的控制的第一步。认证意味着确认用户的身份,而授权意味着向用户授予许可。换言之,认证是验证用户是谁的过程,而授权是验证用户能够执行或能够访问什么的过程。授权是指定对安全或受保护资源的访问权限或特权的功能,其与访问控制相关。授权由访问控制策略定义。在授权操作期间,计算机系统使用访问控制策略来确定来自认证用户的受保护资源访问请求是被批准(即,授权访问)还是未被批准(即,拒绝访问)。受保护资源可以包括例如包含机密或敏感信息的数据、文件、文档、软件应用和程序、存储、处理器、内存、网络资源等。逻辑上,认证在授权之前。
[0003]网络安全性由这些访问控制策略组成,这些访问控制策略被采用来防止和监视网络可访问的受保护资源的未授权访问、滥用、修改或拒绝。通常,用户选择或被分配标识符,诸如用户名和密码或允许用户访问用户权限内的网络可访问受保护资源的其他认证信息。例如,一旦被认证,防火墙就强制执行访问控制策略,该访问控制策略定义相应用户被允许访问网络上的什么受保护资源。
技术实现思路
>[0004]根据一个说明性实施例,提供了一种用于资源用户认证和授权的计算机实现的方法。计算机基于使用检索的基于属性的加密用户密钥作为用于经由网络从资源用户的客户端设备接收的受保护资源访问请求的标头字段集合上的密钥散列消息认证码数字签名的秘钥来生成认证码。计算机将生成的认证码与在受保护资源访问请求的嵌入标头字段内读取的认证码进行比较。计算机确定生成的认证码和在嵌入标头字段内读取的认证码之间是否存在匹配。响应于计算机确定在生成的认证码和在嵌入标头字段内读取的认证码之间存在匹配,计算机认证资源用户。计算机响应于资源用户的认证,使用所检索的对应于资源用户的基于属性的加密用户密钥,执行对应于受保护资源访问请求的加密的受保护资源的解密。根据其他说明性实施例,提供了一种用于资源用户认证和授权的计算机系统和计算机程序产品。
附图说明
[0005]图1是可以实现说明性实施例的数据处理系统网络的绘图表示;
[0006]图2是可以实现说明性实施例的数据处理系统的图;
[0007]图3是示出了可以实现说明性实施例的云计算环境的图;
[0008]图4是示出根据说明性实施例的云计算环境的抽象层的示例的图;
[0009]图5是示出根据说明性实施例的受保护资源访问控制系统的示例的图;
[0010]图6是示出根据说明性实施例的受保护资源访问请求标头的示例的图;
[0011]图7是示出根据说明性实施例的受保护资源访问控制过程的示例的图;
[0012]图8A
‑
8B是示出根据说明性实施例的用于资源服务器的过程的流程图;以及
[0013]图9是示出根据说明性实施例的用于客户端资源应用的过程的流程图。
具体实施方式
[0014]本专利技术可以是任何可能的技术细节集成水平的系统、方法和/或计算机程序产品。计算机程序产品可包括其上具有用于使处理器执行本专利技术的各方面的计算机可读程序指令的计算机可读存储介质。
[0015]计算机可读存储介质可为可保留和存储供指令执行装置使用的指令的有形装置。计算机可读存储介质可以是,例如但不限于,电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储介质的更具体示例的非穷尽列表包括以下各项:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式紧凑盘只读存储器(CD
‑
ROM)、数字通用盘(DVD)、记忆棒、软盘、诸如穿孔卡之类的机械编码设备或具有记录在其上的指令的槽中的凸出结构、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储介质不应被解释为暂时性信号本身,例如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,穿过光纤电缆的光脉冲)或通过电线发射的电信号。
[0016]本文中所描述的计算机可读程序指令可以经由网络(例如,互联网、局域网、广域网和/或无线网络)从计算机可读存储介质下载到相应的计算/处理设备,或者下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
[0017]用于执行本专利技术的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种程序设计语言的任何组合编写的源代码或目标代码,这些程序设计语言包括面向对象的程序设计语言(诸如Smalltalk、C++等)和过程程序设计语言(诸如“C”程序设计语言或类似程序设计语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接至用户计算机,或者可连接至外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例中,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可
读程序指令的状态信息来使电子电路个性化来执行计算机可读程序指令,以便执行本专利技术的各方面。
[0018]下面将参照根据本专利技术实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本专利技术。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
[0019]这些计算机可读程序指令可被提供给计算机或其他可编程数据处理装置的处理器以产生机器,使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的或多个框中指定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置、和/或其他设备以特定方式工作,从而,其中存储有指令的计算机可读存储介质包括包含实现流程图和/或框图中的或多个方框中规定的功能/动作的方面的指令的制造品。
[0020]也可以把计算本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于资源用户认证和授权的计算机实现的方法,所述计算机实现的方法包括:由计算机基于将检索的基于属性的加密用户密钥用作用于经由网络从资源用户的客户端设备接收的受保护资源访问请求的一组标头字段上的密钥散列消息认证码数字签名的秘钥来生成认证码;由所述计算机将所生成的认证码与在所述受保护资源访问请求的嵌入标头字段内读取的认证码进行比较;由所述计算机确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间是否存在匹配;响应于所述计算机确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间存在匹配,由所述计算机认证所述资源用户;以及响应于所述资源用户的认证,由所述计算机使用对应于所述资源用户的所检索的基于属性的加密用户密钥执行对应于所述受保护资源访问请求的加密的受保护资源的解密。2.根据权利要求1所述的计算机实现的方法,进一步包括:由所述计算机确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密是否成功以形成解密的受保护资源;响应于所述计算机确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密成功以形成解密的受保护资源,由所述计算机确定所述资源用户被授权访问所述解密的受保护资源并且准予访问;以及响应于所述计算机确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密不成功,由所述计算机确定所述资源用户未被授权访问所述加密的受保护资源并且拒绝访问。3.根据权利要求1所述的计算机实现的方法,进一步包括:由所述计算机经由所述网络从对应于所述资源用户的所述客户端设备接收所述受保护资源访问请求,所述受保护资源访问请求包括所述一组标头字段、包含所述认证码的嵌入认证码字段以及包含用户密钥标识符的嵌入用户密钥标识符字段;由所述计算机读取所述受保护资源访问请求中的包含所述认证码的嵌入认证码字段和包含所述用户密钥标识符的嵌入用户密钥标识符字段;以及由所述计算机使用在所述受保护资源访问请求的所述嵌入用户密钥标识符字段内读取的所述用户密钥标识符从所述计算机的密钥存储中检索基于属性的加密用户密钥以形成检索的基于属性的加密用户密钥,其中所述用户密钥标识符唯一地标识所述密钥存储中的基于属性的加密用户密钥。4.根据权利要求3所述的计算机实现的方法,其中除了所述一组标头字段外,所述客户端设备的客户端资源应用还将所述嵌入认证码字段和所述嵌入用户密钥标识符字段嵌入所述受保护资源访问请求中,并且其中所述客户端资源应用在向所述计算机发送所述受保护资源访问请求之前,将所述认证码插入所述嵌入认证码字段中并且将所述用户密钥标识符插入所述嵌入用户密钥标识符字段中,并且其中所述客户端资源应用在所述计算机成功解密后利用所述加密的受保护资源。5.根据权利要求1所述的计算机实现的方法,其中,所述受保护资源访问请求是请求访问由所述计算机托管的所述加密的受保护资源。
6.根据权利要求1所述的计算机实现的方法,其中,所检索的基于属性的加密用户密钥对应于所述资源用户。7.根据权利要求1所述的计算机实现的方法,进一步包括:响应于所述计算机确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间不存在匹配,由所述计算机确定所述资源用户未被认证并且拒绝所述资源用户对所述加密的受保护资源的访问。8.一种用于资源用户认证和授权的计算机系统,所述计算机系统包括:总线系统;连接至所述总线系统的存储设备,其中所述存储设备存储程序指令;以及连接至所述总线系统的处理器,其中所述处理器执行所述程序指令以:基于将检索的基于属性的加密用户密钥用作用于在经由网络从资源用户的客户端设备接收的受保护资源访问请求的一组标头字段上的密钥散列消息认证码数字签名的秘钥来生成认证码;将所生成的认证码与在所述受保护资源访问请求的嵌入标头字段内读取的认证码进行比较;确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间是否存在匹配;响应于确定在所生成的认证码和在所述嵌入标头字段内读取的认证码之间存在匹配,认证所述资源用户;以及响应于所述资源用户的认证,使用对应于所述资源用户的所检索的基于属性的加密用户密钥来执行对应于所述受保护资源访问请求的加密的受保护资源的解密。9.根据权利要求8所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:使用所检索的基于属性的加密用户密钥确定对所述加密的受保护资源的解密是否成功以形成解密的受保护资源;响应于确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密成功以形成所述解密的受保护资源,确定所述资源用户被授权访问所述解密的受保护资源并准许访问;以及响应于确定使用所检索的基于属性的加密用户密钥对所述加密的受保护资源的解密不成功,确定所述资源用户未被授权访问所述加密的受保护资源并且拒绝访问。10.根据权利要求8所述的计算机系统,其中,所述处理器进一步执行所述程序指令以:经由所述网络从对应...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。