CN109426734A - 一种访问方法、装置、系统及电子设备 - Google Patents
一种访问方法、装置、系统及电子设备 Download PDFInfo
- Publication number
- CN109426734A CN109426734A CN201710752395.4A CN201710752395A CN109426734A CN 109426734 A CN109426734 A CN 109426734A CN 201710752395 A CN201710752395 A CN 201710752395A CN 109426734 A CN109426734 A CN 109426734A
- Authority
- CN
- China
- Prior art keywords
- key
- request data
- access
- product
- temporary visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种访问方法、装置、系统及电子设备;所述访问方法包括:当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;通过临时访问密钥访问所述目标位置。本申请至少一个实施例能够提高安全性。
Description
技术领域
本发明涉及网络领域,尤其涉及一种访问方法、装置、系统及电子设备。
背景技术
如图1所示,目前当需要访问电脑到移动端开放平台(pctowap open platform,POP)时,产品的控制台(console)会先通过密钥,从访问密钥(Access key,AK)服务器(server)获取用户的临时访问密钥(Temp AK);其中,获取临时AK所用的密钥明文存储在各个产品的控制台中,而且各个产品所用的密钥是相同的。产品的控制台通过存储的密钥调用开放(open)应用程序编程接口(Application Programming Interface,API),可以获取到任何用户的临时AK以访问POP。
之前由于产品的控制台全都部署在国内中心机房中,而中心机房的安保措施较强,因此该方案的风险较小。但随着国际化和区域化部署的展开,产品的控制台和AKserver也需要部署在外国机房中,而有些情况下,可能无法有效对外国机房进行控制,因此上述方案的风险会比较高。
发明内容
本申请提供一种访问方法、装置、系统及电子设备,能够提高安全性。
本申请采用如下技术方案。
一种访问方法,包括:
当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
通过临时访问密钥访问所述目标位置。
其中,所述预存的第一请求数据可以是加密的密钥;所述第二请求数据可以是密钥;
所述根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
将预存的第一请求数据发送给第一密钥服务器,接收第一密钥服务器返回的对所述第一请求数据解密获得的密钥。
其中,不同产品所对应的第一请求数据及第二请求数据可以不同;
所述当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
当产品的控制台需要访问目标位置时,根据预存的与所述产品对应的第一请求数据,从第一密钥服务器获取所述产品对应的第二请求数据。
其中,所述根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥可以包括:
根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述通过临时访问密钥访问所述目标位置可以包括:
通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置;其中,不同产品对应的临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口。
其中,所述当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
当需要访问目标位置时,判断是否保存有在有效期内的临时访问密钥,如果没有保存临时访问密钥,或所保存的临时访问密钥已过期,则根据预存的第一请求数据从第一密钥服务器获取第二请求数据;如果保存有在有效期内的临时访问密钥,则根据该临时访问密钥调用接口访问目标位置。
一种访问方法,包括:
控制台需要访问目标位置时,将预存的第一请求数据发送给密钥中心;
所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台;
所述控制台根据收到的第二请求数据向访问密钥服务器请求临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置。
其中,所述预存的第一请求数据可以是加密的密钥;
所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台可以包括:
所述密钥中心对控制台所发送的所述预存的第一请求数据进行解密;将解密所获得的结果作为第二请求数据反馈给所述控制台。
其中,不同产品所对应的第一请求数据、第二请求数据及临时访问密钥可以不同;通过一个产品的临时访问密钥可以仅能调用该产品对应的接口;
所述控制台根据收到的第二请求数据向访问密钥服务器请求临时访问密钥可以包括:
所述控制台根据获取到的产品对应的密钥,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置可以包括:
所述控制台通过请求到的产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置。
一种访问装置,包括:
获取模块,用于当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
请求模块,用于根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
访问模块,用于通过临时访问密钥访问所述目标位置。
其中,所述预存的第一请求数据可以是加密的密钥;所述第二请求数据可以是密钥;
所述获取模块根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
所述获取模块将预存的第一请求数据发送给第一密钥服务器,接收第一密钥服务器返回的对所述第一请求数据解密获得的密钥。
其中,不同产品所对应的第一请求数据及第二请求数据可以不同;
所述获取模块当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
当所述获取模块当产品的控制台需要访问目标位置时,根据预存的与所述产品对应的第一请求数据,从第一密钥服务器获取所述产品对应的第二请求数据。
其中,所述请求模块根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥可以包括:
所述请求模块根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述访问模块通过临时访问密钥访问所述目标位置可以包括:
所述访问模块通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置;其中,不同产品对应的临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口。
其中,所述获取模块当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
所述获取模块当需要访问目标位置时,判断是否保存有在有效期内的临时访问密钥,如果没有保存临时访问密钥,或所保存的临时访问密钥已过期,则根据预存的第一请求数据从第一密钥服务器获取第二请求数据;如果保存有在有效期内的临时访问密钥,则指示所述访问模块根据该临时访问密钥调用接口访问目标位置。
一种访问系统,包括:控制台和访问密钥服务器;
密钥中心;
所述控制台用于当需要访问目标位置时,将预存的第一请求数据发送给密钥中心;并根据从密钥中心收到的第二请求数据向所述访问密钥服务器请求临时访问密钥,通过临时访问密钥访问所述目标位置;
所述密钥中心用于根据所述第一请求数据反馈相应的第二请求数据给所述控制台。
其中,所述预存的第一请求数据可以是加密的密钥;
所述密钥中心根据所述第一请求数据反馈相应的密钥给所述控制台可以包括:
所述密钥中心对控制台所发送的所述预存的第一请求数据进行解密;将解密所获得的结果作为第二请求数据反馈给所述控制台。
其中,不同产品所对应的第一请求数据、第二请求数据及临时访问密钥可以不同;通过一个产品的临时访问密钥可以仅能调用该产品对应的接口;
所述根据收到的第二请求数据向访问密钥服务器请求临时访问密钥可以包括:
所述控制台根据获取到的产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置包括:
所述控制台通过请求到的产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置。
一种用于进行访问的电子设备,包括:存储器和处理器;
所述存储器用于保存用于进行访问的程序;所述用于进行访问的程序在被所述处理器读取执行时,执行如下操作:
当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
通过临时访问密钥访问所述目标位置。
本申请包括以下优点:
本申请至少一个实施例中,用于获取临时AK的数据(即后文的第二请求数据)不再是直接存储,而是需要根据预存的第一请求数据从第一密钥服务器进行获取;因此,即使产品的控制台所在的机房失控,只要断开第一密钥服务器与失控机房之间的连接,不法分子即使能从控制台中提取出第一请求数据,也依然无法获取第二请求数据,从而也就无法获得临时AK,因此可以提高安全性。
本申请实施例的一种实现方式中,第一请求数据为加密的密钥,第二请求数据为密钥;这样第一密钥服务器只需要保存解密算法,或解密算法和加密因子,即可根据第一请求数据反馈第二请求数据,无需保存大量第一请求数据对应的第二请求数据。
本申请实施例的一种实现方式中,不同产品的第一请求数据和第二请求数据可以不同,可以进一步提高安全性;该实现方式中,可以设置成根据一个产品对应的第二请求数据获取到的该产品对应的临时AK,只能调用该产品对应的接口,从而可以根据产品划分访问权限。
本申请实施例的一种实现方式中,规定了临时AK的有效期,该有效期可以设置的较短,从而进一步提高安全性。
当然,实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
图1是目前访问开放平台时的过程示意图;
图2是实施例一的访问方法的流程图;
图3是实施例一的例子中的访问过程示意图;
图4是实施例二的访问方法的流程图;
图5是实施例三的访问装置的示意图;
图6是实施例四的访问系统的示意图。
具体实施方式
下面将结合附图及实施例对本申请的技术方案进行更详细的说明。
需要说明的是,如果不冲突,本申请实施例以及实施例中的各个特征可以相互结合,均在本申请的保护范围之内。另外,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在一种配置中,进行访问的计算设备可包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存(memory)。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。内存可能包括一个或多个模块。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM),快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
实施例一、一种访问方法,如图2所示,包括步骤S110~S120。
S110、当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
S120、根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
S130、通过临时访问密钥访问所述目标位置。
本实施例中,用于获取临时AK的第二请求数据不再是直接存储,而是需要根据预存的第一请求数据从第一密钥服务器进行获取;因此,即使产品的控制台所在的机房失控,只要断开第一密钥服务器与失控机房之间的连接,不法分子即使能从控制台中提取出第一请求数据,也依然无法获取第二请求数据,从而也就无法获得临时AK,因此可以提高安全性。
本实施例中,所述步骤S110和S120可以但不限于由产品的控制台执行,第一请求数据预存在产品的控制台中。或者也可以由控制台之外的装置获取临时AK,将获取的临时AK交给控制台以调用产品的接口,第一请求数据可以预存在上述装置中,或预存在产品的控制台中,再由上述装置从控制台中获取。
本实施例中,目标位置可以但不限于包括:POP、服务器等。
本实施例中,所述第二请求数据可以包括:密钥名称(key)和密钥信息(secret)。
本实施例中,所述预存的第一请求数据可以由所述第一密钥服务器保存到产品的控制台或上述装置中,也可以通过人工或其它方式保存到产品的控制台中或上述装置中。
本实施例中,所述预存的第一请求数据可以由所述第一密钥服务器更新,或者通过人工或其它方式更新。可以是周期性更新,或者在判断需要时进行更新。
本实施例中,所述第一密钥服务器可以但不限于是一个独立的、专门用于提供第二请求数据的密钥中心;所述密钥中心可以是一个系统或平台,可以分布在一个或多个服务器上;所述密钥中心一般可以部署在国内。
一种实现方式中,所述预存的第一请求数据可以是加密的密钥;所述第一请求数据可以是密钥;
所述根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
将预存的第一请求数据发送给第一密钥服务器,接收第一密钥服务器返回的对所述第一请求数据解密获得的密钥。
本实现方式中,第一密钥服务器可以保存解密所需的算法,或者保存解密所需的算法和加密因子,从而能够对收到的第一请求数据进行解密。
本实现方式中,所述第二请求数据如果包括key和secret,则所述第一请求数据可以包括加密的key和加密的secret。
在其它实现方式中,也可以不采用加密、解密的做法;比如可以在第一密钥服务器中保存各第一请求数据所对应的第二请求数据,当收到预存的第一请求数据后,可以根据该第一请求数据查询到对应的第二请求数据。
一种实现方式中,不同产品所对应的第一请求数据以及第二请求数据可以不同;
所述当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
当产品的控制台需要访问目标位置时,根据预存的与所述产品对应的第一请求数据,从第一密钥服务器获取所述产品对应的第二请求数据。
本实现方式可以进一步提高安全性,这样即使得到了一个产品的第二请求数据,也无法给其它产品使用。
本实现方式中,由于不同产品对应的第一请求数据不同,这样从第一密钥服务器获取到的第二请求数据也可以不同。
本实现方式中,如果不同产品使用不同的控制台(即:控制台是单一产品的控制台),则每个控制台中预存的第一请求数据互不相同;如果不同产品使用相同的控制台(即:控制台是多个产品的控制台),则控制台中需要预存不同产品各自对应的第一请求数据。
本实现方式中,如果控制台是单一产品的控制台,比如是产品A的控制台,则预存的就是产品A对应的第一请求数据,获取的也是产品A对应的第二请求数据;如果控制台是多个产品的控制台,则可以是当某个产品需要访问目标位置时,采用该产品对应的第一请求数据去获取该产品对应的第二请求数据。
其它实现方式中,如果不同产品使用不同的控制台,则每个控制台中预存的第一请求数据可以相同也可以不同,第一密钥服务器可以根据发送第一请求数据的控制台的标识,返回相应的第二请求数据;比如对于产品A的控制台发来的第一请求数据,第一密钥服务器返回产品A对应的第二请求数据;对于产品B的控制台发来的第一请求数据,第一密钥服务器返回产品B对应的第二请求数据,以此类推。
其它实现方式中,也不排除不同产品对应相同第一请求数据或第二请求数据的情况。
本实现方式的一种做法中,所述根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥可以包括:
根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述通过临时访问密钥访问所述目标位置可以包括:
通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置;其中,不同产品对应的临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口。
该做法中,第二密钥服务器可以是访问密钥服务器。
该做法可以对根据产品对应的第二请求数据所获取的临时AK进行权限划分,比如根据产品A对应的第二请求数据所获取的临时AK中包含产品A的标识,或包含表示仅能调用产品A的接口的权限信息;在调用某个产品的接口时,判断临时AK中是否有该产品的标识或根据权限信息判断是否能调用该产品的接口,如果有标识或判断结果为能调用则允许调用,如果没有或判断结果为不能调用则不允许调用。实现权限划分的方式不限于上述列举的方式,只要能保证:根据某个产品对应的第二请求数据所获取的临时AK只能调用该产品的接口,不能调用其它产品的接口即可;比如根据产品A对应的第二请求数据所获取的临时AK只能调用产品A的接口,根据产品B对应的第二请求数据所获取的临时AK只能调用产品B的接口;以此类推。
