CN116136911A - 一种数据访问方法及装置 - Google Patents
一种数据访问方法及装置 Download PDFInfo
- Publication number
- CN116136911A CN116136911A CN202111352428.9A CN202111352428A CN116136911A CN 116136911 A CN116136911 A CN 116136911A CN 202111352428 A CN202111352428 A CN 202111352428A CN 116136911 A CN116136911 A CN 116136911A
- Authority
- CN
- China
- Prior art keywords
- data
- client
- routing information
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种数据访问方法及装置,其中,该方法包括:云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种数据访问方法及装置。
背景技术
互联网发展到现在,很多服务都是在远端完成的,如通常使用的网盘等,将这些服务综合引申到集成的远端服务供应就是所谓的云服务,云服务的出现也必然有它的信息安全问题,其核心就是数据安全。
现有技术中为了保证云端数据的安全性,通常会在数据的存储阶段对数据进行加密,例如,在用户终端对用户即将上传至云端的数据进行加密保护,或者在云端接收到用户想要存储的数据后对其进行加密保护,后续用户对存储在云端的数据进行访问时,可以直接获取其在云端存储的加密数据,若加密方式一旦被破解,将会对用户的数据造成安全隐患,因此,如何提高用户访问云端数据时数据的安全性已成为目前亟需解决的问题。
发明内容
本发明实施例的目的是提供一种数据访问方法及装置,以解决现有技术中用户对云端数据进行访问时存在的数据安全隐患的问题。
为了解决上述技术问题,本发明实施例是这样实现的:
第一方面,本发明实施例提供了一种数据访问方法,应用于云端服务器,包括:
接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
第二方面,本发明实施例提供了一种数据访问装置,包括:
接收模块,用于接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
权限请求发送模块,用于若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
安全验证模块,用于若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
数据传输模块,用于若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
第三方面,本发明实施例提供了一种计算机设备,包括处理器、通信接口、存储器和通信总线;其中,所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信;所述存储器,用于存放计算机程序;所述处理器,用于执行所述存储器上所存放的程序,实现如第一方面所述的数据访问方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现如第一方面所述的数据访问方法的步骤。
本发明实施例中的数据访问方法及装置,该方法包括:接收客户端的数据访问请求;其中,该数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,该目标访问数据是客户端预先通过第三方服务器对用户相关数据进行加密并存储至云端服务器的;若预存的多个第二数据路由信息中存在与上述第一数据路由信息相匹配的目标数据路由信息,则基于上述时间戳信息和该目标数据路由信息,向上述第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于该权限认证请求对客户端进行鉴权验证处理;若上述第三方服务器针对上述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输上述目标访问数据的数据传输通道进行安全性验证;若上述数据传输通道的安全性验证结果为验证通过,则通过上述数据传输通道向客户端传输上述目标访问数据。在本发明实施例中,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的数据访问方法的第一种流程示意图;
图2为本发明实施例提供的数据访问方法的应用场景示意图;
图3为本发明实施例提供的数据访问方法的第二种流程示意图;
图4为本发明实施例提供的数据访问方法的第三种流程示意图;
图5为本发明实施例提供的数据访问装置的模块组成示意图;
图6为本发明实施例提供的计算机设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明实施例提供了一种数据访问方法及装置,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
图1为本发明实施例提供的数据访问方法的第一种流程示意图,图1中的方法能够由云端服务器执行,如图1所示,该方法至少包括以下步骤:
S102,接收客户端的数据访问请求;其中,该数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,该目标访问数据是客户端预先通过第三方服务器对用户相关数据进行加密并存储至云端服务器的。
其中,上述预先通过第三方服务器加密并存储至云端服务器的用户相关数据可以是某一公司预先通过第三方服务器加密并存储至云端服务器的公司内部业务数据、员工身份数据等公司相关数据;也可以是某一存储发起人预先通过第三方服务器加密并存储至云端服务器的个人相关数据(例如,个人相册数据,个人文件数据等)。
上述第一数据路由信息是客户端通过第三方服务器对用户相关数据进行加密并存储至云端服务器时,由云端服务器为该客户端存储的用户相关数据分配的数据路由信息、并将该数据路由信息发送至客户端,以使客户端可以通过该数据路由信息找到其存储在云端服务器的用户相关数据所在的存储地址,进而使客户端对存储的用户相关数据进行访问;其中,该第一数据路由信息的数量至少为一条,每条第一数据路由信息都对应于一部分用户相关数据。
上述时间戳信息是客户端在发起数据访问请求时,向第三方服务器请求的用于标识该数据访问请求的发起时间的时间信息,其中,只有通过第三方服务器对用户相关数据进行加密并存储至云端服务器的客户端(即被授权的客户端)才能向第三方服务器请求时间戳信息。
S104,若预存的多个第二数据路由信息中存在与上述第一数据路由信息相匹配的目标数据路由信息,则基于上述时间戳信息和该目标数据路由信息,向上述第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于该权限认证请求对客户端进行鉴权验证处理。
其中,上述多个第二数据路由信息包括针对客户端通过第三方服务器请求存储的用户相关数据所分配的数据路由信息、其他客户端授权客户端访问权限的其他数据的授权路由信息;
具体的,首先由云端服务器判断预存的多个第二数据路由信息中是否存在与上述第一数据路由信息相匹配的目标数据路由信息(即对数据路由信息进行匹配),若不存在,则确定客户端发起的数据访问请求中携带的数据路由信息不是其所要访问的目标访问数据对应的数据路由信息,此时客户端所要访问的目标访问数据存在安全隐患,因此,云端服务器需要对该数据访问请求进行拦截处理,并对其所要访问的目标访问数据进行安全保护处理。
具体的,若云端服务器判断预存的多个第二数据路由信息中存在与上述第一数据路由信息相匹配的目标数据路由信息,则确定客户端发起的数据访问请求中携带的数据路由信息是其所要访问的目标访问数据对应的数据路由信息,则进一步基于数据访问请求中携带的时间戳信息,向第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于该权限认证请求对客户端进行鉴权验证处理,其中,该权限认证请求是由派生签名密钥和时间戳信息进行拼接处理得到的。
具体的,第三方服务器基于该权限认证请求对客户端进行鉴权验证处理时,首先验证来自于云端服务器的权限认证请求中是否存在时间戳信息,即首先对该权限认证请求进行拆分,将其拆分为派生签名密钥和时间戳信息,若第三方服务器能从该权限认证请求中解析出时间戳信息,则确定数据访问请求由是被授权的客户端发起的。
进一步的,第三方服务器从上述拆分得到的派生签名密钥中解析出第二签名参数信息和预设签名算法的算法标识,进而从该第二签名参数信息中解析出第一签名参数信息和安全标识,最后再从该第一签名参数信息解析出时间戳信息、以及字符串连接处理后的预设签名算法的版本标识和安全密钥,其中,该安全标识和该安全密钥用于表示客户端的身份信息。进一步的,第三方服务器还需对权限认证请求中解析出的时间戳信息进行鉴权,具体的,若第三方服务器从权限认证请求中解析出的时间戳信息与第三方服务器向客户端发送的时间戳信息之间的时间差值在预设范围内,则确定上述权限认证请求在有效时限内,则继续对权限认证请求中用于表示客户端的身份信息的安全标识和安全密钥进行鉴权,并生成相应的鉴权验证结果,其中,若第三方服务器基于权限认证请求中用于表示客户端的身份信息的安全标识和安全密钥得到的身份信息与发起数据访问请求的客户端的身份信息一致,则生成相应的鉴权通过结果。
S106,若上述第三方服务器针对上述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输上述目标访问数据的数据传输通道进行安全性验证。
具体的,若第三方服务器针对上述权限认证请求所生成的鉴权验证结果为鉴权不通过(即权限认证请求中是否存在时间戳信息、权限认证请求是否在有效时限内、权限认证请求中的安全标识和安全密钥验证中任一项验证不通过),则向云端服务器发送鉴权不通过的指示信息,以使云端服务器对该数据访问请求进行拦截处理,并对其所要访问的目标访问数据进行安全保护处理。
具体的,若第三方服务器针对上述权限认证请求所生成的鉴权验证结果为鉴权通过(即时间戳信息验证、权限认证请求中的安全标识和安全密钥验证均通过),则向云端服务器发送鉴权通过的指示信息,以使云端服务器基于第一报文数据对用于传输目标访问数据的数据传输通道进行安全性验证。
具体的,上述第一报文数据可以是默认的报文数据,也可以是目标访问数据中的少量部分数据(该部分数据的大小小于预设阈值),云端服务器将上述第一报文数据发送至客户端,并接收客户端基于第一报文数据返回的第二报文数据。
S108,若上述数据传输通道的安全性验证结果为验证通过,则通过上述数据传输通道向客户端传输上述目标访问数据。
具体的,该数据传输通道为客户端与云端服务器之间的其中一个数据传输通道,为了提高数据传输效率,在云端服务器针对某一客户端设置多个应用程序端口,应用程序端口与目标访问数据之间具有一定映射关系,并且目标访问数据与第一数据路由信息之间也具有一定映射关系,即第一数据路由信息与应用程序端口也具有一定映射关系,因此,先基于该映射关系确定与目标数据路由信息对应的目标应用程序端口,该目标应用程序端口与客户端之间的数据传输通道即为用于传输目标数据的数据传输通道。
具体的,云端服务器对数据传输通道的安全性进行验证,若第一报文数据与第二报文数据相同,则验证结果为验证通过,则通过上述数据传输通道向客户端传输目标访问数据;若第一报文数据与第二报文数据不同,则验证结果为验证不通过,则对该数据访问请求进行拦截处理,并对其所要访问的目标访问数据进行安全保护处理。
本发明提供的实施例中,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
进一步的,针对数据路由信息匹配的过程,为了能够提高数据路由信息的匹配准确度,基于此,在上述步骤S102,接收客户端的数据访问请求之后,具体包括:
获取预先针对客户端所存储多个第二数据路由信息;其中,第二数据路由信息包括:针对客户端通过第三方服务器请求存储的用户相关数据所分配的数据路由信息、其他客户端授权客户端访问权限的其他数据的授权路由信息;
判断多个第二数据路由信息中是否包括第一数据路由信息;
若判断结果为包括,则确定预存的多个第二数据路由信息中存在与第一数据路由信息相匹配的目标数据路由信息;
若判断结果为不包括,则判断第一数据路由信息是否属于某一第二数据路由信息的子路由信息;
若判断结果为属于,则确定预存的多个第二数据路由信息中存在与第一数据路由信息相匹配的目标数据路由信息。
具体的,云端服务器首先获取预先针对客户端所存储的多个第二数据路由信息;其中,第二数据路由信息包括:针对客户端通过第三方服务器请求存储的用户相关数据所分配的数据路由信息、其他客户端授权客户端访问权限的其他数据的授权路由信息,并判断多个第二数据路由信息中是否包括数据访问请求中携带的第一数据路由信息;
若判断结果为包括,则确定预存的多个第二数据路由信息中存在与第一数据路由信息相匹配的目标数据路由信息,并基于时间戳信息和目标数据路由信息,向第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于权限认证请求对客户端进行鉴权验证处理。
若判断结果为不包括,则判断第一数据路由信息是否属于某一第二数据路由信息的子路由信息,若判断结果为属于,则确定第一数据路由信息与任一第二数据路由信息均不一致,但是属于某一第二数据路由信息的子路由信息,此时也认为存在匹配的与第一数据路由信息相匹配的目标数据路由信息,并基于时间戳信息和目标数据路由信息,向第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于权限认证请求对客户端进行鉴权验证处理。
若判断结果为不属于,则确定客户端发起的数据访问请求中携带的数据路由信息与任一第二数据路由信息均不一致,并且也不属于某一第二数据路由信息的子路由信息,此时客户端所要访问的目标访问数据存在安全隐患,因此,云端服务器需要对该数据访问请求进行拦截处理,并对其所要访问的目标访问数据进行安全保护处理。
本发明实施例中,针对数据路由信息匹配的过程,不仅考虑客户端自身请求存储的目标访问数据的数据路由信息,还考虑了其他客户端对当前客户端已授予访问权限的目标访问数据的数据路由信息,同时还判断第一数据路由信息是否为某一第二数据路由信息的子路由信息,这样能够提高数据路由信息的匹配准确度,进而提高数据访问请求的精准度。
进一步的,针对客户端的权限认证处理的过程,为了能够提高针对客户端的鉴权验证的精准度,从而进一步确保客户端当前请求访问的数据的安全性,基于此,上述S104中,基于时间戳信息和目标数据路由信息,向第三方服务器发送针对客户端的权限认证请求,具体包括:
将时间戳信息传输至目标数据路由信息对应的可信存储区域;其中,可信存储区域内存储有身份相关信息和预设签名算法,身份相关信息包括:在用户注册阶段为其分配的安全标识和安全密钥;
在可信存储区域中,利用预设签名算法对时间戳信息、安全标识和安全密钥进行签名处理,生成针对客户端的权限认证请求;
将权限认证请求发送至第三方服务器。
其中,上述可信存储区域是云端服务器在云端服务器的存储区域中构造得到的,云端服务器将客户端的身份相关信息存储至云端服务器的可信存储区域,以保证身份相关信息的存储安全性。具体的,云端服务器在构造可信存储区域时,调用应用程序端口并获取其临时令牌,在云端服务器的内存中创建包含临时令牌的飞地容器,并生成飞地容器的访问接口,其中,飞地容器将云端服务器的内存划分为可信存储区域和非可信存储区域,可信存储区域是指飞地容器所容纳的内存区域,非可信存储区域是指飞地容器之外的内存区域,访问接口用于桥接可信存储区域和非可信存储区域,可信存储区域用于存储客户端的身份相关信息和预设签名算法、以及应用程序端口对应的应用程序涉及的隐私数据、应用程序请求保护的数据等)。
具体的,云端服务器调用应用程序端口将接收的数据访问请求中的时间戳信息传输至目标数据路由信息对应的可信存储区域;其中,可信存储区域内存储有身份相关信息和预设签名算法,身份相关信息包括:云端服务器在用户注册阶段为其分配的安全标识和安全密钥;在可信存储区域中,利用预设签名算法对时间戳信息、安全标识和安全密钥进行签名处理,生成针对客户端的权限认证请求,并将该权限认证请求发送至第三方服务器,以使第三方服务器基于该权限认证请求对客户端进行鉴权验证处理。
其中,针对权限认证请求在云端服务器的生成过程,在云端服务器的可信存储区域中,利用预设签名算法对时间戳信息、安全标识和安全密钥进行签名处理,生成针对客户端的权限认证请求,具体包括:在云端服务器的可信存储区域中,对预设签名算法的版本标识和安全密钥进行字符串连接处理,得到处理后的安全密钥;以及,利用预设签名算法,对时间戳信息和处理后的安全密钥进行签名处理,得到第一签名参数信息;利用预设签名算法,对第一签名参数信息和安全标识进行签名处理,得到第二签名参数信息;利用预设签名算法,对第二签名参数信息和预设签名算法的算法标识进行签名处理,生成派生签名密钥;对派生签名密钥和时间戳信息进行拼接处理,生成针对客户端的权限认证请求;其中,预设签名算法的算法标识与预设签名算法的版本标识不同,预设签名算法的算法标识与预设签名算法是一一对应的,每个预设签名算法的算法标识的不同版本对应不同的预设签名算法的版本标识。
本发明实施例中,针对客户端的权限认证处理的过程,通过引入身份相关信息和预设签名算法,在可信存储区域内对时间戳信息、身份相关信息中的安全标识和安全密钥进行一系列处理,生成权限认证请求,进而基于该权限认证请求触发第三方服务器进行鉴权处理,这样能够提高针对客户端的鉴权验证的精准度,从而进一步确保客户端当前请求访问的数据的安全性。
进一步的,考虑到第三方服务器对权限认证请求鉴权通过后,云端服务器可以通过数据传输通道向客户端传输目标访问数据,为了确保数据传输过程中所要传输的数据的安全性,需要对数据传输通道进行安全验证,进一步保证在数据传输通道中所传输的数据不会被截取或篡改,基于此,上述基于第一报文数据对用于传输目标访问数据的数据传输通道进行安全性验证,具体包括:
通过与目标数据路由信息对应的数据传输通道将第一报文数据发送至客户端;
接收客户端基于第一报文数据所返回的第二报文数据;
若第一报文数据与第二报文数据一致,则确定针对数据传输通道的安全性验证结果为验证通过。
具体的,针对客户端预先通过第三方服务器对用户相关数据进行加密并存储至云端服务器的过程,第三方服务器针对每个客户端对应的用户相关数据均生成至少一对公私密钥对,并同时发送至客户端、以及云端服务器中存储上述用户相关数据可信存储区域,以使客户端可以基于公私密钥对对用户相关数据进行解密,进而获得解密后的用户相关数据。
具体的,为了验证数据传输通道的安全性,云端服务器首先通过与目标数据路由信息对应的数据传输通道将第一报文数据发送至客户端,由客户端利用公私密钥对第一报文数据其进行解密,并将解密后的第二报文数据通过与目标数据路由信息对应的数据传输通道原路发送回云端服务器,云端服务器接收到客户端基于第一报文数据所返回的第二报文数据后,将第二报文数据与第一报文数据进行比对,若第一报文数据与第二报文数据一致,则确定针对数据传输通道的安全性验证结果为验证通过,则云端服务器可以通过上述数据传输通道向客户端传输目标访问数据;若第一报文数据与第二报文数据不一致,或者云端服务器未在预设的时间内接收到客户端基于第一报文数据所返回的第二报文数据,则确定针对数据传输通道的安全性验证结果为验证不通过,云端服务器对接收到的数据访问请求进行拦截处理,以及对客户端所要访问的目标访问数据进行安全保护处理。
本发明实施例中,针对数据传输的过程,云端服务器先向客户端传输第一报文数据,若第一报文数据与客户端基于第一报文数据返回的第二报文数据一致,则确保了数据在传输过程中未被截取或篡改,确保了数据传输通道的安全性,才向客户端传输相应的目标访问数据,更进一步的确保了客户端当前请求访问的数据的安全性。
其中,考虑到为了确保数据访问过程中数据的安全性,因此云端服务器需要在上述数据路由信息匹配、上述客户端的权限认证处理、上述数据传输通道的安全性验证中任一项验证失败时,对数据访问请求进行拦截处理,并客户端所要访问的数据进行安全保护处理,基于此,上述数据访问方法还包括:
若数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证中任一项验证失败,则对数据访问请求进行拦截处理;以及,对目标访问数据进行安全保护处理,其中,安全保护处理包括:数据转移、数据删除、数据备份、安全预警中至少一项。
其中,上述对目标访问数据进行安全保护处理,具体包括:在目标数据路由信息对应的可信存储区域内预留的备份存储子区域中,存储目标访问数据;以及,在目标数据路由信息对应的可信存储区域内目标访问数据的原始存储子区域中,删除目标访问数据;基于原始存储子区域的地址信息,更新备份存储子区域的地址信息。
具体的,云端服务器内部可以划分为多个存储区域,每个存储区域均为一个可信存储区域,均用于存储某一客户端(例如,某一司的数据,或者某一存储发起人的数据等)的用户相关数据,进一步的,每个存储区域都对应于至少两个存储子区域,一个存储子区域(原始存储子区域)用于存储用户原始数据,另一个存储子区域(备份存储子区域)用于存储用户原始数据的备份数据,第三方服务器在向云端服务器发送公私密钥对时,分别为每个存储子区域均发送一对公私密钥对。
具体的,云端服务器对目标访问数据进行安全保护处理时,在目标数据路由信息对应的可信存储区域内预留的备份存储子区域中,存储目标访问数据,并在目标数据路由信息对应的可信存储区域内目标访问数据的原始存储子区域中,删除目标访问数据,进一步基于原始存储子区域的地址信息,更新备份存储子区域的地址信息,此时由于将备份存储子区域的地址信息更新为原始存储子区域的地址信息,因此,可以无需对目标访问数据的数据路由信息进行变更,以使客户端基于原始存储子区域的地址信息对应的第一数据路由信息,在备份存储子区域中也可以基于该第一数据路由信息找到目标访问数据的地址信息,以使云端服务器不用在每次将原始存储子区域的数据转移至备份存储子区域时都更新一次数据路由信息,减轻了数据处理量。
进一步地,还可以为上述数据从原始存储子区域转移到备份存储子区域的过程生成相关的数据转移证据,以使客户端基于该数据转移证据判断数据是否全部正确转移,具体的,在云端服务器对数据进行转移过程中,第三方服务器会针对转移的数据向云端服务器发送新的公私密钥对,用新的加密算法对转移的数据进行加密(此处加密后需要新的解密规则才能解密,数据每转移一次,就会重新加密),并用新生成的公私密钥更新原先存储在原始存储子区域和备份存储子区域的公私密钥对,云端服务器在数据全部转移完成后先检测数据的正确性,再将新的公私密钥对通过目标数据路由信息对应的数据传输通道发送给客户端,以使客户端下一次访问存储在新存储子区域(即备份存储子区域)的数据时,基于新的公私密钥对经过哈希算法的转换后就能够对数据进行解密。
本发明实施例中,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据;并且在任一项验证不通过的情况下,对数据进行安全保护处理,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
图2为本发明实施例提供的数据访问方法的应用场景示意图,包括:客户端、第三方服务器和云端服务器,针对数据存储的过程,考虑到无论是在客户端对用户数据进行加密,并将加密后的数据上传至云端服务器,还是客户端将数据上传云端服务器后,由云端服务器对用户数据进行加密,都存在加密过程对另一方不透明,且加密过程复杂、不安全的问题,进而导致存储在云端服务器的数据存在安全隐患,因此,通过引入第三方服务器对数据进行加密,使得加密的过程既不在客户端进行,也不在云端服务器进行,且整个加密过程对客户端透明,又可以针对不同的云端服务器提供差异性加密,进而使存储在云端服务器的数据更加安全,具体的,针对数据存储的过程,由第三方服务器接收客户端的数据上传请求,并根据预先为云端服务器设置的加密规则,以及与加密规则对应的加密密钥对客户端需要上传的数据进行加密,再由第三方服务器将加密后的数据上传至云端服务器,由云端服务器对加密后的数据进行存储,即针对后续数据访问的过程,客户端所要访问的目标访问数据就是客户端预先通过第三方服务器对用户相关数据进行加密并存储至云端服务器的数据。
在一个具体实施例中,提供了基于该应用场景实现本发明中数据访问方法的具体流程,如图3所示,在图2中所示的三方交互的应用场景下实现上述数据访问方法的具体实现过程为:
S302,云端服务器接收客户端的数据访问请求;其中,该数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息;
S304,云端服务器判断预存的多个第二数据路由信息中是否存在与上述第一数据路由信息相匹配的目标数据路由信息;
若存在,则执行S306,云端服务器基于上述时间戳信息和上述目标数据路由信息,向第三方服务器发送针对客户端的权限认证请求;
若不存在,则执行S308,云端服务器对上述数据访问请求进行拦截处理,以及对上述目标访问数据进行安全保护处理;
S310,第三方服务器基于上述权限认证请求对客户端进行鉴权验证处理,并生成相应的鉴权验证结果;
S312,第三方服务器判断上述鉴权验证结果是否为鉴权通过;
若通过,则第三方服务器将鉴权通过的结果发送给云端服务器,并执行S314,云端服务器基于第一报文数据对用于传输上述目标访问数据的数据传输通道进行安全性验证;
若不通过,则第三方服务器将鉴权不通过的结果发送给云端服务器,并返回执行上述S308,云端服务器对上述数据访问请求进行拦截处理,以及对上述目标访问数据进行安全保护处理;
S316,云端服务器判断数据传输通道的安全性验证结果是否为验证通过;
若通过,则执行S318,云端服务器通过上述数据传输通道向客户端传输目标访问数据;
若不通过,则返回执行上述S308,云端服务器对上述数据访问请求进行拦截处理,以及对上述目标访问数据进行安全保护处理。
其中,考虑到为了进一步提升存储在云端服务器的用户相关数据的安全性,本发明还在云端服务器提供了云网租户数据安全管控平台(即对在云端服务器注册的客户端开发的用于保护用户相关数据的数据安全管控平台),如图4所示,具体包括:从数据采集、数据存储、数据传输、数据使用、数据共享、再数据销毁的过程,云端服务器在对数据进行采集时,需要对数据进行分级分类、以及对敏感数据进行识别;其中,云端服务器可以对存储在云端服务器的数据进行异常行为分析、以及安全时间监测,进一步确保存储在云端服务器的用户相关数据的安全性。
本发明实施例中的数据访问方法,该方法包括:接收客户端的数据访问请求;其中,该数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,该目标访问数据是客户端预先通过第三方服务器对用户相关数据进行加密并存储至云端服务器的;若预存的多个第二数据路由信息中存在与上述第一数据路由信息相匹配的目标数据路由信息,则基于上述时间戳信息和该目标数据路由信息,向上述第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于该权限认证请求对客户端进行鉴权验证处理;若上述第三方服务器针对上述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输上述目标访问数据的数据传输通道进行安全性验证;若上述数据传输通道的安全性验证结果为验证通过,则通过上述数据传输通道向客户端传输上述目标访问数据。在本发明实施例中,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
对应上述实施例提供的数据访问方法,基于相同的技术构思,本发明实施例还提供了一种数据访问装置,图5为本发明实施例提供的数据访问装置的模块组成示意图,该数据访问装置用于执行图1至图4描述的数据访问方法,如图5所示,该数据访问装置包括:
接收模块502,用于接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
权限请求发送模块504,用于若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
安全验证模块506,用于若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
数据传输模块508,用于若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
本发明实施例中,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
可选地,在本发明的一个实施例中,所述数据访问装置,还包括:
路由信息获取模块,用于获取预先针对所述客户端所存储多个第二数据路由信息;其中,所述第二数据路由信息包括:针对所述客户端通过所述第三方服务器请求存储的用户相关数据所分配的数据路由信息、其他客户端授权所述客户端访问权限的其他数据的授权路由信息;
判断模块,用于判断所述多个第二数据路由信息中是否包括所述第一数据路由信息;
若判断结果为包括,则确定预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息;
若判断结果为不包括,则判断所述第一数据路由信息是否属于某一所述第二数据路由信息的子路由信息;
若判断结果为属于,则确定预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息。
可选的,在本发明的一个实施例中,所述权限请求发送模块504,具体用于:
将所述时间戳信息传输至所述目标数据路由信息对应的可信存储区域;其中,所述可信存储区域内存储有身份相关信息和预设签名算法,所述身份相关信息包括:在用户注册阶段为其分配的安全标识和安全密钥;
在所述可信存储区域中,利用所述预设签名算法对所述时间戳信息、所述安全标识和所述安全密钥进行签名处理,生成针对所述客户端的权限认证请求;
将所述权限认证请求发送至所述第三方服务器。
可选的,在本发明的一个实施例中,所述权限请求发送模块504,还具体用于:
在所述可信存储区域中,对所述预设签名算法的版本标识和所述安全密钥进行字符串连接处理,得到处理后的安全密钥;以及,
利用所述预设签名算法,对所述时间戳信息和所述处理后的安全密钥进行签名处理,得到第一签名参数信息;
利用所述预设签名算法,对所述第一签名参数信息和所述安全标识进行签名处理,得到第二签名参数信息;
利用所述预设签名算法,对所述第二签名参数信息和所述预设签名算法的算法标识进行签名处理,生成派生签名密钥;
对所述派生签名密钥和所述时间戳信息进行拼接处理,生成针对所述客户端的权限认证请求。
可选的,在本发明的一个实施例中,所述安全验证模块506,具体用于:
通过与所述目标数据路由信息对应的数据传输通道将第一报文数据发送至所述客户端;
接收所述客户端基于所述第一报文数据所返回的第二报文数据;
若所述第一报文数据与所述第二报文数据一致,则确定针对所述数据传输通道的安全性验证结果为验证通过。
可选的,在本发明的一个实施例中,所述数据访问装置508,还包括:
拦截模块,用于若数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证中任一项验证失败,则对所述数据访问请求进行拦截处理;以及,
安全保护模块,用于对所述目标访问数据进行安全保护处理,其中,所述安全保护处理包括:数据转移、数据删除、数据备份、安全预警中至少一项。
可选的,在本发明的一个实施例中,所述安全保护模块,具体用于:
在所述目标数据路由信息对应的可信存储区域内预留的备份存储子区域中,存储所述目标访问数据;以及,
在所述目标数据路由信息对应的可信存储区域内所述目标访问数据的原始存储子区域中,删除所述目标访问数据;
基于所述原始存储子区域的地址信息,更新所述备份存储子区域的地址信息。
本发明实施例中的数据访问装置,接收客户端的数据访问请求;其中,该数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,该目标访问数据是客户端预先通过第三方服务器对用户相关数据进行加密并存储至云端服务器的;若预存的多个第二数据路由信息中存在与上述第一数据路由信息相匹配的目标数据路由信息,则基于上述时间戳信息和该目标数据路由信息,向上述第三方服务器发送针对客户端的权限认证请求,以使第三方服务器基于该权限认证请求对客户端进行鉴权验证处理;若上述第三方服务器针对上述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输上述目标访问数据的数据传输通道进行安全性验证;若上述数据传输通道的安全性验证结果为验证通过,则通过上述数据传输通道向客户端传输上述目标访问数据。在本发明实施例中,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
本发明实施例提供的数据访问装置能够实现上述数据访问方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本发明实施例提供的数据访问装置与本发明实施例提供的数据访问方法基于同一发明构思,因此该实施例的具体实施可以参见前述数据访问方法的实施,重复之处不再赘述。
对应上述实施例提供的数据访问方法,基于相同的技术构思,本发明实施例还提供了一种计算机设备,该设备用于执行上述的数据访问方法,图6为实现本发明各个实施例的一种计算机设备的结构示意图,如图6所示。计算机设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器601和存储器602,存储器602中可以存储有一个或一个以上存储应用程序或数据。其中,存储器602可以是短暂存储或持久存储。存储在存储器602的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对计算机设备中的一系列计算机可执行指令。更进一步地,处理器601可以设置为与存储器602通信,在计算机设备上执行存储器602中的一系列计算机可执行指令。计算机设备还可以包括一个或一个以上电源603,一个或一个以上有线或无线网络接口604,一个或一个以上输入输出接口605,一个或一个以上键盘606。
具体在本实施例中,计算机设备包括有处理器、通信接口、存储器和通信总线;其中,处理器、通信接口以及存储器通过总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序,实现以下方法步骤:
接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
本发明实施例中的计算机设备,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
本发明实施例提供的计算机设备能够实现上述数据访问方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本发明实施例提供的计算机设备与本发明实施例提供的数据访问方法基于同一发明构思,因此该实施例的具体实施可以参见前述数据访问方法的实施,重复之处不再赘述。
对应上述实施例提供的数据访问方法,基于相同的技术构思,本发明实施例还提供一种计算机可读存储介质,存储介质内存储有计算机程序,计算机程序被处理器执行时实现以下方法步骤:
接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
本发明实施例中的计算机可读存储介质,云端服务器在接收到客户端的数据访问请求后,依次对该数据访问请求进行数据路由信息匹配、客户端的权限认证处理、数据传输通道的安全性验证,只有这多重验证处理均通过的情况下,才向客户端传输相应的目标访问数据,这样针对由第三方服务器对客户端数据进行加密并存储至云端服务器的应用场景下,为了提高后续数据访问过程的安全性,通过增加多重验证机制,从而确保客户端当前请求访问的数据的安全性。
本发明实施例提供的计算机可读存储介质能够实现上述数据访问方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本发明实施例提供的计算机可读存储介质与本发明实施例提供的数据访问方法基于同一发明构思,因此该实施例的具体实施可以参见前述数据访问方法的实施,重复之处不再赘述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本发明的实施例可提供为方法、***或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本发明的实施例而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (10)
1.一种数据访问方法,其特征在于,应用于云端服务器,所述方法包括:
接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
2.根据权利要求1所述的方法,其特征在于,在接收客户端的数据访问请求之后,还包括:
获取预先针对所述客户端所存储多个第二数据路由信息;其中,所述第二路由信息包括:针对所述客户端通过所述第三方服务器请求存储的用户相关数据所分配的数据路由信息、其他客户端授权所述客户端访问权限的其他数据的授权路由信息;
判断所述多个第二数据路由信息中是否包括所述第一数据路由信息;
若判断结果为包括,则确定预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息;
若判断结果为不包括,则判断所述第一数据路由信息是否属于某一所述第二数据路由信息的子路由信息;
若判断结果为属于,则确定预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息。
3.根据权利要求1所述的方法,其特征在于,所述基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,包括:
将所述时间戳信息传输至所述目标数据路由信息对应的可信存储区域;其中,所述可信存储区域内存储有身份相关信息和预设签名算法,所述身份相关信息包括:在用户注册阶段为其分配的安全标识和安全密钥;
在所述可信存储区域中,利用所述预设签名算法对所述时间戳信息、所述安全标识和所述安全密钥进行签名处理,生成针对所述客户端的权限认证请求;
将所述权限认证请求发送至所述第三方服务器。
4.根据权利要求3所述的方法,其特征在于,所述在所述可信存储区域中,利用所述预设签名算法对所述时间戳信息、所述安全标识和所述安全密钥进行签名处理,生成针对所述客户端的权限认证请求,包括:
在所述可信存储区域中,对所述预设签名算法的版本标识和所述安全密钥进行字符串连接处理,得到处理后的安全密钥;以及,
利用所述预设签名算法,对所述时间戳信息和所述处理后的安全密钥进行签名处理,得到第一签名参数信息;
利用所述预设签名算法,对所述第一签名参数信息和所述安全标识进行签名处理,得到第二签名参数信息;
利用所述预设签名算法,对所述第二签名参数信息和所述预设签名算法的算法标识进行签名处理,生成派生签名密钥;
对所述派生签名密钥和所述时间戳信息进行拼接处理,生成针对所述客户端的权限认证请求。
5.根据权利要求1所述的方法,其特征在于,所述基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证,包括:
通过与所述目标数据路由信息对应的数据传输通道将第一报文数据发送至所述客户端;
接收所述客户端基于所述第一报文数据所返回的第二报文数据;
若所述第一报文数据与所述第二报文数据一致,则确定针对所述数据传输通道的安全性验证结果为验证通过。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若数据路由信息匹配、客户端的鉴权验证处理、数据传输通道的安全性验证中任一项验证失败,则对所述数据访问请求进行拦截处理;以及,
对所述目标访问数据进行安全保护处理,其中,所述安全保护处理包括:数据转移、数据删除、数据备份、安全预警中至少一项。
7.根据权利要求6所述的方法,其特征在于,所述对所述目标访问数据进行安全保护处理,包括:
在所述目标数据路由信息对应的可信存储区域内预留的备份存储子区域中,存储所述目标访问数据;以及,
在所述目标数据路由信息对应的可信存储区域内所述目标访问数据的原始存储子区域中,删除所述目标访问数据;
基于所述原始存储子区域的地址信息,更新所述备份存储子区域的地址信息。
8.一种数据访问装置,其特征在于,包括:
接收模块,用于接收客户端的数据访问请求;其中,所述数据访问请求携带有时间戳信息和目标访问数据对应的第一数据路由信息,所述目标访问数据是所述客户端预先通过第三方服务器对用户相关数据进行加密并存储至所述云端服务器的;
权限请求发送模块,用于若预存的多个第二数据路由信息中存在与所述第一数据路由信息相匹配的目标数据路由信息,则基于所述时间戳信息和所述目标数据路由信息,向所述第三方服务器发送针对所述客户端的权限认证请求,以使所述第三方服务器基于所述权限认证请求对所述客户端进行鉴权验证处理;
安全验证模块,用于若所述第三方服务器针对所述权限认证请求所生成的鉴权验证结果为鉴权通过,则基于第一报文数据对用于传输所述目标访问数据的数据传输通道进行安全性验证;
数据传输模块,用于若所述数据传输通道的安全性验证结果为验证通过,则通过所述数据传输通道向所述客户端传输所述目标访问数据。
9.一种计算机设备,其特征在于,包括处理器、通信接口、存储器和通信总线;其中,所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信;所述存储器,用于存放计算机程序;所述处理器,用于执行所述存储器上所存放的程序,实现如权利要求1-7任一项所述的数据访问方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的数据访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111352428.9A CN116136911A (zh) | 2021-11-16 | 2021-11-16 | 一种数据访问方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111352428.9A CN116136911A (zh) | 2021-11-16 | 2021-11-16 | 一种数据访问方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116136911A true CN116136911A (zh) | 2023-05-19 |
Family
ID=86334054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111352428.9A Pending CN116136911A (zh) | 2021-11-16 | 2021-11-16 | 一种数据访问方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116136911A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116527401A (zh) * | 2023-06-30 | 2023-08-01 | 诚罡科技(天津)有限公司 | 一种分布式数据服务器的安全通信方法及*** |
| CN117439823A (zh) * | 2023-12-20 | 2024-01-23 | 深圳市智安网络有限公司 | 云端数据智能化权限认证安全防护方法及*** |
-
2021
- 2021-11-16 CN CN202111352428.9A patent/CN116136911A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116527401A (zh) * | 2023-06-30 | 2023-08-01 | 诚罡科技(天津)有限公司 | 一种分布式数据服务器的安全通信方法及*** |
| CN116527401B (zh) * | 2023-06-30 | 2023-09-01 | 诚罡科技(天津)有限公司 | 一种分布式数据服务器的安全通信方法及*** |
| CN117439823A (zh) * | 2023-12-20 | 2024-01-23 | 深圳市智安网络有限公司 | 云端数据智能化权限认证安全防护方法及*** |
| CN117439823B (zh) * | 2023-12-20 | 2024-03-12 | 深圳市智安网络有限公司 | 云端数据智能化权限认证安全防护方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107743133B (zh) | 移动终端及其基于可信安全环境的访问控制方法和*** | |
| US10069806B2 (en) | Secure transfer and use of secret material in a shared environment | |
| CN110855671B (zh) | 一种可信计算方法和*** | |
| US20220114249A1 (en) | Systems and methods for secure and fast machine learning inference in a trusted execution environment | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| CN106454528A (zh) | 基于可信执行环境的业务处理方法和客户端 | |
| CN105095696A (zh) | 对应用程序进行安全认证的方法、***及设备 | |
| CN104980477A (zh) | 云存储环境下的数据访问控制方法和*** | |
| CN112632581A (zh) | 用户数据处理方法、装置、计算机设备及存储介质 | |
| KR101648364B1 (ko) | 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법 | |
| CN114157415A (zh) | 数据处理方法、计算节点、***、计算机设备和存储介质 | |
| CN116136911A (zh) | 一种数据访问方法及装置 | |
| CN115277168B (zh) | 一种访问服务器的方法以及装置、*** | |
| CN111538977A (zh) | 云api密钥的管理、云平台的访问方法、装置及服务器 | |
| CN117155549A (zh) | 密钥分发方法、装置、计算机设备和存储介质 | |
| US11640480B2 (en) | Data message sharing | |
| CN115333839A (zh) | 数据安全传输方法、***、设备及存储介质 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN114996694B (zh) | 一种数据融合方法、设备、***及存储介质 | |
| CN108429732B (zh) | 一种获取资源的方法及*** | |
| CN114120498B (zh) | 用于迁移数据的方法和相关设备 | |
| US11856085B2 (en) | Information management system and method for the same | |
| CN114553557A (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN109104393B (zh) | 一种身份认证的方法、装置和*** | |
| US11804969B2 (en) | Establishing trust between two devices for secure peer-to-peer communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |