CN107919958B - 一种数据加密的处理方法、装置及设备 - Google Patents
一种数据加密的处理方法、装置及设备 Download PDFInfo
- Publication number
- CN107919958B CN107919958B CN201610887935.5A CN201610887935A CN107919958B CN 107919958 B CN107919958 B CN 107919958B CN 201610887935 A CN201610887935 A CN 201610887935A CN 107919958 B CN107919958 B CN 107919958B
- Authority
- CN
- China
- Prior art keywords
- key
- token
- service
- encrypted data
- accessing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/234—Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs
- H04N21/2347—Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs involving video stream encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
- H04L2209/603—Digital right managament [DRM]
Abstract
本申请公开了一种访问加密数据的方法及装置,以及一种验证用户授权信息的方法及装置,以及一种获取加密数据密钥的方法及装置,以及一种访问加密视频数据的方法及装置,以及一种加密数据的方法及装置,以及两种电子设备。所述访问加密数据的方法包括:向业务方请求并获取访问加密数据的令牌;读取所述待访问加密数据及其密文密钥;基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。采用上述方法,解决现有技术中存在密钥泄露以及不能有效防止未被授权的业务方访问加密数据的问题。
Description
技术领域
本发明涉及数据加密领域,具体涉及一种访问加密数据的方法及装置,以及一种验证用户授权信息的方法及装置,以及一种获取加密数据密钥的方法及装置,以及一种访问加密视频数据的方法及装置,以及一种加密数据的方法及装置,以及两种电子设备。
背景技术
目前,随着互联网的飞速发展,互联网的功能越来越多,其中,许多网络开发者将一些独创的、有价值的数据放到网络上,并且对这些有价值的数据进行加密设置,同时设置用户访问权限,目的是只让被授权的用户通过服务器的验证并访问这些加密数据,未被授权的用户则无法通过验证并且不能访问加密数据。
现有技术的DRM(数字版权保护)提供了一种方法。首先,通过DRM系统生成唯一的密钥,并对数据加密,然后分别存储密钥和加密数据。其次,在终端用户想要获取加密数据时,终端用户通过业务方的账号验证,然后业务方访问DRM系统获取临时令牌,并把令牌安全传递给播放器。最后,播放器获取内容,然后使用令牌访问DRM系统换取密钥后,使用密钥解密内容后播放。
由于密钥是存储在DRM系统中,存在泄漏的风险。另外,使用令牌访问DRM系统换取密钥时,只对令牌进行验证,无法对访问的业务方身份进行访问授权检查,业务方的权限失效后,依旧可以通过已有的令牌访问DRM系统换取密钥,导致了未被授权的业务方也有访问加密数据的可能。
由此可见,现有技术中的解决方案存在密钥泄露以及不能有效防止未被授权的业务访问加密数据的问题。
发明内容
本申请提供一种访问加密数据的方法,以解决现有技术存在密钥泄露以及不能有效防止未被授权的业务方访问加密数据的问题。
本申请实施例提供了一种访问加密数据的方法,所述方法包括:
向业务方请求并获取访问加密数据的令牌;
读取所述待访问加密数据及其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
可选的,所述向业务方请求并获取访问加密数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
接收所述业务方反馈的基于所述请求的令牌。
可选的,所述向业务方请求并获取访问加密数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
所述业务方进行所述用户信息的授权验证后将子账户访问密钥发送给安全令牌服务;
播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
可选的,所述令牌包含业务方的子账号访问密钥信息。
可选的,所述向所述业务方发送携带用户信息的授权验证请求中的授权验证,包括:
用户身份授权验证;
所述加密数据访问授权验证。
可选的,所述用户身份授权验证,具体为:
验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
可选的,所述加密数据访问授权验证,具体为:
验证所述用户是否获得了加密数据访问授权,若是,则通过了所述业务方的授权验证。
可选的,所述基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥的步骤如下:
将携带令牌和密文密钥的请求通过点播服务,点播服务验证令牌有效性。
点播服务转发密文密钥至密钥管理服务;
接收密钥管理服务反馈的基于所述密文密钥而获得的明文密钥。
可选的,所述将携带令牌和密文密钥的请求通过点播服务转发至密钥管理服务,具体为:
将携带令牌和密文密钥的请求发送至点播服务,并经点播服务对令牌验证后转发密文密钥至密钥管理服务。
可选的,所述对令牌验证,包括:
对令牌中所包含的业务方的子账号访问密钥进行验证。
可选的,所述对令牌验证,具体为:
验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若是,则提示过期或失效;若否,则点播服务将所述密文密钥发给所述密钥管理服务。
可选的,所述加密数据通过所述明文密钥加密原始数据获得。
可选的,所述读取加密数据和密文密钥,包括:
从内容分发网络读取或存储服务读取。
本申请实施例还提供了一种验证用户授权信息的方法,所述方法包括:
接收播放器发送的携带用户信息的授权验证请求;
对所述用户信息进行授权验证后将子账户访问密钥发送给安全令牌服务;
接收所述安全令牌服务验证子账号访问密钥后返回的令牌;
发送所述令牌给播放器。
可选的,所述令牌包含业务方的子账号访问密钥信息。
可选的,所述接收播放器发送携带用户信息的授权验证请求中的授权验证,包括:
用户身份授权验证;
加密数据访问授权验证。
可选的,所述用户身份授权验证,具体为:
验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
可选的,所述加密数据访问授权验证,具体为:
验证所述用户是否获得了加密数据访问授权;若是,则通过了所述业务方的授权验证。
本申请实施例还提供了一种获取加密数据密钥的方法,所述方法包括:
接收令牌和所述加密数据对应的密文密钥;
向密钥管理服务发送所述密文密钥;
接收所述密钥管理服务反馈的基于所述密文密钥而获得的明文密钥;
发送所述明文密钥给播放器。
可选的,在所述向密钥管理服务发送所述密文密钥步骤之前,还包括:
对所述令牌进行验证。
可选的,所述对令牌验证,包括:
对令牌中所包含的业务方子账号访问密钥进行验证。
可选的,所述对令牌中所包含的业务方子账号访问密钥进行验证,具体步骤包括:
验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若否,则将所述密文密钥发给所述密钥管理服务。
本申请实施例还提供了一种访问加密视频数据的方法,所述方法包括:
向业务方请求并获取访问加密视频数据的令牌;
依次读取所述待访问加密视频数据的视频数据单元;
针对所述加密视频数据的视频数据首单元,读取其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
可选的,所述向业务方请求并获取访问加密视频数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
所述业务方进行所述用户信息的授权验证后将子账户访问密钥发送给安全令牌服务;
播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
本申请实施例还提供了一种加密数据的方法,所述方法包括:
接收业务方发送的加密数据的请求;
基于所述请求访问密钥管理服务;
接收所述密钥管理服务返回的明文密钥和密文密钥;
使用明文密钥加密所述数据后将所述明文密钥丢弃;
将所述密文密钥和加密后的数据进行保存。
可选的,所述将所述密文密钥和加密后的数据进行保存,具体包括:将所述密文密钥和加密后的数据保存在存储服务。
本申请实施例还提供了一种访问加密数据的装置,所述装置包括:
获取令牌单元,用于向业务方请求并获取访问加密数据的令牌;
读取单元,用于读取所述待访问加密数据及其密文密钥;
获取明文密钥单元,用于基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
访问单元,用于使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
本申请实施例还提供了一种验证用户授权信息的装置,所述装置包括:
接收授权验证请求单元,用于接收播放器发送的携带用户信息的授权验证请求;
发送单元,用于对所述用户信息进行授权验证后将子账户访问密钥发送给安全令牌服务;
接收令牌单元,用于接收所述安全令牌服务验证子账号访问密钥后返回的令牌;
发送单元,用于发送接收令牌单元中的所述令牌给播放器。
本申请实施例还提供了一种获取加密数据密钥的装置,所述装置包括:
接收单元,用于接收令牌和所述加密数据对应的密文密钥;
发送单元,用于向密钥管理服务发送所述接收单元接收的密文密钥;
接收明文密钥单元,用于接收所述密钥管理服务反馈的基于所述令牌和密文密钥而获得的明文密钥;
发送明文密钥单元,用于发送从接收明文密钥单元接收的明文密钥给播放器。
本申请实施例还提供了一种访问加密视频数据的装置,所述装置包括:
获取令牌单元,用于向业务方请求并获取访问加密视频数据的令牌;
读取单元,用于依次读取所述待访问加密视频数据的视频数据单元;
读取密文密钥单元,用于针对所述加密视频数据的视频数据首单元,读取其密文密钥;
获取明文密钥单元,用于基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
访问单元,用于使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
本申请实施例还提供了一种加密数据的装置,所述装置包括:
接收请求单元,用于接收业务方发送的加密数据的请求;
访问单元,用于基于接收单元的所述请求访问密钥管理服务;
接收密钥单元,用于接收所述密钥管理服务返回的明文密钥和密文密钥;
加密单元,用于使用明文密钥加密所述数据后将所述明文密钥丢弃;
保存单元,用于将所述密文密钥和加密后的数据进行保存。
本申请实施例还提供了一种电子设备,所述电子设备包括:
显示器;
处理器;
以及存储器,用于存储访问加密数据的方法的程序,该设备通电并通过所述处理器运行该访问加密数据的方法的程序后,执行下述步骤:
向业务方请求并获取访问加密数据的令牌;
读取所述待访问加密数据及其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
本申请实施例还提供了另一种电子设备,所述电子设备包括:显示器;
处理器;
以及存储器,用于存储访问加密视频数据的方法的程序,该设备通电并通过所述处理器运行该访问加密视频数据的方法的程序后,执行下述步骤:
向业务方请求并获取访问加密视频数据的令牌;
依次读取所述待访问加密视频数据的视频数据单元;
针对所述加密视频数据的视频数据首单元,读取其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
与现有技术相比,本发明具有以下优点:
现有技术提供的防止未被授权的用户访问加密数据的方法,由于密钥是存储在DRM系统中,存在泄漏的风险;并且业务方的访问权限失效后,依旧可以通过已有的令牌访问DRM系统换取密钥,导致了未被授权的业务方也有访问加密数据的可能。
本申请提供一种访问加密数据的方法,包括:向业务方请求并获取访问加密数据的令牌;读取所述待访问加密数据及其密文密钥;基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
本申请提供的访问加密数据的方法,明文密钥没有被保存,在用户访问加密数据时,再通过密文密钥换取明文密钥,防止了明文密钥泄露的风险;另外,优选方案中,在用户访问加密数据时可根据密文密钥换取明文密钥,在换取前对包含业务方子账号的令牌作进一步验证,如果验证业务方子账号不正确或为过期的账号,则业务方不能得到明文密钥,防止了无效的业务方访问加密数据。
附图说明
图1是本申请第一实施例提供的一种访问加密数据的方法的流程图。
图2是本申请第二实施例提供的一种验证用户授权信息的方法的流程图。
图3是本申请第三实施例提供的一种获取加密数据密钥的方法的流程图。
图4是本申请第四实施例提供的一种访问加密视频数据的方法的流程图。
图5是本申请第五实施例提供的一种加密数据的方法的流程图。
图6是本申请第六实施例提供的一种访问加密数据的装置的示意图。
图7是本申请第七实施例提供的一种验证用户授权信息的装置的示意图。
图8是本申请第八实施例提供的一种获取加密数据密钥的装置的示意图。
图9是本申请第九实施例提供的一种访问加密视频数据的装置的示意图。
图10是本申请第十实施例提供的一种加密数据的装置的示意图。
图11是本申请第十一实施例提供的一种加密数据的系统的示意图。
图12是本申请第十一实施例提供的一种加密数据的系统的交互图。
图13是本申请第十二实施例提供的一种电子设备的示意图。
图14是本申请第十三实施例提供的另一种电子设备的示意图。
具体实施方式
为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和具体实施方式对本申请进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是,本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此,本申请不受下面公开的具体实施的限制。
本申请第一实施例提供了访问加密数据的方法。请参考图1,其示出了根据本申请的实施例提供的访问加密数据的方法的流程图。以下结合图1进行详细说明。
步骤S101,向业务方请求并获取访问加密数据的令牌。
本步骤是后续访问加密数据的基础,通过令牌才能访问点播服务,获取所述加密数据的明文密码。
所述业务方指提供加密数据的一方,同时也可以是阿里云点播的用户。
所述令牌,是播放器访问点播服务时使用的临时令牌。
所述加密数据,是指经过原始数据加密后的数据,具体指通过明文密钥加密后的数据,加密数据可以为以文件形式存在的视频文件、音频文件、文本文件等各种类型的加密文件。
所述向业务方请求并获取访问加密数据的令牌,指网络上或下载到本地的播放器向业务方请求并获取访问加密数据的令牌。
所述向业务方请求并获取访问加密数据的令牌,具有两种不同的方式。
第一种方式的实现过程为:
向所述业务方发送携带用户信息的授权验证请求;
接收所述业务方反馈的基于所述请求的令牌。
此种方式中所述业务方对接收到的播放器发送的业务授权验证请求进行授权验证,验证成功后生成令牌并将所述令牌发送给播放器,播放器接收所述令牌。
第二种方式的实现过程为:
向所述业务方发送携带用户信息的授权验证请求;
所述业务方进行所述用户信息的授权验证后将子账号访问密钥发送给安全令牌服务;
播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
此种方式中所述业务方可以为阿里云点播的用户,也可以为能实现与阿里云点播类似功能的其他产品的用户。所述业务方将接收到的播放器发送的用户信息进行授权验证,验证成功后将所述业务方的子账号访问密钥发送给安全令牌服务,由安全令牌服务生成令牌并发送给所述业务方,所述业务方再将令牌发送给播放器。
第二种方式中,所述子账号访问密钥为所述业务方的阿里云账号,所述安全令牌服务为阿里云访问控制提供的安全令牌服务(STS)。
所述令牌包含所述业务方的子账号访问密钥信息,目的是在播放器访问点播服务时再对子账号访问密钥进行验证。
所述向所述业务方发送携带用户信息的授权验证请求中的授权验证,包括:
用户身份授权验证;
所述加密数据访问授权验证。
所述用户信息包括访问加密数据的用户的用户名、密码、用户访问的加密数据的ID以及其他关于所述用户的与身份相关的信息。
所述用户身份授权验证,具体为:验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
具体的,验证所述用户是否为授权的用户,包括业务方验证所述用户的用户名和密码,如果用户名和密码对应存储在所述业务方的关于授权用户的数据库中,则验证所述用户是为授权的用户。
所述加密数据访问授权验证,具体为:验证所述用户是否获得了加密数据访问授权,若是,则通过了所述业务方的用户身份授权验证。
具体的,验证所述用户是否获得了加密数据访问授权,包括业务方验证所述用户是否通过购买、免费等各种方式获得了加密数据访问授权,如果获得了加密数据访问授权,则通过了所述业务方的加密数据访问授权的验证。
下面以所述向业务方请求并获取访问加密数据的令牌的第二种实现方式为例,说明播放器获取访问加密数据的令牌的过程。
例如,播放器获得用户的登录信息为:用户名“Linda”、密码为“123456”,用户要访问的加密数据ID为68,则播放器将上述信息发送给业务方并请求进行授权验证,业务方收到授权验证请求后,验证用户名和密码是否匹配,是否为授权的用户,若是,则进一步验证用户是否具有访问加密数据ID的权限,如果验证用户具有访问加密数据ID的权限,则用户通过了业务方的验证;然后业务方将业务方的子账号访问密钥发送给阿里云提供的安全令牌服务,安全令牌服务再对业务方的子账号进行验证,验证子账号访问密钥是否正确,若正确,则发送令牌给业务方,业务方再将所述令牌发送给播放器。
步骤S102,读取所述待访问加密数据及其密文密钥。
本步骤中读取所述待访问加密数据是步骤S104的基础,读取密文密钥是步骤S103的基础,为后续通过所述密文密钥换取明文密钥做好了准备。
所述密钥,是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。
所述密文密钥是指用来换取明文密钥的密钥,将密文密钥进行存储,在用户访问所述加密数据时,通过密文密钥换取明文密钥。
所述明文密钥是在加密数据和解密数据时使用的密钥。
所述读取所述待访问加密数据及其密文密钥,指播放器在获得待访问加密数据及其密文密钥存储地址后,读取所述待访问加密数据及其密文密钥。
所述读取加密数据和密文密钥,包括:从内容分发网络读取或阿里云提供的对象存储服务读取。
由于所述加密数据在加密后,会被存储在内容分发网络读取或阿里云提供的对象存储服务,播放器获得令牌后读取加密数据时会根据加密数据的存储地址进行读取。
步骤S103,基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥。
本步骤通过密文密钥获取与所述密文密钥对应的明文密钥,保证了明文密钥的不落盘存储(只存在内存中,不会存在永久存储器中),防止了明文密钥的泄露。
所述基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥的步骤如下:
将携带令牌和密文密钥的请求通过点播服务验证令牌有效性。
点播服务转发密文密钥至密钥管理服务;
接收密钥管理服务反馈的基于所述密文密钥而获得的明文密钥。
所述点播服务,可以是阿里云提供的点播服务,也可以是类似阿里云产品提供的点播服务。
所述密钥管理服务,可以是阿里云提供的密钥管理服务(KMS),也可以也可以是类似阿里云产品提供的能实现密钥管理服务功能的服务。
可以针对待加密数据生成一对密钥(明文密钥和密文密钥)。
所述将携带令牌和密文密钥的请求通过点播服务转发至密钥管理服务,具体为:将携带令牌和密文密钥的请求发送至点播服务,并经点播服务对令牌验证后转发密文密钥至密钥管理服务。
所述对令牌验证,包括:对令牌中所包含的业务方的子账号访问密钥进行验证。
所述对令牌验证,具体为:验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若是,则提示过期或失效;若否,则点播服务将所述密文密钥发给所述密钥管理服务。
具体的,所述令牌和密文密钥获取与所述密文密钥对应的明文密钥的过程为:播放器在读取视频和密文密钥后,发送通过步骤S101和步骤S102已经获得的令牌和密文密钥给点播服务,点播服务验证接收到的令牌中的业务方子账号访问密钥的信息,如果是有效的业务方子账号访问密钥,则将所述密文密钥发送给密钥管理服务,密钥管理服务根据密文密钥与明文密钥之间的关系,通过解码密文密钥获得明文密钥,再将明文密钥发送给点播服务,点播服务将明文密钥转发给播放器;如果验证为无效的业务方子账号访问密钥,则点播服务不会将所述密文密钥发送给密钥管理服务,播放器也就无法得到明文密钥。
