(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210762824.7 (22)申请日 2022.06.29 (71)申请人 上海众人智能科技有限公司 地址 200000 上海市浦东 新区自由贸易试 验区张江路6 65号三层 (72)发明人 谈剑锋　张雷　黄磊　石建兵　 俞文娟　付宗玉　钱金金　严正华　 赵越　 (74)专利代理 机构 北京盛询知识产权代理有限 公司 11901 专利代理师 相凡 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种基于数据安全访问的动态确权认证方 法 (57)摘要 本发明公开一种基于数据安全访问的动态 确权认证方法， 包括以下步骤： 对数据访问性读 取认证进行核验， 对用户角色配置请求信息进行 核查， 生成动态口令并对字符串嵌入密钥帧， 对 动态口令进行计算并解密字符串以及完成数据 访问性读取实时动态确权认证并进行数据访问 性读取； 本发 明在数据访问性读取的认证过程中 生产动态口令并作为信息传输中的动态因子， 使 每次传输的认证信息都不相同， 提高了数据访问 性读取过程中口令认证的安全性， 入侵控制效率 高， 并通过不定时的发起访问请求实现零信任数 据访问性读取， 能抵御大部分针对传统口令认证 的网络攻击， 消除了传统口令认证方法的大部分 安全缺陷， 并能有效抵抗传统口令认证所面临的 主要安全威胁和攻击 。 权利要求书2页 说明书5页 附图1页 CN 115134157 A 2022.09.30 CN 115134157 A 1.一种基于数据安全访问的动态确权认证方法， 其特 征在于， 包括以下步骤： 步骤一： 数据接收终端向数据源终端发送请求， 并要求进行数据访问性读取， 数据源终 端对数据访问性读取认证进行接收并对数据访问性读取认证进行核验， 核验无误后利用零 信任认证服 务器向数据接收端发送身份认证通知； 步骤二： 数据接收终端接收到身份认证通知后向零信任认证服务器发出请求， 并要求 进行身份认证， 零信任认证服务器对用户角色配置请求信息进行接 收， 并核查数据接 收终 端身份的合法性， 再在核查结果无误后随机生成一个动态随机数， 并发送至数据接收终端； 步骤三： 数据接收终端接收到动态随机数后将其终端代码与动态随机数合并， 并使用 单向Hash函数生成一个字符串， 然后数据接收终端利用动态口令算法生成动态口令， 再利 用生成的动态口令对生成的字符串 进行加密， 并将加密结果发送至零信任认证服 务器； 步骤四： 零信任认证服务器接收到加密后的字符串后 根据当前时间计算数据接收终端 的动态口令， 并用该动态口令对接 收到的字符串进行解密， 然后零信任认证服务器利用解 密结果和计算结果进行比较验证； 步骤五： 验证合格后即完成初次数据访 问性读取实时动态确权认证， 随后由零信任认 证服务器为数据接收终端和数据源终端建立数据安全通信通道， 同时通知数据接收终端 数 据认证， 然后数据源终端并通过 数据安全通信通道为数据接收终端提供 数据加密 访问。 2.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤二中， 所述零信任认证服务器中设有终端身份信息数据库， 所述零信任认证服务器 根据数据接 收终端的用户角色配置请求信息从终端身份信息数据库中提取并核实数据接 收终端的身份信息是否合法。 3.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤二中， 所述终端身份信息数据库中预存有不同终端的身份信息， 在对数据接 收终端 身份信息进行核实时， 若核实结果显示身份信息不合法， 则通知数据源终端拒绝数据接 收 终端的访问请求， 若 核实结果显示身份信息合法， 则进行后续认证步骤。 4.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤三中， 生成动态口令的具体步骤为： 数据接 收终端自带的动态口令程序提取当前时 间和终端的密钥 数据， 再利用提取的时间对密钥 数据进行加密， 然后利用SHA ‑1算法或MD5 算法提取加密结果的消息摘要， 最后将产生的消息摘要作为动态口令 。 5.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤四中， 进行比较验证时， 若字 符串的解密结果和 动态口令的计算结果相同， 则表示验 证合格， 若字符串的解密结果和动态口令的计算结果 不相同， 则表示验证不 合格。 6.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤五中， 初次数据访问性读取实时动态确权认证通过后， 后续认证由数据接 收终端不 定时向零信任认证服 务器发起， 并保证相邻两次认证发起时间 间隔为2‑3分钟。 7.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤五中， 进行数据加密访问时采用非对称加密算法对数据信息进行加密， 由数据接 收 终端生成两组密钥， 并将其中一组密钥作为公钥传输给数据源终端， 数据源终端通过公钥 对数据信息进 行加密并传输给数据接收终端， 数据接收终端通过两组密钥中的私钥进 行数 据解密。权　利　要　求　书 1/2 页 2 CN 115134157 A 28.根据权利要求1所述的一种基于数据安全访问的动态确权认证方法， 其特征在于： 所 述步骤五中， 进行数据加密访问时采用对称加密算法对数据信息进行加密， 由数据源终端 和数据接收终端采用相同的密钥和初始 化矢量完成数据的加密和解密过程， 且对称密码采 用分组密码。权　利　要　求　书 2/2 页 3 CN 115134157 A 3