本發(fā)明涉及計(jì)算機(jī)領(lǐng)域，尤其是涉及一種服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法及裝置。

背景技術(shù)：

對于大型系統(tǒng)中對外暴露的服務(wù)發(fā)現(xiàn)組件而言，需要管理每個(gè)用戶的權(quán)限，讓用戶只能操作自己所屬的資源。

一般地控制用戶權(quán)限方法，是將每個(gè)用戶帳號對應(yīng)的權(quán)限存儲在系統(tǒng)后端的數(shù)據(jù)庫內(nèi)。用戶每次訪問時(shí)，需發(fā)送用戶帳號的秘鑰，并通過數(shù)據(jù)庫查詢進(jìn)行校驗(yàn)鑒權(quán)，完成授信。但上述方法對于訪問量巨大的服務(wù)發(fā)現(xiàn)組件而言，每個(gè)用戶的每次訪問都需要查詢數(shù)據(jù)庫，這導(dǎo)致了數(shù)據(jù)庫的壓力過高，成為系統(tǒng)的瓶頸，使系統(tǒng)無法承載更大的訪問量。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于提供一種服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法及裝置，該方法和裝置通過證書的方式攜帶信息，避免了存儲權(quán)限的數(shù)據(jù)庫壓力過高。

為實(shí)現(xiàn)上述發(fā)明目的之一，本發(fā)明一實(shí)施方式提供了一種服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法，所述方法包括：

接收客戶端證書；

通過服務(wù)發(fā)現(xiàn)組件內(nèi)的數(shù)字證書認(rèn)證中心對所述客戶端證書進(jìn)行認(rèn)定；

若信任所述客戶端證書，則根據(jù)所述客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述客戶端證書的內(nèi)容包括角色信息和訪問目的信息。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，“根據(jù)所述客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限”具體包括：

授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，“授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限”步驟包括：

判斷所述客戶端證書的類型；

若所述客戶端證書是個(gè)人證書，則根據(jù)所述個(gè)人證書中的訪問目的信息，映射至所述服務(wù)發(fā)現(xiàn)組件中相應(yīng)路徑；

若所述客戶端證書是管理證書，則授予發(fā)送所述客戶端證書的終端管理所述服務(wù)發(fā)現(xiàn)組件的管控權(quán)限。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述方法還包括：

構(gòu)建數(shù)字證書認(rèn)證中心，所述數(shù)字證書認(rèn)證中心包括可簽發(fā)個(gè)人證書的第一簽發(fā)機(jī)構(gòu)和可簽發(fā)管理證書的第二簽發(fā)機(jī)構(gòu)。

為實(shí)現(xiàn)上述發(fā)明目的之一，本發(fā)明一實(shí)施方式提供了一種服務(wù)發(fā)現(xiàn)組件的權(quán)限控制模塊，所述模塊包括：

網(wǎng)絡(luò)模塊，用于接收客戶端證書；

處理模塊，用于通過服務(wù)發(fā)現(xiàn)組件內(nèi)的數(shù)字證書認(rèn)證中心對所述客戶端證書進(jìn)行認(rèn)定；以及

若信任所述客戶端證書，則根據(jù)所述客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述客戶端證書的內(nèi)容包括角色信息和訪問目的信息。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述處理模塊還用于：

授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述處理模塊具體用于：

判斷所述客戶端證書的類型；

若所述客戶端證書是個(gè)人證書，則根據(jù)所述個(gè)人證書中的訪問目的信息， 映射至所述服務(wù)發(fā)現(xiàn)組件中相應(yīng)路徑；

若所述客戶端證書是管理證書，則授予發(fā)送所述客戶端證書的終端管理所述服務(wù)發(fā)現(xiàn)組件的管控權(quán)限。

作為本發(fā)明一實(shí)施方式的進(jìn)一步改進(jìn)，所述裝置還包括認(rèn)證模塊，所述認(rèn)證模塊用于：

構(gòu)建數(shù)字證書認(rèn)證中心，所述數(shù)字證書認(rèn)證中心包括可簽發(fā)個(gè)人證書的第一簽發(fā)機(jī)構(gòu)和可簽發(fā)管理證書的第二簽發(fā)機(jī)構(gòu)。

相對于現(xiàn)有技術(shù)，本發(fā)明的服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法及裝置，采用數(shù)字證書認(rèn)定的方式進(jìn)行權(quán)限控制，減少了服務(wù)器端數(shù)據(jù)庫的存儲壓力。

附圖說明

圖1是本發(fā)明一實(shí)施方式中服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法的流程圖。

圖2是本發(fā)明一實(shí)施方式中服務(wù)發(fā)現(xiàn)組件的權(quán)限控制裝置的模塊圖。

具體實(shí)施方式

以下將結(jié)合附圖所示的具體實(shí)施方式對本發(fā)明進(jìn)行詳細(xì)描述。但這些實(shí)施方式并不限制本發(fā)明，本領(lǐng)域的普通技術(shù)人員根據(jù)這些實(shí)施方式所做出的結(jié)構(gòu)、方法、或功能上的變換均包含在本發(fā)明的保護(hù)范圍內(nèi)。

一般地，服務(wù)發(fā)現(xiàn)組件記錄了大型系統(tǒng)中所有服務(wù)的信息，用戶或者其它服務(wù)可以據(jù)此找到大型系統(tǒng)中的服務(wù)。

這樣的場景下，由于對服務(wù)的訪問量較大，若通過傳統(tǒng)的用戶權(quán)限控制方法，非常容易導(dǎo)致系統(tǒng)后端的數(shù)據(jù)庫壓力過高，成為系統(tǒng)的瓶頸，另外，對于訪問頻繁的服務(wù)發(fā)現(xiàn)組件，每個(gè)用戶帳號的每次請求都需要進(jìn)行鑒權(quán)，非常消耗存儲、網(wǎng)絡(luò)帶寬和機(jī)器的性能。

在本發(fā)明中，基于服務(wù)發(fā)現(xiàn)組件的應(yīng)用場景，在對用戶權(quán)限的控制時(shí)，不再基于查詢系統(tǒng)后端的數(shù)據(jù)庫，而通過數(shù)字證書認(rèn)定的方式，在服務(wù)發(fā)現(xiàn)組件內(nèi)完成權(quán)限控制，如此，可大大緩解數(shù)據(jù)庫的壓力，使得系統(tǒng)性能更優(yōu)， 且通過數(shù)字證書認(rèn)定的方式，避免了對每次請求進(jìn)行鑒權(quán)，減少了存儲、網(wǎng)絡(luò)帶寬和機(jī)器性能的消耗。

如圖1所示，在本發(fā)明一實(shí)施方式中，所述服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法包括：

s1、接收客戶端證書；

s2、通過服務(wù)發(fā)現(xiàn)組件內(nèi)的數(shù)字證書認(rèn)證中心對所述客戶端證書進(jìn)行認(rèn)定；

s3、若信任所述客戶端證書，則根據(jù)所述客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限。

具體地，所述客戶端證書是由對應(yīng)的終端向服務(wù)發(fā)現(xiàn)組件中任意的服務(wù)發(fā)現(xiàn)節(jié)點(diǎn)傳遞的，在本實(shí)施方式中，所述客戶端證書是由所述服務(wù)發(fā)現(xiàn)組件頒發(fā)，所述客戶端證書的內(nèi)容包括角色信息和訪問目的信息。

在服務(wù)發(fā)現(xiàn)節(jié)點(diǎn)接收到客戶端證書后，可通過服務(wù)發(fā)現(xiàn)組件中的數(shù)字證書認(rèn)證中心對該客戶端證書進(jìn)行認(rèn)定，若所述數(shù)字證書認(rèn)證中心信任接收到的客戶端證書(例如判斷出該客戶端證書是由該服務(wù)發(fā)現(xiàn)組件頒發(fā)的)，則通過認(rèn)定；若所述數(shù)字認(rèn)證中心不信任接收到的客戶端證書(例如判斷出該客戶端證書不是由該服務(wù)發(fā)現(xiàn)組件頒發(fā)的)，則不通過認(rèn)定。

當(dāng)通過認(rèn)定后，所述服務(wù)發(fā)現(xiàn)組件可根據(jù)接收到的客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限。

一般地，為了能更好的管控所述服務(wù)發(fā)現(xiàn)組件，在服務(wù)發(fā)現(xiàn)組件內(nèi)，會設(shè)置至少一個(gè)管理賬號，當(dāng)通過管理帳號登錄后，可管控服務(wù)發(fā)現(xiàn)組件。在通過傳統(tǒng)的秘鑰和數(shù)據(jù)庫查詢鑒權(quán)時(shí)，因數(shù)據(jù)庫中存儲有對應(yīng)用戶帳號的權(quán)限，故可通過數(shù)據(jù)庫的查詢，獲知用戶帳號對應(yīng)的權(quán)限是否為管控權(quán)限。然而，在本發(fā)明中，不再基于查詢系統(tǒng)后端的數(shù)據(jù)庫，為了方便管控服務(wù)發(fā)現(xiàn)組件，在本實(shí)施方式中，將客戶端證書分為不同類型，以便授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限。

具體地，在本實(shí)施方式中，所述客戶端證書包括兩種類型的證書，一種是個(gè)人證書，一種是管理證書。當(dāng)然，在其他實(shí)施方式中，該客戶端證書還 可根據(jù)需要包括其他類型的證書。以下將以客戶端證書為個(gè)人證書或管理證書為例進(jìn)行說明。

為了授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限，在本實(shí)施方式中，所述服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法還包括：

判斷所述客戶端證書的類型；

若所述客戶端證書是個(gè)人證書，則根據(jù)所述個(gè)人證書中的訪問目的信息，映射至所述服務(wù)發(fā)現(xiàn)組件中相應(yīng)路徑；

若所述客戶端證書是管理證書，則授予發(fā)送所述客戶端證書的終端管理所述服務(wù)發(fā)現(xiàn)組件的管控權(quán)限。

具體地，可通過客戶端證書中的角色信息判斷所述客戶端證書的類型。對于個(gè)人證書而言，服務(wù)發(fā)現(xiàn)組件對發(fā)送個(gè)人證書的終端僅開通對應(yīng)其個(gè)人的權(quán)限，使通過個(gè)人證書認(rèn)定的終端僅能操作其自己所屬的資源；對于管理證書而言，服務(wù)發(fā)現(xiàn)組件可對發(fā)送管理證書的終端開放預(yù)設(shè)的所有權(quán)限，使通過管理證書認(rèn)定的終端可對服務(wù)發(fā)現(xiàn)組件進(jìn)行管理。

進(jìn)一步地，客戶端證書均由所述服務(wù)發(fā)現(xiàn)組件頒發(fā)。為了能實(shí)現(xiàn)針對不同類型的客戶端，頒發(fā)不同類型的客戶端證書，在本實(shí)施方式中，需首先在服務(wù)發(fā)現(xiàn)組件中構(gòu)建數(shù)字證書認(rèn)證中心，以通過數(shù)字證書認(rèn)證中心向客戶端頒發(fā)證書。

進(jìn)一步地，所述數(shù)字證書認(rèn)證中心包括可簽發(fā)個(gè)人證書的第一簽發(fā)機(jī)構(gòu)和可簽發(fā)管理證書的第二簽發(fā)機(jī)構(gòu)，即通過一個(gè)數(shù)字證書認(rèn)證中心即可頒發(fā)個(gè)人證書，也可頒發(fā)管理證書。簽發(fā)的客戶端證書可發(fā)送給對應(yīng)終端存儲。當(dāng)然，該數(shù)字證書認(rèn)證中心可對個(gè)人證書進(jìn)行認(rèn)定，也可對管理證書進(jìn)行認(rèn)定。

如圖2所示，在本發(fā)明一實(shí)施方式中，所述服務(wù)發(fā)現(xiàn)組件的權(quán)限控制裝置，包括：

網(wǎng)絡(luò)模塊100，用于接收客戶端證書；

處理模塊200，用于通過服務(wù)發(fā)現(xiàn)組件內(nèi)的數(shù)字證書認(rèn)證中心對所述客戶端證書進(jìn)行認(rèn)定；以及

若信任所述客戶端證書，則根據(jù)所述客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限。

具體地，所述客戶端證書是由對應(yīng)的終端向服務(wù)發(fā)現(xiàn)組件中任意的服務(wù)發(fā)現(xiàn)節(jié)點(diǎn)傳遞的，在本實(shí)施方式中，所述客戶端證書是由所述服務(wù)發(fā)現(xiàn)組件頒發(fā)，所述客戶端證書的內(nèi)容包括角色信息和訪問目的信息。

在服務(wù)發(fā)現(xiàn)節(jié)點(diǎn)接收到客戶端證書后，可通過服務(wù)發(fā)現(xiàn)組件中的數(shù)字證書認(rèn)證中心對該客戶端證書進(jìn)行認(rèn)定，若所述數(shù)字證書認(rèn)證中心信任接收到的客戶端證書(例如判斷出該客戶端證書是由該服務(wù)發(fā)現(xiàn)組件頒發(fā)的)，則通過認(rèn)定；若所述數(shù)字認(rèn)證中心不信任接收到的客戶端證書(例如判斷出該客戶端證書不是由該服務(wù)發(fā)現(xiàn)組件頒發(fā)的)，則不通過認(rèn)定。

當(dāng)通過認(rèn)定后，所述服務(wù)發(fā)現(xiàn)組件可根據(jù)接收到的客戶端證書中的內(nèi)容授予發(fā)送所述客戶端證書的終端對應(yīng)的權(quán)限。

一般地，為了能更好的管控所述服務(wù)發(fā)現(xiàn)組件，在服務(wù)發(fā)現(xiàn)組件內(nèi)，會設(shè)置至少一個(gè)管理賬號，當(dāng)通過管理帳號登錄后，可管控服務(wù)發(fā)現(xiàn)組件。在通過傳統(tǒng)的秘鑰和數(shù)據(jù)庫查詢鑒權(quán)時(shí)，因數(shù)據(jù)庫中存儲有對應(yīng)用戶帳號的權(quán)限，故可通過數(shù)據(jù)庫的查詢，獲知用戶帳號對應(yīng)的權(quán)限是否為管控權(quán)限。然而，在本發(fā)明中，不再基于查詢系統(tǒng)后端的數(shù)據(jù)庫，為了方便管控服務(wù)發(fā)現(xiàn)組件，在本實(shí)施方式中，將客戶端證書分為不同類型，以便授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限。

具體地，在本實(shí)施方式中，所述客戶端證書包括兩種類型的證書，一種是個(gè)人證書，一種是管理證書。當(dāng)然，在其他實(shí)施方式中，該客戶端證書還可根據(jù)需要包括其他類型的證書。以下將以客戶端證書為個(gè)人證書或管理證書為例進(jìn)行說明。

為了授予發(fā)送不同類型的客戶端證書的終端不同的權(quán)限，在本實(shí)施方式中，所述處理模塊200還用于：

判斷所述客戶端證書的類型；

若所述客戶端證書是個(gè)人證書，則根據(jù)所述個(gè)人證書中的訪問目的信息， 映射至所述服務(wù)發(fā)現(xiàn)組件中相應(yīng)路徑；

若所述客戶端證書是管理證書，則授予發(fā)送所述客戶端證書的終端管理所述服務(wù)發(fā)現(xiàn)組件的管控權(quán)限。

具體地，可通過客戶端證書中的角色信息判斷所述客戶端證書的類型。對于個(gè)人證書而言，服務(wù)發(fā)現(xiàn)組件對發(fā)送個(gè)人證書的終端僅開通對應(yīng)其個(gè)人的權(quán)限，使通過個(gè)人證書認(rèn)定的終端僅能操作其自己所屬的資源；對于管理證書而言，服務(wù)發(fā)現(xiàn)組件可對發(fā)送管理證書的終端開放預(yù)設(shè)的所有權(quán)限，使通過管理證書認(rèn)定的終端可對服務(wù)發(fā)現(xiàn)組件進(jìn)行管理。

進(jìn)一步地，客戶端證書均由所述服務(wù)發(fā)現(xiàn)組件頒發(fā)。為了能實(shí)現(xiàn)針對不同類型的客戶端，頒發(fā)不同類型的客戶端證書，在本實(shí)施方式中，所述裝置還包括認(rèn)證模塊300，所述認(rèn)證模塊300用于在服務(wù)發(fā)現(xiàn)組件中構(gòu)建數(shù)字證書認(rèn)證中心，以通過數(shù)字證書認(rèn)證中心向客戶端頒發(fā)證書。

進(jìn)一步地，所述數(shù)字證書認(rèn)證中心包括可簽發(fā)個(gè)人證書的第一簽發(fā)機(jī)構(gòu)和可簽發(fā)管理證書的第二簽發(fā)機(jī)構(gòu)，即通過一個(gè)數(shù)字證書認(rèn)證中心即可頒發(fā)個(gè)人證書，也可頒發(fā)管理證書。簽發(fā)的客戶端證書可通過網(wǎng)絡(luò)模塊100發(fā)送給對應(yīng)終端存儲。當(dāng)然，該數(shù)字證書認(rèn)證中心可對個(gè)人證書進(jìn)行認(rèn)定，也可對管理證書進(jìn)行認(rèn)定。

綜上所述，本發(fā)明的服務(wù)發(fā)現(xiàn)組件的權(quán)限控制方法及裝置，采用數(shù)字證書認(rèn)定的方式進(jìn)行權(quán)限控制，減少了服務(wù)器端數(shù)據(jù)庫的存儲壓力。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的裝置，裝置和模塊的具體工作過程，可以參考前述方法實(shí)施方式中的對應(yīng)過程，在此不再贅述。

在本發(fā)明所提供的幾個(gè)實(shí)施方式中，應(yīng)該理解到，所揭露的裝置，裝置和方法，可以通過其它的方式實(shí)現(xiàn)。例如，以上所描述的裝置實(shí)施方式僅僅是示意性的，例如，所述模塊的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)模塊或組件可以結(jié)合或者可以集成到另一個(gè)裝置，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所展示或討論的相互 之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或模塊的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說明的模塊可以是或者也可以不是物理上分開的，作為模塊展示的部件可以是或者也可以不是物理模塊，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)模塊上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施方式方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施方式中的各功能模塊可以集成在一個(gè)決策模塊中，也可以是各個(gè)模塊單獨(dú)物理存在，也可以2個(gè)或2個(gè)以上模塊集成在一個(gè)模塊中。上述集成的模塊既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能模塊的形式實(shí)現(xiàn)。

上述以軟件功能模塊的形式實(shí)現(xiàn)的集成的模塊，可以存儲在一個(gè)計(jì)算機(jī)可讀取存儲介質(zhì)中。上述軟件功能模塊存儲在一個(gè)存儲介質(zhì)中，包括若干指令用以使得一臺計(jì)算機(jī)裝置(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)裝置等)或處理器(processor)執(zhí)行本發(fā)明各個(gè)實(shí)施方式所述方法的部分步驟。而前述的存儲介質(zhì)包括：u盤、移動(dòng)硬盤、只讀存儲器(read-onlymemory，rom)、隨機(jī)存取存儲器(randomaccessmemory，ram)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

最后應(yīng)說明的是：以上實(shí)施方式僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實(shí)施方式對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實(shí)施方式所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施方式技術(shù)方案的精神和范圍。