云存储系统及其提供和从其下载数据的系统和方法
【专利摘要】本发明提供一种云存储系统及其提供和从其下载数据的系统和方法,有助于提高云存储系统在提供外链地址的情况下的安全性。本发明的从云存储系统下载数据的方法中,在按照外链地址从云存储系统下载数据时,先获取口令,然后将外链地址和口令一并发送给云存储系统,云存储系统对该口令进行校验,只有校验通过才允许下载,这样有助于提高云存储系统在提供外链地址的情况下的安全性。
【专利说明】云存储系统及其提供和从其下载数据的系统和方法
【技术领域】
[0001]本发明涉及计算机网络【技术领域】,特别地涉及云存储系统及其提供和从其下载数据的系统和方法。
【背景技术】
[0002]云存储系统通过整合大量计算机的存储资源,对外提供海量文件存取服务。通常客户端需要经过一系列复杂的鉴权流程后,才能够下载文件,这给某些以提供下载应用为主的客户端程序带来困难,比如电子书、数字音乐等应用。它们需要云存储系统具有外链功能,客户端程序通过外链地址(一般以URL表示)便可直接到云存储系统下载文件。
[0003]对于有外链功能的云存储系统,可以接收业务系统提供的数据并生成用于下载该数据的外链地址。业务系统在成功接入云存储系统后,可以获得云存储系统提供的鉴权信息。例如APP标识和密钥的组合,或者在创建应用成功后获得的密钥,一般是Access Key和Secure Key的组合。业务系统例如制作电子书的系统或者制作数字音乐的系统,通常包含业务服务器和多个客户端。客户端一般从业务服务器或者业务提供商的其他服务器下载并且设置在网络的终端设备中,例如个人计算机或者智能手机,并由用户进行操作。用户在客户端上制作出文件,例如一部电子书或一首数字音乐,然后使客户端登录到业务服务器上,将文件上传到业务服务器,业务服务器再鉴权信息进入云平台,将该文件存储到云平台,此时云平台产生该文件对应的外链地址,例如一个电子书的外链地址为:
[0004]http://oss.xinyun.com/outLinkServicePoint/434e4338-5c23-4355-8761-ae84639475f7.xeb
[0005]该外链地址发送给业务服务器,并被转发给客户端。用户可以通过该外链地址直接下载文件。
[0006]在现有技术中,上述的外链地址有可能被盗取,安全性不足,存在恶意下载的风险,主要表现在通过外链地址不断地访问云存储系统,给云存储系统造成访问压力,并且占用大量的网络带宽,影响正常客户端使用云存储系统。
【发明内容】
[0007]有鉴于此,本发明提供一种云存储系统及其提供和从其下载数据的系统和方法,有助于提高云存储系统在提供外链地址的情况下的安全性。
[0008]为实现上述目的,根据本发明的一个方面,提供了一种从云存储系统下载数据的方法。
[0009]本发明的从云存储系统下载数据的方法包括:客户端在登录到业务服务器之后,向该业务服务器发送用于获取口令的第一请求;所述业务服务器向云存储系统发送用于获取所述口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及所述业务服务器获取的所述客户端的标识;所述业务服务器接收所述云存储系统生成的加密的口令然后转发给所述客户端,该口令中包含所述客户端的标识和所述云存储系统收到所述第二请求的时刻;所述客户端向所述云存储系统发送第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令,以供所述云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端提供所述待下载数据,否则拒绝向所述客户端提供所述待下载数据。
[0010]可选地,所述客户端的标识是所述客户端所在设备的网络地址和/或硬件位址。
[0011]根据本发明的另一方面,提供了一种从云存储系统提供数据的方法。
[0012]本发明的从云存储系统提供数据的方法包括:云存储系统接收业务服务器发送的用于获取口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及请求下载数据的客户端的标识;所述云存储系统在根据所述鉴权信息通过鉴权后生成加密的口令然后发送给所述业务服务器以供所述业务服务器将该口令转发给所述客户端;该口令中包含所述客户端的标识和所述云存储系统收到所述第二请求的时刻;所述云存储系统接收所述客户端发送的第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令;所述云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端提供所述待下载数据,否则拒绝向所述客户端提供所述待下载数据。
[0013]可选地,所述客户端的标识是所述客户端所在设备的网络地址和/或硬件位址。
[0014]根据本发明的又一方面,提供了一种从云存储系统下载数据的系统。
[0015]本发明的从云存储系统下载数据的系统包括设置在客户端内的客户端模块和设置在业务服务器内的业务服务器模块,其中:所述客户端模块用于在登录到所述业务服务器之后,向所述业务服务器模块发送用于获取口令的第一请求;所述业务服务器模块用于:向云存储系统发送用于获取所述口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及所述业务服务器获取的所述客户端的标识;接收所述云存储系统生成的加密的口令然后转发给所述客户端模块,该口令中包含所述客户端的标识和所述云存储系统收到所述第二请求的时刻;所述客户端模块还用于向所述云存储系统发送第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令,以供所述云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端模块提供所述待下载数据。
[0016]根据本发明的又一方面,提供了一种云存储系统。
[0017]本发明的云存储系统包括:接收模块,用于接收业务服务器发送的用于获取口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及请求下载数据的客户端的标识;鉴权模块,用于根据所述鉴权信息对所述业务服务器进行鉴权;口令模块,用于在所述鉴权通过后,生成加密的口令然后发送给所述业务服务器;该口令中包含所述客户端的标识和所述接收模块收到所述第二请求的时刻;所述接收模块还用于接收所述客户端发送的第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令;判断处理模块,用于根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端提供所述待下载数据,否则拒绝向所述客户端提供所述待下载数据。
[0018]根据本发明的技术方案,在按照外链地址从云存储系统下载数据时,先获取口令,然后将外链地址和口令一并发送给云存储系统,云存储系统对该口令进行校验,只有校验通过才允许下载,这样有助于提高云存储系统在提供外链地址的情况下的安全性。以下作一简要分析。如果外链地址被盗用,有大量计算机被恶意操纵按照该外链地址发起下载,按本实施例的方案,这些计算机会因没有口令而无法通过校验;如果口令也被盗用,则这些计算机仍会因没有与口令中一致的客户端标识而无法通过校验。所以恶意下载无从实施,保证了云存储系统的安全性。
【专利附图】
【附图说明】
[0019]附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
[0020]图1是根据本发明实施例的从云存储系统下载数据的流程的示意图;
[0021]图2是根据本发明实施例的从云存储系统下载数据的系统的基本结构的示意图;
[0022]图3是根据本发明实施例的云存储系统中的模块的示意图。
【具体实施方式】
[0023]以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识至IJ,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
[0024]图1是根据本发明实施例的从云存储系统下载数据的流程的示意图。在客户端按现有的方式得到外链地址后,如需要进行下载,则按图1所示流程进行。
[0025]步骤S1:客户端登录业务服务器。
[0026]步骤S2:客户端向业务服务器发送第一请求。该第一请求用来获取口令。
[0027]步骤S3:业务服务器向云存储系统发送第二请求。该第二请求用来获取口令。第二请求中包含客户端的标识。例如客户端所在设备的网络地址IP或者硬件位址MAC,这些对于客户端和客户端所在设备来说是唯一的,因此可以用来作为客户端的标识。按照客户端与业务服务器通信的协议,客户端的标识通常包含在请求信息中从而由业务服务器获取。按照业务服务器与云存储系统通信的一般方式,第二请求中还包含鉴权信息。
[0028]步骤S4:云存储系统对业务服务器进行鉴权,在鉴权通过的情况下,记录收到第二请求的时刻,并且生成口令。该口令包含了上述客户端的标识以及记录的收到第二请求的时刻,并经云存储系统加密。
[0029]步骤S5:云存储系统将口令发送给业务服务器。
[0030]步骤S6:业务服务器将口令发送给客户端。
[0031]步骤S7:客户端将第三请求发送给云存储系统。该第三请求包含了外链地址和口令,用来下载数据。客户端可以将口令连接在外链地址末尾然后进行发送,如前文举例的电子书的外链地址为例,例如口令是“83f04zw33”,则将口令连接在外链地址末尾之后如下:
[0032]http://oss.xinyun.com/outLinkServicePoint/434e4338-5c23-4355-8761-ae84639475f7.xeb ? token = 83f04zw33
[0033]步骤S8:云存储系统根据口令进行校验。在校验时,云存储系统对步骤S7中提供的口令解密,得到其中的客户端标识。然后进行第一项比较,即比较该标识和步骤04中生成的口令中的客户端标识是否一致;以及进行第二项比较,即比较步骤S4中记录的收到第二请求的时刻与收到步骤S7中的第三请求的时刻之间的时间差是否小于一个预设值,该预设值一般在I分钟以内。如果上述的第一项比较的结果为“一致”,并且第二项比较的结果为“是”,则本步骤的校验通过,允许客户端从外链地址下载数据(步骤S91);否则拒绝客户端下载数据(步骤S92)。也就是说必须同时满足两项比较中的条件才可以下载。
[0034]图2是根据本发明实施例的从云存储系统下载数据的系统的基本结构的示意图。该系统包括客户端模块和业务服务器模块。客户端模块设置在每一个客户端内,客户端通常为多个,以供多个用户使用。业务服务器模块设置在业务服务器内,或者业务服务器集群的每个服务器内。
[0035]客户端模块用于在登录到业务服务器之后,向业务服务器模块发送用于获取口令的第一请求;业务服务器模块用于:向云存储系统发送用于获取所述口令的第二请求,该第二请求中包含预先与云存储系统约定的鉴权信息以及业务服务器获取的所述客户端的标识;接收云存储系统生成的加密的口令然后转发给客户端模块,该口令中包含客户端的标识和云存储系统收到第二请求的时刻。客户端模块还用于向云存储系统发送第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令,以供云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到第二请求的时刻与收到第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与第三请求中的加密的口令包含相同的客户端标识,则按照外链地址向客户端模块提供待下载数据。
[0036]图3是根据本发明实施例的云存储系统中的模块的示意图。本实施例的云存储系统30在现有技术的基础上还包含了图3中的接收模块31、鉴权模块32、口令模块33、以及判断处理模块34。
[0037]接收模块31用于接收业务服务器发送的用于获取口令的第二请求,该第二请求中包含预先与云存储系统约定的鉴权信息以及请求下载数据的客户端的标识;鉴权模块32用于根据鉴权信息对业务服务器进行鉴权;口令模块33用于在鉴权通过后,生成加密的口令然后发送给业务服务器;该口令中包含客户端的标识和接收模块31收到第二请求的时刻;接收模块31还用于接收客户端发送的第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令;判断处理模块34用于根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到第二请求的时刻与收到第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与第三请求中的加密的口令包含相同的客户端标识,则按照外链地址向客户端提供待下载数据,否则拒绝向客户端提供待下载数据。
[0038]根据本发明实施例的技术方案,在按照外链地址从云存储系统下载数据时,先获取口令,然后将外链地址和口令一并发送给云存储系统,云存储系统对该口令进行校验,只有校验通过才允许下载,这样有助于提高云存储系统在提供外链地址的情况下的安全性。以下作一简要分析。如果外链地址被盗用,有大量计算机被恶意操纵按照该外链地址发起下载,按本实施例的方案,这些计算机会因没有口令而无法通过校验;如果口令也被盗用,则这些计算机仍会因没有与口令中一致的客户端标识而无法通过校验。所以恶意下载无从实施,保证了云存储系统的安全性。
[0039]以上结合具体实施例描述了本发明的基本原理,但是,需要指出的是,对本领域的普通技术人员而言,能够理解本发明的方法和设备的全部或者任何步骤或者部件,可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中,以硬件、固件、软件或者它们的组合加以实现,这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
[0040]因此,本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此,本发明的目的也可以仅仅通过提供包含实现所述方法或者装置的程序代码的程序产品来实现。也就是说,这样的程序产品也构成本发明,并且存储有这样的程序产品的存储介质也构成本发明。显然,所述存储介质可以是任何公知的存储介质或者将来开发出的任何存储介质。
