客戶關系管理系統(tǒng)訪問控制方法
【專利摘要】本發(fā)明提供了一種客戶關系管理系統(tǒng)訪問控制方法，該方法包括：將客戶管理服務部署在PaaS私有云平臺，并在該云平臺中加入身份驗證，用戶通過調用PaaS私有云平臺提供的接口，并在完成身份驗證后使用該服務。本發(fā)明提出了一種客戶關系管理系統(tǒng)訪問控制方法，在云平臺下搭建客戶關系管理系統(tǒng)服務，供企業(yè)按需租用，降低了企業(yè)成本，并通過用戶訪問控制來保證企業(yè)信息的安全性。
【專利說明】
客戶關系管理系統(tǒng)訪問控制方法
技術領域
[0001]本發(fā)明涉及云計算，特別涉及一種客戶關系管理系統(tǒng)訪問控制方法。
【背景技術】
[0002]企業(yè)客戶管理系統(tǒng)給企業(yè)帶來了便利，以更好地管理客戶為中心，通過客戶聯(lián)絡、客戶管理和客戶挖掘為企業(yè)維系和擴大客戶群體。采用傳統(tǒng)的部署方式，企業(yè)客戶管理系統(tǒng)在小型企業(yè)的使用卻發(fā)展緩慢，原因就是系統(tǒng)投資較大、實施周期漫長以及短期收益不明顯，這使得企業(yè)客戶管理系統(tǒng)在小型企業(yè)的應用止步。面對市場激烈的競爭，小型企業(yè)更需要快速地把握市場動態(tài)，更需要不斷吸收新的客戶群體，但小型企業(yè)需要的是低投入的、使用簡單方便的企業(yè)客戶管理系統(tǒng)。而隨著云計算的興起，將企業(yè)客戶管理系統(tǒng)部署到基于開源云平臺下，不但可以整合網絡中大量的資源，而且可以有效降低企業(yè)的使用費用。企業(yè)可以通過按需使用的模式自行組合客戶管理模塊，根據需要即時獲取客戶管理服務。但是，現有云平臺并不能完全符合企業(yè)客戶管理系統(tǒng)身份驗證的要求，在設計時不論選用何種身份驗證模型，該系統(tǒng)的安全配置信息都已經被固定，靈活性和適應性有待提高。

【發(fā)明內容】

[0003]為解決上述現有技術所存在的問題，本發(fā)明提出了一種客戶關系管理系統(tǒng)訪問控制方法，包括:
[0004]將客戶管理服務部署在PaaS私有云平臺，并在該云平臺中加入身份驗證，用戶通過調用PaaS私有云平臺提供的接口，并在完成身份驗證后使用該服務。
[0005]優(yōu)選地，所述PaaS私有云平臺包括:應用層、服務層、讀寫層以及存儲層，在應用層中包括Web應用、Web服務和開發(fā)接口三種服務模式，Web應用直接響應用戶從瀏覽器發(fā)送的請求，企業(yè)級用戶采用用戶租用與服務裝配的方式實現企業(yè)客戶管理系統(tǒng)應用的定制;Web服務通過調用服務層提供的接口實現服務調用;開發(fā)接口通過調用服務層提供的接口實現可定制開發(fā);多個Web應用服務器之間實現負載均衡，對應用請求進行分流，提供對高并發(fā)的支持;所述服務層包括通用服務、基礎服務和業(yè)務服務三個模塊;其中通用服務提供了日志管理、通信管理接口 ；基礎服務提供了用戶管理、身份驗證管理、計費管理接口 ；業(yè)務服務提供了客戶管理、訂單管理以及與業(yè)務邏輯相關的接口；各個服務模塊采用分布式部署，或采用不同的平臺開發(fā)，所述讀寫層提供了不同數據源的數據訪問接口，支持對分布式文件系統(tǒng)、分布式集群數據庫的透明存??；
[0006]所述PaaS私有云平臺中的企業(yè)客戶管理系統(tǒng)將所有的功能封裝為服務的形式;客戶通過定制并組裝服務的形式獲取所需要的功能;企業(yè)利用平臺提供服務查詢接口查詢所有可用的服務，并根據需要申請開放相應的服務;平臺收集小型企業(yè)對企業(yè)客戶管理系統(tǒng)的個性化需求;通過企業(yè)軟件的接口層，實現企業(yè)軟件層與企業(yè)客戶管理系統(tǒng)軟件云計算資源之間的連接通道，具體包括標準協(xié)議和協(xié)商機制的制定、不同計算資源的選取、組合規(guī)貝IJ;通過PaaS私有云平臺提供的云存儲數據接口，實現企業(yè)客戶管理系統(tǒng)的數據迀移，將企業(yè)客戶管理系統(tǒng)涉及的數據信息存儲至云計算平臺。
[0007]本發(fā)明相比現有技術，具有以下優(yōu)點:
[0008]本發(fā)明提出了一種客戶關系管理系統(tǒng)訪問控制方法，在云平臺下搭建客戶關系管理系統(tǒng)服務，供企業(yè)按需租用，降低了企業(yè)成本，并通過用戶訪問控制來保證企業(yè)信息的安全性。
【附圖說明】
[0009]圖1是根據本發(fā)明實施例的客戶關系管理系統(tǒng)訪問控制方法的流程圖。
【具體實施方式】
[0010]下文與圖示本發(fā)明原理的附圖一起提供對本發(fā)明一個或者多個實施例的詳細描述。結合這樣的實施例描述本發(fā)明，但是本發(fā)明不限于任何實施例。本發(fā)明的范圍僅由權利要求書限定，并且本發(fā)明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細節(jié)以便提供對本發(fā)明的透徹理解。出于示例的目的而提供這些細節(jié)，并且無這些具體細節(jié)中的一些或者所有細節(jié)也可以根據權利要求書實現本發(fā)明。
[0011]本發(fā)明的一方面提供了一種客戶關系管理系統(tǒng)訪問控制方法。圖1是根據本發(fā)明實施例的客戶關系管理系統(tǒng)訪問控制方法流程圖。
[0012]本發(fā)明在PaaS私有云平臺企業(yè)客戶管理系統(tǒng)中加入身份驗證，用戶需要使用客戶管理服務時可以通過調用云平臺提供的接口來進行使用，身份驗證的總體過程包括:
[0013]用戶向PaaS私有云平臺發(fā)送登錄請求，登錄請求包括要訪問的資源，以及對資源的訪問方式信息；云平臺解析用戶發(fā)來的登錄請求，獲取請求方的ID、屬性證書等信息，然后將用戶信息和請求與驗證策略進行匹配;根據用戶信息和請求與驗證策略的匹配結果判斷是否允許登錄和訪問，并將結果發(fā)送給用戶。
[0014]企業(yè)客戶管理系統(tǒng)采用基于用戶群與角色的分層取回策略。其中根據用戶群定義該用戶群定制的服務集與數據訪問權限;根據用戶隸屬的角色定義用戶的操作權限。身份驗證服務涉及的實體包括企業(yè)、部門、用戶、角色、權限、資源、操作。企業(yè)通過付費后可以使用企業(yè)客戶管理系統(tǒng)，一個企業(yè)可以有多個用戶。每個企業(yè)申請到服務之后所有針對服務的操作都是供給本企業(yè)內部用戶使用的。部門是對用戶的分類，用戶和部門是多對一的關系。一個企業(yè)有多個部門。用戶中，管理用戶是企業(yè)管理服務和普通用戶的最高權限的用戶;普通用戶是直接使用服務進行業(yè)務操作的用戶。管理用戶為普通用戶新建帳戶，包括添加普通用戶，添加角色、添加權限、添加部門、為角色綁定權限、為用戶綁定角色、為用戶綁定權限等一系列操作。普通用戶獲取與其角色相對應的權限功能，用戶存取服務的權限限制在角色以及單獨為其綁定的權限之內。用戶通過角色獲取權限功能，權限通過角色賦給用戶。一個角色可以綁定若干個權限。資源是被保護的對象，包含硬件、軟件以及數據。操作是存取資源后可以對資源進行的行為集合，包含讀取、寫入、刪除、查詢、編輯這些針對資源的行為。
[0015]在數據庫表中需要建立企業(yè)表、部門表、角色表、用戶表、權限表、資源表、操作表、用戶角色表、用戶權限表、角色權限表、用戶角色權限選擇表。本發(fā)明的身份驗證服務是嵌入在企業(yè)客戶管理系統(tǒng)中的，使用前需要注冊和登錄系統(tǒng)，登錄后，企業(yè)管理者可以對企業(yè)內部用戶進行管理，包括添加用戶、查詢用戶權限、賦予用戶角色、賦予用戶權限、新建角色、賦予角色權限、新建權限。首先企業(yè)以一個租戶單位注冊申請服務，獲得一個企業(yè)管理用戶的帳戶，然后企業(yè)管理用戶登錄平臺，為企業(yè)的普通用戶創(chuàng)建帳戶并創(chuàng)建角色，為普通用戶分配角色，然后普通用戶在權限范圍內使用服務。建立用戶和角色的關系，通過角色推導用戶的訪問權限。
[0016]角色表中指定上級角色編號，形成了一棵角色樹，從而擴展和自定義角色樹。用戶角色權限選擇表指明當前描述的具體請求。通過請求名稱的層級，映射到具體處理該請求的過程。并且添加附加信息指明當前記錄描述的請求所具有的特征。
[0017]角色權限繼承是指在屬性結構中，一個角色可以繼承其子樹中角色的所有權限。每一個角色的權限來自于繼承和當前角色獨特的權限。在角色權限配置的過程中只需要配置其獨特的權限。用戶和角色的松耦合可以方便在企業(yè)內人事變化的同時，修改用戶所在的角色類別。同時由于訪問權限和用戶的關系是間接性通過角色來連接的，所以在改變用戶所在角色的同時，修改了用戶對應的角色授權訪問權限。
[0018]在繼承用戶個人授權的角色集合中獲取最低等級的角色。把角色組織成多叉樹結構，采用尋找角色樹中多個角色結點的最近公共祖先的方法，可以一次性找到所有用戶的最低上級，并且把運算結果全部寫入緩存。提高個人授權繼承關系的實現效率。服務端截取到用戶請求的URL時，經過權限檢測，若該用戶對當前請求的操作沒有權限，則返回拒絕請求的響應內容。如果權限檢查通過，繼續(xù)執(zhí)行請求對應的操作代碼，返回最終的處理結果。
[0019]在業(yè)務的運作中，若有第三方用戶，即不屬于該企業(yè)的用戶需要參與該企業(yè)下的指定資源操作，對應企業(yè)的管理者可以使用個人授權的機制對其進行授權，在授予用戶指定資源指定流程的寫操作權限同時，配置該用戶是否對指定資源的其他流程擁有讀權限。對不具有權限的其他操作將讀寫請求分開，既保證該用戶參與到企業(yè)運作中，又保證了業(yè)務數據的安全。默認所有和資源綁定的工作流均滿足角色的權限繼承關系，僅在企業(yè)人員變更時，修改人員與角色的映射關系;如果用戶請求進行擴展更加細致的控制粒度，定制開發(fā)時只需要增加請求的附加信息即可。
[0020]系統(tǒng)采用多層次、多應用的系統(tǒng)架構。共分為四個層次:應用層、服務層、讀寫層以及存儲層。應用層提供了三種服務模式。Web應用直接響應用戶從瀏覽器發(fā)送的請求，企業(yè)級用戶采用用戶租用與服務裝配的方式實現企業(yè)客戶管理系統(tǒng)應用的定制;Web服務通過調用服務層提供的接口實現服務調用;開發(fā)接口通過調用服務層提供的接口實現可定制開發(fā)。多個Web應用服務器之間實現負載均衡，對應用請求進行分流，以提供對高并發(fā)的支持。服務層包括通用服務、基礎服務和業(yè)務服務三個模塊。其中通用服務提供了日志管理、通信管理等通用功能的接口；基礎服務提供了用戶管理、身份驗證管理、計費管理等基礎功能的接口；業(yè)務服務提供了客戶管理、訂單管理等與業(yè)務邏輯相關的接口。各個服務模塊可以采用分布式部署，也可以采用不同的平臺開發(fā)。讀寫層提供了不同數據源的數據訪問接口，可以支持對分布式文件系統(tǒng)、分布式集群數據庫的透明存取。
[0021]PaaS私有云平臺企業(yè)客戶管理系統(tǒng)將所有的功能封裝為服務的形式，僅提供給企業(yè)最基本的功能。客戶可以通過定制并組裝服務的形式獲取所需要的功能。企業(yè)查詢所有可用的服務，并根據需要申請開放相應的服務。
[0022]平臺提供服務查詢接口，使用戶在企業(yè)客戶管理系統(tǒng)組件庫中方便的找到相應功能的組件。平臺收集小型企業(yè)對企業(yè)客戶管理系統(tǒng)PaaS私有云平臺的個性化需求。通過企業(yè)軟件的接口層，實現企業(yè)軟件層與企業(yè)客戶管理系統(tǒng)軟件云計算資源之間的連接通道，具體包括標準協(xié)議和協(xié)商機制的制定、不同計算資源的選取、組合規(guī)則。通過PaaS私有云平臺提供的云存儲數據接口，實現企業(yè)客戶管理系統(tǒng)的數據迀移，將企業(yè)客戶管理系統(tǒng)涉及的數據信息存儲至云計算平臺。
[0023]本發(fā)明采用以下身份驗證方法。使企業(yè)用戶在存取存儲到PaaS私有云平臺客戶關系服務系統(tǒng)中的企業(yè)資源時，通過身份驗證邏輯對用戶權限授予的判斷。保證在云中的企業(yè)資源有效隔離性又可以得到必要的受控共享。
[0024]首先，根據企業(yè)具體的安全需求及其組織結構為企業(yè)和資源定義組織結構屬性標簽。用戶在經過身份認證登錄到系統(tǒng)后，當用戶存取資源時，經過安全配置信息進行判斷，然后確定是否授予相應的權限。
[0025]要在名字節(jié)點中添加身份驗證模型，企業(yè)用戶在存取企業(yè)資源之前，首先通過密鑰服務器和名字節(jié)點進行身份驗證，驗證通過后，在以下身份驗證邏輯中判斷是否授權給用戶。用戶與服務器在密鑰服務器上進行注冊，密鑰服務器生成并分配密鑰服務器與用戶的共享私鑰Kkn，密鑰服務器與名字節(jié)點的共享私鑰Kkn。并設定驗證服務器與令牌服務器之間的共享私鑰為Kat，用戶登錄時，系統(tǒng)請求令牌服務和用戶身份的信息打包發(fā)送給驗證服務器。驗證服務器收到請求后，查詢用戶數據庫，驗證用戶合法后則隨機為用戶生成一個與令牌服務器進行通信的私鑰Kut，然后創(chuàng)建一個授權信令，該信令中包含有用戶名，令牌服務器服務名，用戶地址，當前時間，有效時間和Kut。授權信令使用Kat加密。驗證服務器將用戶授權信令和Kut用用戶和認證服務器的私鑰Ku加密后發(fā)送給用戶。用戶在收到驗證服務器發(fā)送回的消息后，解密得到授權信令和Kut，由于授權信令用Kat加密，因此用戶不能看到授權信令中的內容，這樣保證了只有合法的用戶才能通過令牌服務器的認證，從而得到令牌服務器的服務授權信令。用戶持授權信令并連同請求的服務名用Kut加密發(fā)送給令牌服務器，請求授權信令。令牌服務器收到用戶發(fā)送的服務請求后，用Kat解密授權信令和Kut，再用Kut解密得到用戶信息，并與授權信令中的用戶信息進行對比，驗證用戶是否合法有效，若合法，則為用戶和名字節(jié)點之間生成會話私鑰Kun，并將用戶名，用戶地址，服務名，有效期，時間戳和Kun打包成授權信令ST，并將用Kkn加密的ST和Kun用Kut加密回復給用戶。用戶收到令牌服務器的信息，用Kut解密得到用戶與名字節(jié)點之間的會話私鑰Kun，并將自己的用戶名和地址打包成Au，再將ST和用Kun加密的Au發(fā)送給名字節(jié)點，請求認證。名字節(jié)點收到用戶的信息后，Kkn解密得到用戶名，用戶地址，服務名，有效期和用戶與名字節(jié)點之間的會話私鑰Kun，再用Kun解密得到用戶信息，然后與從ST中得到用戶信息進行對比，進行身份驗證。若身份合法有效，則為用戶生成并頒發(fā)證書，用于用戶在名字節(jié)點上進行身份認證。用戶擁有了證書后，當用戶持證書申請訪問PaaS私有云平臺中的某文件時，名字節(jié)點首先驗證證書是否是合法有效，從而判斷用戶身份是否有效。若身份合法有效，則根據用戶名，用戶地址和服務名查詢元數據，用戶屬性信息庫，以及資源屬性信息庫，查詢到用戶屬性信息，包括用戶真實姓名，用戶所屬企業(yè)，用戶所屬部門，以及工作職務，以及資源屬性信息(如資源所屬企業(yè)，部門，以及所屬的權限)，然后查詢該企業(yè)用戶對所申請存取的資源是否具有相應的訪問權限。
[0026]綜上所述，本發(fā)明提出了一種客戶關系管理系統(tǒng)訪問控制方法，在云平臺下搭建客戶關系管理系統(tǒng)服務，供企業(yè)按需租用，降低了企業(yè)成本，并通過用戶訪問控制來保證企業(yè)信息的安全性。
[0027]顯然，本領域的技術人員應該理解，上述的本發(fā)明的各模塊或各步驟可以用通用的計算系統(tǒng)來實現，它們可以集中在單個的計算系統(tǒng)上，或者分布在多個計算系統(tǒng)所組成的網絡上，可選地，它們可以用計算系統(tǒng)可執(zhí)行的程序代碼來實現，從而，可以將它們存儲在存儲系統(tǒng)中由計算系統(tǒng)來執(zhí)行。這樣，本發(fā)明不限制于任何特定的硬件和軟件結合。
[0028]應當理解的是，本發(fā)明的上述【具體實施方式】僅僅用于示例性說明或解釋本發(fā)明的原理，而不構成對本發(fā)明的限制。因此，在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內。此外，本發(fā)明所附權利要求旨在涵蓋落入所附權利要求范圍和邊界、或者這種范圍和邊界的等同形式內的全部變化和修改例。
【主權項】
1.一種客戶關系管理系統(tǒng)訪問控制方法，其特征在于，包括: 將客戶管理服務部署在PaaS私有云平臺，并在該云平臺中加入身份驗證，用戶通過調用PaaS私有云平臺提供的接口，并在完成身份驗證后使用該服務。2.根據權利要求1所述的方法，其特征在于，所述PaaS私有云平臺包括:應用層、服務層、讀寫層以及存儲層，在應用層中包括Web應用、Web服務和開發(fā)接口三種服務模式，Web應用直接響應用戶從瀏覽器發(fā)送的請求，企業(yè)級用戶采用用戶租用與服務裝配的方式實現企業(yè)客戶管理系統(tǒng)應用的定制;Web服務通過調用服務層提供的接口實現服務調用;開發(fā)接口通過調用服務層提供的接口實現可定制開發(fā);多個Web應用服務器之間實現負載均衡，對應用請求進行分流，提供對高并發(fā)的支持;所述服務層包括通用服務、基礎服務和業(yè)務服務三個模塊;其中通用服務提供了日志管理、通信管理接口；基礎服務提供了用戶管理、身份驗證管理、計費管理接口 ；業(yè)務服務提供了客戶管理、訂單管理以及與業(yè)務邏輯相關的接口 ；各個服務模塊采用分布式部署，或采用不同的平臺開發(fā)，所述讀寫層提供了不同數據源的數據訪問接口，支持對分布式文件系統(tǒng)、分布式集群數據庫的透明存?。?所述PaaS私有云平臺中的企業(yè)客戶管理系統(tǒng)將所有的功能封裝為服務的形式;客戶通過定制并組裝服務的形式獲取所需要的功能;企業(yè)利用平臺提供服務查詢接口查詢所有可用的服務，并根據需要申請開放相應的服務;平臺收集小型企業(yè)對企業(yè)客戶管理系統(tǒng)的個性化需求;通過企業(yè)軟件的接口層，實現企業(yè)軟件層與企業(yè)客戶管理系統(tǒng)軟件云計算資源之間的連接通道，具體包括標準協(xié)議和協(xié)商機制的制定、不同計算資源的選取、組合規(guī)則；通過PaaS私有云平臺提供的云存儲數據接口，實現企業(yè)客戶管理系統(tǒng)的數據迀移，將企業(yè)客戶管理系統(tǒng)涉及的數據信息存儲至云計算平臺。
【文檔編號】H04L29/08GK105871914SQ201610390893
【公開日】2016年8月17日
【申請日】2016年6月3日
【發(fā)明人】郭建鋒
【申請人】成都鏡杰科技有限責任公司