专利名称:一种应用于云系统的数据传输方法及系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别是涉及一种应用于云系统的数据传输方法及 系统。
背景技术:
云计算是以公开的标准和服务为基础,以互联网为中心,提供安全、快速、便捷的 数据存储和网络计算服务,它让互联网这片"云"成为每一个网民的数据中心和计算中 心。在云计算系统中,海量数据的处理和存储位于云端服务器。当登录到云端服务器的用 户需要服务时,仅仅将所需的服务传输至云端服务器即可,而云端服务器会对接收到的服 务请求进行分析、处理,最后将相应的结果返回给用户。即使复杂的计算或大规模数据查询 任务,云端服务器也可以快速完成。现有技术中,当用户登录时,云端服务器会对用户进行身份认证;通过认证的用户 可以与云端服务器进行数据传输,直至用户对云端服务器访问完毕。但是,在云端服务器与用户的交互过程中,如果传输数据被泄漏、篡改或伪造等, 都将会导致无法估计的危害。随着云计算的应用越来越多,云端服务器与用户交互过程 中的数据传输安全问题成为备受关注的课题。
发明内容
为解决上述技术问题,本发明实施例提供一种应用于云系统的数据传输方法及系 统,以提高云端服务器与用户交互过程中数据传输的安全性,技术方案如下一种应用于云系统的数据传输方法,包括接收用户在客户端通过动态数据产生设备发送的身份认证请求;根据所述身份认证请求,对所述用户进行身份认证;为通过身份认证的用户发放访问许可证,并确定数据传输过程的通信密钥,所述 访问许可证具有有效期限;在与用户进行加密数据传输的过程中,如果所述用户的访问许可证处于有效期 内,对所述用户进行动态身份认证,并在认证失败时终止所述数据传输;其中,所述动态数据产生设备与云端服务器相适配;所述身份认证请求中包括所述用户的注册信息和与客户端相关联的当前动态数 据。相应的,本发明还提供一种应用于云系统的数据传输系统,包括云端服务器,设 置有动态数据产生设备的客户机;所述云端服务器包括接收模块,用于接收用户在客户端通过动态数据产生设备发送的身份认证请求;身份认证模块,用于根据所述身份认证请求,对所述用户进行身份认证;认证通过处理模块,用于为通过身份认证的用户发放访问许可证,并确定数据传 输过程的通信密钥,所述访问许可证具有有效期限;
数据传输模块,用于在发放访问许可证和确定通信密钥后,与用户进行加密数据 传输;动态认证模块,用于在与用户进行加密数据传输的过程中,如果所述用户的访问 许可证处于有效期内,对所述用户进行动态身份认证,并在认证失败时终止所述数据传 输;其中,所述动态数据产生设备与云端服务器相适配;所述身份认证请求中包括所述用户的注册信息和与客户端相关联的当前动态数 据。本发明实施例所提供的技术方案中,用户通过动态数据产生设备向云端服务器发 送身份认证请求;云端服务器为通过认证的用户发放具有一定有效期的访问许可证,并与 用户协商通信密钥;在加密的数据传输过程中,如果访问许可证在有效期限,对用户进行动 态身份认证,并在认证失败的情况下终止数据传输。本方案中,在数据传输过程中,利用从 动态数据产生设备获得的用户当前状态信息,继续对用户进行身份认证,并配合加密措施, 以此来提高云端服务器与用户交互过程中的数据传输的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1为本发明实施例一种应用于云系统的数据传输方法流程图;图2为本发明实施例一种应用于云系统的数据传输方法第二种流程图;图3为本发明实施例一种应用于云系统的数据传输方法第三种流程图;图4为本发明实施例一种应用于云系统的数据传输系统中的云端服务器的结构 示意图;图5为本发明实施例一种应用于云系统的数据传输系统中的云端服务器的数据 传输模块的结构示意图;图6为本发明实施例一种应用于云系统的数据传输系统中的云端服务器的反馈 结果确定单元的结构示意图。
具体实施例方式首先对一种应用于云系统的数据传输方法进行说明,该方法包括接收用户在客户端通过动态数据产生设备发送的身份认证请求;根据所述身份认证请求,对所述用户进行身份认证;为通过身份认证的用户发放访问许可证,并确定数据传输过程的通信密钥,所述 访问许可证具有有效期限;在与用户进行加密数据传输的过程中,如果所述用户的访问许可证处于有效期 内,对所述用户进行动态身份认证,并在认证失败时终止所述数据传输;其中,所述动态数据产生设备与云端服务器相适配;
所述身份认证请求中包括所述用户的注册信息和与客户端相关联的当前动态数 据。本发明实施例所提供的技术方案中,用户通过动态数据产生设备向云端服务器发 送身份认证请求;云端服务器为通过认证的用户发放具有一定有效期的访问许可证,并与 用户协商通信密钥;在加密的数据传输过程中,如果访问许可证在有效期限,对用户进行动 态身份认证,并在认证失败的情况下终止数据传输。本方案中,在数据传输过程中,利用从 动态数据产生设备获得的用户当前状态信息,继续对用户进行身份认证,并配合加密措施, 以此来提高云端服务器与用户交互过程中的数据传输的安全性。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。如图1所示,一种应用于云系统的数据传输方法,该方法包括S101,开始;S102,云端服务器接收用户在客户端通过动态数据产生设备发送的身份认证请 求;用户所在的客户端设置有动态数据产生设备,该设备与云端服务器相适配,即同 一时刻,云端服务器与客户端设置的动态数据产生设备可以生成相同的动态数据。其中,所 述动态数据产生设备,可以具有以下特征1)具有硬件与软件的实体设备;2)可以是通过USB(Universal Serial Bus,通用串行总线)、扩展槽、并行口等方 式与计算机连接的设备,也可以是已经集成在计算机上的设备;3)可以下载、更改其设置与存储的信息,具有存储、计算、通信能力,例如能存储 用户授权信息、能生成动态数据、与计算机进行信息交互的能力;若是采用基于时间同步、 事件同步、挑战/应答等动态口令的方式、此设备拥有产生动态口令,即生成随机数字序列 的能力;4)从功能上看,用户进行认证时必备的设备,如果用户需持续访问云端服务器的 数据,必须保持此设备与客户端计算机连接。当用户需要登陆到云端服务器时,用户在客户端通过动态数据产生设备向云端服 务器发送身份认证请求。其中,身份认证请求中包括用户在云端服务器的注册信息以及动 态数据产生设备所生成的当前动态数据。S103,根据所述身份认证请求,对所述用户进行身份认证;如果身份认证成功,则 执行步骤S104 ;否则,执行S107 ;当收到用户的身份认证请求后,云端服务器对该用户的身份进行认证,具体的认 证方式可以为将用户的注册信息与自身所存储的用户信息进行比较,若用户名与密码相匹配则 表示认证通过,该用户为合法用户,执行S104,否则,执行S107,拒绝与该用户进行会话连 接,不提供任何服务。可以理解的是,由于动态数据产生设备与云端服务器相适配,所以当收到身份认证请求中的动态数据后,云端服务可以根据动态数据确定出用户所使用的动态数据产生设 备,由后续步骤可知,在数据传输过程中,云端服务器需要与所确定的动态数据产生设备进 行信息交互。需要说明的是,云端服务器与所有客户端设置的动态数据产生设备都是适配 的,每个动态数据产生设备在云端服务器处都有相应的信息存储。云端服务器可以根据动 态数据产生设备生成的动态数据确定出该动态数据产生设备,进而进行后续的同步。动态 数据产生设备设置在客户端,在同一时间仅仅能被一个用户使用,可实现对用户数量的管 理和对系统使用规模进行管理。因此可以通过出售动态数据产生设备来管理用户的数量, 而且便于根据系统规模收取相应的费用。S104,为该用户发放访问许可证,并确定数据传输过程中的通信密钥;云端服务器为通过认证的用户发放具有一定有效期的访问许可证,只有在访问许 可证的有效期内时,用户与云端服务器才可以进行数据传输。而当访问许可证超期时,如果 用户还需要与云端服务器进行数据传输,则云端服务器要求用户重新进行身份认证,以获 得下一访问许可证,进行后续的数据传输。可以理解的是,在访问许可证有效期内,如果用户对云端服务器的访问结束,则可 以直接断开与云端服务器的会话连接。并且,在为认证成功的用户发放访问许可证后,云端服务器需要与客户端协商在 数据传输过程中双方的通信密钥加密密钥、解密密钥。利用所确定的通信密钥,数据可以 进行加密后进行传输,可有效保证传输过程中的数据安全性。S105,在与用户进行加密数据传输的过程中,在所述用户的访问许可证处于有效 期的情况下,对所述用户进行动态身份认证;如果身份认证成功,则执行步骤S106,继续进 行数据传输;否则,执行S107;为了确保在数据传输过程中用户的身份的合法性,避免发生非法用户劫持会话等 安全问题,在与用户的加密数据传输过程,需要对用户的身份再次认证。云端服务器可以利 用用户登陆时所使用的动态数据产生设备,获得用户的当前状态信息,对该用户进行动态 身份认证。动态认证的方式可以为在加密数据的传输过程中,从用户使用的动态数据产生设备处获取用户的当前状 态信息,所述当前状态信息包括用户的注册信息和与客户端相关联的动态数据;判断用户的注册信息与所存储的注册信息是否相同,并且判断动态数据产生设备 此时的动态数据与云端服务器自身生成的动态数据是否相同,若两个条件都满足,则表示 此次身份认证通过,否则,身份认证失败。可以理解的是,云端服务器可以主动获取用户的当前状态信息,或者,客户端的动 态数据产生设备主动发送用户在某一时刻的当前状态信息,以进行动态身份认证。其中,云端服务器与用户进行加密数据传输的过程,如图2所示,可以包括S105a,云端服务器接收用户通过客户端发送的加密数据请求;S105b,利用双方约定的通信密钥,对所述加密的数据请求进行解密;S105c,根据解密后的数据请求,确定相应的反馈结果;当用户发送数据请求,需要进行数据访问时,云端服务器对数据请求进行分析后, 自动从存储着海量数据的存储资源池中取出与数据请求相对应的应答数据,并可以直接将该应答数据确定为相应的反馈结果。S105d,对所述反馈结果进行加密,并发送至所述客户端。为了提高数据传输过程中的安全性,再将反馈结果发送给客户端前需要将所述反 馈结果进行加密处理。更进一步的,为了区分并发访问的不同用户,达到用户间数据具有一定隔离性的 目的,所述根据解密后的数据请求,确定相应的反馈结果,具体可以包括对解密后的数据请求进行分析,确定该数据请求对应的应答数据;为应答数据分配与所述用户相匹配的动态授权码;利用所述动态授权码标识所述应答数据,以进行授权;将授权后的应答数据确定为相应的反馈结果。其中,云端服务器会自动按照用户身份对数据进行分类,一个用户对应一类数据。 当对数据请求进行分析后,云端服务器从存储资源池中取出与数据请求相对应的应答数 据。应答数据会向云端服务器申请动态授权码;云端服务器中的认证中心则会为其分配全 局唯一、有效的动态授权码,所述动态授权码可以与已经协商的密钥有关。云端服务器则利 用动态授权码标识所述应答数据,以对其进行授权;然后将授权后的应答数据确定为相应 的反馈结果。通过对应答数据分配动态授权码的方式,可以有效区分并发访问的不同用户 的数据。S106,云端服务器与用户继续进行加密数据传输;在进行动态身份认证后,如果认证成功,则在访问许可证有效期内,云端服务器继 续与用户进行加密数据传输,直到用户主动结束会话或者访问许可证超期。如果访问许可 证超期,而用户访问未结束,云端服务器则会要求用户再次进行身份认证,来获得下一访问 许可证,继续进行数据传输。S107,结束。本发明实施例所提供的技术方案中,用户通过动态数据产生设备向云端服务器发 送身份认证请求;云端服务器为通过认证的用户发放具有一定有效期的访问许可证,并与 用户协商通信密钥;在加密的数据传输过程中,如果访问许可证在有效期限,对用户进行动 态身份认证,并在认证失败的情况下终止数据传输。本方案中,在数据传输过程中,利用从 动态数据产生设备获得的用户当前状态信息,继续对用户进行身份认证,并配合加密措施, 以此来提高云端服务器与用户交互过程中的数据传输的安全性。上述方法中,在用户与云端服务器的数据传输过程中,对用户进行动态身份认证, 保证数据传输的安全性。本发明的另一实施例,在加密的数据传输过程中,多次对用户进行 动态身份认证,以提高数据传输时间较长或交互频繁的情况下的用户身份的合法性,数据 传输的安全性。如图3所示,一种应用于云系统的数据传输方法,包括S201,开始;S202,云端服务器接收用户在客户端通过动态数据产生设备发送的身份认证请 求;S203,根据所述身份认证请求,对所述用户进行身份认证;如果身份认证成功,则 执行步骤S204 ;否则,执行S207。S204,为该用户发放访问许可证,并确定数据传输过程中的通信密钥;
S205,在与用户进行加密数据传输的过程中,在所述用户的访问许可证处于有效 期的情况下,对所述用户进行动态身份认证;如果身份认证成功,则执行步骤S206,继续进 行数据传输;否则,执行S207;本实施例中S202-S205与上一实施例S102-S105类似,在此不再赘述。S206,云端服务器与用户继续进行加密数据传输,并按照预设的时间间隔,对用户 进行动态身份认证;本实施例中,按照预设的时间间隔,从所述动态数据产生设备获得用户的当前状 态信息;所述当前状态信息包括用户注册信息及与客户端相关联的当前动态数据;当用 户的当前状态信息与所存储用户的当前信息相同时,身份认证通过,否则认证失败。其中, 云端服务器可以按照预设的时间间隔从所述动态数据产生设备处获得用户的当前状态信 息,或者,所述动态数据产生设备可以按照预设的时间间隔主动向云端服务器发送用户的 当前状态信息,来进行动态身份认证。可以理解的是,云端服务器从动态数据产生设备处获得用户当前状态信息的方式 有多种,并不局限于预设时间间隔的方式,也可以按照用户数据请求的次数或用户数据请 求的数据量等。S207,结束。本实施例中,在数据传输过程中,通过多次的动态身份认证,并配合加密措施,可 以有效的确保用户身份的合法性,提高了云端服务器与用户的数据传输过程中的安全性。相应于上面的方法实施例,本发明实施例还提供一种应用于云系统的数据传输系 统,包括云端服务器,设置有动态数据产生设备的客户机;如图4所示,所述云端服务器包 括接收模块110,用于接收用户在客户端通过动态数据产生设备发送的身份认证请 求;身份认证模块120,用于根据所述身份认证请求,对所述用户进行身份认证;认证通过处理模块130,用于为通过身份认证的用户发放访问许可证,并确定数据 传输过程的通信密钥,所述访问许可证具有有效期限;数据传输模块140,用于在发放访问许可证和确定通信密钥后,与用户进行加密数 据传输;动态认证模块150,用于在在与用户进行加密数据传输的过程中,如果所述用户的 访问许可证处于有效期内,对所述用户进行动态身份认证,并在认证失败时终止所述数据 传输;其中,所述动态数据产生设备与云端服务器相适配;所述身份认证请求中包括所述用户的注册信息和与客户端相关联的当前动态数 据。所述云端服务器还包括重认证模块,用于在当所述用户的访问许可证过期时,要求所述用户重新进行身 份认证。所述动态认证模块150的配置,可以为按照预设的时间间隔,从所述动态数据产生设备获得用户的当前状态信息;所述当前状态信息包括用户注册信息及与客户端相关联的当前动态数据;当用户的当前状态信息与所存储用户的当前信息相同时,身份认证通过,否则认 证失败。所述数据传输模块140,如图5所示,包括数据请求接收单元141,用于接收用户通过客户端发送的加密的数据请求;解密单元142,用于利用所述通信密钥,对所述数据请求解密;反馈结果确定单元143,用于根据解密后的数据请求,确定相应的反馈结果;加密单元144,用于对所述反馈结果进行加密,并发送至所述客户端。所述反馈结果确定单元143,如图6所示,包括应答数据确定子单元1431,用于对解密后的数据请求进行分析,确定该数据请求 对应的应答数据;授权码分配子单元1432,用于为应答数据分配与所述用户相匹配的动态授权码;授权子单元1433,用于利用所述动态授权码标识所述应答数据,以进行授权;反馈结果确定子单元1434,用于将授权后的应答数据确定为相应的反馈结果。对于装置或系统实施例而言,由于其基本相应于方法实施例,所以相关之处参见 方法实施例的部分说明即可。以上所描述的装置或系统实施例仅仅是示意性的,其中所述 作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以 是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可 以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通 技术人员在不付出创造性劳动的情况下,即可以理解并实施。另外,所描述系统,装置和方法以及不同实施例的示意图,在不超出本申请的范围 内,可以与其它系统,模块,技术或方法结合或集成。另一点,所显示或讨论的相互之间的耦 合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以 是电性,机械或其它的形式。以上所述仅是本发明的具体实施方式
,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视为本发明的保护范围。
权利要求
1.一种应用于云系统的数据传输方法,其特征在于,该方法包括 接收用户在客户端通过动态数据产生设备发送的身份认证请求; 根据所述身份认证请求,对所述用户进行身份认证;为通过身份认证的用户发放访问许可证,并确定数据传输过程的通信密钥,所述访问 许可证具有有效期限;在与用户进行加密数据传输的过程中,如果所述用户的访问许可证处于有效期内,对 所述用户进行动态身份认证,并在认证失败时终止所述数据传输; 其中,所述动态数据产生设备与云端服务器相适配;所述身份认证请求中包括所述用户的注册信息和与客户端相关联的当前动态数据。
2.根据权利要求1所述的方法,其特征在于,还包括当所述用户的访问许可证过期时,要求所述用户重新进行身份认证。
3.根据权利要求1所述的方法,其特征在于,所述对所述用户进行动态身份认证的方 式为按照预设的时间间隔,从所述动态数据产生设备获得用户的当前状态信息;所述当前 状态信息包括用户注册信息及与客户端相关联的当前动态数据;当用户的当前状态信息与所存储用户的当前信息相同时,身份认证通过,否则认证失败。
4.根据权利要求1所述的方法,其特征在于,与用户进行加密数据传输的过程,包括 接收用户通过客户端发送的加密的数据请求;利用所述通信密钥,对所述数据请求解密; 根据解密后的数据请求,确定相应的反馈结果; 对所述反馈结果进行加密,并发送至所述客户端。
5.根据权利要求4所述的方法,其特征在于,所述根据解密后的数据请求,确定相应的 反馈结果,包括对解密后的数据请求进行分析,确定该数据请求对应的应答数据; 为应答数据分配与所述用户相匹配的动态授权码; 利用所述动态授权码标识所述应答数据,以进行授权; 将授权后的应答数据确定为相应的反馈结果。
6.一种应用于云系统的数据传输系统,其特征在于,该系统包括云端服务器,设置有 动态数据产生设备的客户机;所述云端服务器包括接收模块,用于接收用户在客户端通过动态数据产生设备发送的身份认证请求; 身份认证模块,用于根据所述身份认证请求,对所述用户进行身份认证; 认证通过处理模块,用于为通过身份认证的用户发放访问许可证,并确定数据传输过 程的通信密钥,所述访问许可证具有有效期限;数据传输模块,用于在发放访问许可证和确定通信密钥后,与用户进行加密数据传输;动态认证模块,用于在与用户进行加密数据传输的过程中,如果所述用户的访问许可 证处于有效期内,对所述用户进行动态身份认证,并在认证失败时终止所述数据传输; 其中,所述动态数据产生设备与云端服务器相适配;所述身份认证请求中包括所述用户的注册信息和与客户端相关联的当前动态数据。
7.根据权利要求6所述的系统,其特征在于,所述云端服务器还包括重认证模块,用于在当所述用户的访问许可证过期时,要求所述用户重新进行身份认证。
8.根据权利要求6所述的系统,其特征在于,所述动态认证模块的配置为按照预设的时间间隔,从所述动态数据产生设备获得用户的当前状态信息;所述当前 状态信息包括用户注册信息及与客户端相关联的当前动态数据;当用户的当前状态信息与所存储用户的当前信息相同时,身份认证通过,否则认证失败。
9.根据权利要求6所述的系统,其特征在于,所述数据传输模块,包括 数据请求接收单元,用于接收用户通过客户端发送的加密的数据请求; 解密单元,用于利用所述通信密钥,对所述数据请求解密;反馈结果确定单元,用于根据解密后的数据请求,确定相应的反馈结果; 加密单元,用于对所述反馈结果进行加密,并发送至所述客户端。
10.根据权利要求9所述的系统,其特征在于,所述反馈结果确定单元,包括应答数据确定子单元,用于对解密后的数据请求进行分析,确定该数据请求对应的应 答数据;授权码分配子单元,用于为应答数据分配与所述用户相匹配的动态授权码; 授权子单元,用于利用所述动态授权码标识所述应答数据,以进行授权; 反馈结果确定子单元,用于将授权后的应答数据确定为相应的反馈结果。
全文摘要
本发明公开了一种应用于云系统的数据传输方法及系统。该方法包括接收用户在客户端通过动态数据产生设备发送的身份认证请求;根据所述身份认证请求,对所述用户进行身份认证;为通过身份认证的用户发放访问许可证,并确定数据传输过程的通信密钥,所述访问许可证具有有效期限;在与用户进行加密数据传输的过程中,如果所述用户的访问许可证处于有效期内,对所述用户进行动态身份认证,并在认证失败时终止所述数据传输。本方案中,在数据传输过程中,利用从动态数据产生设备获得的用户当前状态信息,继续对用户进行身份认证,并配合加密措施,以此来提高云端服务器与用户交互过程中的数据传输的安全性。
文档编号H04L29/06GK102098317SQ20111006927
公开日2011年6月15日 申请日期2011年3月22日 优先权日2011年3月22日
发明者李德文, 谭彰, 费振华, 赖晓健, 钱益舟, 黄震 申请人:浙江中控技术股份有限公司