面向多角色的泛在資源用戶訪問控制方法
【專利摘要】本發(fā)明公開了一種面向多角色的泛在資源用戶訪問控制方法����,其特征在于所述方法包括用戶向泛在網(wǎng)開放平臺進(jìn)行添加資源、申請資源���、使用資源操作時��,泛在網(wǎng)開放平臺按照用戶-角色-權(quán)限三層架構(gòu)的次序依次確定發(fā)送操作請求的用戶�����、用戶的角色�、與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制���,依據(jù)與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制進(jìn)行控制用戶訪問資源的步驟���;其中每個用戶具有若干種角色,每種角色具有若干種權(quán)限��;與用戶角色綁定的每個權(quán)限具有流量限制屬性����。該方法能夠很好的適應(yīng)泛在網(wǎng)中用戶多角色與流量控制的應(yīng)用場景����,具有高效率����,可擴(kuò)展的特點(diǎn)。
【專利說明】面向多角色的泛在資源用戶訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于泛在網(wǎng)絡(luò)【技術(shù)領(lǐng)域】�,具體涉及一種面向多角色的泛在資源用戶訪問控制方法。
【背景技術(shù)】
[0002]OAuth是一種基于Web的用于開放授權(quán)的互聯(lián)網(wǎng)標(biāo)準(zhǔn)協(xié)議�����?��!綞.Hammer-Lahav,Ed." RFC5849: The OAuthl.0Protocol." Internet Engineering Task Force(2010)】OAuth協(xié)議允許用戶讓第三方應(yīng)用訪問該用戶在某一網(wǎng)站上存儲的私密的資源(如照片��,視頻�����,聯(lián)系人列表)�,而無需將用戶名和密碼提供給第三方應(yīng)用�。OAuth協(xié)議在眾多互聯(lián)網(wǎng)開放平臺(如新浪�、豆瓣等)中得到廣泛應(yīng)用�����,但是該機(jī)制應(yīng)用于泛在網(wǎng)時將面臨許多挑戰(zhàn)�����。其一,OAuth協(xié)議不能適應(yīng)泛在網(wǎng)平臺中用戶多角色的特點(diǎn)����。在OAuth協(xié)議的應(yīng)用場景中��,一般不會出現(xiàn)如泛在網(wǎng)開放平臺中用戶作為部分資源的擁有者�����,同時又作為其他資源的使用者的情況�����。其二����,OAuth協(xié)議本身并沒有提供流量計費(fèi)系統(tǒng),而泛在網(wǎng)中資源供應(yīng)者需要通過流量控制來防止用戶的惡意訪問。
[0003]為此�����,本發(fā)明提供一種面向多角色的泛在資源用戶訪問控制方法���,來解決現(xiàn)有協(xié)議中存在的問題����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明目的在于提供一種面向多角色的泛在資源用戶訪問控制方法���,解決了現(xiàn)有協(xié)議不能滿足泛在網(wǎng)中用戶多角色特性和實(shí)現(xiàn)流量控制的要求等問題��。
[0005]為了解決現(xiàn)有技術(shù)中的這些問題�����,本發(fā)明提供的技術(shù)方案如下:
[0006]一種面向多角色的泛在資源用`戶訪問控制方法����,其特征在于所述方法包括用戶向泛在網(wǎng)開放平臺進(jìn)行添加資源���、申請資源�����、使用資源操作時����,泛在網(wǎng)開放平臺按照用戶-角色-權(quán)限三層架構(gòu)的次序依次確定發(fā)送操作請求的用戶�、用戶的角色、與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制���,依據(jù)與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制進(jìn)行控制用戶訪問資源的步驟�;其中每個用戶具有若干種角色���,每種角色具有若干種權(quán)限���;與用戶角色綁定的每個權(quán)限具有流量限制屬性。
[0007]優(yōu)選的技術(shù)方案是:所述方法中泛在網(wǎng)開放平臺設(shè)置有用戶表����、角色表、權(quán)限表��、用戶角色表�、角色權(quán)限表和用戶流量表;所述用戶表的信息包括用戶序號(UserID)、用戶名(UserName)��、密碼(Password)和平臺密鑰(APIKey);所述角色表的信息包括角色序號(RoleID)和角色名(R0IeName);用戶角色表的信息包括用戶序號(UserID)和角色序號(RoleID);角色權(quán)限表的信息包括權(quán)限序號(PermissionID)和權(quán)限名(PermissionName)����;用戶流量表的信息包括用戶序號(UserID)、權(quán)限序號(PermissionID)和剩余次數(shù)(RemainNum)0
[0008]優(yōu)選的技術(shù)方案是:所述方法中當(dāng)用戶向泛在網(wǎng)開放平臺提供資源時�����,按照以下步驟進(jìn)行:[0009](I)向用戶權(quán)限表中添加資源相關(guān)的權(quán)限���;
[0010](2)向角色表中添加資源相關(guān)的角色�����,包括該資源的擁有者和不同等級使用者�;
[0011](3)向角色權(quán)限表添加資源相關(guān)的角色序號����、權(quán)限序號和使用次數(shù);
[0012](4)向用戶角色表中添加該用戶為資源的擁有者��。
[0013](5)向用戶流量表中添加用戶對資源的各種權(quán)限的相關(guān)記錄���,包括剩余使用次數(shù)��。
[0014]優(yōu)選的技術(shù)方案是:所述方法中當(dāng)用戶向泛在網(wǎng)開放平臺申請資源時����,按照以下步驟進(jìn)行:
[0015](I)向用戶角色表中添加該用戶為該資源的相應(yīng)等級的使用者;
[0016](2)在角色權(quán)限表中查詢該角色所擁有的權(quán)限和相關(guān)權(quán)限的使用次數(shù)����;
[0017](3)根據(jù)查詢結(jié)果向用戶流量表中添加該用戶對該資源的各種權(quán)限的相關(guān)記錄��,包括剩余使用次數(shù)��。
[0018]優(yōu)選的技術(shù)方案是:所述方法中當(dāng)用戶使用資源時����,按照以下步驟進(jìn)行:
[0019](I)用戶向泛在網(wǎng)開放平臺請求使用資源時,在請求數(shù)據(jù)包中加入用戶的APIKey���,用于泛在網(wǎng)開放平臺鑒權(quán)���;
[0020](2)泛在網(wǎng)開放平臺根據(jù)收到的APIKey在用戶表中查找對應(yīng)用戶ID ;
[0021](3)根據(jù)查找到的用戶ID在用戶流量表查找對應(yīng)權(quán)限的剩余使用次數(shù)��,若該值大于0,則執(zhí)行該API的操作�����,并將剩余使用次數(shù)減1�,否則返回錯誤信息。
[0022]優(yōu)選的技術(shù)方案是:所述方法還包括泛在網(wǎng)開放平臺在執(zhí)行完一個流量刷新周期后進(jìn)行流量刷新操作����,按照如下步驟進(jìn)行:
[0023](I)對于用戶表(users)中的每一個用戶,在用戶角色表(userroles)中查詢其所有角色�����;
[0024](2)對于查詢到的每個角色在角色權(quán)限表(rolepermissions)中查詢其所有權(quán)限與使用次數(shù)�,獲取該用戶所有權(quán)限;
[0025](3)在用戶流量表(userflow)中依次找到對應(yīng)的用戶序號(UserID)和權(quán)限序號(PermissionID),并根據(jù)查詢到的使用次數(shù)更新剩余流量���。
[0026]本發(fā)明技術(shù)方案訪問控制機(jī)制的主要思想是采用用戶-角色-權(quán)限三層架構(gòu)���,可實(shí)現(xiàn)單個用戶對應(yīng)多個角色,擁有眾多不同權(quán)限�����,且使用的流量控制機(jī)制能夠?qū)Σ煌燃壍挠脩魧?shí)現(xiàn)不同的流量限制。
[0027]泛在網(wǎng)開放平臺用戶數(shù)據(jù)庫中共包含六個表����,分別為用戶表、角色表���、用戶角色表����、權(quán)限表�����、角色權(quán)限表和用戶流量表�����。
[0028]其中用戶表:每個用戶的信息包括用戶序號�、用戶名�����、密碼和平臺密鑰���;角色表:泛在網(wǎng)開放平臺中存在多種多樣的角色���,角色信息主要包括角色序號和角色名�����;用戶角色表:每個用戶可以有多個角色屬性�����,用戶所屬角色信息包括用戶序號和角色序號��;權(quán)限表:泛在網(wǎng)開放平臺中存在多種多樣的權(quán)限���,權(quán)限信息包括權(quán)限序號和權(quán)限名;角色權(quán)限表:每個角色可以有多種權(quán)限��,角色權(quán)限信息包括角色序號���、權(quán)限序號和使用次數(shù)��;用戶流量表:每個用戶對用的各種權(quán)限有相應(yīng)的流量限制�����,用戶的流量信息包括用戶序號�、權(quán)限序號和剩余次數(shù)。通過各數(shù)據(jù)庫表項之間的依賴關(guān)系�����,對用戶不同角色的權(quán)限進(jìn)行統(tǒng)一管理����,并實(shí)現(xiàn)用戶流量控制。
[0029]具體的用戶訪問控制方法包括以下各個方面:[0030]1.用戶注冊
[0031]用戶在泛在網(wǎng)開放平臺注冊的處理流程如下:
[0032](I)用戶輸入自己注冊的用戶名(UserName)和密碼(Password)���;
[0033](2)泛在網(wǎng)開放平臺檢測輸入合法性后將添加用戶信息添加到用戶表(users)中��;
[0034](3)泛在網(wǎng)開放平臺為該用戶分配一個獨(dú)立的20位APIKey���。
[0035]2.提供資源
[0036]用戶A向泛在網(wǎng)開放平臺提供資源B的處理流程如下:
[0037](I)向權(quán)限表(permissions)中添加資源B相關(guān)的權(quán)限名(Name),具體包括資源B的寫權(quán)限和資源B的讀權(quán)限����;
[0038](2)向角色表(roles)中添加資源B相關(guān)的角色名(Name),具體包括資源B的擁有者和資源B的不同等級使用者���;
[0039](3)向角色權(quán)限表(rolepermissions)中添加資源B的相關(guān)的角色序號(RolelD)����、權(quán)限序號(PermissionID)和使用次數(shù)(Number);
[0040](4)向用戶角色表(userroles)中添加用戶A為資源B的擁有者��。
[0041](5)向用戶流量表(userflow)中添加用戶A對資源B的各種權(quán)限的相關(guān)記錄,具體包括剩余使用次數(shù)(RemainNum)等�����。
[0042]3.申請資源
[0043]用戶C向泛在網(wǎng)開放平臺申請資源B的處理流程如下:
[0044](I)向用戶角色表(userroles)中添加用戶C為資源B的所申請等級的使用者���;
[0045](2)在角色權(quán)限表(rolepermissions)中查詢該角色所擁有的權(quán)限和相關(guān)權(quán)限的使用次數(shù)�;
[0046](3)根據(jù)查詢結(jié)果向用戶流量表(userflow)中添加一條用戶C對資源B的各種權(quán)限的相關(guān)記錄�,具體包括剩余使用次數(shù)(RemainNum)等。
[0047]4.使用資源
[0048]用戶C使用資源B的API的處理流程如下:
[0049](I)在所使用API的request headers中加入用戶C的APIKey,用于泛在網(wǎng)平臺鑒權(quán)�;
[0050](2)泛在網(wǎng)開放平臺根據(jù)收到的APIKey在用戶表(users)中查找對應(yīng)用戶ID ;
[0051](3)根據(jù)查找到的用戶ID在用戶流量表(userflow)查找對應(yīng)權(quán)限的剩余使用次數(shù)(RemainNum)�����,若該值大于0��,則執(zhí)行該API的操作����,并將剩余使用次數(shù)減1�,否則返回錯誤信息���。
[0052]5.流量刷新
[0053]每個流量刷新周期(一般以一天或一月為周期)���,用戶流量表(userflow)的刷新流程如下:
[0054](I)對于用戶表(users)中的每一個用戶,在用戶角色表(userroles)中查詢其所有角色���;
[0055](2)對于(I)中查詢到的每個角色在角色權(quán)限表(rolepermissions)中查詢其所有權(quán)限與使用次數(shù)��,以獲取該用戶所有權(quán)限�;[0056](3)在用戶流量表(userflow)中依次找到對應(yīng)的用戶序號(UserID)和權(quán)限序號(PermissionID),并根據(jù)(2)中查詢到的使用次數(shù)更新剩余流量���。
[0057]本發(fā)明技術(shù)方案提供了一種新的面向多角色的泛在資源用戶訪問控制方法��。該泛在網(wǎng)開放平臺的數(shù)據(jù)庫設(shè)計包括用戶表�����、角色表、權(quán)限表��、用戶角色表、角色權(quán)限表和用戶流量表六個表�,用于存儲用戶-角色-權(quán)限三層架構(gòu)的泛在資源訪問控制規(guī)則。通過各數(shù)據(jù)庫表項之間的依賴關(guān)系�,對用戶不同角色的權(quán)限進(jìn)行統(tǒng)一管理,并實(shí)現(xiàn)用戶流量控制����。當(dāng)用戶向泛在網(wǎng)平臺提供資源、申請資源或者使用資源時�����,需要對數(shù)據(jù)庫相應(yīng)的表進(jìn)行添加���、更新��、查詢等操作��,以實(shí)現(xiàn)用戶對泛在網(wǎng)中的資源訪問控制��。本發(fā)明方法包括多角色信息數(shù)據(jù)庫的設(shè)計和泛在資源訪問控制機(jī)制�����。本發(fā)明中描述的方法能夠很好的適應(yīng)泛在網(wǎng)中用戶多角色與流量控制的場景�����,具有高效率����,可擴(kuò)展的特點(diǎn)。
[0058]相對于現(xiàn)有技術(shù)中的方案���,本發(fā)明的優(yōu)點(diǎn)是:
[0059]1.本發(fā)明中訪問控制機(jī)制采用用戶-角色-權(quán)限三層架構(gòu)�,可實(shí)現(xiàn)單個用戶對應(yīng)多個角色����,擁有眾多不同權(quán)限。
[0060]2.本發(fā)明中使用的流量控制機(jī)制能夠?qū)Σ煌燃壍挠脩魧?shí)現(xiàn)不同的流量限制��,在實(shí)際泛在網(wǎng)開放平臺中具有較高的實(shí)用性����。
[0061]3.本發(fā)明采用的數(shù)據(jù)庫依賴關(guān)系合理,在實(shí)際運(yùn)行中有較高的效率��,并且方便擴(kuò)展�。
【專利附圖】
【附圖說明】
[0062]下面結(jié)合附圖及實(shí)施例對本發(fā)明作進(jìn)一步描述:
[0063]圖1為面向多角色的泛在資源用戶訪問控制時泛在網(wǎng)開放平臺的多角色信息數(shù)據(jù)庫EER圖;
[0064]圖2為面向多角色的泛在資源用戶訪問控制方法的原理圖�����。
【具體實(shí)施方式】
[0065]以下結(jié)合具體實(shí)施例對上述方案做進(jìn)一步說明��。應(yīng)理解����,這些實(shí)施例是用于說明本發(fā)明而不限于限制本發(fā)明的范圍。實(shí)施例中采用的實(shí)施條件可以根據(jù)具體廠家的條件做進(jìn)一步調(diào)整���,未注明的實(shí)施條件通常為常規(guī)實(shí)驗(yàn)中的條件���。
[0066]實(shí)施例
[0067]如圖2所示,本實(shí)施例通過用戶-角色-權(quán)限三層架構(gòu)進(jìn)行具體說明面向多角色的泛在資源用戶訪問控制方法�����,包括用戶向泛在網(wǎng)開放平臺進(jìn)行添加資源����、申請資源、使用資源操作時�����,泛在網(wǎng)開放平臺按照用戶-角色-權(quán)限三層架構(gòu)的次序依次確定發(fā)送操作請求的用戶、用戶的角色��、與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制�,依據(jù)與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制進(jìn)行控制用戶訪問資源。
[0068]一����、數(shù)據(jù)庫設(shè)計
[0069]如圖1所示,當(dāng)用戶在泛在網(wǎng)開放平臺注冊時�,對應(yīng)每一個用戶,泛在網(wǎng)開放平臺會為其分配一個30位的平臺密鑰����。每個用戶的信息包括用戶序號(ID)、用戶名(UserName)���、密碼(Password)和平臺密鑰(APIKey)����,這些信息存儲在如表I所示的用戶表中�。
[0070]
【權(quán)利要求】
1.一種面向多角色的泛在資源用戶訪問控制方法,其特征在于所述方法包括用戶向泛在網(wǎng)開放平臺進(jìn)行添加資源�����、申請資源、使用資源操作時�,泛在網(wǎng)開放平臺按照用戶-角色-權(quán)限三層架構(gòu)的次序依次確定發(fā)送操作請求的用戶、用戶的角色���、與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制,依據(jù)與每個角色綁定的用戶權(quán)限和與相應(yīng)角色每個權(quán)限綁定的流量限制進(jìn)行控制用戶訪問資源的步驟����;其中每個用戶具有若干種角色,每種角色具有若干種權(quán)限�;與用戶角色綁定的每個權(quán)限具有流量限制屬性。
2.根據(jù)權(quán)利要求1所述的泛在資源用戶訪問控制方法�����,其特征在于所述方法中泛在網(wǎng)開放平臺設(shè)置有用戶表����、角色表、權(quán)限表�、用戶角色表、角色權(quán)限表和用戶流量表�����;所述用戶表的信息包括用戶序號(UserlD)、用戶名(UserName)��、密碼(Password)和平臺密鑰(APIKey);所述角色表的信息包括角色序號(RoleID)和角色名(R0IeName);用戶角色表的信息包括用戶序號(UserID)和角色序號(RoleID);角色權(quán)限表的信息包括權(quán)限序號(PermissionID)和權(quán)限名(PermissionName);用戶流量表的信息包括用戶序號(UserlD)����、權(quán)限序號(PermissionID)和剩余次數(shù)(RemainNum)。
3.根據(jù)權(quán)利要求1所述的泛在資源用戶訪問控制方法�,其特征在于所述方法中當(dāng)用戶向泛在網(wǎng)開放平臺提供資源時,按照以下步驟進(jìn)行: (O向用戶權(quán)限表中添加資源相關(guān)的權(quán)限����; (2)向角色表中添加資源相關(guān)的角色,包括該資源的擁有者和不同等級使用者�����; (3)向角色權(quán)限表添加資源相關(guān)的角色序號�、權(quán)限序號和使用次數(shù); (4)向用戶角色表中添加該用戶為資源的擁有者�����。 (5)向用戶流量表中添加用戶對資源的各種權(quán)限的相關(guān)記錄���,包括剩余使用次數(shù)�。
4.根據(jù)權(quán)利要求1所述的泛在資源用戶訪問控制方法,其特征在于所述方法中當(dāng)用戶向泛在網(wǎng)開放平臺申請資源時���,按照以下步驟進(jìn)行: (O向用戶角色表中添加該用戶為該資源的相應(yīng)等級的使用者�; (2)在角色權(quán)限表中查詢該角色所擁有的權(quán)限和相關(guān)權(quán)限的使用次數(shù)�; (3)根據(jù)查詢結(jié)果向用戶流量表中添加該用戶對該資源的各種權(quán)限的相關(guān)記錄,包括剩余使用次數(shù)�����。
5.根據(jù)權(quán)利要求1所述的泛在資源用戶訪問控制方法����,其特征在于所述方法中當(dāng)用戶使用資源時�,按照以下步驟進(jìn)行: (1)用戶向泛在網(wǎng)開放平臺請求使用資源時,在請求數(shù)據(jù)包中加入用戶的APIKey�����,用于泛在網(wǎng)開放平臺鑒權(quán)�����; (2)泛在網(wǎng)開放平臺根據(jù)收到的APIKey在用戶表中查找對應(yīng)用戶ID�; (3)根據(jù)查找到的用戶ID在用戶流量表查找對應(yīng)權(quán)限的剩余使用次數(shù)�,若該值大于0�,則執(zhí)行該API的操作,并將剩余使用次數(shù)減1��,否則返回錯誤信息���。
6.根據(jù)權(quán)利要求1所述的泛在資源用戶訪問控制方法���,其特征在于所述方法還包括泛在網(wǎng)開放平臺在執(zhí)行完一個流量刷新周期后進(jìn)行流量刷新操作,按照如下步驟進(jìn)行: (1)對于用戶表(users)中的每一個用戶�,在用戶角色表(userroles)中查詢其所有角色; (2)對于查詢到的每個角色在角色權(quán)限表(rolepermissions)中查詢其所有權(quán)限與使用次數(shù)�����,獲取該用戶所有權(quán)限��;(3) 在用戶流量表(userflow)中依次找到對應(yīng)的用戶序號(UserID)和權(quán)限序號(PermissionID),并根據(jù)查詢到的使用次數(shù)更新剩余流量��。
【文檔編號】H04L9/32GK103780604SQ201410003952
【公開日】2014年5月7日 申請日期:2014年1月6日 優(yōu)先權(quán)日:2014年1月6日
【發(fā)明者】黃劉生, 楊晨凱, 徐宏力, 冷冰, 許瑞陽 申請人:中國科學(xué)技術(shù)大學(xué)蘇州研究院