专利名称:一种访问用户数据的方法及用户档案管理服务器的制作方法
技术领域:
本发明涉及通信及网络领域,特别是涉及一种访问用户数据的方法及用户档案管理服务器。
背景技术:
在信息社会中,用户在网络中使用的业务越来越多,用户的个人档案数据也越来越多的分散到不同的网络实体中,对用户档案的控制和管理也越来越复杂,并且要求有更好的安全性和灵活性,能够满足用户和业务对档案的各种操作。
用户的档案数据通常包括用户的偏好信息,业务的个性化定制信息,终端能力设备信息以及网络状态信息。对这些信息进行准确的量化和表示,是进一步利用这些信息构建新的业务提供、业务应用和业务控制模式,实现智能化和个性化的应用系统的前提。
随着网络硬件设施的快速发展,宽带和3G网络能够满足更多的业务需求,各种各样的新业务不断涌现。综合来看,业务有向个性化和社会化两个方向同时发展的趋势。个性化的业务指业务根据每个用户的特点,为用户提供符合其偏好的业务服务,如用户使用的业务界面是其喜欢的颜色,使用其偏好的语言进行人机交互,业务的展现形式也适合用户终端的显示能力等。这些用户偏好信息和业务的个性化定制信息存储在用户档案中,可以支撑个性化业务的运行;社会化业务是指业务为用户提供服务时并不孤立的考虑用户本身的档案信息,而且需要考虑其他与该用户相关用户的档案信息,相关用户指与该用户有相似特征的同类型用户或该用户的好友用户。同样,社会化业务也需要社会化的用户档案服务的支撑,如用户搜索内容的排序希望按照某个用户群内用户的点击偏好,为用户推荐的内容是与用户联系最密切好友喜欢的内容,用户的初始业务设置与某个最相似用户的设置相同等。用户档案数据的管理需要在架构上对上述的各种业务服务进行支撑,满足业务的要求。
现有技术一在通用用户档案GUP(Generic User Profile)中,提供了一种用户档案访问和控制的方法。该方法中由用户档案管理服务器对所有的用户档案进行管理,并提供两种基本的用户数据管理和访问的机制,即代理方式和重定向方式。该方法中用户档案数据由一个或多个档案组件文件组成,每个档案组件中可以包括子档案组件或用户属性数据项,档案组件可以分布式存储在不同的用户档案存储库中,由一个用户档案管理服务器统一来进行管理。用户档案服务器是对用户档案操作的统一接口,对存储在不同用户档案存储库中数据的访问和操作(包括建立用户数据,读取某个用户数据项或者更改某个用户数据项)均发送给用户档案服务器执行。
上述代理方式的用户档案的操作流程,参见图1所示,包括下列步骤1.请求方(需要访问用户数据的用户或第三方应用)向用户档案管理服务器PMS(Profile Management Server)发送数据操作请求。
2.PMS首先对请求方进行认证,检查请求的操作权限,识别并定位用户数据项。
3,PMS向用户档案存储库发送请求方的操作请求。
4.用户档案存储库执行操作,并将结果数据返回给PMS。
5.PMS将返回的结果返回响应给请求方。
上述重定向方式的用户档案的操作流程,参见图2所示,包括下列步骤1.请求方(需要访问用户数据的用户或第三方应用)向用户档案管理服务器(PMS)发送数据操作请求。
2.PMS首先对请求方进行认证,检查请求的操作权限,识别并定位用户数据项。
3,PMS将授权声明和定位信息返回给请求方。
4.请求方根据接收到的授权声明向用户档案存储库请求执行操作。
5.用户档案存储库将操作的结果的数据返回给请求方。
在上述两种方式对用户档案的操作流程中,对用户档案服务器的请求消息中包括●Create建立用户档案。
●Delete删除用户档案。
●Modify修改用户档案。
●List列出现有的用户档案项。
●Query查询用户档案。
●Subscribe应用请求对用户档案变化的通知。
●Unsubscribe取消应用请求对用户档案变化的通知。
以查询请求为例,请求方向用户档案管理服务器发送的查询请求包括用户标识、请求的档案数据项和请求方标识,用户档案管理服务器接收到查询请求后对请求方标识进行认证,认证通过后根据请求方标识,请求的用户标识和用户档案项确认请求方是否可以查询请求的用户数据,即对请求进行授权,然后定位请求的用户数据的位置,获得请求所在的一个或多个用户档案存储库的信息(同一个用户标识的档案组件/数据项可能分布存储在不同的用户档案存储库中),之后,根据请求的访问机制,用户档案管理服务器或者向存储用户数据的数据存储库发送数据访问请求,并接收返回的数据值信息,将数据值以响应消息返回给请求方,或者将授权声明发送给发送方,由发送方向用户档案存储库请求数据。
在上述两种方式的用户档案的操作流程中,对用户档案存储库的请求消息中包括●Create Component在存储库中增加一个新的档案组件。
●Delete Component从存储库中删除一个档案组件。
●List列出已有的档案项。
●Modify修改现有的用户档案组件中的数据。
●Read查询用户档案中的数据。
●Subscribe订购档案组件中数据变化的通知。
●Unsubscribe取消档案组件中数据变化的通知。
以查询请求为例,用户档案存储库收到的请求包括资源标识、请求的数据项和请求方标识,这些信息被封装到一个安全的授权声明中,用户档案存储库接收到查询请求后,检查安全授权声明,使用授权声明到发布声明的用户档案管理服务器进行鉴权,鉴权通过后则利用资源标识和请求的数据项在数据存储库中查找符合条件的数据项的值,以XML文档的形式返回给请求方。
现有技术一中,虽然一个用户的分布式档案由用户档案管理服务器统一进行管理,但各个用户的档案之间是单独管理的,并没有考虑用户档案之间的关联关系,因此对于社会化业务不能很好的支撑,即无法通过一个用户档案的授权访问来访问其他相关的用户档案。
有如下场景,用户u是业务A的一个用户,业务A可以访问用户u的档案,另一个用户v是用户u的好友用户,业务A并没有对用户v档案的访问权限。当业务A试图通过好友用户v的档案为用户u提供服务时,并没有v的授权,因此不能访问v的档案,则业务A无法为用户u提供社会化服务。这种基于用户档案的关联访问方式在现有技术一中没有提供有效的支撑,而且随着社会化业务的越来越丰富,这种应用场景会越来越多。所以,用户档案管理系统需要在功能上支持这种基于用户档案的关联数据访问。
现有技术二现有互联网的社会网络应用系统中,注册的用户可以直接访问好友的数据资料,并且可以通过授权来访问好友的好友的数据资料,并查找一条可以找到目标用户的最佳关系路径(如联系的途径)。
但是现有技术二中,是通过好友列表和权限控制实现在同一个管理域中的数据访问,不涉及分布式的数据访问机制,从而限制了数据访问的灵活性。
综上所述,现有技术无法兼顾用户档案之间的关联访问,以及分布式的数据访问机制。
发明内容本发明提供一种访问用户数据的方法及用户档案管理服务器,用以解决现有技术无法兼顾用户档案之间的关联访问,以及分布式数据访问机制的问题。
本发明方法包括用户档案管理服务器PMS收到请求方发来的关联数据访问请求消息,则在判定允许该请求方对源访问用户进行关联访问后,确定目标关联用户集合,并将该关联访问请求消息转换为对各目标关联用户的数据访问请求;以及PMS对指向各目标关联用户的数据访问请求分别进行鉴权,并根据鉴权结果,提供相关数据。
本发明的用户档案管理服务器,包括授权规则存储模块,用于存储是否允许请求方对源访问用户进行关联访问的关联授权规则;控制模块,用于根据授权规则存储模块中存储的关联授权规则判定允许请求方进行关联访问后,将该请求方发来的关联数据访问请求消息转发给关联处理模块;以及根据关联处理模块发来的访问授权声明,指示提供相关数据;关联处理模块,用于从关联存储模块中提取源访问用户的关联访问控制列表,并根据该关联访问控制列表及所述关联数据访问请求消息中携带的过滤参数确定目标关联用户集合,以及将该关联访问请求消息转换为对各目标关联用户的数据访问请求;以及对指向各目标关联用户的数据访问请求分别进行鉴权,并根据鉴权结果向控制模块发出访问授权声明;关联存储模块,用于存储和提供用户的关联访问控制列表。
本发明实施例的有益效果如下本发明中,PMS收到请求方发来的关联数据访问请求消息后,先判断是否允许该请求方对源访问用户进行关联访问,若判定允许,则根据源访问用户的关联访问控制列表及所述关联数据访问请求消息中携带的过滤参数确定目标关联用户集合,并将该关联访问请求消息转换为对各目标关联用户的数据访问请求;之后PMS对指向各目标关联用户的数据访问请求分别进行鉴权;最后PMS根据鉴权结果,提供相关数据。
本发明与现有技术一相比,考虑了用户档案之间的关联关系,可支撑社会化业务。
本发明与现有技术二相比,由用户档案管理服务器统一管理用户档案,不局限于通过用户档案之间的关联关系确定到达某一目标用户的最佳关系路径,还可支撑分布式数据访问机制,即访问与授权访问用户(源访问用户)相关联的若干用户的用户档案,所以本发明继承了分布式数据访问机制的灵活性。
综上所述,本发明既支撑了用户档案之间的关联访问,又继承了分布式数据访问机制。
图1为现有代理方式的用户档案操作流程图;图2为现有重定向方式的用户档案操作流程图;图3为本发明请求方访问关联数据的处理流程图;图4为本发明方法实施例一的流程图;图5为本发明用户档案管理服务器的结构示意图;图6为本发明模块化的实施例流程图。
具体实施方式为了在访问用户数据时,既支撑用户档案之间的关联访问,又继承分布式数据访问机制的灵活性,本发明提供了一种访问用户数据的方法。为了支撑本发明方法,首先需要为每一用户生成关联访问控制列表并保存在PMS中;或保存在信任PMS的用户档案存储库中,所述PMS可以直接访问该关联访问控制列表。用户的关联访问列表中记录了通过该用户可以关联访问的关联用户的标识,以及每个关联用户的授权信息;所述授权信息包括关联用户包含的关联数据项,以及各个关联数据项的访问权限。并且需要定义关联数据访问请求消息和关联访问响应消息。
◆所述关联访问控制列表可由用户设置生成,或者由服务商生成。
●由用户设置生成。
系统中每个用户可为自身设置一关联访问控制列表,所述关联访问控制列表中包括若干与该用户相关联的用户标识和每个关联用户授权的关联数据项及其访问权限。请求方可通过对该用户的访问获得该关联访问控制列表中的关联用户标识和授权信息,进一步访问所述关联用户的档案数据。
所述关联访问控制列表例如表一所示 表一所述表一中,用户A标识Ricky@domainl。
关联用户1标识alice@domainl;访问权限数据项默认权限不可访问;Name项权限可读;MusicPreference项权限可读;Alias项权限可修改。
关联用户2标识Rose@domainl;访问权限数据项默认权限可读;Age项权限不可访问;MusicPreference项权限可读。
上述表一只是一种具体表现形式,还可采取其他形式表明与用户A相关联的用户将自己的数据项授权给用户A的情况。
●由服务商生成。
由服务商根据自身的规则对用户进行分类,并根据分类结果生成关联访问控制列表。所述关联访问控制列表中包括为每个用户记录该用户所属的若干关联类别项;所述关联访问控制列表中还包括所有用户共同使用的为各个类别中特定数据项配置的访问权限,以及所有属于该类别的关联用户标识(即同一类别中的用户相互关联)。这样通过所述关联类别项可以找到属于该类别的所有关联用户,进而可以通过对特定数据项的鉴权过程访问某一关联用户的特定数据项信息。
所述关联访问控制列表例如表二所示
表二用户A同时被分类在关联类别1至关联类别n中。
关联类别1包含的特定数据项Age数据项可读;Alias数据项可读;MusicPreference数据项可修改;LanguragePreference数据项可读。
属于关联类别1的关联用户用户A、用户B、用户C、用户D。
上述表二只是一种具体表现形式,还可采取其他形式表明服务商为各个类别中的数据项设定的访问权限。
◆定义关联数据访问请求消息和关联访问响应消息。
●所述关联数据访问请求消息的定义参见表三所示
表三●所述关联访问响应消息的定义参见表四所示
表四◆为每一用户保存了一个关联访问控制列表,以及定义关联数据访问请求消息和关联访问响应消息之后,请求方访问关联数据的处理流程参见图3所示,包括下列主要步骤S1、PMS收到请求方发来的关联数据访问请求消息。
请求方向PMS发送关联数据访问请求消息,该关联数据访问请求消息中携带有上述表三中描述的必选选项,以及若干可选选项。
S2、PMS对关联数据访问请求消息进行鉴权。
本步骤中,PMS首先判断是否允许请求方对源访问用户进行关联访问(其中包括对请求方的身份进行认证和关联访问权限认证),若认证通过,则PMS提取源访问用户的关联访问控制列表,并根据该请求消息中的过滤参数和源访问用户的关联访问控制列表来确定目标关联用户集合。根据所述过滤参数中携带的信息不同,存在两种确定目标关联用户集合的情况情况一、从源访问用户的关联访问控制列表中提取源访问用户相关联的用户标识合集,并将该用户标识合集与所述过滤参数中携带的请求关联用户标识列表比较,取其交集为目标关联用户集合。
情况二、从源访问用户的关联访问控制列表中提取源访问用户相关联的用户标识合集,并根据所述过滤参数中的关联层数,从所述源访问用户相关联的用户标识合集中提取对应关联层数的关联用户标识集合作为目标关联用户集合。
之后将所述关联数据访问请求消息分解为对所述目标关联用户集合中包含的各个目标关联用户的数据访问请求消息,并在对各个指向目标关联用户的数据访问请求消息鉴权结束后转入步骤S3。
S3、PMS根据鉴权结果,提供相关数据。
对应上述表四中描述的参数,本步骤存在两种情况。
情况一、PMS根据鉴权结果生成授权声明,并以该授权声明从本地用户档案存储库(不限于一个用户档案存储库)中相应提取关联数据或直接向信任的用户档案存储库提取相关数据;PMS得到关联数据之后,根据所述请求访问数据中的请求类型生成关联操作响应消息,用以向请求方返回关联数据。
情况二、若指示需要重定向,则PMS根据鉴权结果生成授权声明,并将该授权声明返回给请求方;之后,请求方以该授权声明从用户档案存储库(不限于一个用户档案存储库)中获取相应的关联数据。
方法实施例一、为了更加详尽的描述PMS处理关联数据访问请求消息的流程,以下结合上述图3、表三和表四,说明鉴权后PMS直接向请求方返回关联数据的情况(即对应上述步骤S3中的情况一),参见图4所示,包括下列细节步骤1、PMS认证请求方身份,对身份的认证可以根据所述关联数据访问请求消息中的安全认证参数(如消息通过SOAP协议承载,则通过SOAP中的安全参数)在PMS内部或向第三方认证机构请求认证请求方的身份。
2、PMS根据请求方的身份和所述请求消息中的源访问用户标识,查询关联授权规则,判断是否允许请求方对源访问用户进行关联访问。若允许,则转入步骤4;否则,转入步骤3。在具体实现中,所述关联授权规则可为所述源访问用户不存在于该请求方的好友列表中,则判定不允许该请求方对所述源访问用户进行关联访问;否则,允许。又例如请求方为Ricky@domainl,源访问用户的被访问对象为Rose@domainl的MusicPreference数据项,访问方式为可读取,则代表允许Ricky读取Rose的MusicPreference项。
3、设定关联访问响应消息的Status字段为“请求失败”,并转入步骤11。
4、PMS从源访问用户的关联访问控制列表中获得该用户的关联用户标识集合与关联数据项授权信息。
5、PMS根据所述请求消息中的过滤参数,从上述的关联用户标识集合中选择符合条件的目标关联用户标识集合。
如果所述请求消息中的过滤条件为“关联过滤参数”,则根据过滤条件中的关联层数,从源访问用户的关联访问控制列表中获得对应关联层数的关联用户标识集合(第一层对应源访问用户的关联用户标识,第二层对应源访问用户每个关联用户的关联用户标识,以此类推);如果请求消息中的过滤条件为“请求关联用户标识列表”,则PMS首先获得源用户的关联访问控制列表,然后将所述请求消息中的“请求关联用户标识列表”与得到的源访问用户的关联用户标识集合进行比较,并取符合关联条件的关联用户标识;即取二者的交集。
6、PMS将指向源访问用户的关联数据访问请求消息分解为对所述目标关联用户集合中包含的各个目标关联用户的数据访问请求消息,并根据步骤4中获得的关联数据授权信息,对所述目标关联用户集合中包含的各个目标关联用户的数据项分别进行鉴权。
若指向各个目标关联用户的数据访问请求消息全部符合授权规则(例如该目标关联用户的关联数据项有5项,若其中大于等于3项通过鉴权,则判定符合授权规则;否则,判定不符合授权规则),则判定符合PMS中预设的策略,继续执行步骤7;若某些指向目标关联用户的数据访问请求不符合授权规则,则根据PMS中预设的策略,判定符合预设的策略时继续执行步骤7,否则转入步骤3(例如有任一个指向目标关联用户的数据访问请求不符合授权规则,则判定不符合预设的策略,转入步骤3;又例如有半数以上指向目标关联用户的数据访问请求不符合授权规则,才判定不符合预设的策略,转入步骤3。
7、PMS根据符合授权规则的目标关联用户标识和所述关联数据访问请求消息,相应生成访问关联数据所需要的访问授权声明。
8、PMS使用所述访问授权声明向用户档案存储库发送用户数据请求。
9、用户档案存储库根据访问授权声明对请求进行认证,并在响应中返回请求的数据。
10、PMS得到从用户档案存储库发来的数据后,根据关联数据访问请求消息中的关联请求类型做相应的处理a)如果关联请求类型为FullReturen,则将多条用户数据合并成一个XML项作为关联访问响应消息的Data内容;b)如果关联请求类型为MainReturn,则统计多条用户数据的值,将统计的结果返回,统计过程为选择多个返回数据值中最多的数据值作为返回的数据,有多个相同的最多的数据值则按照某种规则(如按照返回顺序)选择一个作为关联访问响应消息的Data内容。
11、PMS发送关联访问响应消息给请求方。
方法实施例二、为了更加详尽的描述PMS处理关联数据访问请求消息的流程,以下结合上述图3、表三和表四,说明指示需要重定向的情况(即对应上述步骤S3中的情况二),包括下列细节步骤1至7与方法实施例一相同。
8、PMS发送关联访问响应消息给请求方,其中携带所述访问授权声明。
9、请求方以该访问授权声明向用户档案存储库发送用户数据请求。
10、用户档案存储库根据访问授权声明对请求进行认证,并根据该请求中携带的关联请求类型在响应中返回请求的数据。
◆为了支撑本发明方法,本发明还提供了一种用户档案管理服务器PMS,参见图5所示,其包括依次相连的授权规则存储模块、控制模块、关联处理模块,以及关联存储模块;进一步当PMS鉴权后直接向请求方提供关联数据时,在所述控制模块与用户档案存储库之间还包括档案访问接口。
所述授权规则存储模块,用于存储是否允许请求方进行关联访问的关联授权规则。其中包括关于请求方、源访问用户、访问方式,以及关联访问类型等内容。例如请求方为Ricky@domainl,源访问用户的被访问对象为Rose@domainl的MusicPreference数据项,访问方式为可读取,则代表允许Ricky读取Rose的MusicPreference项。所述关联访问类型具体方式例如请求方为Ricky@domainl,源访问用户的被访问对象为Rose@domainl,关联访问类型为关联访问FullReturn,则表示允许Ricky对Rose进行FullReturn方式的关联访问。
所述控制模块,用于接收请求方发来的关联数据访问请求消息,并对请求方的身份认证通过后,从授权规则存储模块中获取所述关联授权规则,并据此判定是否授权请求方发起关联访问;若允许该请求方发起关联访问,则将所述关联数据访问请求消息转发给关联处理模块。以及在通过访问鉴权之后与关联处理模块交互,根据关联处理模块发来的访问授权声明实施访问控制,并指示提供相关数据。所述指示提供相关数据包括两种情况之一、控制模块通过档案访问接口,以关联处理模块发来的访问授权声明从用户档案存储库中提取相应的关联数据,并返回给请求方;之二、控制模块将关联处理模块发来的访问授权声明转发给请求方,还可指示请求方以所述访问授权声明向用户档案存储库获取相应的关联数据。
所述关联处理模块,用于处理控制模块发来的关联数据访问请求。根据该关联数据访问请求指向的源访问用户从关联存储模块相应提取关联访问控制列表,并根据该关联访问控制列表及所述关联数据访问请求消息中携带的过滤参数确定目标关联用户集合,以及将该关联访问请求消息转换为对各目标关联用户的数据访问请求;之后,根据所述关联访问控制列表中的授权信息及授权规则对指向各目标关联用户的数据访问请求分别进行鉴权;再根据鉴权结果向控制模块发出访问授权声明。
所述关联存储模块,用于存储和提供用户的关联访问控制列表。该模块可以是在PMS中,也可以是一种特定的用户档案存储库。
◆以下结合上述方法流程及PMS的内部模块,基于鉴权后PMS直接向请求方返回关联数据的情况,描述PMS的内部模块处理关联数据访问请求消息的流程。参见图6所示,包括下列具体步骤1、控制模块接收请求方发送的到关联数据访问请求消息。
2、控制模块对请求方进行认证,确认请求方身份,对身份的认证可以根据所述关联数据访问请求消息中的安全认证参数(消息通过SOAP协议承载,则通过SOAP中的安全参数)在PMS内部或向第三方认证机构请求认证请求方的身份。
3、控制模块从授权规则存储模块获得请求方对于源用户的授权规则(即关联授权规则);4、控制模块根据授权规则判断请求方是否可以对源访问用户进行所述请求类型的关联访问,如果可以访问则继续执行;否则,设定响应标志位,发送关联访问响应给请求方。
5、控制模块将关联数据访问请求发送到关联处理模块。
6、关联处理模块根据源访问用户标识向关联存储模块请求源访问用户的关联访问控制列表。
7、关联存储模块根据源访问用户标识,向关联处理模块返回相应的访问控制列表,其中包括关联用户标识集合与关联数据项授权信息。
8、关联处理模块根据所述关联数据访问请求消息中的过滤参数,从上述的关联用户标识集合中选择符合条件的目标关联用户标识集合。
如果所述请求消息中的过滤条件为“关联过滤参数”,则根据过滤条件中的关联层数,从源访问用户的关联访问控制列表中获得对应关联层数的关联用户标识集合(第一层对应源访问用户的关联用户标识,第二层对应源访问用户每个关联用户的关联用户标识,以此类推);如果请求消息中的过滤条件为“请求关联用户标识列表”,则PMS首先获得源用户的关联访问控制列表,然后将所述请求消息中的“请求关联用户标识列表”中与得到的源访问用户的关联用户标识集合进行比较,并取符合关联条件的关联用户标识;即取二者的交集。
9、关联处理模块将指向源访问用户的关联数据访问请求消息分解为对所述目标关联用户集合中包含的各个目标关联用户的数据访问请求消息,并根据上述步骤6和7得到的关联数据授权信息,对所述指向目标关联用户的数据请求分别进行鉴权(例如该目标关联用户的关联数据项有5项,若其中大于等于3项通过鉴权,则判定符合授权规则;否则,判定不符合授权规则)。如果某个关联用户访问请求不符合授权规则,则设定关联访问响应消息的Status字段为“关联失败”,然后根据关联处理模块中预设的策略继续执行或转入步骤15。
10.关联处理模块对授权的数据请求生成访问授权声明,并返回给控制模块。
11、控制模块使用访问授权声明向档案访问接口发送用户档案请求。
12、档案访问接口与用户档案存储库交互,根据访问授权声明获得用户档案数据。
13、档案访问接口将用户档案数据返回给控制模块。
14、控制模块通过档案访问接口得到返回的数据后,根据请求消息中的关联请求类型做相应的处理a)如果关联请求类型为FullReturen,则将多条用户数据合并成一个XML项作为关联访问响应消息的Data内容;b)如果关联请求类型为MainReturn,则统计多条用户数据的值,将统计的结果返回,统计过程为选择多个返回数据值中最多的数据值作为返回的数据,有多个相同的最多的数据值则按照某种规则(如按照返回顺序)选择一个作为关联访问响应消息的Data内容;15、控制模块发送关联访问响应消息给请求方。
◆在具体实现中,例如一个通过用户的社会化特性为用户提供服务的业务(可以是现有的任何业务增加了社会化的特征),该业务为用户提供个性化的音乐服务。当前的用户档案管理服务器中的“音乐”数据项存有用户喜爱的音乐类型,业务通过调用这个用户属性来获得用户的喜好。
用户Alice注册了这个业务,但Alice从前没有使用过音乐类服务,用户档案中的“音乐”项为空,则业务可以通过向用户档案管理平台发送用户Alice音乐数据的关联请求来获得Alice相关用户对于“音乐”的喜好数据,而业务可能不知道Alice有哪些相关用户,而且对于其相关用户没有直接访问用户档案数据的权限,用户档案管理平台屏蔽了这些因素来为业务提供关联的数据访问服务。
又例如个社会化搜索业务,为用户提供个性化+社会化的搜索服务,在每个用户的用户档案中都有一个搜索偏好数据项,搜索业务通过这项数据来为用户提供服务。
当Alice输入一个关键字进行搜索时,业务首先请求Alice个人的搜索偏好数据项,再请求Alice关联用户(好友或一类用户)的搜索偏好数据项,将这些搜索偏好按照某种合适的算法进行综合,生成一个综合的搜索偏好数据项,根据这个综合搜索偏好对Alice搜索到的结果进行排序,则Alice偏好的内容和其关联用户偏好的内容均会体现在搜索结果中。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求
及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种访问用户数据的方法,其特征在于,包括下列步骤用户档案管理服务器PMS收到请求方发来的关联数据访问请求消息,则在判定允许该请求方对源访问用户进行关联访问后,确定目标关联用户集合,并将该关联访问请求消息转换为对各目标关联用户的数据访问请求;以及PMS对指向各目标关联用户的数据访问请求分别进行鉴权,并根据鉴权结果,提供相关数据。
2.如权利要求
1所述的方法,其特征在于,所述确定目标关联用户集合包括PMS从存储器中存储的源访问用户的关联访问控制列表中提取关联用户标识合集;将提取的源访问用户相关联的用户标识合集与关联数据访问请求消息中携带的过滤参数中的请求关联用户标识列表比较,取其交集为目标关联用户集合。
3.如权利要求
1所述的方法,其特征在于,所述确定目标关联用户集合包括PMS从存储器中存储的源访问用户的关联访问控制列表中提取关联用户标识合集;根据关联数据访问请求消息中携带的过滤参数中的关联层数,从所述源访问用户相关联的用户标识合集中提取对应关联层数的关联用户标识集合作为目标关联用户集合。
4.如权利要求
2或3所述的方法,其特征在于,所述关联访问控制列表由用户设置生成,并上传到PMS;所述关联访问控制列表包括与该用户相关联的用户标识,各关联用户授权的关联数据项,以及各关联数据项的访问权限;或者,由服务商对用户进行分类并生成关联访问控制列表,以及存储于PMS中;所述关联访问控制列表包括每个用户所属的关联类别项,各类别中特定数据项及其访问权限,以及归属于各类别项的关联用户标识。
5.如权利要求
1至3任一项所述的方法,其特征在于,PMS根据鉴权结果生成授权声明,并以该授权声明相应提取关联数据;之后,根据所述关联数据访问请求消息中的请求类型向请求方返回关联数据。
6.如权利要求
1至3任一项所述的方法,其特征在于,PMS根据鉴权结果生成授权声明,并将该授权声明返回给请求方。
7.一种用户档案管理服务器,其特征在于,包括授权规则存储模块,用于存储是否允许请求方对源访问用户进行关联访问的关联授权规则;控制模块,用于根据授权规则存储模块中存储的关联授权规则判定允许请求方进行关联访问后,将该请求方发来的关联数据访问请求消息转发给关联处理模块;以及根据关联处理模块发来的访问授权声明,指示提供相关数据;关联处理模块,用于从关联存储模块中提取源访问用户的关联访问控制列表,并根据该关联访问控制列表及所述关联数据访问请求消息中携带的过滤参数确定目标关联用户集合,以及将该关联访问请求消息转换为对各目标关联用户的数据访问请求;以及对指向各目标关联用户的数据访问请求分别进行鉴权,并根据鉴权结果向控制模块发出访问授权声明;关联存储模块,用于存储和提供用户的关联访问控制列表。
8.如权利要求
7所述的用户档案管理服务器,其特征在于,所述控制模块与用户档案存储库之间还包括档案访问接口,控制模块通过该接口,以关联处理模块发来的访问授权声明从用户档案存储库中提取相应的关联数据,并返回给请求方。
9.如权利要求
7所述的用户档案管理服务器,其特征在于,控制模块将关联处理模块发来的访问授权声明转发给请求方。
专利摘要
本发明公开了一种访问用户数据的方法及用户档案管理服务器,用以解决现有技术无法兼顾用户档案之间的关联访问,以及分布式数据访问机制的问题。本发明方法包括用户档案管理服务器PMS收到请求方发来的关联数据访问请求消息,则在判定允许该请求方对源访问用户进行关联访问后,确定目标关联用户集合,并将该关联访问请求消息转换为对各目标关联用户的数据访问请求;以及PMS对指向各目标关联用户的数据访问请求分别进行鉴权,并根据鉴权结果,提供相关数据。本发明服务器包括授权规则存储模块,控制模块,关联处理模块和关联存储模块。
文档编号G06F17/30GK1996955SQ200610167277
公开日2007年7月11日 申请日期2006年12月15日
发明者邵刚, 钟杰萍, 莫彩文 申请人:华为技术有限公司导出引文BiBTeX, EndNote, RefMan