一种基于用户终端认证的授权系统及方法技术方案

本发明专利技术实施例提供了一种基于用户终端认证的授权系统及方法，该系统中的资源管理器接收用户终端发送的认证请求，当所存储资源的可操作时间段中存在包含请求使用时间段的存储资源时，确定与用户终端对应的认证凭证。资源控制器，将用户终端对应的认证凭证进行数字签名，获得用户终端的认证信息。当用户终端向资源管理器发送授权请求时，资源管理器在用户终端携带的用户终端信息与授权请求的用户终端信息相同，并且用户终端的环境参数满足认证凭证中对资源进行操作满足的环境条件时，向资源控制器发送授权请求，资源控制器验证认证凭证的数字签名与待定数字签名相同时，生成授权请求进行响应的信息。因此，该系统能够实现动态授权。

An authorization system and method based on user terminal authentication

【技术实现步骤摘要】
一种基于用户终端认证的授权系统及方法
本专利技术涉及控制
，特别是涉及一种基于用户终端认证的授权系统及方法。
技术介绍
随着物联网的发展和共享模式的产生，使得存储在同一环境中的各个资源通过物联网对多个用户进行资源共享，在共享模式下，企业或者用户可以为其他用户提供多元和个性化的业务，示例性的，共享汽车、共享单车、共享充电宝。共享模式中，用户需要共享某个资源，就必须得到授权。现有技术基于RBAC(Role-BasedAccessControl，角色的权限访问控制)模型提出了授权系统，该授权系统包括：资源管理器和资源控制器。使用该系统对资源进行授权的过程如下：用户终端需要先向资源管理器发送认证请求，该认证请求包括：账号和账号对应的密码，资源管理器对该用户终端进行认证，具体为：给该用户终端的账号配置对应的权限，并将认证结果进行存储，该权限可以是对账号对应的密码进行修改，对资源控制器上的哪些资源可以获取，例如，用户注册过程。资源管理器会实时的从资源控制器获取各个资源的状态，资源的状态为可用或者不可用，当用户终端向资源管理器发送资源请求时，该资源请求会携带账号和密码，资源管理器在验证该账号和密码是否与存储的认证结果相同的同时，会查看该资源是否可用，如果账号和密码是否与存储的认证结果相同且资源可用，则向资源控制器请求该资源，资源控制器将该资源转发给资源管理器后，资源管理器下发给用户终端，示例性的，如共享单车开锁过程。当账号的环境条件发生改变时，例如，账号的登陆地、账号登录的IP地址，账号与资源的距离，账号访问资源的时间，需要开发人员验证该账号是否被盗，当账号没有被盗的情况下，开发人员人为在后台去修改该账号对应的权限，才能使得使用该账号的用户终端能够获取资源，该种授权无法根据环境的变化而进行动态的授权。
技术实现思路
本专利技术实施例的目的在于提供一种基于用户终端认证的授权系统及方法，以实现对用户终端进行动态授权。具体技术方案如下：第一方面，本专利技术实施例提供了一种基于用户终端认证的授权系统，该系统包括：资源管理器以及资源控制器，资源管理器，用于接收用户终端发送的认证请求，认证请求中携带有待请求资源的请求使用时间段，并从资源控制器获取资源控制器中所存储资源的状态信息，基于所存储资源的状态信息，确定所存储资源的可操作时间段，当存储资源的可操作时间段中存在包含请求使用时间段时，确定与用户终端对应的认证凭证，将用户终端对应的认证凭证发送给资源控制器；认证请求包括：用户终端的信息，认证凭证包括：认证列表、用户终端的信息、认证凭证确定时间以及认证凭证到期时间，认证列表中记录有待请求资源的请求使用时间段，用户终端对所存储资源的可操作权限以及对所存储资源的进行操作满足的环境条件；资源控制器，用于接收用户终端对应的认证凭证，并将用户终端对应的认证凭证进行数字签名，获得用户终端的认证信息，并将用户终端的认证信息转发给资源管理器，认证信息包括：用户终端对应的数字签名以及签名内容，签名内容包括：认证凭证以及数字签名使用的算法；资源管理器还用于，接收转发的用户终端的认证信息，并将认证信息发送给对应的用户终端，当接收到用户终端发送的授权请求时，判断第一信息与第二信息是否相同，当第一信息与第二信息相同，用户终端的环境参数满足认证凭证中对资源进行操作满足的环境条件，且请求使用时间段未过期时，将授权请求转发给资源控制器，授权请求携带有用户终端的信息以及认证信息，第一信息为授权请求中携带的认证信息中的认证凭证中的用户终端的信息，第二信息为授权请求中携带的用户终端的信息；资源控制器还用于，接收授权请求，将授权请求中携带的认证信息中的认证凭证，按照认证信息的签名内容中的数字签名使用的算法进行数字签名，获得待定数字签名，当待定数字签名与授权请求中携带的认证信息中的数字签名相同，对授权请求进行响应，并将对授权请求进行响应的信息发送给资源管理器；资源管理器还用于，接收资源控制器对授权请求进行响应的信息，并将该信息转发至用户终端。可选的，本专利技术第一方面实施例提供的基于用户终端认证的授权系统还包括：消息队列遥测传输MQTT服务器，MQTT服务器用于转发资源管理器与资源控制器之间的交互信息，交互信息包括：用户终端对应的认证凭证、用户终端的认证信息，资源控制器对授权请求进行响应的信息。可选的，资源管理器，具体用于：接收用户终端发送的认证请求，并从资源控制器中获取资源控制器中所存储资源在当前时间后预设时段内的状态信息；针对当前认证请求，基于所存储资源在当前时间后预设时段内的状态信息，确定所存储资源当前时间后预设时段内的可操作时间段，当存储资源的可操作时间段中存在包含当前请求使用时间段时，将待请求资源的请求使用时间段、用户终端对所存储资源的可操作权限以及对所存储资源的进行操作满足的环境条件，加入预设的列表中，获得认证列表，当前认证请求中携带有当前待请求资源的当前请求使用时间段；将认证列表，以及当前认证请求中携带的用户终端的信息，确定为与用户终端对应的认证凭证；将用户终端对应的认证凭证发送给资源控制器。可选的，资源控制器，具体用于：接收资源管理器发送的用户终端对应的认证凭证；对认证凭证进行数字签名，获得用户终端的认证信息，使得认证信息的第一字段包括对认证凭证进行数字签名所使用的算法以及该认证信息的类型，认证信息的第二字段包含认证凭证所包含的信息，认证信息的第三字段包括：用户终端对应的数字签名；将用户终端的认证信息转发给资源管理器。可选的，资源管理器，具体用于：将第一信息的哈希值与第二信息的哈希值进行比较，判断第一信息与第一信息是否相同。第二方面，本专利技术实施例提供了一种基于用户终端认证的授权方法，应用于本专利技术第一方面实施例提供的基于用户终端认证的授权系统，该方法包括：资源管理器接收用户终端发送的认证请求，并从资源控制器获取资源控制器中所存储资源的状态信息，基于所存储资源的状态信息，确定所存储资源的可操作时间段，当存储资源的可操作时间段中存在包含请求使用时间段时，确定与用户终端对应的认证凭证，将用户终端对应的认证凭证发送给资源控制器；认证请求中携带有待请求资源的请求使用时间段，认证请求包括：用户终端的信息以及请求信息，认证凭证包括：认证列表、用户终端的信息、认证凭证确定时间以及认证凭证到期时间，认证列表中记录有用户终端对所存储资源的可操作权限以及对所存储资源的进行操作满足的环境条件；资源控制器接收用户终端对应的认证凭证，并将用户终端对应的认证凭证进行数字签名，获得用户终端的认证信息，并将用户终端的认证信息转发给资源管理器，认证信息包括：用户终端对应的数字签名以及签名内容，签名内容包括：认证凭证以及数字签名使用的算法；资源管理器接收转发的用户终端的认证信息，并将认证信息发送给对应的用户终端，当接收到用户终端发送的授权请求时，判断第一信息与第二信息是否相同，当第一信息与第二信息相同，用户终端的环境参数满足认证凭证中对本文档来自技高网...

【技术保护点】
1.一种基于用户终端认证的授权系统，其特征在于，所述系统包括：资源管理器以及资源控制器，/n所述资源管理器，用于接收用户终端发送的认证请求，所述认证请求中携带有待请求资源的请求使用时间段，并从资源控制器获取所述资源控制器中所存储资源的状态信息，基于所存储资源的状态信息，确定所述所存储资源的可操作时间段，当所述存储资源的可操作时间段中存在包含所述请求使用时间段时，确定与用户终端对应的认证凭证，将所述用户终端对应的认证凭证发送给所述资源控制器；所述认证请求包括：用户终端的信息，所述认证凭证包括：认证列表、用户终端的信息、认证凭证确定时间以及认证凭证到期时间，所述认证列表中记录有待请求资源的请求使用时间段，所述用户终端对所述所存储资源的可操作权限以及对所述所存储资源的进行操作满足的环境条件；/n所述资源控制器，用于接收所述用户终端对应的认证凭证，并将所述用户终端对应的认证凭证进行数字签名，获得用户终端的认证信息，并将所述用户终端的认证信息转发给所述资源管理器，所述认证信息包括：用户终端对应的数字签名以及签名内容，所述签名内容包括：所述认证凭证以及数字签名使用的算法；/n所述资源管理器还用于，接收转发的用户终端的认证信息，并将所述认证信息发送给对应的用户终端，当接收到用户终端发送的授权请求时，判断第一信息与第二信息是否相同，当所述第一信息与所述第二信息相同，所述用户终端的环境参数满足所述认证凭证中对资源进行操作满足的环境条件，且所述请求使用时间段未过期时，将所述授权请求转发给所述资源控制器，所述授权请求携带有用户终端的信息以及所述认证信息，所述第一信息为所述授权请求中携带的认证信息中的认证凭证中的用户终端的信息，所述第二信息为所述授权请求中携带的用户终端的信息；/n所述资源控制器还用于，接收所述授权请求，将所述授权请求中携带的认证信息中的认证凭证，按照所述认证信息的签名内容中的数字签名使用的算法进行数字签名，获得待定数字签名，当所述待定数字签名与所述授权请求中携带的认证信息中的数字签名相同，对所述授权请求进行响应，并将对所述授权请求进行响应的信息发送给所述资源管理器；/n所述资源管理器还用于，接收所述资源控制器对所述授权请求进行响应的信息，并将该信息转发至用户终端。/n...

【技术特征摘要】
1.一种基于用户终端认证的授权系统，其特征在于，所述系统包括：资源管理器以及资源控制器，
所述资源管理器，用于接收用户终端发送的认证请求，所述认证请求中携带有待请求资源的请求使用时间段，并从资源控制器获取所述资源控制器中所存储资源的状态信息，基于所存储资源的状态信息，确定所述所存储资源的可操作时间段，当所述存储资源的可操作时间段中存在包含所述请求使用时间段时，确定与用户终端对应的认证凭证，将所述用户终端对应的认证凭证发送给所述资源控制器；所述认证请求包括：用户终端的信息，所述认证凭证包括：认证列表、用户终端的信息、认证凭证确定时间以及认证凭证到期时间，所述认证列表中记录有待请求资源的请求使用时间段，所述用户终端对所述所存储资源的可操作权限以及对所述所存储资源的进行操作满足的环境条件；
所述资源控制器，用于接收所述用户终端对应的认证凭证，并将所述用户终端对应的认证凭证进行数字签名，获得用户终端的认证信息，并将所述用户终端的认证信息转发给所述资源管理器，所述认证信息包括：用户终端对应的数字签名以及签名内容，所述签名内容包括：所述认证凭证以及数字签名使用的算法；
所述资源管理器还用于，接收转发的用户终端的认证信息，并将所述认证信息发送给对应的用户终端，当接收到用户终端发送的授权请求时，判断第一信息与第二信息是否相同，当所述第一信息与所述第二信息相同，所述用户终端的环境参数满足所述认证凭证中对资源进行操作满足的环境条件，且所述请求使用时间段未过期时，将所述授权请求转发给所述资源控制器，所述授权请求携带有用户终端的信息以及所述认证信息，所述第一信息为所述授权请求中携带的认证信息中的认证凭证中的用户终端的信息，所述第二信息为所述授权请求中携带的用户终端的信息；
所述资源控制器还用于，接收所述授权请求，将所述授权请求中携带的认证信息中的认证凭证，按照所述认证信息的签名内容中的数字签名使用的算法进行数字签名，获得待定数字签名，当所述待定数字签名与所述授权请求中携带的认证信息中的数字签名相同，对所述授权请求进行响应，并将对所述授权请求进行响应的信息发送给所述资源管理器；
所述资源管理器还用于，接收所述资源控制器对所述授权请求进行响应的信息，并将该信息转发至用户终端。


2.根据权利要求1所述的系统，其特征在于，所述系统还包括：消息队列遥测传输MQTT服务器，所述MQTT服务器用于转发所述资源管理器与所述资源控制器之间的交互信息，所述交互信息包括：所述用户终端对应的认证凭证、所述用户终端的认证信息，所述资源控制器对所述授权请求进行响应的信息。


3.根据权利要求1所述的系统，其特征在于，所述资源管理器，具体用于：
接收用户终端发送的认证请求，并从所述资源控制器中获取所述资源控制器中所存储资源在当前时间后预设时段内的状态信息；
针对当前认证请求，基于所述所存储资源在当前时间后预设时段内的状态信息，确定所存储资源当前时间后预设时段内的可操作时间段，当所述存储资源的可操作时间段中存在包含当前请求使用时间段时，将所述待请求资源的请求使用时间段、所述用户终端对所述所存储资源的可操作权限以及对所述所存储资源的进行操作满足的环境条件，加入预设的列表中，获得认证列表，所述当前认证请求中携带有当前待请求资源的当前请求使用时间段；
将所述认证列表，以及所述当前认证请求中携带的用户终端的信息，确定为与用户终端对应的认证凭证；
将所述用户终端对应的认证凭证发送给所述资源控制器。


4.根据权利要求1所述的系统，其特征在于，所述资源控制器，具体用于：
接收所述资源管理器发送的所述用户终端对应的认证凭证；
对所述认证凭证进行数字签名，获得用户终端的认证信息，使得认证信息的第一字段包括对所述认证凭证进行数字签名所使用的算法以及该认证信息的类型，认证信息的第二字段包含所述认证凭证所包含的信息，所述认证信息的第三字段包括：用户终端对应的数字签名；
将所述用户终端的认证信息转发给所述资源管理器。


5.根据权利要求1所述的系统，其特征在于，所述资源管理器，具体用于：
将所述第一信息的哈希值与所述第二信息的哈希值进行比较，判断第一信息与第一信息是否相同。

【专利技术属性】
技术研发人员：孙溢，林昭文，郑旭，蔡晓红，张引，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11