本发明属于数据安全技术领域,尤其是一种基于访问密钥的数据获取方法。
背景技术:
身份认证、访问控制是确保数据安全的重要技术手段,主要是采用现代密码算法对数据进行主动保护的一种措施。在多用户存储系统中,每个用户通过客户端访问专属用户空间,并获取文件数据。服务器需要对每个访问请求进行严格控制,验证其访问的合法性,保障用户数据的安全和隐私。
目前通常的多用户存储系统中,客户端通过id号和文件元数据请求获取文件数据,存储服务器通过对比用户空间的标识符,验证此次请求是否合法。如果非法客户端采用网络监听、暴力测试的手段伪造身份认证码,从而能够获取其他用户的私人文件数据,造成系统安全漏洞以及数据泄露。同时,客户端每次请求获取文件数据都需要通过接入服务器跟管理服务器和存储服务器联络两次,加剧了服务器集群间的通讯压力。
通过附加数字摘要,可以提升系统的安全性,也减少了通讯次数。数字摘要本质上是一串固定长度(128位)的密文消息,其核心部分在于一个安全编码的hash函数。数字摘要的生成过程其实就是运行该hash函数,单向的将数据内容编码成固定长度(128位)的一串密文,该密文也叫做数字指纹。hash函数的设计应当确保输入不同的数据内容,对应产生不同的密文串,这样可以用该密文串代表对应的数据内容,进行网络传输和内容验证。
技术实现要素:
本发明的目的在于提供一种数据获取方法,提高存储系统的安全性,减 轻服务器集群之间的通讯压力。
本发明采用身份认证码和文件数据摘要码匹配验证的方式,实现上述数据获取方法,具体执行以下步骤:
客户端发送消息给接入服务器,请求获取用户文件数据,同时将客户端身份认证码和文件数据摘要码发送给接入服务器。
接入服务器依据该客户端身份认证码和该文件数据摘要码向管理服务器获取访问密钥,接入服务器发送该访问密钥给存储服务器请求获取文件数据,存储服务器对访问密钥进行验证,如果验证通过,则发送文件数据,如果验证不通过,则拒绝发送文件数据。
本发明通过访问密钥对数据获取请求加以验证,提高了存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻了服务器集群之间的交互压力。
附图说明
图1是
本技术:
的文件数据获取方法流程图。
具体实施方式
本发明提供了一种基于访问密钥的数据获取方法,该方法适用于客户端向服务器请求获取数据,能够提高存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻服务器集群之间的交互压力。
本发明通过存储服务器对文件数据的访问密钥进行多次验证,对合法客户端下发文件数据,整体流程如图1所示,主要包括以下步骤:
步骤1,客户端请求获取文件数据,发送链接请求给接入服务器,同时发送身份认证码和文件数据摘要码。
步骤2,接入服务器收到请求后建立链接通道,收取客户端发来的身份认证码和文件数据摘要码,并依据该客户端身份认证码和该文件数据摘要码 向管理服务器获取访问密钥。
在本较佳实施例中,接入服务器可以把上次获取的文件数据的访问密钥进行缓存,这样能够略过步骤2,直接根据客户端身份认证码和文件数据摘要码得到对应的访问密钥,从而加速文件数据获取速度,同时减少与管理服务器之间的通讯开销。
步骤3,管理服务器解析身份认证码,获取客户端标识和文件标识,并结合存储服务器索引值,以及文件数据摘要码,共同组成一组字符串,经过hash运算获取该组字符串的hash值,并利用管理服务器当前密钥对hash值进行加密,生成文件数据最终访问密钥。
在本较佳实施例中,客户端标识可以是用户id,也可以是客户端访问ip(一般是固定ip地址)。
在本较佳实施例中,hash算法采用md5或者sha-1,对输入的“客户端标识+文件标识+文件数据摘要码+存储服务器索引值”所组成的字符串进行散列运算,得出128位hash值。加密算法采用des或者aes,对128位hash值进行加密运算,输出访问密钥,并添加时间戳,代表该访问密钥的时效。
在本发明的另一较佳实施例中,采用先加密再散列的顺序计算访问密钥,即采用des或者aes加密算法对“客户端标识+文件标识+文件数据摘要码+存储服务器索引值”组成的字符串进行加密,得到密文输出后,再输入给md5或者sha-1哈希算法,得出128位hash值,同时也是访问密钥。
步骤4,管理服务器将生成的访问密钥发送给接入服务器,接入服务器收到访问密钥后,依据访问密钥联系存储服务器。
步骤5,存储服务器接收到接入服务器的访问请求,以及接入服务器发送来的访问密钥。
步骤6,存储服务器首先读取访问密钥的时间戳,判断该访问密钥是否在有效访问期限内,如果处于有效期内,则继续文件获取流程,如果已经失效,则拒绝接入服务器的获取请求,提示访问密钥失效。
存储服务器然后解密访问密钥,解析其中身份认证码,并判断是否为有效身份,如果有效,则继续执行访问密钥合法性验证,如果无效,则拒绝接入服务器的获取请求,提示身份认证码无效。
步骤7,存储服务器根据客户端身份认证码进入用户存储空间,将用户元数据信息和存储文件摘要进行拼接,组合成一组字符串,使用步骤3中相同的hash算法对该字符串进行散列运算,得出128位hash值。
存储服务器对两组hash进行匹配验证,如果匹配成功,则该次访问具备合法权限,准备文件数据,启动下发流程,如果匹配不成功,则拒绝接入服务器的数据获取请求,提示访问密钥无效。
步骤8,存储服务器通知接入服务器,批准客户端获取数据,请求客户端链接存储服务器,链接建立后,直接下发文件数据给客户端。
根据本实施例,通过访问密钥对数据获取请求加以验证,提高了存储系统的安全性,保障用户空间私人数据不被非法获取,同时通过访问密钥消息传递,有效减轻了服务器集群之间的交互压力。
以上所述仅为本发明的较佳实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。