一种网络系统、权限颁发服务器、权限颁发及执行的方法

摘要

本发明实施例公开了一种网络系统，包括：权限颁发服务器，接收资源拥有者的资源注册请求信息，对所述资源拥有者拥有的资源进行登记，接收资源访问者的权限注册请求信息，根据所述权限注册请求信息为所述资源访问者颁发使用所述资源的使用权限。服务提供节点，当接收到资源访问者的资源使用请求时，根据所述资源访问者的用户标识信息查询由所述权限颁发服务器颁发给所述资源访问者的所述使用权限信息，根据查询获得的所述使用权限信息对所述资源访问者进行权限验证，在所述资源访问者通过权限验证后，为所述访问者提供资源服务。本发明还公开了一种权限颁发服务器、权限颁发及执行的方法，采用本发明实施例可减轻服务提供者进行权限管理的负担。

说明书

技术领域

本发明涉及通信领域，尤其涉及一种网络系统、权限颁发服务器、权限注册及执行的方法。

背景技术

对等网络(P2P，Peer-to-Peer)网络是这样一个网络，这个网络中的节点一般扮演着相同的角色，它们既是服务请求者，又同时是服务提供者。也就是说P2P网络中的节点在请求服务的同时，也在为别人服务。该网络的能力依赖于所有网络参与者(网络节点)的计算能力和带宽，而不是依赖于网络中极少数的服务器。而在客户端/服务器模式下，网络中的节点只扮演服务提供者或服务使用者的角色，服务提供者一般不使用服务网络中的服务，而服务的使用者也不会为该网络提供服务。P2P网络相对客户端/服务器模式网络的优点表现在：P2P网络能够存储更多的资源，其能够存储资源的数量与参与网络的所有节点的数量和能力决定，参与的节点越多存储的量越大，而基于客户端/服务器模式的系统存储能力仅由服务器的数量和能力决定。

一般情况下，网络系统中的用户是分等级的，不同的用户享有不同的资源使用权限，不同的使用权限象征用户可以访问不同的服务，或者不同级别的服务。在网络系统中为不同的用户颁发权限，并监督权限的使用，就是权限管理的过程。权限管理一般涉及3类角色：权限使用者：申请和使用权限的实体，权限使用者由服务使用者扮演。权限颁发者：向权限使用者颁发权限的实体，决定不同的权限使者该具有何种权限。权限执行者：监督权限使用的实体。权限颁发者和权限执行者由服务提供者扮演。比如在一个FTP服务系统中，权限使用者就是希望使用该FTP服务的用户，它要使用该服务首先需要到FTP服务器上申请并获得一个FTP帐号，拥有该帐号即表明该用户有权使用该FTP服务器上的服务，为用户开通此帐号的FTP服务器就是权限颁发者。用户到FTP服务器去下载文件，FTP服务器会验证用户的帐号，验证帐号的过程就是监督权限使用的过程，FTP服务器就是权限执行者。

目前常用的权限管理基于访问控制列表机制(ACL，Access Control List)机制。ACL实质是一张表，记录用户和权限的映射关系。目前，ACL表由服务提供者创建和维护。如果用户需要使用相应的资源，首先必须向服务提供者申请相应的权限。服务提供者为用户颁发相应权限，创建ACL表存储用户和权限映射关系。当用户向服务提供者请求某项资源时，服务提供者会查询ACL表来确定用户是否具有访问所述资源的权限。

P2P网络中应用ACL机制进行权限管理的方式描述如下。以图1为例，系统100是一个P2P网络，101、102、103、121、122是该P2P网络中的节点，它们兼有服务提供者和服务使用者的功能。为方便叙述，现假定121、122扮演服务提供者的角色，为用户提供文件共享服务；101、102、103扮演服务使用者的角色，需要到121、122去下载自己需要的共享文件。这样该网络中101、102、103为权限使用者，121、122同时具有权限颁发者和权限执行者的功能。当101、102或103需要使用121上的共享文件时，需要向121申请权限，服务提供者121创建反映101、102或103和权限映射关系的ACL表，并向101、102或103颁发权限，当101、102或103向121请求共享文件时，121查询ACL表来确定101、102或103是否具有访问共享文件的权限，在确定101、102或103具有访问共享文件的权限时，提供相应的共享文件。同样，当101、102或103需要使用122上的共享文件时，需要向122中请权限，服务提供者122创建反映101、102或103和权限映射关系的ACL表，并向101、102或103颁发权限，当101、102或103向122请求共享文件时，122查询ACL表来确定101、102或103是否具有访问共享文件的权限，在确定101、102或103具有访问共享文件的权限时，提供相应的共享文件。依此类推，要想在整个P2P网络中提供权限管理的功能，对服务使用者而言，为了能够获取自己需要的资源，就必须到提供所述资源的每个服务提供者那里去申请权限，而每个服务提供者都需要为所述用户建立ACL表项、颁发权限以及监督权限的使用，服务提供者进行权限管理的负担很重。

发明内容

鉴于此，本发明实施例提供一种网络系统、权限注册服务器、权限注册及执行的方法。可减轻服务提供者进行权限管理的负担。

为了解决上述技术问题，本发明实施例提供了一种权限颁发服务器，包括：

资源注册单元，用于接收资源拥有者的资源注册请求信息，根据所述请求信息对所述资源拥有者拥有的资源进行登记；

权限颁发单元，用于接收资源访问者针对所述资源注册单元登记的所述资源发送的权限注册请求信息，根据所述权限注册请求信息为所述资源访问者颁发使用所述资源的使用权限。

相应的，本发明实施例提供了一种网络系统，包括：

权限颁发服务器，用于接收资源拥有者的资源注册请求信息，根据所述请求信息对所述资源拥有者拥有的资源进行登记，并接收资源访问者针对所述登记的所述资源发送的权限注册请求信息，根据所述权限注册请求信息为所述资源访问者颁发使用所述资源的使用权限；

服务提供节点，用于当接收到资源访问者的资源使用请求时，根据所述资源访问者的用户标识信息查询由所述权限颁发服务器颁发给所述资源访问者的所述使用权限信息，并根据查询获得的所述使用权限信息对所述资源访问者进行权限验证，并在所述资源访问者通过权限验证后，为所述资源访问者提供资源服务。

相应的，本发明实施例提供了一种权限颁发的方法，包括：

权限颁发服务器接收资源访问者针对所述权限颁发服务器登记的资源发送的权限注册请求；

权限颁发服务器根据所述权限注册请求信息为所述资源访问者颁发使用所述资源的使用权限。

相应的，本发明实施例提供了一种权限执行的方法，包括：

服务提供节点接收资源访问者发送的资源使用请求；

服务提供节点根据所述资源访问者的用户标识信息查询由权限颁发服务器颁发给所述资源访问者对所述权限颁发服务器登记的资源的使用权限信息；

服务提供节点根据所述查询获得的所述使用权限信息对所述资源访问者进行权限验证。

本发明实施例通过权限颁发服务器为资源访问者提供统一的权限注册请求和颁发权限，而作为服务提供者的服务提供节点只需在资源访问者请求资源使用时验证所述资源访问者的用户权限即可实现权限管理，大大减轻了服务提供者进行权限管理的负担。

附图说明

图1是P2P网络的一个拓扑简化示意图；

图2是本发明的网络系统的一个实施例结构组成示意图；

图3是应用于图2所示网络系统的权限颁发方法的一个实施例流程示意图；

图4是应用于图2所示网络系统的权限执行方法的一个实施例流程示意图；

图5是本发明的网络系统的另一个实施例结构组成示意图；

图6是应用于图5所示网络系统的权限颁发方法的一个实施例流程示意图；

图7是应用于图5所示网络系统的权限执行方法的一个实施例流程示意图；

图8是P2P网络的另一个拓扑简化示意图。

具体实施方式

下面将结合附图和实施例对本发明作进一步地详细描述。

本发明实施例提供了一种网络系统，图2是本发明的网络系统的一个实施例组成示意图。如图所示，本实施例的网络系统包括权限颁发服务器3、服务提供节点4以及用户标识注册服务器5，其中，权限颁发服务器3用于接收资源拥有者的资源注册请求信息，根据所述请求信息对所述资源拥有者拥有的资源进行登记，并接收资源访问者针对所述登记的所述资源发送的权限注册请求信息，根据所述权限注册请求信息为所述资源访问者颁发使用所述资源的使用权限。权限服务器3在网络权限管理中扮演权限颁发者的角色，所有需要提供资源权限管理的资源拥有者统一到权限颁发服务器3中进行资源注册，资源注册后资源拥有者即授权权限颁发服务器3对资源权限进行统一权限颁发管理，所有需要权限申请的用户统一到权限颁发服务器3处进行权限申请，即可获得使用资源的特定权限。服务提供节点4用于当接收到资源访问者的资源使用请求时，根据所述资源访问者的用户标识信息查询由所述权限颁发服务器3颁发给所述资源访问者的所述使用权限信息，并根据查询获得的所述使用权限信息对所述资源访问者进行权限验证，并在所述资源访问者通过权限验证后，为所述资源访问者提供资源服务。服务提供节点4是资源拥有者的拥有的资源的存储实体，即为服务提供者，在网络权限管理中扮演权限执行者的角色。用户标识注册服务器5用于为用户(包括资源拥有者和资源访问者)颁发标识用户身份的用户标识信息。用户标识是建立权限管理的前提和基础，如果用户身份不明，则权限管理无从谈起，用户标识注册服务器5可以为CA服务器或Kerberos服务器，可以通过为用户颁发数字证书来标识用户身份或通过为用户颁发帐号/密码的方式来标识用户身份。

权限颁发服务器3进一步包括资源注册单元31、权限颁发单元32以及身份验证单元33，资源注册单元31进一步包括第一接收单元310和登记单元311，权限颁发单元32进一步包括第二接收单元320、权限确定单元321、存储单元322以及反馈单元323，具体的，

第一接收单元310，用于接收资源拥有者发送的资源注册请求信息。所述的资源注册请求信息包括资源拥有者的用户标识信息、资源拥有者拥有的资源的标识信息或资源拥有者对所述资源的权限限制等信息。

登记单元311，用于根据所述第一接收单元310接收到的所述请求信息对所述资源拥有者拥有的资源进行登记。比如，当资源拥有者A发送的请求信息包括用户标识A，资源标识为音乐，并限制所述音乐的权限为在线收听和下载。则登记单元311则要生成用户A拥有可在线收听和下载的音乐资源的登记信息。

第二接收单元320，用于接收资源访问者针对所述登记单元311登记的所述资源发送的权限注册请求信息。所述请求信息包括资源访问者的用户标识信息、资源访问者对资源的具体权限需求。所述权限需求可以为申请权限的需求、更改权限的需求或撤销权限的需求。比如，用户B对网络中的MP3文件当前的权限为在线收听，但禁止下载，现在用户B希望自己既能收听也能下载所述MP3文件，则需要发送将MP3文件权限由在线收听升级为在线收听和下载的权限更改请求。

权限确定单元321，用于根据所述第二接收单元320接收到的所述权限注册请求信息确定所述用户对所述登记单元311登记的所述资源的使用权限。

存储单元322，用于存储所述权限确定单元321所确定的所述资源访问者对所述登记单元311登记的所述资源的使用权限。存储单元322可以通过用户标识与权限映射表来存储资源访问者对所述登记单元311登记的所述资源的使用权限。所述映射表存储了所述资源访问者对所有能够访问的资源的使用权限，这样网络中的每个资源访问者都拥有唯一的资源使用权限信息。通过用户标识信息即可查到资源访问者的使用权限信息。

反馈单元323，用于将所述权限确定单元321所确定的所述资源访问者对所述登记单元311登记的所述资源的使用权限信息反馈给所述资源访问者。

为了防止非法用户的非法操作，本实施例的权限颁发服务器3还包括身份验证单元33，用于在所述第一接收单元310接收资源拥有者发送的资源注册请求信息时，或在所述第二接收单元320接收到资源访问者针对所述登记单元311登记的所述资源发送的权限注册请求信息时，与所述用户标识注册服务器5交互，对所述资源拥有者或所述资源访问者进行身份验证。身份验证单元33可以通过判断资源拥有者或资源访问者的用户标识信息是否为用户标识注册服务器5颁发的用户标识来验证它们的身份。所述登记单元311将在接收到所述身份验证单元33发送的资源拥有者通过身份验证的信息后根据所述第一接收单元310接收到的所述请求信息对所述资源拥有者拥有的资源进行登记。所述权限确定单元321将在接收到所述身份验证单元33发送的所述资源访问者通过身份验证的信息后根据所述第二接收单元320接收到的所述权限注册请求信息确定所述资源访问者对所述登记单元311登记的所述资源的使用权限。

相应的，所述服务提供节点4进一步包括接收单元41、查询单元42、权限验证单元43以及服务单元44，具体的，

接收单元41，用于接收资源访问者发送的资源使用请求。

查询单元42，用于当所述接收单元41接收到资源使用请求时，根据所述资源访问者的用户标识信息查询所述存储单元322中存储的所述资源访问者的所述使用权限信息；

权限验证单元43，用于根据所述查询单元42获得的所述使用权限信息对所述资源访问者进行权限验证。使用权限信息反映了用户对所有能够访问的资源的使用权限，权限验证单元43通过获得的使用权限信息即可判断用户提出的资源使用请求是否在权限范围内，如果权限验证单元43通过获得的使用权限信息判断出所述资源访问者提出的资源使用请求在权限范围内，则输出所述资源访问者通过权限验证的信息给服务单元44。

服务单元44，用于在所述资源访问者通过所述权限验证单元43的权限验证后，为所述资源访问者提供服务。

为了防止非法用户的非法操作，本实施例的服务提供节点4还包括身份验证单元45，用于在接收单元41接收到资源访问者发送的资源使用请求时，与所述用户标识注册服务器5交互，对所述资源访问者进行身份验证。身份验证单元45可以通过判断所述资源访问者的用户标识信息是否为用户标识注册服务器5颁发的用户标识来验证它的身份。所述查询单元42将在接收到所述身份验证单元45发送的所述资源访问者通过身份验证的信息后根据所述资源访问者的用户标识信息查询所述存储单元322中存储的所述资源访问者的所述使用权限信息。

相应的，本发明实施例提供了一种权限颁发的方法，图3是应用于图2所示网络系统的权限颁发方法的一个实施例流程示意图。如图所示，本实施例的权限颁发方法具体包括：

步骤S400，权限颁发服务器接收资源拥有者发送的资源注册请求。所述的资源注册请求包括资源拥有者的用户标识信息、资源拥有者拥有的资源的标识信息或资源拥有者对所述资源的权限限制等信息。

步骤S401，权限颁发服务器与用户标识注册服务器交互，对所述资源拥有者进行身份验证。用户标识是建立权限管理的前提和基础，如果用户身份不明，则权限管理无从谈起，可以通过为用户颁发数字证书来标识用户身份或通过为用户颁发帐号/密码的方式来标识用户身份。对用户身份进行验证用于防止非法用户的非法操作。

步骤S402，当资源拥有者通过身份验证后，权限颁发服务器根据所述请求信息，对所述资源拥有者拥有的资源进行登记。比如，当资源拥有者A发送的请求信息包括用户标识A，资源标识为音乐，并限制所述音乐的权限为在线收听和下载。则登记单元311则要生成用户A拥有可在线收听和下载的音乐资源的登记信息。

步骤S403，权限颁发服务器接收资源访问者针对所述登记的资源发送的权限注册请求。所述请求信息包括资源访问者的用户标识信息、资源访问者对资源的具体权限需求。所述权限需求可以为申请权限的需求、更改权限的需求或撤销权限的需求。比如，用户B对网络中的MP3文件当前的权限为在线收听，但禁止下载，现在用户B希望自己既能收听也能下载所述MP3文件，则需要发送将MP3文件权限由在线收听升级为在线收听和下载的权限更改请求。

步骤S404，权限颁发服务器与用户标识注册服务器交互，对所述资源访问者进行身份验证。

步骤S405，权限颁发服务器根据所述权限注册请求信息确定所述资源访问者对所述资源的使用权限。

步骤S406，权限颁发服务器存储所确定的所述资源访问者对所述资源的使用权限信息。可以通过用户标识与权限映射表来存储资源访问者对所述资源的使用权限。所述映射表存储了所述资源访问者对所有能够访问的资源的使用权限，这样网络中的每个资源访问者都有唯一的资源使用权限信息。通过用户标识信息即可查到资源访问者的使用权限信息。

步骤S407，权限颁发服务器将所述确定的所述资源访问者对所述资源的使用权限信息反馈给所述资源访问者。

相应的，本发明实施例提供了一种权限执行的方法，图4是应用于图2所示网络系统的权限执行方法的一个实施例流程示意图。如图所示，本实施例的权限执行方法具体包括：

步骤S410，服务提供节点接收资源访问者发送的资源使用请求。

步骤S411，服务提供节点与用户标识注册服务器交互，对所述资源访问者进行身份验证。

步骤S412，当所述资源访问者通过身份验证后，服务提供节点根据所述资源访问者的标识信息查询权限颁发服务器中存储的所述资源访问者对所述权限颁发服务器登记的资源的使用权限信息。

步骤S413，判断所述使用权限信息的标识信息是否为预设的标识信息，如果判断为是，执行步骤S414；否则，表明所述使用权限信息发生错误。

步骤S414，服务提供节点根据所述查询获得的所述使用权限信息对所述资源访问者进行权限验证。使用权限信息反映了用户对所有能够访问的资源的使用权限，通过获得的使用权限信息即可判断用户提出的资源使用请求是否在权限范围内。

图5是本发明的网络系统的另一个实施例结构组成示意图；本实施例与图2所示实施例的不同之处在于权限颁发服务器3通过权限信息分配单元34将权限确定单元321所确定的资源访问者对所述登记单元311登记的资源的使用权限信息分配到包括多个存储节点的存储网络中进行存储。服务提供节点4的查询单元42通过查询所述存储网络中存储的所述使用权限信息。由于每个存储节点都有唯一的标识，每个使用权限信息也由每个用户标识唯一确定，则可以将每个用户的使用权限信息映射到存储网络中的特定节点存储，比如，将使用权限信息存放在节点标识比所述使用权限对应的用户标识大且与所述用户标识最接近的存储节点中。考虑信息的保密性，可在分配使用权限信息时对所述使用权限信息添加特殊标识。当查询所述使用权限信息时以用户标识为索引，采用与所述映射方式相同的方式即可找到用户的使用权限信息存储的位置，进而获取所述使用权限。将使用权限信息分配到多个节点中存储的好处在于，可以有效均衡查询使用权限的负载，防止网络瓶颈的产生。

图6是应用于图5所示网络系统的权限颁发方法的一个实施例流程示意图。如图所示，本实施例的权限颁发方法具体包括：

步骤S500，权限颁发服务器接收资源拥有者发送的资源注册请求。

步骤S501，权限颁发服务器与用户标识注册服务器交互，对所述资源拥有者进行身份验证。

步骤S502，当资源拥有者通过身份验证后，权限颁发服务器根据所述请求信息，对所述资源拥有者拥有的资源进行登记。

步骤S503，权限颁发服务器接收资源访问者针对所述登记的资源发送的权限注册请求。

步骤S504，权限颁发服务器与用户标识注册服务器交互，对所述资源访问者进行身份验证。

步骤S505，权限颁发服务器根据所述权限注册请求信息确定所述资源访问者对所述资源的使用权限。

步骤S506，权限颁发服务器将所确定的所述资源访问者对所述资源的使用权限信息分配到包括多个存储节点的存储网络中进行存储；

步骤S507，权限颁发服务器将所述确定的所述资源访问者对所述资源的使用权限信息反馈给所述资源访问者。

图7是应用于图5所示网络系统的权限执行方法的一个实施例流程示意图。如图所示，本实施例的权限执行的方法具体包括：

步骤S510，服务提供节点接收资源访问者发送的资源使用请求。

步骤S511，服务提供节点与用户标识注册服务器交互，对所述资源访问者进行身份验证。

步骤S512，当所述资源访问者通过身份验证后，服务提供节点根据所述资源访问者的标识信息查询存储网络中存储的所述资源访问者对所述权限颁发服务器登记的资源的使用权限信息。

步骤S513，判断所述使用权限信息的标识信息是否为预设的标识信息，如果判断为是，执行步骤S514；否则，表明所述使用权限信息发生错误。

步骤S514，服务提供节点根据所述查询获得的所述使用权限信息对所述资源访问者进行权限验证。使用权限信息反映了用户对所有能够访问的资源的使用权限，通过获得的使用权限信息即可判断用户提出的资源使用请求是否在权限范围内。

本发明实施例所述的网络系统可以为客户端/服务器网络系统，也可以为P2P网络系统，下面以P2P网络系统为例进行说明。图8是P2P网络的另一个拓扑简化示意图。如图所示，系统200包括节点201、节点202、节点203、节点221、节点222、用户标识注册服务器210以及权限颁发服务器220。根据P2P网络的特点可知，节点201、节点202、节点203、节点221、节点222既可作资源拥有者的资源存储载体，扮演服务提供者的角色，也可作为资源访问者使用资源的载体，扮演服务使用者的角色。用户标识注册服务器210用于为用户(包括资源拥有者和资源访问者)颁发标识用户身份的用户标识信息。权限颁发服务器3用于接收资源拥有者的资源注册请求信息，根据所述请求信息对所述资源拥有者拥有的资源进行登记，并接收资源访问者针对所述登记的所述资源发送的权限注册请求信息，根据所述权限注册请求信息为所述资源访问者颁发使用所述资源的使用权限。具体的，图8是基于分布式哈希算法(DHT，Distributed Hash Tale)的P2P网络简化图，网络中各节点组成一个单向环，各节点与用户标识注册服务器210以及权限颁发服务器220建立多对一的连接关系。

为方便叙述，现假定节点221和节点222仅扮演服务提供者的角色，为服务提供节点，本例中假定节点221和节点222中的资源为MP3共享文件，则节点221和节点222可为资源访问者提供MP3文件共享服务；节点201、节点202以及节点203仅扮演服务使用者的角色，为服务使用节点，即资源访问者可通过节点201、节点202以及节点203到节点121和节点122去下载自己需要的MP3共享文件。用户标识注册服务器210为接入系统200的每个用户(包括资源拥有者和资源访问者)颁发标识用户身份的用户标识信息，以便每个用户有确定的身份。权限颁发服务器220用于接收MP3资源拥有者的资源注册请求信息，根据所述请求信息对所述资源拥有者拥有的MP3资源进行登记，并接收资源访问者针对所述登记的所述MP3资源发送的权限注册请求信息，根据所述权限注册请求信息为所述资源访问者颁发使用所述MP3资源的使用权限。当资源访问者通过节点201、节点202或节点203接入P2P网络并通过P2P网络资源查找算法找到所需的MP3共享资源存储在节点221或节点222后，向服务提供节点221或222发送MP3资源使用请求，服务提供节点221或222只需根据所述资源访问者的用户标识信息查询由所述权限颁发服务器220颁发给所述资源访问者的所述MP3使用权限信息，并根据查询获得的所述使用权限信息对所述资源访问者进行权限验证，并在资源访问者通过权限验证后，为资源访问者提供MP3资源服务。所述的资源查找算法与资源映射到网络中服务提供节点中存储的算法一致，由于网络中所有节点都有唯一的标识，网络中的所有的资源也都有唯一的标识，则通过资源和节点标识符的唯一性，可将资源唯一映射到网络中的某个节点，比如，可以将资源存储在标识符在数值上比所述资源标识符大且与所述资源标识符相差最小的节点中，资源访问者通过相同的方法即可找到自己需要的资源所在的位置。

为方便服务提供节点查询用户的使用权限信息，可以通过用户标识与权限映射表来存储用户对所述资源的使用权限。所述映射表存储了所述用户对所有能够访问的资源的使用权限，这样网络中的每个用户都有唯一的资源使用权限信息。权限颁发服务器220可以在本服务器中存储所述映射表，也可采用将资源映射到P2P网络中节点中的方式将所述映射表映射到P2P网络中进行存储。将用户使用权限分配在P2P网络中存储可有效均衡查询所述使用权限信息的负载，防止网络瓶颈的产生。

本发明实施例通过权限颁发服务器为资源访问者提供统一的权限注册请求和颁发权限，而作为服务提供者的服务提供节点只需在资源访问者请求资源使用时验证所述资源访问者的用户权限即可实现权限管理，大大减轻了服务提供者进行权限管理的负担。

以上所揭露的仅为本发明一种较佳实施例而已，然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。