HSS越权访问防护方法、系统、电子设备及存储介质技术方案

本发明专利技术涉及安全防护技术领域，揭露了一种HSS越权访问防护方法，包括：获取用户对HSS服务器的原始访问请求，解析原始访问请求对应的属性信息及用户私钥；将属性信息添加至原始访问请求中，得到包含属性信息的访问请求，并根据包含属性信息的访问请求生成访问控制策略；查询访问控制策略在HSS服务器中对应的访问资源列表，基于访问资源列表及属性信息，利用预设的加密算法生成验证私钥，在验证私钥与用户私钥不一致时，禁止访问资源列表对应的资源。本发明专利技术还提出一种HSS越权访问防护系统、电子设备以及存储介质。本发明专利技术可以提高HSS服务器的安全性。的安全性。的安全性。

【技术实现步骤摘要】
HSS越权访问防护方法、系统、电子设备及存储介质


[0001]本专利技术涉及安全防护
，尤其涉及一种HSS越权访问防护方法、系统、电子设备及存储介质。

技术介绍

[0002]HSS(Home Subscriber Server，归属签约用户服务器)是数据平台中用户存储用户签约信息的服务器，用于管理用户的签约数据及移动用户的位置信息等用户隐私数据，为了保证用户隐私数据的安全，需要对用户进行访问控制，从而防止用户隐私数据被非法越权访问和使用，提高用户隐私数据的安全性。
[0003]现有的服务器访问控制方法存在控制单点化以及控制决策的中心化，访问控制机制只是基于用户的指定的静态策略进行授权，不能根据用户的多个属性标签进行分组授权，更不能根据用户的属性变化进行权限的动态变更，仅能够实现用户到角色、角色到权限的单一映射授权，灵活性差、可扩展性不高，导致出现用户越权对HSS进行数据访问，造成用户隐私数据泄露，使得用户隐私数据的安全性较差。

技术实现思路

[0004]本专利技术提供一种HSS越权访问防护方法、系统、电子设备及存储介质，其主要目的在于解决分布式数据的部署效率较低的问题。
[0005]为实现上述目的，本专利技术提供的一种HSS越权访问防护方法，包括：
[0006]获取用户对HSS服务器的原始访问请求，解析所述原始访问请求所对应的属性信息及用户私钥；
[0007]将所述属性信息添加至所述原始访问请求中，得到包含属性信息的访问请求，并根据所述包含属性信息的访问请求生成访问控制策略；
[0008]查找所述访问控制策略在所述HSS服务器中对应的访问资源列表，基于所述访问资源列表及所述属性信息，利用预设的加密算法生成验证私钥；
[0009]在验证私钥与所述用户私钥不一致时，禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。
[0010]可选地，所述解析所述原始访问请求所对应的属性信息及用户私钥，包括：
[0011]确定所述原始访问请求对应的统一资源标识符及访问请求报文，并提取所述访问请求报文中的报文字段；
[0012]利用所述统一资源标识符获取所述原始访问请求对应的解析规则，利用所述解析规则对所述报文字段进行解析，得到所述原始访问请求所对应的属性信息及用户私钥。
[0013]可选地，所述利用所述解析规则对所述报文字段进行解析，得到所述原始访问请求所对应的属性信息及用户私钥，包括：
[0014]提取所述解析规则中的解析函数，根据所述解析函数生成解析规则树；
[0015]根据所述规则树确定所述解析函数的解析执行顺序；
[0016]根据所述解析执行顺序对所述报文字段进行处理，得到所述原始访问请求所对应的属性信息及用户私钥。
[0017]可选地，所述将所述属性信息添加至所述原始访问请求中，得到包含属性信息的访问请求，包括：
[0018]获取所述原始访问请求的访问请求报文并确定所述访问请求报文的报文字段；
[0019]将所述属性信息转化为所述报文字段对应的字段，得到属性信息字段；
[0020]将所述属性信息字段添加至所述访问请求报文中预设的报文位置，得到包含属性信息的访问请求。
[0021]可选地，所述根据所述包含属性信息的访问请求生成访问控制策略，包括：
[0022]解析所述包含属性信息的访问请求中的请求信息，得到属性请求信息；
[0023]对所述属性请求信息进行类别划分，得到多个类别信息，并确定每个类别信息中的信息值域；
[0024]根据所述信息值域确定每个所述类别信息的类别权限并构建类别信息
‑
类别权限的权限哈希表，基于所述权限哈希表得到访问控制策略。
[0025]可选地，所述基于所述访问资源列表及所述属性信息，利用预设的加密算法生成验证私钥，包括：
[0026]初始化固定字长，根据所述固定字长对所述访问资源列表及所述属性信息进行归一化，得到归一化后的访问资源列表及属性信息；
[0027]利用如下公式对所述访问资源列表及所述属性信息进行归一化：
[0028][0029]其中，Z为归一化后的访问资源列表或属性信息，x为所述访问资源列表或属性信息，M为所述访问资源列表或属性信息中的最大字长，N为所述固定字长；
[0030]对所述归一化后的访问资源列表及属性信息进行映射，得到映射数据，并对所述映射数据进行数据截断；
[0031]对所述数据截断后的映射数据进行预设次数的迭代，得到验证私钥。
[0032]可选地，利用如下公式对所述归一化后的访问资源列表及属性信息进行映射，得到映射数据：
[0033]f(Z)＝uZ(1
‑
Z),u∈(3.571448
…
,4)
[0034]其中，f(Z)为映射数据，u为预设的映射参数，Z为所述归一化后的访问资源列表或属性信息。
[0035]为了解决上述问题，本专利技术还提供一种HSS越权访问防护系统，所述系统包括：
[0036]请求解析模块，用于获取用户对HSS服务器的原始访问请求，解析所述原始访问请求所对应的属性信息及用户私钥；
[0037]访问控制策略生成模块，用于将所述属性信息添加至所述原始访问请求中，得到包含属性信息的访问请求，并根据所述包含属性信息的访问请求生成访问控制策略；
[0038]验证私钥生成模块，用于查找所述访问控制策略在所述HSS服务器中对应的访问资源列表，基于所述访问资源列表及所述属性信息，利用预设的加密算法生成验证私钥；
[0039]越权防护模块，用于在验证私钥与所述用户私钥不一致时，禁止访问所述访问资
源列表对应的HSS服务器资源对应的HSS服务器资源。
[0040]为了解决上述问题，本专利技术还提供一种电子设备，所述电子设备包括：
[0041]至少一个处理器；以及，
[0042]与所述至少一个处理器通信连接的存储器；其中，
[0043]所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述所述的HSS越权访问防护方法。
[0044]为了解决上述问题，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个计算机程序，所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的HSS越权访问防护方法。
[0045]本专利技术实施例中，本专利技术实施例通过解析原始访问请求对应的属性信息以及用户私钥；并根据包含属性信息的访问请求生成访问控制策略，能够根据属性信息对用户进行细粒度的划分，灵活地生成访问控制策略；同时根据访问控制策略获取HSS中对应的访问资源列表，能够有效地避免用户越权访问属性信息中不可访问的资源，提高HSS的数据安全性；利用访问资源列表及属性信息生成验证私钥；判断验证私钥与用户私钥是否一致，保证用户私钥的一致性，避本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种HSS越权访问防护方法，其特征在于，所述方法包括：获取用户对HSS服务器的原始访问请求，解析所述原始访问请求所对应的属性信息及用户私钥；将所述属性信息添加至所述原始访问请求中，得到包含属性信息的访问请求，并根据所述包含属性信息的访问请求生成访问控制策略；查找所述访问控制策略在所述HSS服务器中对应的访问资源列表，基于所述访问资源列表及所述属性信息，利用预设的加密算法生成验证私钥；在验证私钥与所述用户私钥不一致时，禁止访问所述访问资源列表对应的HSS服务器资源对应的HSS服务器资源。2.如权利要求1所述的HSS越权访问防护方法，其特征在于，所述解析所述原始访问请求所对应的属性信息及用户私钥，包括：确定所述原始访问请求对应的统一资源标识符及访问请求报文，并提取所述访问请求报文中的报文字段；利用所述统一资源标识符获取所述原始访问请求对应的解析规则，利用所述解析规则对所述报文字段进行解析，得到所述原始访问请求所对应的属性信息及用户私钥。3.如权利要求2所述的HSS越权访问防护方法，其特征在于，所述利用所述解析规则对所述报文字段进行解析，得到所述原始访问请求所对应的属性信息及用户私钥，包括：提取所述解析规则中的解析函数，根据所述解析函数生成解析规则树；根据所述规则树确定所述解析函数的解析执行顺序；根据所述解析执行顺序对所述报文字段进行处理，得到所述原始访问请求所对应的属性信息及用户私钥。4.如权利要求1所述的HSS越权访问防护方法，其特征在于，所述将所述属性信息添加至所述原始访问请求中，得到包含属性信息的访问请求，包括：获取所述原始访问请求的访问请求报文并确定所述访问请求报文的报文字段；将所述属性信息转化为所述报文字段对应的字段，得到属性信息字段；将所述属性信息字段添加至所述访问请求报文中预设的报文位置，得到包含属性信息的访问请求。5.如权利要求1所述的HSS越权访问防护方法，其特征在于，所述根据所述包含属性信息的访问请求生成访问控制策略，包括：解析所述包含属性信息的访问请求中的请求信息，得到属性请求信息；对所述属性请求信息进行类别划分，得到多个类别信息，并确定每个类别信息中的信息值域；根据所述信息值域确定每个所述类别信息的类别权限并构建类别信息
‑
类别权限的权限哈希表，基于所述权限哈希表得到访问控制策略。6.如...

【专利技术属性】
技术研发人员：熊琦，
申请(专利权)人：成都魔光数码科技有限公司，
类型：发明
国别省市：