ホーム > 特許ランキング > LONG YING BIN
知財求人 - 知財ポータルサイト「IP Force」
特開2024-66500信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及びシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024066500
(43)【公開日】2024-05-15
(54)【発明の名称】信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及びシステム
(51)【国際特許分類】
H04L 9/32 20060101AFI20240508BHJP
G06F 21/64 20130101ALI20240508BHJP
G06F 21/60 20130101ALI20240508BHJP
G06F 21/44 20130101ALI20240508BHJP
【FI】
H04L9/32 200D
G06F21/64
G06F21/60 320
G06F21/44
【審査請求】有
【請求項の数】10
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2023185679
(22)【出願日】2023-10-30
(31)【優先権主張番号】202211372554.5
(32)【優先日】2022-11-01
(33)【優先権主張国・地域又は機関】CN
(71)【出願人】
【識別番号】523411477
【氏名又は名称】龍 応斌
【氏名又は名称原語表記】LONG YING BIN
(74)【代理人】
【識別番号】110000475
【氏名又は名称】弁理士法人みのり特許事務所
(72)【発明者】
【氏名】龍 応斌
(57)【要約】 (修正有)
【課題】信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及びシステムを提供する。
【解決手段】方法は、信頼できる認証リンクを確立することと、前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことと、データアクセスリクエストを送信し、通信認証成功後のデータアクセスリクエストを合法リクエストとし、第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが第2メモリ内から復号化データを取得して保存することと、通信認証が成功しなかったデータアクセスリクエストに電力遮断命令を実行することと、前記第1メモリが電力遮断命令を実行後、保存されている復号化データを消去することと、前記アクセス端末が前記合法リクエストに応答することと、を含む。システムは、認証リンク構築モジュールと、登録認証モジュールと、通信認証モジュールと、データ応答モジュールとを含む。
【選択図】図1
【解決手段】方法は、信頼できる認証リンクを確立することと、前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことと、データアクセスリクエストを送信し、通信認証成功後のデータアクセスリクエストを合法リクエストとし、第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが第2メモリ内から復号化データを取得して保存することと、通信認証が成功しなかったデータアクセスリクエストに電力遮断命令を実行することと、前記第1メモリが電力遮断命令を実行後、保存されている復号化データを消去することと、前記アクセス端末が前記合法リクエストに応答することと、を含む。システムは、認証リンク構築モジュールと、登録認証モジュールと、通信認証モジュールと、データ応答モジュールとを含む。
【選択図】図1
【特許請求の範囲】
【請求項1】
信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法において、
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立することと、
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことと、
アクセス端末内に、第1メモリと、暗号化データが保存されている第2メモリとを設けることと、
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存することと、
通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行することと、
前記第1メモリは揮発性メモリであり、電力遮断命令の実行後、保存されている復号化データを消去することと、
前記第2メモリが不揮発性メモリであることと、
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信して、前記合法リクエストに応答することと、を含むことを特徴とする、
信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立することと、
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことと、
アクセス端末内に、第1メモリと、暗号化データが保存されている第2メモリとを設けることと、
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存することと、
通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行することと、
前記第1メモリは揮発性メモリであり、電力遮断命令の実行後、保存されている復号化データを消去することと、
前記第2メモリが不揮発性メモリであることと、
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信して、前記合法リクエストに応答することと、を含むことを特徴とする、
信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項2】
前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答する前に、さらに、
データリクエスト端がアクセス端末にクロスドメインデータリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存することと、
クロスドメイン通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行することと、を含むことを特徴とする、
請求項1に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
データリクエスト端がアクセス端末にクロスドメインデータリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存することと、
クロスドメイン通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行することと、を含むことを特徴とする、
請求項1に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項3】
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことが、
前記アクセス端末が前記信頼できる認証リンク中の前記エッジ認証サーバに登録リクエスト情報M1を送信することと、
前記エッジ認証サーバが前記登録リクエスト情報M1に対して復号化検証を行って、前記アクセス端末が合法アクセス端末か否かを確定することと、
前記アクセス端末が合法アクセス端末であることに呼応して、前記エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに証明書署名リクエスト情報M2(M2:N1)を送信することと、
前記ブロックチェーン認証サーバが前記証明書署名リクエスト情報M2に基づいて有効性検証を行うことと、
前記証明書署名リクエストM2が有効であると検証されたことに呼応して、前記ブロックチェーンが、前記アクセス端末に対応する登録ハッシュ値h1を含む、前記アクセス端末に対応するデジタル証明書を生成して保存することと、
前記ブロックチェーン認証サーバが前記登録ハッシュ値h1を前記アクセス端末に返送することと、を含むことを特徴とする、
請求項2に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記アクセス端末が前記信頼できる認証リンク中の前記エッジ認証サーバに登録リクエスト情報M1を送信することと、
前記エッジ認証サーバが前記登録リクエスト情報M1に対して復号化検証を行って、前記アクセス端末が合法アクセス端末か否かを確定することと、
前記アクセス端末が合法アクセス端末であることに呼応して、前記エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに証明書署名リクエスト情報M2(M2:N1)を送信することと、
前記ブロックチェーン認証サーバが前記証明書署名リクエスト情報M2に基づいて有効性検証を行うことと、
前記証明書署名リクエストM2が有効であると検証されたことに呼応して、前記ブロックチェーンが、前記アクセス端末に対応する登録ハッシュ値h1を含む、前記アクセス端末に対応するデジタル証明書を生成して保存することと、
前記ブロックチェーン認証サーバが前記登録ハッシュ値h1を前記アクセス端末に返送することと、を含むことを特徴とする、
請求項2に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項4】
前記第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行うことが、
前記アクセス端末が前記前記第1エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含む通信リクエスト情報M3を送信することと、
前記第1エッジ認証サーバが前記通信リクエスト情報M3を復号化して前記アクセス端末に対してID認証を行い、前記アクセス端末が登録済みか否かを確定することと、
前記アクセス端末が登録済みであると確定されたことに呼応して、前記第1エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第1端末ハッシュリクエスト情報M4を送信することと、
前記ブロックチェーン認証サーバが前記第1端末ハッシュリクエスト情報M4に対して有効性検証を行うことと、
前記第1端末ハッシュリクエスト情報M4が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第1エッジ認証サーバに送信することと、
前記第1エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証することと、
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致していることに呼応して、前記アクセス端末が通信認証を通過し、前記第1エッジ認証サーバが前記アクセス端末に認証成功情報M5を送信することと、を含むことを特徴とする、
請求項3に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記アクセス端末が前記前記第1エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含む通信リクエスト情報M3を送信することと、
前記第1エッジ認証サーバが前記通信リクエスト情報M3を復号化して前記アクセス端末に対してID認証を行い、前記アクセス端末が登録済みか否かを確定することと、
前記アクセス端末が登録済みであると確定されたことに呼応して、前記第1エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第1端末ハッシュリクエスト情報M4を送信することと、
前記ブロックチェーン認証サーバが前記第1端末ハッシュリクエスト情報M4に対して有効性検証を行うことと、
前記第1端末ハッシュリクエスト情報M4が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第1エッジ認証サーバに送信することと、
前記第1エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証することと、
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致していることに呼応して、前記アクセス端末が通信認証を通過し、前記第1エッジ認証サーバが前記アクセス端末に認証成功情報M5を送信することと、を含むことを特徴とする、
請求項3に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項5】
前記第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行うことが、
前記アクセス端末が前記第2エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含むクロスドメイン通信リクエスト情報M6を送信することと、
前記第2エッジ認証サーバが前記第1エッジ認証サーバにクロスドメイン認証リクエスト情報M7を送信することと、
前記第1エッジ認証サーバが前記第2エッジ認証サーバに前記アクセス端末に対応する登録情報M8を送信することと、
前記第2エッジ認証サーバが前記アクセス端末の前記登録情報に対して有効性認証を行うことと、
前記登録情報M8が有効であることに呼応して、前記第2エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第2端末ハッシュリクエスト情報M9を送信することと、
前記ブロックチェーン認証サーバが前記第2端末ハッシュリクエスト情報M9に対して有効性検証を行うことと、
前記第2端末ハッシュリクエスト情報M9が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第2エッジ認証サーバに送信することと、
前記第2エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証することと、
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致することに呼応して、前記アクセス端末がクロスドメイン通信認証を通過することと、を含むことを特徴とする、
請求項3に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記アクセス端末が前記第2エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含むクロスドメイン通信リクエスト情報M6を送信することと、
前記第2エッジ認証サーバが前記第1エッジ認証サーバにクロスドメイン認証リクエスト情報M7を送信することと、
前記第1エッジ認証サーバが前記第2エッジ認証サーバに前記アクセス端末に対応する登録情報M8を送信することと、
前記第2エッジ認証サーバが前記アクセス端末の前記登録情報に対して有効性認証を行うことと、
前記登録情報M8が有効であることに呼応して、前記第2エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第2端末ハッシュリクエスト情報M9を送信することと、
前記ブロックチェーン認証サーバが前記第2端末ハッシュリクエスト情報M9に対して有効性検証を行うことと、
前記第2端末ハッシュリクエスト情報M9が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第2エッジ認証サーバに送信することと、
前記第2エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証することと、
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致することに呼応して、前記アクセス端末がクロスドメイン通信認証を通過することと、を含むことを特徴とする、
請求項3に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項6】
前記通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第2メモリ内から復号化データを取得することが、
前記第2メモリが前記合法リクエストに対して動的暗号化を行って、識別情報及び第1ランダムダイナミックキーを生成することと、
前記第1メモリが前記識別情報及び前記第1ランダムダイナミックキーを受信し、前記識別情報をインデックスとして第2ランダムダイナミックキーを生成し、前記第1ランダムダイナミックキーと前記第2ランダムダイナミックキーが同じであるか否かを検証することと、
同じである場合は、前記識別情報を前記第2メモリに送信することにより、復号化データを取得することと、
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うことと、を含むことを特徴とする、
請求項1に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記第2メモリが前記合法リクエストに対して動的暗号化を行って、識別情報及び第1ランダムダイナミックキーを生成することと、
前記第1メモリが前記識別情報及び前記第1ランダムダイナミックキーを受信し、前記識別情報をインデックスとして第2ランダムダイナミックキーを生成し、前記第1ランダムダイナミックキーと前記第2ランダムダイナミックキーが同じであるか否かを検証することと、
同じである場合は、前記識別情報を前記第2メモリに送信することにより、復号化データを取得することと、
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うことと、を含むことを特徴とする、
請求項1に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項7】
前記クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第2メモリ内から復号化データを取得することが、
前記第2メモリが前記クロスドメインデータアクセスリクエストに対して動的暗号化を行って、クロスドメイン識別情報及びクロスドメイン第1ランダムダイナミックキーを生成することと、
前記第1メモリが前記クロスドメイン識別情報及び前記クロスドメイン第1ランダムダイナミックキーを受信し、前記クロスドメイン識別情報をインデックスとしてクロスドメイン第2ランダムダイナミックキーを生成し、前記クロスドメイン第1ランダムダイナミックキーと前記クロスドメイン第2ランダムダイナミックキーが同じであるか否かを検証することと、
同じである場合は、前記クロスドメイン識別情報を前記第2メモリに送信することにより、復号化データを取得することと、
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うことと、を含むことを特徴とする、
請求項2に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記第2メモリが前記クロスドメインデータアクセスリクエストに対して動的暗号化を行って、クロスドメイン識別情報及びクロスドメイン第1ランダムダイナミックキーを生成することと、
前記第1メモリが前記クロスドメイン識別情報及び前記クロスドメイン第1ランダムダイナミックキーを受信し、前記クロスドメイン識別情報をインデックスとしてクロスドメイン第2ランダムダイナミックキーを生成し、前記クロスドメイン第1ランダムダイナミックキーと前記クロスドメイン第2ランダムダイナミックキーが同じであるか否かを検証することと、
同じである場合は、前記クロスドメイン識別情報を前記第2メモリに送信することにより、復号化データを取得することと、
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うことと、を含むことを特徴とする、
請求項2に記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項8】
前記第2メモリが前記第1ランダムダイナミックキーを生成する際に、前記第1メモリが前記データリクエスト端との通信接続を遮断し、
前記キーアグリーメントに基づいて復号化データを復号化して生成した後、前記第1メモリが前記第2メモリとの通信接続を遮断し、かつ前記データリクエスト端と再び接続することを特徴とする、
請求項6または7のいずれかに記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記キーアグリーメントに基づいて復号化データを復号化して生成した後、前記第1メモリが前記第2メモリとの通信接続を遮断し、かつ前記データリクエスト端と再び接続することを特徴とする、
請求項6または7のいずれかに記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項9】
前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答することが、
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信することと、
前記第1メモリの前記復号化データの中で前記データアクセスリクエストに対応するターゲットデータを確定し、前記ターゲットデータを前記データリクエスト端に送信して応答することと、を含むことを特徴とする、
請求項6または7のいずれかに記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信することと、
前記第1メモリの前記復号化データの中で前記データアクセスリクエストに対応するターゲットデータを確定し、前記ターゲットデータを前記データリクエスト端に送信して応答することと、を含むことを特徴とする、
請求項6または7のいずれかに記載の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法。
【請求項10】
信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセスシステムにおいて、
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立するための認証リンク構築モジュールと、
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うための登録認証モジュールと、
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するための通信認証モジュールと、
データリクエスト端がアクセス端末にクロスドメインデータアクセスリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するためのクロスドメイン通信認証モジュールと、
暗号化データを保存し、合法リクエスト、クロスドメイン合法リクエストに対して動的暗号化を行い、識別情報及び第1ランダムダイナミックキーを生成するための第2メモリと、
前記識別情報及び前記第1ランダムダイナミックキーを受信して検証を行い、検証に成功した場合は前記第2メモリから前記復号化データを取得し、検証に失敗した場合は電力遮断命令を実行して前記保存された復号化データを消去するための第1メモリと、
前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答するためのデータ応答モジュールと、を含むことを特徴とする、
信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセスシステム。
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立するための認証リンク構築モジュールと、
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うための登録認証モジュールと、
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するための通信認証モジュールと、
データリクエスト端がアクセス端末にクロスドメインデータアクセスリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するためのクロスドメイン通信認証モジュールと、
暗号化データを保存し、合法リクエスト、クロスドメイン合法リクエストに対して動的暗号化を行い、識別情報及び第1ランダムダイナミックキーを生成するための第2メモリと、
前記識別情報及び前記第1ランダムダイナミックキーを受信して検証を行い、検証に成功した場合は前記第2メモリから前記復号化データを取得し、検証に失敗した場合は電力遮断命令を実行して前記保存された復号化データを消去するための第1メモリと、
前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答するためのデータ応答モジュールと、を含むことを特徴とする、
信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセスシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はデータセキュリティの技術分野、特に、信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及びシステムに関する。
【背景技術】
【0002】
現在の生活や仕事においては、データに触れることがますます多くなっており、データセキュリティの重要性もさらに重視されている。データセキュリティ分野では、データアクセス行為は回避することができないので、データアクセスの過程でコアデータが窃取されることをどのように防止してコアデータのセキュリティを保証するかということが、一つの重要な課題となっている。従来の技術では、データセキュリティには一般的に暗号化方式が採用されているが、この処理方式では、暗号化データが復号化された後も、これらの復号化されたデータに依然として漏出の可能性が存在するという問題が軽視されている。
【0003】
モノのインターネット技術が急速に発展するにつれて、モノのインターネットの応用も徐々に広がっている。データ漏出の問題を解決するために、データセキュリティ分野では、モノのインターネットのエッジコンピューティング技術の導入を開始することが多くなっている。従来のモノのインターネット構造と比較すると、エッジコンピューティング技術を導入したモノのインターネットネットワーク構造は、レイヤがより複雑になっており、モノのインターネット自体はトポロジーの不安定性を有しているので、端末デバイスとエッジコンピューティングサーバとの間のネットワーク接続関係は動的に変更、更新される。このような状況において、モノのインターネット端末のID認証の信頼性、有効性を保証することは難しく、モノのインターネットの通信がセキュリティの隠れたリスクやデータ漏出、ネットワーク攻撃などの状況の発生をもたらす確率が大幅に増加する。
【発明の概要】
【0004】
この点に鑑みて、本発明の実施例では、信頼できる認証リンクによるアンチセフトデータセキュリティアクセス方法及びシステムを提供することを目的としており、効率がよく信頼できる認証を通して、コアデータが不法に窃取されることを防止し、ネットワークセキュリティを保証し、コアデータの安全な保存を保護することができる。
【0005】
第1の面において、本発明の実施例では、信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法を公開しており、その中には以下のことが含まれている。
【0006】
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立すること。
【0007】
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うこと。
【0008】
アクセス端末内に、第1メモリと、暗号化データが保存されている第2メモリを設け、
【0009】
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存すること。
【0010】
通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行し、
【0011】
前記第1メモリは揮発性メモリであり、電力遮断命令の実行後、保存されている復号化データを消去し、
【0012】
前記第2メモリは不揮発性メモリであり、
【0013】
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信して、前記合法リクエストに応答すること。
【0014】
第1の面と結び付けて、本発明の実施例では第1の面の第1の可能な実施形態を提供しており、そのうち、前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答する前に、さらに、
【0015】
データリクエスト端がアクセス端末にクロスドメインデータアクセスリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存することを含む。
【0016】
クロスドメイン通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行する。
【0017】
第1の面と結び付けて、本発明の実施例では第1の面の第2の可能な実施形態を提供しており、そのうち、前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことが、以下を含む。
【0018】
前記アクセス端末が前記信頼できる認証リンク中の前記エッジ認証サーバに登録リクエスト情報M1を送信すること。
【0019】
前記エッジ認証サーバが前記登録リクエスト情報M1に対して復号化検証を行って、前記アクセス端末が合法アクセス端末か否かを確定すること。
【0020】
前記アクセス端末が合法アクセス端末であることに呼応して、前記エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに証明書署名リクエスト情報M2(M2:N1)を送信すること。
【0021】
前記ブロックチェーン認証サーバが前記証明書署名リクエスト情報M2に基づいて有効性検証を行うこと。
【0022】
前記証明書署名リクエストM2が有効であると検証されたことに呼応して、前記ブロックチェーンが、前記アクセス端末に対応する登録ハッシュ値h1を含む、前記アクセス端末に対応するデジタル証明書を生成して保存すること。
【0023】
前記ブロックチェーン認証サーバが、前記登録ハッシュ値h1を前記アクセス端末に返送すること。
【0024】
第1の面と結び付けて、本発明の実施例では第1の面の第3の可能な実施形態を提供しており、そのうち、前記第1エッジ認証サーバを通して前記アクセス端末に対して通信認証を行うことが、以下を含む。
【0025】
前記アクセス端末が前記第1エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含む通信リクエスト情報M3を送信すること。
【0026】
前記第1エッジ認証サーバが前記通信リクエスト情報M3を復号化して前記アクセス端末に対してID認証を行い、前記アクセス端末が登録済みか否かを確定すること。
【0027】
前記アクセス端末が登録済みであると確定されたことに呼応して、前記第1エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第1端末ハッシュリクエスト情報M4を送信すること。
【0028】
前記ブロックチェーン認証サーバが、前記第1端末ハッシュリクエスト情報M4に対して有効性検証を行うこと。
【0029】
前記第1端末ハッシュリクエスト情報M4が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第1エッジ認証サーバに送信すること。
【0030】
前記第1エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証すること。
【0031】
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致していることに呼応して、前記アクセス端末が通信認証を通過し、前記第1エッジ認証サーバが前記アクセス端末に認証成功情報M5を送信すること。
【0032】
第1の面と結び付けて、本発明の実施例では第1の面の第4の可能な実施形態を提供しており、そのうち、前記第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行うことが、以下を含む。
【0033】
前記アクセス端末が前記第1エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含むクロスドメイン通信リクエスト情報M6を送信すること。
【0034】
前記第2エッジ認証サーバが前記第1エッジ認証サーバにクロスドメイン認証リクエスト情報M7を送信すること。
【0035】
前記第1エッジ認証サーバが前記第2エッジ認証サーバに前記アクセス端末に対応する登録情報M8を送信すること。
【0036】
前記第2エッジ認証サーバが前記アクセス端末の前記登録情報に対して有効性認証を行うこと。
【0037】
前記登録情報M8が有効であることに呼応して、前記第2エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第2端末ハッシュリクエスト情報M9を送信すること。
【0038】
前記ブロックチェーン認証サーバが、前記第2端末ハッシュリクエスト情報M9に対して有効性検証を行うこと。
【0039】
前記第2端末ハッシュリクエスト情報M9が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第2エッジ認証サーバに送信すること。
【0040】
前記第2エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証すること。
【0041】
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致することに呼応して、前記アクセス端末がクロスドメイン通信認証を通過すること。
【0042】
第1の面と結び付けて、本発明の実施例では第1の面の第5の可能な実施形態を提供しており、そのうち、前記通信認証成功後のデータアクセスリクエストを合法リクエストとし、キーアグリーメントを通して通信を行うことが、以下を含む。
【0043】
前記第2メモリが前記合法リクエストに対して動的暗号化を行って、識別情報及び第1ランダムダイナミックキーを生成すること。
【0044】
前記第1メモリが前記識別情報及び前記第1ランダムダイナミックキーを受信し、前記識別情報をインデックスとして第2ランダムダイナミックキーを生成し、前記第1ランダムダイナミックキーと前記第2ランダムダイナミックキーが同じであるか否かを検証すること。
【0045】
同じである場合は、前記識別情報を前記第2メモリに送信することにより、復号化データを取得すること。
【0046】
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うこと。
【0047】
第1の面と結び付けて、本発明の実施例では第1の面の第6の可能な実施形態を提供しており、そのうち、前記クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第2メモリ内から復号化データを取得することが、以下を含む。
【0048】
前記第2メモリが前記クロスドメインデータアクセスリクエストに対して動的暗号化を行って、クロスドメイン識別情報及びクロスドメイン第1ランダムダイナミックキーを生成すること。
【0049】
前記第1メモリが前記クロスドメイン識別情報及び前記クロスドメイン第1ランダムダイナミックキーを受信し、前記クロスドメイン識別情報をインデックスとしてクロスドメイン第2ランダムダイナミックキーを生成し、前記クロスドメイン第1ランダムダイナミックキーと前記クロスドメイン第2ランダムダイナミックキーが同じであるか否かを検証すること。
【0050】
同じである場合は、前記クロスドメイン識別情報を前記第2メモリに送信することにより、復号化データを取得すること。
【0051】
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うこと。
【0052】
第1の面と結び付けて、本発明の実施例では第1の面の第7の可能な実施形態を提供しており、そのうち、前記第2メモリは、前記第1ランダムダイナミックキーを生成する際に、前記第1メモリが前記データリクエスト端との通信接続を遮断する。
【0053】
キーアグリーメントに基づいて復号化データを復号化して生成した後、前記第1メモリは、前記第2メモリとの通信接続を遮断し、かつ前記データリクエスト端と再び接続する。
【0054】
第1の面と結び付けて、本発明の実施例では第1の面の第8の可能な実施形態を提供しており、そのうち、前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答することが、以下を含む。
【0055】
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信すること。
【0056】
前記第1メモリの前記復号化データの中で前記データアクセスリクエストに対応するターゲットデータを確定し、前記ターゲットデータを前記データリクエスト端に送信して応答すること。
【0057】
第2の面において、本発明の実施例ではさらに、信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセスシステムを公開しており、その中には以下のものが含まれている。
【0058】
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立するための認証リンク構築モジュール。
【0059】
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うための登録認証モジュール。
【0060】
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するための通信認証モジュール。
【0061】
データリクエスト端がアクセス端末にクロスドメインデータアクセスリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するためのクロスドメイン通信認証モジュール。
【0062】
暗号化データを保存し、合法リクエスト、クロスドメイン合法リクエストに対して動的暗号化を行い、識別情報及び第1ランダムダイナミックキーを生成するための第2メモリ。
【0063】
前記識別情報及び前記第1ランダムダイナミックキーを受信して検証を行い、検証に成功した場合は前記第2メモリから前記復号化データを取得し、検証に失敗した場合は電力遮断命令を実行して、保存されている復号化データを消去するための第1メモリ。
【0064】
前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答するためのデータ応答モジュール。
【0065】
本発明の実施例の有益な効果は次の通りである。
【0066】
(1)「端末-エッジ認証-ブロックチェーン認証」のネットワークレイヤ構造を構築し、ブロックチェーン認証サーバが証明書の交付を担い、証明書のハッシュ値とステータス情報をすべてブロックチェーン上に保存する。端末デバイスの持つ証明書ハッシュ値とブロックチェーン上の証明書ハッシュ値を比較することにより、モノのインターネット端末デバイスのID認証を実現する。ブロックチェーンは改ざん不能かつ遡及可能という特性を備えているので、このような方式によりモノのインターネット端末デバイスのID認証の効率及びセキュリティを向上させることができる。
【0067】
(2)データアクセスリクエストの過程でキーアグリーメントを用いて通信を行う場合は、ランダムダイナミックキーの有効性を検証するまでは復号化データを取得することができないので、データアクセス端が復号化データを直接取得することを防止し、不法な手段でバイパス攻撃によりプライベートキーを取得することができないようにして、キーアグリーメントのセキュリティを向上させており、簡単で、効率的である。
【0068】
(3)データアクセスリクエストがある度に、新たに生成されたランダムダイナミックキーを暗号化するので、何らかの未知の不法手段で動的暗号化データの一部が取得されたとしても、暗号化データとそれに対応するランダムダイナミックキーの更新メカニズムにより、その不法に取得されたデータは素早く意味を喪失するので、データアクセス端が不法に窃取した一部のデータ内容に基づいてシークレットキーやコアデータの内容を逆送信することを防止し、データ保存の安全性能をさらに保証することができる。
【図面の簡単な説明】
【0069】
本発明の実施例の技術的解決手段をより明確に説明するために、以下では、実施例の中で使用する必要のある図面について簡単に紹介しているが、以下の図面は本発明のいくつかの実施例を示しているだけなので、範囲に対する限定と見なしてはならないことを理解しておかなければならず、当業者であれば、創造的な労働を行わないという前提において、これらの図面に基づいて他の関連図面を得ることもできる。
【0070】
図1は、本発明の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法のフローチャートである。
【0071】
図2は、本発明の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法の論理概略図である。
【発明を実施するための形態】
【0072】
本発明の実施例の目的、技術的解決手段及び長所をより明確にするために、以下では本発明の実施例中の図面と結び付けて、本発明の実施例における技術的解決手段について明瞭で完全な説明を行うが、もちろん、説明されている実施例は本発明の実施例の一部であって、すべての実施例ではない。通常、ここでの図面で描写及び表示されている本発明の実施例のアセンブリは、様々な配置でセッティング及び設計することができる。
【0073】
【0074】
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立すること。
【0075】
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うこと。
【0076】
アクセス端末内に、第1メモリと、暗号化データが保存されている第2メモリを設け、
【0077】
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存すること。
【0078】
通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行すること。
【0079】
前記第1メモリは揮発性メモリであり、電力遮断命令の実行後、保存されている復号化データを消去すること。
【0080】
前記第2メモリが不揮発性メモリであること。
【0081】
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信して、前記合法リクエストに応答すること。
【0082】
第1の面と結び付けて、本発明の実施例では第1の面の第1の可能な実施形態を提供しており、そのうち、前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答する前に、さらに以下を含む。
【0083】
データリクエスト端がアクセス端末にクロスドメインデータアクセスリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存すること。
【0084】
クロスドメイン通信認証が成功しなかったデータアクセスリクエストを不法リクエストとし、電力遮断命令を実行すること。
【0085】
第1の面と結び付けて、本発明の実施例では第1の面の第2の可能な実施形態を提供しており、そのうち、前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うことが、以下を含む。
【0086】
前記アクセス端末が前記信頼できる認証リンク中の前記エッジ認証サーバに登録リクエスト情報M1を送信すること。
【0087】
前記エッジ認証サーバが前記登録リクエスト情報M1に対して復号化検証を行って、前記アクセス端末が合法アクセス端末か否かを確定すること。
【0088】
前記アクセス端末が合法アクセス端末であることに呼応して、前記エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに証明書署名リクエスト情報M2(M2:N1)を送信すること。
【0089】
前記ブロックチェーン認証サーバが前記証明書署名リクエスト情報M2に基づいて有効性検証を行うこと。
【0090】
前記証明書署名リクエストM2が有効であると検証されたことに呼応して、前記ブロックチェーンが、前記アクセス端末に対応する登録ハッシュ値h1を含む、前記アクセス端末に対応するデジタル証明書を生成して保存すること。
【0091】
前記ブロックチェーン認証サーバが、前記登録ハッシュ値h1を前記アクセス端末に返送すること。
【0092】
第1の面と結び付けて、本発明の実施例では第1の面の第3の可能な実施形態を提供しており、そのうち、前記第1エッジ認証サーバが前記アクセス端末に対して通信認証を行うことが、以下を含む。
【0093】
前記アクセス端末が前記第1エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含む通信リクエスト情報M3を送信すること。
【0094】
前記第1エッジ認証サーバが前記通信リクエスト情報M3を復号化して前記アクセス端末に対してID認証を行い、前記アクセス端末が登録済みか否かを確定すること。
【0095】
前記アクセス端末が登録済みであると確定されたことに呼応して、前記第1エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第1端末ハッシュリクエスト情報M4を送信すること。
【0096】
前記ブロックチェーン認証サーバが、前記第1端末ハッシュリクエスト情報M4に対して有効性検証を行うこと。
【0097】
前記第1端末ハッシュリクエスト情報M4が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第1エッジ認証サーバに送信すること。
【0098】
前記第1エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証すること。
【0099】
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致していることに呼応して、前記アクセス端末が通信認証を通過し、前記第1エッジ認証サーバが前記アクセス端末に認証成功情報M5を送信すること。
【0100】
第1の面と結び付けて、本発明の実施例では第1の面の第4の可能な実施形態を提供しており、そのうち、前記第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行うことが、以下を含む。
【0101】
前記アクセス端末が前記第2エッジ認証サーバに、前記アクセス端末自体が保存している端末ハッシュ値htを含むクロスドメイン通信リクエスト情報M6を送信すること。
【0102】
前記第2エッジ認証サーバが前記第1エッジ認証サーバにクロスドメイン認証リクエスト情報M7を送信すること。
【0103】
前記第1エッジ認証サーバが前記第2エッジ認証サーバに前記アクセス端末に対応する登録情報M8を送信すること。
【0104】
前記第2エッジ認証サーバが前記アクセス端末の前記登録情報に対して有効性認証を行うこと。
【0105】
前記登録情報M8が有効であることに呼応して、前記第2エッジ認証サーバが前記信頼できる認証リンク中の前記ブロックチェーン認証サーバに第2端末ハッシュリクエスト情報M9を送信すること。
【0106】
前記ブロックチェーン認証サーバが、前記第2端末ハッシュリクエスト情報M9に対して有効性検証を行うこと。
【0107】
前記第2端末ハッシュリクエスト情報M9が有効であると検証されたことに呼応して、前記ブロックチェーン認証サーバが前記アクセス端末に対応する前記登録ハッシュ値h1を前記第2エッジ認証サーバに送信すること。
【0108】
前記第2エッジ認証サーバが前記登録ハッシュ値h1と前記端末ハッシュ値htを比較検証すること。
【0109】
前記登録ハッシュ値h1と前記端末ハッシュ値htが一致することに呼応して、前記アクセス端末がクロスドメイン通信認証を通過すること。
【0110】
第1の面と結び付けて、本発明の実施例では第1の面の第5の可能な実施形態を提供しており、そのうち、前記通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第2メモリから復号化データを取得することが、以下を含む。
【0111】
前記第2メモリが前記合法リクエストに対して動的暗号化を行って、識別情報及び第1ランダムダイナミックキーを生成すること。
【0112】
前記第1メモリが前記識別情報及び前記第1ランダムダイナミックキーを受信し、前記識別情報をインデックスとして第2ランダムダイナミックキーを生成し、前記第1ランダムダイナミックキーと前記第2ランダムダイナミックキーが同じであるか否かを検証すること。
【0113】
同じである場合は、前記識別情報を前記第2メモリに送信することにより、復号化データを取得すること。
【0114】
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うこと。
【0115】
第1の面と結び付けて、本発明の実施例では第1の面の第6の可能な実施形態を提供しており、そのうち、前記クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第2メモリ内から復号化データを取得することが、以下を含む。
【0116】
前記第2メモリが前記クロスドメインデータアクセスリクエストに対して動的暗号化を行って、クロスドメイン識別情報及びクロスドメイン第1ランダムダイナミックキーを生成すること。
【0117】
前記第1メモリが前記クロスドメイン識別情報及び前記クロスドメイン第1ランダムダイナミックキーを受信し、前記クロスドメイン識別情報をインデックスとしてクロスドメイン第2ランダムダイナミックキーを生成し、前記クロスドメイン第1ランダムダイナミックキーと前記クロスドメイン第2ランダムダイナミックキーが同じであるか否かを検証すること。
【0118】
同じである場合は、前記クロスドメイン識別情報を前記第2メモリに送信することにより、復号化データを取得すること。
【0119】
同じでない場合は、検証回数に基づいてエラーを提示し、またはランダムダイナミックキーを再度生成して引き続き検証を行うこと。
【0120】
第1の面と結び付けて、本発明の実施例では第1の面の第7の可能な実施形態を提供しており、そのうち、
【0121】
前記第2メモリが前記第1ランダムダイナミックキーを生成する際に、前記第1メモリは、前記データリクエスト端との通信接続を遮断する。
【0122】
キーアグリーメントに基づいて復号化データを復号化して生成した後、前記第1メモリが前記第2メモリとの通信接続を遮断し、かつ前記データリクエスト端と再び接続する。
【0123】
第1の面と結び付けて、本発明の実施例では第1の面の第8の可能な実施形態を提供しており、そのうち、前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答することが、以下を含む。
【0124】
前記アクセス端末が前記エッジ認証サーバからの合法リクエストを受信すること。
【0125】
前記復号化データの中で前記データアクセスリクエストに対応するターゲットデータを確定し、前記ターゲットデータを前記データリクエスト端に送信して応答すること。
【0126】
本発明の第2の実施例では、信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセスシステムを提供しており、その中には以下のものが含まれる。
【0127】
モノのインターネットの複数の通信ドメインにおいて複数のエッジ認証サーバを選択し、ブロックチェーン認証サーバと複数の前記エッジ認証サーバを認証ノードとし、相互間で信頼できる認証を行って、信頼できる認証リンクを確立するための認証リンク構築モジュール。
【0128】
前記信頼できる認証リンクを通してアクセス端末に対して登録認証を行うための登録認証モジュール。
【0129】
データリクエスト端がアクセス端末にデータアクセスリクエストを送信し、第1エッジ認証サーバによって前記アクセス端末に対して通信認証を行い、通信認証成功後のデータアクセスリクエストを合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するための通信認証モジュール。
【0130】
データリクエスト端がアクセス端末にクロスドメインデータアクセスリクエストを送信し、第2エッジ認証サーバによって前記アクセス端末に対してクロスドメイン通信認証を行い、クロスドメイン通信認証成功後のクロスドメインデータアクセスリクエストをクロスドメイン合法リクエストとし、前記第1メモリ内でキーアグリーメントを通して通信を行い、前記第1メモリが前記第2メモリ内から復号化データを取得して保存するためのクロスドメイン通信認証モジュール。
【0131】
暗号化データを保存し、合法リクエスト、クロスドメイン合法リクエストに対して動的暗号化を行い、識別情報及び第1ランダムダイナミックキーを生成するための第2メモリ。
【0132】
前記識別情報及び前記第1ランダムダイナミックキーを受信して検証を行い、検証に成功した場合は前記第2メモリから前記復号化データを取得し、検証に失敗した場合は電力遮断命令を実行して保存された復号化データを消去するための第1メモリ。
【0133】
前記アクセス端末が前記エッジ認証サーバからのデータアクセスリクエストを受信し、前記データアクセスリクエストに応答するためのデータ応答モジュール。
【0134】
本発明の実施例は、信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及びシステムの保護を目的としており、以下の効果を有している。
【0135】
1.「端末-エッジ認証-ブロックチェーン認証」のネットワークレイヤ構造を構築し、ブロックチェーン認証サーバが証明書の交付を担い、証明書のハッシュ値とステータス情報をすべてブロックチェーン上に保存する。端末デバイスの持つ証明書ハッシュ値とブロックチェーン上の証明書ハッシュ値を比較することにより、モノのインターネット端末デバイスのID認証を実現する。ブロックチェーンは改ざん不能かつ遡及可能という特性を備えているので、このような方式によりモノのインターネット端末デバイスのID認証の効率及びセキュリティを向上させることができる。
【0136】
2.データアクセスリクエストの過程でキーアグリーメントを用いて通信を行う場合は、ランダムダイナミックキーの有効性を検証するまでは復号化データを取得することができないので、データアクセス端が復号化データを直接取得することを防止し、不法な手段でバイパス攻撃によりプライベートキーを取得することができないようにして、キーアグリーメントのセキュリティを向上させており、簡単で、効率的である。
【0137】
3.データアクセスリクエストがある度に、新たに生成されたランダムダイナミックキーを暗号化するので、何らかの未知の不法手段で動的暗号化データの一部が取得されたとしても、暗号化データとそれに対応するランダムダイナミックキーの更新メカニズムにより、その不法に取得されたデータは素早く意味を喪失するので、データアクセス端が不法に窃取した一部のデータ内容に基づいてシークレットキーやコアデータの内容を逆送信することを防止し、データ保存の安全性能をさらに保証することができる。
【0138】
本発明の実施例で提供している、信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法及び装置のコンピュータプログラム製品は、プログラムコードが記憶されたコンピュータ読み取り可能記憶媒体を含み、プログラムコードに含まれる命令は、前に挙げた方法の実施例中の方法を実行するために用いることができ、具体的な実現については方法の実施例を参照すればよいので、ここでは繰り返し述べない。
【0139】
具体的には、該記憶媒体は、モバイルディスクやハードディスクといった汎用的な記憶媒体とすることができ、該記憶媒体上のコンピュータプログラムが実行されると、上記の信頼できる認証リンクに基づくアンチセフトデータセキュリティアクセス方法を実行することができ、それにより効率がよく信頼できる認証を通してコアデータが不法に窃取されることを防止し、ネットワークセキュリティを保証し、コアデータの安全な保存を保護することができるのである。
【0140】
前記機能がソフトウェア機能ユニットの形式で実現され、かつ独立した製品として販売または使用される場合は、プロセッサにより実行可能な不揮発性のコンピュータコンピュータ読み取り可能記憶媒体の中に保存させることができる。このような理解に基づき、本発明の技術的解決手段は、本質的に、または既存技術に対して貢献する部分、または該技術的解決手段の一部において、ソフトウェア製品の形式により具現化させることができ、該コンピュータソフトウェア製品は、1つの記憶媒体内に記憶され、1台のコンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイスなどであってよい)に本発明の各実施例に記載の方法の全部または一部のステップを実行させるための若干の命令を含む。前記の記憶媒体には、Uディスク、モバイルハードディスク、読取専用メモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ(Random Access Memory、RAM)、磁気ディスクまたは光ディスクなど、プログラムコードを記憶できる各種の媒体が含まれている。
【0141】
最後に説明しておかなければならないが、上記の実施例は、本発明の技術的解決手段を説明するための具体的な実施形態にすぎず、これを限定するものではなく、本発明の保護範囲がこれによって限定されるわけではない。前述の実施例を参照して本発明について詳細な説明を行っているが、当業者は、この技術分野を熟知している技術者であれば、本発明で開示されている技術範囲の中で、前述の実施例に記載されている技術的解決手段について、修正や、容易に想到可能な変更を行ったり、その中の技術的特徴の一部に対して同等の置換を行ったりすることはできるものの、それらの修正、変更または置換は、対応する技術的解決手段の本質を本発明の実施例における技術的解決手段の主旨及び範囲から逸脱させるものではなく、すべて本発明の保護範囲内に含まれるということを理解しておかなければならない。よって、本発明の保護範囲は、前述の請求項の保護範囲を基準としなければならない。
【図1】
【図2】
【外国語明細書】