CN114329290A - 能力开放平台及其授权访问方法 - Google Patents
能力开放平台及其授权访问方法 Download PDFInfo
- Publication number
- CN114329290A CN114329290A CN202111536946.6A CN202111536946A CN114329290A CN 114329290 A CN114329290 A CN 114329290A CN 202111536946 A CN202111536946 A CN 202111536946A CN 114329290 A CN114329290 A CN 114329290A
- Authority
- CN
- China
- Prior art keywords
- platform
- capability
- capacity
- service
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种能力开放平台及其授权访问方法,能力开放平台的授权访问办法包括:第三方应用发起授权登录请求;能力开放平台允许授权,生成授权临时票据,能力开放平台附带授权临时票据重定位到所述第三方应用;基于授权临时票据、客户端唯一标识和客户端密码通过API换取访问令牌;第三方应用基于访问令牌进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作。本申请公开的能力开放平台及能力开放平台的授权访问方法,通过构建能力开放平台实现了“网上国网”中台能力对外开放,且基于Oauth2.0开放标准,结合国家密码局认定的国产密码算法,实现了能力开放平台动态校验权限,提高了能力开放平台授权访问过程的安全性。
Description
技术领域
本申请涉及电力技术领域,特别涉及一种能力开放平台及能力开放平台的授权访问方法。
背景技术
近年来,国网公司大力推进“互联网+”战略,打造客户聚合、业务融通、开放共享的互联网服务平台,实现全业务线上办理、全天候一站式“网上国网”服务。随着“网上国网”推广应用及中台服务能力建设,“网上国网”中台能力具备了向多渠道能力开放的技术基础,而“网上国网”中台能力对外开放需要通过构建能力开放平台来实现。
而能力开放平台的客户端和服务端的交互方式是分离的、基于RESTful的HTTP。在客户端发起HTTP请求,当请求到达网关时,服务端将对客户端的处理请求进行数据处理,在处理完成之后,将响应结果封装后返回给客户端,而客户端收到服务端的响应后,通过数据解析,最终将响应结果渲染到用户界面上。现有的技术方案是基于将Spring Boot、SpringCloud,Spring Security等组件进行有机结合的,在进行认证与鉴权的时候,不能动态地校验用户权限,且安全性较低。
发明内容
(一)申请目的
基于此,为了实现“网上国网”中台能力对外开放而构建能力开放平台,同时为了能够动态的校验权限,提高能力开放平台授权访问过程的安全性,本申请公开了以下技术方案。
(二)技术方案
本申请公开了一种能力开放平台,所述能力开放平台包括:
开发者网站模块,用于向开发者用户提供能力开放服务并允许所述开发者用户进行应用开发;
能力开放服务模块,用于将第三方应用接口进行接入和集成,对国网系统进行服务的封装、提供和管理,并统一管控所述能力开放平台内部的能力接口;
平台能力接入模块,用于接入能力开放平台的各类能力并进行存放管理;
能力开放管理模块,用于对所述能力开放平台进行信息管理,并对所述开发者网站模块、所述能力开放服务模块和所述平台能力接入模块进行开放管理。
在一种可能的实施方式中,所述开发者网站模块包括:
开发者中心单元,用于为所述开发者网站模块提供服务;
资源中心单元,用于为所述开发者网站模块提供资源;
应用管理单元,用于使所述开发者用户接入所述能力开放平台并控制所述能力开放平台进行能力开放服务;
服务市场单元,用于集合第三方服务的服务应用。
在一种可能的实施方式中,所述能力开放服务模块包括:
应用管控单元,用于管控接入能力开放平台的第三方应用;
接口能力管控单元,用于对所述能力开放平台的接口能力进行集成管控;
策略控制单元,用于对所述能力开放平台进行流量控制和配额控制;
异常处理单元,用于处理所述能力开放平台的异常;
数据采集单元,用于采集所述能力开放平台的数据;
安全控制单元,用于保证所述第三方应用访问所述能力开饭平台的安全;
服务管控单元,用于为所述能力开放平台提供服务管控能力。
在一种可能的实施方式中,所述应用管控单元基于OAuth2.0为第三方应用进行验证和授权,接入的所述第三方应用通过登录授权层所用的令牌,在权限范围和有效期内进行注册登录,并根据所述第三方应用类型的不同进行授权验证。
在一种可能的实施方式中,通过所述平台能力接入模块接入的能力包括系统能力、业务能力、运营能力和第三方能力。
在一种可能的实施方式中,所述能力开放平台还包括:
测试技术支持服务模块,用于对所述能力开放平台的用户接入应用提供分级分类的测试技术支持服务。
作为本申请的第二方面,本申请还公开了一种能力开放平台的授权访问方法,其特征在于,包括:
