CN107306246A - 基于访问密钥的数据获取方法 - Google Patents
基于访问密钥的数据获取方法 Download PDFInfo
- Publication number
- CN107306246A CN107306246A CN201610235456.5A CN201610235456A CN107306246A CN 107306246 A CN107306246 A CN 107306246A CN 201610235456 A CN201610235456 A CN 201610235456A CN 107306246 A CN107306246 A CN 107306246A
- Authority
- CN
- China
- Prior art keywords
- key
- server
- access
- data
- file data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种基于访问密钥的数据获取方法,该方法用于客户端向服务器请求获取数据,具体包括:客户端发送消息给接入服务器,请求获取用户文件数据,同时将客户端身份认证码和文件数据摘要码发送给接入服务器,接入服务器依据该客户端身份认证码和该文件数据摘要码向管理服务器获取访问密钥,接入服务器发送该访问密钥给存储服务器请求获取文件数据,存储服务器对访问密钥进行验证,如果验证通过,则发送文件数据,如果验证不通过,则拒绝发送文件数据。本发明通过访问密钥对数据获取请求加以验证,提高了存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻了服务器集群之间的交互压力。
Description
技术领域
本发明属于数据安全技术领域,尤其是一种基于访问密钥的数据获取方法。
背景技术
身份认证、访问控制是确保数据安全的重要技术手段,主要是采用现代密码算法对数据进行主动保护的一种措施。在多用户存储系统中,每个用户通过客户端访问专属用户空间,并获取文件数据。服务器需要对每个访问请求进行严格控制,验证其访问的合法性,保障用户数据的安全和隐私。
目前通常的多用户存储系统中,客户端通过ID号和文件元数据请求获取文件数据,存储服务器通过对比用户空间的标识符,验证此次请求是否合法。如果非法客户端采用网络监听、暴力测试的手段伪造身份认证码,从而能够获取其他用户的私人文件数据,造成系统安全漏洞以及数据泄露。同时,客户端每次请求获取文件数据都需要通过接入服务器跟管理服务器和存储服务器联络两次,加剧了服务器集群间的通讯压力。
通过附加数字摘要,可以提升系统的安全性,也减少了通讯次数。数字摘要本质上是一串固定长度(128位)的密文消息,其核心部分在于一个安全编码的Hash函数。数字摘要的生成过程其实就是运行该Hash函数,单向的将数据内容编码成固定长度(128位)的一串密文,该密文也叫做数字指纹。Hash函数的设计应当确保输入不同的数据内容,对应产生不同的密文串,这样可以用该密文串代表对应的数据内容,进行网络传输和内容验证。
发明内容
本发明的目的在于提供一种数据获取方法,提高存储系统的安全性,减轻服务器集群之间的通讯压力。
本发明采用身份认证码和文件数据摘要码匹配验证的方式,实现上述数据获取方法,具体执行以下步骤:
客户端发送消息给接入服务器,请求获取用户文件数据,同时将客户端身份认证码和文件数据摘要码发送给接入服务器。
接入服务器依据该客户端身份认证码和该文件数据摘要码向管理服务器获取访问密钥,接入服务器发送该访问密钥给存储服务器请求获取文件数据,存储服务器对访问密钥进行验证,如果验证通过,则发送文件数据,如果验证不通过,则拒绝发送文件数据。
本发明通过访问密钥对数据获取请求加以验证,提高了存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻了服务器集群之间的交互压力。
附图说明
图1是本申请的文件数据获取方法流程图。
具体实施方式
本发明提供了一种基于访问密钥的数据获取方法,该方法适用于客户端向服务器请求获取数据,能够提高存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻服务器集群之间的交互压力。
本发明通过存储服务器对文件数据的访问密钥进行多次验证,对合法客户端下发文件数据,整体流程如图1所示,主要包括以下步骤:
步骤1,客户端请求获取文件数据,发送链接请求给接入服务器,同时发送身份认证码和文件数据摘要码。
步骤2,接入服务器收到请求后建立链接通道,收取客户端发来的身份认证码和文件数据摘要码,并依据该客户端身份认证码和该文件数据摘要码向管理服务器获取访问密钥。
在本较佳实施例中,接入服务器可以把上次获取的文件数据的访问密钥进行缓存,这样能够略过步骤2,直接根据客户端身份认证码和文件数据摘要码得到对应的访问密钥,从而加速文件数据获取速度,同时减少与管理服务器之间的通讯开销。
步骤3,管理服务器解析身份认证码,获取客户端标识和文件标识,并结合存储服务器索引值,以及文件数据摘要码,共同组成一组字符串,经过Hash运算获取该组字符串的Hash值,并利用管理服务器当前密钥对Hash值进行加密,生成文件数据最终访问密钥。
在本较佳实施例中,客户端标识可以是用户ID,也可以是客户端访问IP(一般是固定IP地址)。
在本较佳实施例中,Hash算法采用MD5或者SHA-1,对输入的“客户端标识+文件标识+文件数据摘要码+存储服务器索引值”所组成的字符串进行散列运算,得出128位Hash值。加密算法采用DES或者AES,对128位Hash值进行加密运算,输出访问密钥,并添加时间戳,代表该访问密钥的时效。
在本发明的另一较佳实施例中,采用先加密再散列的顺序计算访问密钥,即采用DES或者AES加密算法对“客户端标识+文件标识+文件数据摘要码+存储服务器索引值”组成的字符串进行加密,得到密文输出后,再输入给MD5或者SHA-1哈希算法,得出128位Hash值,同时也是访问密钥。
步骤4,管理服务器将生成的访问密钥发送给接入服务器,接入服务器收到访问密钥后,依据访问密钥联系存储服务器。
步骤5,存储服务器接收到接入服务器的访问请求,以及接入服务器发送来的访问密钥。
步骤6,存储服务器首先读取访问密钥的时间戳,判断该访问密钥是否在有效访问期限内,如果处于有效期内,则继续文件获取流程,如果已经失效,则拒绝接入服务器的获取请求,提示访问密钥失效。
存储服务器然后解密访问密钥,解析其中身份认证码,并判断是否为有效身份,如果有效,则继续执行访问密钥合法性验证,如果无效,则拒绝接入服务器的获取请求,提示身份认证码无效。
步骤7,存储服务器根据客户端身份认证码进入用户存储空间,将用户元数据信息和存储文件摘要进行拼接,组合成一组字符串,使用步骤3中相同的Hash算法对该字符串进行散列运算,得出128位Hash值。
存储服务器对两组Hash进行匹配验证,如果匹配成功,则该次访问具备合法权限,准备文件数据,启动下发流程,如果匹配不成功,则拒绝接入服务器的数据获取请求,提示访问密钥无效。
步骤8,存储服务器通知接入服务器,批准客户端获取数据,请求客户端链接存储服务器,链接建立后,直接下发文件数据给客户端。
根据本实施例,通过访问密钥对数据获取请求加以验证,提高了存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻了服务器集群之间的交互压力。
以上所述仅为本发明的较佳实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (6)
1.一种基于访问密钥的数据获取方法,其特征在于,所述方法用于客户端向服务器请求获取数据,所述方法包括:
客户端发送消息给接入服务器,请求获取用户文件数据,同时将客户端身份认证码和文件数据摘要码发送给接入服务器,接入服务器依据该客户端身份认证码和该文件数据摘要码向管理服务器获取访问密钥,接入服务器发送该访问密钥给存储服务器请求获取文件数据,存储服务器对访问密钥进行验证,如果验证通过,则发送文件数据,如果验证不通过,则拒绝发送文件数据。
2.根据权利要求1所述的方法,其特征在于,接入服务器向管理服务器请求获取文件数据访问密钥器具体包括:
接入服务器依据从客户端获取的身份认证码和文件摘要码向管理服务器请求获取文件数据的访问密钥,管理服务器解析身份认证码中的客户端标识、文件标识,以及文件摘要码,并结合存储服务器索引值创建生成文件数据访问密钥,返回给接入服务器。
3.根据权利要求2所述的方法,其特征在于,管理服务器创建生成文件数据访问密钥具体包括:
管理服务器解析身份认证码,获取客户端标识和文件标识,并结合存储服务器索引值,以及文件数据摘要码,共同组成一组字符串,经过Hash运算获取该组字符串的Hash值,并利用管理服务器当前密钥对Hash值进行加密,生成文件数据最终访问密钥。
4.根据权利要求1所述的方法,其特征在于,接入服务器获取访问密钥后向存储服务器请求获取文件数据具体包括:
存储服务器检查访问密钥的时效标识,判断是否还处于有效期,如果处于有效期内,则继续文件获取流程,如果已经失效,则拒绝接入服务器的获取请求,提示访问密钥失效。
5.根据权利要求4所述的方法,其特征在于,存储服务器判断访问密钥有效后继续文件数据获取流程具体包括:
存储服务器解密访问密钥,解析其中身份认证码,并判断是否为有效身份,如果有效,则继续执行访问密钥合法性验证,如果无效,则拒绝接入服务器的获取请求,提示身份认证码无效。
6.根据权利要求5所述的方法,其特征在于,存储服务器对访问密钥进行验证具体包括:
存储服务器解析访问密钥中的Hash值并解密,获取客户端标识、文件标识、文件数据摘要码,以及存储服务器索引值,与用户空间的元数据信息进行匹配验证,如果验证成功,则直接下发文件数据给客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610235456.5A CN107306246A (zh) | 2016-04-18 | 2016-04-18 | 基于访问密钥的数据获取方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610235456.5A CN107306246A (zh) | 2016-04-18 | 2016-04-18 | 基于访问密钥的数据获取方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107306246A true CN107306246A (zh) | 2017-10-31 |
Family
ID=60151303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610235456.5A Pending CN107306246A (zh) | 2016-04-18 | 2016-04-18 | 基于访问密钥的数据获取方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107306246A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989462A (zh) * | 2018-08-24 | 2018-12-11 | 四川长虹电器股份有限公司 | 基于aws云服务的图片下载方法 |
CN109992976A (zh) * | 2019-02-27 | 2019-07-09 | 平安科技(深圳)有限公司 | 访问凭证验证方法、装置、计算机设备及存储介质 |
CN110263557A (zh) * | 2019-05-31 | 2019-09-20 | 花豹科技有限公司 | 数据访问控制方法、存储设备及计算机可读存储介质 |
CN110807211A (zh) * | 2019-11-04 | 2020-02-18 | 上海讯联数据服务有限公司 | 安全获取用户交集的方法、系统、可读介质及电子设备 |
CN111935094A (zh) * | 2020-07-14 | 2020-11-13 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、系统及计算机可读存储介质 |
CN112291055A (zh) * | 2019-07-24 | 2021-01-29 | 广东知业科技有限公司 | 一种工业互联网数据通讯加密方法 |
CN113726772A (zh) * | 2021-08-30 | 2021-11-30 | 平安国际智慧城市科技股份有限公司 | 实现在线问诊会话的方法、装置、设备及存储介质 |
CN114302394A (zh) * | 2021-11-19 | 2022-04-08 | 深圳震有科技股份有限公司 | 一种5g upf下网络直接内存访问方法及系统 |
CN114449047A (zh) * | 2022-01-28 | 2022-05-06 | 深圳灵动创新信息技术有限公司 | 一种文件数据的处理方法和装置 |
CN117672471A (zh) * | 2024-02-01 | 2024-03-08 | 达州爱迦飞诗特科技有限公司 | 支持远程访问与操作的医学影像文件处理方法和系统 |
-
2016
- 2016-04-18 CN CN201610235456.5A patent/CN107306246A/zh active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989462A (zh) * | 2018-08-24 | 2018-12-11 | 四川长虹电器股份有限公司 | 基于aws云服务的图片下载方法 |
CN109992976A (zh) * | 2019-02-27 | 2019-07-09 | 平安科技(深圳)有限公司 | 访问凭证验证方法、装置、计算机设备及存储介质 |
CN110263557A (zh) * | 2019-05-31 | 2019-09-20 | 花豹科技有限公司 | 数据访问控制方法、存储设备及计算机可读存储介质 |
CN112291055B (zh) * | 2019-07-24 | 2024-03-29 | 广东知业科技有限公司 | 一种工业互联网数据通讯加密方法 |
CN112291055A (zh) * | 2019-07-24 | 2021-01-29 | 广东知业科技有限公司 | 一种工业互联网数据通讯加密方法 |
CN110807211A (zh) * | 2019-11-04 | 2020-02-18 | 上海讯联数据服务有限公司 | 安全获取用户交集的方法、系统、可读介质及电子设备 |
CN111935094A (zh) * | 2020-07-14 | 2020-11-13 | 北京金山云网络技术有限公司 | 数据库访问方法、装置、系统及计算机可读存储介质 |
CN113726772A (zh) * | 2021-08-30 | 2021-11-30 | 平安国际智慧城市科技股份有限公司 | 实现在线问诊会话的方法、装置、设备及存储介质 |
