CN115001743A - 访问方法、装置以及系统 - Google Patents

访问方法、装置以及系统 Download PDF

Info

Publication number
CN115001743A
CN115001743A CN202210453904.4A CN202210453904A CN115001743A CN 115001743 A CN115001743 A CN 115001743A CN 202210453904 A CN202210453904 A CN 202210453904A CN 115001743 A CN115001743 A CN 115001743A
Authority
CN
China
Prior art keywords
information
source address
signature information
access request
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210453904.4A
Other languages
English (en)
Other versions
CN115001743B (zh
Inventor
肖国平
何振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba China Co Ltd
Original Assignee
Alibaba China Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba China Co Ltd filed Critical Alibaba China Co Ltd
Priority to CN202210453904.4A priority Critical patent/CN115001743B/zh
Publication of CN115001743A publication Critical patent/CN115001743A/zh
Application granted granted Critical
Publication of CN115001743B publication Critical patent/CN115001743B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本说明书实施例提供访问方法、装置以及系统,其中所述访问方法,应用于服务端,包括:接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。本方法可以有效地避免服务端数据泄露。

Description

访问方法、装置以及系统
技术领域
本说明书实施例涉及信息安全技术领域,特别涉及访问方法。
背景技术
对象存储产品是各个主流的云计算厂商向外提供的一种数据存储服务,具有海量、安全、低成本、高可靠、可弹性扩展等各种优点,是互联网的一种基础设施服务。随着企业上云逐渐成为一种趋势,越来越多的企业或者个人用户将数据存储于云端,用户可以通过云服务管理平台访问资源,然而并非各个用户都具备访问资源的资格,因此需要对访问用户进行鉴权,以确定该用户是否有访问权限。
现有技术中,大多数的用户有通过对象存储的预签名方式分享数据。但是这种分发方式具有较大的泄漏的风险,一旦签名被截取或泄漏,其他人就可以通过该签名直接访问资源,甚至覆盖修改资源,带来资源损失风险和数字财产安全隐患。因此,亟需一种有效的方案以解决上述问题。
发明内容
有鉴于此,本说明书实施例提供了访问方法。本说明书一个或者多个实施例同时涉及访问装置,一种访问系统,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种访问方法,应用于服务端,包括:
接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;
获取所述访问请求对应的源地址信息和第一加密算法;
根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;
将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
可选地,所述根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息之前,还包括:
判断所述源地址信息是否为授权地址信息;
所述根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息,包括:
若是,则根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息。
可选地,所述源地址信息包括源地址;
所述获取所述访问请求对应的源地址信息,包括:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址。
可选地,所述访问请求还包含源网络信息,所述源地址信息包括源地址和所述源网络信息;
所述获取所述访问请求对应的源地址信息,包括:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址;
提取所述访问请求中的源网络信息。
可选地,所述获取所述访问请求对应的第一加密算法,包括:
从所述访问请求的预设区域中获取算法标识,其中,所述算法标识为生成第一签名信息所使用的第二加密算法的算法标识或者任一算法标识;
根据所述算法标识,确定所述第一加密算法。
可选地,所述根据对比结果确定是否允许访问,包括:
在对比结果为所述第一签名信息与所述第二签名信息相同的情况下,允许所述客户端访问;
在对比结果为所述第一签名信息与所述第二签名信息不同的情况下,拒绝所述客户端访问。
根据本说明书实施例的第二方面,提供了一种访问方法,包括:
客户端获取第一签名信息;基于所述第一签名信息,生成访问请求;向服务端发送所述访问请求;
所述服务端接收所述客户端发送的所述访问请求,获取所述访问请求对应的源地址信息和第一加密算法,根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息,根据所述第一签名信息与所述第二签名信息的对比结果确定是否允许访问。
可选地,所述客户端获取第一签名信息,包括:
所述客户端获取源地址信息和第二加密算法;基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息。
可选地,所述源地址信息包括源地址和源网络信息;
所述客户端基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息,包括:
所述客户端基于所述第二加密算法,对所述源地址和所述源网络信息进行加密,得到第一签名信息;
所述客户端基于所述第一签名信息,生成访问请求,包括:
所述客户端根据所述第一签名信息和所述源网络信息,生成携带有所述第一签名信息和所述源网络信息的访问请求。
可选地,所述向服务端发送所述访问请求之前,还包括:
获取所述第一加密算法的算法标识,将所述算法标识添加至所述访问请求的预设区域识。
根据本说明书实施例的第三方面,提供了一种访问装置,应用于服务端,包括:
接收模块,被配置为接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;
第一获取模块,被配置为获取所述访问请求对应的源地址信息和第一加密算法;
第一加密模块,被配置为根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;
对比模块,被配置为将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
根据本说明书实施例的第四方面,提供了一种访问系统,包括:
客户端和服务端;
所述客户端,用于获取第一签名信息;基于所述第一签名信息,生成访问请求;向所述服务端发送所述访问请求;
所述服务端,用于接收所述客户端发送的所述访问请求;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
根据本说明书实施例的第五方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述访问方法的步骤。
根据本说明书实施例的第六方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述访问方法的步骤。
根据本说明书实施例的第七方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述访问方法的步骤。
本说明书一个实施例提供了一种访问方法,应用于服务端,接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
附图说明
图1是本说明书一个实施例提供的一种访问方法的流程图;
图2是本说明书一个实施例提供的另一种访问方法的流程图;
图3是本说明书一个实施例提供的一种访问方法的处理过程流程图;
图4是本说明书一个实施例提供的另一种访问方法的处理过程流程图;
图5是本说明书一个实施例提供的一种访问装置的结构示意图;
图6是本说明书一个实施例提供的一种访问系统的结构示意图;
图7是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
专有网络VPC(Virtual Private Cloud)是用户创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS(Elastic Compute Service)、SLB(Server Load Balancing)、RDS(RelationalDatabase Service)等。
子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩,它用来指明一个IP(Internet Protocol,网际互连协议)地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。
OSS(Object Storage Service)即对象存储服务,是一种海量、安全、低成本、高可靠的云存储服务,适合存放任意类型的文件。为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、上传、下载、删除对象等。
然后对本说明书提供的访问方法进行简要说明。
对象存储产品是各个主流的云计算厂商向外提供的一种数据存储服务,具有海量、安全、低成本、高可靠、可弹性扩展等各种优点,是互联网的一种基础设施服务。随着企业上云逐渐成为一种趋势,越来越多的企业或者个人用户将数据存储于云端,用户可以通过云服务管理平台访问资源,然而并非各个用户都具备访问资源的资格,因此需要对访问用户进行鉴权,以确定该用户是否有访问权限。
现有技术中,大多数的用户有通过对象存储的预签名方式分享数据:oss通过使用账号(AccessKey ID)、密码(AccessKey Secret)对称加密的方法来验证某个请求的发送者身份,许多的用户会将oss签名后的统一资源定位系统(url,uniform resource locator)提供给其他终端/用户使用。但是这种分发方式具有较大的泄漏的风险,一旦签名被截取或泄漏,其他人就可以通过该签名直接访问资源,甚至覆盖修改资源,带来资源损失风险和数字财产安全隐患。
例如使用哈希签名,在访问请求中明文携带ip,容易暴露ip,容易产生风险。又如,在服务端配置相应的访问规则,访问请求到达服务端后查询规则并校验,但这样配置复杂,需要用户和服务端交互,且需要额外查询,影响访问速度。
因此,本说明书提供了一种访问方法,应用于服务端,接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
在本说明书中,提供了访问方法,本说明书同时涉及访问装置,一种访问系统,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图1,图1示出了本说明书一个实施例提供的一种访问方法的流程图,应用于服务端,具体包括以下步骤。
步骤102:接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息。
具体的,服务端是计算机的一种,在网络中为其它客户机(如个人计算机、智能手机等终端)提供计算或者应用服务,具有高速的核心处理器(CPU,central processingunit)运算能力、长时间的可靠运行、强大的外部数据吞吐能力以及更好的扩展性;客户端(Client)或称为用户端,是指与服务端相对应,为客户提供本地服务的程序;访问请求是指访问某些资源或数据而生成的请求;签名信息是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明;第一签名信息可以是客户端生成的签名信息,如客户端基于第二加密算法对客户端的源地址信息加密生成,还可以是客户端获取的其他客户端的生成的签名信息,如其他客户端基于第二加密算法对其他客户端的源地址信息加密生成。
实际应用中,用户需要通过服务端访问资源或者数据时,可以通过客户端生成对应的访问请求:用户通过客户端获取希望允许访问的源地址信息,也即客户端的源地址信息和第二加密算法,进而按照第二加密算法的加密规则,对源地址信息进行加密生成第一签名信息;还可以通过客户端获取其他客户端访问资源或者数据时的第一签名信息。之后,基于第一签名信息,生成包含第一签名信息或者携带第一签名信息的访问请求。之后,客户端将访问请求信息发送至服务端,也即服务端接收到客户端发送的访问请求。
例如,客户端获取到源地址信息和某哈希加密算法,然后利用该哈希加密算法对源地址信息进行加密,生成第一签名信息。然后在访问服务端或者云端资源时,基于第一签名信息生成访问请求,即在对服务器的http(超文本传输协议,Hyper Text TransferProtocol)请求中携带第一签名信息。此时,服务端接收到访问请求。
步骤104:获取所述访问请求对应的源地址信息和第一加密算法。
