CN111737752A - 监控数据访问控制方法、装置及设备、存储介质 - Google Patents
监控数据访问控制方法、装置及设备、存储介质 Download PDFInfo
- Publication number
- CN111737752A CN111737752A CN202010718253.8A CN202010718253A CN111737752A CN 111737752 A CN111737752 A CN 111737752A CN 202010718253 A CN202010718253 A CN 202010718253A CN 111737752 A CN111737752 A CN 111737752A
- Authority
- CN
- China
- Prior art keywords
- data
- access
- monitoring data
- token
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种监控数据访问控制方法、装置及设备、存储介质,有利于提升监控数据的安全性。该方法应用于数据存储服务器,包括:依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
Description
技术领域
本发明涉及监控技术领域,尤其涉及的是一种监控数据访问控制方法、装置及设备、存储介质。
背景技术
在一些监控场景中,会需要将监控数据分享给第三方设备。比如,在超市监控场景中,当检测到报警事件(比如偷窃事件)时,会将相关监控数据分享给第三方设备如超市管理人员的手机,以便超市管理人员可及时地针对上述事件进行处理。又如,在车载监控场景中,有时候需要查看监控回放,这个时候可以将需要查看的监控数据分享给第三方设备如查看人员的手机。
由于监控数据的分享涉及到第三方设备,目前普遍的做法是不进行访问控制,只是将监控数据对应的访问地址推送给第三方设备,让第三方设备直接访问。而访问地址是开放和不受控的,一旦访问地址泄露,监控数据就有可能被任意访问。因此,上述方式中,监控数据的安全性不高。
发明内容
有鉴于此,本发明提供一种监控数据访问控制方法、装置及设备、存储介质,有利于提升监控数据的安全性。
本发明第一方面提供一种监控数据访问控制方法,该方法应用于数据存储服务器,包括:
依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;
存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
根据本发明的一个实施例,所述授权令牌通过以下方式生成:
按照设定的令牌ID要求随机生成满足所述令牌ID要求的令牌ID;
采用预设签名方式和预设授权密钥对所述访问地址和令牌ID进行签名运算,得到令牌签名;
依据所述令牌ID和所述令牌签名生成所述授权令牌。
根据本发明的一个实施例,该方法进一步包括:
接收来自所述第三方设备发送的访问请求,所述访问请求携带所述第三方设备已接收的来自所述数据存储服务器发送的目标访问地址和目标授权令牌;
对所述目标授权令牌进行验证,并在所述目标授权令牌通过验证时,以所述目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略;
当查找到的目标数据访问控制策略允许访问与所述目标访问地址所对应的监控数据,则允许所述第三方设备访问与所述目标访问地址所对应的监控数据;否则,拒绝所述第三方设备访问与所述目标访问地址所对应的监控数据。
根据本发明的一个实施例,所述目标授权令牌包括:令牌ID和令牌签名;
所述对所述目标授权令牌进行验证,包括:
采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算,得到验证签名;
比较所述验证签名与所述目标授权令牌中的令牌签名是否一致,若一致,则确定验证通过;否则,确定验证不通过。
根据本发明的一个实施例,
所述授权令牌包括:令牌ID;
所述数据访问控制策略的索引为所述授权令牌中的令牌ID;
所述以目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略包括:
以所述目标授权令牌中的令牌ID为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略。
根据本发明的一个实施例,依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略包括:
依据所述监控数据的数据类型和第三方设备的设备类型生成第三方设备对应的用于访问所述监控数据的数据访问控制策略;
其中,所述数据访问控制策略至少包括:被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型中的至少一个。
本发明第二方面提供一种监控数据访问控制方法,该方法应用于监控设备,包括:
获得监控数据的访问地址和授权令牌,所述监控数据是第三方设备待访问的且由所述监控设备上传至数据存储服务器的监控数据,所述授权令牌为用于授权所述第三方设备访问所述监控数据的令牌;
向所述第三方设备转发所述访问地址和所述授权令牌,以由所述第三方设备所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
根据本发明的一个实施例,所述获得监控数据的访问地址和授权令牌包括:
在将所述监控数据上传至所述数据存储服务器进行存储后,从所述数据存储服务器获得所述监控数据的访问地址和所述数据存储服务器已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
所述第三方设备为所述监控设备已配置的设备标识对应的设备,用于被指定访问所述监控设备上传的所述监控数据。
本发明第三方面提供一种监控数据访问控制装置,该装置应用于数据存储服务器,包括:
策略生成模块,用于依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;
策略存储模块,用于存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
令牌与地址发送模块,用于向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
根据本发明的一个实施例,所述授权令牌通过以下模块生成:
令牌ID生成模块,用于按照设定的令牌ID要求随机生成满足所述令牌ID要求的令牌ID;
令牌签名生成模块,用于采用预设签名方式和预设授权密钥对所述访问地址和令牌ID进行签名运算,得到令牌签名;
授权令牌生成模块,用于依据所述令牌ID和所述令牌签名生成所述授权令牌。
根据本发明的一个实施例,该装置进一步包括:
访问请求接收模块,用于接收来自所述第三方设备发送的访问请求,所述访问请求携带所述第三方设备已接收的来自所述数据存储服务器发送的目标访问地址和目标授权令牌;
令牌验证模块,用于对所述目标授权令牌进行验证,并在所述目标授权令牌通过验证时,以所述目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略;
访问控制模块,用于当查找到的目标数据访问控制策略允许访问与所述目标访问地址所对应的监控数据,则允许所述第三方设备访问与所述目标访问地址所对应的监控数据;否则,拒绝所述第三方设备访问与所述目标访问地址所对应的监控数据。
根据本发明的一个实施例,所述目标授权令牌包括:令牌ID和令牌签名;
所述令牌验证模块对所述目标授权令牌进行验证时,具体用于:
采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算,得到验证签名;
比较所述验证签名与所述目标授权令牌中的令牌签名是否一致,若一致,则确定验证通过;否则,确定验证不通过。
根据本发明的一个实施例,
所述授权令牌包括:令牌ID;
所述数据访问控制策略的索引为所述授权令牌中的令牌ID;
所述令牌验证模块以目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略时,具体用于:
以所述目标授权令牌中的令牌ID为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略。
根据本发明的一个实施例,所述策略生成模块依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略时,具体用于:
依据所述监控数据的数据类型和第三方设备的设备类型生成第三方设备对应的用于访问所述监控数据的数据访问控制策略;
其中,所述数据访问控制策略至少包括:被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型中的至少一个。
本发明第四方面提供一种监控数据访问控制装置,该装置应用于监控设备,包括:
令牌与地址获得模块,用于获得监控数据的访问地址和授权令牌,所述监控数据是第三方设备待访问的且由所述监控设备上传至数据存储服务器的监控数据,所述授权令牌为用于授权所述第三方设备访问所述监控数据的令牌;
令牌与地址转发模块,用于向所述第三方设备转发所述访问地址和所述授权令牌,以由所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
根据本发明的一个实施例,所述令牌与地址获得模块获得监控数据的访问地址和授权令牌时,具体用于:
在将所述监控数据上传至所述数据存储服务器进行存储后,从所述数据存储服务器获得所述监控数据的访问地址和所述数据存储服务器已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
所述第三方设备为所述监控设备已配置的设备标识对应的设备,用于被指定访问所述监控设备上传的所述监控数据。
本发明第五方面提供一种电子设备,包括处理器及存储器;所述存储器存储有可被处理器调用的程序;其中,所述处理器执行所述程序时,实现如前述实施例中所述的监控数据访问控制方法。
本发明第六方面提供一种机器可读存储介质,其上存储有程序,该程序被处理器执行时,实现如前述实施例中所述的监控数据访问控制方法。
本发明实施例具有以下有益效果:
本发明实施例中,不再是直接将监控数据对应的访问地址推送给第三方设备以由第三方设备直接访问,而是进行了访问控制,在发送访问地址时将授权令牌一并发送给第三方设备,该授权令牌由数据存储服务器生成、用于授权所述第三方设备访问所述监控数据,即使其他设备获取到了访问地址,在没有授权令牌的情况下仍然无法访问监控数据,可一定程度上保证监控数据的安全性;并且,数据存储服务器还会依据监控数据与第三方设备的设备信息生成数据访问控制策略,并以授权令牌为索引将数据访问控制策略进行存储,后续第三方设备在依据授权令牌和访问地址访问监控数据时,数据存储服务器可基于授权令牌以及授权令牌对应的访问控制策略确定是否允许第三方设备访问对应的监控数据,实现基于授权令牌和访问控制策略的双重访问控制,可较好地阻断非法访问,较好地提升监控数据的安全性。
附图说明
图1是本发明一实施例的监控数据访问控制方法的流程示意图;
图2是本发明一实施例的监控数据访问控制***的结构框图;
图3是本发明一实施例的第三方设备需访问监控数据时数据存储服务器进行授权令牌的验证与策略控制的流程示意图;
图4是本发明一实施例的数据存储服务器的结构框图;
图5是本发明一实施例的监控数据访问控制装置的结构框图;
图6是本发明另一实施例的监控数据访问控制方法的流程示意图;
图7是本发明另一实施例的监控数据访问控制装置的结构框图;
图8是本发明一实施例的电子设备的结构框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种器件,但这些信息不应限于这些术语。这些术语仅用来将同一类型的器件彼此区分开。例如,在不脱离本发明范围的情况下,第一器件也可以被称为第二器件,类似地,第二器件也可以被称为第一器件。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使得本发明的描述更清楚简洁,下面对本发明中的一些技术术语进行解释:
MAC:Message Authentication Code,消息验证码算法,是含有密钥的散列函数算法,兼容了MD(Message Digest,消息摘要算法)和SHA算法的特性,并在此基础上加入了密钥,是一种更为安全的消息摘要算法。
HMAC:一种使用单向散列函数来构造消息认证码的方法,其中,HMAC中的H就是Hash的意思。使用SHA-1、SHA-224、SHA-256、SHA-384、SHA-512所构造的HMAC,分别称为HMAC-SHA1、HMAC-SHA-224、HMAC-SHA-256、HMAC-SHA-384、HMAC-SHA-512。
URL:Uniform Resource Locator,统一资源定位符,它是WWW的统一资源定位标志,就是指网络地址。
下面对本发明第一方面提供的监控数据访问控制方法进行更具体的描述,但不应以此为限。
在一个实施例中,参看图1,一种监控数据访问控制方法,应用于数据存储服务器,该方法可以包括以下步骤:
S101:依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;
S102:存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
S103:向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
本发明实施例中,监控数据访问控制方法的执行主体可以为数据存储服务器,数据存储服务器比如可以为分布式数据存储服务器,当然,具体类型不做限定。数据存储服务器用于为监控***提供存储服务,这里的监控***比如可以包括监控设备与监控平台。监控设备比如可以为摄像机设备,监控平台比如可以为依托于监控服务器的软件平台。
可选的,监控平台具有权限访问数据存储服务器,比如可以在数据存储服务器注册访问所需的用户名与密码,并通过用户名与密码认证的方式访问数据存储服务器,当然具体不做限定。
本发明实施例中,第三方设备可以指数据存储服务器所在的存储***、以及监控***之外的设备,具体比如可以为手机、平板、PC设备等。
本发明实施例的监控数据访问控制方法,可以应用各种监控场景中,比如超市、小区、园区、社区、厂区、监狱、停车场、交通、车载等监控场景中,这些场景中,监控设备可以将监控数据上传并存储至数据存储服务器,以供第三方设备访问。当然,上述场景只是举例,实际并不局限于上述场景。
步骤S101中,依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备。
监控数据可以是由监控设备中上传的。具体来说,监控设备可以在检测到报警事件时,比如抓拍到异常目标时,将采集的监控数据上传到数据存储服务器。这里的异常目标比如包括入侵者、偷窃者等,具体可视应用场景而定。
监控数据可以是与异常目标相关的图像数据,比如可以包括抓拍图像、视频录像、截图(比如从某一帧视频图像或抓拍图像中截取出的截图)等,具体类型不限。可选的,监控数据中还可以携带相关信息,比如与监控数据相关的报警事件信息等,具体不做限定。
数据存储服务器可以在收到监控设备上传的监控数据时,执行上述步骤S101。数据存储服务器在收到监控数据之后,还将监控数据存储在本地,并可确定监控数据的访问地址。当然具体不做限定,也可以在监控数据已被存储之后且收到监控设备上传的监控数据的访问通知时执行上述步骤S101。
数据访问控制策略可以用于确定是否允许第三方设备对监控数据进行访问,即起到访问控制的作用。数据访问控制策略是依据监控数据和第三方设备的设备信息确定的。
进一步来说,可以依据监控数据的属性和第三方设备的设备信息确定数据访问控制策略,这里的属性比如可以包括监控数据的大小、颜色模式、数据类型等,在此情况下,监控数据的属性不同则确定出的数据访问控制策略就不同。或者,可以依据监控数据相关联的异常目标和第三方设备的设备信息确定数据访问控制策略,监控数据中可携带从监控数据中检测到的异常目标的信息,比如目标类别信息等。
第三方设备的设备信息同样可以是由监控设备上传的。具体来说,在上传监控数据时,监控设备可以将已获取的第三方设备的设备信息(可以预先设置)一并上传给数据存储服务器。设备信息比如可以包括:设备标识、设备类型等。
在一个实施例中,依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略可以包括以下步骤:
依据所述监控数据的数据类型和第三方设备的设备类型生成第三方设备对应的用于访问所述监控数据的数据访问控制策略。
可选的,依据所述监控数据的数据类型和第三方设备的设备类型生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,可以包括以下步骤:
依据已设置的数据类型和访问策略之间的对应关系确定所述监控数据的数据类型对应的访问策略;
依据已设置的设备类型和访问策略之间的对应关系确定所述第三方设备的设备类型对应的访问策略;
依据所述监控数据的数据类型对应的访问策略、以及所述第三方设备的设备类型对应的访问策略生成所述数据访问控制策略。
在一个实施例中,所述数据访问控制策略至少包括:被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型中的至少一个。
比如,依据已设置的数据类型和访问策略之间的对应关系确定所述监控数据的数据类型对应的访问策略时,确定出了被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,不同数据类型对应的访问时间信息和剩余访问次数可以不同。依据已设置的设备类型和访问策略之间的对应关系确定所述第三方设备的设备类型对应的访问策略时,确定出了被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型,不同设备类型对应的设备标识和访问操作类型可以不同。最终,将确定出的访问策略组成为数据访问控制策略。
当然,此处只是举例,数据访问控制策略也可以不用同时包含上述的被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型的全部,也可以是其中的一个或几个。或者,数据访问控制策略也还可以包含其他的内容,具体不做限定。
访问时间信息可以是时长为设定时长的访问时间范围,该访问时间范围的起始时间点比如可以为数据存储服务器在收到监控设备上传的监控数据或收到访问指示时的当前时刻,具体不作限定。
设备标识比如可以包括第三方设备的IP地址、第三方设备的MAC地址或者其他可以标识第三方设备的设备标识,具体不作限定。
访问操作类型比如可以包括下载、在线浏览、删除和/或修改等,具体不作限定。
步骤S102中,存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌。
可以以授权令牌为索引将访问控制策略存储在数据存储服务器的本地策略数据库中。后续,可以以授权令牌为索引在本地策略数据库中查找到对应的访问控制策略。
拥有不同授权令牌的第三方设备需要依据相应的访问控制策略来访问监控数据,可避免第三方设备通过一个授权令牌就可以无限制访问所有监控数据的问题。
授权令牌可以是由数据存储服务器生成的,授权令牌的具体内容不限,只要能够用于授权所述第三方设备访问所述监控数据即可。
在一个实施例中,授权令牌可以包括令牌ID和令牌签名,授权令牌通过以下方式生成:
按照设定的令牌ID要求随机生成满足所述令牌ID要求的令牌ID;
采用预设签名方式和预设授权密钥对所述访问地址和令牌ID进行签名运算,得到令牌签名;
依据所述令牌ID和所述令牌签名生成所述授权令牌。
可选的,按照设定的令牌ID要求随机生成满足所述令牌ID要求的令牌ID,可以包括:生成一个指定长度的随机数,将生成的随机数作为令牌ID。指定长度比如为8个字节、16个字节等,具体长度不做限定。
预设签名方式可以采用消息验证码算法,比如HMAC_SHA256,具体不做限定。签名运算所依据的预设授权密钥可以是固定的,也可以根据访问地址、监控数据等来确定,具体不做限定。
可选的,依据所述令牌ID和所述令牌签名生成所述授权令牌,可以包括:将令牌ID和令牌签名拼接在一起作为授权令牌。
由于令牌签名是依据访问地址和令牌ID的,而授权令牌又由令牌ID和令牌签名组成,所以但凡访问地址或令牌ID被篡改,都授权令牌都无法继续使用,有利于保证访问控制的安全性。
对于同一监控数据而言,访问地址可以是不变的。可选的,访问地址可以为URL,当然具体不做限定,也可以是其他形式的地址,只要能够用于定位监控数据的存储位置即可。
步骤S103中,向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
可选的,向第三方设备发送所述授权令牌和所述监控数据的访问地址时,可以向监控设备发送访问地址和授权令牌,以由监控设备将访问地址和授权令牌上报给监控平台,并由监控平台向第三方设备转发所述访问地址和授权令牌;或者,可以直接向监控平台发送所述访问地址和授权令牌,以由所述监控平台向第三方设备转发所述访问地址和授权令牌。
具体发向哪些第三方设备,可以根据监控设备检测到的报警事件来确定。或者,监控平台可以预先设置合法的第三方设备的设备标识,并依据预先设置的设备标识向对应的第三方设备发送所述授权令牌和所述监控数据的访问地址。
第三方设备收到授权令牌和监控数据的访问地址之后,可以依据授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。比如,第三方设备可以向数据存储服务器发送访问请求,访问请求携带授权令牌和访问地址;数据存储服务器在收到访问请求之后,可以验证访问请求携带的授权令牌是否合法,在合法的情况下,可以依据授权令牌对应的数据访问控制策略确定是否允许第三方设备访问该访问请求携带的访问地址对应的访问数据,在不合法的情况下,可以直接拒绝第三方设备的访问。
本发明实施例中,不再是直接将监控数据对应的访问地址推送给第三方设备以由第三方设备直接访问,而是进行了访问控制,在发送访问地址时将授权令牌一并发送给第三方设备,该授权令牌由数据存储服务器生成、用于授权所述第三方设备访问所述监控数据,即使其他设备获取到了访问地址,在没有授权令牌的情况下仍然无法访问监控数据,可一定程度上保证监控数据的安全性;并且,数据存储服务器还会依据监控数据与第三方设备的设备信息生成数据访问控制策略,并以授权令牌为索引将数据访问控制策略进行存储,后续第三方设备在依据授权令牌和访问地址访问监控数据时,数据存储服务器可基于授权令牌以及授权令牌对应的访问控制策略确定是否允许第三方设备访问对应的监控数据,实现基于授权令牌和访问控制策略的双重访问控制,可较好地阻断非法访问,较好地提升监控数据的安全性。
在一个实施例中,该监控数据访问控制方法进一步包括以下步骤:
S104:接收来自所述第三方设备发送的访问请求,所述访问请求携带所述第三方设备已接收的来自所述数据存储服务器发送的目标访问地址和目标授权令牌;
S105:对所述目标授权令牌进行验证,并在所述目标授权令牌通过验证时,以所述目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略;
S106:当查找到的目标数据访问控制策略允许访问与所述目标访问地址所对应的监控数据,则允许所述第三方设备访问与所述目标访问地址所对应的监控数据;否则,拒绝所述第三方设备访问与所述目标访问地址所对应的监控数据。
第三方设备收到来自数据存储服务器发送的访问地址和授权令牌之后,在需要访问监控数据时,会向数据存储服务器发送访问请求,访问请求携带目标访问地址和目标授权令牌。访问请求用于请求访问监控数据。可选的,访问请求中还可以携带其他信息,比如还可以携带访问的操作类型如下载、在线浏览等,第三方设备的IP地址等。
数据存储服务器在接收到来自第三方设备发送的访问请求的情况下,对访问请求携带的目标授权令牌进行验证,在未通过验证的情况下,可以直接拒绝第三方设备访问与目标访问地址所对应的监控数据,以实现基于授权令牌的访问控制,可以在一定程度上保证监控数据的安全性。
在目标授权令牌通过验证的情况下,进一步依据数据访问控制策略来确定是否允许第三设备访问与所述访问请求携带的访问地址所对应的监控数据,即可以以所述目标授权令牌为索引在策略数据库中查找到该索引对应的目标数据访问控制策略,当查找到的目标数据访问控制策略允许访问与所述目标访问地址所对应的监控数据,则允许所述第三方设备访问与所述目标访问地址所对应的监控数据;否则,拒绝所述第三方设备访问与所述目标访问地址所对应的监控数据。
通过上述方式,可以实现基于授权令牌和访问控制策略的双重访问控制,可进一步阻断非法访问,提升监控数据的安全性。
可选的,访问控制策略比如包括:被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型等。
相应的,依据查找到的目标数据访问控制策略确定是否允许访问与所述目标访问地址所对应的监控数据的方式,比如可以包括:接收到访问请求的时间处于所述目标数据访问控制策略中的访问时间信息(访问时间信息具体为访问世间范围)内,并且,当前对监控数据的访问次数未达到所述目标数据访问控制策略中的剩余访问次数,并且,所述目标数据访问控制策略中的设备标识包含所述访问请求携带的第三方设备的设备标识,并且,所述目标数据访问控制策略中的访问操作类型包含所述访问请求携带的访问操作类型,则可以确定查找到的目标数据访问控制策略允许访问与所述目标访问地址所对应的监控数据;以上任一个条件不满足,则可以确定查找到的目标数据访问控制策略不允许访问与所述目标访问地址所对应的监控数据。
其中,在确定允许第三方设备访问与所述目标访问地址所对应的监控数据后,需更新查找到的目标数据访问控制策略中的剩余访问次数,比如将剩余访问次数减1。
通过上述策略的约束,即使授权令牌被泄漏出去了,也只能提供有限次、有限时间内的访问,甚至,被允许访问的设备也只会局限于一定范围内,允许的访问操作类型也会受到约束,实现第三方设备的受控访问,更有利于保证数据存储服务器存储的监控数据的安全性。
在一个实施例中,所述目标授权令牌包括:令牌ID和令牌签名。令牌ID和令牌签名的生成方式可以参看前述实施例中的相关内容,在此不再赘述。
步骤S105中,所述对所述目标授权令牌进行验证,可以包括以下步骤:
采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算,得到验证签名;
比较所述验证签名与所述目标授权令牌中的令牌签名是否一致,若一致,则确定验证通过;否则,确定验证不通过。
预设签名方式和预设授权密钥与前述实施例中确定令牌签名所用的预设签名方式和预设授权密钥是相同的,所以,在采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算之后,只要得到的验证签名与令牌签名相同,就说明确定验证签名所用的访问地址和授权令牌中的令牌ID与确定令牌签名所用的访问地址和令牌ID是一致的,说明授权令牌是由数据存储服务器生成并下发的、且没有被恶意篡改过。
因此,本实施例中,采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算,得到验证签名之后,通过比较验证签名与所述目标授权令牌中的令牌签名是否一致,就可以确定目标授权令牌是否合法,是否有被恶意篡改过,如果一致则验证通过,否则验证不通过,避免目标授权令牌被篡改的情况下监控数据被非法访问的情况。
在一个实施例中,所述授权令牌包括:令牌ID。令牌ID的生成方式可以参看前述实施例中的相关内容,在此不再赘述。
进一步的,所述数据访问控制策略的索引为所述授权令牌中的令牌ID。
相应的,所述以目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略包括:
以所述目标授权令牌中的令牌ID为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略。
各种数据访问控制策略可以存储在策略数据库中,不同授权令牌中的令牌标识ID不同,而且不同令牌ID对应于不同的访问控制策略。在目标授权令牌通过验证之后,可以以目标授权令牌中的令牌ID为索引,在策略数据库中查找该索引对应的目标数据访问控制策略。
本实施例中,以令牌ID作为索引可以便于查询对应的数据访问控制策略,相比于以授权令牌为索引而言,还有利于减少索引所需占用的数据量。此外,令牌ID的长度是可以被指定的,可以使得授权令牌的长度固定,也可以通过确定长度较短的令牌ID来确保授权令牌的数据量较小,以便于授权令牌的分发。
图2示出了一种监控数据访问控制***,包括数据存储服务器201、监控设备202、监控平台203和第三方设备204,监控设备202、监控平台203可以组成监控***。在一个例子中,监控设备202在检测到报警事件时,向数据存储服务器201上传与报警事件相关的监控数据、以及第三方设备的设备信息,并向监控平台203上报报警事件;数据存储服务器201收到监控数据后,存储监控数据,确定监控数据的访问地址和授权令牌,并依据监控数据和第三方设备的设备信息生成数据访问控制策略,以授权令牌中的令牌ID为索引将数据访问控制策略存储在策略数据库中,向监控设备202发送访问地址和授权令牌;监控设备202收到访问地址和授权令牌之后,上报访问地址和授权令牌给监控平台203;监控平台203向第三方设备204转发访问地址和授权令牌;第三方设备204依据访问地址和授权令牌生成访问请求,并向数据存储服务器201发送访问请求;数据存储服务器201收到访问请求之后,对访问请求携带的授权令牌进行验证,若验证通过,则依据访问请求携带的授权令牌中令牌ID对应的数据访问控制策略确定是否允许第三方设备访问该访问请求携带的访问地址对应的监控数据,否则,拒绝第三方设备访问该访问请求携带的访问地址对应的监控数据。
可选的,在上述的各个设备之间可以预先建立加密通道(比如在发送访问地址和授权令牌之前建立),可以通过加密通道来传输访问地址和授权令牌,以防止在传输过程中泄露访问地址和授权令牌。比如,监控平台203与第三方设备204之间建立加密通道,监控平台203可以通过加密通道将访问地址和授权令牌发送给第三方设备204,其他设备之间也是如此,在此不再赘述。
可选的,上述的加密通道比如可以为HTTPS(Hyper Text Transfer Protocolover SecureSocket Layer,是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性),当然,具体不做限定。
图3示出了第三方设备需访问监控数据时数据存储服务器授权令牌的验证与策略控制的流程,包括:数据存储服务器接收第三方设备发送的访问请求,访问请求携带有目标访问地址和目标授权令牌;对目标授权令牌进行验证;若验证不通过,则直接拒绝第三方设备访问与目标访问地址对应的监控数据;若验证通过,则检查目标授权令牌中令牌ID对应的目标数据访问控制策略确定是否允许第三方设备访问目标访问地址对应的监控数据,若是,则允许第三方设备访问目标访问地址对应的监控数据,若否,则拒绝第三方设备访问目标访问地址对应的监控数据。
图4示出了数据存储服务器的一个示意性结构框图,数据存储服务器可以包含两个模块,分别为授权令牌产生单元和授权令牌验证单元。其中,授权令牌产生单元可以依据接收的监控数据和第三方设备的设备信息生成数据访问控制策略,并可依据监控数据的访问地址并采用预设授权密钥生成授权令牌,以该授权令牌中的令牌ID为索引将数据访问控制策略存储在策略数据库中,并可向第三方设备发送授权令牌和访问地址。授权令牌验证单元可以接收第三方设备发送的访问请求,访问请求携带目标访问地址和目标授权令牌,可依据目标访问地址并结合预设授权密钥对目标授权令牌进行验证,在验证通过时,以目标授权令牌中的令牌ID为索引在策略数据库中查找到对应的目标数据访问控制策略,并依据目标访问控制策略确定是否允许第三方设备访问与目标访问地址对应的监控数据。
在一个实施例中,在确定授权令牌泄漏的情况下,可以将策略数据库中的与被泄露的授权令牌中的令牌ID对应的访问控制策略更新为禁止访问策略,用于禁止任何第三方设备访问与包含被泄露的授权令牌的访问请求中访问地址对应的监控数据,从而可以阻断非法访问。
确定授权令牌泄漏的方式,比如可以包括:数据存储服务器检查到用于指示访问异常的安全事件时,确定授权令牌泄漏;或者,接收到管理员输入的授权令牌泄漏信息时,确定授权令牌泄漏。
安全事件比如包括:当前访问某个监控数据的第三方设备的数量超出预设数量。在此情况下,被泄漏的授权令牌为访问的第三方设备数量超限的监控数据对应的授权令牌。
当然,在确定授权令牌泄漏的情况下,也可以更新对应的数据访问控制策略中的约束条件,比如将数据访问控制策略中剩余访问次数减少至0等,具体不做限定,只要可以禁止任何第三方设备访问相应的监控数据即可。
以上是本发明第一方面提供的监控数据访问控制方法的详细内容,上述方式中,1)采用授权令牌方式对监控数据进行访问控制,访问的第三方设备必须持有合法的授权令牌,可以在不对第三方设备进行身份认证的情况下,保证数据访问的安全性在可接受范围内;2)授权令牌对应的数据访问控制策略存储在数据存储服务器的策略数据库中,并且以授权令牌中的令牌ID作为索引以便于查询,可以使得授权令牌的长度固定,而且数据量小,便于授权令牌的分发;3)支持数据访问控制策略的更新,在发生安全事件的情况下,可以通过更新数据访问控制策略来阻断非法访问,降低安全事件的损失。
本发明第二方面提供一种监控数据访问控制方法,该方法应用于监控设备,参看图6,该方法包括:
S401:获得监控数据的访问地址和授权令牌,所述监控数据是第三方设备待访问的且由所述监控设备上传至数据存储服务器的监控数据,所述授权令牌为用于授权所述第三方设备访问所述监控数据的令牌;
S402:向所述第三方设备转发所述访问地址和所述授权令牌,以由所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
在一个实施例中,步骤S401中,所述获得监控数据的访问地址和授权令牌包括:
在将所述监控数据上传至所述数据存储服务器进行存储后,从所述数据存储服务器获得所述监控数据的访问地址和所述数据存储服务器已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
所述第三方设备为所述监控设备已配置的设备标识对应的设备,用于被指定访问所述监控设备上传的所述监控数据。
关于本发明第二方面提供的监控数据访问控制方法的具体内容可以参看本发明第一方面提供的监控数据访问控制方法中的描述内容,相同或相似之处在此不再赘述。
本发明第三方面提供一种监控数据访问控制装置,该装置应用于数据存储服务器,参看图4,该监控数据访问控制装置300包括:
策略生成模块301,用于依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;
策略存储模块302,用于存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
令牌与地址发送模块303,用于向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
在一个实施例中,所述授权令牌通过以下模块生成:
令牌ID生成模块,用于按照设定的令牌ID要求随机生成满足所述令牌ID要求的令牌ID;
令牌签名生成模块,用于采用预设签名方式和预设授权密钥对所述访问地址和令牌ID进行签名运算,得到令牌签名;
授权令牌生成模块,用于依据所述令牌ID和所述令牌签名生成所述授权令牌。
在一个实施例中,该装置进一步包括:
访问请求接收模块,用于接收来自所述第三方设备发送的访问请求,所述访问请求携带所述第三方设备已接收的来自所述数据存储服务器发送的目标访问地址和目标授权令牌;
令牌验证模块,用于对所述目标授权令牌进行验证,并在所述目标授权令牌通过验证时,以所述目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略;
访问控制模块,用于当查找到的数据访问控制策略允许访问与所述目标访问地址所对应的监控数据,则允许所述第三方设备访问与所述目标访问地址所对应的监控数据;否则,拒绝所述第三方设备访问与所述目标访问地址所对应的监控数据。
在一个实施例中,所述目标授权令牌包括:令牌ID和令牌签名;
所述令牌验证模块对所述目标授权令牌进行验证时,具体用于:
采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算,得到验证签名;
比较所述验证签名与所述目标授权令牌中的令牌签名是否一致,若一致,则确定验证通过;否则,确定验证不通过。
在一个实施例中,
所述授权令牌包括:令牌ID;
所述数据访问控制策略的索引为所述授权令牌中的令牌ID;
所述令牌验证模块以目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略时,具体用于:
以所述目标授权令牌中的令牌ID为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略。
在一个实施例中,所述策略生成模块依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略时,具体用于:
依据所述监控数据的数据类型和第三方设备的设备类型生成第三方设备对应的用于访问所述监控数据的数据访问控制策略;
其中,所述数据访问控制策略至少包括:被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型中的至少一个。
关于本发明第三方面提供的数据访问控制装置的具体内容可以参看本发明第一方面提供的数据访问控制方法中的描述内容,相同或相似之处在此不再赘述。
本发明第四方面提供一种监控数据访问控制装置,该装置应用于监控设备,参看图7,该监控数据访问控制装置500包括:
令牌与地址获得模块501,用于获得监控数据的访问地址和授权令牌,所述监控数据是第三方设备待访问的且由所述监控设备上传至数据存储服务器的监控数据,所述授权令牌为用于授权所述第三方设备访问所述监控数据的令牌;
令牌与地址转发模块502,用于向所述第三方设备转发所述访问地址和所述授权令牌,以由所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
在一个实施例中,所述令牌与地址获得模块获得监控数据的访问地址和授权令牌时,具体用于:
在将所述监控数据上传至所述数据存储服务器进行存储后,从所述数据存储服务器获得所述监控数据的访问地址和所述数据存储服务器已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
所述第三方设备为所述监控设备已配置的设备标识对应的设备,用于被指定访问所述监控设备上传的所述监控数据。
关于本发明第四方面提供的数据访问控制装置的具体内容可以参看本发明第一方面提供的数据访问控制方法中的描述内容,相同或相似之处在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元。
本发明还提供一种电子设备,包括处理器及存储器;所述存储器存储有可被处理器调用的程序;其中,所述处理器执行所述程序时,实现如前述实施例中所述的监控数据访问控制方法。
本发明监控数据访问控制装置的实施例可以应用在电子设备上。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图8所示,图8是本发明根据一示例性实施例示出的监控数据访问控制装置300所在电子设备的一种硬件结构图,除了图8所示的处理器610、内存630、网络接口620、以及非易失性存储器640之外,实施例中监控数据访问控制装置300所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
本发明还提供一种机器可读存储介质,其上存储有程序,该程序被处理器执行时,实现如前述实施例中所述的监控数据访问控制方法。
本发明可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。机器可读存储介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。机器可读存储介质的例子包括但不限于:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种监控数据访问控制方法,其特征在于,该方法应用于数据存储服务器,包括:
依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;
存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
2.如权利要求1所述的监控数据访问控制方法,其特征在于,所述授权令牌通过以下方式生成:
按照设定的令牌ID要求随机生成满足所述令牌ID要求的令牌ID;
采用预设签名方式和预设授权密钥对所述访问地址和令牌ID进行签名运算,得到令牌签名;
依据所述令牌ID和所述令牌签名生成所述授权令牌。
3.如权利要求1或2所述的监控数据访问控制方法,其特征在于,该方法进一步包括:
接收来自所述第三方设备发送的访问请求,所述访问请求携带所述第三方设备已接收的来自所述数据存储服务器发送的目标访问地址和目标授权令牌;
对所述目标授权令牌进行验证,并在所述目标授权令牌通过验证时,以所述目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略;
当查找到的所述目标数据访问控制策略允许访问与所述目标访问地址所对应的监控数据,则允许所述第三方设备访问与所述目标访问地址所对应的监控数据;否则,拒绝所述第三方设备访问与所述目标访问地址所对应的监控数据。
4.如权利要求3所述的监控数据访问控制方法,其特征在于,所述目标授权令牌包括:令牌ID和令牌签名;