CN113726772B (zh) * | 2021-08-30 | 2023-07-07 | 深圳平安智慧医健科技有限公司 | 实现在线问诊会话的方法、装置、设备及存储介质 |
CN114302394B (zh) * | 2021-11-19 | 2023-11-03 | 深圳震有科技股份有限公司 | 一种5g upf下网络直接内存访问方法及系统 |
CN114302394A (zh) * | 2021-11-19 | 2022-04-08 | 深圳震有科技股份有限公司 | 一种5g upf下网络直接内存访问方法及系统 |
CN114449047A (zh) * | 2022-01-28 | 2022-05-06 | 深圳灵动创新信息技术有限公司 | 一种文件数据的处理方法和装置 |
CN117672471A (zh) * | 2024-02-01 | 2024-03-08 | 达州爱迦飞诗特科技有限公司 | 支持远程访问与操作的医学影像文件处理方法和系统 |
CN117672471B (zh) * | 2024-02-01 | 2024-04-19 | 达州爱迦飞诗特科技有限公司 | 支持远程访问与操作的医学影像文件处理方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107306246A (zh) | 基于访问密钥的数据获取方法 | |
CN107749848B (zh) | 物联网数据的处理方法、装置及物联网系统 | |
US9977918B2 (en) | Method and system for verifiable searchable symmetric encryption | |
KR101753859B1 (ko) | 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법 | |
CN113067699B (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
CN102868702B (zh) | 系统登录装置和系统登录方法 | |
CN110995446B (zh) | 证据验证方法、装置、服务器及存储介质 | |
CN110121159B (zh) | 车联网场景下的轻量级rfid安全认证方法、车联网通信系统 | |
Kumar et al. | XML wrapping attack mitigation using positional token | |
WO2018149004A1 (zh) | 一种鉴权方法及系统 | |
CN110071937B (zh) | 基于区块链的登录方法、系统及存储介质 | |
CN110020869B (zh) | 用于生成区块链授权信息的方法、装置及系统 | |
CN114257376B (zh) | 数字证书更新方法、装置、计算机设备和存储介质 | |
CN115842680B (zh) | 一种网络身份认证管理方法及系统 | |
CN103532989A (zh) | 文件数据的下载方法 | |
CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
KR102013415B1 (ko) | 개인정보 접속기록 무결성 검증시스템 및 검증방법 | |
US11627135B2 (en) | Method and system for delivering restricted-access resources using a content delivery network | |
CN106850592B (zh) | 一种信息处理方法、服务器及终端 | |
CN109886011B (zh) | 一种安全防护方法和装置 | |
CN115438320B (zh) | 一种基于区块链和数字指纹的隐匿数据确权方法 | |
CN115484030B (zh) | 一种基于物联网技术的企业税务数据共享方法及系统 | |
CN109218009B (zh) | 一种提高设备id安全性的方法、客户端和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
DD01 | Delivery of document by public notice |
Addressee: Beijing Shenzhou acrobatics Culture Industry Co. Document name: Notification that Application Deemed to be Withdrawn |
|
DD01 | Delivery of document by public notice | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20171031 |
|
WD01 | Invention patent application deemed withdrawn after publication |