具体的,源地址信息是指客户端对应的信息,也即服务端获取的目标客户端访问服务端的信息,如访问网络信息、访问地址、来源ip地址等,源地址信息可以是用户自定义的访问信息;加密算法是指对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码为“密文”对应的算法,可以是对称式加密算法,如哈希加密算法、数据加密标准(DES,Data Encryption Standard)算法,还可以是非对称式加密算法;第一加密算法是指服务端对应的加密算法。
在接收到包含第一签名信息的访问请求之后,进一步地,基于访问请求获取源地址信息和第一加密算法。
实际应用中,服务端可以根据访问请求的来源,确定访问请求对应的源地址信息和第一加密算法,也即客户端的源地址信息和第一加密算法。
在本说明书一个或多个可选地实施例中,源地址信息可以包括源地址,此时可以获取问请求对应的源地址。也即在源地址信息包括源地址的情况下,所述获取所述访问请求对应的源地址信息,具体实现过程可以如下:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址。
具体的,传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,旨在适应支持多网络应用的分层协议层次结构;源地址是指传输访问协议实际使用的地址,也即客户端的ip地址。
实际应用中,服务端通过与客户端之间的传输控制协议来接收访问请求,因此,服务端可以通过传输控制协议来获取访问请求对应的源地址。如此,通过传输控制协议来获取源地址,有利于提高获取源地址的精确度和效率。
在本说明书一个或多个可选地实施例中,访问请求还包含源网络信息,源地址信息可以包括源地址和所述源网络信息,此时,可以获取问请求对应的源地址和源网络信息。也即在所述访问请求还包含源网络信息,所述源地址信息包括源地址和所述源网络信息的情况下,所述获取所述访问请求对应的源地址信息,具体实现过程可以如下:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址;
提取所述访问请求中的源网络信息。
具体的,传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,旨在适应支持多网络应用的分层协议层次结构;源地址是指传输访问协议实际使用的地址,也即客户端的地址;源网络信息是指与访问网络相关的信息,包括目标子网掩码和目标专有网络地址中的至少一个;其中专有网络地址是指vpc-id。
实际应用中,当客户端通过一些指定的网络来访问服务端时,源地址信息中将包含源网络信息,且在生成访问请求时,会将源网络信息携带在访问请求中。此时当服务端接收到访问请求后,服务端通过与客户端之间的传输控制协议来获取访问请求对应的源地址,并解析提取访问请求中的源网络信息。如此,通过传输控制协议来获取源地址,有利于提高获取源地址的精确度和效率,通过提取访问请求中携带的源网络信息,有利于提高确定源网络信息的效率,进而提高访问效率。
需要说明的是,为了保证加密后第一签名信息与第二签名信息的匹配性,访问请求对应的源地址信息与生成第一签名信息的源地址信息所包含的内容是一一对应的:以生成第一签名信息的源地址信息包含源地址为第一源地址、源网络信息为第一源网络信息,以访问请求对应的源地址信息包含源地址为第二源地址、源网络信息为第二源网络信息进行说明:当生成第一签名信息的源地址信息只包含第一源地址时,访问请求对应的源地址信息也只包含第二源地址;当生成第一签名信息的源地址信息包含第一源地址和第一源网络信息时,访问请求对应的源地址信息也包含第二源地址和第二源网络信息。此外,第一源网络信息与第二源网络信息的内容也是一一对应的:当第一源网络信息只包含第一源子网掩码时,第二源网络信息也只包含第二源子网掩码;当第一源网络信息只包含第一源专有网络地址时,第二源网络信息也只包含第二源专有网络地址;当第一源网络信息包含第一源子网掩码和第一源专有网络地址时,第二源网络信息也包含第二源子网掩码和第二源专有网络地址。且第一源地址可以是用户自定义的访问地址。
此外,服务端还可以对访问请求进行解析,以确定第一加密算法。也即所述获取所述访问请求对应的第一加密算法,具体实现过程可以如下:
从所述访问请求的预设区域中获取算法标识;其中,所述算法标识为生成第一签名信息所使用的第二加密算法的算法标识或者任一算法标识
根据所述算法标识,确定所述第一加密算法。
具体的,算法标识是指表征某算法的名称、标号等;第一加密算法是指服务端对应的加密算法;预设区域是指访问请求中的某个预先设置的区域,可以是协议头(header),可以是访问请求中的url query param,还可以是任意一个数据备份区,本说明书对此不作限定,访问请求中携带有算法标识即可。
实际应用中,客户端在基于第二加密算法对客户端的源地址信息加密生成第一签名信息,并基于第一签名信息生成访问请求时,会将第二加密算法的算法标识添加在访问请求的预设区域;或者客户端基于其他客户端生成的第一签名信息生成访问请求时,会将任一加密算法的算法标识,也即任一算法标识添加在访问请求的预设区域。在服务端接收到访问请求后,可以从访问请求的预设区域中提取到算法标识,进而根据算法标识确定第一加密算法。如此,可以保证服务端与客户端的加密算法保持一致,进行在第一签名信息对应的源地址信与访问请求对应的源地址信息相同的情况下,使用相同的加密算法,以保证第一签名信息和第二签名信息的一致性。
例如,第二加密算法为SHA-256哈希算法,SHA-256哈希算法的算法标识m,则客户端在生成访问请求时,会在访问请求的协议头(header)中存储算法标识m。在服务端接收到访问请求后,可以从访问请求的协议头中提取到算法标识m,进而根据算法标识m确定第一加密算法为SHA-256哈希算法。
步骤106:根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息。
在基于访问请求获取到源地址信息和第一加密算法的基础上,进一步地,根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息。
具体的,第二签名信息是指在服务端生成的签名信息。
实际应用中,在获得第一加密算法和源地址信息之后,进一步地,按照第一加密算法的加密策略,对源地址信息进行加密,得到第二签名信息。
沿用上例,基于SHA-256哈希算法,对访问请求对应的源地址信息进行加密,得到第二签名信息。
在本说明书一个或多个可选地实施例中,在根据第一加密算法对所述源地址信息进行加密之前,可以对源地址信息进行校验,若校验未通过,直接拒绝访问,若校验通过再根据第一加密算法对所述源地址信息进行加密。也即所述根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息之前,还包括:
判断所述源地址信息是否为授权访问信息;
相应地,所述根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息,包括:
若是,则根据所示第一加密算法对所述源地址信息进行加密,得到第二签名信息;
若否,则拒绝访问。
具体的,授权访问信息是指服务端授权许可的源地址信息,或者白名单中的源地址信息。
实际应用中,在获取到访问请求对应的源地址信息之后,先对源地址信息进行校验,即判断源地址信息是否为授权访问信息,若是,说明第一签名信息有可能为有效签名信息,则可以基于第一加密算法对所述源地址信息进行加密,得到第二签名信息,若否,则说明该源地址信息为非授权访问信息,第一签名信息为无效签名信息,可以直接拒绝该客户端访问。如此,通过对源地址信息进行校验,在源地址信息不是授权访问信息的情况下,直接拒绝访问,快速确定了非常正常访问,避免了对实际访问信息进行加密,减少了数据处理量,降低了资源消耗。
步骤108:将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
实际应用中,在得到了第二签名信息后,可以将第一签名信息与第二签名信息进行对比,然后查看对比结果是否符合预设的访问条件,如果符合,则允许客户端进行访问,如果不符合,则拒绝客户端访问。
在本说明书一个或多个可选地实施例中,为了保证数据的安全性,需要第一签名信息与第二签名信息一致时,才能允许访问。也即所述根据对比结果确定是否允许访问,具体实现过程可以如下:
在对比结果为所述第一签名信息与所述第二签名信息相同的情况下,允许所述客户端访问;
在对比结果为所述第一签名信息与所述第二签名信息不同的情况下,拒绝所述客户端访问。
实际应用中,在第一签名信息与第二签名信息完全相同时,也即对比结果为第一签名信息与第二签名信息相同的情况下,说明第一签名信息为有效签名信息,则允许客户端访问;在第一签名信息与第二签名信息不一致时,也即对比结果为第一签名信息与第二签名信息不同的情况下,说明第一签名信息为无效签名信息,则拒绝客户端访问。如此,避免了第一签名信息与第二签名信息高度相似但不同的情况下,被异常客户端访问服务端,导致数据泄露。
本说明书一个实施例提供了一种访问方法,应用于服务端,接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
参见图2,图2示出了本说明书一个实施例提供的另一种访问方法的流程图,具体包括以下步骤。
步骤202:客户端获取第一签名信息;基于所述第一签名信息,生成访问请求;向服务端发送所述访问请求。
具体的,客户端(Client)或称为用户端,是指与服务端相对应,为客户提供本地服务的程序;签名信息是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明;第一签名信息可以是客户端生成的签名信息,如客户端基于第二加密算法对客户端的源地址信息加密生成,还可以是客户端获取的其他客户端的生成的签名信息,如其他客户端基于第二加密算法对其他客户端的源地址信息加密生成;访问请求是指访问某些资源或数据而生成的请求。
实际应用中,用户需要通过服务端访问资源或者数据时,可以先通过客户端获取第一签名信息:用户通过客户端获取希望允许访问的源地址信息,也即客户端的源地址信息和第二加密算法,进而按照第二加密算法的加密规则,对源地址信息进行加密生成第一签名信息;还可以通过客户端获取其他客户端访问资源或者数据时的第一签名信息。然后客户端基于第一签名信息,生成包含第一签名信息或者携带第一签名信息的访问请求。之后,客户端将访问请求信息发送至服务端。
在本说明书一个或多个可选的实施例中,为了提高访问的成功率和效率,客户端需要基于客户端的源地址信息和预设的第二加密算法,生成第一签名信息。也即所述客户端获取第一签名信息,具体实现过程可以如下:
所述客户端获取源地址信息和第二加密算法;基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息。
具体的,源地址信息是指客户端对应的信息,也即服务端获取的目标客户端访问服务端的信息,如访问网络信息、访问地址、来源ip地址等,源地址信息可以是用户自定义的访问信息;加密算法是指对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码为“密文”对应的算法,可以是对称式加密算法,如哈希加密算法、数据加密标准(DES,Data Encryption Standard)算法,还可以是非对称式加密算法;第二加密算法是指客户端对应的加密算法。
实际应用中,用户可以需要通过服务端访问资源或者数据时,需要通过客户端获取希望允许访问的源地址信息和第二加密算法,也即客户端的源地址信息和预设的第二加密算法。在获得第二加密算法和源地址信息之后,进一步地,按照第二加密算法的加密策略,对源地址信息进行加密,得到第一签名信息。
在本说明书一个或多个可选地实施例中,源地址信息可以包括源地址和源网络信息,此时所述客户端基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息,具体实现过程可以如下:
所述客户端基于所述第二加密算法,对所述源地址和所述源网络信息进行加密,得到第一签名信息;
相应地,所述客户端基于所述第一签名信息,生成访问请求,包括:
所述客户端根据所述第一签名信息和所述源网络信息,生成携带有所述第一签名信息和所述源网络信息的访问请求。
具体的,源地址是指传输访问协议实际使用的地址,也即客户端的地址。源网络信息是指与访问网络相关的信息,包括目标子网掩码和目标专有网络地址中的至少一个;其中专有网络地址是指vpc-id。
实际应用中,客户端在获得第二加密算法、源地址和源网络信息之后,进一步地,按照第二加密算法的加密策略,对源地址和源网络信息进行加密,得到第一签名信息。如此,可以保证即使第一签名信息泄露或者被盗取,也无法获得源地址,从而保证了服务端数据的安全性。
进一步地,在源地址信息包括源地址和源网络信息时,为了在保证数据安全的同时,保证服务端能够获取源网络信息,在生成访问请求时可以将源网络信息和第一签名信息添加至访问请求中。当客户端访问服务端时,会在生成访问请求时,将第一签名信息和源网络信息携带在访问请求中,也即生成包含第一签名信息和源网络信息的访问请求。如此,可以保证即使第一签名信息泄露或者被盗取,也无法获得源地址,从而保证了服务端数据的安全性。将源网络信息携带在访问请求中,还保证了服务端能够获取到源网络信息。
需要说明的是,客户端在生成访问请求时,或者客户端向服务端发送所述访问请求之前,会将第二加密算法的算法标识添加在访问请求中,也即访问请求的预设区域。也即获取所述第二加密算法的算法标识,将所述算法标识添加至所述访问请求的预设区域。如此在服务端接收到访问请求后,可以从访问请求的预设区域中提取到算法标识,进而根据算法标识确定第一加密算法。如此,可以保证服务端与客户端的加密算法保持一致,进而在生成第一签名信息的源地址信息与访问请求对应的源地址信息相同的情况下,使用相同的加密算法,以保证第一签名信息和第二签名信息的一致性。
步骤204:所述服务端接收所述客户端发送的所述访问请求,获取所述访问请求对应的源地址信息和第一加密算法,根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息,根据所述第一签名信息与所述第二签名信息的对比结果确定是否允许访问。
具体的,第一加密算法是指服务端对应的加密算法;第二签名信息是指在服务端生成的签名信息。
实际应用中,客户端在生成访问请求后,将访问请求发送至服务端,则服务端接收客户端发送的访问请求。然后服务端可以根据访问请求的来源,确定访问请求对应的源地址信息和第一加密算法,进一步地,按照第一加密算法的加密策略,对实际访问信息进行加密,得到第二签名信息,将第一签名信息与第二签名信息进行对比,然后查看对比结果是否符合预设的访问条件,如果符合,则允许客户端进行访问,如果不符合,则拒绝客户端访问。
在本说明书一个或多个可选地实施例中,源地址信息可以包括源地址,此时可以获取问请求对应的源地址。也即在源地址信息包括源地址的情况下,所述服务端获取所述访问请求对应的源地址信息,可以为服务端根据接收所述访问请求所使用的传输控制协议,确定所述源地址。
在本说明书一个或多个可选地实施例中,访问请求还包含源网络信息,源地址信息可以包括源地址和所述源网络信息,此时,可以获取问请求对应的源地址和源网络信息。也即在所述访问请求还包含源网络信息,所述源地址信息包括源地址和所述源网络信息的情况下,所述服务端获取所述访问请求对应的源地址信息,可以为:服务端根据接收所述访问请求所使用的传输控制协议,确定所述源地址;提取所述访问请求中的源网络信息。
服务端还可以对访问请求进行解析,以确定第一加密算法。也即所述获取所述访问请求对应的第一加密算法,可以为:服务端从所述访问请求的预设区域中获取算法标识;其中,所述算法标识为生成第一签名信息所使用的第二加密算法的算法标识或者任一算法标识;根据所述算法标识,确定所述第一加密算法。
在本说明书一个或多个可选地实施例中,在服务端根据第一加密算法对所述源地址信息进行加密之前,可以对源地址信息进行校验,若校验未通过,直接拒绝访问,若校验通过再根据第一加密算法对所述源地址信息进行加密。也即所述服务端根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息之前,还可以:服务端判断所述源地址信息是否为授权访问信息;若是,则根据所示第一加密算法对所述源地址信息进行加密,得到第二签名信息;若否,则拒绝访问。
在本说明书一个或多个可选地实施例中,为了保证数据的安全性,需要第一签名信息与第二签名信息一致时,才能允许访问。也即所述服务端根据对比结果确定是否允许访问,可以为:在对比结果为所述第一签名信息与所述第二签名信息相同的情况下,服务端允许所述客户端访问;在对比结果为所述第一签名信息与所述第二签名信息不同的情况下,服务端拒绝所述客户端访问。
参见图3,图3示出了本说明书一个实施例提供的一种访问方法的处理过程流程图:客户端对源地址、子网掩码和专有网络地址进行哈希加密,得到第一签名信息;然后客户端生成携带有第一签名信息、专有网络地址、子网掩码的访问请求,并发送至服务端;接着服务端获取源地址以及访问请求中的专有网络地址和子网掩码,对源地址、专有网络地址和子网掩码进行哈希加密,得到第二签名信息;进一步地,服务端对比第一签名信息和第二签名信息,如果相同,则服务端允许访问,如果不相同,则服务端拒绝访问。
本说明书一个实施例提供了一种访问方法,应用于客户端,接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
上述为本实施例的另一种访问方法的示意性方案。需要说明的是,该访问方法的技术方案与上述的应用于服务端的访问方法的技术方案属于同一构思,该访问方法的技术方案未详细描述的细节内容,均可以参见上述应用于服务端的访问方法的技术方案的描述。
下述结合附图4,以本说明书提供的访问方法在实际场景中的应用为例,对所述访问方法进行进一步说明。其中,图4示出了本说明书一个实施例提供的另一种访问方法的处理过程流程图,具体包括以下步骤。
步骤402:客户端获取源地址信息和第二加密算法,其中,源地址信息包括源地址和源网络信息。
步骤404:客户端基于第二加密算法,对源地址和源网络信息进行加密,得到第一签名信息。
步骤406:客户端根据第一签名信息和源网络信息,生成携带有第一签名信息和源网络信息的访问请求,其中,访问请求的预设区域中包含第二加密算法的算法标识。
步骤408:客户端发送访问请求至服务端。
步骤410:服务端根据接收访问请求所使用的传输控制协议,确定访问请求对应的源地址,提取访问请求中的源网络信息。
步骤412:服务端从访问请求的预设区域中获取算法标识。
步骤414:服务端根据算法标识,确定第一加密算法。
步骤416:服务端根据第一加密算法对源地址和源网络信息进行加密,得到第二签名信息。
可选地,根据第一加密算法对源地址和源网络信息息进行加密,得到第二签名信息之前,还包括:
判断源地址和源网络信息是否为授权访问信息;
相应地,根据第一加密算法对源地址和源网络信息进行加密,得到第二签名信息,包括:
若是,则根据第一加密算法对源地址和源网络信息进行加密,得到第二签名信息。
步骤418:服务端将第一签名信息与第二签名信息进行对比,根据对比结果确定是否允许访问。
可选地,根据对比结果确定是否允许访问,包括:
在对比结果为第一签名信息与第二签名信息相同的情况下,允许客户端访问;
在对比结果为第一签名信息与第二签名信息不同的情况下,拒绝客户端访问。
本说明书一个实施例提供了一种访问方法,通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
与上述方法实施例相对应,本说明书还提供了访问装置实施例,图5示出了本说明书一个实施例提供的一种访问装置的结构示意图。如图5所示,应用于服务端,该装置包括:
接收模块502,被配置为接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;
第一获取模块504,被配置为获取所述访问请求对应的源地址信息和第一加密算法;
第一加密模块506,被配置为根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;
对比模块508,被配置为将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
在本说明书一个或多个可选地实施例中,所述装置还包括判断模块,被配置为:
判断所述源地址信息是否为授权地址信息;
所述第一加密模块506,还被配置为:
若是,则根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息。
在本说明书一个或多个可选地实施例中,所述源地址信息包括源地址;
所述第一获取模块504,还被配置为:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址。
在本说明书一个或多个可选地实施例中,所述访问请求还包含源网络信息,所述源地址信息包括源地址和所述源网络信息;
所述第一获取模块504,还被配置为:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址;
提取所述访问请求中的源网络信息。
在本说明书一个或多个可选地实施例中,所述第一获取模块504,还被配置为:
从所述访问请求的预设区域中获取算法标识,其中,所述算法标识为生成第一签名信息所使用的第二加密算法的算法标识或者任一算法标识;
根据所述算法标识,确定所述第一加密算法。
在本说明书一个或多个可选地实施例中,所述对比模块508,还被配置为:
在对比结果为所述第一签名信息与所述第二签名信息相同的情况下,允许所述客户端访问;
在对比结果为所述第一签名信息与所述第二签名信息不同的情况下,拒绝所述客户端访问。
本说明书一个实施例提供了一种访问装置,应用于服务端,接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
上述为本实施例的一种应用于服务端的访问装置的示意性方案。需要说明的是,该应用于服务端的访问装置的技术方案与上述的应用于服务端的访问方法的技术方案属于同一构思,应用于服务端的访问装置的技术方案未详细描述的细节内容,均可以参见上述应用于服务端的访问方法的技术方案的描述。
与上述方法实施例相对应,本说明书还提供了访问系统实施例,图6示出了本说明书一个实施例提供的一种访问系统的结构示意图。如图6所示,该系统包括:
客户端602和服务端604;
所述客户端602,用于获取第一签名信息;基于所述第一签名信息,生成访问请求;向所述服务端604发送所述访问请求;
所述服务端604,用于接收所述客户端602发送的所述访问请求;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
在本说明书一个或多个可选地实施例中,所述客户端604,还用于:
获取源地址信息和第二加密算法;基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息。
在本说明书一个或多个可选地实施例中,所述服务端604,还用于:
判断所述源地址信息是否为授权地址信息;
若是,则根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息。
在本说明书一个或多个可选地实施例中,所述源地址信息包括源地址;
所述服务端604,还用于:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址。
在本说明书一个或多个可选地实施例中,所述访问请求还包含源网络信息,所述源地址信息包括源地址和所述源网络信息;
所述服务端604,还用于:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址;
提取所述访问请求中的源网络信息。
在本说明书一个或多个可选地实施例中,所述服务端604,还用于:
从所述访问请求的预设区域中获取算法标识,其中,所述算法标识为生成第一签名信息所使用的第二加密算法的算法标识或者任一算法标识;
根据所述算法标识,确定所述第一加密算法。
在本说明书一个或多个可选地实施例中,所述服务端604,还用于:
在对比结果为所述第一签名信息与所述第二签名信息相同的情况下,允许所述客户端602访问;
在对比结果为所述第一签名信息与所述第二签名信息不同的情况下,拒绝所述客户端602访问。
在本说明书一个或多个可选地实施例中,所述源地址信息包括源地址和源网络信息;
所述客户端602,还用于:
基于所述第二加密算法,对所述源地址和所述源网络信息进行加密,得到第一签名信息;
根据所述第一签名信息和所述源网络信息,生成携带有所述第一签名信息和所述源网络信息的访问请求。
在本说明书一个或多个可选地实施例中,所述客户端602,还用于:
获取所述第二加密算法的算法标识,将所述算法标识添加至所述访问请求的预设区。
本说明书一个实施例提供了一种访问系统,通过服务端获取源地址信息进行对称加密得到第二签名信息,将第二签名信息与第一签名信息对比,达到限制非目标源地址信息对应的客户端访问云端对象存储的目的。基于签名信息的访问请求无需明文传递目标源地址信息,在保护数据资产的同时,还可以保护目标源地址信息隐私不泄露,即允许客户端完成第一签名信息后不额外传递明文的目标源地址信息,减少了目标源地址信息泄漏的风险,安全、简单、易分发。且,加密算法在任意网络环境都可以由客户端独立完成,减少了用户配置以及和服务端的交互和规则管理,便于用户简单自由的分发其资源。
上述为本实施例的一种访问系统的示意性方案。需要说明的是,该访问系统的技术方案与上述的访问方法的技术方案属于同一构思,访问系统的技术方案未详细描述的细节内容,均可以参见上述访问方法的技术方案的描述。
图7示出了本说明书一个实施例提供的一种计算设备700的结构框图。该计算设备700的部件包括但不限于存储器710和处理器720。处理器720与存储器710通过总线730相连接。
计算设备700还包括接入设备740,接入设备740使得计算设备700能够经由一个或多个网络通信。这些网络的示例包括公用交换电话网(PSTN,Public Switched TelephoneNetwork)、局域网(LAN,Local Area Network)、广域网(WAN,Wide Area Network)、个域网(PAN,Personal Area Network)或诸如因特网的通信网络的组合。接入设备740可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC,Network InterfaceController))中的一个或多个,诸如IEEE702.11无线局域网(WLAN,Wireless Local AreaNetwork)无线接口、全球微波互联接入(Wi-MAX,Wor ldwide Interoperability forMicrowave Access)接口、以太网接口、通用串行总线(USB,Universal Serial Bus)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC,Near Field Communication)接口,等等。
在本说明书的一个实施例中,计算设备700的上述部件以及图7中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图7所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备700可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备700还可以是移动式或静止式的服务器。
其中,处理器720用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述访问方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的访问方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述访问方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述访问方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的访问方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述访问方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述访问方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的访问方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述访问方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。

Claims (14)

1.一种访问方法,应用于服务端,包括:
接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;
获取所述访问请求对应的源地址信息和第一加密算法;
根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;
将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
2.根据权利要求1所述的方法,所述根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息之前,还包括:
判断所述源地址信息是否为授权地址信息;
所述根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息,包括:
若是,则根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息。
3.根据权利要求1所述的方法,所述源地址信息包括源地址;
所述获取所述访问请求对应的源地址信息,包括:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址。
4.根据权利要求1所述的方法,所述访问请求还包含源网络信息,所述源地址信息包括源地址和所述源网络信息;
所述获取所述访问请求对应的源地址信息,包括:
根据接收所述访问请求所使用的传输控制协议,确定所述源地址;
提取所述访问请求中的源网络信息。
5.根据权利要求1所述的方法,所述获取所述访问请求对应的第一加密算法,包括:
从所述访问请求的预设区域中获取算法标识,其中,所述算法标识为生成第一签名信息所使用的第二加密算法的算法标识或者任一算法标识;
根据所述算法标识,确定所述第一加密算法。
6.根据权利要求1所述的方法,所述根据对比结果确定是否允许访问,包括:
在对比结果为所述第一签名信息与所述第二签名信息相同的情况下,允许所述客户端访问;
在对比结果为所述第一签名信息与所述第二签名信息不同的情况下,拒绝所述客户端访问。
7.一种访问方法,包括:
客户端获取第一签名信息;基于所述第一签名信息,生成访问请求;向服务端发送所述访问请求;
所述服务端接收所述客户端发送的所述访问请求,获取所述访问请求对应的源地址信息和第一加密算法,根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息,根据所述第一签名信息与所述第二签名信息的对比结果确定是否允许访问。
8.根据权利要求7所述的方法,所述客户端获取第一签名信息,包括:
所述客户端获取源地址信息和第二加密算法;基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息。
9.根据权利要求8所述的方法,所述源地址信息包括源地址和源网络信息;
所述客户端基于所述第二加密算法对所述源地址信息进行加密,得到第一签名信息,包括:
所述客户端基于所述第二加密算法,对所述源地址和所述源网络信息进行加密,得到第一签名信息;
所述客户端基于所述第一签名信息,生成访问请求,包括:
所述客户端根据所述第一签名信息和所述源网络信息,生成携带有所述第一签名信息和所述源网络信息的访问请求。
10.根据权利要求8或9所述的方法,所述客户端向服务端发送所述访问请求之前,还包括:
获取所述第二加密算法的算法标识,将所述算法标识添加至所述访问请求的预设区域。
11.一种访问装置,应用于服务端,包括:
接收模块,被配置为接收客户端发送的访问请求,其中,所述访问请求包含第一签名信息;
第一获取模块,被配置为获取所述访问请求对应的源地址信息和第一加密算法;
第一加密模块,被配置为根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;
对比模块,被配置为将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
12.一种访问系统,包括:
客户端和服务端;
所述客户端,用于获取第一签名信息;基于所述第一签名信息,生成访问请求;向所述服务端发送所述访问请求;
所述服务端,用于接收所述客户端发送的所述访问请求;获取所述访问请求对应的源地址信息和第一加密算法;根据所述第一加密算法对所述源地址信息进行加密,得到第二签名信息;将所述第一签名信息与所述第二签名信息进行对比,根据对比结果确定是否允许访问。
13.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至6任意一项所述访问方法的步骤。
14.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至6任意一项所述访问方法的步骤。
CN202210453904.4A 2022-04-27 2022-04-27 访问方法、装置以及系统 Active CN115001743B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210453904.4A CN115001743B (zh) 2022-04-27 2022-04-27 访问方法、装置以及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210453904.4A CN115001743B (zh) 2022-04-27 2022-04-27 访问方法、装置以及系统

Publications (2)

Publication Number Publication Date
CN115001743A true CN115001743A (zh) 2022-09-02
CN115001743B CN115001743B (zh) 2024-03-08

Family

ID=83025645

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210453904.4A Active CN115001743B (zh) 2022-04-27 2022-04-27 访问方法、装置以及系统

Country Status (1)

Country Link
CN (1) CN115001743B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370407B1 (en) * 2011-06-28 2013-02-05 Go Daddy Operating Company, LLC Systems providing a network resource address reputation service
US10142306B1 (en) * 2015-05-05 2018-11-27 F5 Networks, Inc. Methods for providing a secure network channel and devices thereof
CN109450649A (zh) * 2018-12-28 2019-03-08 北京金山安全软件有限公司 一种基于应用程序接口的网关验证方法、装置及电子设备
CN110138568A (zh) * 2019-07-02 2019-08-16 云深互联(北京)科技有限公司 内网访问方法和系统
US20200412768A1 (en) * 2019-06-28 2020-12-31 International Business Machines Corporation Pre-signed urls with custom policies for data access in an object storage system
CN112261012A (zh) * 2020-09-30 2021-01-22 北京鸿联九五信息产业有限公司 一种浏览器、服务器以及网页访问方法
CN112613070A (zh) * 2020-12-25 2021-04-06 南方电网深圳数字电网研究院有限公司 资源共享、访问方法、电子设备及计算机可读存储介质
CN113285934A (zh) * 2021-05-14 2021-08-20 鼎铉商用密码测评技术(深圳)有限公司 基于数字签名的服务器密码机客户端ip检测方法及装置
US20210336966A1 (en) * 2020-04-24 2021-10-28 Citrix Systems, Inc. Authenticating access to computing resources

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370407B1 (en) * 2011-06-28 2013-02-05 Go Daddy Operating Company, LLC Systems providing a network resource address reputation service
US10142306B1 (en) * 2015-05-05 2018-11-27 F5 Networks, Inc. Methods for providing a secure network channel and devices thereof
CN109450649A (zh) * 2018-12-28 2019-03-08 北京金山安全软件有限公司 一种基于应用程序接口的网关验证方法、装置及电子设备
US20200412768A1 (en) * 2019-06-28 2020-12-31 International Business Machines Corporation Pre-signed urls with custom policies for data access in an object storage system
CN110138568A (zh) * 2019-07-02 2019-08-16 云深互联(北京)科技有限公司 内网访问方法和系统
US20210336966A1 (en) * 2020-04-24 2021-10-28 Citrix Systems, Inc. Authenticating access to computing resources
CN112261012A (zh) * 2020-09-30 2021-01-22 北京鸿联九五信息产业有限公司 一种浏览器、服务器以及网页访问方法
CN112613070A (zh) * 2020-12-25 2021-04-06 南方电网深圳数字电网研究院有限公司 资源共享、访问方法、电子设备及计算机可读存储介质
CN113285934A (zh) * 2021-05-14 2021-08-20 鼎铉商用密码测评技术(深圳)有限公司 基于数字签名的服务器密码机客户端ip检测方法及装置

Also Published As

Publication number Publication date
CN115001743B (zh) 2024-03-08

Similar Documents

Publication Publication Date Title
US20200204530A1 (en) Self-encrypting key management system
CN113067699B (zh) 基于量子密钥的数据共享方法、装置和计算机设备
US9219722B2 (en) Unclonable ID based chip-to-chip communication
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN113132388B (zh) 一种数据安全交互方法及系统
CN113347206A (zh) 一种网络访问方法和装置
US9203610B2 (en) Systems and methods for secure peer-to-peer communications
CN110445840B (zh) 一种基于区块链技术的文件存储和读取的方法
Dey et al. MDA: message digest-based authentication for mobile cloud computing
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
Dey et al. Message digest as authentication entity for mobile cloud computing
CN112966287B (zh) 获取用户数据的方法、系统、设备和计算机可读介质
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
Agarkhed et al. An efficient auditing scheme for data storage security in cloud
CN114584306A (zh) 一种数据处理方法和相关装置
CN113434882A (zh) 应用程序的通讯保护方法、装置、计算机设备及存储介质
US20210281608A1 (en) Separation of handshake and record protocol
CN112565156B (zh) 信息注册方法、装置和系统
US11032708B2 (en) Securing public WLAN hotspot network access
WO2022193494A1 (zh) 权限控制方法及服务器、终端、存储介质和计算机程序
CN115001743B (zh) 访问方法、装置以及系统
CN111835734A (zh) 信息处理方法、装置、电子设备、服务器及存储介质
Goyal et al. MD5 and ECC Encryption based framework for Cloud Computing Services
CN113726523B (zh) 基于Cookie和DR身份密码体制的多重身份认证方法及装置
CN117579374B (zh) 基于OpenAPI的服务访问权限认证方法、装置、系统和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant