【技术实现步骤摘要】
一种基于用户终端认证的授权系统及方法
本专利技术涉及控制
,特别是涉及一种基于用户终端认证的授权系统及方法。
技术介绍
随着物联网的发展和共享模式的产生,使得存储在同一环境中的各个资源通过物联网对多个用户进行资源共享,在共享模式下,企业或者用户可以为其他用户提供多元和个性化的业务,示例性的,共享汽车、共享单车、共享充电宝。共享模式中,用户需要共享某个资源,就必须得到授权。现有技术基于RBAC(Role-BasedAccessControl,角色的权限访问控制)模型提出了授权系统,该授权系统包括:资源管理器和资源控制器。使用该系统对资源进行授权的过程如下:用户终端需要先向资源管理器发送认证请求,该认证请求包括:账号和账号对应的密码,资源管理器对该用户终端进行认证,具体为:给该用户终端的账号配置对应的权限,并将认证结果进行存储,该权限可以是对账号对应的密码进行修改,对资源控制器上的哪些资源可以获取,例如,用户注册过程。资源管理器会实时的从资源控制器获取各个资源的状态,资源的状态为可用或者不可用,当用户终端向资源管理器发送资源请求时,该资源请求会携带账号和密码,资源管理器在验证该账号和密码是否与存储的认证结果相同的同时,会查看该资源是否可用,如果账号和密码是否与存储的认证结果相同且资源可用,则向资源控制器请求该资源,资源控制器将该资源转发给资源管理器后,资源管理器下发给用户终端,示例性的,如共享单车开锁过程。当账号的环境条件发生改变时,例如,账号的登陆地、账号登录的IP地址,账号与资源的距离, ...
【技术保护点】
1.一种基于用户终端认证的授权系统,其特征在于,所述系统包括:资源管理器以及资源控制器,/n所述资源管理器,用于接收用户终端发送的认证请求,所述认证请求中携带有待请求资源的请求使用时间段,并从资源控制器获取所述资源控制器中所存储资源的状态信息,基于所存储资源的状态信息,确定所述所存储资源的可操作时间段,当所述存储资源的可操作时间段中存在包含所述请求使用时间段时,确定与用户终端对应的认证凭证,将所述用户终端对应的认证凭证发送给所述资源控制器;所述认证请求包括:用户终端的信息,所述认证凭证包括:认证列表、用户终端的信息、认证凭证确定时间以及认证凭证到期时间,所述认证列表中记录有待请求资源的请求使用时间段,所述用户终端对所述所存储资源的可操作权限以及对所述所存储资源的进行操作满足的环境条件;/n所述资源控制器,用于接收所述用户终端对应的认证凭证,并将所述用户终端对应的认证凭证进行数字签名,获得用户终端的认证信息,并将所述用户终端的认证信息转发给所述资源管理器,所述认证信息包括:用户终端对应的数字签名以及签名内容,所述签名内容包括:所述认证凭证以及数字签名使用的算法;/n所述资源管理器还用于, ...
【技术特征摘要】 【专利技术属性】
1.一种基于用户终端认证的授权系统,其特征在于,所述系统包括:资源管理器以及资源控制器,
所述资源管理器,用于接收用户终端发送的认证请求,所述认证请求中携带有待请求资源的请求使用时间段,并从资源控制器获取所述资源控制器中所存储资源的状态信息,基于所存储资源的状态信息,确定所述所存储资源的可操作时间段,当所述存储资源的可操作时间段中存在包含所述请求使用时间段时,确定与用户终端对应的认证凭证,将所述用户终端对应的认证凭证发送给所述资源控制器;所述认证请求包括:用户终端的信息,所述认证凭证包括:认证列表、用户终端的信息、认证凭证确定时间以及认证凭证到期时间,所述认证列表中记录有待请求资源的请求使用时间段,所述用户终端对所述所存储资源的可操作权限以及对所述所存储资源的进行操作满足的环境条件;
所述资源控制器,用于接收所述用户终端对应的认证凭证,并将所述用户终端对应的认证凭证进行数字签名,获得用户终端的认证信息,并将所述用户终端的认证信息转发给所述资源管理器,所述认证信息包括:用户终端对应的数字签名以及签名内容,所述签名内容包括:所述认证凭证以及数字签名使用的算法;
所述资源管理器还用于,接收转发的用户终端的认证信息,并将所述认证信息发送给对应的用户终端,当接收到用户终端发送的授权请求时,判断第一信息与第二信息是否相同,当所述第一信息与所述第二信息相同,所述用户终端的环境参数满足所述认证凭证中对资源进行操作满足的环境条件,且所述请求使用时间段未过期时,将所述授权请求转发给所述资源控制器,所述授权请求携带有用户终端的信息以及所述认证信息,所述第一信息为所述授权请求中携带的认证信息中的认证凭证中的用户终端的信息,所述第二信息为所述授权请求中携带的用户终端的信息;
所述资源控制器还用于,接收所述授权请求,将所述授权请求中携带的认证信息中的认证凭证,按照所述认证信息的签名内容中的数字签名使用的算法进行数字签名,获得待定数字签名,当所述待定数字签名与所述授权请求中携带的认证信息中的数字签名相同,对所述授权请求进行响应,并将对所述授权请求进行响应的信息发送给所述资源管理器;
所述资源管理器还用于,接收所述资源控制器对所述授权请求进行响应的信息,并将该信息转发至用户终端。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括:消息队列遥测传输MQTT服务器,所述MQTT服务器用于转发所述资源管理器与所述资源控制器之间的交互信息,所述交互信息包括:所述用户终端对应的认证凭证、所述用户终端的认证信息,所述资源控制器对所述授权请求进行响应的信息。
3.根据权利要求1所述的系统,其特征在于,所述资源管理器,具体用于:
接收用户终端发送的认证请求,并从所述资源控制器中获取所述资源控制器中所存储资源在当前时间后预设时段内的状态信息;
针对当前认证请求,基于所述所存储资源在当前时间后预设时段内的状态信息,确定所存储资源当前时间后预设时段内的可操作时间段,当所述存储资源的可操作时间段中存在包含当前请求使用时间段时,将所述待请求资源的请求使用时间段、所述用户终端对所述所存储资源的可操作权限以及对所述所存储资源的进行操作满足的环境条件,加入预设的列表中,获得认证列表,所述当前认证请求中携带有当前待请求资源的当前请求使用时间段;
将所述认证列表,以及所述当前认证请求中携带的用户终端的信息,确定为与用户终端对应的认证凭证;
将所述用户终端对应的认证凭证发送给所述资源控制器。
4.根据权利要求1所述的系统,其特征在于,所述资源控制器,具体用于:
接收所述资源管理器发送的所述用户终端对应的认证凭证;
对所述认证凭证进行数字签名,获得用户终端的认证信息,使得认证信息的第一字段包括对所述认证凭证进行数字签名所使用的算法以及该认证信息的类型,认证信息的第二字段包含所述认证凭证所包含的信息,所述认证信息的第三字段包括:用户终端对应的数字签名;
将所述用户终端的认证信息转发给所述资源管理器。
5.根据权利要求1所述的系统,其特征在于,所述资源管理器,具体用于:
将所述第一信息的哈希值与所述第二信息的哈希值进行比较,判断第一信息与第一信息是否相同。
技术研发人员:孙溢,林昭文,郑旭,蔡晓红,张引,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。