CN101616126A - 实现数据访问权限控制的方法、装置及系统 - Google Patents
实现数据访问权限控制的方法、装置及系统 Download PDFInfo
- Publication number
- CN101616126A CN101616126A CN200810028976A CN200810028976A CN101616126A CN 101616126 A CN101616126 A CN 101616126A CN 200810028976 A CN200810028976 A CN 200810028976A CN 200810028976 A CN200810028976 A CN 200810028976A CN 101616126 A CN101616126 A CN 101616126A
- Authority
- CN
- China
- Prior art keywords
- data
- type
- sign
- application server
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种实现数据访问权限控制的方法、装置及系统,所述方法包括:接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。采用本发明实施例,对应用服务器的访问权限实现基于业务类型的权限控制,可避免应用服务器对用户签约数据的非法访问或者误操作访问,提高了数据的安全性。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种实现数据访问权限控制的方法、装置及系统。
背景技术
IMS(IP Multimedia Subsystem,IP多媒体子系统)是3GPP(Third GenerationPartnership Projects,第三代伙伴组织计划)提出的支持IP多媒体业务的子系统,它的核心特点是通过SIP(Session Initiation Protocol,会话初始协议)实现IP多媒体业务的建立、维护及管理等功能,允许运营商快速、高效地部署多媒体业务,而不依赖于网络的接入方式和终端设备的类型。
IMS中主要的功能实体包括控制用户注册、会话等功能的呼叫会话控制实体CSCF(Call Session Control Function,呼叫会话控制功能)、集中管理用户签约数据的HSS(Home Subscriber Server,归属用户服务器)以及提供各种业务逻辑控制功能的AS(Application Server,应用服务器)。其中,AS和HSS之间是基于Diameter协议的Sh接口,通过该接口传递数据访问请求和数据请求结果。
在IMS网络中,用户签约数据集中统一保存在HSS中,AS通过Sh接口对存放在HSS上的用户签约数据进行访问。按照数据的存取处理方式,用户签约数据可分为透明数据和非透明数据两类。其中,AS的用户业务签约数据以透明数据的方式存放在HSS中,透明数据的含义是:AS存放在HSS上的,HSS只理解其语法而不理解其语义的数据,由AS完成对所述数据的解析、封装和处理。一块透明数据作为一个整体在Sh接口上进行传输,HSS根据访问请求实现整存整取操作,不对透明数据进行任何的改变和转换。
在现有技术中,运用AS的访问权限控制策略来实现对不同的非透明数据和透明数据实施不同的访问权限。具体地,在HSS中预先配置AS访问权限表,维护记录AS对用户签约数据的访问权限。AS访问权限表包含多项权限配置信息,每项权限配置信息记录一个AS对应于一种数据类型的用户签约数据的访问权限,包含的标识信息如下:
AS ID:应用服务器标识,用于标识应用服务器的身份;
DataRef:AS请求的数据类型参考,不同的DataRef值标识不同的数据类型,其中,DataRef取值0或者20时,代表透明数据。
Permission:允许的访问权限,取值Sh-Pull、Sh-Update、Sh-Subs-Notif以及它们的任意组合,其中Sh-Pull是指查询操作、Sh-Update是指更新操作(包括新增、修改和删除)、Sh-Subs-Notif是指订阅操作。
AS ID和DataRef联合作为索引字段,指向其所对应的访问权限。
在一项配置信息中,Permission的取值限定了AS ID所标识的应用服务器对DataRef所标识的数据类型所具有的访问权限。例如,在一项权限配置信息中,AS ID标识为AS1,DataRef取值为0,Permission为Sh-Pull和Sh-Update,则表明AS1对任何透明数据都具有查询和更新的权限。
发明人在实施本发明的过程中,发现上述现有的数据访问权限控制方法具有如下缺点:
当用户签订的业务是由不同的AS来实现时,每个AS由于实现的业务不同,需要访问的透明数据也不同,其所配置的权限也应该不同。而且,在AS的业务数据共享的场景下,尤其是归属网络AS业务数据共享给第三方AS的情况下,HSS必须实现对不同的AS执行不同的访问权限策略,保证一个AS仅能访问业务相关的用户业务签约数据。然而,现有技术提供的访问权限控制是基于数据类型分配访问权限的,也就是说,一个AS的访问权限只是和所要访问的数据类型有关,例如,当AS的访问权限配置信息是允许访问透明数据的话,那么所述AS可以访问任何透明数据,而不论该透明数据是实现何种业务的。因此,现有的技术方案不能控制一个AS仅能访问与自身业务相关的数据,从而导致AS对数据的非法访问或者误操作访问。
发明内容
本发明实施例提供一种实现数据访问权限控制的方法、装置及系统,对应用服务器的访问权限实现基于业务类型的权限控制。
为解决上述技术问题,本发明实施例提供了一种实现数据访问权限控制的方法,包括:
接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;
根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
相应地,本发明实施例还提供了一种数据访问权限控制装置,包括:
接收模块,用于接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
访问控制模块,用于根据所述访问用户签约数据的请求消息中的所述标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;
响应模块,根据所述访问控制模块所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
相应地,本发明实施例还提供了一种数据访问装置,包括:
请求单元,用于发送携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
请求响应接收单元,用于接收所述访问用户签约数据的请求消息的接收方在确定所要进行访问的应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限后,发送的对所述访问用户签约数据的请求消息的响应消息。
相应地,本发明实施例还提供了一种实现数据访问权限控制的系统,包括数据访问权限控制装置和数据访问装置;
所述数据访问装置用于向所述数据访问权限控制装置发起携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
所述数据访问权限控制装置用于接收携带标识信息的访问用户签约数据的请求消息,根据所述标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限,根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
实施本发明提供的实现数据访问权限控制的方法、装置及系统,具有如下有益效果:
通过配置基于业务类型分配访问权限的访问权限信息,使应用服务器对不同业务类型的用户业务签约数据具有不同的访问权限,对应用服务器的访问权限实现基于业务类型的权限控制。
附图说明
图1是本发明实施例提供的实现数据访问权限控制的系统的一个实施例的组成示意图;
图2是本发明实施例提供的数据访问权限控制装置的组成示意图;
图3是本发明实施例提供的数据访问装置的组成示意图;
图4是本发明实施例提供的实现数据访问权限控制的系统的另一实施例的组成示意图;
图5是本发明实施例提供的实现数据访问权限控制的方法的第一实施例的流程示意图;
图6是本发明实施例提供的实现数据访问权限控制的方法的第二实施例的流程示意图;
图7是本发明实施例提供的实现数据访问权限控制的方法的第三实施例的流程示意图;
图8是本发明实施例提供的实现数据访问权限控制的方法的第四实施例的流程示意图;
图9是本发明实施例提供的实现数据访问权限控制的方法的第五实施例的流程示意图。
具体实施方式
参见图1,是本发明实施例提供的实现数据访问权限控制的系统的一个实施例的组成示意图,所述系统包括数据访问权限控制装置和至少一个数据访问装置,所述数据访问装置用于向所述数据访问权限控制装置发起携带有标识信息的访问请求消息,请求访问用户签约数据,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;所述数据访问权限控制装置用于接收携带标识信息的访问用户签约数据的访问请求消息,根据所述标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限,根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的访问请求消息进行响应。为方便说明,下面以图1示出的数据访问权限控制装置1和数据访问装置2为例。
具体地,如图2所示,所述数据访问权限控制装置1包括:
接收模块11,用于接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
访问控制模块12,用于根据所述接收模块11接收到的访问用户签约数据的请求消息中的标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;
响应模块13,根据所述访问控制模块12所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
进一步的,所述访问控制模块12包括访问权限维护单元121和查询单元122;其中,所述访问权限维护单元121用于保存预先配置的基于业务类型的访问权限信息,所述访问权限信息记录应用服务器对数据类型标识和业务类型标识所联合指示的用户签约数据的访问权限;所述查询单元122用于联合所述应用服务器标识、数据类型标识以及业务类型标识作为索引字段,查找所述访问权限信息以确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限。
所述访问权限信息作为运营商的一种基于业务类型的细粒度访问权限控制策略,以访问权限表的形式保存在数据访问权限控制装置中,所述访问权限表包含至少一项权限配置信息,每项权限配置信息对应一个应用服务器,记录该应用服务器对应于数据类型标识和业务类型标识联合指示的某种用户签约数据的访问权限。具体地,访问权限表的每项权限配置信息包含以下参数项:
应用服务器标识,用于标识应用服务器的身份;
数据类型标识,用于标识用户签约数据的数据类型,其中,数据类型标识取值为0或者20时,分别指示透明数据(0)和aliases透明数据(20),其它取值为非透明数据。数据类型标识的取值参见3GPP协议标准29.328中的DataRef,在此不再赘述。
业务类型标识,用于标识用户签约数据的业务类型。由于应用服务器的与业务相关的数据,即用户业务签约数据,均以透明数据的形式存放在归属用户服务器中,因此,当数据类型标识取值为透明数据(0)或者aliases透明数据(20)时,业务类型标识可参与访问权限控制,用于进一步指示透明数据的业务类型,以区分不同业务类型的用户业务签约数据。
权限信息,表示所述应用服务器标识所对应的应用服务器,对所述数据类型标识和所述业务类型标识联合指示的用户签约数据的访问权限,包括查询权、更新权、订阅权,以及它们的任意组合。
参见图3,具体地,所述数据访问装置2包括请求单元21和请求响应接收单元22;
所述请求单元21用于发送携带标识信息的访问用户签约数据的请求消息,所述标识信息包括应用服务器标识、数据类型标识和业务类型标识;其中,所述应用服务器标识用于指示所要进行访问的应用服务器的身份,所述数据类型标识用于指示所要访问的用户签约数据的数据类型,所述业务类型标识用于指示所要访问的用户业务签约数据的业务类型。
所述请求响应接收单元22用于接收所述访问用户签约数据的请求消息的接收方,在确定所要进行访问的应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限后,发送的对所述访问用户签约数据的请求消息的响应消息。
在具体实现中,所述数据访问权限控制装置为归属用户服务器HSS,所述数据访问装置为应用服务器AS。参见图4,是本发明提供的实现数据访问权限控制的系统的另一个实施例,所述系统包括归属用户服务器HSS和至少一个应用服务器AS,AS和HSS之间是基于Diameter协议的Sh接口,AS通过Sh接口对存放在HSS上的用户签约数据进行访问。具体地,HSS和AS之间的信息交互,以及HSS对AS的权限控制处理如下:
AS向HSS发起访问请求消息,请求访问存放在HSS中的用户签约数据。所述访问请求消息中携带的标识信息包括应用服务器标识、数据类型标识和业务类型标识,各个标识信息的含义如下:
应用服务器标识,用于指示进行数据访问的应用服务器的身份。
在AS向HSS发起的访问用户签约数据的请求消息中,所述应用服务器标识可以使用消息中的一个参数信息来标识,若所要进行访问的应用服务器为所述访问请求消息的发送者,所述应用服务器标识还可以使用所述访问请求消息的发送者的地址信息或者所述访问请求消息的发送者的地址信息的映射来表示,例如,所述地址信息可以是IP地址。
数据类型标识,用于指示所要访问的用户签约数据的数据类型。若所述数据类型标识的取值为0或者20,则表明应用服务器请求访问用户业务签约数据(即透明数据);否则表明应用服务器请求访问非透明数据。
业务类型标识,用于指示所要访问的用户签约数据的业务类型。由于应用服务器的用户业务签约数据均以透明数据的形式存放在归属用户服务器中,因此,当应用服务器请求访问的数据类型为透明数据时,业务类型标识可用于进一步指示透明数据的业务类型,即表明所要访问的用户业务签约数据的业务类型。
HSS接收到AS发起的访问请求消息后,联合访问请求消息中的应用服务器标识、数据类型标识和业务类型标识作为索引字段,从自身保存的基于业务类型分配访问权限的访问权限表中,查找与所述索引字段相对应的权限配置信息项,确定所述AS对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限。
所述HSS根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的访问请求消息进行响应,包括:若所述访问权限不允许,则向所述AS返回响应消息指示权限不允许;否则执行所述访问权限所允许的数据访问操作,完成本次访问请求,并向所述AS返回访问操作结果。
本发明实施例提供的实现数据访问权限控制的装置及系统,执行基于业务类型的细粒度访问权限控制策略,通过预先配置基于业务类型分配访问权限的访问权限信息,实现应用服务器对不同业务类型的用户业务签约数据具有不同的访问权限,避免了应用服务器对用户签约数据的非法访问或者误操作访问,提高了数据的安全性。
参见表1,是本发明实施例提供的实现数据访问权限控制的系统的访问权限表的第一实施例。
在本发明实施例中,所述访问权限表维护记录透明数据和非透明数据的访问权限,可对透明数据实现基于业务类型的权限控制。
表1访问权限表的第一实施例
| 应用服务器AS ID | 数据类型DataRef | 业务类型ServiceIndicaton | 权限信息Permission |
| AS1 | 10 | Sh-Pull,Sh-Subs-Notif | |
| AS2 | 19 | Sh-Pull,Sh-Update,Sh-Subs-Notif | |
| AS1 | 0 | SInd1 | Sh-Pull,Sh-Subs-Notif |
| AS2 | 20 | SInd2 | Sh-Update |
如表1所示的访问权限表的第一实施例,权限配置信息包含以下参数项:
应用服务器标识AS ID,用于标识应用服务器的身份;在本实施例中,AS1标识应用服务器1,AS2标识应用服务器2;
数据类型标识DataRef,用于标识用户签约数据的数据类型;在本实施例中,DataRef的取值为0和20时,指示透明数据;DataRef的取值为10和19时,指示非透明数据;
业务类型标识ServiceIndication,标识用户签约数据的业务类型,由于应用服务器的与业务相关的数据,即用户业务签约数据,均以透明数据的形式存放在归属用户服务器中,因此,当数据类型标识取值为透明数据(0)或者aliases透明数据(20)时,业务类型标识可参与访问权限控制,用于进一步指示透明数据的业务类型,以区分不同业务类型的用户业务签约数据。在本实施例中,SInd1、SInd2分别指示两种不同业务类型的用户签约数据;
权限信息Permission,取值可以是查询权、更新权和订阅权,以及它们的任意组合。其中,Sh-Pull标识查询权、Sh-Update标识更新权、Sh-Subs-Notif标识订阅权。
当DataRef的取值指示非透明数据时,ServiceIndication不参与访问权限控制,Permission参数项表示AS ID指示的应用服务器,对DataRef指示的非透明数据的访问权限,与现有技术的非透明数据的访问权限控制的方法兼容。
当DataRef的取值指示透明数据时,即取值为0或20时,ServiceIndication可参与访问权限控制,Permission参数项表示AS ID指示的应用服务器,对DataRef及ServiceIndication联合指示的业务类型的透明数据的访问权限。
如表1所示的访问权限表的第一实施例,维护记录的权限配置信息如下:
第一项权限配置信息维护记录应用服务器AS1对非透明数据(10)具有查询权和订阅权;
第二项权限配置信息维护记录应用服务器AS2对非透明数据(19)具有查询权、更新权和订阅权;
第三项权限配置信息维护记录AS1对SInd1业务类型的透明数据(0)具有查询权和订阅权;
第四项权限配置信息维护记录AS2对SInd2业务类型的aliases透明数据(20)具有更新权。
需要说明的是,上述仅以配置四种数据类型的用户签约数据的访问权限为例进行说明,访问权限表并不局限于本实施例中给出的一张表,还可以是存储访问权限信息的一组表。
本发明实施例提供的访问权限表配置在归属用户服务器中,对透明数据的访问权限实现基于业务类型的权限控制,同时,并不改变现有技术的对非透明数据的访问权限控制的方法。
参见表2,是本发明实施例提供的实现数据访问权限控制的系统的访问权限表的第二实施例。