[0041]还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时刻顺序执行,但是并不需要一定按照时刻顺序执行。某些步骤可以并行或彼此独立地执行。
[0042]上述【具体实施方式】,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
【权利要求】
1.一种从云存储系统下载数据的方法,其特征在于,包括: 客户端在登录到业务服务器之后,向该业务服务器发送用于获取口令的第一请求; 所述业务服务器向云存储系统发送用于获取所述口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及所述业务服务器获取的所述客户端的标识; 所述业务服务器接收所述云存储系统生成的加密的口令然后转发给所述客户端,该口令中包含所述客户端的标识和所述云存储系统收到所述第二请求的时刻; 所述客户端向所述云存储系统发送第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令,以供所述云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端提供所述待下载数据,否则拒绝向所述客户端提供所述待下载数据。
2.根据权利要求1所述的方法,其特征在于,所述客户端的标识是所述客户端所在设备的网络地址和/或硬件位址。
3.—种从云存储系统提供数据的方法,其特征在于,包括: 云存储系统接收业务服务器发送的用于获取口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及请求下载数据的客户端的标识; 所述云存储系统在根据所述鉴权信息通过鉴权后生成加密的口令然后发送给所述业务服务器以供所述业务服务器将该口令转发给所述客户端;该口令中包含所述客户端的标识和所述云存储系统收到所述第二请求的时刻; 所述云存储系统接收所述客户端发送的第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令; 所述云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端提供所述待下载数据,否则拒绝向所述客户端提供所述待下载数据。
4.根据权利要求3所述的方法,其特征在于,所述客户端的标识是所述客户端所在设备的网络地址和/或硬件位址。
5.一种从云存储系统下载数据的系统,其特征在于,包括设置在客户端内的客户端模块和设置在业务服务器内的业务服务器模块,其中: 所述客户端模块用于在登录到所述业务服务器之后,向所述业务服务器模块发送用于获取口令的第一请求; 所述业务服务器模块用于:向云存储系统发送用于获取所述口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及所述业务服务器获取的所述客户端的标识;接收所述云存储系统生成的加密的口令然后转发给所述客户端模块,该口令中包含所述客户端的标识和所述云存储系统收到所述第二请求的时刻; 所述客户端模块还用于向所述云存储系统发送第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令,以供所述云存储系统根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端模块提供所述待下载数据。
6.—种云存储系统,其特征在于,包括: 接收模块,用于接收业务服务器发送的用于获取口令的第二请求,该第二请求中包含预先与所述云存储系统约定的鉴权信息以及请求下载数据的客户端的标识; 鉴权模块,用于根据所述鉴权信息对所述业务服务器进行鉴权; 口令模块,用于在所述鉴权通过后,生成加密的口令然后发送给所述业务服务器;该口令中包含所述客户端的标识和所述接收模块收到所述第二请求的时刻; 所述接收模块还用于接收所述客户端发送的第三请求,该第三请求中包含待下载数据的外链地址以及加密的口令; 判断处理模块,用于根据该第三请求中的加密的口令和收到该第三请求的时刻进行判断:若收到所述第二请求的时刻与收到所述第三请求的时刻的时间差小于预设值并且所述生成的加密的口令与所述第三请求中的加密的口令包含相同的客户端标识,则按照所述外链地址向所述客户端提供所述待下载数据,否则拒绝向所述客户端提供所述待下载数据。
【文档编号】H04L29/08GK104184804SQ201410395157
【公开日】2014年12月3日 申请日期:2014年8月12日 优先权日:2014年8月12日
【发明者】黄刚, 崔大莲 申请人:北京京东尚科信息技术有限公司, 北京京东世纪贸易有限公司