本实现方式的其它做法中,也可以在请求临时AK时进行权限检查,比如根据某个产品的第二请求数据,只允许请求该产品对应的临时AK。
一种实现方式中,所述当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
当需要访问目标位置时,判断是否保存有在有效期内的临时AK,如果没有保存临时AK,或所保存的临时AK已过期,则根据预存的第一请求数据从第一密钥服务器获取第二请求数据;如果保存有在有效期内的临时AK,则根据该临时AK调用接口访问目标位置。
本实现方式中,可以在临时AK中携带用于表示有效期的信息,比如失效时刻,再比如生效时刻和有效期的长度等,这样可以判断出临时AK是否仍处于有效期。
其中,临时AK不处于有效期的情况包括:还未到生效时刻,即还未生效;或者有效期已经期满,即已失效。
其中,可以当临时AK失效后删除该临时AK。
其它实现方式中,也可以将临时AK设置为一次性的,比如在临时AK中携带一个使用标识,一旦使用该临时AK调用过一次接口就对该标识置位,置位后临时AK就无法再用于调用接口,需要重新申请。
下面用一个例子说明本实施例,该例子中,目标位置是开放平台,第一密钥服务器是密钥中心;假设有三种产品,分别是弹性计算服务(Elastic Compute Service,ECS)、对象存储服务(Object Storage Service,OSS)和资源访问管理(Resource AccessManagement,RAM),每种产品都有自己专属的控制台。每种产品的控制台中保存有该种产品对应的加密的key和加密的secret作为第一请求数据,比如ecs的console中保存的是加密的key1和secret1,oss的console中保存的是加密的key2和secret2,ram中保存的是加密的key3和secret3。
每种产品的控制台都分别连接访问密钥服务器、密钥中心(Key center)和开放平台;当控制台需要对开放平台进行访问时,过程如图3所示,包括步骤201~205:
201、控制台当需要调用产品的接口时,如果未保存有临时AK,或者所保存的临时AK已经失效,则向Key center发送所保存的加密的key和secret。
202、控制台接收Key center返回的解密后的key和secret(即第二请求数据)。
203、控制台使用解密后的key和secret向AK server请求临时AK。
204、控制台接收AK server返回的临时AK,可以但不限于是登录票
(login ticket)。检查临时AK的生效时刻和失效时刻(或有效的时间长度),可以在临时AK失效后删除临时AK。本例中,临时AK的有效的时间长度是8个小时,或者说,失效时刻和生效时刻间隔8小时。
205、控制台使用已生效的临时AK和开放平台进行交互,调用相应产品的接口。
图3中所示的是一个控制台访问开放平台的过程,本例子中的三种产品的控制台都可以按照图3所示的方式连接AK server和Key center(比如三个控制台都分别连接到同一个AK server和Key center),按照图3所示的过程访问开放平台,有更多种类的产品时的情况也可以类推,不同产品的控制台中保存的key和secret可以不同,但都是加密过的。
实施例二、一种访问方法,如图4所示,包括步骤S310~S340:
S310、控制台需要访问目标位置时,将预存的第一请求数据发送给密钥中心;
S320、所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台;
S330、所述控制台根据收到的第二请求数据,向访问密钥服务器请求临时访问密钥;
S340、所述控制台通过临时访问密钥访问所述目标位置。
一种实现方式中,所述预存的第一请求数据可以是加密的密钥;
所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台可以包括:
所述密钥中心对控制台所发送的所述预存的第一请求数据进行解密;将解密所获得的结果作为第二请求数据反馈给所述控制台。
一种实现方式中,不同产品所对应的第一请求数据、第二请求数据及临时访问密钥可以不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口;
所述控制台所预存的第一请求数据可以是该控制台所属产品对应的第一请求数据,所收到的第二请求数据可以是该控制台所属产品对应的第二请求数据。
本实现方式中,控制台所属产品即该控制台所针对的产品,或者说是为哪个产品服务的。比如产品A的控制台,该控制台所属产品就是产品A。
本实现方式中,所述控制台根据收到的第二请求数据,向访问密钥服务器请求临时访问密钥可以包括:
所述控制台根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置包括:
所述控制台通过请求到的所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置。
本实施例中的控制台的操作对应于实施例一中的步骤S110~S130;其它实现细节可参见实施例一。
实施例三、一种访问装置,如图5所示,包括:
获取模块41,用于当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
请求模块42,用于根据获取到的第二请求数据,请求临时AK;
访问模块43,用于通过临时AK访问所述目标位置。
本实施例中,获取模块41是上述装置中负责获取第二请求数据的部分,可以是软件、硬件或两者的结合。
本实施例中,请求模块42是上述装置中负责获取临时AK的部分,可以是软件、硬件或两者的结合。
本实施例中,访问模块43是上述装置中负责访问目标位置的部分,可以是软件、硬件或两者的结合。
本实施例中的访问装置可以但不限于设置于控制台中。
一种实现方式中,所述预存的第一请求数据可以是加密的密钥;所述第二请求数据可以是密钥;
所述获取模块根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
所述获取模块将预存的第一请求数据发送给第一密钥服务器,接收第一密钥服务器返回的对所述第一请求数据解密获得的密钥。
一种实现方式中,不同产品所对应的第一请求数据以及第二请求数据可以不同;
所述获取模块当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
当所述获取模块当产品的控制台需要访问目标位置时,根据预存的与所述产品对应的第一请求数据,从第一密钥服务器获取所述产品对应的第二请求数据。
其中,产品的控制台可以是指访问装置所在的控制台,该控制台是某个产品的控制台,所预存的是与该产品对应的第一请求数据。
本实现方式中,所述请求模块根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥可以包括:
所述请求模块根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述访问模块通过临时访问密钥访问所述目标位置可以包括:
所述访问模块通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置;其中,不同产品对应的临时访问密钥可以不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口。
一种实现方式中,所述获取模块当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据可以包括:
所述获取模块当需要访问目标位置时,判断是否保存有在有效期内的临时访问密钥,如果没有保存临时访问密钥,或所保存的临时访问密钥已过期,则根据预存的第一请求数据从第一密钥服务器获取第二请求数据;如果保存有在有效期内的临时访问密钥,则指示所述访问模块根据该临时访问密钥调用接口访问目标位置。
本实施例的访问装置的各模块的操作分别对应于实施例一中的步骤S110~S130,各模块操作的其它实现细节可参见实施例一。
实施例四、一种访问系统,如图6所示,包括:
控制台51、访问密钥服务器52、密钥中心53;
所述控制台51用于当需要访问目标位置54时,将预存的第一请求数据发送给密钥中心53;并根据从密钥中心53收到的第二请求数据,向所述访问密钥服务器52请求临时访问密钥,通过临时访问密钥访问所述目标位置54;
所述密钥中心53用于根据所述第一请求数据反馈相应的第二请求数据给所述控制台51。
本实施例中,如图6所示,一个密钥中心/访问密钥服务器可以为多个控制台服务。
一种实现方式中,所述预存的第一请求数据可以是加密的密钥;
所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台可以包括:
所述密钥中心对控制台所发送的所述预存的第一请求数据进行解密;将解密所获得的结果作为第二请求数据反馈给所述控制台。
一种实现方式中,不同产品所对应的第一请求数据、第二请求数据及临时访问密钥可以不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口;
所述根据从密钥中心收到的第二请求数据,向所述访问密钥服务器请求临时访问密钥可以包括:
根据获取到的产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置可以包括:
所述控制台通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置。
本实施例的访问装置的各模块的操作分别对应于实施例二中的步骤S310~S340,各模块操作的其它实现细节可参见实施例二。
实施例五、一种用于进行访问的电子设备,包括:存储器和处理器;
所述存储器用于保存用于进行访问的程序;所述用于进行访问的程序在被所述处理器读取执行时,执行如下操作:
当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
通过临时访问密钥访问所述目标位置。
本实施例中,用于进行访问的程序在被处理器读取执行时,所执行的操作对应于实施例一中的步骤S110~S130;该程序所执行的操作的其它细节可参见实施例一。
实施例六、一种访问系统,包括:
第一电子设备、第二电子设备、第三电子设备;
所述第一电子设备包括:第一存储器和第一处理器;
所述第一存储器用于保存用于进行访问的程序;所述用于进行访问的程序在被所述第一处理器读取执行时,执行如下操作:
当需要访问目标位置时,将预存的第一请求数据发送给第二电子设备;并根据从第二电子设备收到的第二请求数据,向所述第三电子设备请求临时访问密钥,通过临时访问密钥访问所述目标位置;
所述第二电子设备包括:第二存储器和第二处理器;
所述第二存储器用于保存用于根据第一请求数据反馈密钥的程序;所述用于根据第一请求数据反馈密钥的程序在被所述第二处理器读取执行时,执行如下操作:根据所述第一电子设备发送的第一请求数据,反馈相应的第二请求数据给所述第一电子设备;
所述第三电子设备包括:第三存储器和第三处理器;
所述第三存储器用于保存用于根据第二请求数据反馈临时AK的程序;所述用于根据第二请求数据反馈临时AK的程序在被所述第三处理器读取执行时,执行如下操作:根据所述第一电子设备发送的第二请求数据,反馈相应的临时AK给所述第一电子设备。
本实施例中,一个所述第二、第三电子设备可以为一个或多个第一电子设备服务。
本实施例中,所述第一电子设备可以但不限于对应于实施例二中的控制台,第二电子设备可以但不限于对应于实施例一中的第一密钥服务器,或实施例二中的密钥中心,第三电子设备可以但不限于对应于实施例一中的第二密钥服务器,或实施例二中的访问密钥服务器;本实施例的其它实施细节可参见实施例二。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
当然,本申请还可有其他多种实施例,在不背离本申请精神及其实质的情况下,熟悉本领域的技术人员当可根据本申请作出各种相应的改变和变形,但这些相应的改变和变形都应属于本申请的权利要求的保护范围。
Claims (17)
1.一种访问方法,包括:
当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
通过临时访问密钥访问所述目标位置。
2.如权利要求1所述的访问方法,其特征在于,所述预存的第一请求数据是加密的密钥;所述第二请求数据是密钥;
所述根据预存的第一请求数据从第一密钥服务器获取第二请求数据包括:
将预存的第一请求数据发送给第一密钥服务器,接收第一密钥服务器返回的对所述第一请求数据解密获得的密钥。
3.如权利要求1所述的访问方法,其特征在于:
不同产品所对应的第一请求数据及第二请求数据不同;
所述当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据包括:
当产品的控制台需要访问目标位置时,根据预存的与所述产品对应的第一请求数据,从第一密钥服务器获取所述产品对应的第二请求数据。
4.如权利要求3所述的访问方法,其特征在于,所述根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥包括:
根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述通过临时访问密钥访问所述目标位置包括:
通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置;其中,不同产品对应的临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口。
5.如权利要求1所述的访问方法,其特征在于,所述当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据包括:
当需要访问目标位置时,判断是否保存有在有效期内的临时访问密钥,如果没有保存临时访问密钥,或所保存的临时访问密钥已过期,则根据预存的第一请求数据从第一密钥服务器获取第二请求数据;如果保存有在有效期内的临时访问密钥,则根据该临时访问密钥调用接口访问目标位置。
6.一种访问方法,包括:
控制台需要访问目标位置时,将预存的第一请求数据发送给密钥中心;
所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台;
所述控制台根据收到的第二请求数据向访问密钥服务器请求临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置。
7.如权利要求6所述的访问方法,其特征在于:所述预存的第一请求数据是加密的密钥;
所述密钥中心根据所述第一请求数据反馈相应的第二请求数据给所述控制台包括:
所述密钥中心对控制台所发送的所述预存的第一请求数据进行解密;将解密所获得的结果作为第二请求数据反馈给所述控制台。
8.如权利要求6所述的访问方法,其特征在于:
不同产品所对应的第一请求数据、第二请求数据及临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口;
所述控制台根据收到的第二请求数据向访问密钥服务器请求临时访问密钥包括:
所述控制台根据获取到的产品对应的密钥,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置包括:
所述控制台通过请求到的产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置。
9.一种访问装置,其特征在于,包括:
获取模块,用于当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
请求模块,用于根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
访问模块,用于通过临时访问密钥访问所述目标位置。
10.如权利要求9所述的访问装置,其特征在于,所述预存的第一请求数据是加密的密钥;所述第二请求数据是密钥;
所述获取模块根据预存的第一请求数据从第一密钥服务器获取第二请求数据包括:
所述获取模块将预存的第一请求数据发送给第一密钥服务器,接收第一密钥服务器返回的对所述第一请求数据解密获得的密钥。
11.如权利要求9所述的访问装置,其特征在于:
不同产品所对应的第一请求数据及第二请求数据不同;
所述获取模块当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据包括:
当所述获取模块当产品的控制台需要访问目标位置时,根据预存的与所述产品对应的第一请求数据,从第一密钥服务器获取所述产品对应的第二请求数据。
12.如权利要求11所述的访问装置,其特征在于,所述请求模块根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥包括:
所述请求模块根据获取到的所述产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述访问模块通过临时访问密钥访问所述目标位置包括:
所述访问模块通过所述产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置;其中,不同产品对应的临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口。
13.如权利要求9所述的访问装置,其特征在于,所述获取模块当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据包括:
所述获取模块当需要访问目标位置时,判断是否保存有在有效期内的临时访问密钥,如果没有保存临时访问密钥,或所保存的临时访问密钥已过期,则根据预存的第一请求数据从第一密钥服务器获取第二请求数据;如果保存有在有效期内的临时访问密钥,则指示所述访问模块根据该临时访问密钥调用接口访问目标位置。
14.一种访问系统,包括:控制台和访问密钥服务器;
其特征在于,还包括:
密钥中心;
所述控制台用于当需要访问目标位置时,将预存的第一请求数据发送给密钥中心;并根据从密钥中心收到的第二请求数据向所述访问密钥服务器请求临时访问密钥,通过临时访问密钥访问所述目标位置;
所述密钥中心用于根据所述第一请求数据反馈相应的第二请求数据给所述控制台。
15.如权利要求14所述的访问系统,其特征在于,所述预存的第一请求数据是加密的密钥;
所述密钥中心根据所述第一请求数据反馈相应的密钥给所述控制台包括:
所述密钥中心对控制台所发送的所述预存的第一请求数据进行解密;将解密所获得的结果作为第二请求数据反馈给所述控制台。
16.如权利要求15所述的访问系统,其特征在于:
不同产品所对应的第一请求数据、第二请求数据及临时访问密钥不同;通过一个产品的临时访问密钥仅能调用该产品对应的接口;
所述根据收到的第二请求数据向访问密钥服务器请求临时访问密钥包括:
所述控制台根据获取到的产品对应的第二请求数据,向访问密钥服务器请求所述产品对应的临时访问密钥;
所述控制台通过临时访问密钥访问所述目标位置包括:
所述控制台通过请求到的产品对应的临时访问密钥,调用所述产品对应的接口访问所述目标位置。
17.一种用于进行访问的电子设备,包括:存储器和处理器;
其特征在于:
所述存储器用于保存用于进行访问的程序;所述用于进行访问的程序在被所述处理器读取执行时,执行如下操作:
当需要访问目标位置时,根据预存的第一请求数据从第一密钥服务器获取第二请求数据;
根据获取到的第二请求数据,从第二密钥服务器请求临时访问密钥;
通过临时访问密钥访问所述目标位置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710752395.4A CN109426734A (zh) | 2017-08-28 | 2017-08-28 | 一种访问方法、装置、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710752395.4A CN109426734A (zh) | 2017-08-28 | 2017-08-28 | 一种访问方法、装置、系统及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109426734A true CN109426734A (zh) | 2019-03-05 |
Family
ID=65502685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710752395.4A Pending CN109426734A (zh) | 2017-08-28 | 2017-08-28 | 一种访问方法、装置、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109426734A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605137A (zh) * | 2009-07-10 | 2009-12-16 | 中国科学技术大学 | 安全分布式文件系统 |
| CN103236931A (zh) * | 2013-05-02 | 2013-08-07 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于tpm的身份验证方法及系统以及相关设备 |
| CN103366101A (zh) * | 2012-04-10 | 2013-10-23 | 西部数据技术公司 | 提供内容到智能存储器的数字版权管理系统和方法 |
| CN104618096A (zh) * | 2014-12-30 | 2015-05-13 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
| CN104618369A (zh) * | 2015-01-27 | 2015-05-13 | 广州市戴为智能科技有限公司 | 一种基于OAuth的物联网设备唯一授权方法、装置及系统 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN105122265A (zh) * | 2013-02-12 | 2015-12-02 | 亚马逊技术股份有限公司 | 数据安全服务系统 |
| CN106209735A (zh) * | 2015-04-30 | 2016-12-07 | 中国移动通信集团公司 | 一种信息处理方法、装置及电子健康档案系统 |
| CN106682028A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及系统 |
| CN107026847A (zh) * | 2017-02-09 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 一种信任登录方法、服务器及系统 |
-
2017
- 2017-08-28 CN CN201710752395.4A patent/CN109426734A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605137A (zh) * | 2009-07-10 | 2009-12-16 | 中国科学技术大学 | 安全分布式文件系统 |
| CN103366101A (zh) * | 2012-04-10 | 2013-10-23 | 西部数据技术公司 | 提供内容到智能存储器的数字版权管理系统和方法 |
| CN105122265A (zh) * | 2013-02-12 | 2015-12-02 | 亚马逊技术股份有限公司 | 数据安全服务系统 |
| CN103236931A (zh) * | 2013-05-02 | 2013-08-07 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于tpm的身份验证方法及系统以及相关设备 |
| CN104618096A (zh) * | 2014-12-30 | 2015-05-13 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
| CN104618369A (zh) * | 2015-01-27 | 2015-05-13 | 广州市戴为智能科技有限公司 | 一种基于OAuth的物联网设备唯一授权方法、装置及系统 |
| CN106209735A (zh) * | 2015-04-30 | 2016-12-07 | 中国移动通信集团公司 | 一种信息处理方法、装置及电子健康档案系统 |
| CN105007279A (zh) * | 2015-08-04 | 2015-10-28 | 北京百度网讯科技有限公司 | 认证方法和认证系统 |
| CN106682028A (zh) * | 2015-11-10 | 2017-05-17 | 阿里巴巴集团控股有限公司 | 获取网页应用的方法、装置及系统 |
| CN107026847A (zh) * | 2017-02-09 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 一种信任登录方法、服务器及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3029591B1 (en) | Method for unlocking administration authority and device for authentication | |
| CN101366242B (zh) | 分区通信系统 | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| CN108111604A (zh) | 区块链共识方法、装置和系统、标识信息处理方法和装置 | |
| JP7421771B2 (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| JP2013532394A (ja) | 複数のクライアントを有する電子ネットワークにおける遠隔保守のためのシステム及び方法 | |
| CN104735484B (zh) | 一种播放视频的方法及装置 | |
| CN111460400B (zh) | 一种数据处理方法、装置及计算机可读存储介质 | |
| CN106713276B (zh) | 一种基于授权认证的数据获取方法及其系统 | |
| CN104079568A (zh) | 基于云存储技术防止文件泄密的方法及系统 | |
| US11606209B2 (en) | Blockchain based access control using time-dependent obfuscation of access tokens | |
| US20210112126A1 (en) | Wireless event correlation using anonymous data | |
| CN107135085A (zh) | 定向流量的统计控制方法、系统 | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| CN109379345A (zh) | 敏感信息传输方法及系统 | |
| CN114500119B (zh) | 区块链服务的调用方法和装置 | |
| CN112764913A (zh) | 服务熔断方法和装置、存储介质及电子设备 | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| CN106909826A (zh) | 口令代填装置及系统 | |
| US20240086562A1 (en) | User data management method and related device | |
| CN111885057B (zh) | 消息中间件访问方法、装置、设备及存储介质 | |
| CN111147235B (zh) | 对象访问方法、装置、电子设备及机器可读存储介质 | |
| WO2016074781A1 (en) | Method and server for providing transaction keys | |
| CN108055356A (zh) | 一种信息处理方法、服务器、客户端及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190305 |
|
| RJ01 | Rejection of invention patent application after publication |