一种鉴权方法和系统、终端接入网络的方法与流程

本发明实施例涉及互联网技术领域，尤其涉及一种鉴权方法和系统、终端接入网络的方法、中心鉴权系统、边缘鉴权系统。

背景技术：

内容分发网络，英文全称为contentdeliverynetwork，英文简称为cdn。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。

在现有技术中，为了保证cdn系统的安全稳定运行，防止黑客的恶意攻击，外部设备(终端)在接入cdn系统时需要进行鉴权认证，只有鉴权通过的合法设备才能被允许接入系统，使用cdn系统提供的服务。但是，在现有技术中，主要采用“集中式鉴权”的方法对外界设备的接入请求的进行验证。

发明人在实施本发明的过程中，发现至少存在采用“集中式鉴权”的方法对外界设备的接入请求的进行验证时，造成的鉴权时间长的技术问题。

技术实现要素：

本发明所要解决的技术问题是针对现有技术中所存在的上述缺陷，提供一种鉴权方法和系统、终端接入网络的方法、中心鉴权系统、边缘鉴权系统、终端，用以解决现有技术中存在鉴权时间长的问题。

根据本发明实施例的一个方面，本发明实施例提供了一种鉴权方法，响应于接收到的接入请求，获取所述接入请求携带的终端的令牌和所述终端的标识，其中，所述接入请求包括由所述终端发起的首次接入请求和/或由边缘鉴权系统转发的所述终端发起的接入请求；

从预设数据库中提取与所述标识对应的令牌；

判断提取出的令牌与所述终端的令牌是否一致；

若一致，则生成新的令牌；

获取所述终端所属的边缘鉴权系统的统一资源定位符；

将所述新的令牌和所述统一资源定位符发送至所述终端，以便所述终端基于所述统一资源定位符发起下一次的接入请求；

将所述新的令牌和所述标识发送至所述边缘鉴权系统，以便所述边缘鉴权系统对接收到的所述下一次的接入请求进行验证。

在一些实施例中，当所述终端的令牌为加密后的令牌时，则在所述获取所述接入请求携带的所述终端的令牌和所述终端的标识之后，所述判断提取出的令牌与所述终端的令牌是否一致之前，所述方法还包括：

从所述数据库中提取与所述终端的标识对应的公钥；

根据所述公钥对所述加密后的令牌进行解密，得到所述终端的令牌。

根据本公开实施例的另一个方面，本公开实施例还提供了一种鉴权方法，所述方法包括：

接收中心鉴权系统发送的各个终端对应的令牌和标识，其中，一个所述终端对应一个所述令牌和一个所述标识；

建立每个所述终端的令牌与标识的映射关系；

响应于目标终端发起的接入请求，获取所述接入请求携带的所述目标终端对应的令牌和标识；

根据所述映射关系确定与所述目标终端的标识对应的目标令牌；

判断所述目标令牌与所述目标终端的令牌是否一致；

若一致，则向所述目标终端发送鉴权通过的信息。

在一些实施例中，响应于所述目标终端发起的所述接入请求，所述方法还包括：

响应于所述目标终端发起的所述接入请求，判断当前运行参数是否满足所述目标终端的接入；

若满足，则执行所述获取所述接入请求携带的所述目标终端对应的令牌和标识；

若不满足，则将所述接入请求转发至所述中心鉴权系统，以便所述中心鉴权系统对所述接入请求进行鉴权。

根据本公开实施例的另一个方面，本公开实施例还提供了一种终端接入网络的方法，所述方法包括：

响应于获取到接入网络的触发信息，生成携带终端的令牌和终端的标识的接入请求；

判断所述接入请求是否为首次接入请求；

若是首次接入请求，则将所述接入请求发送至中心鉴权系统，以便由所述中心鉴权系统对所述接入请求进行验证；

若不是首次接入请求，则将所述接入请求发送至边缘鉴权系统，以便由所述边缘鉴权系统对所述接入请求进行验证。

根据本公开实施例的另一个方面，本公开实施例还提供了一种中心鉴权系统，所述中心鉴权系统包括：

第一获取模块，用于响应于接收到的接入请求，获取所述接入请求携带的终端的令牌和所述终端的标识，其中，所述接入请求包括由所述终端发起的首次接入请求和/或由边缘鉴权系统转发的所述终端发起的接入请求；

提取模块，用于从预设数据库中提取与所述标识对应的令牌；

第一判断模块，用于判断提取出的令牌与所述终端的令牌是否一致；

第一生成模块，用于若一致，则生成新的令牌；

所述第一获取模块还用于，获取所述终端所属的边缘鉴权系统的统一资源定位符；

第一发送模块，用于将所述新的令牌和所述统一资源定位符发送至所述终端，以便所述终端基于所述统一资源定位符发起下一次的接入请求；

所述第一发送模块还用于，将所述新的令牌和所述标识发送至所述边缘鉴权系统，以便所述边缘鉴权系统对接收到的所述下一次的接入请求进行验证。

在一些实施例中，所述中心鉴权系统还包括：

所述提取模块还用于，从所述数据库中提取与所述终端的标识对应的公钥；

解密模块，用于根据所述公钥对所述加密后的令牌进行解密，得到所述终端的令牌。

根据本公开实施例的另一个方面，本公开实施例还提供了一种边缘鉴权系统，所述边缘鉴权系统包括：

接收模块，用于接收中心鉴权系统发送的各个终端对应的令牌和标识，其中，一个所述终端对应一个所述令牌和一个所述标识；

建立模块，用于建立每个所述终端的令牌与标识的映射关系；

第二获取模块，用于响应于目标终端发起的接入请求，获取所述接入请求携带的所述目标终端对应的令牌和标识；

确定模块，用于根据所述映射关系确定与所述目标终端的标识对应的目标令牌；

第二判断模块，用于判断所述目标令牌与所述目标终端的令牌是否一致；

第二发送模块，用于若一致，则向所述目标终端发送鉴权通过的信息。

在一些实施例中，所述边缘鉴权系统还包括：

所述第二判断模块还用于，响应于所述目标终端发起的所述接入请求，判断当前运行参数是否满足所述目标终端的接入；

所述第二获取模块还用于，若满足，则执行所述获取所述接入请求携带的所述目标终端对应的令牌和标识；

转发模块，用于若不满足，则将所述接入请求转发至所述中心鉴权系统，以便所述中心鉴权系统对所述接入请求进行鉴权。

根据本公开实施例的另一个方面，本公开实施例还提供了一种终端，所述终端包括：

第二生成模块，用于响应于获取到接入网络的触发信息，生成携带终端的令牌和终端的标识的接入请求；

第三判断模块，用于判断所述接入请求是否为首次接入请求；

第三发送模块，用于若是首次接入请求，则将所述接入请求发送至中心鉴权系统，以便由所述中心鉴权系统对所述接入请求进行验证；

所述第三发送模块还用于，若不是首次接入请求，则将所述接入请求发送至边缘鉴权系统，以便由所述边缘鉴权系统对所述接入请求进行验证。

根据本公开实施例的另一个方面，本公开实施例还提供了一种鉴权系统，所述鉴权系统包括：

如上所述的中心鉴权系统；

如上所述的边缘鉴权系统；

如上所述的终端。

本发明实施例的有益效果在于，由于采用了响应于接收到的接入请求，获取接入请求携带的终端的令牌和终端的标识，其中，接入请求包括由终端发起的首次接入请求和/或由边缘鉴权系统转发的终端发起的接入请求，从预设数据库中提取与标识对应的令牌，判断提取出的令牌与终端的令牌是否一致，若一致，则生成新的令牌，获取终端所属的边缘鉴权系统的统一资源定位符，将新的令牌和统一资源定位符发送至终端，以便终端基于统一资源定位符发起下一次的接入请求，将新的令牌和标识发送至边缘鉴权系统，以便边缘鉴权系统对接收到的下一次的接入请求进行验证的技术方案，避免了采用“集中式鉴权”的方法对外界设备的接入请求的进行验证时，造成的鉴权时间长的技术问题，采用由中心鉴权系统和边缘鉴权系统分别鉴权的方式，实现减小中心鉴权系统的鉴权压力，降低中心鉴权系统的负荷，提高中心鉴权系统的运行效率，进而实现节约时间的技术效果。

附图说明

图1为本公开实施例的鉴权方法的示意图；

图2为本公开另一实施例的鉴权方法的示意图；

图3为本公开实施例的终端接入网络的方法的示意图；

图4为本公开实施例的中心鉴权系统的示意图；

图5为本公开实施例的边缘鉴权系统的示意图；

图6为本公开实施例的终端的示意图；

图7为本公开实施例的鉴权系统的示意图；

附图标记：

1、第一获取模块，2、提取模块，3、第一判断模块，4、第一生成模块，5、第一发送模块，6、解密模块，21、接收模块，22、建立模块，23、第二获取模块，24、确定模块，25、第二判断模块，26、第二发送模块，27、转发模块，31、第二生成模块，32、第三判断模块，33、第三发送模块，100、中心鉴权系统，200、边缘鉴权系统，300、终端。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、接口、技术之类的具体细节，以便透彻理解本发明。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

本发明实施例提供了一种鉴权方法和系统、终端接入网络的方法、中心鉴权系统、边缘鉴权系统、终端。

根据本发明实施例的一个方面，本发明实施例提供了一种鉴权方法。

请参阅图1，图1为本公开实施例的鉴权方法的示意图。

如图1所示，该方法包括：

s1：中心鉴权系统响应于接收到的接入请求，获取接入请求携带的终端的令牌和终端的标识，其中，接入请求包括由终端发起的首次接入请求和/或由边缘鉴权系统转发的终端发起的接入请求。

其中，终端包括能够接入cdn系统的设备。

s2：中心鉴权系统从预设数据库中提取与标识对应的令牌。

在一些实施例中，中心鉴权系统的数据库中预先存储了每个终端的标识与令牌的映射关系。因此，当中心鉴权获悉某一标识时，可基于该映射关系确定与该标识对应的令牌。

s3：中心鉴权系统判断提取出的令牌与终端的令牌是否一致，若一致，则执行s4，若不一致，则鉴权失败，流程结束，中心鉴权系统可向终端反馈鉴权失败的消息。

s4：中心鉴权系统生成新的令牌。

s5：中心鉴权系统获取终端所属的边缘鉴权系统的统一资源定位符。

其中，s4和s5之间并没有绝对的先后顺序的关系。

s6：中心鉴权系统将新的令牌和统一资源定位符发送至终端，以便终端基于统一资源定位符发起下一次的接入请求。

s7：中心鉴权系统将新的令牌和标识发送至边缘鉴权系统，以便边缘鉴权系统对接收到的下一次的接入请求进行验证。

其中，s6和s7之间并没有绝对的先后顺序的关系。

通过本公开实施例提供的技术方案，可避免现有技术中采用“集中式鉴权”的方法对外界设备的接入请求的进行验证时，造成的鉴权时间长的技术问题，采用由中心鉴权系统和边缘鉴权系统分别鉴权的方式，实现减小中心鉴权系统的鉴权压力，降低中心鉴权系统的负荷，提高中心鉴权系统的运行效率，进而实现节约时间的技术效果。

在一些实施例中，当终端的令牌为加密后的令牌时，则在获取接入请求携带的所述终端的令牌和所述终端的标识之后，判断提取出的令牌与终端的令牌是否一致之前，该方法还包括：

s1’：从数据库中提取与终端的标识对应的公钥。

s2’：根据公钥对加密后的令牌进行解密，得到终端的令牌。

通过本公开实施例中提供的“加密和解密”的方式实现鉴权，可实现鉴权过程中的安全性和可靠性。

根据本公开实施例的另一个方面，本公开实施例还提供了一种鉴权方法。

请参阅图2，图2为本公开另一实施例的鉴权方法的示意图。

如图2所示，该方法包括：

s21：边缘鉴权系统接收中心鉴权系统发送的各个终端对应的令牌和标识，其中，一个终端对应一个令牌和一个标识。

s22：边缘鉴权系统建立每个终端的令牌与标识的映射关系。

s23：边缘鉴权系统响应于目标终端发起的接入请求，获取接入请求携带的目标终端对应的令牌和标识。

s24：边缘鉴权系统根据映射关系确定与目标终端的标识对应的目标令牌。

s25：边缘鉴权系统判断目标令牌与目标终端的令牌是否一致，若一致，则执行s26，若不一致，则鉴权失败，流程结束，边缘鉴权系统可向终端发送鉴权失败的消息。

s26：边缘鉴权系统向目标终端发送鉴权通过的信息。

终端在接收到鉴权通过的信息后，可接入cdn系统中。

当然，在一些实施例中，若目标终端的令牌为加密后的令牌，则边缘鉴权系统需要对目标终端的加密后的令牌进行解密，具体可参见上述实施例中的描述，此处不再赘述。

在一些实施例中，该方法还包括：

s23’：响应于目标终端发起的接入请求，边缘鉴权系统判断当前运行参数是否满足目标终端的接入，若满足，则执行获取接入请求携带的目标终端对应的令牌和标识，若不满足，则执行s24’。

其中，当边缘鉴权系统无法正常运行，或者处于超负荷运行时，则说明当前运行参数无法满足目标终端的接入。

s24’：当边缘鉴权系统将接入请求转发至中心鉴权系统，以便中心鉴权系统对接入请求进行鉴权。

在本公开实施例中，当边缘鉴权系统无法接入时，则可通过由中心鉴权系统进行接入，进而确保终端接入的可靠性和高效性。

根据本发明实施例的另一个方面，本发明实施例还提供了一种终端接入网络的方法。

请参阅图3，图3为本公开实施例的终端接入网络的方法的示意图。

如图3所示，该方法包括：

s31：终端响应于获取到接入网络的触发信息，生成携带终端的令牌和终端的标识的接入请求。

如：用户通过触摸终端的显示器的方式发出接入网络的触发信息，或者用户通过语音指令的方式发出接入网络的触发信息。

s32：终端判断接入请求是否为首次接入请求，若是，则执行s33，若不是，则执行s34。

s33：终端将接入请求发送至中心鉴权系统，以便由中心鉴权系统对接入请求进行验证。

其中，中心鉴权系统对接入请求进行验证的方法可参见上述实施例，此处不再赘述。

s34：终端将接入请求发送至边缘鉴权系统，以便由边缘鉴权系统对接入请求进行验证。

其中，边缘鉴权系统对接入请求进行验证的方法可参见上述实施例，此处不再赘述。

根据本公开实施例的另一个方面，本公开实施例还提供了一种中心鉴权系统。

请参阅图4，图4为本公开实施例的中心鉴权系统的示意图。

如图4所示，该中心鉴权系统包括：

第一获取模块1，用于响应于接收到的接入请求，获取接入请求携带的终端的令牌和终端的标识，其中，接入请求包括由终端发起的首次接入请求和/或由边缘鉴权系统转发的终端发起的接入请求；

提取模块2，用于从预设数据库中提取与标识对应的令牌；

第一判断模块3，用于判断提取出的令牌与终端的令牌是否一致；

第一生成模块4，用于若一致，则生成新的令牌；

第一获取模块1还用于，获取终端所属的边缘鉴权系统的统一资源定位符；

第一发送模块5，用于将新的令牌和统一资源定位符发送至终端，以便终端基于统一资源定位符发起下一次的接入请求；

第一发送模块5还用于，将新的令牌和标识发送至边缘鉴权系统，以便边缘鉴权系统对接收到的下一次的接入请求进行验证。

结合图4可知，在一些实施例中，中心鉴权系统还包括：

提取模块2还用于，从数据库中提取与终端的标识对应的公钥；

解密模块6，用于根据公钥对加密后的令牌进行解密，得到终端的令牌。

根据本公开实施例的另一个方面，本公开实施例还提供了一种边缘鉴权系统。

请参阅图5，图5为本公开实施例的边缘鉴权系统的示意图。

如图5所示，该边缘鉴权系统包括：

接收模块21，用于接收中心鉴权系统发送的各个终端对应的令牌和标识，其中，一个终端对应一个令牌和一个标识；

建立模块22，用于建立每个终端的令牌与标识的映射关系；

第二获取模块23，用于响应于目标终端发起的接入请求，获取接入请求携带的目标终端对应的令牌和标识；

确定模块24，用于根据映射关系确定与目标终端的标识对应的目标令牌；

第二判断模块25，用于判断目标令牌与目标终端的令牌是否一致；

第二发送模块26，用于若一致，则向目标终端发送鉴权通过的信息。

结合图5可知，在一些实施例中，边缘鉴权系统还包括：

第二判断模块25还用于，响应于目标终端发起的接入请求，判断当前运行参数是否满足目标终端的接入；

第二获取模块23还用于，若满足，则执行获取接入请求携带的目标终端对应的令牌和标识；

转发模块27，用于若不满足，则将接入请求转发至中心鉴权系统，以便中心鉴权系统对接入请求进行鉴权。

根据本公开实施例的另一个方面，本公开实施例还提供了一种终端。

请参阅图6，图6为本公开实施例的终端的示意图。

如图6所示，该终端包括：

第二生成模块31，用于响应于获取到接入网络的触发信息，生成携带终端的令牌和终端的标识的接入请求；

第三判断模块32，用于判断接入请求是否为首次接入请求；

第三发送模块33，用于若是首次接入请求，则将接入请求发送至中心鉴权系统，以便由中心鉴权系统对接入请求进行验证；

第三发送模块33还用于，若不是首次接入请求，则将接入请求发送至边缘鉴权系统，以便由边缘鉴权系统对接入请求进行验证。

根据本公开实施例的另一个方面，本公开实施例还提供了一种鉴权系统。

请参阅图7，图7为本公开实施例的鉴权系统的示意图。

如图7所示，该鉴权系统包括：

如上任一实施例所述的中心鉴权系统100；

如上任一实施例所述的边缘鉴权系统200；

如上任一实施例所述的终端300。

读者应理解，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对的是相同的实施例或示例。而且，描述的具体特征、结构或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

还应理解，在本发明各实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。