一种基于授权认证的数据获取方法及其系统与流程

本发明涉及一种数据获取方法及其系统，尤其涉及一种基于授权认证的数据获取方法及其系统。

背景技术：

现有技术中，请求获取数据的数据获取端一般是直接访问存储数据的数据中心来获取数据，这在获取量大的时候，容易导致网络拥堵甚至瘫痪，而且由于直接访问，并没有对访问者的身份进行验证，这样会存在安全隐患，如此，既减缓了数据获取速度又不能保证数据安全。

技术实现要素：

针对上述技术问题，本发明提供一种能够保证安全高效获取数据的基于授权认证的数据获取方法及其系统。

本发明采用的技术方案为：

本发明的一实施例提供一种基于授权认证的数据获取方法，包括以下步骤：S101：数据获取端向授权终端发送自己的身份信息；S102：所述授权终端接收所述身份信息并提取授权证书，向所述数据获取端发送使用与所述数据获取端共享的第一共享加密密钥加密的授权令牌；S103：所述数据获取端接收所述授权令牌，使用第一共享加密密钥加密包含请求获取数据的数据请求信息和授权令牌的数据获取验证请求，并将所述数据获取验证请求发送给所述授权终端；S104：所述授权终端接收所述数据获取验证请求并进行匹配，如果匹配通过则生成数据密钥和数据令牌，使用与所述授权代理端共享的第二共享加密密钥对所述数据令牌进行加密和使用第一共享加密密钥加密所述数据密钥，并将加密后的数据令牌和数据密钥发送给所述数据获取端；S105：所述数据获取端将加密后的数据令牌发送给所述授权代理端，并将自己的身份信息的使用所述数据密钥加密后发送给所述授权代理端；S106：所述授权代理端使用所述数据密钥解密所述数据令牌，提取数据令牌信息，并使用所述数据密钥解密加密的身份信息，以及进行身份合法性验证，并将验证结果返回给所述数据获取端；S107：所述数据获取端基于所述验证结果向所述授权代理端发送获取数据的数据请求；S108：所述授权代理端接收所述数据获取端发送的数据请求，并判断是否存在对应于所述数据请求的数据，如果有，则将相应的数据发送给所述数据获取端，如果没有，则执行步骤S109；S109：所述授权代理端向数据中心发送获取对应于所述数据请求的数据获取请求；S110：所述数据中心基于所述数据获取请求将对应于所述数据请求的原始数据发送给所述授权代理端，所述授权代理端检查所述原始数据的标签属性来获得缓冲信息，并使用会话密钥加密所述原始数据，并将加密的原始数据发送给所述数据获取端。

本发明的另一实施例提供一种基于授权认证的数据获取系统，包括授权终端、数据获取端、授权代理端和数据中心，所述数据获取端通过向所述授权代理端发送经所述授权终端授权的数据请求来获取所述数据中心的数据，所述授权代理端包括下载应用中心、更新应用中心和高速缓冲存储器，所述授权终端与所述数据获取端共享第一共享加密密钥，所述授权终端与所述授权代理端共享第二共享加密密钥；其中，向所述授权代理端发送经所述授权终端授权的数据请求包括：数据获取端向授权终端发送自己的身份信息；所述授权终端接收所述身份信息并提取授权证书，向所述数据获取端发送使用第一共享加密密钥加密的授权令牌；所述数据获取端接收所述授权令牌，使用第一共享加密密钥加密包含请求获取数据的数据请求信息和授权令牌的数据获取验证请求，并将所述数据获取验证请求发送给所述授权终端；所述授权终端接收所述数据获取验证请求并进行匹配，如果匹配通过则生成数据密钥和数据令牌，使用第二共享加密密钥对所述数据令牌进行加密和使用第一共享加密密钥加密所述数据密钥，并将加密后的数据令牌和数据密钥发送给所述数据获取端；所述数据获取端将加密后的数据令牌发送给所述授权代理端，并将自己的身份信息的使用所述数据密钥加密后发送给所述授权代理端；所述授权代理端使用所述数据密钥解密所述数据令牌，提取令牌信息，并使用所述数据密钥解密加密的身份信息，以及进行身份验证，并将验证结果返回给所述数据获取端；所述数据获取端基于所述验证结果向所述授权代理端发送获取数据的数据请求；

所述数据获取端基于所述验证的数据请求获取数据包括：所述授权代理端接收所述数据获取端发送的数据请求，并通过其中的下载应用中心检索高速缓冲存储器中是否有响应于所述数据请求的数据，如果有，则将相应的数据发送给所述数据获取端，如果没有，则通知所述授权代理端中的更新应用中心向数据中心获取原始数据，并将获取的原始数据发送给所述下载应用中心；所述下载应用中心接收所述原始数据，检查所述原始数据的标签属性来获得缓冲信息，并使用会话密钥加密所述原始数据，并将加密的原始数据发送给所述数据获取端。

本发明提供了一种数据获取方法及其系统，在使用本发明获取数据前，需要通过位于数据中心的前端的授权代理端来获取数据中心的数据，而无法直接向数据中心请求数据，从而使得授权代理端可以透明的对数据进行加密。为了保证提升处理性能，授权代理端对加密结果进行了高速缓存，避免重复加密的资源消耗。

附图说明

图1为本发明实施例提供的数据获取方法的流程示意图；

图2为本发明实施例提供的数据获取系统的结构示意图。

具体实施方式

以下，结合附图，对本发明的基于授权认证的数据获取方法及其系统进行介绍。

图1为本发明实施例提供的数据获取方法的流程示意图；图2为本发明实施例提供的数据获取系统的结构示意图。

【实施例1】

首先结合图2对本发明的基于授权认证的数据获取系统进行介绍。如图2所示，本发明的基于授权认证的数据获取系统包括授权终端、数据获取端、授权代理端和数据中心，所述数据获取端通过向所述授权代理端发送经所述授权终端授权的数据请求来获取所述数据中心的数据，在数据获取端发送授权请求和数据请求之前，所述授权终端就已经与所述数据获取端共享第一共享加密密钥k1，所述授权终端就已经与所述授权代理端共享第二共享加密密钥k2。此外，数据获取端与授权代理端之间的加密密钥ks(数据密钥)由授权终端动态生成，该加密密钥ks具有时效性，即超过一定时间后时效。数据获取端在获取数据前，必须向授权终端申请授权，然后使用获得的授权向授权代理端请求数据，授权代理端使用加密密钥ks加密数据并返回给数据获取端。授权代理端位于数据中心的前端，设置有下载应用中心、更新应用中心和高速缓冲存储器，可通过CDN节点访问数据中心。数据获取端无法直接向CDN节点请求数据，数据获取端只能通过授权代理端来获取CDN中的数据，从而使得授权代理可以透明的对数据进行加密。为了保证提升处理性能，授权代理对加密结果进行了高速缓存，避免重复加密的资源消耗。

具体地，数据获取端获取数据的过程如下：

(1)所述数据获取端向授权终端发送自己的身份信息；

(2)所述授权终端接收所述身份信息并提取授权证书(包含第一共享加密密钥k1)，向所述数据获取端发送使用第一共享加密密钥k1加密的授权令牌；同时将授权令牌实践存入到授权日志数据库中。

(3)所述数据获取端接收所述授权令牌，使用第一共享加密密钥k1加密包含请求获取数据的数据请求信息和授权令牌的数据获取验证请求，并将所述数据获取验证请求发送给所述授权终端。

(4)所述授权终端接收所述数据获取验证请求并进行匹配，如果匹配通过则生成数据密钥ks和数据令牌，使用第二共享加密密钥对所述数据令牌进行加密和使用第一共享加密密钥k2加密所述数据密钥ks，并将加密后的数据令牌和数据密钥发送给所述数据获取端，其中数据令牌包含包关于数据获取端的身份信息、数据请求信息、数据密钥、数据令牌时间戳、数据令牌生命期的信息；同时将数据令牌实践存入到授权日志数据库中。

(5)所述数据获取端将加密后的数据令牌发送给所述授权代理端，并将自己的身份信息的使用所述数据密钥加密后发送给所述授权代理端。

(6)所述授权代理端使用所述数据密钥解密所述数据令牌，提取令牌信息，并使用所述数据密钥解密加密的身份信息，以及进行身份验证，并将验证结果返回给所述数据获取端；同时把身份验证信息存入到授权访问日志数据库中。

(7)所述数据获取端基于所述验证结果向所述授权代理端发送获取数据的数据请求。

(8)所述授权代理端接收所述数据获取端发送的数据请求，并判断是否存在对应于所述数据请求的数据，具体可通过所述下载应用中心检索所述高速缓冲存储器中是否存在对应于所述数据请求的数据。如果有，则将相应的数据发送给所述数据获取端，如果没有，则向数据中心发送获取对应于所述数据请求的数据获取请求。

(9)所述数据中心基于所述数据获取请求将对应于所述数据请求的原始数据发送给所述授权代理端，具体可通过所述下载应用中心请求所述更新应用中心向所述数据中心发送获取对应于所述数据请求的数据的数据获取请求，所述下载应用中心接收所述原始数据并检查所述原始数据的标签属性来获得可缓冲信息，例如，数据的生效期和数据的生命期等，并使用会话密钥加密所述原始数据，并将加密的原始数据发送给所述数据获取端，如果加密后的原始数据可缓存，则所述下载应用中心将加密后的原始数据存入所述高速缓冲存储器中，并建立缓存索引。同时下载应用中心将数据请求存入到授权访问日志数据库中。

CDN节点的授权代理端会周期性将授权访问日志库推送到授权终端的授权日志库，授权终端的在线监测系统会对授权日志库进行分析，监测授权证书的使用情况：比如证书对应终端安装量、数据请求量、数据请求频率等。

【实施例2】

接着，参考图1使用实施例1中的基于授权认证的数据获取系统获取数据的方法进行描述。如图1所示，本发明的基于授权认证的数据获取方法包括以下步骤：

S101：发送身份信息

具体地，数据获取端向授权终端发送自己的身份信息。

S102：验证身份信息和发送授权令牌

具体地，所述授权终端接收所述身份信息并提取授权证书(包含第一共享加密密钥k1)，向所述数据获取端发送使用与所述数据获取端共享的第一共享加密密钥加密的授权令牌；同时将授权令牌实践存入到授权日志数据库中。

S103：发送数据获取验证请求

具体地，所述数据获取端接收所述授权令牌，使用第一共享加密密钥k1加密包含请求获取数据的数据请求信息和授权令牌的数据获取验证请求，并将所述数据获取验证请求发送给所述授权终端。

S104：发送数据令牌和数据密钥

具体地，所述授权终端接收所述数据获取验证请求并进行匹配，如果匹配通过则生成数据密钥ks和数据令牌，使用第二共享加密密钥对所述数据令牌进行加密和使用第一共享加密密钥k2加密所述数据密钥ks，并将加密后的数据令牌和数据密钥发送给所述数据获取端，其中数据令牌包含包关于数据获取端的身份信息、数据请求信息、数据密钥、数据令牌时间戳、数据令牌生命期的信息；同时将数据令牌实践存入到授权日志数据库中。

S105：发送加密的数据令牌和身份信息

具体地，所述数据获取端将加密后的数据令牌发送给所述授权代理端，并将自己的身份信息的使用所述数据密钥加密后发送给所述授权代理端。

S106：发送验证结果

具体地，所述授权代理端使用所述数据密钥解密所述数据令牌，提取数据令牌信息，并使用所述数据密钥解密加密的身份信息，以及进行身份合法性验证，并将验证结果返回给所述数据获取端；同时把身份验证信息存入到授权访问日志数据库中。

S107：发送数据请求

具体地，所述数据获取端基于所述验证结果向所述授权代理端发送获取数据的数据请求；

S108：判断是否存在相应的数据，如果存在，则发送相应的数据

具体地，所述授权代理端接收所述数据获取端发送的数据请求，并判断是否存在对应于所述数据请求的数据，具体可通过所述下载应用中心检索所述高速缓冲存储器中是否存在对应于所述数据请求的数据。如果有，则将相应的数据发送给所述数据获取端，如果没有，则执行步骤S109；

S109：请求获取相应的数据

具体地，所述授权代理端向数据中心发送获取对应于所述数据请求的数据获取请求。

S110：发送获取的相应的数据

具体地，所述数据中心基于所述数据获取请求将对应于所述数据请求的原始数据发送给所述授权代理端，具体可通过所述下载应用中心请求所述更新应用中心向所述数据中心发送获取对应于所述数据请求的数据的数据获取请求，所述下载应用中心接收所述原始数据并检查所述原始数据的标签属性来获得可缓冲信息，例如，数据的生效期和数据的生命期等，并使用会话密钥加密所述原始数据，并将加密的原始数据发送给所述数据获取端，如果加密后的原始数据可缓存，则所述下载应用中心将加密后的原始数据存入所述高速缓冲存储器中，并建立缓存索引。同时下载应用中心将数据请求存入到授权访问日志数据库中。

CDN节点的授权代理端会周期性将授权访问日志库推送到授权终端的授权日志库，授权终端的在线监测系统会对授权日志库进行分析，监测授权证书的使用情况：比如证书对应终端安装量、数据请求量、数据请求频率等。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。