CN105577609B - 用于对访问的内容进行控制的方法和装置 - Google Patents
用于对访问的内容进行控制的方法和装置 Download PDFInfo
- Publication number
- CN105577609B CN105577609B CN201410529800.2A CN201410529800A CN105577609B CN 105577609 B CN105577609 B CN 105577609B CN 201410529800 A CN201410529800 A CN 201410529800A CN 105577609 B CN105577609 B CN 105577609B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- identifier
- access
- content
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种用于对访问的内容进行控制的方法和装置,第一网络设备根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第一网络设备根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备,所述第一网络设备向服务器发送访问策略和所述内容的标识,可见,用于提供内容的第一网络设备向服务器发送所述内容的标识、所述第一标识和所述第一标识对应的访问动作。所述服务器可以根据所述第一标识和所述访问动作,控制所述第二网络设备对所述内容的访问。所述第一网络设备无需通过安全通道,向所述第二网络设备传输访问密码,有助于简化所述第一网络设备提供内容的过程。
Description
技术领域
本发明涉及通信领域,特别是涉及一种用于提供内容的方法、用于访问内容的方法、用于对访问的内容进行控制的方法和装置。
背景技术
用户在使用服务提供商(Service Provider,SP)提供的网络服务时,所述用户可通过SP的服务器访问另一用户提供的内容。例如:设备A为请求获得内容的用户所选用的设备,设备B为提供所述内容的用户所选用的设备。所述设备A和所述设备B可通过所述SP的服务器进行通信。若所述设备A允许所述设备B获得所述设备A提供的所述内容,则所述设备A可通过安全通道与所述设备B进行交互,向所述设备B发送第一访问密码。所述SP的服务器可接收所述设备A发送的所述第一访问密码和与所述第一访问密码对应的所述内容的标识。若所述SP服务器接收到所述设备B发送的所述第一访问密码,则所述SP服务器允许所述设备B访问与所述第一访问密码对应的所述内容。这样,所述设备A需要为其提供的每一内容设置与其对应的访问密码,并需要通过安全通道,向允许访问该内容的设备发送访问密码,增加了设备A的负载,使得设备A提供内容的过程较为复杂。
发明内容
为了解决上述技术问题,本发明实施例提供了一种用于提供内容的方法、用于访问内容的方法、用于对访问的内容进行控制的方法和装置,为有助于避免通过安全通道传输访问密码和简化提供内容的操作。
第一方面,本发明实施例提供了一种用于提供内容的方法,所述方法包括:
第一网络设备根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第一网络设备为提供内容的设备,所述第二网络设备为请求访问所述内容的设备;
所述第一网络设备根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备;
所述第一网络设备向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
在第一方面的第一种可能的实现方式中,所述第一网络设备根据所述对称密钥,获得第一标识,包括:
所述第一网络设备利用所述对称密钥加密第一参数,获得第二参数,所述第一参数包括第二标识、第三标识或随机数中的至少一个,所述第二标识用于标识所述第一网络设备,所述第三标识用于标识所述第二网络设备,所述第二参数为所述第一标识。
在第一方面的第二种可能的实现方式中,所述第一网络设备根据所述对称密钥,获得第一标识,包括:
所述第一网络设备对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第一标识。
第二方面,本发明实施例提供了一种用于访问内容的方法,所述方法包括:
第二网络设备根据算法、所述第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第二网络设备为请求访问内容的设备,所述第一网络设备为提供所述内容的设备;
所述第二网络设备根据所述对称密钥,获得第一标识,所述第一标识用于标识所述第二网络设备;
所述第二网络设备向服务器发送访问请求,所述访问请求包括所述第一标识和所述内容的标识。
在第二方面的第一种可能的实现方式中,所述第二网络设备根据所述对称密钥,获得第一标识,包括:
所述第二网络设备利用所述对称密钥加密第一参数,获得第二参数,所述第一参数包括第二标识、第三标识和随机数中的至少一个,所述第二标识用于标识所述第一网络设备,所述第三标识用于标识所述第二网络设备,所述第二参数为所述第一标识。
在第二方面的第二种可能的实现方式中,所述第二网络设备根据所述对称密钥,获得第一标识,包括:
所述第二网络设备对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第一标识。
第三方面,本发明实施例提供了一种用于对内容的访问进行控制的方法,所述方法包括:
服务器接收到第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识用于标识所述第二网络设备;
所述服务器根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识用于验证请求访问所述内容的设备;
所述服务器判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述服务器执行所述访问动作。
在第三方面的第一种可能的实现方式中,还包括:
如果所述第二标识与所述第一标识不匹配,所述服务器不执行所述访问动作。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,
当所述访问动作为允许访问时,所述服务器不执行所述访问动作,具体包括:
所述服务器拒绝所述第二网络设备访问所述内容;或者,
当所述访问动作为拒绝访问时,所述服务器不执行所述访问请求,具体包括:
所述服务器允许所述第二网络设备访问所述内容。
第四方面,本发明实施例提供了一种用于提供内容的装置,所述用于提供内容的装置为第一网络设备,所述第一网络设备包括:
密钥获得单元,用于根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第二网络设备为请求访问所述内容的设备;
标识获得单元,用于根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备;
发送单元,用于向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
在第四方面的第一种可能的实现方式中,
所述密钥获得单元具体用于利用所述对称密钥加密第一参数,获得第二参数,所述第一参数包括第二标识、第三标识或随机数中的至少一个,所述第二标识用于标识所述第一网络设备,所述第三标识用于标识所述第二网络设备,所述第二参数为所述第一标识。
在第四方面的第二种可能的实现方式中,
所述标识获得单元具体用于对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第一标识。
第五方面,本发明实施例提供了一种用于访问内容的装置,所述用于访问内容的装置为第二网络设备,所述第二网络设备包括:
密钥获得单元,用于根据算法、所述第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第一网络设备为提供所述内容的设备;
标识获得单元,用于根据所述对称密钥,获得第一标识,所述第一标识用于标识所述第二网络设备;
发送单元,用于向服务器发送访问请求,所述访问请求包括所述第一标识和所述内容的标识。
在第五方面的第一种可能的实现方式中,
所述密钥获得单元具体用于利用所述对称密钥加密第一参数,获得第二参数,所述第一参数包括第二标识、第三标识和随机数中的至少一个,所述第二标识用于标识所述第一网络设备,所述第三标识用于标识所述第二网络设备,所述第二参数为所述第一标识。
在第五方面的第二种可能的实现方式中,
所述标识获得单元具体用于对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第一标识。
第六方面,本发明实施例提供了一种用于对内容的访问进行控制的装置,包括:
接收单元,用于接收到第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识用于标识所述第二网络设备;
获取单元,用于根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识用于验证请求访问所述内容的设备;
匹配单元,用于判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述匹配单元执行所述访问动作。
在第六方面的第一种可能的实现方式中,
如果所述第二标识与所述第一标识不匹配,所述匹配单元还用于不执行所述访问动作。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中,
当所述访问动作为允许访问时,所述匹配单元用于不执行所述访问动作,具体为:
所述匹配单元用于拒绝所述第二网络设备访问所述内容;或者,
当所述访问动作为拒绝访问时,所述匹配单元用于不执行所述访问请求,具体为:
所述匹配单元用于允许所述第二网络设备访问所述内容。
由上述技术方案可以看出,用于提供内容的第一网络设备利用预设的算法、第一网络设备的私钥和第二网络设备的公钥获得对称密钥,根据所述对称密钥获得用于标识请求访问内容的设备的第一标识。所述第一网络设备向服务器发送所述内容的标识、所述第一标识和所述第一标识对应的访问动作。所述服务器可以根据所述第一标识和所述访问动作,控制所述第二网络设备对所述内容的访问。所述第一网络设备无需通过安全通道,向所述第二网络设备传输访问密码,有助于简化所述第一网络设备提供内容的过程。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种用于提供内容的方法的流程图;
图2为本发明实施例提供的一种用于访问内容的方法的流程图;
图3为本发明实施例提供的一种对内容的访问进行控制的方法的流程图;
图4为本发明实施例提供的一种用于提供内容的装置的结构图;
图5为本发明实施例提供的一种用于访问内容的装置的结构图;
图6为本发明实施例提供的一种对内容的访问进行控制的装置的结构图;
图7为本发明实施例提供的一种用于对访问的内容进行控制的系统的结构图;
图8为本发明实施例提供的一种第一网络设备的硬件结构示意图;
图9为本发明实施例提供的一种第二网络设备的硬件结构示意图;
图10为本发明实施例提供的一种服务器的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
通常的设备间的访问过程中,某一被访问的设备可设置允许访问的设备或不允许访问的设备。比如:设备A的邮件系统可被设置为禁止接收设备B发来的邮件;或者设备A将某个文件保存在云端服务器上,该文件可共享给设备C等。以设备B访问设备A提供的某一内容为例,设备A可将允许访问所述内容的设备的信息发送给服务器,比如允许访问所述内容的设备的邮箱地址、电话号码等,设备B通过服务器访问设备A时,设备B将自身的信息发送给服务器。服务器可根据设备B的信息,确定设备B是否能够访问设备A提供的所述内容。由于允许访问所述内容的设备的信息是通过明文的方式发送给服务器的,服务器可根据设备B的信息和设备B请求访问的内容,获得设备B的隐私等信息,不利于保护使用设备B的用户的隐私。
为了有助于避免用户的隐私被服务器获取,所述设备A可将与所述内容对应的密码提供给所述服务器。若所述设备A允许所述设备B访问所述内容,所述设备A可通过安全通道发送所述密码至所述设备B。所述设备B将所述密码提供给所述服务器。所述服务器在验证了所述密码与所述内容对应的密码一致时,可允许所述设备B访问所述设备A提供的所述内容。但是,所述设备A需要与每一个请求访问所述内容的设备建立安全通道,以传输所述密码请求访问所述内容的设备,增加了被访问的设备A的负载,使得提供内容的过程较为复杂。
针对上述问题,提出了有助于避免通过安全通道传输访问密码和简化提供内容的过程的方法。该方法是用于提供内容的第一网络设备根据某一算法、自身的私钥和用于访问所述内容的第二网络设备的公钥,获得对称密钥。所述第一网络设备根据所述对称密钥,获得第一标识,所述第一标识可用于标识访问所述内容的设备。所述第一网络设备向服务器发送所述内容的标识、所述第一标识和所述第一标识对应的访问动作。所述服务器可从所述第二网络设备获得第二标识和所述内容的标识,所述第二标识用于标识所述第二网络设备。所述服务器可根据来自所述第一网络设备的所述第一标识和来自所述第二网络设备的所述第二标识,判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,所述服务器可根据与所述第一标识对应的访问动作对所述第二网络设备的访问请求进行处理。这样,所述第一网络设备和所述第二网络设备间无需建立用于传输访问密码的安全通道,有助于简化提供内容的过程。
实施例一
图1为本发明实施例提供的一种用于提供内容的方法的流程图。第一网络设备为提供内容的任意一台网络设备。下面从第一网络设备的角度,对本发明实施例提供的一种用于提供内容的方法进行详细说明。
S101:第一网络设备根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第一网络设备为提供内容的设备,所述第二网络设备为请求访问所述内容的设备。
举例来说,所述算法为用于生成对称密钥的算法。所述算法可以是基于迪菲-赫尔曼密钥交换(Diffie–Hellman key exchange,D-H)协议的算法,比如数据加密标准(DataEncryption Standard,DES)算法、三重数据加密标准(Triple Data EncryptionStandard,3DES)算法、快速数据加密算法(Fast Data Encipherment Algorithm,FEAL)等。
举例来说,所述第一网络设备可存储有所述第一网络设备的私钥和所述第二网络设备的公钥。所述第一网络设备可通过静态配置的方式,获得所述第二网络设备的公钥,或者所述第一网络设备可通过非安全通道或途径,获得所述第二网络设备的公钥,在此不在对所述第一网络设备获得所述第二网络设备的公钥的方式逐一举例说明。
举例来说,在订阅发布模型中,内容是指第二网络设备(订阅者)所监听的第一网络设备(发布者)所提供的主题对象,所述主题对象可以是第一网络设备(发布者)的地址、博客文摘、音频或视频等等。所述主题对象在自身状态改变时,会通知所有订阅者,使得所述所有订阅者更新订阅的内容。本发明实施例中的内容还可以是第一网络设备提供的其它信息,在此不再逐一举例说明。
S102:所述第一网络设备根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备。
举例来说,所述第一网络设备获得第一标识的方式包括如下方式:第一种方式为根据对称密钥和第一参数获得第一标识,第一参数为所述第一网络设备和所述第二网络设备所共享的参数;第二种方式为根据对称密钥、第一参数和哈希(Hash)算法获得第一标识;第三种方式为根据对称密钥和Hash算法获得第一标识。
以所述第一种方式为例,所述第一网络设备根据所述对称密钥,获得第一标识包括:所述第一网络设备利用所述对称密钥加密所述第一参数,获得第二参数,所述第二参数为所述第一标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。所述第一网络设备的标识可以是所述第一网络设备的设备ID、所述第一网络设备的网络地址、提供所述内容的用户的标识等。所述第二网络设备的标识可以是所述第二网络设备的设备ID、所述第二网络设备的网络地址、请求访问所述内容的用户的标识等。
以所述第二种方式为例,所述第一网络设备根据所述对称密钥,获得第一标识包括:所述第一网络设备利用所述对称密钥加密所述第一参数,获得第二参数;所述第一网络设备对所述第二参数进行Hash计算,获得所述第二参数的哈希值,所述第二参数的哈希值为所述第一标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。通过Hash算法获得第一标识,可进一步提高安全性。
以所述第三种方式为例,所述第一网络设备根据所述对称密钥,获得第一标识包括:所述第一网络设备对所述对称密钥进行Hash计算,获得所述对称密钥的哈希值,所述对称密钥的哈希值为所述第一标识。通过Hash算法获得第一标识,可进一步提高安全性。
S103:所述第一网络设备向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
举例来说,所述内容与所述内容的标识之间一一对应。所述第一标识对应的访问动作可以是所述服务器对请求访问所述内容的设备发送的访问请求的处理方式。所述访问动作可以为允许访问或拒绝访问,所述允许访问可以包括允许读取和允许写入中的至少一个,在此不在对其他可能实现的方式进行举例说明。
举例来说,所述第一网络设备可在获得所述第一标识之前、之后或同时,获得与所述第二网络设备对应的所述访问动作。所述第一网络设备可根据所述第一标识和所述访问动作,获得所述访问策略。
举例来说,所述第一网络设备可根据所述服务器发送的请求,发送所述访问策略和所述内容的标识。所述服务器发送的请求可包括所述内容的标识。所述服务器发送的请求可用于向所述第一网络设备请求所述访问策略。或者,所述第一网络设备可在获得所述访问策略之后,自动向所述服务器发送所述控制策略和所述内容的标识。所述第一网络设备可通过消息、信令或报文的形式,向服务器发送访问策略和所述内容的标识,在此不再对具体的发送方式进行逐一举例说明。
本发明的实施例中,提供内容的第一网络设备根据自身的私钥和第二网络设备的公钥,利用所述算法即可获得用于验证请求方访问所述内容的第一标识,并向服务器发送所述第一标识、所述内容的标识和所述第一标识对应的访问动作。所述第一网络设备无需与所述第二网络设备建立用于传输访问密码的安全通道,通过自身的私钥和第二网络设备的公钥,获得用于验证请求访问所述内容的设备的标识,在保护了请求访问所述内容的设备的隐私的同时,简化了提供内容的设备的负载和提供内容的过程。
实施例二
图2为本发明实施例提供的一种用于访问内容的方法的流程图。第二网络设备为请求访问内容的任意一台网络设备,所述内容为实施例一中的第一网络设备所提供的内容。下面从第二网络设备的角度,对本发明实施例提供的一种用于访问内容的方法进行说明。
S201:第二网络设备根据算法、所述第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第二网络设备为请求访问内容的设备,所述第一网络设备为提供所述内容的设备。
举例来说,所述算法为用于生成对称密钥的算法。所述算法可以是基于D-H协议的算法,比如DES、3DES、FEAL算法等。
举例来说,所述第二网络设备可存储有所述第二网络设备的私钥和所述第一网络设备的公钥。所述第二网络设备可通过静态配置的方式,获得所述第一网络设备的公钥,或者所述第二网络设备可通过非安全通道或途径,获得所述第一网络设备的公钥,在此不在对所述第二网络设备获得所述第一网络设备的公钥的方式逐一举例说明。
举例来说,由于所述算法、所述第二网络设备的公钥和所述第二网络设备的私钥间的对应关系、以及所述第一网络设备的公钥和所述第一网络设备的私钥间的对应关系,所述第一网络设备获得的对称密钥可以与所述第二网络设备获得的对称密钥相同。
S202:所述第二网络设备根据所述对称密钥,获得第二标识,所述第二标识用于标识所述第二网络设备。
举例来说,所述第二网络设备获得第二标识的方式包括如下方式:第一种方式为根据对称密钥和第一参数获得第二标识,第一参数为所述第一网络设备和所述第二网络设备所共享的参数;第二种方式为根据对称密钥、第一参数和Hash算法获得第二标识;第三种方式为根据对称密钥和Hash算法获得第二标识。
以所述第一种方式为例,所述第二网络设备根据所述对称密钥,获得第二标识包括:所述第二网络设备利用所述对称密钥加密所述第一参数,获得第二参数,所述第二参数为所述第二标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。所述第一网络设备的标识可以是所述第一网络设备的设备ID、所述第一网络设备的网络地址、提供所述内容的用户的标识等。所述第二网络设备的标识可以是所述第二网络设备的设备ID、所述第二网络设备的网络地址、请求访问所述内容的用户的标识等。
以所述第二种方式为例,所述第二网络设备根据所述对称密钥,获得第二标识包括:所述第二网络设备利用所述对称密钥加密所述第一参数,获得第二参数;所述第二网络设备对所述第二参数进行Hash计算,获得所述第二参数的哈希值,所述第二参数的哈希值为所述第二标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。通过Hash算法获得第二标识,可进一步提高安全性。
以所述第三种方式为例,所述第二网络设备根据所述对称密钥,获得第二标识包括:所述第二网络设备对所述对称密钥进行Hash计算,获得所述对称密钥的哈希值,所述对称密钥的哈希值为所述第二标识。通过Hash算法获得第二标识,可进一步提高安全性。
举例来说,所述第二网络设备可采用与所述第一网络设备获得所述第一标识相同的方式,获得所述第二标识。若所述第二网络设备采用所述第一种方式和所述第二种方式获得所述第二标识,所述第二网络设备和所述第一网络设备可采用相同的第一参数。
S203:所述第二网络设备向服务器发送访问请求,所述访问请求包括所述第二标识和所述内容的标识。
举例来说,所述访问请求用于向所述服务器请求访问所述内容。所述访问请求的形式可以为消息、信令或报文等形式,在此不再逐一举例说明。
举例来说,所述第二网络设备的访问内容的操作可以理解为请求访问内容的操作,也可以理解为请求获得内容的操作。具体的,请求访问内容的操作可以是所述第二网络设备请求向所述第一网络设备的邮箱发送邮件,或者请求访问所述第一网络设备的主页等操作。请求获得内容的操作可以是所述第二网络设备请求对所述第一网络设备提供的文件或数据进行下载等操作。
本发明的实施例中,请求访问内容的第二网络设备根据自身的私钥和第一网络设备的公钥,利用所述算法即可获得第二标识。所述第二网络设备向服务器发送携带所述第二标识和所述内容的标识的访问请求,无需通过特定的安全通道从所述第一网络设备获得访问密码,在保护了请求访问所述内容的设备的隐私的同时,简化了提供内容的设备的负载和提供内容的过程。
实施例三
在图1的基础上,接下来将从服务器的角度,来继续说明当服务器接收到由所述第一网络设备发送的所述消息时的处理过程。图3为本发明实施例提供的一种对内容的访问进行控制的方法的流程图,所述方法包括:
S301:服务器接收第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识用于标识所述第二网络设备。
举例来说,所述服务器可以是SP的服务器,或者是具有访问控制功能的网络设备,在此不再逐一举例说明。
举例来说,所述访问请求用于向所述服务器请求访问所述内容。所述访问请求的形式可以为消息、信令或报文等形式,在此不再逐一举例说明。
S302:服务器根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识用于验证请求访问所述内容的设备。
举例来说,所述服务器上可存储有所述访问策略和所述内容的标识。所述访问策略和所述内容的标识可来自于所述第一网络设备发送的消息、信令或报文。在订阅发布模型中,内容是指第二网络设备(订阅者)所监听的第一网络设备(发布者)所提供的主题对象,所述主题对象可以是第一网络设备(发布者)的地址、博客文摘、音频或视频等等。所述主题对象在自身状态改变时,会通知所有订阅者,使得所述所有订阅者更新订阅的内容。本发明实施例中的内容还可以是第一网络设备提供的其它信息,在此不再逐一举例说明。当所述内容存储在所述服务器上时,所述服务器可根据所述内容的标识确定存储在所述服务器上的所述内容,并建立所述内容、所述内容的标识和所述访问策略三者之间的对应关系。当所述内容存储在网络中其他位置时,所述服务器可以根据所述内容的标识确定存储在网络中其他位置的所述内容,并建立所述内容、所述内容的标识和所述访问策略三者之间的对应关系。其中,所述访问策略中包括的所述第一标识和所述第一标识对应的访问动作与实施例一中提及的相应内容相同,在此不再赘述。
举例来说,所述服务器接收到所述访问请求后,可根据所述访问请求包括的所述内容的标识,获得存储的与所述内容的标识对应的访问策略。
S303:所述服务器判断所述第二标识是否与所述第一标识匹配,如果匹配,则所述服务器执行所述访问动作。
举例来说,所述服务器可从所述访问请求获得所述第二标识,从所述访问策略获得所述第一标识。所述服务器可对所述第一标识和所述第二标识进行比较。
举例来说,判断所述第二标识与所述第一标识匹配可以是指判断所述第二标识和所述第一标识是否相同,也可以是指判断所述第二标识和所述第一标识是否对应。判断是否对应的标准可以是根据所述第一标识能够唯一得到所述第二标识或根据所述第二标识能够唯一得到所述第一标识,或者,判断是否对应的标准可以是所述第一标识和所述第二标识具有部分相同的特定内容等。
举例来说,所述访问动作可以为允许访问或拒绝访问,所述允许访问包括允许读取和允许写入中的至少一个。若所述访问动作为允许访问,则所述服务器允许所述第二网络设备访问所述内容。比如,若所述访问动作为允许读取,则所述服务器允许所述第二网络设备读取与所述内容的标识对应的所述内容;若所述访问动作为允许写入,则所述服务器允许所述第二网络设备对所述内容进行写操作。若所述访问动作为拒绝访问,则所述服务器拒绝所述第二网络设备的访问请求。
可选地,S303之后,本发明实施例提供的一种用于对内容的访问进行控制的方法还包括:所述服务器确定所述第二标识与所述第一标识不匹配,不执行所述访问动作。举例来说,所述不执行所述访问动作,可以理解为,若所述访问动作为允许访问,在所述第二标识和所述第一标识不匹配为时,所述服务器将不对所述第二网络设备执行“允许访问”的操作,即拒绝所述第二网络设备访问所述内容。若所述访问动作为拒绝访问,在所述第二标识和所述第一标识不匹配时,所述服务器将不对所述第二网络设备执行“拒绝访问”的操作,即允许所述第二网络设备访问所述内容。
可选地,S301之前,本发明实施例提供的一种用于对内容的访问进行控制的方法还包括:所述服务器接收所述第一网络设备发送的访问策略和所述内容的标识。
本发明的实施例中,所述服务器在对所述第一网络设备提供的所述内容进行访问控制时,可以利用来自所述第一网络设备的第一标识对所述第二网络设备提供的第二标识进行验证。若第二标识与第一标识匹配,则所述服务器执行所述访问动作,所述访问动作可以为允许访问或拒绝访问,所述服务器无法直接获知所述第一网络设备和所述第二网络设备的身份信息,有助于保护所述第一网络设备和所述第二网络设备的隐私。另外,所述服务器根据所述访问动作,对允许访问和不允许访问的设备进行控制,提高了内容访问的灵活性。
本发明的上述实施例中,请求访问所述内容的操作包括请求对所述内容的读操作和请求对所述内容的写操作中的至少一个,请求访问所述内容的操作也可为请求获得所述内容的操作,在此不再对请求访问所述内容的操作进行逐一举例说明。
实施例四
图4为本发明实施例提供的一种用于提供内容的装置的结构图。本实施例的用于提供内容的装置400可以是实施例一中的第一网络设备。下面以所述用于提供内容的装置400为第一网络设备为例进行说明。所述第一网络设备包括:
密钥获得单元401,用于根据算法、第二网络设备的公钥和第一网络设备的私钥,获得对称密钥,所述第二网络设备为请求访问所述内容的设备。
举例来说,所述算法为用于生成对称密钥的算法。所述算法可以是基于D-H协议的算法,比如DES算法、3DES算法、FEAL等。
举例来说,所述密钥获得单元401可存储有所述第一网络设备的私钥和所述第二网络设备的公钥。所述密钥获得单元401可通过静态配置的方式,获得所述第二网络设备的公钥,或者所述密钥获得单元401可通过非安全通道或途径,获得所述第二网络设备的公钥,在此不在对所述密钥获得单元401获得所述第二网络设备的公钥的方式逐一举例说明。
举例来说,所述内容可以是所述第一网络设备提供的信息、文件、数据、地址信息等。在订阅发布模型中,内容是指第二网络设备(订阅者)所监听的用于提供内容的装置400(发布者)所提供的主题对象,所述主题对象可以是第一网络设备(发布者)的地址、博客文摘、音频或视频等等。所述主题对象在自身状态改变时,会通知所有订阅者,使得所述所有订阅者更新订阅的内容。
标识获得单元402,用于根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备。
举例来说,所述标识获得单元402获得第一标识的方式包括如下方式:第一种方式为根据对称密钥和第一参数获得第一标识,第一参数为所述第一网络设备和所述第二网络设备所共享的参数;第二种方式为根据对称密钥、第一参数和Hash算法获得第一标识;第三种方式为根据对称密钥和Hash算法获得第一标识。
以所述第一种方式为例,所述标识获得单元402根据所述对称密钥,获得第一标识包括:所述标识获得单元402利用所述对称密钥加密所述第一参数,获得第二参数,所述第二参数为所述第一标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。所述第一网络设备的标识可以是所述第一网络设备的设备ID、所述第一网络设备的网络地址、提供所述内容的用户的标识等。所述第二网络设备的标识可以是所述第二网络设备的设备ID、所述第二网络设备的网络地址、请求访问所述内容的用户的标识等。
以所述第二种方式为例,所述标识获得单元402根据所述对称密钥,获得第一标识包括:所述标识获得单元402利用所述对称密钥加密所述第一参数,获得第二参数;所述标识获得单元402对所述第二参数进行Hash计算,获得所述第二参数的哈希值,所述第二参数的哈希值为所述第一标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。通过Hash算法获得第一标识,可进一步提高安全性。
以所述第三种方式为例,所述标识获得单元402根据所述对称密钥,获得第一标识包括:所述标识获得单元402对所述对称密钥进行Hash计算,获得所述对称密钥的哈希值,所述对称密钥的哈希值为所述第一标识。通过Hash算法获得第一标识,可进一步提高安全性。
发送单元403,用于向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
举例来说,所述内容与所述内容的标识之间一一对应。所述第一标识对应的访问动作可以是所述服务器对请求访问所述内容的设备发送的访问请求的处理方式。所述访问动作可以为允许访问或拒绝访问,所述允许访问可以包括允许读取和允许写入中的至少一个,在此不在对其他可能实现的方式进行举例说明。
举例来说,所述发送单元403可在获得所述第一标识之前、之后或同时,获得与所述第二网络设备对应的所述访问动作。所述发送单元403可根据所述第一标识和所述访问动作,获得所述访问策略。
举例来说,所述发送单元403可根据所述服务器发送的请求,发送所述访问策略和所述内容的标识。所述服务器发送的请求可包括所述内容的标识。所述服务器发送的请求可用于向所述发送单元403请求所述访问策略。或者,所述发送单元403可在获得所述访问策略之后,自动向所述服务器发送所述控制策略和所述内容的标识。所述发送单元403可通过消息、信令或报文的形式,向服务器发送访问策略和所述内容的标识,在此不再对具体的发送方式进行逐一举例说明。
本发明的实施例中,提供内容的第一网络设备根据自身的私钥和第二网络设备的公钥,利用所述算法即可获得用于验证请求方访问所述内容的第一标识,并向服务器发送所述第一标识、所述内容的标识和所述第一标识对应的访问动作。所述第一网络设备无需与所述第二网络设备建立用于传输访问密码的安全通道,通过自身的私钥和第二网络设备的公钥,获得用于验证请求访问所述内容的设备的标识,在保护了请求访问所述内容的设备的隐私的同时,简化了提供内容的设备的负载和提供内容的过程。
实施例五
图5为本发明实施例提供的一种用于访问内容的装置的结构图。本实施例的用于访问内容的装置500可以是第二实施例中的第二网络设备。下面以用于访问内容的装置500为第二网络设备为例进行说明。所述第二网络设备包括:
密钥获得单元501,用于根据算法、第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第一网络设备为提供所述内容的设备。
举例来说,所述算法为用于生成对称密钥的算法。所述算法可以是基于D-H协议的算法,比如DES算法、3DES算法、FEAL算法等。
举例来说,所述密钥获得单元501可存储有所述第二网络设备的私钥和所述第一网络设备的公钥。所述密钥获得单元501可通过静态配置的方式,获得所述第一网络设备的公钥,或者所述密钥获得单元501可通过非安全通道或途径,获得所述第一网络设备的公钥,在此不在对所述密钥获得单元501获得所述第一网络设备的公钥的方式逐一举例说明。
举例来说,由于所述算法、所述第二网络设备的公钥和所述第二网络设备的私钥间的对应关系、以及所述第一网络设备的公钥和所述第一网络设备的私钥间的对应关系,所述密钥获得单元401获得的对称密钥可以与所述密钥获得单元501获得的对称密钥相同。
标识获得单元502,用于根据所述对称密钥,获得第一标识,所述第一标识用于标识所述第二网络设备。
举例来说,所述标识获得单元502获得第二标识的方式包括如下方式:第一种方式为根据对称密钥和第一参数获得第二标识,第一参数为所述第一网络设备和所述第二网络设备所共享的参数;第二种方式为根据对称密钥、第一参数和Hash算法获得第二标识;第三种方式为根据对称密钥和Hash算法获得第二标识。
以所述第一种方式为例,所述标识获得单元502根据所述对称密钥,获得第二标识包括:所述标识获得单元502利用所述对称密钥加密所述第一参数,获得第二参数,所述第二参数为所述第二标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。所述第一网络设备的标识可以是所述第一网络设备的设备ID、所述第一网络设备的网络地址、提供所述内容的用户的标识等。所述第二网络设备的标识可以是所述第二网络设备的设备ID、所述第二网络设备的网络地址、请求访问所述内容的用户的标识等。
以所述第二种方式为例,所述标识获得单元502根据所述对称密钥,获得第二标识包括:所述标识获得单元502利用所述对称密钥加密所述第一参数,获得第二参数;所述标识获得单元502对所述第二参数进行Hash计算,获得所述第二参数的哈希值,所述第二参数的哈希值为所述第二标识。举例来说,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,所述第一参数包括随机数、所述第一网络设备的标识和所述第二网络标识中的至少一个。所述第二参数为加密后的所述第一参数。通过Hash算法获得第二标识,可进一步提高安全性。
以所述第三种方式为例,所述标识获得单元502根据所述对称密钥,获得第二标识包括:所述标识获得单元502对所述对称密钥进行Hash计算,获得所述对称密钥的哈希值,所述对称密钥的哈希值为所述第二标识。通过Hash算法获得第二标识,可进一步提高安全性。
举例来说,所述标识获得单元502可采用与所述标识获得单元402获得所述第一标识相同的方式,获得所述第二标识。若所述标识获得单元502采用所述第一种方式和所述第二种方式获得所述第二标识,所述标识获得单元502和所述标识获得单元402可采用相同的第一参数。
发送单元503,用于向服务器发送访问请求,所述访问请求包括所述第一标识和所述内容的标识。
举例来说,所述访问请求用于向所述服务器请求访问所述内容。所述访问请求的形式可以为消息、信令或报文等形式,在此不再逐一举例说明。
举例来说,所述用于访问内容的装置500执行的访问内容的操作可以理解为请求访问内容的操作,也可以理解为请求获得内容的操作。具体的,请求访问内容的操作可以是所述用于访问内容的装置500请求向所述第一网络设备的邮箱发送邮件,或者请求访问所述第一网络设备的主页等操作。请求获得内容的操作可以是所述用于访问内容的装置500请求对所述第一网络设备提供的文件或数据进行下载等操作。
本发明的实施例中,请求访问内容的第二网络设备根据自身的私钥和第一网络设备的公钥,利用所述算法即可获得第二标识。所述第二网络设备向服务器发送携带所述第二标识和所述内容的标识的访问请求,无需通过特定的安全通道从所述第一网络设备获得访问密码,在保护了请求访问所述内容的设备的隐私的同时,简化了提供内容的设备的负载和提供内容的过程。
实施例六
图6为本发明实施例提供的一种对内容的访问进行控制的装置的结构图。本发明实施例中的对内容的访问进行控制的装置600可以是实施例三中的服务器。下面以所述对内容的访问进行控制的装置600为服务器为例进行说明。所述服务器包括:
接收单元601,用于接收到第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识用于标识所述第二网络设备。
举例来说,所述对内容的访问进行控制的装置600可以是SP的服务器,或者是具有访问控制功能的网络设备,在此不再逐一举例说明。
举例来说,所述访问请求用于向所述接收单元601请求访问所述内容。所述访问请求的形式可以为消息、信令或报文等形式,在此不再逐一举例说明。
获取单元602,用于根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识用于验证请求访问所述内容的设备。
举例来说,所述获取单元602上可存储有所述访问策略和所述内容的标识。所述访问策略和所述内容的标识可来自于所述第一网络设备发送的消息、信令或报文。其中,所述第一网络设备提供的所述内容可以存储在所述获取单元602上,也可以存储在网络中的其他位置,本发明对所述内容存储的位置不进行限定。当所述内容存储在所述获取单元602上时,所述获取单元602可根据所述内容的标识确定存储在所述获取单元602上的所述内容,并建立所述内容、所述内容的标识和所述访问策略三者之间的对应关系。当所述内容存储在网络中其他位置时,所述获取单元602可以根据所述内容的标识确定存储在网络中其他位置的所述内容,并建立所述内容、所述内容的标识和所述访问策略三者之间的对应关系。其中,所述访问策略中包括的所述第一标识和所述第一标识对应的访问动作与实施例一中提及的相应内容相同,在此不再赘述。
举例来说,所述获取单元602接收到所述访问请求后,可根据所述访问请求包括的所述内容的标识,获得存储的与所述内容的标识对应的访问策略。
匹配单元603,用于判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述匹配单元执行所述访问动作。
举例来说,所述接收单元601可从所述访问请求获得所述第二标识,所述获取单元602从所述访问策略获得所述第一标识。所述匹配单元603可对所述第一标识和所述第二标识进行比较。
举例来说,判断所述第二标识与所述第一标识匹配可以是指判断所述第二标识和所述第一标识是否相同,也可以是指判断所述第二标识和所述第一标识是否对应。判断是否对应的标准可以是根据所述第一标识能够唯一得到所述第二标识或根据所述第二标识能够唯一得到所述第一标识,或者,判断是否对应的标准可以是所述第一标识和所述第二标识具有部分相同的特定内容等。
举例来说,所述访问动作可以为允许访问或拒绝访问,所述允许访问包括允许读取和允许写入中的至少一个。若所述访问动作为允许访问,则所述匹配单元603允许所述第二网络设备访问所述内容。比如,若所述访问动作为允许读取,则所述匹配单元603允许所述第二网络设备读取与所述内容的标识对应的所述内容;若所述访问动作为允许写入,则所述匹配单元603允许所述第二网络设备对所述内容进行写操作。若所述访问动作为拒绝访问,则所述匹配单元603拒绝所述第二网络设备的访问请求。
可选地,所述匹配单元603,还用于确定所述第二标识与所述第一标识不匹配,不执行所述访问动作。举例来说,所述不执行所述访问动作,可以理解为,若所述访问动作为允许访问,在所述第二标识和所述第一标识不匹配为时,所述匹配单元603将不对所述第二网络设备执行“允许访问”的操作,即拒绝所述第二网络设备访问所述内容。若所述访问动作为拒绝访问,在所述第二标识和所述第一标识不匹配时,所述匹配单元603将不对所述第二网络设备执行“拒绝访问”的操作,即允许所述第二网络设备访问所述内容。
可选地,所述接收单元601在接收到第二网络设备发送的访问请求之前,还用于接收所述第一网络设备发送的访问策略和所述内容的标识。
本发明的实施例中,所述服务器在对所述第一网络设备提供的所述内容进行访问控制时,可以利用来自所述第一网络设备的第一标识对所述第二网络设备提供的第二标识进行验证。若第二标识与第一标识匹配,则所述服务器执行所述访问动作,所述访问动作可以为允许访问或拒绝访问,所述服务器无法直接获知所述第一网络设备和所述第二网络设备的身份信息,有助于保护所述第一网络设备和所述第二网络设备的隐私。另外,所述服务器根据所述访问动作,对允许访问和不允许访问的设备进行控制,提高了内容访问的灵活性。
本发明的上述实施例中,请求访问所述内容的操作包括请求对所述内容的读操作和请求对所述内容的写操作中的至少一个,请求访问所述内容的操作也可为请求获得所述内容的操作,在此不再对请求访问所述内容的操作进行逐一举例说明。
实施例七
图7为本发明实施例提供的一种用于对访问的内容进行控制的系统的结构图。所述对访问的内容进行控制的系统700包括第一网络设备701、第二网络设备702和服务器703,所述第一网络设备701为提供内容的设备,所述第二网络设备702为请求访问所述内容的设备,所述服务器703为对访问的内容进行控制的设备。
所述第一网络设备701用于根据算法、所述第二网络设备702的公钥和所述第一网络设备701的私钥,获得对称密钥;根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备;向所述服务器703发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
所述第二网络设备702用于根据算法、所述第二网络设备702的私钥和所述第一网络设备701的公钥,获得对称密钥;根据所述对称密钥,获得第二标识,所述第二标识用于标识所述第二网络设备;向所述服务器703发送访问请求,所述访问请求包括所述第二标识和所述内容的标识。
所述服务器703用于接收到所述第二网络设备702发送的所述访问请求;根据所述内容的标识,获取所述访问策略;判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述服务器703用于执行所述访问动作。
实施例八
参阅图8,图8为本发明实施例提供的一种第一网络设备的硬件结构示意图。图8所示的第一网络设备可以是实施例一、实施例四或实施例七中的第一网络设备。所述第一网络设备800包括存储器801和发送器802,以及分别与所述存储器801和所述发送器802连接的处理器803,所述存储器801用于存储一组程序指令,所述处理器803用于调用所述存储器801存储的程序指令执行如下操作:
根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第一网络设备为提供内容的设备,所述第二网络设备为请求访问所述内容的设备。
根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备。
触发所述发送器802向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
可选地,所述处理器803可以为中央处理器(Central Processing Unit,CPU),所述存储器801可以为随机存取存储器(Random Access Memory,RAM)类型的内部存储器,所述发送器802可以包含普通物理接口,所述物理接口可以为以太(Ethernet)接口或异步传输模式(Asynchronous Transfer Mode,ATM)接口。所述处理器803、发送器802和存储器801可以集成为一个或多个独立的电路或硬件,如:专用集成电路(Application SpecificIntegrated Circuit,ASIC)。
实施例九
参阅图9,图9为本发明实施例提供的一种第二网络设备的硬件结构示意图。图9所示的第二网络设备可以是实施例二、实施例五或实施例七中的第二网络设备。所述第二网络设备900包括存储器901和发送器902,以及分别与所述存储器901和所述发送器902连接的处理器903,所述存储器901用于存储一组程序指令,所述处理器903用于调用所述存储器901存储的程序指令执行如下操作:
根据算法、所述第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第二网络设备为请求访问内容的设备,所述第一网络设备为提供所述内容的设备。
根据所述对称密钥,获得第一标识,所述第一标识用于标识所述第二网络设备。
触发所述发送器902向服务器发送访问请求,所述访问请求包括所述第一标识和所述内容的标识。
可选地,所述处理器903可以为CPU,所述存储器901可以为RAM类型的内部存储器,所述发送器902可以包含普通物理接口,所述物理接口可以为Ethernet接口或ATM接口。所述处理器903、发送器902和存储器901可以集成为一个或多个独立的电路或硬件,如:ASIC。
实施例十
参阅图10,图10为本发明实施例提供的一种服务器的硬件结构示意图。图10所示的服务器可以是实施例三或实施例七中的服务器,还可以是实施例六中的对内容的访问进行控制的装置。所述服务器1000包括存储器1001和接收器1002,以及分别与所述存储器1001和所述接收器1002连接的处理器1003,所述存储器1001用于存储一组程序指令,所述处理器1003用于调用所述存储器1001存储的程序指令执行如下操作:
触发所述接收器1002接收到第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识用于标识所述第二网络设备。
根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识用于验证请求访问所述内容的设备。
判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述服务器执行所述访问动作。
可选地,所述处理器1003可以为CPU,所述存储器1001可以为RAM类型的内部存储器,所述接收器1002可以包含普通物理接口,所述物理接口可以为Ethernet接口或ATM接口。所述处理器1003、接收器1002和存储器1001可以集成为一个或多个独立的电路或硬件,如:ASIC。
本发明实施例中提到的第一网络设备、第一标识和第一参数的“第一”只是用来做名字标识,并不代表顺序上的第一。该规则同样适用于“第二”和“第三”。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或RAM等。
以上对本发明实施例所提供的用于对访问的内容进行控制的方法和装置进行了详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (18)
1.一种用于提供内容的方法,其特征在于,所述方法包括:
第一网络设备根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第一网络设备为提供内容的设备,所述第二网络设备为请求访问所述内容的设备;
所述第一网络设备根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备;
所述第一网络设备向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
2.根据权利要求1所述的方法,其特征在于,所述第一网络设备根据所述对称密钥,获得第一标识,包括:
所述第一网络设备利用所述对称密钥加密第一参数,获得第二参数,所述第一参数为所述第一网络设备和所述第二网络设备所共享的参数,包括所述第一网络设备的标识、所述第二网络设备的标识或随机数中的至少一个,所述第二参数为所述第一标识。
3.根据权利要求1所述的方法,其特征在于,所述第一网络设备根据所述对称密钥,获得第一标识,包括:
所述第一网络设备对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第一标识。
4.一种用于访问内容的方法,其特征在于,所述方法包括:
第二网络设备根据算法、所述第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第二网络设备为请求访问内容的设备,所述第一网络设备为提供所述内容的设备;
所述第二网络设备根据所述对称密钥,获得第二标识,所述第二标识用于标识所述第二网络设备;
所述第二网络设备向服务器发送访问请求,所述访问请求包括所述第二标识和所述内容的标识。
5.根据权利要求4所述的方法,其特征在于,所述第二网络设备根据所述对称密钥,获得第二标识,包括:
所述第二网络设备利用所述对称密钥加密第一参数,获得第二参数,所述第一参数为所述第二网络设备和所述第一网络设备所共享的参数,包括所述第一网络设备的标识、所述第二网络设备的标识和随机数中的至少一个,所述第二参数为所述第二标识。
6.根据权利要求4所述的方法,其特征在于,所述第二网络设备根据所述对称密钥,获得第二标识,包括:
所述第二网络设备对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第二标识。
7.一种用于对内容的访问进行控制的方法,其特征在于,所述方法包括:
服务器接收到第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识是所述第二网络设备根据算法、所述第二网络设备的私钥和所述第一网络设备的公钥生成对称密钥,然后根据所述对称密钥生成的,所述第二标识用于标识所述第二网络设备;
所述服务器根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识是所述第一网络设备根据所述算法、所述第二网络设备的公钥和所述第一网络设备的私钥生成对称密钥,然后根据所述对称密钥生成的,所述第一标识用于验证请求访问所述内容的设备;
所述服务器判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述服务器执行所述访问动作。
8.根据权利要求7所述的方法,其特征在于,还包括:
如果所述第二标识与所述第一标识不匹配,所述服务器不执行所述访问动作。
9.根据权利要求8所述的方法,其特征在于,
当所述访问动作为允许访问时,所述服务器不执行所述访问动作,具体包括:
所述服务器拒绝所述第二网络设备访问所述内容;或者,
当所述访问动作为拒绝访问时,所述服务器不执行所述访问动作,具体包括:
所述服务器允许所述第二网络设备访问所述内容。
10.一种用于提供内容的装置,其特征在于,所述用于提供内容的装置为第一网络设备,所述第一网络设备包括:
密钥获得单元,用于根据算法、第二网络设备的公钥和所述第一网络设备的私钥,获得对称密钥,所述第二网络设备为请求访问所述内容的设备;
标识获得单元,用于根据所述对称密钥,获得第一标识,所述第一标识用于验证请求访问所述内容的设备;
发送单元,用于向服务器发送访问策略和所述内容的标识,所述访问策略包括所述第一标识和与所述第一标识对应的访问动作。
11.根据权利要求10所述的装置,其特征在于,
所述密钥获得单元具体用于利用所述对称密钥加密第一参数,获得第二参数,所述第一参数包括第二标识、第三标识或随机数中的至少一个,所述第二标识用于标识所述第一网络设备,所述第三标识用于标识所述第二网络设备,所述第二参数为所述第一标识。
12.根据权利要求10所述的装置,其特征在于,
所述标识获得单元具体用于对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第一标识。
13.一种用于访问内容的装置,其特征在于,所述用于访问内容的装置为第二网络设备,所述第二网络设备包括:
密钥获得单元,用于根据算法、所述第二网络设备的私钥和第一网络设备的公钥,获得对称密钥,所述第一网络设备为提供所述内容的设备;
标识获得单元,用于根据所述对称密钥,获得第二标识,所述第二标识用于标识所述第二网络设备;
发送单元,用于向服务器发送访问请求,所述访问请求包括所述第二标识和所述内容的标识。
14.根据权利要求13所述的装置,其特征在于,
所述密钥获得单元具体用于利用所述对称密钥加密第一参数,获得第二参数,所述第一参数为所述第二网络设备和所述第一网络设备所共享的参数,包括所述第一网络设备的标识、所述第二网络设备的标识和随机数中的至少一个,所述第二参数为所述第二标识。
15.根据权利要求13所述的装置,其特征在于,
所述标识获得单元具体用于对所述对称密钥进行哈希计算,获得所述对称密钥的哈希值,所述哈希值为所述第二标识。
16.一种用于对内容的访问进行控制的装置,其特征在于,包括:
接收单元,用于接收到第二网络设备发送的访问请求,所述第二网络设备为请求访问内容的设备,所述内容为第一网络设备提供的内容,所述访问请求包括第二标识和所述内容的标识,所述第二标识是所述第二网络设备根据算法、所述第二网络设备的私钥和所述第一网络设备的公钥生成对称密钥,然后根据所述对称密钥生成的,所述第二标识用于标识所述第二网络设备;
获取单元,用于根据所述内容的标识,获取访问策略,所述访问策略包括第一标识和与所述第一标识对应的访问动作,所述第一标识是所述第一网络设备根据所述算法、所述第二网络设备的公钥和所述第一网络设备的私钥生成对称密钥,然后根据所述对称密钥生成的,所述第一标识用于验证请求访问所述内容的设备;
匹配单元,用于判断所述第二标识是否与所述第一标识匹配,如果所述第二标识与所述第一标识匹配,则所述匹配单元执行所述访问动作。
17.根据权利要求16所述的装置,其特征在于,
如果所述第二标识与所述第一标识不匹配,所述匹配单元还用于不执行所述访问动作。
18.根据权利要求17所述的装置,其特征在于,
当所述访问动作为允许访问时,所述匹配单元用于不执行所述访问动作,具体为:
所述匹配单元用于拒绝所述第二网络设备访问所述内容;或者,
当所述访问动作为拒绝访问时,所述匹配单元用于不执行所述访问动作,具体为:
所述匹配单元用于允许所述第二网络设备访问所述内容。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410529800.2A CN105577609B (zh) | 2014-10-09 | 2014-10-09 | 用于对访问的内容进行控制的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410529800.2A CN105577609B (zh) | 2014-10-09 | 2014-10-09 | 用于对访问的内容进行控制的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105577609A CN105577609A (zh) | 2016-05-11 |
CN105577609B true CN105577609B (zh) | 2019-10-22 |
Family
ID=55887278
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410529800.2A Active CN105577609B (zh) | 2014-10-09 | 2014-10-09 | 用于对访问的内容进行控制的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105577609B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018222133A2 (zh) * | 2017-06-01 | 2018-12-06 | 华为国际有限公司 | 数据保护方法、装置以及系统 |
CN114499925A (zh) * | 2018-08-06 | 2022-05-13 | 华为技术有限公司 | 一种签约信息配置方法及通信设备 |
CN109450884B (zh) * | 2018-10-26 | 2019-10-15 | 天津海泰方圆科技有限公司 | 一种数据加密、解密方法、装置、系统、设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103457733A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种云计算环境数据共享方法和系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2824212A1 (fr) * | 2001-04-25 | 2002-10-31 | Thomson Licensing Sa | Procede de gestion d'une cle symetrique dans un reseau de communication et dispositifs pour la mise en oeuvre |
CN101068245B (zh) * | 2007-03-30 | 2011-07-06 | 腾讯科技(深圳)有限公司 | 共享文件的发布、下载方法及文件共享可控系统 |
CN101521881A (zh) * | 2009-03-24 | 2009-09-02 | 刘建 | 一种无线局域网接入方法及系统 |
US9306737B2 (en) * | 2011-05-18 | 2016-04-05 | Citrix Systems, Inc. | Systems and methods for secure handling of data |
-
2014
- 2014-10-09 CN CN201410529800.2A patent/CN105577609B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103457733A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种云计算环境数据共享方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105577609A (zh) | 2016-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
CN110311883A (zh) | 身份管理方法、设备、通信网络及存储介质 | |
CN106537864B (zh) | 一种访问资源的方法及装置 | |
CN109511115A (zh) | 一种授权方法和网元 | |
CN107679369A (zh) | 一种共享数字内容的许可证的方法、装置及系统 | |
CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
CN109428874A (zh) | 基于服务化架构的注册方法及装置 | |
CN107833139A (zh) | 交易数据处理方法、装置、计算机设备及存储介质 | |
EP3346660A1 (en) | Authentication information update method and device | |
CN106899410A (zh) | 一种设备身份认证的方法及装置 | |
CN107079006A (zh) | 在两个设备之间建立信任 | |
CN104539420B (zh) | 一种通用的智能硬件的安全密钥管理方法 | |
CN109600366A (zh) | 基于区块链的保护用户数据隐私的方法及装置 | |
CN105100268B (zh) | 一种物联网设备的安全控制方法、系统及应用服务器 | |
CN107920138A (zh) | 一种用户统一标识生成方法、装置及系统 | |
CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
CN108696356A (zh) | 一种基于区块链的数字证书删除方法、装置及系统 | |
CN108270739A (zh) | 一种管理加密信息的方法及装置 | |
CN109697370A (zh) | 数据库数据加解密方法、装置、计算机设备和存储介质 | |
CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
CN105577609B (zh) | 用于对访问的内容进行控制的方法和装置 | |
CN109257416A (zh) | 一种区块链云服务网络信息管理系统 | |
CN110278255A (zh) | 一种基于区块链的物联网iot设备间通信的方法及装置 | |
CN109218334A (zh) | 数据处理方法、装置、接入控制设备、认证服务器及系统 | |
CN109379345A (zh) | 敏感信息传输方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |