专利名称:一种服务群访问控制方法、装置及系统的制作方法
技术领域:
本发明涉及一种访问控制方法、装置及系统,具体涉及一种应用于服务群的访问 控制方法、装置及系统。
背景技术:
面向服务的体系结构(Service-Oriented Architecture, S0A)是一种 IT 体系结 构风格,支持将业务转换为一组相互链接的服务或可重复业务任务。在需要时通过网络访 问这些服务和任务,可让最终用户感觉似乎这些服务就安装在本地桌面上一样。这个网络 可以是本地网络、Internet,也可以分散于各地且采用不同的技术。如,通过Internet对来 自纽约、伦敦和中国香港的服务进行组合。对这些服务进行结合,以完成特定的业务任务, 从而让用户的业务快速适应不断变化的客观条件和需求。Jini是SOA的重要实现技术之一。除了基本的SOA功能以外,Jini还提供诸如 平台可移植性、移动编码和平台安全之类的特性。它可以很容易地用于有权访问完全的 Java 2 Platform标准版运行环境的应用系统,还可以用于小型嵌入式设备和用非Java 语言编写的应用程序。所有这些特性都是基于五个基本的概念发现(Discovery)、查找 (Lookup)、租借(Leasing)、远程事件(Remote Event)、事务(Transaction)。其中,发现是 用于寻找网络中群体并加入它们的过程,是Jini完成自发创建群体功能的部分;查找是控 制提供某个特定服务所需要的程序如何把自己提供给使用服务的参与者的方式。查找在每 个Jini群体中的作用相当于目录服务,它提供用于寻找一个群体中已知服务的功能。一个 应用X使用Jini服务Y的典型步骤如下1)服务Y发现指定群体名称中的查找服务;2)服务Y加入到查找服务中;3)应用X发现指定群体名称中的查找服务;4)应用X查找出所需要的服务Y ;5)应用X调用服务Y。其中,1)及2)为服务Y在查找服务中的注册过程。由于在电信、银行等应用场合, 对Jini服务使用的安全性要求非常高,因此必须对Jini应用进行安全认证。申请号为W02001US2144620010706的专利申请提出了一种在分布式环境中不同 的设备可以进行交互式操作的架构,这些设备采用租借的方式使用网络服务,为了使用这 些网络服务要求这些设备都有用于鉴权的公共证书。这样,网络服务只允许预期拥有公共 证书的设备进行访问。申请号为KR2006002792420060328的专利申请提出了一种采用Jini 和JavaSpace技术的安全事件服务架构,事件的产生者和消费者都需要先进行SPKI/SDSI 认证,然后才能使用安全事件服务。目前常用的访问Jini服务的方法,比如在一个小型Jini化的办公环境中,已经提 供了打印服务、传真服务、投影服务及播放服务。其中,打印服务使用Jini ERI方式访问服 务;传真服务使用SSL方式访问服务;投影服务使用Kerberos方式访问服务,并要求IP地
4址为192. 168. 5. 0255. 255. 255. 0网段;播放服务需要口令才能使用。这样,用户必须使用 上述预定的方式访问相应的服务,对于投影服务还需要更改自身的IP地址以满足要求。现 有技术访问Jini服务群内的服务的方式至少存在以下缺点1)若对Jini服务群中的多个服务都进行认证,将给Jini服务群的应用带来使用 上的不方便,需要频繁的进行认证。2)若不同Jini服务群内的服务之间的认证方式不同,将增加Jini服务群的应用 设计上的复杂性。3) Jini服务群内的服务认证方式的变化,比如用户名口令更换,则需要通知给所 有的Jini服务群的应用。4) Jini服务群外的应用访问该Jini服务群内的服务,需要了解Jini服务群内的 服务的认证细节。
发明内容
本发明的第一目的是针对现有服务群的访问方式中认证频繁、认证方式繁多及认 证方式通用性差的缺陷,提出一种简单的、通用性高的服务群访问控制方法。本发明的第二目的提出一种服务群访问控制装置,以实现简单的、通用性高的服 务群访问。本发明的第三目的是针对现有服务群的访问方式中认证频繁、认证方式繁多及认 证方式通用性差的缺陷,提出一种简单的、通用性高的服务群访问控制系统。为实现上述第一目的,本发明提供了一种服务群访问控制方法,该方法包括接收 服务群的应用的登录信息;根据登录信息,对服务群的应用进行统一认证和鉴权;在鉴权 成功时,根据登录信息以及预存的登录信息与服务群的服务的映射关系,访问服务群的被 访问的服务;将访问结果返回至服务群的应用。优选地,在接收服务群的应用的登录信息的操作之前还可以包括判断服务群的应用是否为服务群内的应用;当服务群的应用为服务群内的应用时,服务群内的本地访问控制服务执行上述接 收、统一认证鉴权、访问及返回访问结果的操作;当服务群的应用为服务群外的应用时,服务群内的远程访问控制服务执行上述接 收、统一认证鉴权、访问及返回访问结果的操作。为实现上述第二目的,本发明提供了一种服务群访问控制装置,该装置包括接收 模块,用于接收服务群的应用的登录信息;认证鉴权模块,用于根据登录信息,对服务群的 应用进行统一认证和鉴权;控制模块,用于控制在认证鉴权模块鉴权成功时,根据登录信息 以及预存的登录信息与服务群的服务的映射关系,访问服务群的被访问的服务,并将访问 结果返回至服务群的应用。为实现上述第三目的,本发明提供了一种服务群访问控制系统,该系统包括访问 控制装置,用于接收服务群的应用的登录信息,并根据登录信息对服务群的应用进行统一 认证和鉴权,以及在鉴权成功时,根据登录信息以及预存的登录信息与服务群的服务的映 射关系,访问服务群的被访问的服务,将访问结果返回至服务群的应用;查找装置,用于存 储访问控制装置的预设信息,服务群的应用根据访问控制装置的预设信息找到访问控制装置,以向访问控制装置发送登录信息。优选地,该访问控制装置可以包括本地访问控制装置及远程访问控制装置,分别 用于对服务群内的应用及服务群外的应用执行上述接收、统一认证鉴权、访问及返回访问 结果的操作。本实施例通过对服务群的应用统一认证鉴权,并在鉴权成功时,访问服务群内的 服务,从而无需服务群内的各服务分别对该服务群的应用分别认证鉴权,简化认证过程,提 高认证方式通用性。本发明另一些实施例通过利用本地访问控制服务及远程访问控制服务分别对服 务群内及服务群外的服务处理,有利于统计服务群内的各个服务为服务群内与外的应用提 供的服务次数。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实 施例一并用于解释本发明,并不构成对本发明的限制。在附图中图1为本发明的服务群访问控制方法的实施例一流程图;图2为本发明的服务群访问控制方法的实施例二流程图;图3为本发明的服务群访问控制方法的实施例三流程图;图4为图2-图3中服务群的实施例结构示意图;图5为图3中服务群的实施例结构示意图;图6为本发明的服务群访问控制装置的实施例结构图;图7为本发明的服务群访问控制系统的实施例结构图。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实 施例仅用于说明和解释本发明,并不用于限定本发明。方法实施例图1为本发明的服务群访问控制方法的实施例一流程图。如图1所示,本实施例 包括步骤SlOO 接收服务群的应用(以下称为访问请求方)的登录信息,该登录信息 可以包括访问请求方的用户名及密码;步骤S102 根据该登录信息,对该服务群的应用进行统一认证鉴权,具体的认证 鉴权的操作可以参见图2中步骤S203-步骤S206的操作及图3中步骤S303-步骤S306的 操作;步骤S104 判断鉴权是否成功,具体对应图2中步骤S207的操作及图3中步骤 S307的操作,当鉴权成功时,执行步骤S106,当鉴权失败时,结束;步骤S106 根据该登录信息以及预存的该登录信息与该服务群的服务的映射关 系,访问该服务群的被访问的服务,其中,访问各被访问的服务的方式不受限制;步骤S108 将访问结果返回至访问请求方。本实施例通过对服务群的应用统一认证鉴权,并在鉴权成功时,访问服务群内的
6服务,从而无需服务群内的各服务分别对该服务群的应用分别认证鉴权,简化认证过程,提 高认证方式通用性。本领域技术人员可以理解,上述方法可以应用于各种分布式服务群中,如Jini服 务群。以下实施例利用Jini服务群进行解释,但各个实施例不局限于Jini服务群。由于Jini服务群内、外的应用存在下述区别=(I)Jini服务群内的应用主要发生 在局域网,相对安全性比较好,可以使用相对比较弱的访问控制机制,而Jini服务群外的 应用需要穿越广域网,则需要采用比较严格的访问控制机制;(2)Jini服务群外的应用可 以调用的服务数量要少于Jini服务群内的应用允许调用的服务数量,故可以设置不同的 访问控制服务分别对Jini服务群内、外的应用进行处理。故,上述步骤SlOO前还可以判断 访问请求方是否为Jini服务群内的应用。当访问请求方分别为Jini服务群内的应用及 Jini服务群外的应用时,Jini服务群内的本地访问控制服务及远程访问控制服务分别执 行上述接收、统一认证鉴权、访问及返回访问结果的操作,具体操作过程分别参见图2及图 3。图2为本发明的服务群访问控制方法的实施例二流程图。本实施例主要用于 说明当访问请求方为Jini服务群内的应用时的访问控制过程。以下利用湖北移动用户 13707165685通过10086投诉手机不能发送短信的具体实例对图2各个步骤进行解释说明。 在执行图2各个步骤之前,先执行上述的判断步骤,描述如下(1)接收13707165685手机用户的短信发送功能的查询请求;(2)根据手机号13707165685判断为湖北移动本地用户,启动湖北移动Jini服务 群内的应用,即查询用户短信功能。执行上述步骤⑴及(2)后再执行图2的各个步骤,如图2所示,本实施例包括步骤S200 访问请求方,即湖北移动Jini服务群内的查询用户短信功能,获取湖 北移动Jini服务群内的查找服务;步骤S201 该查询用户短信功能根据预存在该查找服务中的湖北移动Jini服务 群内的本地访问控制服务的预设信息,获取湖北移动Jini服务群内的本地访问控制服务;步骤S202 该本地访问控制服务自动接收该查询用户短信功能的登录信息,该登 录信息可以包括该查询用户短信功能的用户名及密码;步骤S203 该本地访问控制服务根据该查询用户短信功能的用户名及密码,对该 查询用户短信功能统一认证;步骤S204 该本地访问控制服务判断认证是否成功,即该查询用户短信功能的用 户名和密码的对应关系是否和其预设在该本地访问控制服务内的对应关系是否一致,若认 证成功,则执行步骤S205,若认证失败,结束;步骤S205 该本地访问控制服务产生该查询用户短信功能的登录会话标识、并将 该登录会话标识返回至该查询用户短信功能,以及存储该登录信息;步骤S206 该本地访问控制服务接收该查询用户短信功能的访问请求,该访问请 求中可以包括登录会话标识,以及访问标识,该访问标识用于指示被访问的服务中的被访 问内容,如访问标识为手机号13707165685,则被访问的服务中的被访问内容为对应手机号 13707165685 的信息;步骤S207 该本地访问控制服务判断该访问请求中的登录会话标识是否有效以对该查询用户短信功能进行统一鉴权,即该访问请求中的登录会话标识是否为该本地访问 控制服务返回给该查询用户短信功能的登录会话标识,若该访问请求中的登录会话标识有 效,则执行步骤S208,若该访问请求中的登录会话标识无效,则结束;步骤S208 根据该查询用户短信功能的登录信息以及预存的该登录信息与服务 群的服务的映射关系,该本地访问控制服务访问Jini服务群的服务中的被访问内容,即手 机号13707165685的短信功能的信息;步骤S209 该本地访问控制服务返回访问结果至该查询用户短信功能,该查询用 户短信功能还用于输出该访问结果,如,该查询用户短信功输出将手机号码13707165685 的短信发送功能不正常信息;步骤S210 该查询用户短信功能退出访问;其中,访问请求方退出访问的操作可 以包括两种情况A.该本地访问控制服务接收到访问请求方发送的包括该登录会话标识的登出请 求时,删除访问请求方的登录信息;B.该本地访问控制服务在距离存储该查询用户短信功能的登录信息的操作超过 一预设时间阈值时,删除该查询用户短信功能的登录信息;如湖北移动Jini服务群的本地 访问控制服务根据设定的最大空闲时间,如10分钟,自动注销该查询用户短信功能的登录 fn息ο本领域技术人员可以理解上述访问标识可以通过上述访问请求以外的途径传送 至本地访问控制服务,如接收服务群的应用的登录信息时同时接收该访问标识,访问请求 中包括该访问标识为一种优选的方案,此外,存储及删除该登录信息分别是为了增加登录 操作的有效时间以及增加访问过程的安全性,亦为一种优选的方案,故,该携带该访问标识 的形式及存储与删除该登录信息的操作可以根据实际需要而设置。本实施例通过本地访问控制服务对服务群内的应用统一认证鉴权,并在鉴权成功 时,通过该本地访问控制服务访问服务群内的服务,从而无需服务群内的各服务分别对该 服务群内的应用分别认证鉴权,简化认证过程,提高认证方式通用性,简化认证过程,提高 认证方式通用性,此外,还通过设置上述两种方式实现访问请求方退出访问,增强访问过程 的安全性,以及统计各个服务为服务群内的应用提供的服务次数。图3为本发明的服务群访问控制方法的实施例三流程图。本实施例主要用于 说明当访问请求方为Jini服务群外的应用时的访问控制过程。以下利用湖北移动用户 13707165685漫游到北京,通过10086投诉手机不能正常上网的具体实例对图3各个步骤进 行解释说明。其访问过程具体涉及图5所示的北京移动Jini服务群、湖北移动Jini服务 群及集团总部Jini服务群,其中HLR查询服务为上述服务2的一种,为本实施例中被访问 的服务。在执行图3各个步骤之前,先执行上述的判断步骤,描述如下(1)接收13707165685手机用户的手机上网功能的查询请求;(2)根据手机号13707165685判断为湖北移动注册用户,启动北京移动Jini服务 群内的应用,即查询用户GPRS漫游功能,该北京移动Jini服务群内的查询用户GPRS漫游 功能为湖北移动Jini服务群外的应用。执行上述步骤(a)及(b)后再执行图3的各个步骤,如图3所示,本实施例包括步骤S300 访问请求方,即北京移动Jini服务群内的查询用户GPRS漫游功能,获取北京移动Jini服务群内的查找服务,并根据湖北移动Jini服务群的查找服务在北京移 动Jini服务群的查找服务中的预设信息获取湖北移动Jini服务群的查找服务;步骤S301 访问请求方根据预存在湖北移动Jini服务群的查找服务中的湖北移 动Jini服务群内的远程访问控制服务的预设信息,获取湖北移动Jini服务群内的远程访 问控制服务;步骤S302 该远程访问控制服务自动接收北京移动的查询用户GPRS漫游功能的 登录信息,即该查询用户GPRS漫游功能的用户名及密码;步骤S303 该远程访问控制服务根据该查询用户GPRS漫游功能的用户名及密码 对该查询用户GPRS漫游功能统一认证;其中,该远程访问控制服务可以利用自身预设的认 证功能进行认证,还可以通过另一 Jini服务群进行认证操作。如该远程访问控制服务通过 第三方,即集团总部Jini服务群,进行认证操作如下该远程访问控制服务获取集团总部Jini服务群的查找服务;该远程访问控制服 务查找在集团总部Jini服务群中的查找服务上注册的认证服务,并提交认证请求;认证服 务首先对该远程访问控制服务提交的湖北移动Jini服务群的用户名和密码进行认证;认 证通过后,则允许该远程访问控制服务调用集团总部Jini服务群的认证服务对该查询用 户GPRS漫游功能的用户名及密码认证;集团总部Jini服务群的认证服务返回认证通过信 息至该远程访问控制服务;利用第三方Jini服务群进行统一认证操作,有利于简化系统设置,节约成本。如 集团总部Jini服务群中的认证服务实现各省Jini服务群中的远程访问控制服务的认证操 作,则简化了各省Jini服务群的设置,节约成本。步骤S304:该远程访问控制服务判断认证是否成功,即当其自身对访问请求方鉴 权时,判别访问请求方的用户名和密码的对应关系是否和预设的对应关系是否一致;或者 当利用第三方对访问请求方鉴权时,判别是否接收到第三方的认证成功信息,若认证成功, 则执行步骤S305,若认证失败,结束;步骤S305-步骤S310的操作与步骤S205-步骤S210的操作相似,不同在于步骤 S305-步骤S310的操作的执行主体为远程访问控制服务,而步骤S205-步骤S210的执行主 体为本地访问控制服务,在此不再赘述。本领域技术人员可以理解从对图2的描述可知,图3中的访问请求中包括该访问 标识,以及存储与删除该登录信息均为一种优选的方案,此外,远程访问控制服务利用第三 方鉴权亦为一种优选的方案,上述优选的方案可以根据实际需要而设置。本实施例通过远程访问控制服务对服务群外的应用统一认证鉴权,并在鉴权成功 时,通过该远程访问控制服务访问服务群内的服务,从而无需服务群内的各服务分别对该 服务群外的应用分别认证鉴权,简化认证过程,提高认证方式通用性,此外还通过设置上述 两种方式实现访问请求方退出访问,增强访问过程的安全性,以及统计各个服务为服务群 外的应用提供的服务次数。图2及图3中对Jini服务群内、外的应用分别处理的Jini服务群的结构示意图 如图4所示。Jini服务群1可以包括服务2、本地访问控制服务3、远程访问控制服务4、查 找服务5及内部应用6。其他Jini服务群内的应用,如应用7,为Jini服务群1外的应用。装置实施例
图6为本发明的服务群访问控制装置的结构示意图。上述图1-图3方法发明的 各个实施例均可以在图6结构图所示结构的装置中实现。如图6所示,该装置包括接收模 块601,用于接收服务群的应用的登录信息;认证鉴权模块602,用于根据登录信息,对服务 群的应用进行统一认证鉴权;控制模块603,用于控制在认证鉴权模块鉴权成功时,根据登 录信息以及预存的登录信息与服务群的服务的映射关系,访问服务群的被访问的服务,并 将访问结果返回至服务群的应用。其中,认证鉴权模块602的具体操作参见图2的步骤S203-S206及图3的步骤 S303-S306,其具体可以包括认证子模块604,用于根据登录信息,对服务群的应用进行统一认证,在认证成功 时产生服务群的应用的登录会话标识及存储登录信息,并将登录会话标识返回至服务群的 应用;处理子模块605,用于在接收到包括登录会话标识的登出请求或距离认证子模块 604存储登录信息的操作超过一预设时间阈值时,删除登录信息;鉴权子模块606,用于根据登录会话标识对服务群的应用进行统一鉴权。本领域技术人员可以了解,控制模块603及认证鉴权模块602中可以分别设置存 储子模块以分别存储登录信息与服务群的服务的映射关系以及登录信息,也可以独立于控 制模块603与认证鉴权模块602设置一个存储模块以存储登录信息与服务群的服务的映射 关系。本实施例通过访问控制服务统一认证鉴权服务群的应用,并在鉴权成功时,通过 该访问控制服务访问服务群内的服务,从而无需服务群内的各服务分别对该服务群的应用 认证鉴权,简化认证过程,提高认证方式通用性。图7为本发明的访问控制系统的结构示意图。如图7所示,该系统包括访问控制装置70,用于接收服务群的应用的登录信息,并根据登录信息对服务群 的应用进行统一认证鉴权,以及在鉴权成功时,根据登录信息以及预存的登录信息与服务 群的服务的映射关系,访问服务群的被访问的服务,将访问结果返回至服务群的应用;查找装置72,用于存储访问控制装置70的预设信息,服务群的应用根据访问控制 装置70的预设信息找到访问控制装置70,以向访问控制装置70发送登录信息。该系统还可以包括判断装置74,用于判断服务群的应用是否为服务群内的应用。 相应地,访问控制装置70包括本地访问控制装置76及远程访问控制装置78。本地访问 控制装置76及远程访问控制装置78分别用于对服务群内的应用及服务群外的应用执行上 述接收、统一认证鉴权、访问及返回访问结果的操作。本领域的技术人员可以理解,本地访问控制装置76及远程访问控制装置78均具 有图6中的访问控制装置的功能及结构。本实施例通过访问控制服务统一认证鉴权服务群的应用,并在鉴权成功时,通过 该访问控制服务访问服务群内的服务,从而无需服务群内的各服务分别对该服务群的应用 认证鉴权,简化认证过程,提高认证方式通用性。最后应说明的是以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可 以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的 保护范围之内。
权利要求
一种服务群访问控制方法,其特征在于,包括A.接收服务群的应用的登录信息;B.根据所述登录信息,对所述服务群的应用进行统一认证和鉴权;C.在鉴权成功时,根据所述登录信息以及预存的所述登录信息与所述服务群的服务的映射关系,访问所述服务群的被访问的服务;D.将访问结果返回至所述服务群的应用。
2.根据权利要求1所述的访问控制方法,其特征在于,所述服务群为Jini服务群。
3.根据权利要求1所述的访问控制方法,其特征在于,所述B步骤包括 根据所述登录信息,对所述服务群的应用进行统一认证;在认证成功时,生成所述服务群的应用的登录会话标识,并将所述登录会话标识返回 至所述服务群的应用;接收所述服务群的应用的包括所述登录会话标识的访问请求; 根据所述登录会话标识对所述服务群的应用进行统一鉴权。
4.根据权利要求3所述的访问控制方法,其特征在于,所述访问请求还包括一访问标 识,所述访问标识用于指示所述服务群的被访问的服务中的被访问内容。
5.根据权利要求3所述的访问控制方法,其特征在于,所述当认证成功时,生成并返回 所述登录会话标识至所述服务群的应用的操作还包括存储所述登录信息。
6.根据权利要求5所述的访问控制方法,其特征在于,在所述返回访问结果至所述服 务群的应用的操作之后还包括当收到包括所述登录会话标识的登出请求时,删除所述登录信息;或者 当距离所述存储登录信息的操作超过一预设时间阈值时,删除所述登录信息。
7.根据上述权利要求1-6任一项所述的访问控制方法,其特征在于,所述A步骤之前包括al.判断所述服务群的应用是否为所述服务群内的应用;a2.在所述服务群的应用为所述服务群内的应用时,所述服务群内的本地访问控制服 务执行所述A步骤;a3.在当所述服务群的应用为所述服务群外的应用时,所述服务群内的远程访问控制 服务执行所述A步骤。
8.根据权利要求7所述的访问控制方法,其特征在于,当所述服务群的应用为所述服 务群外的应用时,所述服务群内的远程访问控制服务利用另一服务群执行后续B步骤。
9.根据权利要求7或8所述的访问控制方法,其特征在于,所述al步骤之后,所述a2 步骤或a3步骤之前还包括根据所述服务群的查找服务,获取所述远程访问控制服务或者所述本地访问控制服务。
10.根据权利要求9所述的访问控制方法,其特征在于,所述登录信息包括所述服务群 的应用的用户名及密码。
11.一种服务群访问控制装置,其特征在于,包括 接收模块,用于接收服务群的应用的登录信息;认证鉴权模块,用于根据所述登录信息,对所述服务群的应用进行统一认证和鉴权;2控制模块,用于控制在所述认证鉴权模块鉴权成功时,根据所述登录信息以及预存的 所述登录信息与所述服务群的服务的映射关系,访问所述服务群的被访问的服务,并将访 问结果返回至所述服务群的应用。
12.根据权利要求11所述的访问控制装置,其特征在于,所述认证鉴权模块包括 认证子模块,用于根据所述登录信息,对所述服务群的应用进行统一认证,在认证成功时产生所述服务群的应用的登录会话标识及存储所述登录信息,并将所述登录会话标识返 回至所述服务群的应用;处理子模块,用于在收到包括所述登录会话标识的登出请求或距离所述存储子模块存 储登录信息的操作超过一预设时间阈值时,删除所述登录信息;鉴权子模块,用于根据所述登录会话标识对所述服务群的应用进行统一鉴权。
13.根据权利要求12所述的访问控制装置,其特征在于,还包括一存储模块,所述存储模块独立于所述认证鉴权模块及所述控制模块设置,用于存储所述登录信息 及预存的所述登录信息与所述服务群的服务的映射关系;或者所述存储模块包括设置在所述认证鉴权模块内的第一存储子模块,以及设置在所述控 制模块内的第二存储子模块,所述第一存储子模块及第二存储子模块分别用于存储所述登 录信息及预存的所述登录信息与所述服务群的服务的映射关系。
14.一种服务群访问控制系统,其特征在于,该系统包括访问控制装置,用于接收服务群的应用的登录信息,并根据所述登录信息对所述服务 群的应用进行统一认证和鉴权,以及在鉴权成功时,根据所述登录信息以及预存的所述登 录信息与所述服务群的服务的映射关系,访问所述服务群的被访问的服务,将访问结果返 回至所述服务群的应用;查找装置,用于存储所述访问控制装置的预设信息,所述服务群的应用根据所述访问 控制装置的预设信息找到所述访问控制装置,以向所述访问控制装置发送所述登录信息。
15.根据权利要求14所述的访问控制系统,其特征在于,还包括 判断装置,用于判断所述服务群的应用是否为所述服务群内的应用。
16.根据权利要求15所述的访问控制系统,其特征在于,所述访问控制装置包括 本地访问控制装置,用于对所述服务群内的应用执行访问控制的操作;远程访问控制装置,用于对所述服务群外的应用执行访问控制的操作。
全文摘要
本发明提供了一种服务群访问控制方法、装置及系统,其中,该方法包括接收服务群的应用的登录信息;根据登录信息,对服务群的应用进行统一认证和鉴权;在鉴权成功时,根据登录信息以及预存的登录信息与服务群的服务的映射关系,访问服务群的被访问的服务;将访问结果返回至服务群的应用。本实施例通过对服务群的应用统一认证鉴权,并在鉴权成功时,访问服务群内的服务,从而无需服务群内的各服务分别对该服务群的应用分别认证鉴权,简化认证过程,提高认证方式通用性。
文档编号H04L29/06GK101958881SQ20091015794
公开日2011年1月26日 申请日期2009年7月17日 优先权日2009年7月17日
发明者徐云恒, 李彬, 湛颖, 王冼 申请人:中国移动通信集团湖北有限公司