一种授权令牌处理方法及装置与流程

1.本技术属于数据处理技术领域，尤其涉及一种授权令牌处理方法及装置。


背景技术：

2.在无线或远程管理等安全性低的场景中，攻击者通过伪装、窃听等攻击手段，获取权限所有人的授权令牌，利用获取到的授权令牌影响认证控制。其中授权令牌是身份凭证、特定字符串等具有规律性的数据，在攻击者通过伪装和窃听等攻击手段获取到一个权限所有人的授权令牌后，可以根据已获得的授权令牌猜测其他权限所有人的授权令牌，以尝试控制认证链路，从而降低安全性。


技术实现要素：

3.有鉴于此，本技术的目的在于提供一种授权令牌处理方法及装置。
4.一方面，本技术提供一种授权令牌处理方法，所述方法包括：
5.获取待处理哈希盐值，所述待处理哈希盐值用于对待认证数据进行带盐哈希运算，以得到所述待认证数据的认证值；
6.根据所述待处理哈希盐值和随机数据，生成多个授权令牌；
7.发送所述多个授权令牌至权限所有人，所述授权令牌用于在认证流程中生成认证所需的哈希盐值，所述认证所需的哈希盐值用于与所述待认证数据的认证值进行认证。
8.可选的，所述方法还包括：
9.接收认证申请，以发起所述认证流程；
10.响应所述认证流程，接收权限所有人发送的授权令牌，并利用所述授权令牌生成认证所需的哈希盐值；
11.利用所述哈希盐值和所述待认证数据，生成所述待认证数据的待验证认证值；
12.发送所述待认证数据的待验证认证值，所述待验证认证值用于与所述待认证数据的认证值进行匹配，以得到认证结果。
13.可选的，所述根据所述待处理哈希盐值和随机数据，生成多个授权令牌包括：
14.利用公式得到授权令牌h(x
i
)；
15.其中h(x
i
)为第i个授权令牌，x
i
为所述随机数据，a0为所述待处理哈希盐值，a
t
‑1至a1为常数项，p为素数，p大于所述待处理哈希盐值且大于权限所有人的总数。
16.可选的，所述授权令牌用于在认证流程中生成认证所需的哈希盐值包括：
17.利用公式得到认证所需的哈希盐值；
18.其中，t为从所有授权令牌中选取的授权令牌数量，0＜t≤n，n为授权令牌总数。
19.可选的，所述方法应用于第一服务器的认证操作系统，所述第一服务器与作为授权管理中心的第二服务器通信，所述第二服务器生成所述待处理哈希盐值，利用所述待处理哈希盐值对待认证数据进行带盐哈希运算，以得到所述待认证数据的认证值；
20.所述第一服务器从所述第二服务器中获得所述待处理哈希盐值，根据所述待处理哈希盐值和随机数据，生成多个授权令牌，并发送所述多个授权令牌至终端，所述终端为所述权限所有人使用。
21.另一方面，本技术提供一种授权令牌处理装置，所述装置包括：
22.获取单元，用于获取待处理哈希盐值，所述待处理哈希盐值用于对待认证数据进行带盐哈希运算，以得到所述待认证数据的认证值；
23.生成单元，用于根据所述待处理哈希盐值和随机数据，生成多个授权令牌；
24.发送单元，用于发送所述多个授权令牌至权限所有人，所述授权令牌用于在认证流程中生成认证所需的哈希盐值，所述认证所需的哈希盐值用于与所述待认证数据的认证值进行认证。
25.可选的，所述装置还包括：
26.接收单元，用于接收认证申请，以发起所述认证流程；响应所述认证流程，接收权限所有人发送的授权令牌；
27.所述生成单元，还用于利用所述授权令牌生成认证所需的哈希盐值；利用所述哈希盐值和所述待认证数据，生成所述待认证数据的待验证认证值；
28.所述发送单元，还用于发送所述待认证数据的待验证认证值，所述待验证认证值用于与所述待认证数据的认证值进行匹配，以得到认证结果。
29.可选的，所述生成单元，用于利用公式得到授权令牌h(x
i
)；其中h(x
i
)为第i个授权令牌，x
i
为所述随机数据，a0为所述待处理哈希盐值，a
t
‑1至a1为常数项，p为素数，p大于所述待处理哈希盐值且大于权限所有人的总数；
30.所述生成单元，用于利用公式得到认证所需的哈希盐值；其中，t为从所有授权令牌中选取的授权令牌数量，0＜t≤n，n为授权令牌总数。
31.再一方面，本技术提供一种服务器，包括：一个或多个处理器、存储器；其中，所述存储器用于存储一个或多个计算机程序代码，所述计算机程序代码包括计算机指令，当所述一个或多个处理器执行所述计算机指令时，所述服务器执行上述授权令牌处理方法。
32.再一方面，本技术提供一种计算机存储介质，所述计算机存储介质包括计算机指令，当所述计算机指令在服务器上运行时，使得所述服务器执行上述授权令牌处理方法。
33.上述授权令牌处理方法及装置，获取待处理哈希盐值，待处理哈希盐值用于对待认证数据进行带盐哈希运算，以得到待认证数据的认证值，根据待处理哈希盐值和随机数据，生成多个授权令牌，发送多个授权令牌至权限所有人，授权令牌用于在认证流程中生成认证所需的哈希盐值，认证所需的哈希盐值用于与待认证数据的认证值进行认证。其中权
限所有人的授权令牌是由待处理哈希盐值和随机数据生成，不同随机数据与待处理哈希盐值相结合时得到的授权令牌各有差异，通过任一授权令牌很难推测出其他授权令牌，因此即便任一权限所有人的授权令牌被攻击者得到，也能够保证其他授权令牌的安全性，从而提高安全性。
附图说明
34.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1是本技术实施例提供的一种授权令牌处理方法对应的系统框架图；
36.图2是本技术实施例提供的一种授权令牌处理方法的信令图；
37.图3是本技术实施例提供的另一种授权令牌处理方法的信令图；
38.图4是本技术实施例提供的一种授权令牌处理装置的结构示意图；
39.图5是本技术实施例提供的另一种授权令牌处理装置的结构示意图。
具体实施方式
40.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
41.请参见图1，其示出了本技术实施例提供的授权令牌处理方法对应的系统架构图，可以包括：第一服务器10、第二服务器20和多个终端30，如图1中以n个终端为例，每个终端对应一个权限所有人，由权限所有人使用该终端，相对应的每个权限所有人分配一个授权令牌，则授权令牌的总数为n。
42.在本实施例中，第二服务器20作为授权管理中心使用，第二服务器20能够与第一服务器10通信，如第二服务器20以有线或无线方式与第一服务器10通信。第二服务器可生成待处理哈希盐值，利用待处理哈希盐值对待认证数据进行带盐哈希运算，以得到待认证数据的认证值。例如待认证数据是一个待签名的文件，待签名的文件和待处理哈希盐值一起进行哈希运算，得到待签名的文件的哈希值，待签名的文件和其哈希值存储在第二服务器20中。
43.第一服务器10中运行有认证操作系统，第一服务器10能够从第二服务器20侧获得待处理哈希盐值，利用待处理哈希盐值得到多个授权令牌，将多个授权令牌分发给终端，以使每个权限所有人能够得到授权令牌。在进行认证过程中，权限所有人利用终端30可以向第一服务器的认证操作系统发送各自的授权令牌，使认证操作系统能够利用授权令牌计算出一个哈希盐值，然后利用哈希盐值和待认证数据得到待验证认证值。
44.第一服务器10将待验证认证值发送给第二服务器20，由第二服务器20匹配待验证认证值和待认证数据的认证值是否匹配，如果匹配得到认证通过的认证结果；如果不匹配得到认证失败的认证结果。
45.下面结合信令图，对本实施例提供的授权令牌处理方法进行说明，请参见图2，其示出了本技术提供的一种授权令牌处理方法的可选信令图，可以包括以下步骤：
46.101、第一服务器的认证操作系统获取第二服务器生成的待处理哈希盐值，待处理哈希盐值用于对待认证数据进行带盐哈希运算，以得到待认证数据的认证值。其中第二服务器生成待处理哈希盐值后，向第一服务器发送待处理哈希盐值，第一服务器将其提供给认证操作系统，或者第一服务器从第二服务器处主动获取待处理哈希盐值。
47.102、第一服务器的认证操作系统根据待处理哈希盐值和随机数据，生成多个授权令牌。其中随机数据与待处理哈希盐值一起进行授权令牌的计算，不同随机数据会使得授权令牌有所差异，这样通过不同随机数据可生成不同授权令牌。并且授权令牌不再是由身份认证、特定字符串等具有规律性的数据，通过一个授权令牌很难推测出其他授权令牌，从而提高授权令牌的安全性。
48.目前，授权令牌可以存储在作为授权管理中心的第二服务器中，授权发起时第一服务器与第二服务器进行交互以从完成认证；另一种是授权令牌存储在第二服务器和第一服务器中，每次授权令牌变更时，第二服务器将同步授权令牌至第一服务器中，目前无论采用哪种一旦授权令牌变更，权限所有人处的授权令牌也需要变更。本实施例中第一服务器在得到待处理哈希盐值后，如果新增权限所有人，利用待处理哈希盐值和随机数据生成授权令牌即可，不需要第一服务器和第二服务器频繁交互，从而提高灵活性。如果删除某个权限所有人，将该权限所有人的授权令牌标记为失效即可，不需要重新为其他权限所有人重新下发授权令牌，也会提高灵活性。
49.在本实施例中，生成授权令牌的一种可行方式如下：
50.利用公式得到授权令牌h(x
i
)。其中h(x
i
)为第i个授权令牌，x
i
为随机数据，a0为待处理哈希盐值，a
t
‑1至a1为常数项，p为素数，p大于待处理哈希盐值且大于权限所有人的总数。
51.随机数据可以是1、2、3
…
等自然数，根据p大于待处理哈希盐值且大于权限所有人的总数选择一个素数作为p。在p和待处理哈希盐值已知的情况下，利用随机数据构建一个t
‑
1次方的随机多项式，如t
‑
1次方的随机多项式如下：
52.利用随机数据1、2、3等得到随机多项式中的a
t
‑1至a1，然后可以利用上述随机多项式得到授权令牌，其中每一对(x
i
，h(x
i
))是随机多项式h(x)对应的函数曲线上的一个点，利用随机数可以求取到h(x
i
)。
53.除了采用随机多项式方式生成授权令牌之外，还可以采用其他方式来生成授权令牌，如利用随机数据将待处理哈希盐值进行分割，得到多个授权令牌，或者将待处理哈希盐值和随机数据都作为变量，计算授权令牌，对此本实施例不再详述。
54.103、第一服务器的认证操作系统发送多个授权令牌至终端中，每个终端对应一个权限所有人，且不同终端接收到的授权令牌不同。
55.授权令牌用于在认证流程中生成认证所需的哈希盐值，认证所需的哈希盐值用于与待认证数据的认证值进行认证。其中认证过程如图3所示，在图2基础上还可以包括以下步骤：
56.104、第一服务器的认证操作系统接收认证申请，以发起认证流程。
57.105、第一服务器的认证操作系统响应认证流程，接收权限所有人发送的授权令牌，并利用授权令牌生成认证所需的哈希盐值。其中利用授权令牌生成哈希盐值的可行方式与生成授权令牌的可行方式对应，是生成授权令牌的逆向过程，例如以t
‑
1次方的随机多项式生成授权令牌，那么生成哈希盐值则是重组t
‑
1次的随机多项式过程，且利用t个授权令牌即可重组出哈希盐值。
58.一种方式是，利用公式得到认证所需的哈希盐值。其中，t为从所有授权令牌中选取的授权令牌数量，0＜t≤n，n为授权令牌总数，在t个权限所有人同意授权时，将各自的授权令牌提供给第一服务器的认证操作系统。
59.106、第一服务器的认证操作系统利用哈希盐值和待认证数据，生成待认证数据的待验证认证值。如利用哈希盐值和认证数据一起进行哈希运算，得到待验证认证值。
60.107、第一服务器的认证操作系统发送待认证数据的待验证认证值，待验证认证值用于与待认证数据的认证值进行匹配，以得到认证结果。
61.第一服务器将待认证数据的待验证认证值发送给第二服务器，由第二服务器比对待验证认证值和待认证数据的认证值，如果两者匹配，得到认证通过的认证结果；如果两者不匹配，得到认证失败的认证结果。如果n个权限角色中少于t个授权角色同意授权时，无法计算f(x)，得到认证失败的认证结果。
62.目前在进行认证时，第二服务器利用授权令牌按照特定顺序对待认证数据进行多层认证，来得到待验证认证值，如果授权令牌的使用顺序错误会得到一个错误的待验证认证值。本实施例利用哈希盐值对待认证数据进行一次计算即可得到待验证认证值，且与授权令牌的使用顺序无关，从而简化认证流程。
63.在本实施例中，第一服务器的认证操作系统获取待处理哈希盐值，待处理哈希盐值用于对待认证数据进行带盐哈希运算，以得到待认证数据的认证值，根据待处理哈希盐值和随机数据，生成多个授权令牌，发送多个授权令牌至权限所有人，授权令牌用于在认证流程中生成认证所需的哈希盐值，认证所需的哈希盐值用于与待认证数据的认证值进行认证。其中权限所有人的授权令牌是由待处理哈希盐值和随机数据生成，不同随机数据与待处理哈希盐值相结合时得到的授权令牌各有差异，通过任一授权令牌很难推测出其他授权令牌，因此即便任一权限所有人的授权令牌被攻击者得到，也能够保证其他授权令牌的安全性，从而提高安全性。
64.对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本技术所必须的。
65.与上述方法实施例相对应，本技术实施例提供一种授权令牌处理装置，其可选结构如图4所示，可以包括：获取单元10、生成单元20和发送单元30。
66.获取单元10，用于获取待处理哈希盐值，待处理哈希盐值用于对待认证数据进行带盐哈希运算，以得到待认证数据的认证值，待处理哈希盐值的生成可以是由授权管理中心生成，如由上述作为授权管理中心的第二服务器生成，获取单元10可以从第二服务器中
获取到待处理哈希盐值。
67.生成单元20，用于根据待处理哈希盐值和随机数据，生成多个授权令牌。
68.其中随机数据与待处理哈希盐值一起进行授权令牌的计算，不同随机数据会使得授权令牌有所差异，这样通过不同随机数据可生成不同授权令牌。并且授权令牌不再是由身份认证、特定字符串等具有规律性的数据，通过一个授权令牌很难推测出其他授权令牌，从而提高授权令牌的安全性。
69.在本实施例中，生成单元20生成授权令牌的一种可行方式如下：
70.利用公式得到授权令牌h(x
i
)。其中h(x
i
)为第i个授权令牌，x
i
为随机数据，a0为待处理哈希盐值，a
t
‑1至a1为常数项，p为素数，p大于待处理哈希盐值且大于权限所有人的总数。
71.随机数据可以是1、2、3
…
等自然数，根据p大于待处理哈希盐值且大于权限所有人的总数选择一个素数作为p，具体说明请参见上述实施例。
72.发送单元30，用于发送多个授权令牌至权限所有人，授权令牌用于在认证流程中生成认证所需的哈希盐值，认证所需的哈希盐值用于与待认证数据的认证值进行认证。
73.参见图5，其示出了本技术实施例提供的另一种授权令牌处理方法的可选结构，在图4基础上还可以包括：接收单元40。接收单元40，用于接收认证申请，以发起认证流程；响应认证流程，接收权限所有人发送的授权令牌。
74.相对应的，生成单元20，还用于利用授权令牌生成认证所需的哈希盐值；利用哈希盐值和待认证数据，生成待认证数据的待验证认证值，如利用哈希盐值和认证数据一起进行哈希运算，得到待验证认证值。其中利用授权令牌生成哈希盐值的可行方式与生成授权令牌的可行方式对应，是生成授权令牌的逆向过程，例如以t
‑
1次方的随机多项式生成授权令牌，那么生成哈希盐值则是重组t
‑
1次的随机多项式过程，且利用t个授权令牌即可重组出哈希盐值。
75.一种方式是，利用公式得到认证所需的哈希盐值。其中，t为从所有授权令牌中选取的授权令牌数量，0＜t≤n，n为授权令牌总数，在t个权限所有人同意授权时，将各自的授权令牌提供给第一服务器的认证操作系统。
76.发送单元30，还用于发送待认证数据的待验证认证值，待验证认证值用于与待认证数据的认证值进行匹配，以得到认证结果。如将待认证数据的待验证认证值发送给第二服务器，由第二服务器比对待验证认证值和待认证数据的认证值，如果两者匹配，得到认证通过的认证结果；如果两者不匹配，得到认证失败的认证结果。如果n个权限角色中少于t个授权角色同意授权时，无法计算f(x)，得到认证失败的认证结果。
77.目前在进行认证时，第二服务器利用授权令牌按照特定顺序对待认证数据进行多层认证，来得到待验证认证值，如果授权令牌的使用顺序错误会得到一个错误的待验证认证值。本实施例利用哈希盐值对待认证数据进行一次计算即可得到待验证认证值，且与授权令牌的使用顺序无关，从而简化认证流程。
78.在本实施例中，授权令牌处理装置可集成在第一服务器的认证操作系统中，使认
证操作系统利用授权令牌处理装置完成授权令牌的分发和在认证流程中利用权限所有人反馈的授权令牌生成认证所需的哈希盐值。其中权限所有人的授权令牌是由待处理哈希盐值和随机数据生成，不同随机数据与待处理哈希盐值相结合时得到的授权令牌各有差异，通过任一授权令牌很难推测出其他授权令牌，因此即便任一权限所有人的授权令牌被攻击者得到，也能够保证其他授权令牌的安全性，从而提高安全性。
79.本技术实施例还提供一种服务器，包括：一个或多个处理器、存储器。其中，存储器用于存储一个或多个计算机程序代码，计算机程序代码包括计算机指令，当一个或多个处理器执行计算机指令时，服务器执行上述授权令牌处理方法。
80.本技术实施例还提供一种计算机存储介质，计算机存储介质包括计算机指令，当计算机指令在服务器上运行时，使得服务器执行上述授权令牌处理方法。
81.需要说明的是，本说明书中的各个实施例可以采用递进的方式描述、本说明书中各实施例中记载的特征可以相互替换或者组合，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
82.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
83.对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
84.以上所述仅是本技术的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本技术的保护范围。