作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥的制作方法

本公开一般地涉及用户认证和授权，并且更具体地涉及在由资源用户做出的用于用户认证和授权的受保护资源访问请求的标头字段集合上将对应于该资源用户的基于属性的加密用户密钥用作用于密钥散列消息认证码数字签名的秘钥。

背景技术：

1、用户认证和授权是网络安全的关键组成部分。例如，认证用户的身份是由用户提供针对访问安全用户账户、执行安全交易、访问安全网络资源等的控制的第一步。认证意味着确认用户的身份，而授权意味着向用户授予许可。换言之，认证是验证用户是谁的过程，而授权是验证用户能够执行或能够访问什么的过程。授权是指定对安全或受保护资源的访问权限或特权的功能，其与访问控制相关。授权由访问控制策略定义。在授权操作期间，计算机系统使用访问控制策略来确定来自认证用户的受保护资源访问请求是被批准(即，授权访问)还是未被批准(即，拒绝访问)。受保护资源可以包括例如包含机密或敏感信息的数据、文件、文档、软件应用和程序、存储、处理器、内存、网络资源等。逻辑上，认证在授权之前。

2、网络安全性由这些访问控制策略组成，这些访问控制策略被采用来防止和监视网络可访问的受保护资源的未授权访问、滥用、修改或拒绝。通常，用户选择或被分配标识符，诸如用户名和密码或允许用户访问用户权限内的网络可访问受保护资源的其他认证信息。例如，一旦被认证，防火墙就强制执行访问控制策略，该访问控制策略定义相应用户被允许访问网络上的什么受保护资源。

技术实现思路

1、根据一个说明性实施例，提供了一种用于资源用户认证和授权的计算机实现的方法。计算机基于使用检索的基于属性的加密用户密钥作为用于经由网络从资源用户的客户端设备接收的受保护资源访问请求的标头字段集合上的密钥散列消息认证码数字签名的秘钥来生成认证码。计算机将生成的认证码与在受保护资源访问请求的嵌入标头字段内读取的认证码进行比较。计算机确定生成的认证码和在嵌入标头字段内读取的认证码之间是否存在匹配。响应于计算机确定在生成的认证码和在嵌入标头字段内读取的认证码之间存在匹配，计算机认证资源用户。计算机响应于资源用户的认证，使用所检索的对应于资源用户的基于属性的加密用户密钥，执行对应于受保护资源访问请求的加密的受保护资源的解密。根据其他说明性实施例，提供了一种用于资源用户认证和授权的计算机系统和计算机程序产品。

技术特征：

1.一种用于资源用户认证和授权的计算机实现的方法，所述计算机实现的方法包括：

2.根据权利要求1所述的计算机实现的方法，进一步包括：

3.根据权利要求1所述的计算机实现的方法，进一步包括：

4.根据权利要求3所述的计算机实现的方法，其中除了所述一组标头字段外，所述客户端设备的客户端资源应用还将所述嵌入认证码字段和所述嵌入用户密钥标识符字段嵌入所述受保护资源访问请求中，并且其中所述客户端资源应用在向所述计算机发送所述受保护资源访问请求之前，将所述认证码插入所述嵌入认证码字段中并且将所述用户密钥标识符插入所述嵌入用户密钥标识符字段中，并且其中所述客户端资源应用在所述计算机成功解密后利用所述加密的受保护资源。

5.根据权利要求1所述的计算机实现的方法，其中，所述受保护资源访问请求是请求访问由所述计算机托管的所述加密的受保护资源。

6.根据权利要求1所述的计算机实现的方法，其中，所检索的基于属性的加密用户密钥对应于所述资源用户。

7.根据权利要求1所述的计算机实现的方法，进一步包括：

8.一种用于资源用户认证和授权的计算机系统，所述计算机系统包括：

9.根据权利要求8所述的计算机系统，其中，所述处理器进一步执行所述程序指令以：

10.根据权利要求8所述的计算机系统，其中，所述处理器进一步执行所述程序指令以：

11.根据权利要求10所述的计算机系统，其中除了所述一组标头字段以外，所述客户端设备的客户端资源应用还将所述嵌入认证码字段和所述嵌入用户密钥标识符字段嵌入所述受保护资源访问请求中，并且其中所述客户端资源应用在向所述计算机系统发送所述受保护资源访问请求之前，将所述认证码插入所述嵌入认证码字段中并且将所述用户密钥标识符插入所述嵌入用户密钥标识符字段中，并且其中所述客户端资源应用在所述计算机系统成功解密后利用所述加密的受保护资源。

12.根据权利要求8所述的计算机系统，其中，所述受保护资源访问请求是请求访问由所述计算机系统托管的所述加密的受保护资源。

13.根据权利要求8所述的计算机系统，其中，所检索的基于属性的加密用户密钥对应于所述资源用户。

14.一种用于资源用户认证和授权的计算机程序产品，所述计算机程序产品包括其中实施有程序指令的计算机可读存储介质，所述程序指令可由计算机执行以使所述计算机执行以下方法：

15.根据权利要求14所述的计算机程序产品，进一步包括：

16.根据权利要求14所述的计算机程序产品，进一步包括：

17.根据权利要求16所述的计算机程序产品，其中除了所述一组标头字段以外，所述客户端设备的客户端资源应用将所述嵌入认证码字段和所述嵌入用户密钥标识符字段嵌入在所述受保护资源访问请求中，并且其中所述客户端资源应用在向所述计算机发送所述受保护资源访问请求之前，将所述认证码插入所述嵌入认证码字段中并且将所述用户密钥标识符插入所述嵌入用户密钥标识符字段中，并且其中所述客户端资源应用在所述计算机成功解密后利用所述加密的受保护资源。

18.根据权利要求14所述的计算机程序产品，其中，所述受保护资源访问请求是请求访问由所述计算机托管的所述加密的受保护资源。

19.根据权利要求14所述的计算机程序产品，其中，所述检索的基于属性的加密用户密钥对应于所述资源用户。

20.根据权利要求14所述的计算机程序产品，进一步包括：

技术总结
提供了资源用户认证和授权。基于将检索的基于属性的加密用户密钥用作用于经由网络从资源用户的客户端设备接收的受保护资源访问请求的一组标头字段上的密钥‑散列消息认证码数字签名的秘钥来生成认证码。将生成的认证码与在受保护资源访问请求的嵌入标头字段内读取的认证码进行比较。确定在所生成的认证码和在嵌入标头字段内读取的认证码之间是否存在匹配。响应于确定匹配确实存在，资源用户被认证。响应于所述资源用户的认证，使用对应于所述资源用户的所检索的基于属性的加密用户密钥来执行对应于所述受保护资源访问请求的加密的受保护资源的解密。

技术研发人员：M·D·瑟博尔恩
受保护的技术使用者：国际商业机器公司
技术研发日：
技术公布日：2024/1/14