一种访问及证书下发方法、装置制造方法及图纸

本申请提供了一种访问方法，数据中心接收来自请求方的、携带请求方的证书的访问请求，所述证书包括针对数据中心为所述请求方预先分配的存储空间的访问路径信息，数据中心基于所述访问路径信息，访问所述存储空间。因为证书具有较高的可信性和安全性，所以，只要预先为请求方分配好存储空间并将针对存储空间的访问路径写入证书，就能够避免请求方发出对数据中心为其它请求方分配的存储空间的访问请求，在多个应用共用数据中心的情况下，降低数据被盗取的可能，从而提高安全性，并且，因为证书使用的普遍性，无需在请求方或数据中心进行额外的安全逻辑的配置。

A method and device for accessing and issuing certificates

The invention provides an access method, data center receives a request from the requesting party, carrying the certificate request, the access path information of the certificate, including requesting pre allocated storage space for data center for the data center, the access path based on information, access to the storage space. Because the credibility and safety certificate has high so as long as the requesting party allocated storage space and access path for the storage space of the written certificate in advance, we can avoid the request issued to the data center storage space for other requesting allocation of access request, in multiple application data sharing center case and reduce the data being stolen, so as to improve the safety, and because of general use certificate, without the need for additional security logic in the requesting party or the data center configuration.

【技术实现步骤摘要】
一种访问及证书下发方法、装置
本申请涉及电子信息领域，尤其涉及一种访问及证书下发控制方法、装置。
技术介绍
在分布式系统中，如图1所示，不同的应用的配置数据存储在数据中心中。具体地，在应用启动时，向数据中心请求配置数据，数据中心将进行请求的应用的配置数据发给进行请求的应用。进一步地，当应用的配置数据发生变化后，数据中心还可以主动向相应的应用发送更新后的配置数据。在数据中心中存储有多个应用的配置数据的情况下，存在应用1伪装成应用2访问应用2的配置数据的可能性，现有技术中，数据中心通常会规定一套权限认证逻辑防止这种可能性的发生。而实际中，应用通常有自己的安全逻辑，应用的安全逻辑可能与数据中心的权限认证逻辑不兼容，从而导致应用无法使用数据中心。
技术实现思路
本申请提供了一种访问及证书下发方法、装置，目的在于解决因为应用的安全逻辑可能与数据中心的权限认证逻辑不兼容，而导致应用无法使用数据中心的问题。为了实现上述目的，本申请提供了以下技术方案：一种访问方法，包括：接收来自请求方的访问请求，所述访问请求中携带所述请求方的证书，所述证书包括：针对所述数据中心为所述请求方预先分配的存储空间的访问路径信息；从所述证书中获取所述访问路径信息；基于所述访问路径信息，访问所述存储空间。一种证书下发方法，包括：生成证书，所述证书包括：针对数据中心为被签发方预先分配的存储空间的访问路径信息；向所述被签发方下发所述证书。一种访问装置，包括：接收模块，用于接收来自请求方的访问请求，所述访问请求中携带所述请求方的证书，所述证书包括针对所述数据中心为所述请求方预先分配的存储空间的访问路径信息；访问路径获取模块，用于从所述证书中获取所述访问路径信息；访问模块，用于基于所述访问路径信息，访问所述存储空间。一种证书下发装置，包括：生成模块，用于生成证书，所述证书包括：针对数据中心为被签发方预先分配的存储空间的访问路径信息；下发模块，用于向所述被签发方下发所述证书。本申请所述的方法及装置，数据中心接收到的来自请求方的访问请求中携带请求方的证书，因为证书包括针对数据中心为请求方预先分配的存储空间的访问路径信息，所以，数据中心可以基于证书中的访问路径信息，访问预先为请求方分配的存储空间。因为证书通常由安全认证方签发，且被签发方无权修改，具有较高的可信度和安全性，所以，只要预先在证书中写入路径信息，就能避免请求方对除自身的存储空间之外的存储空间的访问。并且，通过证书验证请求方的权项的方式，无需对请求方进行安全逻辑的修改，因此，能够避免请求方与数据中心的安全逻辑不兼容而导致的请求方无法使用数据中心的问题。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为应用访问数据中心的示意图；图2为本申请实施例公开的一种访问控制方法的流程图；图3为本申请实施例公开的一种证书的示意图；图4为本申请实施例公开的一种存储空间组织形式的示意图；图5为本申请实施例公开的又一种访问控制方法的流程图；图6为本申请实施例公开又一种证书的示意图；图7本申请实施例公开的又一种存储空间组织形式的示意图；图8为本申请实施例公开的组织单位字段的值与访问权限的对应关系的示意图；图9为本申请实施例公开的一种访问装置的结构示意图；图10为本申请实施例公开的一种证书下发装置的结构示意图；图11为本申请实施例公开的数据中心对应用的访问进行控制的示意图。具体实施方式本申请实施例公开了一种访问控制方法，可以应用在图1所示的系统中。其中，应用可以访问数据中心(例如配置中心)，读取或者写入各自的配置数据。在以下各个实施例中，应用作为访问请求方，数据中心作为被访问对象。需要说明的是，本申请实施例中，数据中心仅作为一种示例，以下所述的具体过程，其执行主体并不限定于数据中心，任意一种能够进行存储空间的访问的装置或者设备，均可以执行以下数据中心进行的操作。下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。图2为本申请公开的一种访问控制方法的流程，包括以下步骤：S201：数据中心与应用进行相互认证。本实施例中，数据中心与应用进行相互认证的过程可以参见现有技术，例如，应用和数据中心之间采用HTTPS双向认证方式，即：数据中心与客户端都需要提供由可信任的第三方提供的证书，并通过证书认可对方的身份。S202：数据中心接收访问请求。本实施例中，访问请求携带访问请求方的证书。如前所述，访问请求方为客户端中运行的应用。证书是指，在互联网中的身份标识，通常，数据中心的证书以及应用的证书由数据中心提供方或者第三方证书授证中心为数据中心以及应用分配，用于保证服务端(数据中心)和应用的合法性和相互信任。如图3所示，本实施例所述的证书中包括组织字段，组织字段用于存储针对数据中心为拥有此证书的应用分配的存储空间的访问路径信息。可选地，证书中还可以包括主题名称字段、地域字段、名称字段和联系信息字段中的一种或者多种。具体地，地域字段可以包括国家字段、省字段、市字段以及自治区字段中的一种或者多种。联系信息字段可以为电子邮件或者电话号码、地址等。名称字段用于表示应用的名称。图3仅为本实施例公开的证书的一个示例，使用以上字段组合而成的其它示例不再一一举例，访问路径也可以被放置在其它字段中。S203：数据中心通过解析所述证书，获取访问路径信息。需要说明的是，如前所述，证书是应用的身份标识，因此，数据中心除了通过解析证书获取访问路径之外，还可以确认请求方的身份。并且，因为证书的特点(应用方不能更改内容以及较高的安全性)，使得请求方身份确认的可信度更高。S204：基于访问路径信息，数据中心访问所述存储空间。本实施例中，访问所述存储空间具体是指，通过访问路径找到存储空间后，读取所述存储空间中的数据，或者向所述存储空间中写入数据，或者，既读取所述存储空间中的数据又向所述存储空间中写入数据。数据中心可以从所述访问请求中获取需要读取的数据以及需要写入的数据。例如，如图4所示，在数据中心中为应用1、应用2和应用3分别分配有存储空间，应用1的存储空间中存储有应用1的配置数据bar1，其访问路径为/business1，应用2的存储空间中存储有应用2的配置数据bar2，其访问路径为/business2，应用3的存储空间中存储有应用3的配置数据bar3，其访问路径为/business3。假设数据中心接收到应用1的访问请求，访问请求中携带应用1的证书，证书中的组织字段的值为business1，则数据中心使用路径/business1找到存储空间，并从存储空间中读出配置数据bar1，并且将bar1发送给数据获取请求方。从图2所示的过程可以看出，数据中心依据应用的证书中的组织字段的值，访问为此应用分配的存储空间，因此，只要通过组织字段的值即可限定应用本文档来自技高网...

【技术保护点】
一种访问方法，其特征在于，执行在数据中心中，包括：接收来自请求方的访问请求，所述访问请求中携带所述请求方的证书，所述证书包括：针对所述数据中心为所述请求方预先分配的存储空间的访问路径信息；从所述证书中获取所述访问路径信息；基于所述访问路径信息，访问所述存储空间。

【技术特征摘要】
1.一种访问方法，其特征在于，执行在数据中心中，包括：接收来自请求方的访问请求，所述访问请求中携带所述请求方的证书，所述证书包括：针对所述数据中心为所述请求方预先分配的存储空间的访问路径信息；从所述证书中获取所述访问路径信息；基于所述访问路径信息，访问所述存储空间。2.根据权利要求1所述的方法，其特征在于，所述访问路径信息被放置在所述证书的第一字段中。3.根据权利要求1或2所述的方法，其特征在于，所述证书还包括：第二字段；所述存储空间的访问权限被放置在所述第二字段中，所述访问权限为可读可写、只读或者只写中的一种。4.根据权利要求3所述的方法，其特征在于，基于所述访问路径信息，访问所述存储空间包括：基于所述访问路径信息，依据所述访问权限，访问所述存储空间。5.根据权利要求3所述的方法，其特征在于，接收到的所述访问请求与所述证书中包括的所述访问权限不同，基于所述访问路径信息，访问所述存储空间包括：基于所述访问路径信息，依据所述访问权限，访问所述存储空间。6.根据权利要求1所述的方法，其特征在于，所述证书由证书颁发方生成，所述证书颁发方包括所述数据中心。7.根据权利要求1所述的方法，其特征在于，所述数据中心存储有所述应用的配置数据。8.一种证书下发方法，其特征在于，包括：生成证书，所述证书包括：针对数据中心为被签发方预先分配的存储空间的访问路径信息；向所述被签发方下发所述证书。9.根据权利要求8所述的方法，其特征在于，所述访问路径信息被放置在所述证书的第一字段中。10.根据权利要求8或9所述的方法，其特征在于，所述证书还包括：第二字段；所述存储空间的访问权限被放置在所述第二字段中，所述访问权限为可读可写、只读或者只写中的一种。11.一种访问装置，其特征在于，包括：接收模块，用于接收来自请求方的访问请求，所述访问请求中携带所述请求方的证书，所述证书包括针对所述数据中心为所述请求方预先分配的存储空间的访问路径信息；访问路径获取模块，用于从所述证书中获取所述访问路径信息；访问模块，用于基于所述访问路径信息，访问所述存储空间。12.根据权利要求11所述的装置，其特征在于，所述接收模块用于接收来自请求方的访问请求，所述访问请求中携带...

【专利技术属性】
技术研发人员：周宇，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY