一种能力访问授权方法及系统

摘要

本发明公开了一种能力访问授权方法及系统，针对业务能力开放平台的授权进行管理：（1）第三方应用在访问业务能力时，需要获得业务计费方的显示授权；（2）第三方应用访问与终端用户私有数据相关的业务能力时，为保证终端用户数据的安全性、隐私性，需要获得私有数据拥有者的显示授权；（3）需要获得能力开放平台服务等级协定系统的授权；在获得多方授权以后，由授权系统生成相应的访问令牌，发放给第三方应用，第三方应用携带访问令牌，以访问令牌作为能力访问授权凭证即可直接访问对应的能力接口，从而确保业务能力开放平台的业务能力被合法的第三方应用进行合理的访问。

主权项

一种能力访问授权方法，其特征在于，包括以下步骤：步骤1、第三方应用向业务能力开放平台的授权系统发送申请某个能力接口访问令牌的请求消息，请求消息至少包括：申请访问的能力接口的名称，能力访问的计费方，第三方应用标识符，授权用户的终端地址，授权用户的终端MSISDN号，需用户授权私有数据的列表，以及含有第三方应用密钥的签名；步骤2、业务能力开放平台的授权系统接收申请访问令牌的请求消息，然后进行：2.1）、验证访问令牌申请请求消息本身的合法性验证请求消息本身的合法性包括第三方应用的合法性、申请访问的能力接口的合法性以及请求消息参数的合法性；其中，第三方应用的合法性由请求消息中携带的第三方应用标识符和含有第三方应用密钥的签名为基础进行验证；申请访问的能力接口的合法性由请求消息中携带的申请访问的能力接口的名称为基础进行验证；请求消息参数的合法性验证包括请求消息中所有携带参数的格式和范围是否符合规范；如果请求消息不合法，则授权系统返回“访问令牌申请不合法”的响应消息给第三方应用，终止授权过程，如果请求消息合法，则进行步骤2.2；2.2）、计费授权与验证如果申请访问的能力接口是免费的，则直接执行步骤2.3，否则根据请求消息中标识的计费方，计费方根据请求消息中携带的能力访问的计费方参数确定，向计费方发送计费授权的请求消息；计费方接收计费授权的请求消息，对申请的能力访问的计费进行授权，并将授权信息返回给授权系统；授权系统根据计费方返回的授权信息进行判断，如果计费方不同意授权，则返回“无计费方授权”的响应消息给第三方应用，终止授权过程；如果计费方同意授权，则要求能力开放平台的计费系统根据计费方式，验证计费方是否合法，如果计费方合法，则执行步骤2.3，否则返回“计费方资费不够”或“信用度不够”的响应消息给第三方应用，终止授权过程；2.3）、私有数据访问授权与验证如果申请访问的能力接口不涉及私有数据，则直接执行步骤2.4；否则发送私有数据访问授权的请求消息给私有数据的拥有者，如果该拥有者为在线状态，则其地址由请求消息中携带的授权用户的终端地址标识，如果该拥有者处于离线状态，则其地址由授权用户的终端MSISDN号标识；私有数据的拥有者收到私有数据访问授权的请求消息，对申请的私有数据，即以访问令牌请求消息中携带的需用户授权私有数据的列表中数据的访问进行授权，并将授权信息返回给授权系统；授权系统根据私有数据拥有者返回的授权信息进行判断，如果私有数据拥有者不同意授权，则授权系统返回“访问私有数据出错”的响应消息给第三方应用，终止授权过程；如果私有数据拥有者同意授权，则要求能力开放平台的认证系统验证私有数据拥有者，即授权用户是否合法，如果合法，则执行步骤2.4，否则返回“授权用户不合法”的响应消息给第三方应用，终止授权过程；2.4）、SLA（Service Level Agreement）授权授权系统要求能力开放平台的SLA（Service Level Agreement，服务等级协定）系统对第三方应用访问能力接口的合理性进行授权，如果第三方应用访问能力接口的频率符合预先签署的SLA合约，则SLA系统同意授权，否则SLA系统拒绝授权；授权系统根据SLA系统的授权情况，如果SLA系统同意授权，则执行步骤3；否则返回“请求过于频繁”的响应消息给第三方应用，终止授权过程；步骤3、访问令牌生成及发放授权系统根据第三方应用的能力接口访问申请请求，生成一个唯一的涵盖计费、私有数据访问以及SLA授权的访问令牌发放给第三方应用；步骤4、能力接口访问第三方应用携带访问令牌，以访问令牌作为能力访问授权凭证直接访问业务能力开放平台相应的能力接口，能力服务器执行相应的能力访问，并将能力访问结果返回给第三方应用，完成能力访问。