应用服务器的用户业务签约数据以透明数据的方式存放在归属用户服务器中,对于一个用户而言,签约的业务越多,透明数据就越多。当用户签订的业务需要由多个应用服务器来实现时,由于每个应用服务器实现的业务不同,从归属用户服务器上访问的透明数据是截然不同的。而且在应用服务器的业务数据共享的场景下,尤其是在归属网络应用服务器业务数据共享给第三方的应用服务器的情况下,归属用户服务器必须增强透明数据访问权限控制,实现对不同的应用服务器执行不同的访问权限策略,保证一个应用服务器仅能访问业务相关的透明数据。
在本发明实施例中,所述访问权限表维护记录用户业务签约数据(透明数据)的访问权限,并根据应用服务器所实现的业务不同,配置应用服务器具有访问与自身业务相关的用户业务签约数据的权限。
如表2所示的访问权限表的第二实施例,仅作为例子进行说明,本发明的访问权限表并不局限于此。
表2访问权限表的第二实施例
| 应用服务器AS ID | 数据类型DataRef | 业务类型ServiceIndicaton | 权限信息Permission |
| AS1 | 0 | SInd1 | Sh-Pull,Sh-Subs-Notif |
| AS1 | 0 | SInd2 | Sh-Pull,Sh-Update,Sh-Subs-Notif |
| AS2 | 0 | SInd1 | Sh-Pull,Sh-Update,Sh-Subs-Notif |
| AS2 | 0 | SInd2 |
如表2所示,维护记录的权限配置信息如下:
第一项权限配置信息维护记录应用服务器AS1对SInd1业务类型的透明数据具有查询权和订阅权;
第二项权限配置信息维护记录应用服务器AS1对SInd2业务类型的透明数据具有查询权、更新权和订阅权;
第三项权限配置信息维护记录应用服务器AS2对SInd1业务类型的透明数据具有查询权、更新权和订阅权;
第四项权限配置信息维护记录应用服务器AS2对SInd2业务类型的透明数据不具有任何访问权限。
当用户签订的SInd1业务是由AS2来实现时,上述访问权限表配置AS2对SInd1业务类型的透明数据具有全部访问权限,而对SInd2业务类型的透明数据不具有任何的访问权限,可达到控制AS2仅能访问与自身业务相关的用户业务签约数据的目的。
在归属网络应用服务器业务数据共享给第三方的应用服务器的情况下,例如,SInd1业务类型的透明数据共享给AS1,上述访问权限表配置AS1对SInd1业务类型的透明数据仅具有查询权和订阅权,而不具有更新权,以此可达到限制第三方应用服务器对共享数据的访问权限的目的。
本发明实施例,配置应用服务器具有访问与自身业务相关的透明数据,避免了应用服务器对透明数据的非访问或者误操作访问,提高了数据的安全性。
参见图5,是本发明实施例提供的实现数据访问权限控制的方法的第一实施例的流程示意图。
S100,接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
在IMS网络中,用户签约数据统一保存在HSS中,AS通过基于Diameter协议的Sh接口实现对存放在HSS上的用户签约数据的访问。其中,在AS向HSS发起的访问用户签约数据的请求消息中,所述应用服务器标识可以使用消息中的一个参数信息来标识,若所要进行访问的应用服务器为所述访问请求消息的发送者,所述应用服务器标识还可以使用所述访问请求消息的发送者的地址信息或者所述访问请求消息的发送者的地址信息的映射来表示,例如,所述地址信息可以是IP地址。
S101,根据所述标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;
在HSS中预先配置基于业务类型分配访问权限的访问权限信息,具体为:配置访问权限表,所述访问权限表包含至少一项权限配置信息,每项权限配置信息对应一个应用服务器,维护记录该应用服务器对数据类型标识和业务类型标识联合指示的用户签约数据的访问权限。所述每项权限配置信息包含以下参数项:
应用服务器标识,用于标识应用服务器的身份;
数据类型标识,用于标识用户签约数据的数据类型,其中,数据类型标识取值为0或者20时,分别指示透明数据(0)和aliases透明数据(20),其它取值为非透明数据。数据类型标识的取值参见3GPP协议标准29.328中的DataRef,在此不再赘述。
业务类型标识,用于标识用户签约数据的业务类型。由于应用服务器的用户业务签约数据均以透明数据的形式存放在归属用户服务器中,因此,当数据类型标识取值为透明数据(0)或者aliases透明数据(20)时,业务类型标识可参与访问权限控制,用于进一步指示透明数据的业务类型,以区分不同业务类型的用户签约数据。
权限信息,所述应用服务器标识对应的应用服务器,对所述数据类型标识和所述业务类型标识联合指示的业务类型的用户业务签约数据的访问权限,包括有查询权、更新权、订阅权,以及它们的任意组合。
在所述访问权限信息中,还可根据应用服务器所实现的业务不同,配置应用服务器具有访问与自身业务相关的数据的权限。例如,应用服务器AS1实现语音类业务,则可以在权限配置信息项中,配置AS1仅能访问语音类业务的用户业务签约数据,对于其它业务类型的用户业务签约数据不具有任何访问权限,以此可限定应用服务器对用户业务签约数据的访问权限,防止应用服务器对用户业务签约数据的非法访问或者误操作访问。
所述HSS接收到访问请求消息后,联合访问请求消息中的应用服务器标识、数据类型标识和业务类型标识作为索引字段,从自身保存的访问权限信息中,查找与所述索引字段相对应的权限配置信息项,确定所述应用服务器标识指示的应用服务器,对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限。
S102,根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。其中,若所述访问权限不允许,则向所述进行访问的应用服务器返回响应消息指示权限不允许;否则执行所述访问权限所允许的数据访问操作,完成本次访问请求,并向所述进行访问的应用服务器返回访问操作结果。
本发明实施例提供的实现数据访问权限控制的方法,预先配置基于业务类型分配访问权限的访问权限信息,维护记录应用服务器对对数据类型标识和业务类型标识联合指示的用户签约数据的访问权限,对应用服务器的访问权限实现基于业务类型的权限控制;而且还可通过在访问权限信息中,配置应用服务器具有访问与自身业务相关的用户业务签约数据的权限,避免了应用服务器对用户签约数据的非法访问或者误操作访问,提高了数据的安全性。
参见图6,是本发明实施例提供的实现数据访问权限控制的方法的第二实施例的流程示意图。
在本发明实施例中,以应用服务器AS1请求查询归属用户服务器HSS中的SInd1业务类型的透明数据(以下简称透明数据SInd1)和SInd2业务类型的透明数据(以下简称透明数据SInd2)为例进行说明,AS1对透明数据的访问权限如表2所示,AS1和HSS之间的消息交互,以及HSS的权限控制处理流程如下:
S200,AS1向HSS发送携带标志信息的Sh-Pull访问请求消息,请求查询透明数据SInd1和透明数据SInd2。所述标志信息包括应用服务器标识AS ID、数据类型标识DataRef和业务类型标识Service Indication,其中,AS ID的值为AS1,一组DataRef的值为0、ServiceIndication的值为SInd1,指示AS1所要进行访问的用户签约数据为透明数据SInd1;另一组DataRef的值为0、ServiceIndication的值为SInd2,指示AS1所要访问的用户签约数据为透明数据SInd2;
S201,HSS接收到AS1的访问请求消息后,分别使用标识信息AS1、0、SInd1为索引字段从透明数据访问权限表中查询AS1对透明数据SInd1的访问权限;使用标识信息AS1、0、SInd2为索引字段从透明数据访问权限表中查询AS1对透明数据SInd2的访问权限;
S202,HSS确定AS1是否具有查询透明数据SInd1和透明数据SInd2的权限;
HSS通过查询透明数据访问权限表(参见表2),确定AS1具有查询透明数据SInd1和SInd2的权限;
S203,访问权限允许,HSS执行查询访问操作,查询透明数据SInd1和透明数据SInd2,并通过响应消息Sh-Pull Resp将查询结果返回给AS1。
参见图7,是本发明实施例提供的实现数据访问权限控制的方法的第三实施例的流程示意图。
在本发明实施例中,以应用服务器AS2请求查询归属用户服务器HSS中的透明数据SInd1和透明数据SInd2为例进行说明,AS2对透明数据的访问允许权限如表2所示,AS2和HSS之间的消息交互以及HSS的权限控制处理流程如下:
S300,AS2向HSS发送携带标志信息的Sh-Pull访问请求消息,请求查询透明数据SInd1和透明数据SInd2。所述标志信息包括应用服务器标识AS ID、数据类型标识DataRef和业务类型标识Service Indication,AS ID的值为AS2,其中一组DataRef的值为0、ServiceIndication的值为SInd1;另一组DataRef的值为0、Service Indication的值为SInd2;
S301,HSS接收到AS2的访问请求消息后,分别使用标识信息AS2、0、SInd1为索引字段从透明数据访问权限表中查询AS2对透明数据SInd1的访问权限;使用标识信息AS2、0、SInd2为索引字段从透明数据访问权限表中查询AS2对透明SInd2的访问权限;
S302,HSS确定AS2是否具有查询透明数据SInd1和透明数据SInd2的权限;
HSS通过查询透明数据访问权限表(参见表2),确定AS2具有查询透明数据SInd1的权限,执行S304;同时,确定AS2不具有查询透明数据SInd2的权限,则执行S303;
S303,HSS向AS2返回Sh-Pull Resp消息,指示AS2不具有查询透明数据SInd2的权限;
S304,HSS执行查询访问操作,查询透明数据SInd1,并通过Sh-Pull Resp消息将查询结果返回给AS2。
参见图8,是本发明实施例提供的实现数据访问权限控制的方法的第四实施例的流程示意图。
在本发明实施例中,以应用服务器AS1请求更新归属用户服务器HSS中的透明数据SInd1为例进行说明,AS1对透明数据的访问允许权限如表2所示,AS1和HSS之间的消息交互以及HSS的权限控制处理流程如下:
S400,AS1向HSS发送携带标志信息的Sh-Update访问请求消息,请求更新透明数据SInd1。所述标志信息包括应用服务器标识AS ID、数据类型标识DataRef和业务类型标识Service Indication,其中,AS ID的值为AS1,DataRef的值为0、Service Indication的值为SInd1,指示AS1所要访问的用户签约数据为透明数据SInd1;
S401,HSS接收到AS1的访问请求消息后,使用标识信息AS1、0、SInd1为索引字段从透明数据访问权限表中查询AS1对透明数据SInd1的访问权限;
S402,HSS确定AS1是否具有更新透明数据SInd1的权限;
HSS通过查询透明数据访问权限表(参见表2),确定AS1不具有更新透明数据SInd1的权限;
S403,访问权限不允许,HSS向AS1返回Sh-Update Resp消息,指示AS1不具有更新透明数据SInd1的权限;
参见图9,是本发明实施例提供的实现数据访问权限控制的方法的第五实施例的流程示意图。
在本发明实施例中,以应用服务器AS2请求订阅归属用户服务器HSS中的透明数据SInd2为例进行说明,AS2对透明数据的访问允许权限如表2所示,AS2和HSS之间的消息交互以及HSS的处理流程包括以下步骤:
S500,AS2向HSS发送携带标志信息的Sh-Subs-Notif访问请求消息,请求订阅透明数据SInd2。所述标志信息包括应用服务器标识AS ID、数据类型标识DataRef和业务类型标识Service Indication,其中,AS ID的值为AS2,DataRef的值为0、Service Indication的值为SInd2,指示AS2所要访问的用户签约数据为透明数据SInd2;
S501,HSS接收到AS2的访问请求消息后,使用标识信息AS2、0、SInd1为索引字段从透明数据访问权限表中查询AS2对透明数据SInd2的访问权限;
S502,HSS判断AS2是否具有订阅透明数据SInd2的权限;
HSS通过查询透明数据访问权限表(参见表2),确定AS2不具有订阅透明数据SInd2的权限;
S503,访问权限不允许,HSS向AS2返回Sh-Subs-Notif Resp消息,指示AS2不具有订阅透明数据SInd2的权限;
本发明实施例提供的实现数据访问权限控制的方法、装置及系统,通过配置基于业务类型分配访问权限的访问权限信息,使应用服务器对不同业务类型的用户业务签约数据具有不同的访问权限,对应用服务器的访问权限实现基于业务类型的权限控制;而且还可通过在访问权限信息中,配置应用服务器具有访问与自身业务相关的用户业务签约数据的权限,避免了应用服务器对用户签约数据的非法访问或者误操作访问,提高了数据的安全性。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (13)
1、一种实现数据访问权限控制的方法,其特征在于,包括:
接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;
根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
2、如权利要求1所述的实现数据访问权限控制的方法,其特征在于,该方法进一步包括:预先配置基于业务类型的访问权限信息,所述访问权限信息记录应用服务器对数据类型标识和业务类型标识所联合指示的用户签约数据的访问权限。
3、如权利要求2所述的实现数据访问权限控制的方法,其特征在于,所述预先配置基于业务类型的访问权限信息具体为:配置访问权限表,所述访问权限表包含至少一项权限配置信息,所述权限配置信息包含以下参数项:
应用服务器标识,标识应用服务器的身份;
数据类型标识,用以标识用户签约数据的数据类型;
业务类型标识,用以标识用户签约数据的业务类型;
权限信息,用以表示所述应用服务器标识对应的应用服务器,对所述数据类型标识及所述业务类型标识联合指示的用户签约数据的访问权限。
4、如权利要求3所述的实现数据访问权限控制的方法,其特征在于,所述确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限包括:
联合所述应用服务器标识、数据类型标识以及业务类型标识作为索引字段,查找所述访问权限表;
确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限。
5、如权利要求1所述的实现数据访问权限控制的方法,其特征在于,若所要进行访问的应用服务器为所述访问请求消息的发送者,则所述应用服务器标识包括所述访问请求消息的发送者的地址信息或者所述访问请求消息的发送者的地址信息的映射。
6、如权利要求1所述的实现数据访问权限控制的方法,其特征在于,所述根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应包括:若所述访问权限为不允许,则向所述应用服务器返回响应消息指示权限不允许;否则执行所述访问权限所允许的访问操作,并向所述应用服务器返回访问操作结果。
7、一种数据访问权限控制装置,其特征在于,包括:
接收模块,用于接收携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
访问控制模块,用于根据所述访问用户签约数据的请求消息中的所述标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限;
响应模块,根据所述访问控制模块所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
8、如权利要求7所述的数据访问权限控制装置,其特征在于,所述访问控制模块包括:
访问权限维护单元,用于保存预先配置的基于业务类型的访问权限信息,所述访问权限信息记录应用服务器对数据类型标识和业务类型标识所联合指示的用户签约数据的访问权限;
查询单元,用于联合所述应用服务器标识、数据类型标识以及业务类型标识作为索引字段,查找所述访问权限信息以确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限。
9、如权利要求7所述的数据访问权限控制装置,其特征在于,所述装置为归属用户服务器HSS。
10、一种数据访问装置,其特征在于,包括:
请求单元,用于发送携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
请求响应接收单元,用于接收所述访问用户签约数据的请求消息的接收方在确定所要进行访问的应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限后,发送的对所述访问用户签约数据的请求消息的响应消息。
11、如权利要求10所述的数据访问装置,其特征在于,所述装置为应用服务器AS。
12、一种实现数据访问权限控制的系统,其特征在于,包括数据访问权限控制装置和数据访问装置;
所述数据访问装置用于向所述数据访问权限控制装置发起携带标识信息的访问用户签约数据的请求消息,其中,所述标识信息包括所要进行访问的应用服务器的标识、所要访问的用户签约数据的数据类型标识和业务类型标识;
所述数据访问权限控制装置用于接收携带标识信息的访问用户签约数据的请求消息,根据所述标识信息,确定所述应用服务器对所述数据类型标识和业务类型标识联合指示的用户签约数据的访问权限,根据所确定的用户签约数据的访问权限,对所述访问用户签约数据的请求消息进行响应。
13、如权利要求12所述的实现数据访问权限控制的系统,其特征在于,所述数据访问权限控制装置为归属用户服务器HSS,所述数据访问装置为应用服务器AS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810028976A CN101616126A (zh) | 2008-06-23 | 2008-06-23 | 实现数据访问权限控制的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810028976A CN101616126A (zh) | 2008-06-23 | 2008-06-23 | 实现数据访问权限控制的方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101616126A true CN101616126A (zh) | 2009-12-30 |
Family
ID=41495538
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810028976A Pending CN101616126A (zh) | 2008-06-23 | 2008-06-23 | 实现数据访问权限控制的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101616126A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196012A (zh) * | 2010-03-17 | 2011-09-21 | 华为技术有限公司 | 服务开放方法及系统、服务开放服务器 |
| CN102663316A (zh) * | 2012-03-02 | 2012-09-12 | 浪潮集团山东通用软件有限公司 | 一种可配置的数据权限实现方法 |
| CN101794366B (zh) * | 2010-01-26 | 2012-10-03 | 恒生电子股份有限公司 | 一种核心业务系统访问权限控制方法和设备 |
| WO2012129868A1 (zh) * | 2011-03-29 | 2012-10-04 | 海尔集团公司 | 终端通信的控制方法和装置、以及管理服务器 |
| CN103166911A (zh) * | 2011-12-09 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 一种版本管理服务器权限管理方法和设备 |
| CN103179126A (zh) * | 2013-03-26 | 2013-06-26 | 山东中创软件商用中间件股份有限公司 | 一种访问控制方法及装置 |
| CN103620616A (zh) * | 2013-03-28 | 2014-03-05 | 华为技术有限公司 | 一种访问控制权限管理方法和装置 |
| CN104268478A (zh) * | 2014-09-22 | 2015-01-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种多系统终端的数据交互方法及装置 |
| CN104426887A (zh) * | 2013-09-04 | 2015-03-18 | 华为技术有限公司 | 业务权限确定方法和装置 |
| CN105787381A (zh) * | 2014-12-26 | 2016-07-20 | 北大医疗信息技术有限公司 | 数据访问控制方法及装置 |
| CN106067881A (zh) * | 2016-06-24 | 2016-11-02 | 泰康保险集团股份有限公司 | 基于os/400的数据安全访问控制方法、装置及系统 |
| CN107231335A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
| CN108737371A (zh) * | 2018-04-08 | 2018-11-02 | 努比亚技术有限公司 | Hive数据访问控制方法、服务器及计算机存储介质 |
| CN109829271A (zh) * | 2018-12-27 | 2019-05-31 | 深圳云天励飞技术有限公司 | 鉴权方法及相关产品 |
| CN112115175A (zh) * | 2020-09-21 | 2020-12-22 | 成都知道创宇信息技术有限公司 | 云服务产品处理方法和装置、电子设备及存储介质 |
| CN112445783A (zh) * | 2020-12-16 | 2021-03-05 | 中国联合网络通信集团有限公司 | 一种用于数据库更新的方法、装置和服务器 |
-
2008
- 2008-06-23 CN CN200810028976A patent/CN101616126A/zh active Pending
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101794366B (zh) * | 2010-01-26 | 2012-10-03 | 恒生电子股份有限公司 | 一种核心业务系统访问权限控制方法和设备 |
| US9124578B2 (en) | 2010-03-17 | 2015-09-01 | Huawei Technologies Co., Ltd. | Service opening method and system, and service opening server |
| WO2011113314A1 (zh) * | 2010-03-17 | 2011-09-22 | 华为技术有限公司 | 服务开放方法及系统、服务开放服务器 |
| CN102196012A (zh) * | 2010-03-17 | 2011-09-21 | 华为技术有限公司 | 服务开放方法及系统、服务开放服务器 |
| CN102196012B (zh) * | 2010-03-17 | 2013-08-07 | 华为技术有限公司 | 服务开放方法及系统、服务开放服务器 |
| US8584231B2 (en) | 2010-03-17 | 2013-11-12 | Huawei Technologies Co., Ltd. | Service opening method and system, and service opening server |
| WO2012129868A1 (zh) * | 2011-03-29 | 2012-10-04 | 海尔集团公司 | 终端通信的控制方法和装置、以及管理服务器 |
| CN102724165A (zh) * | 2011-03-29 | 2012-10-10 | 海尔集团公司 | 终端通信的控制方法和装置、以及管理服务器 |
| CN103166911A (zh) * | 2011-12-09 | 2013-06-19 | 阿里巴巴集团控股有限公司 | 一种版本管理服务器权限管理方法和设备 |
| CN102663316A (zh) * | 2012-03-02 | 2012-09-12 | 浪潮集团山东通用软件有限公司 | 一种可配置的数据权限实现方法 |
| CN102663316B (zh) * | 2012-03-02 | 2016-06-08 | 浪潮通用软件有限公司 | 一种可配置的数据权限实现方法 |
| CN103179126A (zh) * | 2013-03-26 | 2013-06-26 | 山东中创软件商用中间件股份有限公司 | 一种访问控制方法及装置 |
| WO2014153759A1 (zh) * | 2013-03-28 | 2014-10-02 | 华为技术有限公司 | 一种访问控制权限管理方法和装置 |
| CN103620616B (zh) * | 2013-03-28 | 2016-03-09 | 华为技术有限公司 | 一种访问控制权限管理方法和装置 |
| CN103620616A (zh) * | 2013-03-28 | 2014-03-05 | 华为技术有限公司 | 一种访问控制权限管理方法和装置 |
| CN104426887A (zh) * | 2013-09-04 | 2015-03-18 | 华为技术有限公司 | 业务权限确定方法和装置 |
| CN104426887B (zh) * | 2013-09-04 | 2018-06-19 | 华为技术有限公司 | 业务权限确定方法和装置 |
| CN104268478A (zh) * | 2014-09-22 | 2015-01-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种多系统终端的数据交互方法及装置 |
| CN104268478B (zh) * | 2014-09-22 | 2017-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种多系统终端的数据交互方法及装置 |
| CN105787381A (zh) * | 2014-12-26 | 2016-07-20 | 北大医疗信息技术有限公司 | 数据访问控制方法及装置 |
| CN107231335A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
| CN106067881A (zh) * | 2016-06-24 | 2016-11-02 | 泰康保险集团股份有限公司 | 基于os/400的数据安全访问控制方法、装置及系统 |
| CN106067881B (zh) * | 2016-06-24 | 2019-11-08 | 泰康保险集团股份有限公司 | 基于os/400的数据安全访问控制方法、装置及系统 |
| CN108737371A (zh) * | 2018-04-08 | 2018-11-02 | 努比亚技术有限公司 | Hive数据访问控制方法、服务器及计算机存储介质 |
| CN109829271A (zh) * | 2018-12-27 | 2019-05-31 | 深圳云天励飞技术有限公司 | 鉴权方法及相关产品 |
| CN109829271B (zh) * | 2018-12-27 | 2021-07-20 | 深圳云天励飞技术有限公司 | 鉴权方法及相关产品 |
| CN112115175A (zh) * | 2020-09-21 | 2020-12-22 | 成都知道创宇信息技术有限公司 | 云服务产品处理方法和装置、电子设备及存储介质 |
| CN112115175B (zh) * | 2020-09-21 | 2023-04-28 | 成都知道创宇信息技术有限公司 | 云服务产品处理方法和装置、电子设备及存储介质 |
| CN112445783A (zh) * | 2020-12-16 | 2021-03-05 | 中国联合网络通信集团有限公司 | 一种用于数据库更新的方法、装置和服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101616126A (zh) | 实现数据访问权限控制的方法、装置及系统 | |
| CN101931619B (zh) | 可插入的联系解析 | |
| US9300739B2 (en) | Method and device for sharing objects in service groups of CPNS enabler | |
| EP3493485B1 (en) | Method, apparatus and system for notification | |
| CN102113405A (zh) | 针对个人网络服务配置的方法和针对个人网络服务配置的系统 | |
| CN102469440B (zh) | 用户数据迁移方法、系统和装置 | |
| US20090137227A1 (en) | Federated Virtual Network of Communications Services | |
| CN101860534A (zh) | 网络切换方法、系统及接入设备、认证服务器 | |
| CN102340767B (zh) | 呼叫状态能力开放的实现方法和系统 | |
| US9537960B2 (en) | Multi-operator telecommunication distribution of service content | |
| CN101809982A (zh) | 互联网协议多媒体子系统中的呼叫计费和计费信息路由 | |
| EP2790426B1 (en) | Method and system for enabling an Aggregation/Authentication Proxy to route XCAP messages to IMS Application Server | |
| CN101662547A (zh) | 实现融合地址簿业务信息通知的方法及装置 | |
| JP2008148198A (ja) | 通信制御装置、方法、及び通信端末 | |
| CN100581137C (zh) | 限制用户设备接入的方法及mgc和cscf | |
| CN101018238A (zh) | 用户标识系统及注册、业务和路由配置方法 | |
| US20050267984A1 (en) | Method and apparatus for interoperability and relay for WV and IMS group management services | |
| CN109769242A (zh) | 通信方法、系统、MMTel以及计算机可读存储介质 | |
| CN101127774B (zh) | 初始过滤规则的优先级处理方法 | |
| CN101090510B (zh) | 实现一号多机的通信设备及方法 | |
| CN101282388A (zh) | 电话系统和网关设备 | |
| CN100353720C (zh) | 实现媒体流旁路的方法 | |
| CN101964728B (zh) | 一种dpi设备注册的方法和系统 | |
| CN102164404B (zh) | 个人网络系统及其业务实现方法 | |
| JP2021153316A (ja) | 携帯端末、システム、アクセス方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20091230 |