[发明专利]一种能力访问授权方法及系统

说明书

技术领域

本发明属于互联网技术领域，更为具体地讲，涉及一种面向业务能力开放平台的能力访问授权方法。

背景技术

随着移动通信带宽的大幅提高和移动终端的智能化，传统的移动或互联网业务已经不能满足移动终端用户多样化、个性化的需求。为了进一步促进移动互联网业务的繁荣，国内外著名的互联网公司和电信运营商都推出了自己的业务能力开放平台，例如Google App、中国电信的“天翼空间应用工厂”等。这类业务能力开放平台将自己的业务能力封装成统一格式的API接口，向第三方应用开发者（包括企业开发者和个人开发者）提供，从而使移动互联网业务的开发、部署、推广更加便捷。

业务能力开放平台提供的业务能力通常包括短信、语音、定位、手机支付等电信能力，搜索、微博、云存储等互联网能力，以及终端用户的私有数据和信息的访问能力等。

目前，业务能力开放平台的能力访问授权方法处于逐步完善中，还没有综合提供授权管理的方法。例如中国电信的业务能力开放平台只提供第三方应用开发者授权计费的能力访问方式，即开发者必须预先购买相应的能力，第三方应用才能访问所订购的能力接口，还不能提供由终端用户授权计费的能力访问以及由用户授权的私有数据访问等授权管理功能。针对用户私有数据的访问授权，互联网开放平台通常采用基于OAuth协议的授权方法。该方法无需用户向第三方应用暴露自身的身份认证凭证（例如用户名/密码等），即可完成用户对第三方应用在自身范围内数据访问的授权。但是OAuth授权协议主要针对使用第三方应用的终端用户需要访问自身私有数据的情况，没有考虑其他私有数据拥有者提供第三方应用授权访问的功能。此外，OAuth授权协议也没有考虑能力访问的计费授权和SLA系统授权等功能。

发明内容

本发明的目的在于克服现有技术的不足，提供一种完善、综合的面向业务能力开放平台的能力访问授权方法，对第三方应用访问业务能力开放平台提供的业务能力进行授权管理，从而确保业务能力开放平台的业务能力被合法的第三方应用进行合理的访问。

为实现上述发明目的，本发明能力访问授权方法，其特征在于，包括以下步骤：

步骤1、第三方应用向业务能力开放平台的授权系统发送申请某个能力接口访问令牌的请求消息，请求消息至少包括：申请访问的能力接口的名称，能力访问的计费方，第三方应用标识符，授权用户的终端地址，授权用户的终端MSISDN号，需用户授权私有数据的列表，以及含有第三方应用密钥的签名等；

步骤2、业务能力开放平台的授权系统接收申请访问令牌的请求消息，然后进行：

2.1）、验证访问令牌申请请求消息本身的合法性

验证请求消息本身的合法性包括第三方应用的合法性、申请访问的能力接口的合法性以及请求消息参数的合法性；

其中，第三方应用的合法性由请求消息中携带的第三方应用标识符和含有第三方应用密钥的签名为基础进行验证；

申请访问的能力接口的合法性由请求消息中携带的申请访问的能力接口的名称为基础进行验证；

请求消息参数的合法性验证例如请求消息中所有携带参数的格式和范围是否符合规范；

如果请求消息不合法，则授权系统返回“访问令牌申请不合法”的响应消息给第三方应用，终止授权过程，如果请求消息合法，则进行步骤2.2；

2.2）、计费授权与验证

如果申请访问的能力接口是免费的，则直接执行步骤2.3，否则根据请求消息中标识的计费方，计费方根据请求消息中携带的能力访问的计费方参数确定，向计费方发送计费授权的请求消息；

计费方接收计费授权的请求消息，对申请的能力访问的计费进行授权，并将授权信息返回给授权系统；

授权系统根据计费方返回的授权信息进行判断，如果计费方不同意授权，则返回“无计费方授权”的响应消息给第三方应用，终止授权过程；如果计费方同意授权，则要求能力开放平台的计费系统根据计费方式，验证计费方是否合法，如果计费方合法，则执行步骤2.3，否则返回“计费方资费不够”或“信用度不够”的响应消息给第三方应用，终止授权过程；

2.3）、私有数据访问授权与验证

如果申请访问的能力接口不涉及私有数据，则直接执行步骤2.4；否则发送私有数据访问授权的请求消息给私有数据的拥有者，如果该拥有者为在线状态，则其地址由请求消息中携带的授权用户的终端地址标识，如果该拥有者处于离线状态，则其地址由授权用户的终端MSISDN号标识；