CN113114610A - 一种取流方法、装置及设备 - Google Patents

Abstract

本说明书实施例提供一种取流方法、装置及设备。所述方法包括：在客户端从出流设备读取数据流时，使用出流设备的设备验证码和客户端的用户公钥进行双向认证，并在双向认证通过之后，将对应数据流传输给客户端。由此，可确保双方身份的合法性，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的。

Description

一种取流方法、装置及设备

技术领域

本文件涉及计算机技术领域，尤其涉及一种取流方法、装置及设备。

背景技术

取流是指从出流设备处读取数据流的过程。目前的取流方式包括通过云端转发数据流，或者，客户端与出流设备直连进行取流，又或者，通过P2P方式取流。而不同的取流方式可能会造成数据流将流经不同的节点，这些节点中可能包含恶意节点，进而导致用户隐私被窃取。

因此，需要更可靠的方案。

发明内容

本说明书实施例提供一种取流方法、装置及设备，用以确保数据流的取流安全性。

本说明书实施例还提供一种取流方法，包括：

出流设备接收客户端发送的取流请求，所述取流请求用于请求读取目标数据流；

基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；

若验证结果为通过，则向所述客户端发送身份证明信息，供所述客户端验证所述出流设备的身份，所述身份证明信息基于所述出流设备的设备验证码生成；

接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

本说明书实施例还提供一种取流方法，包括：

客户端向出流设备发送取流请求，所述取流请求用于请求读取目标数据流；

接收所述出流设备返回的身份证明信息，所述身份证明信息为所述出流设备使用所述客户端的用户公钥确认所述客户端的身份之后返回的，所述身份证明信息基于所述出流设备的设备验证码生成；

使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份；

若验证结果为通过，则向所述出流设备返回身份确认消息。

本说明书实施例还提供一种取流装置，包括：

接收模块，用于接收客户端发送的取流请求，所述取流请求用于请求读取目标数据流；

验证模块，用于基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；

发送模块，用于若验证结果为通过，则向所述客户端发送身份证明信息，供所述客户端验证所述出流设备的身份，所述身份证明信息基于所述出流设备的设备验证码生成；

传输模块，用于接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

本说明书实施例还提供一种取流装置，包括：

发送模块，用于向出流设备发送取流请求，所述取流请求用于请求读取目标数据流；

接收模块，用于接收所述出流设备返回的身份证明信息，所述身份证明信息为所述出流设备使用所述客户端的用户公钥确认所述客户端的身份之后返回的，所述身份证明信息基于所述出流设备的设备验证码生成；

验证模块，用于使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份；

确认模块，用于若验证结果为通过，则向所述出流设备返回身份确认消息。

本说明书实施例还提供一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行如上述的方法的步骤。

本说明书实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述的方法的步骤。

本说明书实施例还提供一种取流系统，其特征在于，包括：出流设备和客户端，其中：

所述客户端，用于向所述出流设备发送取流请求，所述取流请求用于请求读取目标数据流；接收所述出流设备返回的身份证明信息；使用所述出流设备的标准设备验证码和所述身份证明信息，验证所述出流设备的身份；若验证结果为通过，则向所述出流设备返回身份确认消息；

所述出流设备，用于基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；若验证结果为通过，则向所述客户端发送身份证明信息；接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

本说明书实施例采用上述任意一种技术方案，通过在客户端从出流设备读取数据流时，使用出流设备的设备验证码和客户端的用户公钥进行双向认证，并在双向认证通过之后，将对应数据流传输给客户端。由此，可确保双方身份的合法性，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的。

附图说明

此处所说明的附图用来提供对本说明书的进一步理解，构成本说明书的一部分，本说明书的示意性实施例及其说明用于解释本说明书，并不构成对本说明书的不当限定。在附图中：

图1为本说明书提供的一种应用场景的示意图；

图2为本说明书一实施例提供的一种取流方法的流程示意图；

图3为本说明书一实施例提供的用户公钥传输流程的示意图；

图4为本说明书另一实施例提供的一种取流方法的流程示意图；

图5为本说明书又一实施例提供的一种取流方法的流程示意图；

图6为本说明书一实施例提供的一种取流装置的结构示意图；

图7为本说明书另一实施例提供的一种取流装置的结构示意图；

图8为本说明书一实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本说明书的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本文件保护的范围。

下面参见图1对本说明书的应用场景进行示例性说明。

本应用场景中包括：客户端101和出流设备102，可选的可能还包括出流设备102的存储器103，其中：

客户端101，用于向出流设备102发送取流请求，以请求读取指定的数据流；

出流设备102，用于采集并存储前端设备传输的(如图像采集装置、音视频采集装置等)数据流；响应所述取流请求，将所述指定的数据流传输给所述客户端101；其中，数据流可存储于存储器103中。

其中，所述客户端101可以是指用户使用的终端设备，也可以是指安装于用户使用的终端设备中的指定应用程序，所述终端设备可以是PC，也可以是移动终端(如智能手机、平板电脑等)；出流设备102是指为客户端101提供数据流读、写、下载等访问服务的设备，其可以是相对于前端设备的后端设备如前端的AI智能摄像头设备IPC、后端的网络视频录像机(Network Video Recorder，NVR)或硬盘录像机(Digital Video Recorder，DVR)，也可以是远端服务器；数据流是指一组有序，有起点和终点的字节的数据序列，其具体类型与前端设备和出流设备102可支持传输的数据格式相对应，如前端设备为 IPC、出流设备102为NVR/DVR时，数据流可以是音频流流。

以下结合附图，详细说明本说明书各实施例提供的技术方案。

图2为本说明书一实施例提供的一种取流方法的流程示意图，可由图1中的出流设备执行，参见图2，所述方法具体可以包括如下步骤：

步骤202、出流设备接收客户端发送的取流请求，所述取流请求用于请求读取目标数据流；

其中，所述取流请求中可包括取流信令，所述取流信令用于标识所述目标数据流，所述取流信令中具体可携带数据流编号、需要传输的起始点和终止点等。

步骤204、基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；

其中，所述取流请求中还可包括信令签名，所述信令签名基于所述客户端的用户私钥生成，签名形式可以为：信令签名＝签名算法(用户私钥，取流信令)，此处对签名算法不做限定。

需要说明的是，步骤204的一种实现方式可以为：

基于所述客户端的用户公钥和所述信令签名，验证所述客户端的身份；若所述客户端的身份通过验证，则确认所述客户端身份合法且所述取流信令有效，并执行后续步骤；若所述客户端的身份未通过验证，则确认所述客户端身份不合法且所述取流信令无效，可直接拒绝所述取流请求。

本说明书实施例在此示出了上述步骤204的一种具体实现方式。当然，应理解，步骤204也可以采用其它的方式实现，本申请实施例对此不作限制。基于此，本说明书实施例通过使用用户私钥进行取流信令的签名，使用用户公钥验证所述客户端的身份，以确认所述取流信令的有效性，从而可有效验证所述客户端的身份合法性

另外，不难理解的是，在步骤204之前，方法还包括：获取所述用户公钥的步骤，参见图3，该步骤的第一种实现方式可以为：

从移动介质中读取所述客户端的用户公钥。具体可以示例为：

客户端本地生成用户公私钥对，包括用户公钥和用户私钥；导出所述用户公钥到移动介质；通过移动介质和所述出流设备的数据接口(如USB插卡) 将用户公钥导入所述出流设备；所述出流设备将所述用户公钥存储于闪存中。

参见图3，获取所述用户公钥的步骤的另一种实现方式可以为：

从云端访问所述客户端的用户公钥。具体可以示例为：

客户端本地生成用户公私钥对，包括用户公钥和用户私钥；客户端将用户公钥上报至云端；出流设备通过云端获取所述用户设备，并将所述用户公钥存储于闪存中。

本说明书实施例在此示出了上述获取所述用户公钥的步骤的两种具体实现方式。当然，应理解，该步骤也可以采用其它的方式实现，本申请实施例对此不作限制。基于此，本说明书实施例通过使用移动介质或云端进行所述用户公钥的传输，可确保公钥不会被恶意替换，从而避免数据流被泄露。

步骤206、若验证结果为通过，则向所述客户端发送身份证明信息，供所述客户端验证所述出流设备的身份，所述身份证明信息基于所述出流设备的设备验证码生成；其一种实现方式可以为：

