数据访问方法及数据访问系统的制作方法

数据访问方法及数据访问系统的制作方法
【专利摘要】本发明实施例公开了一种数据访问方法及数据访问系统，其中，所述数据访问方法包括：本地认证平台接收归属于本地认证平台的本地应用所发送的访问请求，该访问请求内携带有目标认证平台以及归属于目标认证平台的目标应用；本地认证平台根据访问请求生成第一漫游票据申请请求；并将第一漫游票据申请请求发送至目标认证平台，以使目标认证平台根据所述第一漫游票据申请请求生成对应的第一漫游票据；本地认证平台接收目标认证平台返回的第一漫游票据；并将所述第一漫游票据发送至所述本地应用，以使本地应用携带所述第一漫游票据访问所述目标应用。本发明提出的数据访问方法，通过认证平台内进行漫游票据生成和转发，有效提高安全域间漫游访问速度。
【专利说明】
数据访问方法及数据访问系统
技术领域
[0001]本发明涉及网络安全技术领域，特别是涉及一种多安全域间的数据访问方法及数据访问系统。【背景技术】
[0002]安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域内部有相同的安全保护需求、具有相同的安全访问控制和边界控制策略，逻辑区域之间具有互相信任关系，且相同的安全域之间共享相同的安全策略。
[0003]现有技术中，在多个安全域之间需要漫游访问(即跨域访问应用)时，一般通过漫游票据中心生成和转发票据，具体可参看图1所示，一个漫游票据中心对应多个安全域(附图中仅显示两个安全域作为示例)，且该漫游票据中心存储有对应每个安全域的应用资源的资源编号、资源IP以及账号的认证信息等，从而在一个安全域(A安全域，称之为访问域) 内的应用访问到另一个安全域(B安全域，称之为目标域)内的应用时，A安全域需要先向漫游票据中心申请票据信息，该漫游票据中心接收A安全域的认证平台发送的漫游票据请求、并将相应的漫游票据转发至A安全域的认证平台；进而，A安全域的认证平台携带漫游票据访问B安全域内认证平台上的应用，根据漫游票据B安全域的认证平台向漫游票据中心发送校验申请，该漫游票据中心接收校验漫游票据的校验申请、并对漫游票据进行校验认证，当漫游票据校验成功之后A安全域内认证平台上的应用进入到B安全域内认证平台上的应用进行访问。
[0004]但是，在现有的漫游访问方法中，如果多个安全域内的认证平台需要同时访问其他安全域内认证平台上的应用时，从而只能通过漫游票据中心接收多个安全域内的认证平台发送漫游票据的请求以及校验认证，可能严重导致漫游票据中心信息承载量和数据处理能力极大增加，进而容易造成漫游访问速度降低以及漫游票据中心信息承载量超负荷造成系统擁痪等问题。
【发明内容】

[0005]本发明实施例中提供了一种多安全域间的数据访问方法及数据访问系统，以解决现有技术中的安全域之间的漫游访问过程中，由于漫游票据中心需要同时接收多个安全域内的认证平台发送漫游票据的请求，并对生成和转发漫游票据以及对漫游票据的校验认证，可能导致漫游票据中心信息承载量和数据处理能力极大增加，进而容易造成漫游访问速度降低以及漫游票据中心信息承载量超负荷造成系统瘫痪等问题。
[0006]为了解决上述技术问题，本发明实施例公开了如下技术方案:
[0007]第一方面，本发明实施例提供一种数据访问方法，包括:
[0008]接收归属于本地认证平台的本地应用所发送的访问请求，所述访问请求内携带有目标认证平台以及归属于所述目标认证平台的目标应用；
[0009]根据所述访问请求生成第一漫游票据申请请求；
[0010]将所述第一漫游票据申请请求发送至所述目标认证平台，以使所述目标认证平台根据所述第一漫游票据申请请求生成对应的第一漫游票据；
[0011]接收所述目标认证平台返回的第一漫游票据；
[0012]将所述第一漫游票据发送至所述本地应用，以使所述本地应用携带所述第一漫游票据访问所述目标应用。
[0013]结合第一方面，在第一方面第一种可能的实现方式中，所述数据访问方法还包括:
[0014]接收第三认证平台发送的第二漫游票据申请请求，所述第二漫游票据申请请求为所述第三认证平台根据归属于所述第三认证平台的第三应用所发送的访问请求生成的；
[0015]根据所述第二漫游票据申请请求，生成对应的第二漫游票据；
[0016]将所述第二漫游票据发送至所述第三认证平台，以使所述第三认证平台将所述第二漫游票据发送至所述第三应用，且所述第三应用携带所述第二漫游票据访问所述本地应用。
[0017]结合第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述数据访问方法还包括:
[0018]接收本地应用发送的认证请求，所述认证请求为本地应用根据第三应用访问所述本地应用携带的第二漫游票据生成的；
[0019]根据所述认证请求校验认证所述第二漫游票据，且所述第三应用访问所述本地应用。
[0020]结合第一方面第一种可能的实现方式，在第一方面第三种可能的实现方式中，所述生成对应的第二漫游票据，包括:
[0021]查找并确认所述第二漫游票据申请请求的类型；
[0022]根据所述类型查找本地认证平台内存储的所述第二漫游票据申请请求相对应的资源信息；
[0023]根据所述资源信息查找得出相应的第二漫游票据。
[0024]结合第一方面第二种可能的实现方式，在第一方面第四种可能的实现方式中，所述根据所述认证请求校验认证所述第二漫游票据，且所述第三应用访问所述本地应用，包括:
[0025]判断所述第二漫游票据是否校验认证成功，并将校验认证结果发送至第三应用；
[0026]如果所述第二漫游票据校验认证成功，则所述第三应用跳转访问所述本地应用；
[0027]如果所述第二漫游票据校验认证失败，返回一身份验证错误数据，且由所述第三应用跳转至身份验证错误数据。
[0028]第二方面，本发明实施例提供一种数据访问系统，包括:
[0029]访问请求接收模块，用于接收归属于本地认证平台的本地应用所发送的访问请求，所述访问请求内携带有目标认证平台以及归属于所述目标认证平台的目标应用；
[0030]票据请求生成模块，用于根据所述访问请求生成第一漫游票据申请请求；
[0031]票据请求发送模块，用于将生成的第一漫游票据申请请求发送至所述目标认证平台；
[0032]漫游票据接收模块，用于接收所述目标认证平台返回的第一漫游票据；
[0033]第一漫游票据发送模块，用于将接收到的第一漫游票据发送至归属于本地认证平台的本地应用。
[0034]结合第二方面，在第二方面第一种可能的实现方式中，所述数据访问系统还包括:
[0035]票据请求接收模块，用于接收第三认证平台发送的第二漫游票据申请请求，所述第二漫游票据申请请求为所述第三认证平台根据归属于所述第三认证平台的第三应用所发送的访问请求生成的；
[0036]漫游票据生成模块，用于根据所述第二漫游票据申请请求，生成对应的第二漫游票据；
[0037]第二漫游票据发送模块，用于将所述第二漫游票据发送至所述第三认证平台，以使所述第三认证平台将所述第二漫游票据发送至所述第三应用，且所述第三应用携带所述第二漫游票据访问所述本地应用。
[0038]结合第二方面第一种可能的实现方式，在第二方面第二种可能的实现方式中，所述数据访问系统还包括:
[0039]认证请求接收模块，用于接收本地应用发送的认证请求，所述认证请求为本地应用根据第三应用访问所述本地应用携带的第二漫游票据生成的；
[0040]校验认证模块，用于根据所述认证请求校验认证所述第二漫游票据，且所述第三应用访问所述本地应用。
[0041]结合第二方面第一种可能的实现方式，在第二方面第三种可能的实现方式中，所述漫游票据生成模块包括:
[0042]第一查找单元，用于查找并确认所述第二漫游票据申请请求的类型；
[0043]第二查找单元，用于根据所述类型查找本地认证平台内存储的所述第二漫游票据申请请求相对应的资源信息；
[0044]漫游票据获取单元，用于根据所述资源信息查找得出相应的第二漫游票据。
[0045]结合第二方面第二种可能的实现方式，在第二方面第四种可能的实现方式中，所述校验认证模块包括:
[0046]判断单元，用于判断所述第二漫游票据是否校验认证成功，并将校验认证结果发送至第三应用；
[0047]第一跳转单元，用于如果所述第二漫游票据校验认证成功，则所述第三应用跳转访问所述本地应用；
[0048]第二跳转单元，用于如果所述第二漫游票据校验认证失败，返回一身份验证错误数据，且由所述第三应用跳转至身份验证错误数据。
[0049]由以上技术方案可见，本发明实施例提供的数据访问方法，在本地认证平台的本地应用访问目标认证平台的目标应用时，本地认证平台接收来自本地应用访问目标应用的访问请求，该访问请求携带有目标认证平台以及目标应用，便于本地认证平台生成对应目标应用的第一漫游票据申请请求，并发送至对应的目标认证平台，以使目标认证平台根据接收的第一漫游票据申请请求生成相应的第一漫游票据、且将第一漫游票据返回至本地认证平台；本地认证平台接收到返回的第一漫游票据后将其发送至本地应用，由本地应用携带该第一漫游票据访问目标应用。通过本申请提供的数据访问方法，归属于本地认证平台的本地应用需要访问不同安全域的目标应用时，可以通过本地认证平台直接向目标认证平台发送对应访问请求的第一漫游票据申请请求，从而接收由目标认证平台根据第一漫游票据申请请求生成的第一漫游票据，并由本地应用携带第一漫游票据直接访问目标应用。从而有效避免多个安全域间进行漫游访问时，每个安全域内的本地认证平台需要分别向票据漫游中心进行漫游票据请求，从而增加票据漫游中心的负担，降低安全域间漫游访问的速度。
[0050]进一步的，本申请提供的数据访问方法中，本地认证平台可以接收到第三认证平台(区别于本地认证平台和目标认证平台的第三认证平台，且该三个认证平台均位于不同的安全域)发送的归属于第三认证平台生成的第三应用访问本地应用的第二漫游票据申请请求，同时，根据第二漫游票据申请请求生成对应的第二漫游票据，并将该第二漫游票据转发发送至该第三认证平台。通过安全域内的认证平台生成和转发相应需要访问的应用的漫游票据，从而避免现有技术中集中通过漫游票据中心生成和转发漫游票据的方式，极大降低漫游票据中心的数据处理负荷，避免漫游票据中心负荷较大容易导致安全域之间无法进行漫游访问，并有效提高安全域之间漫游访问的速度。
[0051]另外，本申请提供的数据访问方法中，本地认证平台在接收到本地应用生成的携带有漫游票据的认证请求后，会根据认证请求对第三应用访问本地应用时携带的漫游票据进行校验认证，并且在校验认证成功后，第三应用跳转访问本地应用。通过本申请实施例， 能够使安全域内的认证平台对需要访问的归属于本认证平台的本地应用携带的漫游票据进行校验认证，避免将认证请求统一发送至票据漫游中心进行认证，并将认证结果由认证平台转发的情况，从而节约了数据传输流程，提高漫游访问速度。【附图说明】
[0052]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0053]图1为本发明提供的数据访问方法的一个实施例的流程示意图；
[0054]图2为本发明提供的数据访问方法的另一个实施例的流程示意图；
[0055]图3为本发明提供的数据访问方法的又一个实施例的流程示意图；
[0056]图4为本发明提供的数据访问方法的另一个实施例的流程示意图；
[0057]图5为本发明提供的数据访问方法的又一个实施例的流程示意图；
[0058]图6为本发明实施例提供的数据访问方法的应用结构示意图；
[0059]图7为本发明提供的数据访问系统的一个实施例的结构示意图；
[0060]图8为本发明提供的数据访问系统的另一个实施例的结构示意图；
[0061]图9为本发明提供的数据访问系统的又一个实施例的结构示意图；
[0062]图10为本发明提供的数据访问系统的另一个实施例的结构示意图；
[0063]图11为本发明提供的数据访问系统的又一个实施例的结构示意图。【具体实施方式】
[0064]为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0065]参见图1，为本发明实施例提供的一种数据访问方法的流程示意图。
[0066]如图1所示，本公开实施例提供的数据访问方法包括:
[0067]步骤S101:接收归属于本地认证平台的本地应用所发送的访问请求，所述访问请求内携带有目标认证平台以及归属于所述目标认证平台的目标应用；
[0068]本地认证平台和目标认证平台在实施过程中均可位于不同的安全域内，本地应用归属于本地认证平台，目标应用归属于目标认证平台；在本实施例中，以该本地认证平台所在的安全域为访问域，以目标认证平台所在的安全域为目标域，即通过归属于本地认证平台的本地应用访问归属于目标认证平台的目标应用。在进行访问过程中，本地应用会接收到用户发出的访问指令，从而本地应用将根据用户的访问指令生成访问请求，该访问请求携带需要访问的目标认证平台以及归属于目标认证平台的目标应用，具体为，访问请求携带目标认证平台以及目标应用的具体信息，从而使本地认证平台接收该访问请求，便于本地认证平台能够根据接收到的访问请求生成相应的漫游票据申请请求，并将漫游票据申请请求准确地发送到相应的认证平台。
[0069]步骤S102:根据所述访问请求生成第一漫游票据申请请求；
[0070]其中，在本实施例提供的数据访问方法中，本地认证平台可根据接收到的携带有目标认证平台以及归属于目标认证平台的目标应用的访问请求，生成对应于访问请求的第一漫游票据申请请求；具体的，目标认证平台以及归属于目标认证平台的目标应用通过IP 地址等进行标识，从而便于本地认证平台能够直接将生成的第一漫游票据申请请求。具体生成第一漫游票据申请请求的方式在本发明实施例中并不作详细说明。
[0071]步骤S103:将所述第一漫游票据申请请求发送至所述目标认证平台，以使所述目标认证平台根据所述第一漫游票据申请请求生成对应的第一漫游票据；
[0072]其中，本地认证平台生成第一漫游票据申请请求后，该本地认证平台根据第一漫游票据申请请求对应的目标认证平台，本地认证平台将第一漫游票据申请请求发送至目标认证平台，由目标认证平台接收该第一漫游票据申请请求，并由目标认证平台根据第一漫游票据申请请求生成相对应的第一漫游票据。
[0073]目标认证平台以及归属于目标认证平台的目标应用通过IP地址等进行标识，从而便于本地认证平台能够直接将生成的第一漫游票据申请请求发送至正确的目标认证平台，并且根据目标应用的IP地址，使目标认证平台能够生成与目标应用相对应的第一漫游票据，该第一漫游票据为按照规定格式形成的具有认证作用的信息载体，可以包括资源信息、认证信息、时间戳以及□令等。
[0074]步骤S104:接收所述目标认证平台返回的第一漫游票据；
[0075]其中，在本地认证平台将生成的第一漫游票据申请请求发送至目标认证平台，目标认证平台生成对应的第一漫游票据并转发发送至本地认证平台；本地认证平台接收该第一漫游票据。其中，对应目标认证平台生成第一漫游票据的实施方式在本实施例中不进行详细阐述。
[0076]步骤S105:将所述第一漫游票据发送至所述本地应用，以使所述本地应用携带所述第一漫游票据访问所述目标应用；
[0077]为了保证本地应用能够直接访问目标应用，本地认证平台将该第一漫游票据发送至本地应用。在实施过程中，本地应用接收到第一漫游票据后，本地应用携带该第一漫游票据直接访问目标应用，由于第一漫游票据表示本地应用访问目标应用的身份验证信息，因此，目标应用接收到携带有第一漫游票据的本地应用的访问时，目标应用会根据第一漫游票据的信息发送相应的认证请求给目标认证平台，便于目标认证平台对第一漫游票据进行校验认证，以使本地应用能够跳转访问目标应用。
[0078]需要说明的是，在本发明实施例提供的数据访问方法中，本地认证平台存储有归属于本地认证平台内有权访问的所有应用的资源信息，并且存储有根据应用的资源信息对应转换后的漫游票据；目标认证平台存储有归属于目标认证平台内有权访问的所有应用的资源信息，并且存储有根据该应用的资源信息对应转换后的漫游票据。通过本地认证平台和目标认证存储归属于自身平台内应用对应的票据，从而便于在归属于自身平台下的应用被访问的情况下，自身平台可以相对应生成漫游票据。
[0079]另外，在本实施例中，该本地认证平台与目标认证平台之间也可以交换访问，即本地认证平台所属的安全域为目标域，目标认证平台所属的安全域为访问域，归属于目标认证平台的目标应用也可以跨域访问归属于本地认证平台的本地应用(此时，本地认证平台即为需要访问的目标平台)，该目标认证平台的实施方式与上述实施例提出的本地认证平台的实施方式相同，具体的实施方式在本实施例中不再进行详细阐述。
[0080]采用本发明实施例提供的数据访问方法，由于本地认证平台能够接收归属于本地认证平台的本地应用发送的访问请求，从而根据访问请求生成漫游票据申请请求，本地认证平台直接将漫游票据申请请求发送至能够生成漫游票据的目标认证平台，并在直接接收到目标认证平台返回的第一漫游票据后发送至本地应用，以使本地应用携带第一漫游票据访问目标应用。通过本实施例提供的数据访问方法，从而能够去除票据漫游中心，直接通过两个认证平台之间进行漫游票据发送和接收，有效避免票据漫游中心需要接收所有安全域内认证平台发送的漫游票据申请请求以及相应生成和转发漫游票据的过程，能够直接通过安全域内的认证平台之间进行漫游票据申请请求的发送和漫游票据的生成、转发，从而加快数据访问速度。
[0081]参见图2,所示为本发明实施例提供的另一种数据访问方法的流程示意图。
[0082]如图2所示，本申请实施例提供的数据访问方法包括:
[0083]步骤S201:接收第三认证平台发送的第二漫游票据申请请求，所述第二漫游票据申请请求为所述第三认证平台根据归属于所述第三认证平台的第三应用所发送的访问请求生成的；
[0084]在本申请实施例提供的数据访问方法中，第三认证平台在本实施例中为区别于本地认证平台和目标认证平台的另一认证平台，该第三认证平台作为访问域的认证平台，本地认证平台作为目标域的认证平台，从而在实施过程中，归属于第三认证平台的第三应用接收到用户的访问指令、并生成携带有需要访问的本地认证平台和本地应用的访问请求， 第三应用将该访问请求发送出去，由第三认证平台接收该访问请求，并根据访问请求生成对应于需要访问的本地应用的第二漫游票据申请请求，将第二漫游票据申请请求发送至本地认证平台。
[0085]其中，本地认证平台内存储有归属于本地认证平台、有权访问的本地应用的资源信息，以及根据资源信息对应转换成的漫游票据信息，从而本地认证平台接收到第二漫游票据申请请求后，由于第二漫游票据申请请求为根据第三应用需要访问本地应用的访问请求生成，因此，第二漫游票据申请请求携带有本地认证平台和本地应用的标识(例如IP地址等)，使得本地认证平台能够根据第二漫游票据申请请求直接生成相应的第二漫游票据， 并通过本地认证平台转发发送至第三认证平台；进而，第三认证平台接收到第二漫游票据后，将第二漫游票据发送至第三应用，第三应用接收到第二漫游票据后，该第三应用携带第二漫游票据直接访问本地应用。
[0086]需要说明的是，在第三应用携带第二漫游票据直接访问本地应用过程中，需要对第三应用携带的第二漫游票据进行票据校验认证，对于票据校验认证在本实施例并不作过多阐述，可参看一下其他相关实施例的描述。
[0087]步骤S202:根据所述第二漫游票据申请请求，生成对应的第二漫游票据；
[0088]第二漫游票据申请请求为步骤S201中第三认证平台发送的申请请求，其中，第二漫游票据申请请求主要用于请求归属于第三认证平台的第三应用需要访问的、归属于本地认证平台的本地应用的漫游票据(本地应用的身份验证信息)，从而，本地认证平台根据第二漫游票据申请请求，生成对应于第二漫游票据申请请求的第二漫游票据。
[0089]具体的，参考图3,所示为本申请实施例提供的另一种数据访问方法的流程示意图，具体为，本地认证平台生成第二漫游票据的流程示意图。
[0090]如图3所示，本申请实施例提供的本地认证平台生成第二漫游票据的方法包括:
[0091]步骤S2021:查找并确认所述第二漫游票据申请请求的类型；
[0092]在本申请实施例提供的本地认证平台存储有不同的漫游票据申请请求的类型，具体可为申请请求携带的需要访问的第二漫游票据对应的本地应用，从而通过第二漫游票据申请请求确定需要访问的本地应用(归属于本地认证平台的本地应用可有多个应用，每个应用对应的IP地址不同，因此，需要确认是哪个应用)。
[0093]步骤S2022:根据所述类型查找本地认证平台内存储的所述第二漫游票据申请请求相对应的资源信息；
[0094]其中，本地认证平台内均设置有归属于本地认证平台内的有权访问的应用的资源信息，从而在步骤S2021确认第二漫游票据申请请求的类型后，本地认证平台根据确认的第三应用需要访问的本地应用，在本地认证平台中查找得出所述第二漫游票据申请请求对应的资源信息，进而根据资源信息生成第二漫游票据；
[0095]需要说明的是，如果本地认证平台确认的本地应用未在本地认证平台内存储的有权访问的应用之列中，则表示身份验证错误或第三应用没有访问本地应用的权限；否则转向步骤S2023。
[0096]步骤S2023:根据所述资源信息查找得出相应的第二漫游票据；
[0097]其中，由于本地认证平台可根据存储的有权访问的应用的资源信息直接生成相对应的漫游票据，并将对应的漫游票据存储于本地认证平台内，从而在步骤S2022查找得出对应的第二漫游票据申请请求的资源信息之后，根据该资源信息查找相对应的漫游票据，即为第二漫游票据。
[0098]通过该本地认证平台存储归属于本地认证平台有权访问的应用的资源信息，以及资源信息对应转换的漫游票据，便于本地认证平台能够根据漫游票据申请请求快速生成漫游票据，且通过查找的方式能够加快生成漫游票据的速度，有效提高漫游访问的速度。
[0099]步骤S203:将所述第二漫游票据发送至所述第三认证平台，以使所述第三认证平台将所述第二漫游票据发送至所述第三应用，且所述第三应用携带所述第二漫游票据访问所述本地应用；
[0100]其中，本地认证平台生成第二漫游票据之后，会根据发送第二漫游票据申请请求对应的第三认证平台，将第二漫游票据转发发送至第三认证平台，便于第三认证平台接收反馈的、与第二漫游票据申请请求相对应的第二漫游票据；以使第三认证平台将第二漫游票据发送给第三应用，第三应用携带第二漫游票据直接访问本地应用。[〇1〇1]需要说明的是，在本申请中，第三认证平台也存储有归属于第三认证平台、且有权被访问的应用的资源信息，以及根据资源信息对应转换的漫游票据；而且，该第三认证平台也可以作为目标域，被其他的应用进行访问，【具体实施方式】可参看相关本地认证平台的实施方式。
[0102]采用本发明实施例提供的数据访问方法，本地认证平台可以接收到第三认证平台发送的归属于第三认证平台生成的第三应用访问本地应用的第二漫游票据申请请求，同时生成对应的第二漫游票据并转发至第三认证平台。通过本申请的实施例可知，本地认证平台能够生成和转发相应的漫游票据，由于本地认证平台存储有归属于本地认证平台内有权被访问的应用的资源信息和相应转换的漫游票据，从而避免票据漫游中心需要集中存储归属于各个安全域内认证平台的有权被访问的应用的资源信息，降低票据漫游中心的数据处理能力，同时加快安全域之间的归属于认证平台的应用之间相互跨域访问的速度。
[0103]参见图4,所示为本发明实施例提供的另一种数据访问方法。
[0104]如图4所示，在本发明实施例提供的本地认证平台、目标认证平台和第三认证平台均可以直接对漫游票据进行校验认证，避免本地认证平台、目标认证平台和第三认证平台需要将漫游票据的认证请求发送至外部，如通过票据漫游中心进行校验认证，减少操作流程，有效提高数据访问速度。本实施例中，以本地认证平台对第二漫游票据进行校验认证为例，且在实施过程中，以上每个认证平台(本地认证平台、目标认证平台和第三认证平台)均位于不同的安全域内，则数据访问方法包括:
[0105]步骤S301:接收本地应用发送的认证请求，所述认证请求为本地应用根据第三应用访问所述本地应用携带的第二漫游票据生成的；
[0106]其中，以本地认证平台为例，归属于第三认证平台的第三应用跨域访问归属于本地认证平台的本地应用，在第三应用接收到由第三认证平台发送的第二漫游票据(用于能够访问本地应用的身份验证信息)后，第三应用会携带第二漫游票据直接访问本地应用； 由于本地应用与第三应用位于不同安全域内，则本地应用接收到携带有第二漫游票据的第三应用访问的情况下，本地应用需要确认该第三应用是否有访问权限，即携带的第二漫游票据的身份验证、策略验证或权限验证等是否合格；因此，本地应用需要向本地应用归属的本地认证平台发送有关第二漫游票据的认证请求。
[0107]由于本地认证平台内存储有归属于本地认证平台的有权被访问的应用的资源信息，以及资源信息对应转换的漫游票据，则本地认证平台在接收到本地应用发送的认证请求后，根据第二漫游票据、在本地认证平台内存储的漫游票据或资源信息中查找相应的资源信息是否与第二漫游票据相同，从而对第二漫游票据进行校验认证。
[0108]步骤S302:根据所述认证请求校验认证所述第二漫游票据，且所述第三应用访问所述本地应用；
[0109]由于第三应用访问本地应用时携带有第二漫游票据，该本地应用接收到第三应用的访问时，会根据第二漫游票据生成相应的认证请求、并发送至本地认证平台；由于认证请求携带有相关第二漫游票据的信息，则本地认证平台根据接收到的携带有第二漫游票据的认证请求后，对第二漫游票据进行校验认证，并将校验认证结果发送至本地应用。
[0110]具体的，参见图5,所示为步骤S302中对第二漫游票据进行校验认证过程的流程示意图。
[0111]如图5所示，可知步骤S302进一步包括:
[0112]步骤S3021:判断所述第二漫游票据是否校验认证成功，并将校验认证结果发送至第三应用；
[0113]其中，本地认证平台上存储有根据有权访问应用的资源信息转换的漫游票据的信息，因此，在本地认证平台接收到本地应用发送的携带有第二漫游票据的认证请求后，在本地认证平台内存储的漫游票据信息中查找与第二漫游票据相关的漫游票据；并将该漫游票据与认证请求携带的第二漫游票据进行比对，如果在本地认证平台内有与第二漫游票据相同的漫游票据，则表示第二漫游票据校验成功，则第三应用有访问本地应用的权限；如果在本地认证平台内没有与第二漫游票据相同的漫游票据，则表示第二漫游票据校验失败，则第三应用没有访问本地应用的权限。同时，在本地认证平台对第二漫游票据进行校验认证后，将校验认证的结果发送至第三应用。
[0114]在实施过程中，该第二漫游票据以八位二进制字符串为例，则本地认证平台内可存储0-255个有权访问的应用的漫游票据，如果该第二漫游票据为01011001，则需要在 0-255个漫游票据中查找比对是否有相同的字符串，如果具有相同的字符串，则表示第二漫游票据校验成功，否则，第二漫游票据校验失败；以上仅为对漫游票据的举例说明，该漫游票据的形式并不限于本实施例中提及的实施方式。
[0115]步骤S3022:如果所述第二漫游票据校验认证成功，则所述第三应用跳转访问所述本地应用；
[0116]根据步骤S3021中对第二漫游票据进行校验认证后，得到相关的校验认证结果， 若果校验认证成功，则本地认证平台将发送给本地应用校验成功的反馈信息，即第三应用身份验证成功，具有访问本地应用的权限，则第三应用可直接跳转访问本地应用。
[0117]步骤S3023:如果所述第二漫游票据校验认证失败，返回一身份验证错误数据，且由所述第三应用跳转至身份验证错误数据；
[0118]其中，步骤S3021中对第二漫游票据校验认证失败后，即第三应用不具有访问本地应用的权限，则第三应用无法直接跳转访问该本地应用；同时，为了便于提醒用户，便于用户能够直观观察，则本地认证平台返回一身份验证错误信息，第三应用则跳转至身份验证错误的页面。
[0119]采用本发明实施例提供的数据访问系统，能够通过该本地认证平台直接对携带漫游票据的认证请求进行校验认证，并将校验认证结果直接发送至本地应用中，从而避免现有技术中，在对漫游票据进行校验认证的情况下，需要将携带漫游票据的认证请求发送至票据漫游中心，并通过本地认证平台转发认证请求和认证结果。因此，不仅去除票据漫游中心，而且，在实现漫游访问时，仅通过两个安全域内的认证平台之间进行票据生成、票据转发和票据认证，有效提高访问速度，减少访问时间。
[0120]需要说明的是，以上实施例中仅仅以本地认证平台为例进行实施例的描述，但是， 在实施过程中，该目标认证平台和第三认证平台与本地认证平台的功能和结构均相同，其在实施过程中与本地认证平台实施方式相同，【具体实施方式】可参看以上实施例，在此不再详细阐述。
[0121]通过以上的方法实施例的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:只读存储器 (ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0122]与本发明提供的数据访问方法实施例相对应，本发明还提供了一种数据访问系统的实施例。
[0123]参见图6,所示为本发明实施例提供的数据访问方法应用过程的结构示意图，如图 6所示，本地应用40归属于本地认证平台10,目标应用50归属于目标认证平台20,第三应用60归属于第三认证平台30,并且，该本地认证平台10、目标认证平台20、第三认证平台 30可均位于不同的安全域，从而在进行应用之间的访问为跨域、漫游访问。其中，每个认证平台上设置的功能均相同，即每个认证平台位于的安全域既可以作为访问域访问其他安全域的应用，也可以作为目标域被其他安全域的应用访问。在本实施例中，以数据访问系统设置在本地认证平台10上的系统结构进行详细描述。
[0124]参见图7,所示为本发明实施例提供的一种数据访问系统的结构示意图，具体为设置在本地认证平台上的数据访问系统。如图7所示，该数据访问系统包括:
[0125]访问请求接收模块11:该访问请求接收模块11用于接收归属于本地认证平台的本地应用所发送的访问请求，具体为本地应用访问归属于另一认证平台的应用的访问请求，其中，以本地认证平台和目标认证平台为例，可知，设置在本地认证平台上的访问请求接收模块11用于接收本地应用生成的本地应用访问目标应用的访问请求。
[0126]票据请求生成模块12:该票据请求生成模块12根据访问请求接收模块11接收到的访问请求生成与访问请求相应的漫游票据申请请求，以使漫游票据申请请求发送至另一认证平台上；其中，以本地认证平台和目标认证平台为例，该访问请求为携带本地应用需要访问的目标认证平台和目标应用的标识信息的请求，从而使该票据请求生成模块12能够对应生成该漫游票据申请请求，且漫游票据申请请求包括有需要发送达到的目标认证平台的标识，便于直接将漫游票据申请请求发送至目标认证平台。
[0127]票据请求发送模块13:在票据请求生成模块12生成漫游票据申请请求后，由于生成的漫游票据申请请求携带有归属于本地认证平台的本地应用需要访问的归属于目标认证平台的目标应用的地址(如目标应用所归属的目标认证平台的IP地址等)，则票据请求发送模块13将漫游票据申请请求发送至目标应用归属的目标认证平台，便于目标认证平台根据漫游票据申请请求生成相应的漫游票据。其中，目标认证平台生成漫游票据的方法可参看其他相关实施例。
[0128]漫游票据接收模块14:在票据请求发送模块13将漫游票据申请请求发送至相应的目标认证平台后，目标认证平台根据漫游票据申请请求生成相应的第一漫游票据、并将第一漫游票据转发至本地认证平台，通过该漫游票据接收模块14接收该第一漫游票据，并将第一漫游票据发送至本地应用。
[0129]第一漫游票据发送模块15,用于漫游票据接收模块14接收到目标认证平台发送的第一漫游票据后，该第一漫游票据发送模块15将相应的第一漫游票据发送至本地应用， 且第一漫游票据与本地应用生成的需要访问目标应用的访问请求相对应。
[0130]采用本实施例提供的数据访问系统，通过包括访问请求接收模块11、票据请求生成模块12、票据请求发送模块13、漫游票据接收模块14和第一漫游票据发送模块15,能够根据本地应用需要访问的目标应用生成的访问请求，向目标认证平台请求相应的漫游票据、并将漫游票据转发至本地应用，以使本地应用直接访问目标应用；通过本实施例能够实现认证平台之间的漫游票据的申请，避免漫游票据中心集中处理。
[0131]参见图8,所示为本发明实施例提供的数据访问系统的结构示意图，在本实施例中，仍以本地认证平台为例，该数据访问系统设置在本地认证平台，具体为数据访问系统生成漫游票据和转发漫游票据的系统结构。本实施例以本地认证平台为例进行详细说明，其中，由归属于第三认证平台的第三应用跨域访问归属于本地认证平台的本地应用。
[0132]如图8所示，本实施例提供的数据访问系统包括:
[0133]票据请求接收模块21:用于接收第三认证平台发送的漫游票据申请请求，从而使本地认证平台能够根据漫游票据申请请求携带的漫游票据信息生成相应的漫游票据。
[0134]漫游票据生成模块22:在票据请求接收模块21接收到漫游票据申请请求之后，该漫游票据生成模块22根据漫游票据申请请求生成与漫游票据申请请求相对应的第二漫游票据，由于漫游票据申请请求携带有第三应用需要访问的本地应用的地址信息，则漫游票据生成模块22直接在本地认证平台上查找与其相对应的漫游票据。
[0135]其中，参见图9,所示的漫游票据生成模块22的具体结构示意图，如图9所示，该漫游票据生成模块22还包括:
[0136]第一查找单元221:该第一查找单元221用于查找该票据请求接收模块21接收的漫游票据申请请求的类型；其中，根据第二漫游票据申请请求携带的第三应用访问的本地应用的IP地址等，查找第二漫游票据申请请求的类型，从而根据第二漫游票据申请请求的类型得出漫游票据。
[0137]第二查找单元222:该第二查找单元222用于根据第二漫游票据申请请求的类型查找本地认证平台内存储的所述第二漫游票据申请请求对应的资源信息，从而确定第三应用需要访问的本地应用的地址信息等；
[0138]其中，在具体实施过程中，本地认证平台中设置有存储单元，该存储单元主要用于存储归属于本地认证平台内有权被访问的应用的资源信息以及根据资源信息对应转换的漫游票据；从而，在该第一查找单元221查找到漫游票据申请请求的类型后，即可根据漫游票据申请请求的类型，由第二查找单元221确认在本地认证平台中本地应用的地址，进而查找对应的本地应用的资源信息。该存储单元可以以数据库的形式，存储相关应用的资源信息和漫游票据，便于该第一查找单元221和漫游票据获取单元223调用、查找。
[0139]漫游票据获取单元223:在第一查找单元221查找到与漫游票据申请请求相应的本地应用的资源信息后，由本地应用的资源信息与相应的第二漫游票据对应，则该漫游票据获取单元223可以直接获取本地应用的资源信息对应的第二漫游票据。
[0140]第二漫游票据发送模块23:该第二漫游票据发送模块23在漫游票据生成模块22 生成第二漫游票据后，将第二漫游票据转发发送至第三认证平台，以使该第三认证平台将接收到的第二漫游票据发送到第三应用，使得第三应用携带第二漫游票据直接访问本地应用；其中，该第二漫游票据发送模块23的【具体实施方式】，在此不再详细阐述，可参看上述相关实施例。
[0141]采用本实施例提供的数据访问系统，能够通过该漫游票据生成模块22根据漫游票据申请请求生成相应的第二漫游票据，并由第二漫游票据发送模块23转发发送至第三认证平台，从而实现认证平台内即可生成和转发漫游票据，避免现有技术中必须由漫游票据中心生成和转发漫游票据，从而有效提高漫游访问速度。
[0142]参见图10,所示为本发明实施例提供的又一种数据访问系统的结构示意图，以本地认证平台为例，该数据访问系统设置在该本地认证平台上，具体为该本地认证平台对漫游票据进行校验认证的结构示意图。
[0143]如图10所示，本实施例提供的数据访问系统包括:
[0144]认证请求接收模块31:在第三认证平台接收到本地认证平台生成、转发的漫游票据后，该第三认证平台将漫游票据发送到第三应用，该第三应用携带漫游票据访问本地应用，本地应用接收到携带有漫游票据的第三应用的访问后，本地应用根据漫游票据生成携带漫游票据的认证请求、并发送至本地认证平台，从而由该认证请求接收模块31接收该携带有漫游票据的认证请求；其中，认证请求接收模块31可以为上述实施例中提出的访问请求接收模块11，【具体实施方式】可参看上述相关实施例，在此不再详细赘述。
[0145]校验认证模块32:该校验认证模块32根据认证请求接收模块31接收的携带有第二漫游票据的认证请求，对第二漫游票据进行校验认证，具体的，可根据漫游票据在本地认证平台中查找存储的归属于本地认证平台内有权被访问的应用的漫游票据，并与接收到第二漫游票据对比，将该比对结果发送至本地应用，以使本地应用能够根据校验结果确定第三应用是否能够跳转访问本地应用。
[0146]其中，该校验认证模块32通过对本地认证平台存储的、归属于本地认证平台内有权被第三应用访问的本地应用的漫游票据查询，并将该漫游票据与上述认证请求接收模块 31接收的访问请求中携带的第二漫游票据比对，根据比对结果判断第三应用是否具有访问本地应用的权限；如果两者一致，则校验认证成功；如果两者不一致，则校验认证失败。
[0147]具体的，参见图11，所示为校验认证模块32的具体结构示意图，如图11所示，该校验认证模块32包括:
[0148]判断单元321:用于判断该校验认证模块32对本地认证平台内存储的漫游票据与认证请求接收模块31接收的认证请求携带的第二漫游票据进行比对结果，从而判断该第二漫游票据是否校验认证成功，并将校验认证结果发送至本地应用；其中，两者比对相同的情况下，第二漫游票据校验认证成功，两者比对不同的情况下，第二漫游票据校验认证失败。
[0149]第一跳转单元322:接收该判断单元321发送的该第二漫游票据校验认证成功的校验认证结果，从而将该校验认证成功的结果发送至本地应用；
[0150]其中，该第一跳转单元322发送的校验认证成功的结果携带有该第三应用访问本地应用的访问信息，则该第三应用跳转访问该本地应用。
[0151]第二跳转单元323:用于如果第二漫游票据校验认证失败，返回一身份验证错误数据，且由第三应用跳转至身份验证错误数据；
[0152]其中，如果该判断单元321判断的第二漫游票据校验认证失败，则表示该第三应用不具有访问本地应用的权限，则该第二跳转单元323发送一身份验证错误数据至本地应用，该第三应用根据接收到的身份验证错误数据，跳转至相关的身份验证错误界面，即可提醒用户，身份验证错误，无法进行跨域访问。
[0153]采用本实施例提供的数据访问系统，通过校验认证模块32对漫游票据直接进行校验，从而确定归属于第三认证平台的第三应用是否能够跳转访问本地应用，避免现有技术中需要票据漫游中心对漫游票据进行校验认证，而认证平台主要用于接收和转发校验认证的结果，从而有效提高漫游访问速度。
[0154]需要说明的是，以上所述的实施例中，各个单元之间均为能集成相应的功能模块， 并集成在认证平台中，且上述仅以本地认证平台为例，但并不限于此，如目标认证平台和第三认证平台等均包括以上各个单元以及模块，【具体实施方式】在此不再详细赘述，可以参看以上相关实施例。
[0155]为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0156]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0157]可以理解的是，本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0158]本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0159]需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0160]以上所述仅是本发明的【具体实施方式】，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
【主权项】
1.一种数据访问方法，其特征在于，包括:接收归属于本地认证平台的本地应用所发送的访问请求，所述访问请求内携带有目标 认证平台以及归属于所述目标认证平台的目标应用；根据所述访问请求生成第一漫游票据申请请求；将所述第一漫游票据申请请求发送至所述目标认证平台，以使所述目标认证平台根据 所述第一漫游票据申请请求生成对应的第一漫游票据；接收所述目标认证平台返回的第一漫游票据；将所述第一漫游票据发送至所述本地应用，以使所述本地应用携带所述第一漫游票据 访问所述目标应用。2.根据权利要求1所述的数据访问方法，其特征在于，还包括:接收第三认证平台发送的第二漫游票据申请请求，所述第二漫游票据申请请求为所述 第三认证平台根据归属于所述第三认证平台的第三应用所发送的访问请求生成的；根据所述第二漫游票据申请请求，生成对应的第二漫游票据；将所述第二漫游票据发送至所述第三认证平台，以使所述第三认证平台将所述第二漫 游票据发送至所述第三应用，且所述第三应用携带所述第二漫游票据访问所述本地应用。3.根据权利要求2所述的数据访问方法，其特征在于，还包括:接收本地应用发送的认证请求，所述认证请求为本地应用根据第三应用访问所述本地 应用携带的第二漫游票据生成的；根据所述认证请求校验认证所述第二漫游票据，且所述第三应用访问所述本地应用。4.根据权利要求2所述的数据访问方法，其特征在于，所述生成对应的第二漫游票据， 包括:查找并确认所述第二漫游票据申请请求的类型；根据所述类型查找本地认证平台内存储的所述第二漫游票据申请请求相对应的资源 信息；根据所述资源信息查找得出相应的第二漫游票据。5.根据权利要求3所述的数据访问方法，其特征在于，所述根据所述认证请求校验认 证所述第二漫游票据，且所述第三应用访问所述本地应用，包括:判断所述第二漫游票据是否校验认证成功，并将校验认证结果发送至第三应用；如果所述第二漫游票据校验认证成功，则所述第三应用跳转访问所述本地应用；如果所述第二漫游票据校验认证失败，返回一身份验证错误数据，且由所述第三应用 跳转至身份验证错误数据。6.—种数据访问系统，其特征在于，包括:访问请求接收模块，用于接收归属于本地认证平台的本地应用所发送的访问请求，所 述访问请求内携带有目标认证平台以及归属于所述目标认证平台的目标应用；票据请求生成模块，用于根据所述访问请求生成第一漫游票据申请请求；票据请求发送模块，用于将生成的第一漫游票据申请请求发送至所述目标认证平台； 漫游票据接收模块，用于接收所述目标认证平台返回的第一漫游票据；第一漫游票据发送模块，用于将接收到的第一漫游票据发送至归属于本地认证平台的 本地应用。7.根据权利要求6所述的数据访问系统，其特征在于，还包括:票据请求接收模块，用于接收第三认证平台发送的第二漫游票据申请请求，所述第二 漫游票据申请请求为所述第三认证平台根据归属于所述第三认证平台的第三应用所发送 的访问请求生成的；漫游票据生成模块，用于根据所述第二漫游票据申请请求，生成对应的第二漫游票 据；第二漫游票据发送模块，用于将所述第二漫游票据发送至所述第三认证平台，以使所 述第三认证平台将所述第二漫游票据发送至所述第三应用，且所述第三应用携带所述第二 漫游票据访问所述本地应用。8.根据权利要求7所述的数据访问系统，其特征在于，还包括:认证请求接收模块，用于接收本地应用发送的认证请求，所述认证请求为本地应用根 据第三应用访问所述本地应用携带的第二漫游票据生成的；校验认证模块，用于根据所述认证请求校验认证所述第二漫游票据，且所述第三应用 访问所述本地应用。9.根据权利要求7所述的数据访问系统，其特征在于，所述漫游票据生成模块包括:第一查找单元，用于查找并确认所述第二漫游票据申请请求的类型；第二查找单元，用于根据所述类型查找本地认证平台内存储的所述第二漫游票据申请 请求相对应的资源信息；漫游票据获取单元，用于根据所述资源信息查找得出相应的第二漫游票据。10.根据权利要求8所述的数据访问系统，其特征在于，所述校验认证模块包括:判断单元，用于判断所述第二漫游票据是否校验认证成功，并将校验认证结果发送至 第三应用；第一跳转单元，用于如果所述第二漫游票据校验认证成功，则所述第三应用跳转访问 所述本地应用；第二跳转单元，用于如果所述第二漫游票据校验认证失败，返回一身份验证错误数据， 且由所述第三应用跳转至身份验证错误数据。
【文档编号】H04L29/06GK105991602SQ201510088641
【公开日】2016年10月5日
【申请日】2015年2月26日
【发明人】张德生, 王秀娟, 张晓琳, 高峰, 张建军, 苏砫, 周建波
【申请人】北京神州泰岳信息安全技术有限公司