第三方应用向能力开放管理模块发起授权登录能力开放平台的请求;
所述能力开放管理模块允许授权,并生成授权临时票据,所述能力开放平台附带所述授权临时票据重定位到所述第三方应用;
所述能力开放管理模块基于所述授权临时票据、客户端唯一标识和客户端密码通过所述能力开放平台的API换取访问令牌;
所述第三方应用基于所述访问令牌通过能力开放服务模块进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作。
在一种可能的实施方式中,授权访问方法基于Oauth2.0,且授权访问过程中利用国密算法对数据进行加密,具体为:
客户端生成SM4公钥并利用所述SM4公钥对授权请求报文进行加密生成加密请求体;
利用服务端的SM2公钥加密所述客户端SM4公钥生成加密密钥;
将所述加密请求体、所述加密密钥和当前响应时间戳按序拼接后利用SM3算法生成加密请求验签信息。
在一种可能的实施方式中,所述能力开放管理模块接收到所述三方应用的授权请求时,会发放客户端唯一标识、客户端密码和授权回调页面。
在一种可能的实施方式中,在所述第三方应用基于所述访问令牌通过能力开放服务模块进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作的过程中,国网返回的响应报文返回到所述第三方应用时需进行解密,具体包括:
利用SM3的公钥对所述加密请求验签信息进行验签,获取加密响应体、响应时间戳、响应秘钥;
利用客户端的SM2私钥解密所述SM4的响应秘钥;
利用解密后的SM4的响应秘钥解密加密响应体。
在一种可能的实施方式中,授权请求报文和响应报文均使用application/json格式。
在一种可能的实施方式中,所述第三方应用向国网用户发起授权登录能力开放平台的请求,具体为:客户端请求认证Authorization,并调用方法SmHttpRequestHandler.postHttpRequestForAuthorize。
(三)有益效果
本申请公开的能力开放平台及能力开放平台的授权访问方法,通过构建能力开放平台实现了“网上国网”中台能力对外开放,且基于Oauth2.0开放标准,结合国家密码局认定的国产密码算法,实现了能力开放平台动态校验权限,提高了能力开放平台授权访问过程的安全性。
附图说明
以下参考附图描述的实施例是示例性的,旨在用于解释和说明本申请,而不能理解为对本申请的保护范围的限制。
图1是本申请公开的能力开放平台的平台架构图。
图2是本申请公开的能力开放平台授权访问方法的流程示意图。
具体实施方式
为使本申请实施的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。
下面参考图1详细描述本申请公开的能力开放平台实施例。本实施例公开的能力开放平台包括:
开发者网站模块,用于向开发者用户提供能力开放服务并允许所述开发者用户进行应用开发。
具体的,开发者用户包括省市公司、直属单位、外埠企业、个人开发者等具有开发能力的用户,开发者网站模块具有营销、支撑、接入、转出、运营等多种软能力,提供注册或登录、开发者中心、文档管理、资讯管理、案例管理、应用中心、服务市场、统计查询、学习中心、帮助中心、开发者社区等多项功能。
进一步,开发者用户通过创建应用的方式接入“网上国网”当前的电商侧电e宝、积分、光伏、综合能源、商城等平台各项产品,并基于对行业及业务场景的理解开发应用,创造满足市场需要的解决方案,同时支持用户上传自有应用、小程序、H5等进行展示、管理和运营,满足用户浏览、开发者使用、管理者维护等功能目标。
在至少一种实施方式中,所述开发者网站模块包括:开发者中心单元、资源中心单元、应用管理单元、服务市场单元、学习中心、开发者社区、帮助中心、统计查询单元和合作展示单元。
开发者中心单元,用于为所述开发者网站模块提供服务。
其中,服务具体包括:面向开发者用户提供的支付管理、密钥管理、消息中心等功能,从而实现开发者用户对支付付费、密钥查看及修改、消息接收及查看等功能。
具体的,支付管理可满足平台内购买软件、API付费等需要,包括支付记录查询、支付方式设置、支付方式变更等,用户通过支付管理查询支付信息、设置或变更支付方式等,支持按照支付类型、支付时间等条件对支付记录进行筛选查看。
密钥管理功能是能力开放平台提供用户接口产品时,保障用户接入安全,包括密钥生成、保存、备份、更新、恢复、查询等密钥服务,用户可根据实际业务需求选择合适的签名方式并进行相应配置。
消息中心接收系统发送的通知消息,包括系统返回的审核通过或未通过、服务到期提醒、上线发布通知等,提醒用户及时处理。
资源中心单元,用于为所述开发者网站模块提供资源。
其中,所述资源包括文档资源和工具资源,资源中心单元对平台所有资源进行集中展示,满足开发者用户对资源的查询、下载、使用等需求。
具体的,文档资源即为按照能力开放产品分类并给出相应文档说明,包括平台入门、产品API文档、产品文档、开发工具文档、开发服务文档等,
进一步,提供文档资源还包括文档展示查询功能和文档检索功能,文档展示查询功能即按照列表展示文档资源,提供权限范围内的检索、查看、下载、打印、修改、签入签出、文件重命名、复制、移动、删除、推荐和收藏等功能,满足文档资源使用需求;文档检索功能需支持用户输入关键词进行模糊检索,从而得出较多的检索结果和模糊查询结果供用户查看,搜索栏下显示热门检索记录或推荐产品,达到更好的宣传效果和使用体验。
应用管理单元,用于使所述开发者用户接入所述能力开放平台并控制所述能力开放平台进行能力开放服务。
具体的,应用管理单元面向开发者用户提供开发者接入、能力开放产品服务、测试管理等功能,支持用户快速获取平台业务、进行小程序开发、微应用嵌入等。
其中,开发者接入功能需要为开发者提供应用接入、接口接入服务的入口,配套提供接入流程、说明文档、接入工具等,满足快速开发、平台入驻、能力接入等需求。
能力开放产品服务是对网上国网输出的API进行集成管理,为开放平台用户和提供能力支持。开放的能力主要包括系统能力、业务能力、运营能力和第三方能力四类。
需面向开发者用户提供测试管理功能,协助开发者进行接口功能开发及主要功能联调,模拟开放平台部分产品的主要功能和主要逻辑,提供沙箱环境配置(ID、网关、密钥)、沙箱工具使用、配套测试账号、沙箱使用说明等一些列沙箱功能,支撑用户查看、组合和调试开放接口,完成调试。
服务市场单元,用于集合第三方服务的服务应用。
具体的,服务市场是所有第三方服务产品的集合,主要集合第三方服务的API、功能包及其他服务应用等,用户在服务市场挑选应用、接口,并利用以上服务对自有程序进行改造开发,实现更多业务价值。
学习中心,用于支持所述能力开放平台的高质量教学活动。
具体的,能力开放平台运营方或开发者制作标准化教学视频上传到开放平台学习中心,供用户在线观看、学习、评论、收藏、转发。
开发者社区,用于社区用户进行浏览、分享和管理,并进行访问量统计。
具体的,开发者社区用户主要包含三个用户模块,一为游客模块,二为普通用户模块,三为管理员管理模块,满足三类用户对社区的浏览、分享和管理需求,并进行访问量统计。
帮助中心,用于基于客服中心为客户进行客户服务。
具体的,帮助中心以客服中心为基础进行建设,基于语音识别、语音合成、语义理解等技术,实现业务的咨询办理、智能导航、人工客服等客户服务。
统计查询单元,用于对所述能力开放平台的运营信息进行统计展示。
具体的,统计查询单元满足对能力开放平台相关运营信息的统计、生成、发布及前端展示需求,支持按照应用、能力、开发者、时间等多个维度对运营信息进行统计展现。另外还提供报表展示界面,支持饼状图、柱状图、折线图等多种形式的报表展现;提供对统计结果进行保存、打印的功能。
合作展示单元,用于进行资讯展示和合作展示。
具体的,合作展示单元用于提供资讯展示和合作展示功能,主要提供能力开放应用及相关解决方案的案例,使更多用户了解行业成功案例或本产品的具体应用场景,页面展位由后台进行管理发布。
其中,资讯展示功能,供用户观看、了解行业资讯或产品相关信息,资讯展示通过轮播图形式展示,包括最新活动、市场解读、学习培训通知等当前热点资讯,由后台操纵前台进行资讯信息管理,达到宣传推广、聚集人气的作用。
平台展示合作伙伴图标功能,主要提供能力开放应用及相关解决方案的案例,使更多用户了解行业成功案例或本产品的具体应用场景。页面展位由后台进行管理发布。
能力开放服务模块,用于将第三方应用接口进行接入和集成,对国网系统进行服务的封装、提供和管理,并统一管控所述能力开放平台内部的能力接口。
具体的,能力开放服务模块包括:应用管控单元、接口能力管控单元、策略控制单元、异常处理单元、数据采集单元、安全控制单元和服务管控单元。
其中,应用管控单元,用于管控接入能力开放平台的第三方应用;
具体的,在至少一种实施方式中,应用管控单元基于OAuth2.0为第三方应用进行验证和授权,接入的所述第三方应用通过登录授权层所用的令牌,在权限范围和有效期内进行注册登录,并根据所述第三方应用类型的不同进行授权验证。
接口能力管控单元,用于对所述能力开放平台的接口能力进行集成管控。
具体的,接口能力管控单元对能力开放平台的接口能力实现能力集成管控功能,包括能力接入和生命周期管理。
其中,能力接入实现内部渠道和第三方合作伙伴应用能力调用,并按照能力分类进行归类分组,实现API定义,包括API的编码,API名称,API的分组,API的用途描述,API的缓存,安全等基本控制信息,API接口的访问路径以及API的输入和输出信息等,在API接口定义完成后进行API接口服务的注册、测试,对接口服务调用的输入参数进行结构化展示。
生命周期管理支持API的查询、状态管理、监控管理、版本管理、策略管理等功能。
策略控制单元,用于对所述能力开放平台进行流量控制和配额控制。
其中,流量控制功能能防止短时间内服务被大量的调用所导致的资源被消耗殆尽,造成服务停用或者宕机。根据单位时间访问次数、并发数峰值进行控制。对于超出流量度量指标的调用,支持采用多种应对措施加以处理。
配额控制功能是针对应用发起调用的次数的管控,按业务需求分为总请求次数控制或成功请求次数控制等口径提供根据应用发起的总请求次数进行控制的功能。
异常处理单元,用于处理所述能力开放平台的异常。
具体的,异常处理单元保障平台的健壮运行和维护分析,基于平台数据采集和日常监控情况,当发生系统异常、业务异常和异动异常时记录详细的异常代码、异常信息。
数据采集单元,用于采集所述能力开放平台的数据。
具体的,通过数据库筛选,抽出接口调用次数和服务费用。主要包含日志数据库的采集、日志数据库的汇总、日志数据库的入库、日志数据库的分析四部分。
安全控制单元,用于保证所述第三方应用访问所述能力开饭平台的安全。
具体的,安全控制是外部应用访问能力开放平台的安全控制机制的汇总,包括应用访问控制、接入认证、权限控制、传输安全和用户授权等。
服务管控单元,用于为所述能力开放平台提供服务管控能力。
具体的,服务管控单元供系统与能力开放平台进行标准化对接,包括服务接入、服务注册、服务编排与封装、服务适配和服务路由等功能。
平台能力接入模块,用于接入能力开放平台的各类能力并进行存放管理。
具体的,平台能力接入模块由开放平台研发人员完成,实现能力开放平台各类能力接入和存放管理,接入的能力包括系统能力、业务能力、运营能力和第三方能力。
其中,系统能力面向所有入驻网上国网APP的外部应用提供系统服务能力,系统能力包括拍照、截图、二维码扫描、GPS定位、录音、短信读取等。
业务能力支持网上国网共享服务中心已有能力接入,面向所有用户提供业务服务能力。业务能力包括通用业务能力和专业业务能力,其中通用业务能力包括登录、注册、验签,专业业务能力包括绑定、实名认证、户主认证、支付能力、电费能力、业扩能力、积分共享等。
运营能力支持网上国网运管理平台的能力接入,主要面向各省提供运营管理相关服务,接入的运营能力包括广告发布,资讯发布,展台控制等。
第三方能力支持渠道同盟合作伙伴能力接入,服务于平台所有用户。第三方能力属于开发者业务能力进行的接口开放,整理开发者业务能力接口,实现在能力开放平台上能力开放,满足平台用户需求。
能力开放管理模块,用于对所述能力开放平台进行信息管理,并对所述开发者网站模块、所述能力开放服务模块和所述平台能力接入模块进行开放管理。
具体的,能力开放管理模块面向能力开放平台运营人员使用,主要是用于对网站前台的信息管理,提供开发者管理、文档管理、支付管理、咨询管理、学习中心管理、站内信管理、应用管理、服务管理、计费管理、接口管理,实现对开发者网站模块、能力开放服务模块和平台能力接入模块开放相关管理。
能力开放平台还包括:测试技术支持服务模块,用于对所述能力开放平台的用户接入应用提供分级分类的测试技术支持服务。
具体的,测试技术支持服务模块用于对平台用户(省公司、直属单位、外部企业、个人开发者等)接入应用提供分级分类的测试技术支持服务,包括沙箱环境测试、代码扫描测试、规范性测试、集成测试、接口测试、WebUI测试、用例设计、数据需求分析、冒烟测试、用例执行和测试培训。
在至少一种实施方式中,本申请提供的能力开放平台还包括服务商平台,可供服务商使用,其中包括注册和登录、首页、服务能力管理、订单管理、服务监控、账单管理、统计分析、计量计费、服务商管理和服务商中心。
在至少一种实施方式中,本申请提供的能力开放平台还包括应用市场,由用户使用,包括注册登录服务、应用市场、订单中心、应用中心和账户中心。
下面参考图2详细描述本申请公开的基于云端资源支撑的IT运维方法实施例。如图2所示,本实施例公开的方法包括:
步骤100,第三方应用向能力开放管理模块发起授权登录能力开放平台的请求。
具体的,第三方应用请求访问能力开放平台,即向国网用户发起授权登录能力开放平台的请求。第三方应用请求认证客户端请求认证Authorization,并调用方法SmHttpRequestHandler.postHttpRequestForAuthorize。
步骤200,所述能力开放管理模块允许授权,并生成授权临时票据,所述能力开放平台附带所述授权临时票据重定位到所述第三方应用。
具体的,能力开放管理模块允许授权,生成授权临时票据,能力开放平台接收到所述三方应用平台的授权请求后,会发放客户端唯一标识、客户端密码和授权回调页面,能力开放平台附带所述授权临时票据重定位到所述第三方应用,
进一步,用户通过调用调用_findAuthCode即可获取临时票据,其授权码模式如下表。
表1调用临时票据的授权码模式表
步骤300,所述能力开放管理模块基于所述授权临时票据、客户端唯一标识和客户端密码通过所述能力开放平台的API换取访问令牌。
具体的,换取访问令牌的授权码模式如下表:
表2换取访问令牌的授权码模式表
步骤400,所述第三方应用基于所述访问令牌通过能力开放服务模块进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作。
具体的,在HTTP请求头中存入键值对Authorization:Bearer<access_token>,然后可以访问其他接口,进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作。
在至少一种实施方式中,能力开放平台对于接入的第三方业务系统采取OAuth2.0的协议进行身份鉴权。能力开放平台服务网关的授权类型为授权码方式,即authorization-code方式,这种方式是最常用的模式,安全性也最高。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。且能力开放平台服务网关的令牌具有时效性,令牌到期后,通过刷新令牌操作可以获得更新有效期的新令牌。
进一步,授权访问方法基于Oauth2.0,OAuth 2.0是目前最流行的授权机制。该机制的运转过程是数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据,系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。且授权访问过程中利用国密算法对数据进行加密,国密算法是国家密码局制定标准的一系列算法。其中SM2为国家密码管理局公布的椭圆曲线公钥密码算法,是非对称密码算法,是基于ECC算法的非对称算法。其加密强度为256位;SM3为密码杂凑算法,主要用于数字签名及验证、消息认证码生成及验证、随机数生成等;SM4无线局域网标准的分组数据算法。对称加密,密钥长度和分组长度均为128位,其中,国密SM2的JAVA版本的实现是基于BouncyCastle加密库实现。具体加密步骤为:
客户端生成SM4公钥并利用所述SM4公钥对授权请求报文进行加密生成加密请求体;
利用服务端的SM2公钥加密所述客户端SM4公钥生成加密密钥;
将所述加密请求体、所述加密密钥和当前响应时间戳按序拼接后利用SM3算法生成加密请求验签信息。
在至少一种实施方式中,在所述第三方应用基于所述访问令牌通过能力开放服务模块进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作的过程中,国网返回的响应报文返回到所述第三方应用时需进行解密,具体包括:
利用SM3的公钥对所述加密请求验签信息进行验签,获取加密响应体、响应时间戳、响应秘钥;
利用客户端的SM2私钥解密所述SM4的响应秘钥;
利用解密后的SM4的响应秘钥解密加密响应体。
在至少一种实施方式中,加密请求体和加密响应体信息如下表:
表3加密请求体和加密响应体信息表
在至少一种实施方式中,授权请求报文和响应报文均使用application/json格式。
本文中的模块、单元的划分仅仅是一种逻辑功能的划分,在实际实现时可以有其他的划分方式,例如多个模块和/或单元可以结合或集成于另一个系统中。作为分离部件说明的模块、单元在物理上可以是分开的,也可以是不分开的。作为单元显示的部件可以是物理单元,也可以不是物理单元,即可以位于一个具体地方,也可以分布到网格单元中。因此可以根据实际需要选择其中的部分或全部的单元来实现实施例的方案。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种能力开放平台,其特征在于,包括:
开发者网站模块,用于向开发者用户提供能力开放服务并允许所述开发者用户进行应用开发;
能力开放服务模块,用于将第三方应用接口进行接入和集成,对国网系统进行服务的封装、提供和管理,并统一管控所述能力开放平台内部的能力接口;
平台能力接入模块,用于接入能力开放平台的各类能力并进行存放管理;
能力开放管理模块,用于对所述能力开放平台进行信息管理,并对所述开发者网站模块、所述能力开放服务模块和所述平台能力接入模块进行开放管理。
2.如权利要求1所述的系统,其特征在于,所述开发者网站模块包括:
开发者中心单元,用于为所述开发者网站模块提供服务;
资源中心单元,用于为所述开发者网站模块提供资源;
应用管理单元,用于使所述开发者用户接入所述能力开放平台并控制所述能力开放平台进行能力开放服务;
服务市场单元,用于集合第三方服务的服务应用。
3.如权利要求1所述的能力开放平台,其特征在于,所述能力开放服务模块包括:
应用管控单元,用于管控接入能力开放平台的第三方应用;
接口能力管控单元,用于对所述能力开放平台的接口能力进行集成管控;
策略控制单元,用于对所述能力开放平台进行流量控制和配额控制;
异常处理单元,用于处理所述能力开放平台的异常;
数据采集单元,用于采集所述能力开放平台的数据;
安全控制单元,用于保证所述第三方应用访问所述能力开饭平台的安全;
服务管控单元,用于为所述能力开放平台提供服务管控能力。
4.如权利要求3所述的系统,其特征在于,所述应用管控单元基于OAuth2.0为第三方应用进行验证和授权,接入的所述第三方应用通过登录授权层所用的令牌,在权限范围和有效期内进行注册登录,并根据所述第三方应用类型的不同进行授权验证。
5.如权利要求1所述的能力开放平台,其特征在于,通过所述平台能力接入模块接入的能力包括系统能力、业务能力、运营能力和第三方能力。
6.如权利要求1所述的系统,其特征在于,所述能力开放平台还包括:
测试技术支持服务模块,用于对所述能力开放平台的用户接入应用提供分级分类的测试技术支持服务。
7.一种能力开放平台的授权访问方法,其特征在于,包括:
第三方应用向能力开放管理模块发起授权登录能力开放平台的请求;
所述能力开放管理模块允许授权,并生成授权临时票据,所述能力开放平台附带所述授权临时票据重定位到所述第三方应用;
所述能力开放管理模块基于所述授权临时票据、客户端唯一标识和客户端密码通过所述能力开放平台的API换取访问令牌;
所述第三方应用基于所述访问令牌通过能力开放服务模块进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作。
8.如权利要求7所述的方法,其特征在于,授权访问方法基于Oauth2.0,且授权访问过程中利用国密算法对数据进行加密,具体为:
客户端生成SM4公钥并利用所述SM4公钥对授权请求报文进行加密生成加密请求体;
利用服务端的SM2公钥加密所述客户端SM4公钥生成加密密钥;
将所述加密请求体、所述加密密钥和当前响应时间戳按序拼接后利用SM3算法生成加密请求验签信息。
9.如权利要求7所述的方法,其特征在于,所述能力开放管理模块接收到所述三方应用的授权请求时,会发放客户端唯一标识、客户端密码和授权回调页面。
10.如权利要求7所述的方法,其特征在于,在所述第三方应用基于所述访问令牌通过能力开放服务模块进行接口调用,获取国网用户数据和/或帮助国网用户实现基本操作的过程中,国网返回的响应报文返回到所述第三方应用时需进行解密,具体包括:
利用SM3的公钥对所述加密请求验签信息进行验签,获取加密响应体、响应时间戳、响应秘钥;
利用客户端的SM2私钥解密所述SM4的响应秘钥;
利用解密后的SM4的响应秘钥解密加密响应体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111536946.6A CN114329290B (zh) | 2021-12-15 | 2021-12-15 | 能力开放平台及其授权访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111536946.6A CN114329290B (zh) | 2021-12-15 | 2021-12-15 | 能力开放平台及其授权访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114329290A true CN114329290A (zh) | 2022-04-12 |
| CN114329290B CN114329290B (zh) | 2023-09-15 |
Family
ID=81052897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111536946.6A Active CN114329290B (zh) | 2021-12-15 | 2021-12-15 | 能力开放平台及其授权访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114329290B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150386A (zh) * | 2022-05-24 | 2022-10-04 | 上海哔哩哔哩科技有限公司 | 向开放平台上传视频的方法、装置、存储介质及电子设备 |
| CN115801322A (zh) * | 2022-10-20 | 2023-03-14 | 浪潮软件股份有限公司 | 一种实现服务端安全通信的加密方法及系统 |
| CN117596595A (zh) * | 2023-12-25 | 2024-02-23 | 重庆千信新能源有限公司 | 基于光伏电力系统进行安全登录的工作方法 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102573112A (zh) * | 2010-12-07 | 2012-07-11 | 中国电信股份有限公司 | 电信网络能力开放方法、系统及联盟支撑平台 |
| CN102724204A (zh) * | 2012-06-28 | 2012-10-10 | 电子科技大学 | 一种安全可信的能力开放平台 |
| CN103312660A (zh) * | 2012-03-06 | 2013-09-18 | 中兴通讯股份有限公司 | 一种基于能力开放平台的业务实现方法及能力开放平台 |
| EP2691863A1 (en) * | 2011-03-31 | 2014-02-05 | FeliCa Networks, Inc. | Information processing device and method, and program |
| CN106550033A (zh) * | 2016-10-27 | 2017-03-29 | 普元信息技术股份有限公司 | 基于云计算系统实现模拟全网能力开放平台的系统和方法 |
| CN108335083A (zh) * | 2018-01-31 | 2018-07-27 | 远特(北京)通信技术有限公司 | 一种互联网化移动通信业务运营开放平台及实现方法 |
| US20180218006A1 (en) * | 2017-02-01 | 2018-08-02 | Open Text Sa Ulc | Web application open platform interface (wopi) server architecture and applications for distributed network computing environments |
| US20190109713A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | Methods for internet communication security |
| CN111538973A (zh) * | 2020-03-26 | 2020-08-14 | 成都云巢智联科技有限公司 | 基于国密算法的个人授权访问控制系统 |
| CN112613073A (zh) * | 2020-12-28 | 2021-04-06 | 中国农业银行股份有限公司 | 一种开放平台认证授权方法及装置 |
| CN113079175A (zh) * | 2021-04-14 | 2021-07-06 | 上海浦东发展银行股份有限公司 | 一种基于oauth2协议增强的授权系统及其方法 |
| CN113259323A (zh) * | 2021-04-20 | 2021-08-13 | 新华三大数据技术有限公司 | 双重访问权限服务认证方法、装置、系统及存储介质 |
| CN113312653A (zh) * | 2021-06-25 | 2021-08-27 | 中国农业银行股份有限公司 | 开放平台认证授权方法、装置及存储介质 |
-
2021
- 2021-12-15 CN CN202111536946.6A patent/CN114329290B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102573112A (zh) * | 2010-12-07 | 2012-07-11 | 中国电信股份有限公司 | 电信网络能力开放方法、系统及联盟支撑平台 |
| EP2691863A1 (en) * | 2011-03-31 | 2014-02-05 | FeliCa Networks, Inc. | Information processing device and method, and program |
| CN103312660A (zh) * | 2012-03-06 | 2013-09-18 | 中兴通讯股份有限公司 | 一种基于能力开放平台的业务实现方法及能力开放平台 |
| CN102724204A (zh) * | 2012-06-28 | 2012-10-10 | 电子科技大学 | 一种安全可信的能力开放平台 |
| CN106550033A (zh) * | 2016-10-27 | 2017-03-29 | 普元信息技术股份有限公司 | 基于云计算系统实现模拟全网能力开放平台的系统和方法 |
| US20180218006A1 (en) * | 2017-02-01 | 2018-08-02 | Open Text Sa Ulc | Web application open platform interface (wopi) server architecture and applications for distributed network computing environments |
| US20190109713A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | Methods for internet communication security |
| CN108335083A (zh) * | 2018-01-31 | 2018-07-27 | 远特(北京)通信技术有限公司 | 一种互联网化移动通信业务运营开放平台及实现方法 |
| CN111538973A (zh) * | 2020-03-26 | 2020-08-14 | 成都云巢智联科技有限公司 | 基于国密算法的个人授权访问控制系统 |
| CN112613073A (zh) * | 2020-12-28 | 2021-04-06 | 中国农业银行股份有限公司 | 一种开放平台认证授权方法及装置 |
| CN113079175A (zh) * | 2021-04-14 | 2021-07-06 | 上海浦东发展银行股份有限公司 | 一种基于oauth2协议增强的授权系统及其方法 |
| CN113259323A (zh) * | 2021-04-20 | 2021-08-13 | 新华三大数据技术有限公司 | 双重访问权限服务认证方法、装置、系统及存储介质 |
| CN113312653A (zh) * | 2021-06-25 | 2021-08-27 | 中国农业银行股份有限公司 | 开放平台认证授权方法、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 辛存生 等: ""能力开放平台安全机制的研究与设计"", 《新型工业化》, vol. 10, no. 8, pages 31 - 33 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150386A (zh) * | 2022-05-24 | 2022-10-04 | 上海哔哩哔哩科技有限公司 | 向开放平台上传视频的方法、装置、存储介质及电子设备 |
| CN115150386B (zh) * | 2022-05-24 | 2024-03-22 | 上海哔哩哔哩科技有限公司 | 向开放平台上传视频的方法、装置、存储介质及电子设备 |
| CN115801322A (zh) * | 2022-10-20 | 2023-03-14 | 浪潮软件股份有限公司 | 一种实现服务端安全通信的加密方法及系统 |
| CN117596595A (zh) * | 2023-12-25 | 2024-02-23 | 重庆千信新能源有限公司 | 基于光伏电力系统进行安全登录的工作方法 |
| CN117596595B (zh) * | 2023-12-25 | 2024-05-24 | 重庆千信新能源有限公司 | 基于光伏电力系统进行安全登录的工作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114329290B (zh) | 2023-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rathee et al. | A hybrid framework for multimedia data processing in IoT-healthcare using blockchain technology | |
| Singh et al. | A novel patient-centric architectural framework for blockchain-enabled healthcare applications | |
| Shrestha et al. | Blockchain-based research data sharing framework for incentivizing the data owners | |
| CN114329290B (zh) | 能力开放平台及其授权访问方法 | |
| CN109495592A (zh) | 数据协同方法及电子设备 | |
| CN109472605A (zh) | 一种基于区块链的企业数字资产化管理方法及系统 | |
| CN109034437A (zh) | 一种基于云终端的图书馆系统 | |
| Yang et al. | Blockchain-based verifiable multi-keyword ranked search on encrypted cloud with fair payment | |
| CN107005582A (zh) | 使用存储在不同目录中的凭证来访问公共端点 | |
| JP2019503533A5 (zh) | ||
| JP2023535927A (ja) | デジタル台帳ベースのヘルスデータ共有および管理 | |
| CN112492533B (zh) | 基于区块链技术的5g富媒体消息推送方法及装置 | |
| US20220188783A1 (en) | Http-based server payment collection system, http-based user terminal payment collection system, and http-based payment collection method | |
| CN112950343A (zh) | 一种企业财务数据采集处理方法及系统 | |
| CN105871923A (zh) | 信息处理方法、信息记录节点及参与节点 | |
| CN111291394A (zh) | 一种虚假信息管理方法、装置和存储介质 | |
| CN113011883A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| US9344285B2 (en) | Method and system for preserving privacy and accountability | |
| González et al. | On the use of Blockchain to enable a highly scalable Internet of Things Data Marketplace | |
| Peng et al. | A blockchain‐based mobile crowdsensing scheme with enhanced privacy | |
| CN111444261A (zh) | 一种基于区块链的企业数据共享模型 | |
| CN108388811A (zh) | 微信公众平台下的个性化书屋 | |
| TW200427258A (en) | Common service platform and software | |
| CN114638020A (zh) | 基于区块链的数字资产处理方法、装置及电子设备 | |
| CN118094633B (zh) | 基于区块链的数据处理方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |