专利名称:多业务平台的资源访问方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,特别是一种多业务平台的资源访问方法及系统。
背景技术:
多业务平台是指可由管理人员对各个数据业务进行集中管理,解决业务分散带来 的各种问题,同时,用户可以对数据进行集中的访问。通常,对业务平台中的资源进行访问 需要实行控制。所述资源可以包括信息系统中用户可见的各种内容,如页面、页面元素等, 以及对各种内容进行的相应操作,如点击、查看等。其中,部分内容及其对应的操作通常以 功能(或称权限)方式向用户提供。用户根据其访问权限访问系统中不同范围的内容以及 获得相应的使用功能,从而有利于多业务平台安全策略的实施。 通常,多业务平台中的资源都存在一定的层次结构,各层资源之间存在从属关系, 底层资源代表用户实际可见的内容和可使用的功能,高层资源代表用户获取底层资源需要 经过的路径。 现有资源访问技术虽然是发展较成熟的技术,如操作系统、数据库系统以及各种 应用系统中都会用到该技术。但现有资源访问技术在多业务平台环境下进行资源访问时需 要进行资源访问控制,目前主要采用两种实现方式,一种是对高层资源的访问进行控制,对 于底层资源,则需要通过对高层资源组成的路径一层一层进行访问获取,以实现对整个系 统资源的访问控制;另一种是对底层资源进行访问控制,而高层资源对所有用户是可见的。 发明人在实现本发明的过程中发现现有技术存在至少以下技术问题 前一种方式难以避免恶意用户通过猜路径的方式,实现对底层资源的非法访问; 后一种方式在暴露安全信息的同时,不能给普通用户获得"所见即所得"的服务体验,存在 用户可见却不允许用户操作的资源。 因此,现有技术中两种较极端的资源访问的层次划分较为简单,不适合于资源概 念广泛、管理和应用并重的多业务平台系统。
发明内容
本发明实施例提供一种多业务平台的资源访问方法及系统,以解决在现有技术中 存在的非法访问、影响用户体验的技术问题。 为解决上述技术问题,本发明的实施例提供一种多业务平台的资源访问方法,所 述多业务平台包括有业务服务器和认证服务器,该方法包括 业务服务器拦截用户发送的资源访问请求,该请求中包含按资源的层次、从属关 系统一编排的资源编码信息; 认证服务器集中对用户的身份进行识别,并获得识别结果; 若所述识别结果为用户是合法用户,则业务服务器根据该合法用户的身份识别信 息,获取该用户的资源访问控制信息; 业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的资源
4编码信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行用户访问相应 资源的操作。 其中,认证服务器集中对用户的身份进行识别,并获得识别结果包括 认证服务器获取所述资源访问请求中与用户身份相关联的票据信息; 认证服务器将所述票据信息与该服务器从数据库中获得的用户身份识别信息作
匹配,若匹配成功,则所述用户为合法用户,否则为非法用户。 其中,认证服务器获取所述资源访问请求中与用户身份相关联的票据信息的步骤 包括 所述业务服务器判断资源访问请求中是否包含与用户身份相关联的票据信息;
若判断结果为请求中包含所述票据信息,则由认证服务器从所述业务服务器中获 取该请求中的票据信息; 若判断结果为请求中未包含所述票据信息,则在认证服务器接收到所述用户成功
登录的信息后,由认证服务器随机产生票据信息并将该票据信息添加到资源访问请求中发
送给业务服务器,再由认证服务器从所述业务服务器中获取该请求中的票据信息。 其中,所述资源编码信息包含资源编号和对资源进行操作的操作编号; 所述业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的
资源编码信息与所述请求中包含的资源编码信息是否匹配包括 业务服务器查找所述资源访问控制信息中是否包含所述请求中的资源编号和操 作编号,若查找结果为包含所述资源编号和操作编号,则判断结果为匹配成功,否则,判断 为不匹配。 其中,所述请求中的资源编码信息仅包含资源编号; 所述业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的 资源编码信息与所述请求中包含的资源编码信息是否匹配包括 查找所述资源访问控制信息内是否包含所述请求中的资源编号,若查找结果为包 含所述资源编号,则判断结果为该请求格式不正确,不匹配,否则,进一步查找所述资源访 问控制信息内是否包含所述请求中的资源编号的子编号,若查找结果为包含所述子编号, 则判断结果为匹配成功,否则,判断结果为不匹配。 其中,在业务服务器根据该合法用户的身份识别信息,获取该用户的资源访问控 制信息的步骤之后还包括 业务服务器保存该用户的资源访问控制信息,以便在该用户后续进行资源访问 时,可直接利用所述资源访问控制信息进行访问控制。 相应地,本发明还提供一种多业务平台的资源访问处理系统,其包括有业务服务 器、认证服务器和数据库;其中 数据库用于集中存储各个用户的身份识别信息; 认证服务器用于访问所述数据库,集中对用户的身份进行识别,获得识别结果,并 将所述识别结果通知业务服务器; 业务服务器用于拦截各业务用户发送的资源访问请求,该请求中包含按资源层 次、从属关系统一编排的资源编码信息,并通知认证服务器对用户身份进行识别,若认证服 务器的识别结果为用户是合法用户,则根据该合法用户的身份识别信息,获取该用户的资源访问控制信息,然后按照资源层次及从属关系判断该用户的资源访问控制信息中的资源 编码信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行所述用户访问 相应资源的操作。
其中,所述业务服务器可包括 访问请求拦截器,用于拦截各业务用户发送的资源访问请求,该请求中包含按资 源层次、从属关系统一编排的资源编码信息; 访问控制处理器,用于通知认证服务器对用户身份进行识别,若认证服务器的识 别结果为用户是合法用户,则根据该合法用户的身份识别信息,获取该用户的资源访问控 制信息,然后按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码信息 与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行所述用户访问相应资源 的操作。 相比较现有技术,本发明实施例提供的技术方案具有以下的有益效果 本发明提供的多业务平台资源访问控制方法及系统,可基于集中式的认证服务,
使得各种来源的用户(如浏览器端、手机客户端)可通过同一个入口进入平台中,并且拥有
统一的身份标识,为多业务集成管理提供支撑。同时集中式认证服务使得业务本身不需考
虑与访问控制相关的逻辑,这样用户相关的安全信息就能单独存放,这些信息外部也不能
通过业务访问; 另外,按资源的层次、从属关系统一编排的资源编码信息使得资源之间的层次关 系、从属关系易于识别、获取和判断,使得系统根据底层资源的访问信息就可对高层资源实 现访问控制; 再次,通过面向请求的拦截方式,使得对资源的任何访问都能得到验证和控制,防 止了猜路径情况的出现,有效避免非法访问的同时,不影响用户体验,且适合于资源概念广 泛、管理和应用并重的信息系统如移动增值业务平台。
图1是本发明中多业务平台的资源访问方法的流程图; 图2是本发明实施例中多业务平台的资源访问处理系统的组成框图; 图3是本发明实施例一中资源访问处理流程图; 图4是本发明实施例二中资源访问处理流程图。
具体实施例方式
参见图1,图1是本发明中多业务平台的资源访问方法的流程图,所述多业务平台 包括有业务服务器及认证服务器,该方法可包括以下步骤 步骤101、业务服务器拦截用户发送的资源访问请求,该请求中包含资源编码信 息,如,该资源编码信息包含用户请求资源的资源编号,或者既包含资源编号、又包含对请 求资源进行操作的操作编号。实际应用中,所述请求中还可以包含与用户身份信息相关的 票据信息。 步骤102、认证服务器对所述用户的身份进行识别,并获得识别结果,若识别结果 为所述用户是非法用户,则执行步骤104 ;若所述用户是合法用户,则执行步骤103。
6
步骤103、业务服务器根据所述合法用户的身份识别信息,获取合法用户的资源访问控制信息,按照资源层次及从属关系判断资源访问控制信息中的资源编码信息与所述请求中包含的资源编码信息是否匹配,若匹配,则允许所述用户访问所述资源,否则,执行步骤104。 步骤104、拒绝用户的访问请求。 参考图2,该图是本发明多业务平台中对应上述资源访问方法的资源访问处理系统,具体的,本实施例中多业务平台的资源访问处理系统可包括业务服务器1、认证服务器2和数据库3;其中 数据库3主要用于集中存储各个用户的身份识别信息; 认证服务器2主要用于集中对用户的身份进行识别,获得识别结果,并将所述识别结果通知业务服务器1,具体实现时,其基于业务服务器1拦截到的请求,从数据库3获取用户相关信息,将用户相关信息提供给业务服务器1 ; 业务服务器1主要用于拦截各业务用户发送的资源访问请求,该请求中包含按资源层次、从属关系统一编排的资源编码信息,并通知认证服务器2对用户身份进行识别,若认证服务器2的识别结果为用户是合法用户,则根据该合法用户的身份识别信息,获取该用户的资源访问控制信息,然后按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行所述用户访问相应资源的操作,具体实现时,作为一个具体实施例,所述业务服务器1可包括访问请求拦截器,用于拦截各业务用户发送的资源访问请求,该请求中包含按资源层次、从属关系统一编排的资源编码信息; 访问控制处理器,用于通知认证服务器对用户身份进行识别,若认证服务器的识别结果为用户是合法用户,则根据该合法用户的身份识别信息,获取该用户的资源访问控制信息,然后按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行所述用户访问相应资源的操作。由于在业务层面上,业务服务器1不能直接访问数据库3,使业务本身不需考虑与访问控制相关的逻辑,从而在实现对用户身份与访问权限进行验证的同时,有效保证数据库中数据的安全性。 参见图3,图3是本发明实施例一中资源访问处理流程图,该流程可包括以下步骤 步骤201、业务服务器收到客户端发送的用户要求访问资源的请求,该请求中包含资源编码信息,判断请求中未包含与用户身份相关联的票据信息,要求用户向认证服务器提供登录信息。 本实施例中,请求中未包含用户身份票据信息,对于请求中包含用户身份票据信
息的情况的具体处理,详见后续实施例二的具体说明。 步骤202、用户通过客户端将登录信息发送给认证服务器。 步骤203、认证服务器收到登录信息后,从数据库获取用户身份识别信息。 步骤204、认证服务器将获取到的用户身份识别信息与登录信息做匹配,匹配成
功,执行步骤205 ;否则,执行步骤211。 步骤205、认证服务器随机产生该用户的票据信息,将该票据信息通过请求返回给业务服务器。如,所述票据信息可为与所述用户身份相关的代码。 步骤206、业务服务器保存票据信息,且通过加密通信将票据信息发送到认证服务器。 步骤207、认证服务器对身份识别信息及票据信息进行匹配,若匹配成功,执行步骤208 ;否则,执行步骤211。 步骤208、业务服务器根据匹配成功的结果,继续拦截该请求,若判断自身未存储该用户的资源访问控制信息,则要求认证服务器对访问做验证。 步骤209、认证服务器从数据库获取该用户的资源访问控制信息,将资源访问控制信息提供给业务服务器。 步骤210、业务服务器存储收到的资源访问控制信息,将资源访问控制信息与资源编码信息做匹配,若匹配成功,则允许用户访问该资源,执行访问资源的操作,否则,执行步骤211。 步骤211、业务服务器根据认证服务器匹配失败的结果,拒绝用户的请求。
本发明的具体实现中,资源访问控制信息具体可为访问控制列表(ACL, AccessControl List),该列表可由包含用户可访问的多个资源编号以及对该资源可进行的操作编号的列表项组成。资源访问控制信息是用户使用业务平台的过程中产生的,如在有的增值业务平台中,用户注册某数据业务时,必须通过定制来确定它想获取的业务内容。每个用户不管使用哪种平台都必须通过类似的方式来产生资源访问控制信息以供访问控制时使用。业务服务器首次从认证服务器获取该列表后将其保存,使得以后针对该用户的访问控制不需要再次访问认证服务器,以加速访问控制的验证过程。 需要说明的是,为方便业务服务器执行上述比较操作,本发明的具体实现中,采用相同的编码格式的资源编码信息与资源访问控制信息。例如,多业务平台系统中所有的消费内容和管理功能都按照一种树形结构进行编码,该数形结构编码的基本方法为采用一定位数的数字来表示系统中的资源,系统中的资源按照层次分布由高位到低位分配不同位数的字段,这样对于某一层次的资源来说,可以通过高位字段来获知它的父资源编号,达到了将到达该资源的访问路径信息存储在该资源中的目的。 另外,资源访问请求中的资源编号和资源访问控制信息中的资源编号不仅按照一一对应来进行处理,同时也考虑它们的父子关系(或称为从属关系)进行处理。具体为,当请求中包含资源编号及操作编号时,查ACL是否有包含这一资源编号和操作编号的列表项,如有则允许访问,否则拒绝访问;当请求中仅仅包含资源编号时,查ACL是否有列表项的资源编号与其对应,如有则表示该请求格式不正确,匹配不成功,不允许访问;否则进一步查找ACL表中是否有资源编号为请求中资源编号的子编号的列表项,如有则表示请求的资源是访问ACL中该子资源必须经过的路径,同意该访问请求,否则拒绝访问。通过这种方式,只要按照编码规则,不管是消费内容还是管理功能都能按照树形结构,对处于访问路径上的高层资源以及表示实际内容和功能点的底层资源进行有效的访问控制。
参见图4,图4是本发明实施例二中资源访问处理流程图,该流程可包括以下步骤 步骤301、业务服务器收到客户端发送的用户要求访问资源的请求,该请求中包含资源编码信息。
步骤302、业务服务器判断自身存储有用户的票据信息,通过加密通信将票据信息发送到认证服务器。 步骤303、认证服务器从数据库获取用户身份识别信息,将获取到的用户身份识别
信息与收到的票据信息做匹配,若匹配成功,执行步骤304 ;否则,执行步骤306。 步骤304、业务服务器根据匹配成功的结果,继续拦截该请求。 步骤305、业务服务器判断自身存储有该用户的资源访问控制信息,则将资源访问
控制信息与资源编码信息做比较,若两者一致,则允许用户访问该资源,执行访问资源的操作,否则,执行步骤306。 步骤306、业务服务器拒绝用户的请求。 综上,本发明提供的多业务平台的资源访问方法及系统,基于集中式的认证服务,使得各种来源的用户(如浏览器端、手机客户端)可通过同一个入口进入平台中,并且拥有统一的身份标识,为多业务集成管理提供支撑。同时集中式认证服务使得业务本身不需考虑与访问控制相关的逻辑,这样用户相关的安全信息就能单独存放,这些信息外部也不能通过业务访问;采用资源统一编码使得资源之间的层次关系、从属关系易于识别、获取和判断,使得系统根据底层资源的访问信息就可对高层资源实现访问控制;通过面向请求的拦截方式,使得对资源的任何访问都能得到验证和控制,防止了上述猜路径情况的出现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
一种多业务平台的资源访问方法,所述多业务平台包括有业务服务器和认证服务器,其特征在于,所述方法包括业务服务器拦截用户发送的资源访问请求,该请求中包含按资源的层次、从属关系统一编排的资源编码信息;认证服务器集中对用户的身份进行识别,并获得识别结果;若所述识别结果为用户是合法用户,则业务服务器根据该合法用户的身份识别信息,获取该用户的资源访问控制信息;业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行用户访问相应资源的操作。
2. 根据权利要求1所述的方法,其特征在于,认证服务器集中对用户的身份进行识别, 并获得识别结果包括认证服务器获取所述资源访问请求中与用户身份相关联的票据信息; 认证服务器将所述票据信息与该服务器从数据库中获得的用户身份识别信息作匹配, 若匹配成功,则所述用户为合法用户,否则为非法用户。
3. 根据权利要求2所述的方法,其特征在于,认证服务器获取所述资源访问请求中与 用户身份相关联的票据信息的步骤包括所述业务服务器判断资源访问请求中是否包含与用户身份相关联的票据信息; 若判断结果为请求中包含所述票据信息,则由认证服务器从所述业务服务器中获取该 请求中的票据信息;若判断结果为请求中未包含所述票据信息,则在认证服务器接收到所述用户成功登录 的信息后,由认证服务器随机产生票据信息并将该票据信息添加到资源访问请求中发送给 业务服务器,再由认证服务器从所述业务服务器中获取该请求中的票据信息。
4. 根据权利要求1所述的方法,其特征在于,所述资源编码信息包含资源编号和对资 源进行操作的操作编号;所述业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的资源 编码信息与所述请求中包含的资源编码信息是否匹配包括业务服务器查找所述资源访问控制信息中是否包含所述请求中的资源编号和操作编 号,若查找结果为包含所述资源编号和操作编号,则判断结果为匹配成功,否则,判断为不 匹配。
5. 根据权利要求1所述的方法,其特征在于,所述请求中的资源编码信息仅包含资源 编号;所述业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的资源 编码信息与所述请求中包含的资源编码信息是否匹配包括查找所述资源访问控制信息内是否包含所述请求中的资源编号,若查找结果为包含所 述资源编号,则判断结果为该请求格式不正确,不匹配,否则,进一步查找所述资源访问控 制信息内是否包含所述请求中的资源编号的子编号,若查找结果为包含所述子编号,则判 断结果为匹配成功,否则,判断结果为不匹配。
6. 根据权利要求1所述的方法,其特征在于,在业务服务器根据该合法用户的身份识别信息,获取该用户的资源访问控制信息的步骤之后还包括业务服务器保存该用户的资源访问控制信息,以便在该用户后续进行资源访问时,可 直接利用所述资源访问控制信息进行访问控制。
7. —种多业务平台的资源访问处理系统,其特征在于,包括业务服务器、认证服务器 和数据库;其中数据库用于集中存储各个用户的身份识别信息;认证服务器用于访问所述数据库,集中对用户的身份进行识别,获得识别结果,并将所 述识别结果通知业务服务器;业务服务器用于拦截各业务用户发送的资源访问请求,该请求中包含按资源层次、从 属关系统一编排的资源编码信息,并通知认证服务器对用户身份进行识别,若认证服务器 的识别结果为用户是合法用户,则根据该合法用户的身份识别信息,获取该用户的资源访 问控制信息,然后按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码 信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行所述用户访问相应 资源的操作。
8. 根据权利要求7的系统,其特征在于,所述业务服务器包括访问请求拦截器,用于拦截各业务用户发送的资源访问请求,该请求中包含按资源层 次、从属关系统一编排的资源编码信息;访问控制处理器,用于通知认证服务器对用户身份进行识别,若认证服务器的识别结 果为用户是合法用户,则根据该合法用户的身份识别信息,获取该用户的资源访问控制信 息,然后按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码信息与所 述请求中包含的资源编码信息是否匹配,并在匹配成功后执行所述用户访问相应资源的操 作。
全文摘要
本发明提供一种多业务平台的资源访问方法及系统,该方法包括业务服务器拦截用户发送的资源访问请求,该请求中包含按资源的层次、从属关系统一编排的资源编码信息;认证服务器集中对用户的身份进行识别,并获得识别结果;若所述识别结果为用户是合法用户,则业务服务器根据该合法用户的身份识别信息,获取该用户的资源访问控制信息;业务服务器按照资源层次及从属关系判断该用户的资源访问控制信息中的资源编码信息与所述请求中包含的资源编码信息是否匹配,并在匹配成功后执行用户访问相应资源的操作。本发明提供的技术方案在有效避免多业务平台系统中资源的非法访问的同时,不影响用户体验。
文档编号H04L9/32GK101729541SQ20091019419
公开日2010年6月9日 申请日期2009年11月26日 优先权日2009年11月26日
发明者不公告发明人 申请人:广东宇天信通通信科技有限公司;浙江宇天科技有限公司;夏阳