所述出流设备在所述客户端的身份通过验证之后，生成设备公私钥对，包括设备公钥和设备私钥；使用所述设备验证码加密所述设备公钥，生成身份证明信息。

其中，所述设备验证码可以是指所述出流设备的唯一标识符，如设备出厂的标识符；加密所述设备公钥使用的算法优选为对称加密算法。

本说明书实施例在此示出了上述步骤206的一种具体实现方式。当然，应理解，步骤206也可以采用其它的方式实现，本申请实施例对此不作限制。基于此，本说明书实施例通过使用设备验证码和设备公钥生成出流设备的身份证明信息，以供所述客户端进行身份认证，从而可有效验证所述出流设备的身份合法性

步骤208、接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流，所述身份确认消息用于表征所述客户端确认所述出流设备的身份通过验证。

具体地，所述出流设备若接收到身份确认消息，则说明所述客户端也已确认所述出流设备的身份合法；也就是说，所述客户端和所述出流设备双方均确认对方的身份各方，即完成双向认证，进而，所述出流设备可进行数据流的创术。

可见，本说明书实施例通过在客户端从出流设备读取数据流时，使用出流设备的设备验证码和客户端的用户公钥进行双向认证，并在双向认证通过之后，将对应数据流传输给客户端。由此，可确保双方身份的合法性，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的。

图4为本说明书另一实施例提供的一种取流方法的流程示意图，可由图1 中的客户端执行，参见图4，所述方法具体可以包括如下步骤：

步骤402、客户端向出流设备发送取流请求，所述取流请求用于请求读取目标数据流；

具体地，在客户端和出流设备完成配对之后，用户通过操作所述客户端选择需要从所述出流设备读取的数据流，然后，由客户端生成取流请求并发送给所述出流请求。

步骤404、接收所述出流设备返回的身份证明信息，所述身份证明信息为所述出流设备使用所述客户端的用户公钥确认所述客户端的身份之后返回的，所述身份证明信息基于所述出流设备的设备验证码生成；

结合图2对应的实施例，也就是说，在所述出流设备确认所述客户端的身份合法之后，将生成所述出流设备的身份证明信息并提供给所述客户端；由所述客户端通过所述身份证明信息验证所述出流设备的身份合法性。

步骤406、使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份；

假设所述身份证明信息为所述出流设备使用所述设备验证码加密所述设备公钥生成的，则步骤步骤406的一种实现方式可以为：

使用所述标准设备验证码解密所述身份证明信息，所述标准设备验证码为默认的所述出流设备正确的设备验证码；若解密成功，则说明加密使用的设备验证码和所述标准设备验证码相匹配，可确定所述出流设备的身份通过验证；否则，说明加密使用的设备验证码和所述标准设备验证码不匹配，可能是其他人恶意发起的身份验证，可拒绝通过验证。具体可以示例为：

示例1、所述客户端接收到来自出流设备的身份证明信息之后，指示用户输入设备验证码，记为标准设备验证码；然后，使用输入的设备验证码解密身份证明信息；若解密成功，则确认输入的设备验证码和加密使用的设备验证码相匹配；否则确认两者不匹配。

其中，用户输入设备验证码的方式包括但不限于手动输入、扫码输入、语音输入。

示例2、在所述客户端与所述出流设备建立连接之后，所述出流设备将其设备验证码发送给所述客户端，所述客户端接收并存储所述设备验证码，记为标准设备验证码；然后，所述客户端接收到来自出流设备的身份证明信息之后，读取之前存储的设备验证码，并使用之前存储的设备验证码解密身份证明信息；若解密成功，则确认之前存储的设备验证码和加密使用的设备验证码相匹配；否则确认两者不匹配。

本说明书实施例在此示出了上述步骤406的一种具体实现方式。当然，应理解，步骤406也可以采用其它的方式实现，本申请实施例对此不作限制。基于此，本说明书实施例通过设置标准设备验证码，并使用设备验证码验证所述出流设备的身份，从而可有效验证所述出流设备的身份合法性。

步骤408、若验证结果为通过，则向所述出流设备返回身份确认消息，所述身份确认消息用于表征所述客户端已验证通过所述出流设备的身份。

可见，本说明书实施例通过在客户端从出流设备读取数据流时，使用出流设备的设备验证码和客户端的用户公钥进行双向认证，并在双向认证通过之后，将对应数据流传输给客户端。由此，可确保双方身份的合法性，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的。

图5为本说明书又一实施例提供的一种取流方法的流程示意图，参见图5，所述方法具体可以包括如下步骤：

步骤502、出流设备获取客户端的用户公钥；具体可以示例为：

示例1、在出流设备和客户端配对之后，客户端向出流设备发送字符串；客户端生成用户公私钥对，并将用户公钥上报给云端管理平台；出流设备可凭借该字符串从云端管理平台查询的客户端的用户公钥。

示例2、出流设备通过移动介质所述用户公钥。

步骤504、客户端向出流设备发送取流请求；

其中，所述取流请求包括取流信令和信令签名，信令签名方式如下：

信令签名＝签名算法(用户私钥，取流信令)；

所述签名算法可以为椭圆曲线数字签名算法(Elliptic Curve DigitalSignature Algorithm，ECDSA)、非对称加密算法等。

步骤506、出流设备基于所述用户公钥，验证所述取流信令的真实性；

具体地，若使用用户公钥，验证所述信令签名；若验证通过，则认为所述客户端的身份合法，并确定所述取流信令真实，执行步骤508；否则，可直接拒绝响应所述取流请求。

步骤508、出流设备生成设备公私钥对，并使用设备验证码对设备公钥进行加密，得到身份证明信息；其中，加密算法可使用对称加密。

步骤510、出流设备将所述身份证明信息发送给所述客户端；

步骤512、出流设备使用设备私钥和用户公钥并结合密钥交换算法生成第一加密密钥并发送给客户端；

其中，所述密钥交换算法为统称，通常包括椭圆曲线迪菲-赫尔曼秘钥交换(Elliptic Curve Diffie–Hellman key Exchange，ECDH)、Diffie-Hellman等。

步骤512、客户端验证所述出流设备的身份；

具体地，客户端可利用设备验证码解密出设备公钥，此处设备验证码可由用户手动输入，或在设备初始化阶段由设备发送给客户端。

步骤514、客户端使用用户私钥和解密出的设备公钥，利用密钥交换算法生成第二加密密钥并发送给所述出流设备；

其中，所述密钥交换算法为统称，通常包括ECDH、DH等。

步骤516、出流设备和客户端分别进行第一加密密钥和所述第二加密密钥的一致性判断并相互通知判断结果；

不难理解的是，若判断出所述第一加密密钥和所述第二加密密钥相匹配相匹配，客户端可向所述出流设备发送匹配确认消息，以告知出流设备所述客户端确认所述第一加密密钥和所述第二加密密钥相匹配；出流设备若判断出所述第一加密密钥和所述第二加密密钥相匹配且接收所述客户端发送的匹配确认消息，则允许传输所述目标数据流。

步骤516、出流设备使用加密密钥和对称加密算法对数据流进行加密传输。

可见，本说明书实施例一方面，利用移动介质传输用户公钥，确保公钥不会被恶意替换；另一方面，利用设备验证码和用户公钥完成双向认证，确保双方身份合法，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的；又一方面，可以极低的成本在出流设备上实现端到端加密，满足用户对于安全性的要求。

图6为本说明书一实施例提供的一种取流装置的结构示意图，参见图6，所述装置具体可以包括：接收模块601、验证模块602、发送模块603以及传输模块604，其中：

接收模块601，用于接收客户端发送的取流请求，所述取流请求用于请求读取目标数据流；

验证模块602，用于基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；

发送模块603，用于若验证结果为通过，则向所述客户端发送身份证明信息，供所述客户端验证所述出流设备的身份，所述身份证明信息基于所述出流设备的设备验证码生成；

传输模块604，用于接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

可选的，装置还包括：

获取模块，用于从移动介质中读取所述客户端的用户公钥；或者，从云端访问所述客户端的用户公钥；

存储模块，用于将所述用户公钥存储于闪存中。

可选的，所述取流请求包括取流信令和信令签名，所述取流信令用于标识所述目标数据流，所述信令签名基于所述客户端的用户私钥生成；

其中，所述验证模块602，具体用于：

基于所述客户端的用户公钥和所述信令签名，验证所述客户端的身份。

可选的，装置还包括：

第一生成模块，用于生成所述出流设备的设备私钥和设备公钥；

第二生成模块，用于使用所述设备验证码加密所述设备公钥，生成身份证明信息。

可选的，装置还包括：

第三生成模块，用于基于所述用户公钥和所述设备私钥，生成第一加密密钥并发送给所述客户端；

密钥接收模块，用于接收所述客户端发送的第二加密密钥，所述第二加密密钥基于所述客户端的用户私钥和所述设备公钥生成；

处理模块，用于若所述第一加密密钥和所述第二加密密钥相匹配且接收所述客户端发送的匹配确认消息，则允许传输所述目标数据流，所述匹配确认消息用于表征所述客户端确认所述第一加密密钥和所述第二加密密钥相匹配。

可见，本说明书实施例通过在客户端从出流设备读取数据流时，使用出流设备的设备验证码和客户端的用户公钥进行双向认证，并在双向认证通过之后，将对应数据流传输给客户端。由此，可确保双方身份的合法性，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的。

图7为本说明书另一实施例提供的一种取流装置的结构示意图，参见图7，所述装置具体可以包括：发送模块701、接收模块702、验证模块703以及确认模块704，其中：

发送模块701，用于向出流设备发送取流请求，所述取流请求用于请求读取目标数据流；

接收模块702，用于接收所述出流设备返回的身份证明信息，所述身份证明信息为所述出流设备使用所述客户端的用户公钥确认所述客户端的身份之后返回的，所述身份证明信息基于所述出流设备的设备验证码生成；

验证模块703，用于使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份；

确认模块704，用于若验证结果为通过，则向所述出流设备返回身份确认消息。

可选的，所述身份证明信息为使用所述设备验证码加密所述设备公钥生成的；

其中，验证模块703，具体用于：

使用所述标准设备验证码解密所述身份证明信息；若解密成功，则确定所述出流设备的身份通过验证。

可选的，装置还包括：

生成模块，用于使用解密出的所述设备公钥和所述客户端的用户私钥，生成第二加密密钥并发送给所述出流设备；

密钥接收模块，用于接收所述出流设备发送的第一加密密钥；

处理模块，用于若所述第一加密密钥和所述第二加密密钥相匹配，则向所述出流设备发送匹配确认消息。

可见，本说明书实施例通过在客户端从出流设备读取数据流时，使用出流设备的设备验证码和客户端的用户公钥进行双向认证，并在双向认证通过之后，将对应数据流传输给客户端。由此，可确保双方身份的合法性，从而有效防止数据流经的恶意节点的攻击和身份伪造攻击，达到确保数据安全的目的。

另外，对于上述装置实施方式而言，由于其与方法实施方式基本相似，所以描述的比较简单，相关之处参见方法实施方式的部分说明即可。应当注意的是，在本说明书的装置的各个部件中，根据其要实现的功能而对其中的部件进行了逻辑划分，但是，本说明书不受限于此，可以根据需要对各个部件进行重新划分或者组合。

图8为本说明书一实施例提供的一种电子设备的结构示意图，参见图8，该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成取流装置。当然，除了软件实现方式之外，本说明书并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

网络接口、处理器和存储器可以通过总线系统相互连接。总线可以是 ISA(Industry Standard Architecture，工业标准体系结构)总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器可能包含高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器。

处理器，用于执行所述存储器存放的程序，并具体执行：

接收客户端发送的取流请求，所述取流请求用于请求读取目标数据流；

基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；

若验证结果为通过，则向所述客户端发送身份证明信息，供所述客户端验证所述出流设备的身份，所述身份证明信息基于所述出流设备的设备验证码生成；

接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

或者，

向出流设备发送取流请求，所述取流请求用于请求读取目标数据流；

接收所述出流设备返回的身份证明信息，所述身份证明信息为所述出流设备使用所述客户端的用户公钥确认所述客户端的身份之后返回的，所述身份证明信息基于所述出流设备的设备验证码生成；

使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份；

若验证结果为通过，则向所述出流设备返回身份确认消息。

上述如本说明书图6-7所示实施例揭示的取流装置或管理者(Master)节点执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(CentralProcessing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific IntegratedCircuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

取流装置还可执行图2-5的方法，并实现管理者节点执行的方法。

基于相同的发明创造，本说明书实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行图2-5对应的实施例提供的取流装置。

进一步地，结合图1，本说明书实施例还提供了一种取流系统，包括：出流设备102和客户端101，其中：

所述客户端101，用于向所述出流设备102发送取流请求，所述取流请求用于请求读取目标数据流；接收所述出流设备102返回的身份证明信息；使用所述出流设备的标准设备验证码和所述身份证明信息，验证所述出流设备102 的身份；若验证结果为通过，则向所述出流设备102返回身份确认消息；

所述出流设备102，用于基于所述客户端101的用户公钥和所述取流请求，验证所述客户端101的身份；若验证结果为通过，则向所述客户端101发送身份证明信息；接收到所述客户端101返回的身份确认消息时，向所述客户端101 传输所述目标数据流。

其中，所述出流设备102和所述客户端101的工作原理分别与图2对应的实施例和图4对应的实施例相似，故，此处不再对所述出流设备102和所述客户端101进行展开说明。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域内的技术人员应明白，本说明书的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器 (RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器 (CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本说明书的实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。

Claims (11)

1.一种取流方法，其特征在于，包括：

出流设备接收客户端发送的取流请求，所述取流请求用于请求读取目标数据流；

基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；

若验证结果为通过，则向所述客户端发送身份证明信息，供所述客户端验证所述出流设备的身份，所述身份证明信息基于所述出流设备的设备验证码生成；

接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

2.根据权利要求1所述的方法，其特征在于，在所述验证所述客户端的身份之前，还包括：

从移动介质中读取所述客户端的用户公钥；或者，从云端访问所述客户端的用户公钥；

将所述用户公钥存储于闪存中。

3.根据权利要求1所述的方法，其特征在于，所述取流请求包括取流信令和信令签名，所述取流信令用于标识所述目标数据流，所述信令签名基于所述客户端的用户私钥生成；

其中，所述基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份，包括：

基于所述客户端的用户公钥和所述信令签名，验证所述客户端的身份。

4.根据权利要求1所述的方法，其特征在于，在所述向所述客户端发送身份证明信息之前，还包括：

生成所述出流设备的设备私钥和设备公钥；

使用所述设备验证码加密所述设备公钥，生成身份证明信息。

5.根据权利要求4所述的方法，其特征在于，在所述向所述客户端传输所述目标数据流之前，还包括：

基于所述用户公钥和所述设备私钥，生成第一加密密钥并发送给所述客户端；

接收所述客户端发送的第二加密密钥，所述第二加密密钥基于所述客户端的用户私钥和所述设备公钥生成；

若所述第一加密密钥和所述第二加密密钥相匹配且接收所述客户端发送的匹配确认消息，则允许传输所述目标数据流，所述匹配确认消息用于表征所述客户端确认所述第一加密密钥和所述第二加密密钥相匹配。

6.一种取流方法，其特征在于，包括：

客户端向出流设备发送取流请求，所述取流请求用于请求读取目标数据流；

接收所述出流设备返回的身份证明信息，所述身份证明信息为所述出流设备使用所述客户端的用户公钥确认所述客户端的身份之后返回的，所述身份证明信息基于所述出流设备的设备验证码生成；

使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份；

若验证结果为通过，则向所述出流设备返回身份确认消息。

7.根据权利要求6所述的方法，其特征在于，所述身份证明信息为使用所述设备验证码加密所述设备公钥生成的；

其中，所述使用标准设备验证码和所述身份证明信息，验证所述出流设备的身份，包括：

使用所述标准设备验证码解密所述身份证明信息；

若解密成功，则确定所述出流设备的身份通过验证。

8.根据权利要求7所述的方法，其特征在于，还包括：

使用解密出的所述设备公钥和所述客户端的用户私钥，生成第二加密密钥并发送给所述出流设备；

接收所述出流设备发送的第一加密密钥；

若所述第一加密密钥和所述第二加密密钥相匹配，则向所述出流设备发送匹配确认消息。

9.一种电子设备，其特征在于，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行如权利要求1至8中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的方法的步骤。

11.一种取流系统，其特征在于，包括：出流设备和客户端，其中：

所述客户端，用于向所述出流设备发送取流请求，所述取流请求用于请求读取目标数据流；接收所述出流设备返回的身份证明信息；使用所述出流设备的标准设备验证码和所述身份证明信息，验证所述出流设备的身份；若验证结果为通过，则向所述出流设备返回身份确认消息；

所述出流设备，用于基于所述客户端的用户公钥和所述取流请求，验证所述客户端的身份；若验证结果为通过，则向所述客户端发送身份证明信息；接收到所述客户端返回的身份确认消息时，向所述客户端传输所述目标数据流。

Images