[发明专利]客户关系管理系统访问控制方法

摘要

本发明提供了一种客户关系管理系统访问控制方法，该方法包括：将客户管理服务部署在PaaS私有云平台，并在该云平台中加入身份验证，用户通过调用PaaS私有云平台提供的接口，并在完成身份验证后使用该服务。本发明提出了一种客户关系管理系统访问控制方法，在云平台下搭建客户关系管理系统服务，供企业按需租用，降低了企业成本，并通过用户访问控制来保证企业信息的安全性。

主权项

1.一种客户关系管理系统访问控制方法，其特征在于，包括：将客户管理服务部署在PaaS私有云平台，并在该云平台中加入身份验证，用户通过调用PaaS私有云平台提供的接口，并在完成身份验证后使用该服务；所述身份验证包括，云平台解析用户发来的登录请求，获取请求方的ID、属性证书，然后将用户信息和请求与验证策略进行匹配；根据用户信息和请求与验证策略的匹配结果判断是否允许登录和访问，并将结果发送给用户；根据企业具体的安全需求及其组织结构为企业和资源定义组织结构属性标签；用户在经过身份认证登录到系统后，当用户存取资源时，经过安全配置信息进行判断，然后确定是否授予相应的权限；在名字节点中添加身份验证模型，企业用户在存取企业资源之前，首先通过密钥服务器和名字节点进行身份验证，验证通过后，在以下身份验证逻辑中判断是否授权给用户；用户与服务器在密钥服务器上进行注册，密钥服务器生成并分配密钥服务器与用户的共享私钥K_kn，密钥服务器与名字节点的共享私钥K_kn；并设定验证服务器与令牌服务器之间的共享私钥为K_at，用户登录时，系统请求令牌服务和用户身份的信息打包发送给验证服务器；验证服务器收到请求后，查询用户数据库，验证用户合法后则随机为用户生成一个与令牌服务器进行通信的私钥K_ut，然后创建一个授权信令，该信令中包含有用户名，令牌服务器服务名，用户地址，当前时间，有效时间和K_ut；授权信令使用K_at加密；验证服务器将用户授权信令和K_ut用用户和认证服务器的私钥K_u加密后发送给用户；用户在收到验证服务器发送回的消息后，解密得到授权信令和K_ut，保证只有合法的用户才能通过令牌服务器的认证，从而得到令牌服务器的服务授权信令；用户持授权信令并连同请求的服务名用K_ut加密发送给令牌服务器，请求授权信令；令牌服务器收到用户发送的服务请求后，用K_at解密授权信令和K_ut，再用K_ut解密得到用户信息，并与授权信令中的用户信息进行对比，验证用户是否合法有效，若合法，则为用户和名字节点之间生成会话私钥K_un，并将用户名，用户地址，服务名，有效期，时间戳和K_un打包成授权信令ST，并将用K_kn加密的ST和K_un用K_ut加密回复给用户；用户收到令牌服务器的信息，用K_ut解密得到用户与名字节点之间的会话私钥K_un，并将自己的用户名和地址打包成Au，再将ST和用K_un加密的Au发送给名字节点，请求认证；名字节点收到用户的信息后，K_kn解密得到用户名，用户地址，服务名，有效期和用户与名字节点之间的会话私钥K_un，再用K_un解密得到用户信息，然后与从ST中得到用户信息进行对比，进行身份验证；若身份合法有效，则为用户生成并颁发证书，用于用户在名字节点上进行身份认证；用户拥有了证书后，当用户持证书申请访问PaaS私有云平台中的某文件时，名字节点首先验证证书是否是合法有效，从而判断用户身份是否有效；若身份合法有效，则根据用户名，用户地址和服务名查询元数据，用户属性信息库，以及资源属性信息库，查询到用户属性信息，包括用户真实姓名，用户所属企业，用户所属部门，以及工作职务，以及资源属性信息，然后查询该企业用户对所申请存取的资源是否具有相应的访问权限。