一种跨域安全交互方法、系统、终端以及存储介质与流程

1.本技术属于网络安全技术领域，特别涉及一种跨域安全交互方法、系统、终端以及存储介质。


背景技术：

2.近年来，为了消除信息孤岛，实施互联互通，推进集约化建设，政务信息整合和共享受到各级政府的高度重视。用户注册数据库统一建立在省政务服务平台，用户注册统一由省政务服务平台提供，各市、部门政务服务页面不再提供用户注册功能。同样，用户登录界面也由省政务服务平台统一提供，各市、各部门只提供相应的跳转链接。各部门政务服务系统虽然不提供用户注册和登录检验功能，但是必须建立一个统一用户认证对接管理模块，统一处理和省政务服务平台用户认证子系统之间的相互调用。
3.异构系统是指节点分布在不同安全域中的系统结构，跨域认证也就是针对不同信任域下的用户在进行跨域访问、通信时进行身份验证。常见的网络安全方案中，服务器一般通过约定好的身份验证协议验证客户端的身份，由于物联网中存在种类繁多的设备和应用系统，这种传统的安全模式存在各种弊端。首先，如果设备数量过于庞大可能导致设备身份的管理困难，并导致系统服务器的性能要求高和身份管理代价大；其次，不同的应用系统独立存储设备的身份信息并独立完成身份验证，这种相互独立的模式，每个系统都将是一个信任孤岛，各个系统之间的资源、信息无法共享使用，造成资源的浪费；最后，相互独立的不同系统之间的认证机制可能不相同，不同种类的设备的安全性也不相同，这也导致客户端的身份的认证存在诸多的不确定性因素。
4.另外，为了保护用户的隐私，在域中传输数据时需要对数据进行加密。传统方法是使用对称或非对称加密算法，但该方法不适用于政务系统的复杂场景。
5.基于上述，如何在分布式的多域环境下，对原本独立安全的单个域构建安全高效的跨域访问控制模型进而与外域进行安全交互成为研究难点。


技术实现要素：

6.本技术提供了一种跨域安全交互方法、系统、终端以及存储介质，旨在至少在一定程度上解决现有技术中的上述技术问题之一。
7.为了解决上述问题，本技术提供了如下技术方案：
8.一种跨域安全交互方法，包括：
9.构建第三方代理认证中心，通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书，并向所述系统下的设备签发背书凭证；
10.通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；所述访问请求中包括背书凭证；
11.通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行
身份验证，如果验证通过，建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
12.本技术实施例采取的技术方案还包括：所述向支持跨域访问的系统签发数字证书，并向所述系统下的设备签发背书凭证具体为：
13.识别请求接入所述第三方代理认证中心的系统信息，向支持跨域访问的系统签发数字证书；
14.接收所述系统下的设备发送的注册请求，并对所述注册请求进行解析后，根据所述系统的认证方式向所述设备签发背书凭证。
15.本技术实施例采取的技术方案还包括：所述向设备签发背书凭证具体包括：
16.解析所述设备的注册请求，验证设备的用户身份信息以及注册请求是否合法，如何合法，查询所述设备期待访问的目标域信息，并生成一对密钥，根据所述密钥和用户身份信息生成背书凭证；
17.使用所述数字证书中的密钥对背书凭证进行数字签名；
18.将所述背书凭证、数字签名以及私钥签发给设备，并将所述背书凭证签发记录写入到第三方代理认证中心；
19.所述背书凭证中包括设备的唯一身份标识、凭证出具系统的标识、凭证出具系统的名称、凭证出具系统的认证方式、设备认证结果、凭证有效时间以及时间戳、数字签名、期待访问的目标域系统标识、目标域内被请求访问的系统支持的属性操作以及与设备加密通信的密钥。
20.本技术实施例采取的技术方案还包括：所述属性证书中包括设备的身份信息、密钥信息，唯一的证书序列号、证书的有效使用期限、属性信息、使用域、签发单位、签发单位的公钥信息以及证书类型；
21.所述访问请求中包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证。
22.本技术实施例采取的技术方案还包括：所述通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书具体包括：
23.构造属性表存储模块，所述属性表存储模块用于存储域与域之间的属性转换关系；
24.构造属性映射表，所述属性映射表用于记录源域和目标域的所有属性，以及属性间的相互映射关系；
25.在属性映射服务模块构造缓冲区，通过所述缓冲区存储常用域间的属性映射表；
26.利用所述属性映射表对属性证书进行属性映射，如果属性映射表对应可完全映射，则代表支持跨域访问以及同步修改操作；如果属性映射表对应不能映射，则代表不能进行跨域访问；如果属性映射表部分映射，则代表可进行跨域访问但不能进行修改操作。
27.本技术实施例采取的技术方案还包括：所述通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证还包括：
28.通过所述目标域内被请求访问的系统对所述访问请求和属性证书进行解析；所述解析过程包括：
29.对所述访问请求进行解析，查看所述访问请求的时间戳和请求内容；
30.通过所述第三方代理认证中心查询背书凭证签发方的信息，验证数字签名，并验证所述背书凭证是否完整；
31.检查所述背书凭证的有效期以及签发方状态，验证所述访问请求是否合规，并查看所述背书凭证签发方是否在本域的信任列表中。
32.本技术实施例采取的技术方案还包括：所述如果验证通过，建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互具体包括：
33.在所述目标域内被请求访问的系统的数据域中开辟可支持读写操作的数据共享域，所述数据共享域支持源域内请求访问的系统下的设备进行同步修改操作；
34.所述数据共享域由第三方代理认证中心向目标域指明。
35.本技术实施例采取的另一技术方案为：一种跨域安全交互系统，包括：
36.认证中心构建模块：用于构建第三方代理认证中心，通过所述第三方代理认证中心向支持跨域访问的系统签发数字证书，并向所述系统下的设备签发背书凭证；
37.请求发送模块：用于通过所述第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，所述请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；所述访问请求中包括背书凭证；
38.系统验证模块：用于通过所述第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证，如果验证通过，建立所述源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
39.本技术实施例采取的又一技术方案为：一种终端，所述终端包括处理器、与所述处理器耦接的存储器，其中，
40.所述存储器存储有用于实现所述跨域安全交互方法的程序指令；
41.所述处理器用于执行所述存储器存储的所述程序指令以控制跨域安全交互。
42.本技术实施例采取的又一技术方案为：一种存储介质，存储有处理器可运行的程序指令，所述程序指令用于执行所述跨域安全交互方法。
43.相对于现有技术，本技术实施例产生的有益效果在于：本技术实施例的跨域安全交互方法、系统、终端以及存储介质通过建立一个可信的第三方代理认证中心，通过该第三方代理认证中心为不同系统和系统下的设备构建统一的身份标识，利用数字证书对不同系统在物联网环境下的跨域身份进行验证，实现异构系统之间一对多的跨域身份验证；并在身份验证成功之后在被请求访问的系统的数据域中划分出可支持读写操作的数据共享域，实现不同域间安全互操作的同时，保证了某些不可被修改访问的数据域的安全性，且避免了资源的浪费。本发明在跨域访问过程中采用基于属性证书加密算法的数据传输方式，提高了访问效率和跨域访问控制的安全性。
附图说明
44.图1是本技术第一实施例的跨域安全交互方法的流程图；
45.图2是本技术第二实施例的跨域安全交互方法的流程图；
46.图3为本技术实施例的属性证书示意图；
47.图4为本技术实施例的跨域安全交互系统结构示意图；
48.图5为本技术实施例的终端结构示意图；
49.图6为本技术实施例的存储介质的结构示意图。
具体实施方式
50.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本技术，并不用于限定本技术。
51.请参阅图1，是本技术第一实施例的跨域安全交互方法的流程图。本技术第一实施例的跨域安全交互方法包括以下步骤：
52.s100：构建第三方代理认证中心，通过第三方代理认证中心向支持跨域访问的系统签发数字证书，并向系统下的设备签发背书凭证；
53.其中，第三方代理认证中心包括数字认证中心、属性映射中心以及数据操作记录缓存中心，具有所有支持跨域访问的系统的信息，并具有私钥生成功能，用于协助系统与系统下的设备之间进行密钥协商。通过第三方代理认证中心为不同的系统和系统下的设备构建统一的身份标识，实现异构身份系统之间一对多的跨域认证。
54.s110：通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；
55.其中，属性证书中包括设备的身份信息、密钥信息，唯一的证书序列号、证书的有效使用期限、属性的相关信息、使用域、签发单位、签发单位的公钥信息以及证书类型等信息。访问请求具体包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证等信息。
56.s120：通过第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证，如果验证通过，建立源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互；
57.其中，如果验证通过，表示请求访问的系统可信任，则在被请求访问的系统的数据域中开辟支持读写操作的数据共享域，该数据共享域可支持源域系统的设备进行数据读写等修改操作，在能够支持源域系统修改操作的同时，保障了目标域系统的隐秘性。
58.请参阅图2，是本技术第二实施例的跨域安全交互方法的流程图。本技术第二实施例的跨域安全交互方法包括以下步骤：
59.s200：构建第三方代理认证中心；
60.本步骤中，通过在第三方系统或者云服务器中建立一个被不同系统信任的认证中心，不同的系统接入该认证中心，通过设备在系统中进行注册并登录所注册的系统。第三方代理认证中心包括数字认证中心、属性映射中心以及数据操作记录缓存中心，具有所有支持跨域访问的系统的信息，并具有私钥生成功能，用于协助系统与系统下的设备之间进行密钥协商。通过第三方代理认证中心为不同的系统和系统下的设备构建统一的身份标识，实现异构身份系统之间一对多的跨域认证。
61.s210：通过第三方代理认证中心识别请求接入该认证中心的系统信息，并向支持跨域访问的系统签发数字证书；
62.本步骤中，数字证书用于验证是否支持具有背书凭证的系统访问。
63.s220：通过第三方代理认证中心接收支持跨域访问的系统下的设备发送的注册请
求，并对注册请求进行解析后，根据不同系统的认证方式向对应的设备签发背书凭证；
64.具体的，背书凭证是数字证书的一种，系统下的每个设备只需要在第三方代理认证中心中注册一次即可凭签发的背书凭证直接访问支持代理的其他系统，不会因为跨域访问而给设备造成额外的负担。第三方代理认证中心向设备签发背书凭证的过程具体包括：解析设备的注册请求，验证设备身份信息以及注册请求是否合法，如何合法，则查询设备期待访问的目标域系统信息，并生成一对密钥，根据密钥和设备身份信息生成背书凭证；然后，使用第三方代理认证中心签发的数字证书中的密钥对背书凭证进行数字签名；最后，将背书凭证、数字签名以及私钥发送给设备，同时将背书凭证签发记录写入到第三方代理认证中心的数据操作记录缓存中心。其中，背书凭证中包括设备的唯一身份标识、凭证出具系统的标识、凭证出具系统的名称、凭证出具系统的认证方式、设备认证结果、凭证有效时间以及时间戳、凭证出具的数字签名、期待访问的目标域系统标识、目标域内被请求访问的系统支持的属性操作以及与设备加密通信的密钥等信息。
65.s230：通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，源域内请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；
66.本步骤中，如图3所示，为本技术实施例的属性证书示意图。属性证书由第三方代理认证中心里的属性映射中心和用户密钥生成，用户密钥是指不同系统访问的对应密钥，即不同系统的识别号。属性映射中心使用混合加密的方式将密钥和属性访问权限进行加密后再放到链路上进行传输，保证在属性证书生成过程中的安全传输。属性证书中包括设备的身份信息、密钥信息，唯一的证书序列号、证书的有效使用期限、属性的相关信息、使用域、签发单位、签发单位的公钥信息以及证书类型等信息。访问请求具体包括设备的唯一身份标识、请求访问的内容、请求支持的操作、请求访问的有效期和时间戳以及背书凭证等信息。
67.本技术实施例中，属性映射方法具体包括：
68.s231：构造属性表存储模块；属性表存储模块用于存储域与域之间的属性转换关系，属性表存储模块采用哈希表的索引结构，便于提取被请求访问的系统支持的相应属性。
69.s232：构造属性映射表；属性映射表是一个二维矩阵，第一列和第一行分别记录了源域和目标域中的所有属性；表中的数字记录了属性间的相互映射关系；其中1表示完全映射，0表示不能映射，介于0、1之间的数字表示部分映射。
70.s233：在属性映射服务模块构造缓冲区，通过缓冲区存储常用域间的属性映射表；由于在多域环境中，进行跨域访问控制的往往是固定的几个常用域，因此，在属性映射服务模块构造一个缓冲区，通过该缓冲区存储常用域间的属性映射表，便于在进行属性映射时先在该缓冲区中寻找常用域的属性映射表。
71.s234：利用属性映射表对属性证书进行属性映射，如果属性映射表对应可完全映射，则代表支持跨域访问以及同步修改操作；如果属性映射表对应不能映射，则代表不能进行跨域访问；如果属性映射表部分映射，则代表可进行跨域访问但不能进行修改操作；其中，本技术实施例在属性证书上加入属性映射的操作，在实现跨域系统身份验证的同时，保障了数据的安全，并且在一定程度上减少了数据读取的难度。属性映射的方法可以适用于多个控制域环境，提升了整个数据网络处理数据的性能。
72.通过上述操作，拥有属性证书的源域系统可以直接利用属性证书向目标域系统请求进行数据访问，并通过数据解密的方式获得明文，提高了访问效率和跨域访问控制的安全性。
73.s240：通过目标域内被请求访问的系统对访问请求和属性证书进行解析，通过第三方代理认证中心根据解析后的访问请求和属性证书验证请求访问的系统是否可信任，并将验证结果返回至目标域的被请求访问的系统；
74.本步骤中，对访问请求和属性证书的解析过程具体包括：首先被请求访问的系统对访问请求进行解析，查看访问请求的时间戳和请求内容；然后通过第三方代理认证中心查询背书凭证签发方的信息，验证数字签名，并验证背书凭证是否完整；最后检查背书凭证的有效期以及签发方状态，验证访问请求是否合规，并查看背书凭证签发方是否在本域的信任列表中。
75.s250：根据第三方代理认证中心返回的验证结果在被请求访问的系统的数据域中开辟数据共享域，建立源域系统与目标域系统的安全连接以及数据共享操作；
76.本步骤中，目标域系统基于自身系统的安全性考虑根据第三方代理认证中心返回的验证结果开辟数据共享域，该数据共享域可支持源域系统的设备进行数据读写等修改操作，并将操作记录传输至第三方代理认证中心进行维护，在能够支持源域系统修改操作的同时，保障了目标域系统的隐秘性，实现了跨域访问的安全交互，解决现有技术中跨域操作难以实现以及跨域操作被请求访问的系统安全性较低的技术缺陷。其中数据共享域由第三方代理认证中心向目标域指明。
77.基于上述，本技术实施例的跨域安全交互方法通过建立一个可信的第三方代理认证中心，通过该第三方代理认证中心为不同系统和系统下的设备构建统一的身份标识，利用数字证书对不同系统在物联网环境下的跨域身份进行验证，实现异构系统之间一对多的跨域身份验证；并在身份验证成功之后在被请求访问的系统的数据域中划分出可支持读写操作的数据共享域，实现不同域间安全互操作的同时，保证了某些不可被修改访问的数据域的安全性，且避免了资源的浪费。本发明在跨域访问过程中采用基于属性证书加密算法的数据传输方式，提高了访问效率和跨域访问控制的安全性。
78.请参阅图4，为本技术实施例的跨域安全交互系统结构示意图。本技术实施例的跨域安全交互系统40包括：
79.认证中心构建模块41：用于构建第三方代理认证中心，通过第三方代理认证中心向支持跨域访问的系统签发数字证书，并向系统下的设备签发背书凭证；
80.请求发送模块42：用于通过第三方代理认证中心利用属性映射方法生成源域内请求访问的系统的属性证书，请求访问的系统利用属性证书向目标域内被请求访问的系统发送访问请求；访问请求中包括背书凭证；
81.系统验证模块43：用于通过第三方代理认证中心根据访问请求和属性证书对请求访问的系统进行身份验证，如果验证通过，建立源域内请求访问的系统与目标域内被请求访问的系统的跨域安全交互。
82.请参阅图5，为本技术实施例的终端结构示意图。该终端50包括处理器51、与处理器51耦接的存储器52。
83.存储器52存储有用于实现上述跨域安全交互方法的程序指令。
84.处理器51用于执行存储器52存储的程序指令以控制跨域安全交互。
85.其中，处理器51还可以称为cpu(central processing unit，中央处理单元)。处理器51可能是一种集成电路芯片，具有信号的处理能力。处理器51还可以是通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
86.请参阅图6，为本技术实施例的存储介质的结构示意图。本技术实施例的存储介质存储有能够实现上述所有方法的程序文件61，其中，该程序文件61可以以软件产品的形式存储在上述存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施方式方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质，或者是计算机、服务器、手机、平板等终端设备。
87.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本技术。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本技术中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本技术所示的这些实施例，而是要符合与本技术所公开的原理和新颖特点相一致的最宽的范围。