由上可见,所述令牌中包含业务方的子账号访问密钥,可以在播放器访问点播服务时对业务方的子账号访问密钥进行验证,如果验证业务方子账号访问密钥过期或失效,则点播服务不会将所述密文密钥发给所述密钥管理服务,播放器也就无法获得明文密钥,不能将加密视频解密。在通过所述密文密钥获取明文密钥的过程中,又对所述业务方的身份进行了一次验证,保证了只有授权的业务方有对加密数据的访问权限,阻止了未授权的业务方访问加密数据。
步骤S104,使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
本步骤通过所述明文密钥将所述加密数据解密,供用户观看。
由于所述加密数据是通过所述明文密钥加密的,因此要通过所述明文密钥来解密。
所述使用所述明文密钥访问所述加密数据,指播放器使用明文密钥在内存中解密加密数据。
本申请第二实施例提供了验证用户授权信息的方法。请参考图2,其示出了根据本申请的实施例提供的验证用户授权信息的方法的流程图。以下结合图2进行详细说明。
步骤S201,接收播放器发送的携带用户信息的授权验证请求。
本步骤中业务方接收携带用户信息的授权验证请求,是业务方进行授权验证的前提,业务方只有接收到授权验证请求,才能进行授权验证。
所述接收播放器发送的携带用户信息的授权验证请求,指业务方接收播放器发送的携带用户信息的授权验证请求。
所述接收播放器发送携带用户信息的授权验证请求中的授权验证,包括:
用户身份授权验证;
加密数据访问授权验证。
所述用户身份授权验证,具体为:验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
所述加密数据访问授权验证,具体为:验证所述用户是否获得了加密数据访问授权;若是,则通过了所述业务方的授权验证。
所述用户身份授权验证与所述加密数据访问授权验证与第一实施例中的相关部分的介绍相同,详情见第一实施例。
步骤S202,对所述用户信息进行授权验证后将子账号访问密钥发送给安全令牌服务。
本步骤业务方将子账号访问密钥发送给安全令牌服务,向安全令牌服务请求令牌。
步骤S203,接收所述安全令牌服务验证子账号访问密钥后返回的令牌。
本步骤说明业务方通过了安全令牌服务的验证。获得了安全令牌服务返回的令牌。
所述令牌包含业务方的子账号访问密钥信息。
步骤S204,发送所述令牌给播放器。
本步骤作用是业务方在得到令牌后反馈给播放器,对播放器的授权验证请求做出了反馈。
本申请第三实施例提供了获取加密数据密钥的方法。请参考图3,其示出了根据本申请的实施例提供的获取加密数据密钥的方法的流程图。以下结合图3进行详细说明。
步骤S301,接收令牌和所述加密数据对应的密文密钥。
本步骤中,接收令牌以便对业务方的身份进行验证,接收密文密钥目的是在对业务方的身份进行验证后将密文密钥转发给密钥管理服务。
所述接收令牌和所述加密数据对应的密文密钥,指点播服务接收播放器发送的令牌和所述加密数据对应的密文密钥。
步骤S302,向密钥管理服务发送所述密文密钥。
本步骤将所述密文密钥提供给密钥管理服务,供密钥管理服务根据密文密钥换取明文密钥。
在所述向密钥管理服务发送所述密文密钥步骤之前,还包括:
对所述令牌进行验证。
所述对令牌验证,包括:对令牌中所包含的业务方子账号访问密钥进行验证。
所述对令牌中所包含的业务方子账号访问密钥进行验证,具体步骤包括:验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若否,则将所述密文密钥发给所述密钥管理服务。
所述对令牌验证与第一实施例相同,此处不再详述。
步骤S303,接收所述密钥管理服务反馈的基于所述令牌和密文密钥而获得的明文密钥。
本步骤通过点播服务从密钥管理服务处获得明文密钥,是步骤S304的基础。
步骤S304,发送所述明文密钥给播放器。
本步骤业务方将明文密钥发送给播放器,对步骤S301做出了反馈。
本申请第四实施例提供了访问加密视频数据的方法。请参考图4,其示出了根据本申请的实施例提供的访问加密视频数据的方法的流程图。以下结合图4进行详细说明。
步骤S401,向业务方请求并获取访问加密视频数据的令牌。
本步骤是后续访问加密视频数据的基础,通过令牌才能访问点播服务,获取所述加密视频数据的明文密码。
所述向业务方请求并获取访问加密视频数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
所述业务方进行所述用户信息的授权验证后将子账号访问密钥发送给安全令牌服务;
播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
步骤S402,依次读取所述待访问加密视频数据的视频数据单元。
由于针对数据量大的所述加密视频数据在加密时分成了很多视频数据单元并且对每个视频数据单元单独存储,因此在读取时要依次读取每个所述视频数据单元,这样有效防止了用户在观看视频时一次读取整个视频需要等待的问题。
步骤S403,针对所述加密视频数据的视频数据首单元,读取其密文密钥。
在所述加密视频数据被分为多个视频数据单元时,只需在读取视频数据首单元时,进行密文密钥读取。
步骤S404,基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥。
本步骤与第一实施例相关部分相同,不再详述。
步骤S405,使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
所述使用所述明文密钥依次访问所述加密视频单元,指使用明文密钥解密视频数据首单元后,再使用明文密钥解密视频数据第二单元……依次使用明文密钥解密视频数据的所有单元。
本申请第五实施例提供了加密数据的方法。请参考图5,其示出了根据本申请的实施例提供的加密数据的方法的流程图。以下结合图5进行详细说明。
步骤S501,接收业务方发送的加密数据的请求。
加密服务接收业务方发送的加密数据的请求,是启动加密服务的条件。
所述加密服务是获得密钥管理服务的明文密钥和密文密钥并将所述数据加密的服务。
所述数据,包括以下的任何一种:视频文件、音频文件、文本文件。
所述视频文件,包括各种文件格式的视频文件,例如扩展名为avi、mp4、rmvb等文件。
所述音频文件,包括各种文件格式的音频文件,例如扩展名为mp3、awr、wav等文件。
所述文本文件,包括各种文件格式的文本文件,例如.doc、.xls、.txt文件。
步骤S502,基于所述请求访问密钥管理服务。
本步骤是加密服务从密钥管理服务获得所需的明文密钥和密文密钥的前提条件。
所述密钥管理服务,是阿里云提供的密钥管理服务(KMS),可以针对待加密数据生成一对密钥(明文密钥和密文密钥)。
所述访问密钥管理服务,是指所述加密服务通过密钥管理服务提供的接口访问密钥管理服务。
步骤S503,接收所述密钥管理服务返回的明文密钥和密文密钥;;
本步骤为了加密数据的安全,生成明文密钥和密文密钥后,用户在访问加密数据时会根据密文密钥换取明文密钥,提高了加密数据的安全性。
步骤S504,使用明文密钥加密所述数据后将所述明文密钥丢弃。
本步骤通过将所述明文密钥丢弃起到了防止明文密钥泄露的作用。
具体的,所述使用明文密钥加密所述数据,如果所述数据数据量较小时,可以一次加密所有数据;如果所述数据数据量很大(例如,所述数据为数据量较大的视频文件)时,可以将所述数据分成较小的数据单元,分别使用明文密钥对每个数据单元加密。
由于步骤S503中,加密服务接收到了明文密钥和密文密钥,因此在使用明文密钥加密所述数据后将所述明文密钥丢弃,有效防止了明文密钥的泄露。
步骤S505,将所述密文密钥和加密后的数据进行保存。
所述将所述密文密钥和加密后的数据进行保存,具体包括:将所述密文密钥和加密后的数据保存在内容分发网络或加密服务本地硬盘。
与上述访问加密数据的的方法相对应的,本申请还提供了一种访问加密数据的装置。由于所述装置的实施例基本相似于方法的实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。所述访问加密数据的装置实施例如下:
请参考图6,其示出了根据本申请的第六实施例提供的一种访问加密数据的装置的示意图。
所述访问加密数据的装置,包括:获取令牌单元601、获取令牌单元601、获取明文密钥单元603、访问单元604。
获取令牌单元601,用于向业务方请求并获取访问加密数据的令牌;
读取单元602,用于读取所述待访问加密数据及其密文密钥;
获取明文密钥单元603,用于基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
访问单元604,用于使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
可选的,所述获取令牌单元,具体包括:
发送授权验证请求子单元,用于向所述业务方发送携带用户信息的授权验证请求;
接收令牌子单元,用于接收所述业务方反馈的基于所述请求的令牌。
可选的,所述获取令牌单元,具体包括:
发送授权验证请求子单元,用于向所述业务方发送携带用户信息的授权验证请求;
发送子账号子单元,用于所述业务方进行所述用户信息的授权验证后将子账户访问密钥发送给安全令牌服务;
接收令牌子单元,用于播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
可选的,所述获取令牌单元中的令牌包含业务方的子账号访问密钥信息。
可选的,所述发送授权验证请求子单元中的授权验证,包括:
验证身份子单元,用于用户身份授权验证;
验证数据访问授权子单元,用于所述加密数据访问授权验证。
可选的,所述验证身份子单元,具体为:
用于验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
可选的,所述加密数据访问授权验证,具体为:
用于验证所述用户是否获得了加密数据访问授权,若是,则通过了所述业务方的授权验证。
可选的,所述获取明文密钥单元,包括:
转发子单元,用于将携带令牌和密文密钥的请求通过点播服务转发至密钥管理服务;
接收子单元,用于接收密钥管理服务反馈的基于所述令牌和密文密钥而获得的明文密钥。
可选的,所述转发子单元,具体为:
用于将携带令牌和密文密钥的请求发送至点播服务,并经点播服务对令牌验证后转发至密钥管理服务。
可选的,所述转发子单元,包括:
令牌验证子单元,用于对令牌中所包含的业务方的子账号访问密钥进行验证。
可选的,所述令牌验证子单元,具体为:
用于验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若是,则提示过期或失效;若否,则点播服务将所述密文密钥发给所述密钥管理服务。
可选的,所述获取令牌单元中的加密数据通过所述明文密钥加密原始数据获得。
可选的,所述读取单元,包括:
读取子单元,用于从内容分发网络读取或从存储服务读取。
与上述验证用户授权信息的方法相对应的,本申请还提供了一种验证用户授权信息的装置。由于所述装置的实施例基本相似于方法的实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。所述验证用户授权信息的装置实施例如下:
请参考图7,其示出了根据本申请的第七实施例提供的一种验证用户授权信息的装置的示意图。
所述验证用户授权信息的装置,包括:接收授权验证请求单元701、发送单元702、接收令牌单元703、发送单元704。
接收授权验证请求单元701,用于接收播放器发送的携带用户信息的授权验证请求;
发送单元702,用于对所述用户信息进行授权验证后将子账户访问密钥发送给安全令牌服务;
接收令牌单元703,用于接收所述安全令牌服务验证子账号访问密钥后返回的令牌;
发送单元704,用于发送接收令牌单元中的所述令牌给播放器。
可选的,所述接收令牌单元中的令牌包含业务方的子账号访问密钥信息。
可选的,所述接收授权验证请求单元包括:
验证身份子单元,用于用户身份授权验证;
验证数据访问授权子单元,用于加密数据访问授权验证。
可选的,所述验证身份子单元,具体为:
用于验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
可选的,所述验证数据访问授权子单元,具体为:
用于验证所述用户是否获得了加密数据访问授权;若是,则通过了所述业务方的授权验证。
与上述获取加密数据密钥的方法相对应的,本申请还提供了一种获取加密数据密钥的装置。由于所述装置的实施例基本相似于方法的实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。所述获取加密数据密钥的装置实施例如下:
请参考图8,其示出了根据本申请的第八实施例提供的一种获取加密数据密钥的装置的示意图。
所述访问加密数据的装置,包括:接收单元801、发送单元802、接收明文密钥单元803、发送明文密钥单元804。
接收单元801,用于接收令牌和所述加密数据对应的密文密钥;
发送单元802,用于向密钥管理服务发送所述接收单元接收的密文密钥;
接收明文密钥单元803,用于接收所述密钥管理服务反馈的基于所述令牌和密文密钥而获得的明文密钥;
发送明文密钥单元804,用于发送从接收明文密钥单元接收的明文密钥给播放器。
可选的,所述装置还包括:
验证单元,用于在所述发送单元工作之前对所述令牌进行验证。
可选的,所述验证单元,包括:
验证子单元,用于对令牌中所包含的业务方子账号访问密钥进行验证。
可选的,所述验证子单元,具体步骤包括:
用于验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若否,则将所述密文密钥发给所述密钥管理服务。
与上述访问加密视频数据的方法相对应的,本申请还提供了一种访问加密视频数据的装置。由于所述装置的实施例基本相似于方法的实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。所述访问加密视频数据的装置实施例如下:
请参考图9,其示出了根据本申请的第九实施例提供的一种访问加密视频数据的装置的示意图。
所述访问加密数据的装置,包括:获取令牌单元901、读取单元902、读取密文密钥单元903、获取明文密钥单元904、访问单元905。
获取令牌单元901,用于向业务方请求并获取访问加密视频数据的令牌;
读取单元902,用于依次读取所述待访问加密视频数据的视频数据单元;
读取密文密钥单元903,用于针对所述加密视频数据的视频数据首单元,读取其密文密钥;
获取明文密钥单元904,用于基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
访问单元905,用于使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
可选的,所述获取令牌单元,具体包括:
发送子单元,用于向所述业务方发送携带用户信息的授权验证请求;
发送子账户子单元,用于所述业务方进行所述用户信息的授权验证后将子账号访问密钥发送给安全令牌服务;
接收子单元,用于播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
与上述加密数据的方法相对应的,本申请还提供了一种加密数据的装置。由于所述装置的实施例基本相似于方法的实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。所述访问加密数据的装置实施例如下:
请参考图10,其示出了根据本申请的第十实施例提供的一种加密数据的装置的示意图。
所述访问加密数据的装置,包括:接收请求单元1001、访问单元1002、接收密钥单元1003、加密单元1004、保存单元1005。
接收请求单元1001,用于接收业务方发送的加密数据的请求;
访问单元1002,用于基于接收单元的所述请求访问密钥管理服务;
接收密钥单元1003,用于接收所述密钥管理服务返回的明文密钥和密文密钥;
加密单元1004,用于使用明文密钥加密所述数据后将所述明文密钥丢弃;
保存单元1005,用于将所述密文密钥和加密后的数据进行保存。
可选的,所述保存单元,包括:
保存子单元,用于将所述密文密钥和加密后的数据保存在内容分发网络或加密服务本地硬盘。
此外,本申请还提供了一种加密数据的系统,如图11所示,该系统包括上述实施例所述的访问加密数据的装置1101、验证用户授权信息的装置1102、获取加密数据密钥的装置1103以及加密数据的装置1104。图12是加密数据的系统的交互图。
所述访问加密数据的装置可以部署于个人电脑、或移动终端设备(例如:智能手机)等多种客户端设备;所述验证用户授权信息的装置部署于业务方服务器、所述获取加密数据密钥的装置部署于阿里云点播服务器、所述加密数据的装置可以部署于阿里云加密服务器。
例如,所述访问加密数据的装置部署于手机;所述验证用户授权信息的装置部署于业务方服务器、所述获取加密数据密钥的装置部署于阿里云点播服务器、所述加密数据的装置可以部署于阿里云加密服务器,则加密数据的系统的处理流程包括两个过程:加密过程和访问加密数据过程。
加密过程:业务方服务器向阿里云加密服务器发起加密数据的请求,然后阿里云加密服务器通过访问密钥管理服务器获得明文密钥和密文密钥;然后,阿里云加密服务器加密数据,并将加密数据与密文密钥存储。
访问加密数据过程:手机将访问加密数据的用户信息发送给业务方服务器;业务方服务器进行授权验证后将业务方子账户发送给阿里云安全令牌服务器;安全令牌服务器验证子账号后发送令牌给业务方服务器;业务方服务器将令牌发送到手机上;手机从内容分发网络读取加密数据和密文密钥;然后手机将令牌和密文密钥发送给阿里云点播服务器,阿里云点播服务器验证令牌后将密文密钥发送给密钥管理服务器,密钥管理服务器将密文密钥换成明文密钥,将明文密钥发送给阿里云点播服务器,阿里云点播服务器再将明文密钥发送给手机,手机使用明文密钥解码加密数据并播放。
本申请还提供了一种电子设备,如图13所示,包括:显示器1301;
处理器1302;
以及存储器1303,用于存储访问加密数据的方法的程序,该设备通电并通过所述处理器运行该访问加密数据的方法的程序后,执行下述步骤:
向业务方请求并获取访问加密数据的令牌;
读取所述待访问加密数据及其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
本申请还提供了另一种电子设备,如图14所示,包括:显示器1401;
处理器1402;
以及存储器1403,用于存储访问加密视频数据的方法的程序,该设备通电并通过所述处理器运行该访问加密视频数据的方法的程序后,执行下述步骤:
向业务方请求并获取访问加密视频数据的令牌;
依次读取所述待访问加密视频数据的视频数据单元;
针对所述加密视频数据的视频数据首单元,读取其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
本发明虽然以较佳实施例公开如上,但其并不是用来限定本发明,任何本领域技术人员在不脱离本发明的精神和范围内,都可以做出可能的变动和修改,因此本发明的保护范围应当以本发明权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
Claims (27)
1.一种访问加密数据的方法,其特征在于,包括:
向业务方请求并获取访问加密数据的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
读取所述加密数据及其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
2.根据权利要求1所述的访问加密数据的方法,其特征在于,所述向业务方请求并获取访问加密数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
接收所述业务方反馈的基于所述请求的令牌。
3.根据权利要求1所述的访问加密数据的方法,其特征在于,所述向业务方请求并获取访问加密数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
所述业务方进行所述用户信息的授权验证后将子账户访问秘钥发送给安全令牌服务;
播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问秘钥后返回的令牌。
4.根据权利要求2或3所述的访问加密数据的方法,其特征在于,所述向所述业务方发送携带用户信息的授权验证请求中的授权验证,包括:
用户身份授权验证;
所述加密数据访问授权验证。
5.根据权利要求4所述的访问加密数据的方法,其特征在于,所述用户身份授权验证,具体为:
验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
6.根据权利要求1所述的访问加密数据的方法,其特征在于,所述加密数据访问授权验证,具体为:
验证用户是否获得了加密数据访问授权,若是,则通过了所述业务方的授权验证。
7.根据权利要求1所述的访问加密数据的方法,所述基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥的步骤如下:
将携带令牌和密文密钥的请求通过点播服务,点播服务验证令牌有效性;
点播服务转发密文密钥至密钥管理服务;
接收密钥管理服务反馈的基于所述密文密钥而获得的明文密钥。
8.根据权利要求7所述的访问加密数据的方法,所述将携带令牌和密文密钥的请求通过点播服务转发至密钥管理服务,具体为:
将携带令牌和密文密钥的请求发送至点播服务,并经点播服务对令牌验证后转发密文密钥至密钥管理服务。
9.根据权利要求8所述的访问加密数据的方法,所述对令牌验证,包括:
对令牌中所包含的业务方的子账号访问密钥进行验证。
10.根据权利要求8所述的访问加密数据的方法,所述对令牌验证,具体为:
验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若是,则提示过期或失效;若否,则点播服务将所述密文密钥发给所述密钥管理服务。
11.根据权利要求1所述的访问加密数据的方法,其特征在于,所述加密数据通过所述明文密钥加密原始数据获得。
12.根据权利要求1所述的访问加密数据的方法,其特征在于,所述读取加密数据和密文密钥,包括:
从内容分发网络读取或存储服务读取。
13.一种验证用户授权信息的方法,其特征在于,包括:
接收播放器发送的携带用户信息的授权验证请求;
对所述用户信息进行授权验证后将子账户访问密钥发送给安全令牌服务;
接收所述安全令牌服务验证子账号访问密钥后返回的令牌,其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
发送所述令牌给播放器。
14.根据权利要求13所述的验证用户授权信息的方法,其特征在于,所述接收播放器发送携带用户信息的授权验证请求中的授权验证,包括:
用户身份授权验证;
加密数据访问授权验证。
15.根据权利要求14所述的验证用户授权信息的方法,其特征在于,所述用户身份授权验证,具体为:
验证所述用户是否为授权的用户;若是,则进行加密数据访问授权验证。
16.根据权利要求14所述的验证用户授权信息的方法,其特征在于,所述加密数据访问授权验证,具体为:
验证所述用户是否获得了加密数据访问授权;若是,则通过了所述业务方的授权验证。
17.一种获取加密数据密钥的方法,其特征在于,包括:
接收令牌和所述加密数据对应的密文密钥;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
向密钥管理服务发送所述密文密钥;
接收所述密钥管理服务反馈的基于所述密文密钥而获得的明文密钥;
发送所述明文密钥给播放器。
18.根据权利要求17所述的获取加密数据密钥的方法,在所述向密钥管理服务发送所述密文密钥步骤之前,还包括:
对所述令牌进行验证。
19.根据权利要求17所述的获取加密数据密钥的方法,所述对令牌中所包含的业务方子账号访问密钥进行验证,具体步骤包括:
验证所述令牌对应的业务方子账号访问密钥是否过期或失效;若否,则将所述密文密钥发给所述密钥管理服务。
20.一种访问加密视频数据的方法,其特征在于,包括:
向业务方请求并获取访问加密视频数据的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
依次读取所述访问加密视频数据的视频数据单元;
针对所述加密视频数据的视频数据首单元,读取其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥依次访问所述加密视频单元;其中,所述明文密钥在读取后不落盘存储。
21.根据权利要求20所述的访问加密视频数据的方法,其特征在于,所述向业务方请求并获取访问加密视频数据的令牌,具体包括:
向所述业务方发送携带用户信息的授权验证请求;
所述业务方进行所述用户信息的授权验证后将子账户访问密钥发送给安全令牌服务;
播放器接收所述业务方反馈的所述安全令牌服务验证子账号访问密钥后返回的令牌。
22.一种访问加密数据的装置,其特征在于,包括:
获取令牌单元,用于向业务方请求并获取访问加密数据的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
读取单元,用于读取所述加密数据及其密文密钥;
获取明文密钥单元,用于基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
访问单元,用于使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
23.一种验证用户授权信息的装置,其特征在于,包括:
接收授权验证请求单元,用于接收播放器发送的携带用户信息的授权验证请求;
发送单元,用于对所述用户信息进行授权验证后将子账户访问密钥发送给安全令牌服务;
接收令牌单元,用于接收所述安全令牌服务验证子账号访问密钥后返回的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
发送单元,用于发送接收令牌单元中的所述令牌给播放器。
24.一种获取加密数据密钥的装置,其特征在于,包括:
接收单元,用于接收令牌和所述加密数据对应的密文密钥;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
发送单元,用于向密钥管理服务发送所述接收单元接收的密文密钥;
接收明文密钥单元,用于接收所述密钥管理服务反馈的基于所述令牌和密文密钥而获得的明文密钥;
发送明文密钥单元,用于发送从接收明文密钥单元接收的明文密钥给播放器。
25.一种访问加密视频数据的装置,其特征在于,包括:
获取令牌单元,用于向业务方请求并获取访问加密视频数据的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
读取单元,用于依次读取所述访问加密视频数据的视频数据单元;
读取密文密钥单元,用于针对所述加密视频数据的视频数据首单元,读取其密文密钥;
获取明文密钥单元,用于基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
访问单元,用于使用所述明文密钥依次访问加密视频单元;其中,所述明文密钥在读取后不落盘存储。
26.一种电子设备,其特征在于,包括:
显示器;
处理器;
以及存储器,用于存储访问加密数据的方法的程序,该设备通电并通过所述处理器运行该访问加密数据的方法的程序后,执行下述步骤:
向业务方请求并获取访问加密数据的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
读取所述加密数据及其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥访问所述加密数据;其中,所述明文密钥在读取后不落盘存储。
27.一种电子设备,其特征在于,包括:
显示器;
处理器;
以及存储器,用于存储访问加密视频数据的方法的程序,该设备通电并通过所述处理器运行该访问加密视频数据的方法的程序后,执行下述步骤:
向业务方请求并获取访问加密视频数据的令牌;其中,所述令牌包含业务方的子账号访问密钥信息,所述业务方的子账号访问密钥信息用于在播放器访问点播服务时对子账号访问密钥进行验证;
依次读取所述访问加密视频数据的视频数据单元;
针对所述加密视频数据的视频数据首单元,读取其密文密钥;
基于所述令牌和密文密钥获取与所述密文密钥对应的明文密钥;
使用所述明文密钥依次访问加密视频单元;其中,所述明文密钥在读取后不落盘存储。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610887935.5A CN107919958B (zh) | 2016-10-11 | 2016-10-11 | 一种数据加密的处理方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610887935.5A CN107919958B (zh) | 2016-10-11 | 2016-10-11 | 一种数据加密的处理方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107919958A CN107919958A (zh) | 2018-04-17 |
| CN107919958B true CN107919958B (zh) | 2021-07-27 |
Family
ID=61892685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610887935.5A Active CN107919958B (zh) | 2016-10-11 | 2016-10-11 | 一种数据加密的处理方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107919958B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111538977B (zh) * | 2020-06-23 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 云api密钥的管理、云平台的访问方法、装置及服务器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104462874A (zh) * | 2013-09-16 | 2015-03-25 | 北大方正集团有限公司 | 一种支持离线共享数字资源的drm方法与系统 |
| CN105122265A (zh) * | 2013-02-12 | 2015-12-02 | 亚马逊技术股份有限公司 | 数据安全服务系统 |
| CN105592102A (zh) * | 2016-01-29 | 2016-05-18 | 华南理工大学 | 一种基于客户端公私钥加解密的云安全存储方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8379846B2 (en) * | 2009-05-21 | 2013-02-19 | Freescale Semiconductor, Inc. | Encryption apparatus and method therefor |
-
2016
- 2016-10-11 CN CN201610887935.5A patent/CN107919958B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105122265A (zh) * | 2013-02-12 | 2015-12-02 | 亚马逊技术股份有限公司 | 数据安全服务系统 |
| CN104462874A (zh) * | 2013-09-16 | 2015-03-25 | 北大方正集团有限公司 | 一种支持离线共享数字资源的drm方法与系统 |
| CN105592102A (zh) * | 2016-01-29 | 2016-05-18 | 华南理工大学 | 一种基于客户端公私钥加解密的云安全存储方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107919958A (zh) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210367795A1 (en) | Identity-Linked Authentication Through A User Certificate System | |
| CN106295393B (zh) | 电子处方操作方法、装置及系统 | |
| US9544135B2 (en) | Methods of and systems for facilitating decryption of encrypted electronic information | |
| US9137223B2 (en) | Apparatus and method for transmitting data, and recording medium storing program for executing method of the same in computer | |
| US7200230B2 (en) | System and method for controlling and enforcing access rights to encrypted media | |
| US9026782B2 (en) | Token-based entitlement verification for streaming media decryption | |
| US8719912B2 (en) | Enabling private data feed | |
| US8539233B2 (en) | Binding content licenses to portable storage devices | |
| CN106487765B (zh) | 授权访问方法以及使用该方法的设备 | |
| CN101977190B (zh) | 数字内容加密传送方法以及服务器端 | |
| CN103763319A (zh) | 一种移动云存储轻量级数据安全共享方法 | |
| CN102427442A (zh) | 组合请求相关元数据和元数据内容 | |
| CN103973736A (zh) | 一种数据共享的方法及装置 | |
| US20200320178A1 (en) | Digital rights management authorization token pairing | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| CN104298896B (zh) | 数字版权保护与分发方法及系统 | |
| US20150295935A1 (en) | Voucher authorization for cloud server | |
| CN102281300A (zh) | 数字版权管理许可证分发方法和系统、服务器及终端 | |
| US20150047053A1 (en) | Server, terminal, and transfer method for digital content under copyright protection | |
| US20130173912A1 (en) | Digital right management method, apparatus, and system | |
| CN103237010B (zh) | 以加密方式提供数字内容的服务器端 | |
| CN104243439A (zh) | 文件传输处理方法、系统及终端 | |
| CN102404337A (zh) | 数据加密方法和装置 | |
| CN110958209A (zh) | 基于共享密钥的双向认证方法及系统、终端 | |
| CN103237011B (zh) | 数字内容加密传送方法以及服务器端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |