提供能力访问策略的方法、服务器和系统的制作方法

提供能力访问策略的方法、服务器和系统的制作方法
【专利摘要】本发明公开一种提供能力访问策略的方法、服务器和系统。其中在提供能力访问策略的方法中，接收用户终端发送的能力访问策略请求信息，从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证，在验证成功时对用户终端标识信息进行验证。若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。通过采用多租户技术，利用二次认证来确定用户终端的能力访问策略，从而在保证系统安全的同时，可为不同租户提供不同的能力访问策略。
【专利说明】提供能力访问策略的方法、服务器和系统
【技术领域】
[0001]本发明涉及通信领域，特别是涉及一种提供能力访问策略的方法、服务器和系统。【背景技术】
[0002]使用云主机业务的企业，可能鉴于自己的业务和安全考虑需要构建自己的IaaS(Infrastructure as a Service,基础设施即服务)平台，而基础设施资源需要由云主机提供，这就需要云主机通过Web Service (Web服务)的形式发布API (ApplicationProgramming Interface,应用程序接口)供第三方业务系统调用，但是由于WebService也是基于HTTP (Hypertext Transport Protocol,超文本传输协议)协议,也面临着注入攻击、请求伪造以及跨站点脚本攻击等对服务的威胁，因此系统安全性不能得到保证。

【发明内容】

[0003]本发明要解决的技术问题是提供一种提供能力访问策略的方法、服务器和系统。通过利用多租户技术，可有效对用户终端进行身份认证，提高了系统的安全性，并可为不同用户终端提供不同的能力访问策略。
[0004]根据本发明的一个方面，提供一种提供能力访问策略的方法，包括:
[0005]接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息；
[0006]从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证；
[0007]若对验证信息验证成功，则对用户终端标识信息进行验证；
[0008]若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息；
[0009]根据访问权限信息生成能力访问策略；
[0010]将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
[0011]根据本发明的另一方面，提供一种提供能力访问策略的服务器，包括:
[0012]接收单元，用于接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息；
[0013]第一验证单元，用于从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证；
[0014]第二验证单元，用于在第一验证单元对验证信息验证成功时，对用户终端标识信息进行验证；
[0015]查询单元，用于在第二验证单元在对用户终端标识信息验证成功时，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息；[0016]策略生成单元，用于根据访问权限信息生成能力访问策略；
[0017]发送单元，用于将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
[0018]根据本发明的另一方面，提供一种提供能力访问策略的系统，包括服务器、租户终端和至少一个用户终端，所述用户终端属于租户终端所在的租户用户组，其中:
[0019]所述用户终端，用于向服务器发送能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息；接收服务器发送的能力访问策略，以便根据能力访问策略执行相应的操作；
[0020]服务器，用于接收所述用户终端发送的能力访问策略请求信息，从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证，若对验证信息验证成功，则对用户终端标识信息进行验证，若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息，根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端；
[0021 ] 租户终端，用于向服务器提供验证信息。
[0022]本发明通过接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息。从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。若对验证信息验证成功，则对用户终端标识信息进行验证。若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。通过采用多租户技术，利用二次认证来确定用户终端的能力访问策略，从而在保证系统安全的同时，可为不同租户提供不同的能力访问策略。
【专利附图】

【附图说明】
[0023]图1为本发明提供能力访问策略方法一个实施例的示意图。
[0024]图2为本发明提供能力访问策略方法另一实施例的示意图。
[0025]图3为本发明验证租户终端一个实施例的示意图。
[0026]图4为本发明提供能力访问策略服务器一个实施例的示意图。
[0027]图5为本发明提供能力访问策略服务器另一实施例的示意图。
[0028]图6为本发明提供能力访问策略系统一个实施例的示意图。
【具体实施方式】
[0029]下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。
[0030]图1为本发明提供能力访问策略方法一个实施例的示意图。如图1所示,本实施例的提供能力访问策略方法步骤如下:
[0031]步骤101，接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息。
[0032]步骤102，从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。[0033]步骤103，若对验证信息验证成功，则对用户终端标识信息进行验证。
[0034]步骤104，若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。
[0035]步骤105，根据访问权限信息生成能力访问策略。
[0036]步骤106，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
[0037]基于本发明上述实施例涉及的提供能力访问策略的方法，通过接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息。从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。若对验证信息验证成功，则对用户终端标识信息进行验证。若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。通过采用多租户技术，利用二次认证来确定用户终端的能力访问策略，从而在保证系统安全的同时，可为不同租户提供不同的能力访问策略。
[0038]多租户技术(Mult1-Tenancy Technology)也称为多重租赁技术,是一种软件架构技术，它是在探讨与实现如何于多用户的环境下共用相同的系统或程序组件，并且仍可确保各用户间数据的隔离性。在多租户技术中，在一台服务器上运行一个单独的软件实例，月艮务于多个客户组织。多租户与多实例不同的是，多实例指的是分别由单独的软件实例(或硬件系统)为不同的客户组织提供服务。在多租户体系结构中，一个软件应用程序的设计是对数据和配置进行虚拟的分区，每一个客户组织使用一个定制的虚拟应用实例。多租户也被视为云计算的本质属性之一。
[0039]由于不同的用户终端对应不同的权限，因此通过上述验证，即保护了用户认证的安全性，又保证了能力开放服务被合法、合理的调用，避免能力服务过度滥用的情况，提高了能力开放服务的稳定性和安全性。
[0040]例如，在REST (Representational State Transfer,表述性状态转移)架构下,将用户终端调用服务的操作抽象为CRUD (Create/Read/Update/Delete，创建、读、更新和删除)。对应一个企业来说，该企业就相当于一个租户，该企业下属的不同部门分别具有不同的能力。对于某个部门来说，通过二次验证，发现其具有特定的能力权利，则允许该部门进行相应的操作。而对于另一个部门来说，通过二次验证，发现其并不具有特定的能力权利，则不允许该部门进行相应的操作。
[0041]图2为本发明提供能力访问策略方法另一实施例的示意图。如图2所示，本实施例的提供能力访问策略方法步骤如下:
[0042]步骤201，接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息。
[0043]步骤202，从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。
[0044]步骤203，判断验证是否成功。若验证失败，则执行步骤204 ;若验证成功，则执行步骤205。[0045]步骤204，拒绝用户终端的能力访问策略请求。之后，不再执行本实施例的其它步骤。
[0046]步骤205，查询是否存在与用户终端的标识信息相关联的记录信息。若存在所述记录信息，则执行步骤207 ;若不存在所述记录信息，则执行步骤206。
[0047]当用户终端通过认证时，系统会将与用户终端相关联的信息存储在服务器中，这样做的目的是为了提高系统性能，已通过验证的用户终端无需每次都进行验证。
[0048]优选的，记录信息以令牌(Token)的形式进行保存。
[0049]步骤206，查询用户终端标识信息是否包括在所述租户终端的用户组中。若用户终端标识信息没有包括在所述租户终端的用户组中，则执行步骤204 ;若用户终端标识信息包括在所述租户终端的用户组中，则执行步骤207。
[0050]步骤207，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。
[0051]步骤208，根据访问权限信息生成能力访问策略。
[0052]步骤209，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
[0053]图3为本发明验证租户终端一个实施例的示意图。在上述的实施例中，步骤102或202可具体采用如下的方式对租户终端进行验证。
[0054]步骤301，向租户终端发送一个随机生成的随机数。
[0055]步骤302，判断是否在预定的时间范围内接收到所述租户终端发送的第一加密信息，其中所述租户终端接收到随机数后，利用预设的密钥和所述随机数进行加密运算，以得到第一加密信息。若未在预定的时间范围内接收到所述租户终端发送的第一加密信息，则执行步骤303 ;若在预定的时间范围内接收到所述租户终端发送的第一加密信息，则执行步骤304。
[0056]步骤303，判断验证失败，拒绝用户终端的能力访问策略请求。之后，不再执行本实施例的其它步骤。
[0057]步骤304，利用预定的密钥和所述随机数进行加密运算，以得到第二加密信息。
[0058]步骤305，判断第一加密信息与第二加密信息是否相同。若第一加密信息与第二加密信息不同，则执行步骤303 ;若第一加密信息与第二加密信息相同，则执行步骤306。
[0059]步骤306，判断验证成功。之后可进一步进行后续的处理，例如继续执行对用户终端标识信息进行验证的步骤。
[0060]优选的，在上述实施例中，利用HMAC (Hash-based Message AuthenticationCode，密钥相关的哈希运算消息认证码)计算第一加密信息和第二加密信息。
[0061]图4为本发明提供能力访问策略服务器一个实施例的示意图。如图4所示，服务器包括接收单元401、第一验证单元402、第二验证单元403、查询单元404、策略生成单元405、发送单元406。其中:
[0062]接收单元401，用于接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信
肩、O
[0063]第一验证单元402，用于从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。[0064]第二验证单元403，用于在第一验证单元402对验证信息验证成功时，对用户终端标识信息进行验证。
[0065]查询单元404，用于在第二验证单元403在对用户终端标识信息验证成功时，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。
[0066]策略生成单元405，用于根据访问权限信息生成能力访问策略。
[0067]发送单元406，用于将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
[0068]基于本发明上述实施例涉及的提供能力访问策略的服务器，通过接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息。从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。若对验证信息验证成功，则对用户终端标识信息进行验证。若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。通过采用多租户技术，利用二次认证来确定用户终端的能力访问策略，从而在保证系统安全的同时，可为不同租户提供不同的能力访问策略。
[0069]图5为本发明提供能力访问策略服务器另一实施例的示意图。与图4所示实施例相比，在图5所示实施例中，第一验证单元402具体包括信息发送模块501、信息接收模块502、第一识别模块503、加密模块504和第二识别模块505。其中:
[0070]信息发送模块501，用于向所述租户终端发送一个随机生成的随机数。
[0071]信息接收模块502，用于接收所述租户终端发送的第一加密信息，其中所述租户终端接收到随机数后，利用预设的密钥和所述随机数进行加密运算，以得到第一加密信息。
[0072]第一识别模块503，用于判断信息接收模块502是否在预定的时间范围内接收到所述租户终端发送的第一加密信息；
[0073]加密模块504，用于在第一识别模块503判断在预定的时间范围内接收到所述租户终端发送的第一加密信息时，利用预定的密钥和所述随机数进行加密运算，以得到第二加密信息。
[0074]第二识别模块505,用于判断第一加密信息与第二加密信息是否相同,若第一加密信息与第二加密信息相同，则指示第二验证单元403执行对用户终端标识信息进行验证的操作。
[0075]优选的，第二识别模块505还用于在第一加密信息与第二加密信息不同时，拒绝用户终端的能力访问策略请求。
[0076]优选的，第二验证单元403还用于查询用户终端标识信息是否包括在所述租户终端的用户组中，若用户终端标识信息包括在所述租户终端的用户组中，则指示查询单元404执行在访问权限列表中查询与用户终端标识信息相关联的访问权限信息的操作。
[0077]优选的，第二验证单元403还用于在用户终端标识信息没有包括在所述租户终端的用户组中时，拒绝用户终端的能力访问策略请求。
[0078]优选的，第二验证单元具体查询是否存在与用户终端的标识信息相关联的记录信息，若不存在所述记录信息，则查询用户终端标识信息是否包括在所述租户终端的用户组中。
[0079]优选的，第二验证单元还用于在存在所述记录信息时，指示查询单元执行在访问权限列表中查询与用户终端标识信息相关联的访问权限信息的操作。
[0080]优选的，所述记录信息为令牌信息。
[0081]图6为本发明提供能力访问策略系统一个实施例的示意图。如图6所示,系统包括服务器601、租户终端602和至少一个用户终端603，其中所述用户终端603属于租户终端602所在的租户用户组。其中:
[0082]所述用户终端603，用于向服务器601发送能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息；接收服务器601发送的能力访问策略，以便根据能力访问策略执行相应的操作；
[0083]服务器601，用于接收所述用户终端发送的能力访问策略请求信息，从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证，若对验证信息验证成功，则对用户终端标识信息进行验证，若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息，根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端；
[0084]租户终端602，用于向服务器提供验证信息。
[0085]基于本发明上述实施例涉及的提供能力访问策略的系统，服务器通过接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息。从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证。若对验证信息验证成功，则对用户终端标识信息进行验证。若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息。根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。通过采用多租户技术，利用二次认证来确定用户终端的能力访问策略，从而在保证系统安全的同时，可为不同租户提供不同的能力访问策略。
[0086]需要说明的是，为了简明起见，在图6中仅示出了一个租户终端以及相关联的用户终端，事实上，在上述系统中还可包括多个不同的租户终端，每个租户终端分别具有不同数量的相关用户终端。
[0087]优选的，服务器601为图4和图5中任一实施例涉及的服务器。
[0088]本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
【权利要求】
1.一种提供能力访问策略的方法，其特征在于，包括: 接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息； 从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证； 若对验证信息验证成功，则对用户终端标识信息进行验证； 若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息； 根据访问权限信息生成能力访问策略； 将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
2.根据权利要求1所述的方法，其特征在于: 从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证的步骤包括: 向所述租户终端发送一个随机生成的随机数； 判断是否在预定的 时间范围内接收到所述租户终端发送的第一加密信息，其中所述租户终端接收到随机数后，利用预设的密钥和所述随机数进行加密运算，以得到第一加密信息； 若在预定的时间范围内接收到所述租户终端发送的第一加密信息，则利用预定的密钥和所述随机数进行加密运算，以得到第二加密信息； 判断第一加密信息与第二加密信息是否相同； 若第一加密信息与第二加密信息相同，则执行对用户终端标识信息进行验证的步骤。
3.根据权利要求2所述的方法，其特征在于: 若第一加密信息与第二加密信息不同，则拒绝用户终端的能力访问策略请求。
4.根据权利要求1-3中任一项所述的方法，其特征在于: 对用户终端标识信息进行验证的步骤包括: 查询用户终端标识信息是否包括在所述租户终端的用户组中； 若用户终端标识信息包括在所述租户终端的用户组中，则执行在访问权限列表中查询与用户终端标识信息相关联的访问权限信息的步骤。
5.根据权利要求4所述的方法，其特征在于: 若用户终端标识信息没有包括在所述租户终端的用户组中，则拒绝用户终端的能力访问策略请求。
6.根据权利要求4所述的方法，其特征在于: 查询用户终端标识信息是否包括在所述租户终端的用户组中的步骤包括: 查询是否存在与用户终端的标识信息相关联的记录信息； 若不存在所述记录信息，则查询用户终端标识信息是否包括在所述租户终端的用户组中。
7.根据权利要求6所述的方法，其特征在于: 若存在所述记录信息，则执行在访问权限列表中查询与用户终端标识信息相关联的访问权限信息的步骤。
8.根据权利要求6或7所述的方法，其特征在于: 所述记录信息为令牌信息。
9.一种提供能力访问策略的服务器，其特征在于，包括: 接收单元，用于接收用户终端发送的能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息；第一验证单元，用于从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证； 第二验证单元，用于在第一验证单元对验证信息验证成功时，对用户终端标识信息进行验证； 查询单元，用于在第二验证单元在对用户终端标识信息验证成功时，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息； 策略生成单元，用于根据访问权限信息生成能力访问策略； 发送单元，用于将能力访问策略发送给所述用户终端，以便所述用户终端根据能力访问策略执行相应的操作。
10.根据权利要求9所述的服务器，其特征在于: 第一验证单元具体包括: 信息发送模块，用于向所述租户终端发送一个随机生成的随机数； 信息接收模块，用于接收所述租户终端发送的第一加密信息，其中所述租户终端接收到随机数后，利用预设的密钥和所述随机数进行加密运算，以得到第一加密信息； 第一识别模块，用于判断信息接收模块是否在预定的时间范围内接收到所述租户终端发送的第一加密信息； 加密模块，用于在第一识别模块判断在预定的时间范围内接收到所述租户终端发送的第一加密信息时，利用预定的密钥和所述随机数进行加密运算，以得到第二加密信息；第二识别模块，用于判断第一加密信息与第二加密信息是否相同，若第一加密信息与第二加密信息相同，则指示第二验证单元执行对用户终端标识信息进行验证的操作。
11.根据权利要求10所述的服务器，其特征在于: 第二识别模块还用于在第一加密信息与第二加密信息不同时，拒绝用户终端的能力访问策略请求。
12.根据权利要求9-11中任一项所述的服务器，其特征在于: 第二验证单元还用于查询用户终端标识信息是否包括在所述租户终端的用户组中，若用户终端标识信息包括在所述租户终端的用户组中，则指示查询单元执行在访问权限列表中查询与用户终端标识信息相关联的访问权限信息的操作。
13.根据权利要求12所述的服务器，其特征在于: 第二验证单元还用于在用户终端标识信息没有包括在所述租户终端的用户组中时，拒绝用户终端的能力访问策略请求。
14.根据权利要求12所述的服务器，其特征在于: 第二验证单元具体查询是否存在与用户终端的标识信息相关联的记录信息，若不存在所述记录信息，则查询用户终端标识信息是否包括在所述租户终端的用户组中。
15.根据权利要求14所述的服务器，其特征在于: 第二验证单元还用于在存在所述记录信息时，指示查询单元执行在访问权限列表中查询与用户终端标识信息相关联的访问权限信息的操作。
16.根据权利要求14或15所述的服务器，其特征在于: 所述记录信息为令牌信息。
17.一种提供能力访问策略的系统，其特征在于，包括服务器、租户终端和至少一个用户终端，其中所述用户终端属于租户终端所在的租户用户组，其中: 所述用户终端，用于向服务器发送能力访问策略请求信息，其中请求信息包括所述用户终端的用户终端标识信息和所述用户终端所属租户用户组的租户终端标识信息；接收服务器发送的能力访问策略，以便根据能力访问策略执行相应的操作； 服务器，用于接收所述用户终端发送的能力访问策略请求信息，从与所述租户终端标识信息相关联的租户终端获取验证信息，并对验证信息进行验证，若对验证信息验证成功，则对用户终端标识信息进行验证，若对用户终端标识信息验证成功，在访问权限列表中查询与用户终端标识信息相关联的访问权限信息，根据访问权限信息生成能力访问策略，将能力访问策略发送给所述用户终端； 租户终端，用于向服务器提供验证信息。
18.根据权利要求17所述的系统，其特征在于: 服务器为权利 要求9-16中任一项所述的服务器。
【文档编号】H04L29/06GK103780580SQ201210404826
【公开日】2014年5月7日 申请日期:2012年10月23日 优先权日:2012年10月23日
【发明者】徐敏捷, 刘玮, 魏伟 申请人:中国电信股份有限公司