所述对所述目标授权令牌进行验证,包括:
采用预设签名方式和预设授权密钥对所述目标访问地址和目标授权令牌中的令牌ID进行签名运算,得到验证签名;
比较所述验证签名与所述目标授权令牌中的令牌签名是否一致,若一致,则确定验证通过;否则,确定验证不通过。
5.如权利要求3所述的监控数据访问控制方法,其特征在于,
所述授权令牌包括:令牌ID;
所述数据访问控制策略的索引为所述授权令牌中的令牌ID;
所述以目标授权令牌为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略包括:
以所述目标授权令牌中的令牌ID为索引在已存储的数据访问控制策略中查找到对应的目标数据访问控制策略。
6.如权利要求1所述的监控数据访问控制方法,其特征在于,依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略包括:
依据所述监控数据的数据类型和第三方设备的设备类型生成第三方设备对应的用于访问所述监控数据的数据访问控制策略;
其中,所述数据访问控制策略至少包括:被允许访问监控数据的访问时间信息、被允许访问监控数据的剩余访问次数,被允许访问监控数据的第三方设备的设备标识、被允许访问监控数据的访问操作类型中的至少一个。
7.一种监控数据访问控制方法,其特征在于,该方法应用于监控设备,包括:
获得监控数据的访问地址和授权令牌,所述监控数据是第三方设备待访问的且由所述监控设备上传至数据存储服务器的监控数据,所述授权令牌为用于授权所述第三方设备访问所述监控数据的令牌;
向所述第三方设备转发所述访问地址和所述授权令牌,以由所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
8.如权利要求7所述的监控数据访问控制方法,其特征在于,所述获得监控数据的访问地址和授权令牌包括:
在将所述监控数据上传至所述数据存储服务器进行存储后,从所述数据存储服务器获得所述监控数据的访问地址和所述数据存储服务器已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
所述第三方设备为所述监控设备已配置的设备标识对应的设备,用于被指定访问所述监控设备上传的所述监控数据。
9.一种监控数据访问控制装置,其特征在于,该装置应用于数据存储服务器,包括:
策略生成模块,用于依据已获得的监控数据和第三方设备的设备信息生成第三方设备对应的用于访问所述监控数据的数据访问控制策略,所述第三方设备为被指定的用于访问所述监控数据的设备;
策略存储模块,用于存储所述数据访问控制策略,所述数据访问控制策略的索引为已生成的用于授权所述第三方设备访问所述监控数据的授权令牌;
令牌与地址发送模块,用于向所述第三方设备发送所述授权令牌和所述监控数据的访问地址,以使所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
10.一种监控数据访问控制装置,其特征在于,该装置应用于监控设备,包括:
令牌与地址获得模块,用于获得监控数据的访问地址和授权令牌,所述监控数据是第三方设备待访问的且由所述监控设备上传至数据存储服务器的监控数据,所述授权令牌为用于授权所述第三方设备访问所述监控数据的令牌;
令牌与地址转发模块,用于向所述第三方设备转发所述访问地址和所述授权令牌,以由所述第三方设备依据所述授权令牌并按照所述授权令牌对应的数据访问控制策略访问所述访问地址对应的监控数据。
11.一种电子设备,其特征在于,包括处理器及存储器;所述存储器存储有可被处理器调用的程序;其中,所述处理器执行所述程序时,实现如权利要求1-8中任意一项所述的监控数据访问控制方法。
12.一种机器可读存储介质,其特征在于,其上存储有程序,该程序被处理器执行时,实现如权利要求1-8中任意一项所述的监控数据访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010718253.8A CN111737752B (zh) | 2020-07-23 | 2020-07-23 | 监控数据访问控制方法、装置及设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010718253.8A CN111737752B (zh) | 2020-07-23 | 2020-07-23 | 监控数据访问控制方法、装置及设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111737752A true CN111737752A (zh) | 2020-10-02 |
| CN111737752B CN111737752B (zh) | 2021-02-26 |
Family
ID=72657478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010718253.8A Active CN111737752B (zh) | 2020-07-23 | 2020-07-23 | 监控数据访问控制方法、装置及设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111737752B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437110A (zh) * | 2020-10-10 | 2021-03-02 | 湖南成蹊信息技术有限公司 | 一种车辆监控***及方法 |
| CN112583584A (zh) * | 2020-11-30 | 2021-03-30 | 郑州信大捷安信息技术股份有限公司 | 一种基于随机数的服务监控***及方法 |
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN114422117A (zh) * | 2021-12-14 | 2022-04-29 | 杭州宇链科技有限公司 | 隐私保护的视频采集方法及其对应的播放方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制*** |
| CN106302546A (zh) * | 2016-10-18 | 2017-01-04 | 青岛海信电器股份有限公司 | 实现服务器访问的方法和装置 |
| CN106649856A (zh) * | 2016-12-30 | 2017-05-10 | 金蝶软件(中国)有限公司 | 一种数据库访问装置、***及方法 |
| CN107622211A (zh) * | 2017-09-27 | 2018-01-23 | 浪潮软件股份有限公司 | 一种大数据集群权限访问控制方法及装置 |
| CN108810006A (zh) * | 2018-06-25 | 2018-11-13 | 百度在线网络技术(北京)有限公司 | 资源访问方法、装置、设备及存储介质 |
| CN110912865A (zh) * | 2018-09-18 | 2020-03-24 | 深圳市鸿合创新信息技术有限责任公司 | 一种安全访问控制方法及服务器、电子设备 |
-
2020
- 2020-07-23 CN CN202010718253.8A patent/CN111737752B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制*** |
| CN106302546A (zh) * | 2016-10-18 | 2017-01-04 | 青岛海信电器股份有限公司 | 实现服务器访问的方法和装置 |
| CN106649856A (zh) * | 2016-12-30 | 2017-05-10 | 金蝶软件(中国)有限公司 | 一种数据库访问装置、***及方法 |
| CN107622211A (zh) * | 2017-09-27 | 2018-01-23 | 浪潮软件股份有限公司 | 一种大数据集群权限访问控制方法及装置 |
| CN108810006A (zh) * | 2018-06-25 | 2018-11-13 | 百度在线网络技术(北京)有限公司 | 资源访问方法、装置、设备及存储介质 |
| CN110912865A (zh) * | 2018-09-18 | 2020-03-24 | 深圳市鸿合创新信息技术有限责任公司 | 一种安全访问控制方法及服务器、电子设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437110A (zh) * | 2020-10-10 | 2021-03-02 | 湖南成蹊信息技术有限公司 | 一种车辆监控***及方法 |
| CN112583584A (zh) * | 2020-11-30 | 2021-03-30 | 郑州信大捷安信息技术股份有限公司 | 一种基于随机数的服务监控***及方法 |
| CN112583584B (zh) * | 2020-11-30 | 2022-03-25 | 郑州信大捷安信息技术股份有限公司 | 一种基于随机数的服务监控***及方法 |
| CN113486060A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN113486060B (zh) * | 2021-06-25 | 2023-06-16 | 青岛海尔科技有限公司 | 数据访问处理方法和装置、存储介质及电子设备 |
| CN114422117A (zh) * | 2021-12-14 | 2022-04-29 | 杭州宇链科技有限公司 | 隐私保护的视频采集方法及其对应的播放方法 |
| CN114422117B (zh) * | 2021-12-14 | 2023-09-22 | 杭州宇链科技有限公司 | 隐私保护的视频采集方法及其对应的播放方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111737752B (zh) | 2021-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111737752B (zh) | 监控数据访问控制方法、装置及设备、存储介质 | |
| US20200285978A1 (en) | Model training system and method, and storage medium | |
| EP3905078A1 (en) | Identity verification method and system therefor | |
| JP5456702B2 (ja) | 計算装置への不許可アクセスを検出するためのおよびそのような不許可アクセスについての情報を安全に伝えるための方法および装置 | |
| JP4746266B2 (ja) | ネットワーク・ロケーション中のサブ・ロケーションについてのユーザの認証の方法およびシステム | |
| CN101355556B (zh) | 认证信息处理装置和认证信息处理方法 | |
| CN103189872A (zh) | 联网环境中的安全和有效内容筛选 | |
| US20200050741A1 (en) | Method for rights management, system for rights management, readable storage medium, and computer device | |
| US20220329446A1 (en) | Enhanced asset management using an electronic ledger | |
| US20230388304A1 (en) | Decentralized application authentication | |
| CN114925141B (zh) | 一种基于区块链的云原生自动化部署管理***及方法 | |
| CN115695005A (zh) | 一种账号登录验证方法及装置、电子设备、存储介质 | |
| US20170093844A1 (en) | Data Theft Deterrence | |
| WO2016013925A1 (en) | System and method for secure tracking of internet of things based goods in supply chain system | |
| CN112422527B (zh) | 变电站电力监控***的威胁评估***、方法和装置 | |
| CN113839945A (zh) | 一种基于身份的可信接入控制***和方法 | |
| CN111193754B (zh) | 应用于物联网的数据访问方法及***、设备 | |
| CN113542191A (zh) | 基于区块链的数据访问、验证的方法以及装置 | |
| US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path | |
| CN113468591A (zh) | 数据访问方法、***、电子设备及计算机可读存储介质 | |
| TWI807041B (zh) | 訊息處理裝置、訊息處理方法、訊息處理程式、以及訊息處理系統 | |
| KR102493041B1 (ko) | 블록체인을 활용하여 로그를 감시하는 장치 | |
| JP6562370B1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
| CN109063458B (zh) | 一种分层信息管理的终端安全方法和装置 | |
| CN106162630A (zh) | 一种终端设备的加密防护***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |