[发明专利]提供对存储在云平台的安全数据区中的数据的访问的方法和系统

说明书

本发明涉及一种用于通过应用程序(APP)提供对存储在云平台(2)的安全数据区SDZ(7)中的数据的访问的方法和系统，该方法包括以下步骤：响应于从云平台(2)的查询应用程序(APP)接收到的查询Q，基于由访问管理器模块AM(4)确定接收到的查询Q中包括的第一访问令牌FAT是否属于在访问管理器模块(4)上注册的应用程序(APP)以及接收到的查询Q中指定的用户是否被允许使用注册的应用程序(APP)，由云平台(2)的访问管理器模块AM(4)确定(S1)用于安全数据区SDZ(7)的证书；以及由云平台(2)的访问管理器模块AM(4)确定(S2)第二访问令牌SAT，该第二访问令牌SAT基于查询应用程序(APP)的所确定的证书而生成，该查询应用程序使用返回的第二访问令牌SAT来获得对存储在安全数据区SDZ(7)中的待由查询应用程序(APP)处理的数据的访问。

背景技术

在许多使用案例中，运营商或服务提供者可以向用户提供应用程序。这样的应用程序需要访问权限来特别地在云平台上运行。可以执行应用程序以分析例如由云平台的用户的自动化系统生成的数据。因此，服务提供者向用户提供的应用程序需要访问权限来执行相应用户的相关数据的读取和/或写入访问。对于多个用户，这可能证明难以实施，因为每个用户可具有其自己的证书以在由用户执行时为一个或多个应用程序提供读取和/或写入权限。

发明内容

因此，本发明的目的是提供应用程序对数据的有效率的访问，特别是对多个(不同的)用户的数据的有效率的访问，或者对存储在不同存储器(例如具有不同安全访问级别的存储器)中的数据的有效率的访问。

根据本发明的第一方面，该目的通过包括权利要求1的特征的方法来实现。

本发明提供一种用于通过应用程序提供对存储在云平台的客户的安全数据区中的数据的访问的方法。该方法包括以下步骤：

响应于从云平台的查询应用程序接收到的查询，基于由访问管理器模块确定接收到的查询中包括的第一访问令牌是否属于在访问管理器模块上注册的应用程序以及接收到的查询中指定的用户是否被允许使用注册的应用程序，由云平台的访问管理器模块确定或优选地检索用于安全数据区的证书；以及

由云平台的访问管理器模块确定或优选地返回第二访问令牌，该第二访问令牌基于检索到的查询应用程序的证书生成，以获得对存储在安全数据区中的待由查询应用程序处理的数据的访问。

在根据本发明的第一方面的方法的可能实施例中，该应用程序由服务提供者模块在云平台的访问管理器模块处注册，用于分配包括管理器访问登录名和/或管理器访问密码的至少一个第一访问令牌。

在根据本发明的第一方面的方法的可能实施例中，由相应应用程序的服务提供者的服务提供者模块向云平台的访问管理器模块通知第一用户与第二用户之间的关系，特别是服务提供者与客户之间的关系，该关系允许相应用户(例如客户)使用在访问管理器模块处注册的服务提供者的应用程序。

在根据本发明的第一方面的方法的可能实施例中，当在用户的客户端装置上启动应用程序时，由查询应用程序将查询发送到访问管理器模块。

在根据本发明的第一方面的方法的可能实施例中，用于用户的安全数据区的证书包括用户名和/或密码。

在根据本发明第一方面的方法的另一可能实施例中，第二访问令牌由云平台的身份和访问管理单元生成。

在根据本发明第一方面的方法的另一可能实施例中，查询应用程序使用返回的第二访问令牌来执行对存储在相应用户的安全数据区中的数据的读访问和/或写访问。

在根据本发明的第一方面的方法的又一可能实施例中，存储在由查询应用程序访问的用户的安全数据区中的数据由应用程序处理以评估和/或操纵用户的数据，特别是物联网IoT数据。

在根据本发明的第一方面的方法的又一可能实施例中，用户的安全数据区包括在与云平台连接或形成云平台的一部分的数据存储资源中的逻辑分离的数据存储区。