一种基于通行字的访问控制方法、系统、装置与介质与流程

本技术涉及设备访问，尤其是一种基于通行字的访问控制方法、系统、装置与存储介质。

背景技术：

1、相关技术中，传统的统一认证类发明采用基于凭证的访问控制，凭证鉴别过程在中心认证模块中完成。但在可靠性要求极高的在线业务中，一旦中心认证模块发生故障或网络故障，就会造成无法完成访问机的身份鉴别，从而导致业务中断。因此，相关技术中仍存在需要解决的技术问题。

技术实现思路

1、本技术的目的在于至少一定程度上解决现有技术中存在的技术问题之一。

2、为此，本技术实施例的一个目的在于提供一种基于通行字的访问控制方法、系统、装置与存储介质，该方法、系统、装置与存储介质可以简化访问控制的过程，提高访问控制的适用性，减少访问过程的资源消耗。

3、为了达到上述技术目的，本技术实施例所采取的技术方案包括：一种基于通行字的访问控制方法，包括：获取访问机的访问请求并接收访问机的通行字；所述通行字包括访问机账号、访问机ip、访问口令、访问机访问方式对应的访问字以及所述访问请求的访问时间；根据所述访问机账号以及所述访问口令，从预设的访问控制策略列表中确定与所述访问机对应的第一访问控制策略；根据所述访问机账号、所述访问机ip、所述访问口令、所述访问字以及所述访问时间，对所述第一访问控制策略进行完整性校验，确定允许访问机访问的目标控制策略；运行所述目标控制策略并接受所述访问机的访问。

4、另外，根据本发明中上述实施例的一种基于通行字的访问控制的方法，还可以有以下附加的技术特征：

5、进一步地，本技术实施例中，所述第一访问控制策略包括app值、访问机登录次数、访问机登录最大次数、策略创建时间、访问机登录ip范围、访问机登录时间域以及访问机存储的随机数，所述根据所述访问机账号、所述访问机ip、所述访问口令、所述访问字以及所述访问时间，对所述第一访问控制策略进行完整性校验，确定允许访问机访问的目标控制策略这一步骤，具体包括：根据所述访问机账号、所述访问口令、所述app值、所述访问机最大登录次数、所述策略创建时间、所述访问机登录ip范围、所述访问机登录时间域以及所述随机数，计算所述第一哈希值；以所述第一哈希值与预设哈希值相同，且所述访问机ip在所述访问机登录ip范围内，且所述访问时间与预设时间的时间差值在所述访问机登录时间域内，且所述访问机登录次数大于0，且所述访问字与所述app值相同的第一访问控制策略作为所述目标控制策略。

6、进一步地，本技术实施例中，所述根据所述访问机账号、所述访问口令、所述app值、所述访问机最大登录次数、所述策略创建时间、所述访问机登录ip范围、所述访问机登录时间域以及所述随机数，计算所述第一哈希值这一步骤，具体包括：对所述账号名、所述访问口令、所述app值、所述访问机最大登录次数、所述策略创建时间、所述访问机登录ip范围、所述访问机登录时间域以及所述随机数进行哈希运算，确定第一哈希值；其中所述哈希运算对应的公式为：

7、vhash＝sm3(u,pwd,app,mcnt,st,sip,t,r)

8、其中vhash为第一哈希值，u为账号名，pwd为访问口令、app为app值，mcnt为访问机最大登录次数，st为策略创建时间，sip为访问机登录ip范围，t为访问机登录时间域，r为随机数，sm3()为哈希运算。

9、进一步地，本技术实施例中，所述访问口令通过以下步骤得到，包括：获取访问机pin码、访问机密钥、受访机的身份信息、受访机随机生成的随机数以及受访机账号；根据所述访问机密钥以及所述受访机身份信息，确定受访机密钥；根据所述受访机密钥以及所述访问机pin码，确定用于产生所述访问口令的第一密钥；

10、根据所述第一密钥、所述随机数以及所述受访机账号，确定访问口令。

11、进一步地，本技术实施例中，所述访问控制策略包括预设访问账号、随机数以及通行证值，所述根据所述访问机账号以及所述访问口令，从预设的访问控制策略列表中确定与所述访问机对应的第一访问控制策略这一步骤，具体包括：根据所述随机数以及所述访问口令，确定通行哈希值；确定所述访问控制策略列表中，所述通行哈希值与所述通行证值相同，且所述账号名与所述预设访问账号相同的访问控制策略为第一访问控制策略。

12、进一步地，本技术实施例中，所述根据所述访问机密钥以及所述受访机身份信息，确定受访机密钥这一步骤，具体包括：根据所述访问机密钥、受访机身份信息以及密钥派生算法，确定所述受访机密钥，所述受访机密钥的表达式为：

13、hk＝kdf(mk,did)

14、其中hk为受访机密钥，kdf()为密钥派生算法，mk为所述访问机密钥，did为受访机身份信息。

15、进一步地，本技术实施例中，所述根据所述受访机密钥以及所述访问机pi n码，确定用于产生所述访问口令的第一密钥这一步骤，具体包括：根据所述访问机pin码、所述受访机密钥以及密钥派生函数，确定所述第一密钥；所述第一密钥的表达式为：

16、hpwd＝pbkdf(hk,pin)

17、其中，hpwd为用于产生所述访问口令的第一密钥，hk为受访机密钥，pi n为访问机pin码，pbkdf()为密钥派生函数。

18、另一方面，本技术实施例还提供一种基于通行字的访问控制系统，包括：

19、获取单元，用于获取访问机的访问请求并接收访问机的通行字；所述通行字包括访问机账号、访问机ip、访问口令、访问机访问方式对应的访问字以及所述访问请求的访问时间；

20、第一处理单元，用于根据所述访问机账号以及所述访问口令，从预设的访问控制策略列表中确定与所述访问机对应的第一访问控制策略；

21、第二处理单元，用于根据所述访问机账号、所述访问机ip、所述访问口令、所述访问字以及所述访问时间，对所述第一访问控制策略进行完整性校验，确定允许访问机访问的目标控制策略；

22、控制单元，用于运行所述目标控制策略并接受所述访问机的访问。

23、另一方面，本技术还提供一种基于通行字的访问控制装置，包括：

24、至少一个处理器；

25、至少一个存储器，用于存储至少一个程序；

26、当所述至少一个程序被所述至少一个处理器执行，使得所述至少一个处理器实现如前面所述一种基于通行字的访问控制方法。

27、此外，本技术还提供一种计算机可读存储介质，其中存储有处理器可执行的指令，所述处理器可执行的指令在由处理器执行时用于执行如前面所述一种基于通行字的访问控制方法。

28、本技术的优点和有益效果将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到：

29、本技术可以通过获取访问机的访问请求并接收访问机的通行字；通行字包括访问机账号、访问机ip、访问口令、访问机访问方式对应的访问字以及访问请求的访问时间；根据访问机账号以及访问口令，从预设的访问控制策略列表中确定与访问机对应的第一访问控制策略；根据访问机账号、访问机ip、访问口令、访问字以及访问时间，对第一访问控制策略进行完整性校验，确定允许访问机访问的目标控制策略；运行目标控制策略并接受访问机的访问。本技术采用基于通行字的离线访问控制，使凭证鉴别以及访问控制过程可以在受访机中离线完成，不依赖网络和中心认证模块。本技术可以简化访问控制的过程，提高访问控制的适用性，减少访问过程的资源消耗。