專利名稱:一種通用計算賬戶管理系統(tǒng)及其實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機應(yīng)用技術(shù)領(lǐng)域,特指一種通用計算機帳戶管理系統(tǒng)及其實現(xiàn)方法�。
背景技術(shù):
當(dāng)前國內(nèi)外的互聯(lián)網(wǎng)在線服務(wù)環(huán)境中,用戶每使用一個服務(wù)商的服務(wù)都需要申請一個或多個用戶帳戶����,這樣用戶需要維護很多不同的用戶名和密碼。一方面���,這種復(fù)雜的身份認(rèn)證方式已經(jīng)成為用戶的一種負(fù)擔(dān)甚至是障礙����,并使得盜用密碼等在線欺詐和身份盜取行為很容易實現(xiàn)�,在線企業(yè)面臨不斷增加的用戶帳戶管理成本、在線欺詐的巨額損失�;另一方面,用戶的個人信息����、用戶在服務(wù)過程中生產(chǎn)的個人信息資產(chǎn)被分散到各個互不相干的服務(wù)商帳號系統(tǒng)內(nèi),用戶不僅為使用服務(wù)商提供的服務(wù)付費�����,而且這些本來屬于用戶個人的信息資產(chǎn)自然成為服務(wù)商的信息資產(chǎn)�����,甚至被個別服務(wù)商非法濫用,難于集中形成用戶終生有效個人信息資產(chǎn)�。造成這種技術(shù)問題的根本原因是當(dāng)前互聯(lián)網(wǎng)絡(luò)服務(wù)缺少一套通用計算機帳戶 (UCA)管理系統(tǒng)。現(xiàn)在計算機���、互聯(lián)網(wǎng)絡(luò)幾乎成了相當(dāng)一部分人日常生活的必須品����,個人/ 家庭專用的電腦普及率越來越高�;但是作為用戶連接和使用互聯(lián)網(wǎng)絡(luò)的第一道門檻的用戶系統(tǒng)�,卻是由各個應(yīng)用網(wǎng)絡(luò)服務(wù)提供商,依據(jù)自身服務(wù)需要獨立開發(fā)�����、部署和運營的�;缺乏統(tǒng)一的用戶信息標(biāo)準(zhǔn),安全性要求����、認(rèn)證方式各不相同。用戶只能滿足服務(wù)提供商的要求��, 到各個服務(wù)網(wǎng)站上單獨注冊一套用戶信息,并管理自己的用戶名���、密碼�����、證書等���,這些用戶信息及資產(chǎn)都是固定的捆綁到該服務(wù)商。在個人用戶的專用計算機中沒有一套通用計算機帳戶系統(tǒng)��,能夠提供與服務(wù)(商)無綁定��、無縫集成用戶信息資產(chǎn)�����、終生有效的通用計算帳戶系統(tǒng)�����?��;ヂ?lián)網(wǎng)絡(luò)服務(wù)�����,特別是云計算服務(wù)����,的基本需求趨勢是提供專業(yè)化、無站式的網(wǎng)絡(luò)服務(wù)����。專業(yè)化指對特定的受眾人群提供特定的專業(yè)化服務(wù)功能,降低該類用戶對該類云服務(wù)的開發(fā)��、部署��、運維����、管理成本�����;無站式指對專業(yè)化云服務(wù)提供透明的(不需要云服務(wù)開發(fā)者參與的)資源及服務(wù)的無縫集成能力�����、透明運維管理能力。因此���,降低資源服務(wù)端的集成成本����,實現(xiàn)直通車��;提升用戶端的云體驗����,實現(xiàn)無站式服務(wù),是當(dāng)前互聯(lián)網(wǎng)絡(luò)服務(wù)特別是云計算的基本需求��。而研制和開發(fā)通用計算機帳戶系統(tǒng)是解決服務(wù)端資源跨提供商���、跨系統(tǒng)的無縫集成�、提升用戶端無站式云服務(wù)體驗的基礎(chǔ)和根本����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題之一在于提供一種通用計算機帳戶管理系統(tǒng),為用戶提供一套不與服務(wù)(商)捆綁����、無縫數(shù)據(jù)信息資產(chǎn)集成��、終生有效的通用計算機帳戶系統(tǒng)�,為用戶連接和使用滿足UCA帳戶標(biāo)準(zhǔn)接口的網(wǎng)絡(luò)服務(wù)提供一套自有�、安全、便捷�����、互操作的帳戶門戶����。本發(fā)明解決的技術(shù)問題之二在于提供一種通用計算機帳戶管理實現(xiàn)方法,針對現(xiàn)有的網(wǎng)絡(luò)服務(wù)的用戶系統(tǒng)都是由服務(wù)提供商獨立開發(fā)和運營的�,缺少統(tǒng)一標(biāo)準(zhǔn),用戶需要自己管理多個孤立的用戶名和密碼����,導(dǎo)致使用煩勞、不安全���、用戶數(shù)據(jù)資產(chǎn)分散;同時用戶系統(tǒng)重復(fù)開發(fā)�����、管理成本高等問題。本發(fā)明解決上述技術(shù)問題之一的技術(shù)方案是所述的系統(tǒng)由帳戶管理子系統(tǒng)��、信息資產(chǎn)管理子系統(tǒng)�、身份驗證子系統(tǒng)、服務(wù)子系統(tǒng)和帳戶門戶五個子系統(tǒng)構(gòu)成�,所述的帳戶管理子系統(tǒng),實現(xiàn)兩個層面帳戶信息的管理及映射關(guān)系管理���,一是物理層面帳戶信息管理��,即對物理世界的人的基本屬性信息的創(chuàng)建�����、修改��、刪除和維護��;另一個是邏輯帳號信息管理�,即對用戶使用的信息網(wǎng)絡(luò)世界的服務(wù)所需要綁定的特定身份信息的動態(tài)創(chuàng)建��、修改�、刪除和維護,通過動態(tài)創(chuàng)建身份及屬性信息���,并通過帳戶系統(tǒng)自動綁定到特定網(wǎng)絡(luò)服務(wù)��,或自動解除綁定�;一個物理帳戶對應(yīng)映射到O個或者多個邏輯用戶帳號;所述的信息資產(chǎn)管理子系統(tǒng)����,對一個物理帳戶信息在生命周期內(nèi),其通過網(wǎng)絡(luò)活動生產(chǎn)的數(shù)據(jù)信息資源的全生命周期管理��;所述的身份驗證子系統(tǒng)�����,對物理帳號提供驗證集成接口��,進(jìn)行身份有效性��、真實性驗證��,并授權(quán)數(shù)字證書���;所述的服務(wù)子系統(tǒng),為帳戶管理子系統(tǒng)��、信息資產(chǎn)管理子系統(tǒng)與服務(wù)提供商的服務(wù)之間提供交互接口,依據(jù)綁定到該服務(wù)的邏輯帳號身份�����,提供帳戶或帳號信息獲取/認(rèn)證�、信息資產(chǎn)視圖設(shè)計及集成、信息同步����、一致性維護的功能,是對互聯(lián)網(wǎng)或者內(nèi)部網(wǎng)絡(luò)公開的可定制接口���;所述的帳戶門戶�����,提供帳戶登錄�����、帳戶所訂閱或購買的服務(wù)列表管理�����、帳戶信息管理�、信息資產(chǎn)管理的界面和工具。所述的帳戶管理子系統(tǒng)還包括帳戶/密碼認(rèn)證及數(shù)據(jù)證書管理�����。所述的信息資產(chǎn)管理從物理帳戶的角度�,對每個信息世界的邏輯帳號生產(chǎn)的數(shù)據(jù)資產(chǎn),按照物理帳戶設(shè)計指定的信息視圖����,分類的存儲、組織和維護管理����,形成完全獨立于服務(wù)提供商的帳戶資產(chǎn)管理系統(tǒng),當(dāng)邏輯帳號生命周期結(jié)束后���,其生產(chǎn)的數(shù)據(jù)信息終生有效���。信息資產(chǎn)管理子系統(tǒng)還負(fù)責(zé)對系統(tǒng)相關(guān)的其他數(shù)據(jù)如物理帳戶、邏輯帳號提供統(tǒng)一存儲�����、管理和訪問功能。所述的服務(wù)子系統(tǒng)提供四個接口功能���,分別為信息視圖、身份認(rèn)證���、信息同步和定制接口 ��;信息視圖���,自動綁定到服務(wù)邏輯帳號,代表物理帳戶身份���,將在服務(wù)交互過程中生成的數(shù)據(jù)信息依據(jù)其模式�,定制需要保存的信息視圖模式��,再映射成資產(chǎn)管理子系統(tǒng)中的虛擬表��,從而通過中間定義的視圖實現(xiàn)服務(wù)和信息資產(chǎn)之間數(shù)據(jù)的交換對接���;身份認(rèn)證�,對于需要系統(tǒng)的身份認(rèn)證才能訪問的服務(wù)����,需要實現(xiàn)服務(wù)與系統(tǒng)的帳戶信息獲取/認(rèn)證對接的集成接口 ��;而對于直接基于UCA系統(tǒng)標(biāo)準(zhǔn)接口開發(fā)的服務(wù)����,也需要提供這個接口供服務(wù)開發(fā)�;信息同步,制定信息同步策略��,帳戶以邏輯帳號的身份手動或者按照定制的策略����, 實現(xiàn)數(shù)據(jù)從服務(wù)處的獲取���;定制接口��,提供服務(wù)與系統(tǒng)集成的可擴展接口��。所述的提供帳戶登錄界面����、服務(wù)列表管理界面�����、帳戶管理界面、資產(chǎn)管理界面��;
所述的帳戶登錄界面�����,實現(xiàn)帳戶的一次性登錄�,登錄后呈現(xiàn)該帳戶能訪問的服務(wù)列表���,及管理菜單�����;服務(wù)列表管理界面����,管理和訂閱該帳戶需要訪問的服務(wù)列表����,當(dāng)增加一個服務(wù)時, 如果需要���,可能及時啟動創(chuàng)建邏輯帳號的界面����;帳戶管理界面,創(chuàng)建����、變更、維護帳戶帳號信息�,約束除管理員外用戶只能管理自己帳戶和帳號信息;資產(chǎn)管理界面�,定義視圖及映射界面,同步策略界面����。本發(fā)明解決上述技術(shù)問題之二的技術(shù)方案是在具有兩臺服務(wù)器的本系統(tǒng)中,首先����,系統(tǒng)默認(rèn)具有一管理員用戶,由其完成系統(tǒng)的部署和初始化過程�;從部署、初始化到系統(tǒng)的運行分成幾個步驟��;第一步�,在每個節(jié)點上安裝系統(tǒng)�,然后在當(dāng)前節(jié)點的配置文件中配置其他服務(wù)器節(jié)點���;第二步�����,通過初始化操作����,部署系統(tǒng)運行需要的初始環(huán)境1)創(chuàng)建本地服務(wù)器上的系統(tǒng)社區(qū)O號社區(qū)����,一般O號社區(qū)需要指定其映射的默認(rèn)數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫�����,系統(tǒng)需要的初始化的虛擬表映射到的物理庫表最終存儲到默認(rèn)的數(shù)據(jù)庫中��;初始化的資源包括虛擬帳戶表����、虛擬帳號表、資產(chǎn)虛擬表�;當(dāng)然��,根據(jù)實際應(yīng)用情景的需要���,這些表是否部署或者是否部署在O號社區(qū)都是可以選擇的,也還可以增加部署其他的虛擬表��;2)初始化系統(tǒng)的管理員用戶�;第三步,可以由管理員用戶登錄到本地服務(wù)器的O號社區(qū)���,O號社區(qū)有一個創(chuàng)建社區(qū)的功能��;管理員可以用該功能創(chuàng)建其他需要的社區(qū)n�,創(chuàng)建社區(qū)的時候�,可以自動部署社區(qū)需要的虛擬表,同樣需要指定這些虛擬表映射的物理庫表的存儲位置�����,每創(chuàng)建一個社區(qū)�, 就為該社區(qū)分配一個社區(qū)管理員,社區(qū)管理員以后登錄到該社區(qū)后�,可以增加和管理社區(qū)的虛擬表資源,還可以管理該社區(qū)的其他注冊帳戶,社區(qū)的帳戶都可以在當(dāng)前社區(qū)部署和管理自己的資產(chǎn)虛擬表��;同理�,可以在另一個節(jié)點創(chuàng)建社區(qū)m,每個節(jié)點上創(chuàng)建的社區(qū)被動態(tài)的將社區(qū)的配置文件同步復(fù)制到其他服務(wù)節(jié)點�����,確保多個節(jié)點的社區(qū)能夠統(tǒng)一的全局唯一編號;第四步����,針對任何一個社區(qū)開發(fā)的服務(wù)接口可以用一個社區(qū)標(biāo)號;虛擬表標(biāo)號通過虛擬表的訪問接口透明的訪問資產(chǎn)子系統(tǒng)���,其中��,程序開發(fā)人員未必是社區(qū)的帳戶,而程序在運行時���,會根據(jù)當(dāng)前訪問的用戶身份���,資產(chǎn)管理子系統(tǒng)內(nèi)部確定該用戶是否對虛擬表有訪問的權(quán)限。具體流程如下過程SI表示用戶利用系統(tǒng)門戶登錄或者注冊新物理帳戶���;過程S2表示系統(tǒng)檢查是否需要對新注冊的物理賬戶進(jìn)行用戶身份驗證���,以核實用戶身份的真實性和有效性�,如果不需要驗證或者是已有帳戶登錄��,則直接跳轉(zhuǎn)到過程S4 ;過程S3表示身份驗證子系統(tǒng)對用戶出具的數(shù)字身份證書進(jìn)行驗證����;過程S4表示查看個人賬戶名下已有的、所有可用的服務(wù)列表�����;過程S5表示檢查需要使用的目標(biāo)服務(wù)是否在可用服務(wù)列表中����,如果是,直接跳轉(zhuǎn)到過程S8 ;過程S6表示利用服務(wù)集成統(tǒng)一接口無縫接入目標(biāo)服務(wù)�����;過程S7表示進(jìn)入個人信息資產(chǎn)管理界面��,定義目標(biāo)服務(wù)的信息視圖��;過程S8表示選擇訪問的目標(biāo)服務(wù);過程S9表示檢查目標(biāo)服務(wù)是否可直接通過物理賬號訪問��,如果是��,直接跳轉(zhuǎn)到過程Sll ;過程SlO 表示創(chuàng)建邏輯賬號并動態(tài)的綁定到目標(biāo)服務(wù)作為訪問目標(biāo)服務(wù)的賬號����;過程Sll表示向目標(biāo)服務(wù)發(fā)送服務(wù)請求;過程S12表示接受目標(biāo)服務(wù)的響應(yīng)數(shù)據(jù)����。本發(fā)明從用戶使用端,而不是從服務(wù)提供商的角度���,研制一種通用計算機帳戶 (UCA)系統(tǒng)�����,對物理世界的人��、信息世界的多重網(wǎng)絡(luò)身份、生產(chǎn)活動的數(shù)據(jù)生命周期進(jìn)行統(tǒng)一�、有聯(lián)系的管理,避免了以前每個物理世界的人需要單獨記錄和管理眾多獨立服務(wù)商特定的帳號信息�����,以及用戶數(shù)據(jù)資產(chǎn)分散無法有效集成整合再利用的問題。通過提供一套不與任何服務(wù)(商)捆綁��、無縫數(shù)據(jù)資產(chǎn)集成�、終生有效的通用計算機帳戶系統(tǒng),為用戶連接和使用滿足UCA帳戶標(biāo)準(zhǔn)接口的網(wǎng)絡(luò)服務(wù)提供一套自有�、安全、便捷�、互操作的帳戶門戶。使用本發(fā)明�����,個人用戶在登錄到通用計算機帳戶(UCA)管理系統(tǒng)后�����,可以無站式的訪問來自多個服務(wù)提供商的滿足UCA帳戶標(biāo)準(zhǔn)接口的網(wǎng)絡(luò)服務(wù)(系統(tǒng)自動實現(xiàn)邏輯帳號身份切換)�,實現(xiàn)個人數(shù)據(jù)跨服務(wù)提供商、跨系統(tǒng)的無縫集成�����;服務(wù)提供商(如云服務(wù)商) 可以基于直通車的方式實現(xiàn)資源端的整合集成�,不需要關(guān)注集成訪問不同資源系統(tǒng)需要提供特定用戶身份的信息差異和對接問題�。從而大幅度降低云計算的資源服務(wù)�����、運維管理成本�����,提升用戶云體驗��?����;诒景l(fā)明開發(fā)的網(wǎng)絡(luò)服務(wù)或者集成了本發(fā)明的現(xiàn)有網(wǎng)絡(luò)服務(wù)�����,用戶都可以通過統(tǒng)一通用的帳戶進(jìn)行無站式的訪問����,不需要煩瑣的記錄眾多孤立的帳號/密碼,并且可以對自己的信息資產(chǎn)實現(xiàn)終生有效的管理和利用����,從而達(dá)到用戶帳戶不與特定服務(wù)提供商綁定,切換服務(wù)(商)就像切換電視頻道一樣便捷�。
下面結(jié)合附圖對本發(fā)明進(jìn)一步說明圖I是本發(fā)明通用計算機帳戶(UCA)管理系統(tǒng)結(jié)構(gòu)圖;圖2是基于社區(qū)����、虛擬表的信息資產(chǎn)管理子系統(tǒng)的部署及訪問示意圖;圖3是基于通用計算機帳戶(UCA)系統(tǒng)的用戶案例流程��。
具體實施例方式本發(fā)明信息資產(chǎn)管理子系統(tǒng)的部分實現(xiàn)是基于第200810119858. 4號中國發(fā)明專利(名稱一種網(wǎng)絡(luò)系統(tǒng)及其管理方法的)的�,本發(fā)明所述社區(qū)、虛擬表���,及其管理和使用方式均引用該專利�。圖I表示通用計算機帳戶(UCA)管理系統(tǒng)結(jié)構(gòu)圖���。包括實現(xiàn)通用帳戶管理的五個關(guān)鍵子系統(tǒng)部件��,以及它們之間的調(diào)用關(guān)系�。具體各子系統(tǒng)部件具體實施方式
如下A :帳戶管理子系統(tǒng)���,分成物理帳戶管理和邏輯帳號管理兩部分�����。I)物理帳戶管理帳戶管理的核心是對物理世界人的身份信息的管理�����。物理帳戶管理的基本流程是①需要申請帳戶的用戶����,通過帳戶門戶申請注冊;②提交物理帳戶表單�����,表單內(nèi)容包括姓名��、密碼����、性別、出生日期����、住址、電話等等屬性����,這些屬性是可以擴展的�����,通過擴展帳戶虛擬表屬性來實現(xiàn)(運營中心的)帳戶管理系統(tǒng)管理員審核該物理帳戶信息(如果是安裝在用戶個人電腦的單用戶,可以省略這一操作)���,如需要為該帳戶申請數(shù)字證書�����,向身份驗證機構(gòu)發(fā)申請�����,并獲得授權(quán)數(shù)字證書�,從而成為合法帳戶�����;
2)邏輯帳戶管理帳號管理的核心是對信息世界的多重身份信息管理��,每個身份都是是對物理帳戶的特定標(biāo)識�����。邏輯帳戶管理的流程是與用戶訪問服務(wù)的流程相聯(lián)系的一個動態(tài)過程,基本流程是①用戶通過物理帳戶/密碼登錄帳戶門戶����,通過門戶查詢要訪問的網(wǎng)絡(luò)服務(wù)(按照UCA系統(tǒng)標(biāo)準(zhǔn)接口開發(fā)的云服務(wù),或者集成了 UCA的網(wǎng)絡(luò)服務(wù))����。如這些服務(wù)通過物理帳戶就可以直接訪問,則跳過下面②③步�,否則繼續(xù)下面步驟;②根據(jù)該服務(wù)的要求�,為該服務(wù)提交邏輯帳號身份信息表單,具體提交的信息與服務(wù)相關(guān)�,但一般都有滿足唯一性的用戶ID,這些屬性是可以擴展的�����,通過擴展帳戶虛擬表屬性來實現(xiàn)自動綁定該邏輯身份與該服務(wù)�;④訪問服務(wù)(內(nèi)部操作可能向服務(wù)提供相關(guān)聯(lián)的物理帳戶的數(shù)字證書進(jìn)行安全的身份認(rèn)證);⑤邏輯帳號定義與該服務(wù)交互活動中生產(chǎn)的數(shù)據(jù)信息資產(chǎn)視圖�����,即建立信息視圖并映射到資產(chǎn)管理子系統(tǒng)中的資產(chǎn)虛擬表,以便資產(chǎn)管理子系統(tǒng)能獲得相應(yīng)信息資產(chǎn)邏輯帳戶發(fā)送請求實現(xiàn)新近生產(chǎn)的信息資產(chǎn)獲取(或者設(shè)定自動獲取策略)�����。B :資產(chǎn)管理子系統(tǒng)資產(chǎn)管理子系統(tǒng)是對物理帳戶�����、邏輯帳戶����、信息資產(chǎn)等整個UCA系統(tǒng)相關(guān)的數(shù)據(jù)提供統(tǒng)一的存儲�����、管理和訪問的系統(tǒng)�,內(nèi)部也是采用社區(qū)、虛擬表的數(shù)據(jù)虛擬化機制提供統(tǒng)一透明訪問接口��,物理層采用數(shù)據(jù)庫����、文件系統(tǒng)進(jìn)行數(shù)據(jù)存儲。由于社區(qū)���、虛擬表都可以在線擴展��,因此原則上通用計算機帳戶(UCA)系統(tǒng)可以同時在線管理億級用戶規(guī)模��。資產(chǎn)管理系統(tǒng)的一個社區(qū)內(nèi)主要有三類虛擬表虛擬帳戶表��,存儲物理帳戶信息�����;虛擬帳號表�����,存儲邏輯帳號信息�����;資產(chǎn)虛擬表�����,存儲用戶信息資產(chǎn)的���。這三類虛擬表屬性都可以擴展�,其中, 前兩類虛擬表是UCA的管理員所有���,其他用戶不能創(chuàng)建和變更��,而資產(chǎn)虛擬表�����,是由帳戶以邏輯帳號身份按照服務(wù)的數(shù)據(jù)模式(schema)�����,通過定義信息視圖并映射成虛擬表的,該虛擬表(及所映射的物理數(shù)據(jù)實體)是屬于該邏輯帳號對應(yīng)的物理帳戶所有���,是屬于私有信息財產(chǎn)�����,其他用戶不能訪問�����,但是物理上多個用戶(租戶)確是可以共享同一個數(shù)據(jù)庫實例或者數(shù)據(jù)庫表����,體現(xiàn)多租戶(Multitenant)的應(yīng)用模式。C :身份驗證(集成)子系統(tǒng)身份驗證子系統(tǒng)提供身份驗證的集成接口���,是在需要對物理帳戶的身份進(jìn)行有效性�����、真實性驗證需要時�����,為第三方或者有公信力的驗證機構(gòu)提供驗證請求及獲得授權(quán)證書兩個接口��。D:服務(wù)(集成)子系統(tǒng)服務(wù)(集成)子系統(tǒng)提供四個接口功能�����,這些接口功能需要服務(wù)提供商在開發(fā)和集成服務(wù)時��,按照通用計算機帳戶(UCA)系統(tǒng)標(biāo)準(zhǔn)提供相應(yīng)接口的實現(xiàn)支持���。每個接口的具體實施如下I)信息視圖自動綁定到服務(wù)邏輯帳號,代表物理帳戶身份����,將在服務(wù)交互過程中生成的數(shù)據(jù)信息依據(jù)其模式(Schema)�����,定制需要保存的信息視圖模式(包括屬性選取�、 格式轉(zhuǎn)換)�����,再映射成資產(chǎn)管理子系統(tǒng)中的虛擬表�,從而通過中間定義的視圖實現(xiàn)服務(wù)和信息資產(chǎn)之間數(shù)據(jù)的交換對接。需要服務(wù)提供獲取其數(shù)據(jù)模式的接口支持��。2)身份認(rèn)證對于需要UCA系統(tǒng)的身份認(rèn)證才能訪問的服務(wù)��,需要實現(xiàn)服務(wù)與UCA 的帳戶(帳號)信息獲取/認(rèn)證對接的集成接口 ���;而對于直接基于UCA系統(tǒng)標(biāo)準(zhǔn)接口開發(fā)的服務(wù),也需要提供這個接口供服務(wù)開發(fā)����。
3)信息同步制定信息同步策略(同步時間、頻率����、更新方式(全部/增量))���,帳戶以邏輯帳號的身份手動或者按照定制的策略,實現(xiàn)數(shù)據(jù)從服務(wù)處的獲取��。需要服務(wù)提供獲取其數(shù)據(jù)的接口支持����。4)定制接口 提供服務(wù)(商)與UCA系統(tǒng)集成的可擴展接口。E :帳戶門戶帳戶門戶具體實施方式
是提供幾類界面I)帳戶登錄界面實現(xiàn)帳戶的一次性登錄�,登錄后呈現(xiàn)該帳戶能訪問的服務(wù)列
表,及管理菜單�。2)服務(wù)列表管理界面管理和訂閱該帳戶需要訪問的服務(wù)列表,當(dāng)增加一個服務(wù)時�����,如果需要����,可能及時啟動創(chuàng)建邏輯帳號的界面。3)帳戶(帳號)管理界面創(chuàng)建���、變更��、維護帳戶帳號信息�,約束是除管理員外用戶只能管理自己帳戶和帳號信息。4)資產(chǎn)管理界面定義視圖及映射界面�����,同步策略界面�����。圖2中����,表示了具有兩臺服務(wù)器的UCA系統(tǒng)中,有關(guān)信息資產(chǎn)子系統(tǒng)部分社區(qū)���、虛擬表���、數(shù)據(jù)存儲相關(guān)的部署和訪問的示意圖。首先����,UCA系統(tǒng)默認(rèn)的具有一管理員用戶��,由其完成系統(tǒng)的部署和初始化過程。從部署����、初始化到系統(tǒng)的運行分成幾個步驟。第一步�����,在每個節(jié)點上安裝UCA系統(tǒng)����,然后在當(dāng)前節(jié)點的配置文件中配置其他服務(wù)器節(jié)點。第二步��,通過初始化操作�����,部署系統(tǒng)運行需要的初始環(huán)境1)創(chuàng)建本地服務(wù)器上的系統(tǒng)社區(qū)(O號社區(qū))���, 一般O號社區(qū)需要指定其映射的默認(rèn)數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫���,系統(tǒng)需要的初始化的虛擬表映射到的物理庫表最終存儲到默認(rèn)的數(shù)據(jù)庫中。初始化的資源包括虛擬帳戶表����、虛擬帳號表��、資產(chǎn)虛擬表���。當(dāng)然,根據(jù)實際應(yīng)用情景的需要�����,這些表是否部署或者是否部署在O號社區(qū)都是可以選擇的����,也還可以增加部署其他的虛擬表;2)初始化系統(tǒng)的管理員用戶�����。第三步�,可以由管理員用戶登錄到本地服務(wù)器的O號社區(qū),O號社區(qū)有一個創(chuàng)建社區(qū)的功能�����。管理員可以用該功能創(chuàng)建其他需要的社區(qū)n,創(chuàng)建社區(qū)的時候�����,可以自動部署社區(qū)需要的虛擬表��,同樣需要指定這些虛擬表映射的物理庫表的存儲位置���,每創(chuàng)建一個社區(qū),就為該社區(qū)分配一個社區(qū)管理員�����,社區(qū)管理員以后登錄到該社區(qū)后���,可以增加和管理社區(qū)的虛擬表資源���, 還可以管理該社區(qū)的其他注冊帳戶,社區(qū)的帳戶都可以在當(dāng)前社區(qū)部署和管理自己的資產(chǎn)虛擬表�。同理,可以在另一個節(jié)點創(chuàng)建社區(qū)m����,每個節(jié)點上創(chuàng)建的社區(qū)被動態(tài)的將社區(qū)的配置文件同步復(fù)制到其他服務(wù)節(jié)點,確保多個節(jié)點的社區(qū)能夠統(tǒng)一的全局唯一編號。第四步�����, 針對任何一個社區(qū)開發(fā)的服務(wù)接口可以用一個社區(qū)標(biāo)號.虛擬表標(biāo)號(Cidvid)通過虛擬表的訪問接口透明的訪問資產(chǎn)子系統(tǒng)����,其中,程序開發(fā)人員未必是社區(qū)的帳戶�����,而程序在運行時��,會根據(jù)當(dāng)前訪問的用戶身份�����,資產(chǎn)管理子系統(tǒng)內(nèi)部確定該用戶是否對虛擬表有訪問的權(quán)限�。圖3表示用戶使用通用計算機帳戶(UCA)系統(tǒng)的用戶案例流程過程SI表示用戶利用UCA系統(tǒng)門戶登錄或者注冊新物理帳戶;過程S2表示系統(tǒng)檢查是否需要對新注冊的物理賬戶進(jìn)行用戶身份驗證�,以核實用戶身份的真實性和有效性,如果不需要驗證或者是已有帳戶登錄����,則直接跳轉(zhuǎn)到過程S4 ;過程S3表示身份驗證子系統(tǒng)對用戶出具的數(shù)字身份證書進(jìn)行驗證���;過程S4表示查看個人賬戶名下已有的、所有可用的服務(wù)列表�;過程S5表示檢查需要使用的目標(biāo)服務(wù)是否在可用服務(wù)列表中,如果是���,直接跳轉(zhuǎn)到過程S8 ;過程S6表示利用服務(wù)集成統(tǒng)一接口無縫接入目標(biāo)服務(wù);過程S7表示進(jìn)入個人信息資產(chǎn)管理界面����,定義目標(biāo)服務(wù)的信息視圖;過程S8表示選擇訪問的目標(biāo)服務(wù)����;過程S9表示檢查目標(biāo)服務(wù)是否可直接通過物理賬號訪問,如果是�,直接跳轉(zhuǎn)到過程Sll ;過程SlO表示創(chuàng)建邏輯賬號并動態(tài)的綁定到目標(biāo)服務(wù)作為訪問目標(biāo)服務(wù)的賬號;過程Sll表示向目標(biāo)服務(wù)發(fā)送服務(wù)請求�����; 過程S12表示接受目標(biāo)服務(wù)的響應(yīng)數(shù)據(jù)����。本發(fā)明體現(xiàn)了三方面的優(yōu)點1)不與任何服務(wù)提供商捆綁,用戶切換服務(wù)、網(wǎng)站就像現(xiàn)在切換電視頻道一樣容易���;2)用戶使用網(wǎng)絡(luò)服務(wù)過程中生產(chǎn)的數(shù)據(jù)信息資產(chǎn)可以按照用戶的意愿無縫的集成在一起����;3)用戶數(shù)據(jù)資產(chǎn)終生有效��,屬于個人可管理����、可控制的資產(chǎn),并可以繼承��。從使用模式上�����,本系統(tǒng)支持兩種用戶模式1)單用戶模式可以安裝部署在用戶個人電腦上�����,作為個人用戶登錄和使用互聯(lián)網(wǎng)的帳戶門戶系統(tǒng)����;2)多用戶模式由獨立的��、 具有公信力的帳戶運營商(或者公益的政府機構(gòu))統(tǒng)一運營提供帳戶服務(wù)����,個人用戶電腦的客戶端(采用Client/Server或者Browser/Server模式)先連接到運營帳戶系統(tǒng),獲得自身身份后���,再連接和使用互聯(lián)網(wǎng)��。
權(quán)利要求
1.一種通用計算機賬戶管理系統(tǒng)���,其特征在于所述的系統(tǒng)由帳戶管理子系統(tǒng)�、信息資產(chǎn)管理子系統(tǒng)、身份驗證子系統(tǒng)�、服務(wù)子系統(tǒng)和帳戶門戶五個子系統(tǒng)構(gòu)成,所述的帳戶管理子系統(tǒng)���,實現(xiàn)兩個層面帳戶信息的管理及映射關(guān)系管理���,一是物理層面帳戶信息管理,即對物理世界的人的基本屬性信息的創(chuàng)建���、修改�����、刪除和維護��;另一個是邏輯帳號信息管理�����,即對用戶使用的信息網(wǎng)絡(luò)世界的服務(wù)所需要綁定的特定身份信息的動態(tài)創(chuàng)建���、修改�����、刪除和維護��,通過動態(tài)創(chuàng)建身份及屬性信息��,并通過帳戶系統(tǒng)自動綁定到特定網(wǎng)絡(luò)服務(wù)����,或自動解除綁定��;一個物理帳戶對應(yīng)映射到O個或者多個邏輯用戶帳號���;所述的信息資產(chǎn)管理子系統(tǒng)���,對一個物理帳戶信息在生命周期內(nèi)��,其通過網(wǎng)絡(luò)活動生產(chǎn)的數(shù)據(jù)信息資源的全生命周期管理�����;所述的身份驗證子系統(tǒng)�����,對物理帳號提供驗證集成接口�����,進(jìn)行身份有效性、真實性驗證���,并授權(quán)數(shù)字證書��;所述的服務(wù)子系統(tǒng)�����,為帳戶管理子系統(tǒng)���、信息資產(chǎn)管理子系統(tǒng)與服務(wù)提供商的服務(wù)之間提供交互接口���,依據(jù)綁定到該服務(wù)的邏輯帳號身份,提供帳戶或帳號信息獲取/認(rèn)證����、信息資產(chǎn)視圖設(shè)計及集成、信息同步����、一致性維護的功能,是對互聯(lián)網(wǎng)或者內(nèi)部網(wǎng)絡(luò)公開的可定制接口 ����;所述的帳戶門戶,提供帳戶登錄����、帳戶所訂閱或購買的服務(wù)列表管理、帳戶信息管理����、 信息資產(chǎn)管理的界面和工具�。
2.根據(jù)權(quán)利要求I所述的通用計算機賬戶管理系統(tǒng)����,其特征在于所述的帳戶管理子系統(tǒng)還包括帳戶/密碼認(rèn)證及數(shù)據(jù)證書管理。
3.根據(jù)權(quán)利要求I或2所述的通用計算機賬戶管理系統(tǒng)����,其特征在于所述的信息資產(chǎn)管理從物理帳戶的角度,對每個信息世界的邏輯帳號生產(chǎn)的數(shù)據(jù)資產(chǎn)���,按照物理帳戶設(shè)計指定的信息視圖��,分類的存儲�、組織和維護管理���,形成完全獨立于服務(wù)提供商的帳戶資產(chǎn)管理系統(tǒng)�,當(dāng)邏輯帳號生命周期結(jié)束后�����,其生產(chǎn)的數(shù)據(jù)信息終生有效��。信息資產(chǎn)管理子系統(tǒng)還負(fù)責(zé)對系統(tǒng)相關(guān)的其他數(shù)據(jù)如物理帳戶�、邏輯帳號提供統(tǒng)一存儲、管理和訪問功能�。
4.根據(jù)權(quán)利要求I或2所述的通用計算機賬戶管理系統(tǒng),其特征在于所述的服務(wù)子系統(tǒng)提供四個接口功能��,分別為信息視圖����、身份認(rèn)證、信息同步和定制接口 ����;信息視圖,自動綁定到服務(wù)邏輯帳號���,代表物理帳戶身份���,將在服務(wù)交互過程中生成的數(shù)據(jù)信息依據(jù)其模式,定制需要保存的信息視圖模式��,再映射成資產(chǎn)管理子系統(tǒng)中的虛擬表����,從而通過中間定義的視圖實現(xiàn)服務(wù)和信息資產(chǎn)之間數(shù)據(jù)的交換對接;身份認(rèn)證,對于需要系統(tǒng)的身份認(rèn)證才能訪問的服務(wù)�,需要實現(xiàn)服務(wù)與系統(tǒng)的帳戶信息獲取/認(rèn)證對接的集成接口 ;而對于直接基于UCA系統(tǒng)標(biāo)準(zhǔn)接口開發(fā)的服務(wù)���,也需要提供這個接口供服務(wù)開發(fā)���;信息同步,制定信息同步策略����,帳戶以邏輯帳號的身份手動或者按照定制的策略,實現(xiàn)數(shù)據(jù)從服務(wù)處的獲?�?��;定制接口����,提供服務(wù)與系統(tǒng)集成的可擴展接口�。
5.根據(jù)權(quán)利要求3所述的通用計算機賬戶管理系統(tǒng),其特征在于所述的服務(wù)子系統(tǒng)提供四個接口功能����,分別為信息視圖、身份認(rèn)證���、信息同步和定制接口 ��;信息視圖��,自動綁定到服務(wù)邏輯帳號�,代表物理帳戶身份���,將在服務(wù)交互過程中生成的數(shù)據(jù)信息依據(jù)其模式��,定制需要保存的信息視圖模式��,再映射成資產(chǎn)管理子系統(tǒng)中的虛擬表����,從而通過中間定義的視圖實現(xiàn)服務(wù)和信息資產(chǎn)之間數(shù)據(jù)的交換對接��;身份認(rèn)證��,對于需要系統(tǒng)的身份認(rèn)證才能訪問的服務(wù)���,需要實現(xiàn)服務(wù)與系統(tǒng)的帳戶信息獲取/認(rèn)證對接的集成接口 ���;而對于直接基于UCA系統(tǒng)標(biāo)準(zhǔn)接口開發(fā)的服務(wù)���,也需要提供這個接口供服務(wù)開發(fā);信息同步���,制定信息同步策略����,帳戶以邏輯帳號的身份手動或者按照定制的策略�,實現(xiàn)數(shù)據(jù)從服務(wù)處的獲取����;定制接口,提供服務(wù)與系統(tǒng)集成的可擴展接口����。
6.根據(jù)權(quán)利要求I或2所述的通用計算機賬戶管理系統(tǒng),其特征在于所述的提供帳戶登錄界面�����、服務(wù)列表管理界面����、帳戶管理界面�、資產(chǎn)管理界面���;所述的帳戶登錄界面,實現(xiàn)帳戶的一次性登錄�����,登錄后呈現(xiàn)該帳戶能訪問的服務(wù)列表���,及管理菜單���;服務(wù)列表管理界面,管理和訂閱該帳戶需要訪問的服務(wù)列表�����,當(dāng)增加一個服務(wù)時�,如果需要,可能及時啟動創(chuàng)建邏輯帳號的界面���;帳戶管理界面���,創(chuàng)建�、變更��、維護帳戶帳號信息�,約束除管理員外用戶只能管理自己帳戶和帳號信息;資產(chǎn)管理界面����,定義視圖及映射界面,同步策略界面�。
7.根據(jù)權(quán)利要求3所述的通用計算機賬戶管理系統(tǒng),其特征在于所述的提供帳戶登錄界面��、服務(wù)列表管理界面���、帳戶管理界面����、資產(chǎn)管理界面�����;所述的帳戶登錄界面�,實現(xiàn)帳戶的一次性登錄��,登錄后呈現(xiàn)該帳戶能訪問的服務(wù)列表��,及管理菜單���;服務(wù)列表管理界面��,管理和訂閱該帳戶需要訪問的服務(wù)列表����,當(dāng)增加一個服務(wù)時,如果需要����,可能及時啟動創(chuàng)建邏輯帳號的界面;帳戶管理界面�,創(chuàng)建、變更�����、維護帳戶帳號信息���,約束除管理員外用戶只能管理自己帳戶和帳號信息����;資產(chǎn)管理界面,定義視圖及映射界面��,同步策略界面��。
8.根據(jù)權(quán)利要求4所述的通用計算機賬戶管理系統(tǒng)�����,其特征在于所述的提供帳戶登錄界面�����、服務(wù)列表管理界面����、帳戶管理界面、資產(chǎn)管理界面�;所述的帳戶登錄界面,實現(xiàn)帳戶的一次性登錄�,登錄后呈現(xiàn)該帳戶能訪問的服務(wù)列表,及管理菜單�����;服務(wù)列表管理界面,管理和訂閱該帳戶需要訪問的服務(wù)列表���,當(dāng)增加一個服務(wù)時��,如果需要����,可能及時啟動創(chuàng)建邏輯帳號的界面����;帳戶管理界面�����,創(chuàng)建�����、變更�����、維護帳戶帳號信息����,約束除管理員外用戶只能管理自己帳戶和帳號信息���;資產(chǎn)管理界面,定義視圖及映射界面���,同步策略界面�����。
9.根據(jù)權(quán)利要求5所述的通用計算機賬戶管理系統(tǒng)�,其特征在于所述的提供帳戶登錄界面�、服務(wù)列表管理界面、帳戶管理界面��、資產(chǎn)管理界面��;所述的帳戶登錄界面���,實現(xiàn)帳戶的一次性登錄�����,登錄后呈現(xiàn)該帳戶能訪問的服務(wù)列表���,及管理菜單���;服務(wù)列表管理界面,管理和訂閱該帳戶需要訪問的服務(wù)列表����,當(dāng)增加一個服務(wù)時,如果需要���,可能及時啟動創(chuàng)建邏輯帳號的界面����;帳戶管理界面���,創(chuàng)建、變更���、維護帳戶帳號信息�,約束除管理員外用戶只能管理自己帳戶和帳號信息���;資產(chǎn)管理界面�,定義視圖及映射界面,同步策略界面�。
10.權(quán)利要求I至9任一項所述的系統(tǒng)的實現(xiàn)方法,其特征在于在具有兩臺服務(wù)器的本系統(tǒng)中�,首先,系統(tǒng)默認(rèn)具有一管理員用戶�,由其完成系統(tǒng)的部署和初始化過程;從部署��、初始化到系統(tǒng)的運行分成幾個步驟����;第一步,在每個節(jié)點上安裝系統(tǒng)�����,然后在當(dāng)前節(jié)點的配置文件中配置其他服務(wù)器節(jié)占.第二步����,通過初始化操作,部署系統(tǒng)運行需要的初始環(huán)境1)創(chuàng)建本地服務(wù)器上的系統(tǒng)社區(qū)O號社區(qū)��,一般O號社區(qū)需要指定其映射的默認(rèn)數(shù)據(jù)庫服務(wù)器和數(shù)據(jù)庫����,系統(tǒng)需要的初始化的虛擬表映射到的物理庫表最終存儲到默認(rèn)的數(shù)據(jù)庫中��;初始化的資源包括虛擬帳戶表���、虛擬帳號表、資產(chǎn)虛擬表�;當(dāng)然,根據(jù)實際應(yīng)用情景的需要��,這些表是否部署或者是否部署在O號社區(qū)都是可以選擇的�,也還可以增加部署其他的虛擬表;2)初始化系統(tǒng)的管理員用戶�����;第三步�,可以由管理員用戶登錄到本地服務(wù)器的O號社區(qū),O號社區(qū)有一個創(chuàng)建社區(qū)的功能����;管理員可以用該功能創(chuàng)建其他需要的社區(qū)n���,創(chuàng)建社區(qū)的時候����,可以自動部署社區(qū)需要的虛擬表,同樣需要指定這些虛擬表映射的物理庫表的存儲位置��,每創(chuàng)建一個社區(qū)�,就為該社區(qū)分配一個社區(qū)管理員,社區(qū)管理員以后登錄到該社區(qū)后�����,可以增加和管理社區(qū)的虛擬表資源�,還可以管理該社區(qū)的其他注冊帳戶,社區(qū)的帳戶都可以在當(dāng)前社區(qū)部署和管理自己的資產(chǎn)虛擬表���;同理�,可以在另一個節(jié)點創(chuàng)建社區(qū)m�����,每個節(jié)點上創(chuàng)建的社區(qū)被動態(tài)的將社區(qū)的配置文件同步復(fù)制到其他服務(wù)節(jié)點����,確保多個節(jié)點的社區(qū)能夠統(tǒng)一的全局唯一編號;第四步,針對任何一個社區(qū)開發(fā)的服務(wù)接口可以用一個社區(qū)標(biāo)號����;虛擬表標(biāo)號通過虛擬表的訪問接口透明的訪問資產(chǎn)子系統(tǒng)���,其中,程序開發(fā)人員未必是社區(qū)的帳戶��,而程序在運行時����,會根據(jù)當(dāng)前訪問的用戶身份,資產(chǎn)管理子系統(tǒng)內(nèi)部確定該用戶是否對虛擬表有訪問的權(quán)限���。
11.權(quán)利要求10所述的實現(xiàn)方法�����,其特征在于具體流程如下過程SI表示用戶利用系統(tǒng)門戶登錄或者注冊新物理帳戶�;過程S2表示系統(tǒng)檢查是否需要對新注冊的物理賬戶進(jìn)行用戶身份驗證����,以核實用戶身份的真實性和有效性,如果不需要驗證或者是已有帳戶登錄�,則直接跳轉(zhuǎn)到過程S4 ;過程S3表示身份驗證子系統(tǒng)對用戶出具的數(shù)字身份證書進(jìn)行驗證;過程S4表示查看個人賬戶名下已有的�����、所有可用的服務(wù)列表�����;過程S5表示檢查需要使用的目標(biāo)服務(wù)是否在可用服務(wù)列表中����,如果是,直接跳轉(zhuǎn)到過程S8 ;過程S6表示利用服務(wù)集成統(tǒng)一接口無縫接入目標(biāo)服務(wù)���;過程S7表示進(jìn)入個人信息資產(chǎn)管理界面�����,定義目標(biāo)服務(wù)的信息視圖��;過程S8表示選擇訪問的目標(biāo)服務(wù)�;過程S9表示檢查目標(biāo)服務(wù)是否可直接通過物理賬號訪問�,如果是,直接跳轉(zhuǎn)到過程Sll ;過程SlO表示創(chuàng)建邏輯賬號并動態(tài)的綁定到目標(biāo)服務(wù)作為訪問目標(biāo)服務(wù)的賬號���;過程Sll表示向目標(biāo)服務(wù)發(fā)送服務(wù)請求���;過程S12表示接受目標(biāo)服務(wù)的響應(yīng)數(shù)據(jù)�。
全文摘要
本發(fā)明涉及計算機應(yīng)用技術(shù)領(lǐng)域�,特指一種通用計算機帳戶管理系統(tǒng)及其實現(xiàn)方法。本發(fā)明系統(tǒng)由帳戶管理子系統(tǒng)����、信息資產(chǎn)管理子系統(tǒng)、身份驗證(集成)子系統(tǒng)�、服務(wù)(集成)子系統(tǒng)、帳戶門戶五個子系統(tǒng)構(gòu)成���,帳戶管理子系統(tǒng)實現(xiàn)物理帳戶���、邏輯帳號信息管理,信息資產(chǎn)管理子系統(tǒng)對一個物理帳戶信息網(wǎng)絡(luò)活動生產(chǎn)的數(shù)據(jù)信息資源進(jìn)行管理���;身份驗證子系統(tǒng)對物理帳號提供驗證集成接口�����,服務(wù)子系統(tǒng)是對互聯(lián)網(wǎng)或者內(nèi)部網(wǎng)絡(luò)公開的可定制接口�;帳戶門戶提供帳戶登錄、帳戶所訂閱或購買的服務(wù)列表管理����、帳戶信息管理、信息資產(chǎn)管理的界面和工具�����。本發(fā)明提供了一套與服務(wù)無綁定����、無縫集成用戶信息資產(chǎn)����、終生有效的通用計算帳戶系統(tǒng);可應(yīng)用于互聯(lián)網(wǎng)的賬戶管理中�。
文檔編號H04L29/06GK102611705SQ20121007579
公開日2012年7月25日 申請日期2012年3月20日 優(yōu)先權(quán)日2012年3月20日
發(fā)明者岳強, 徐志偉, 李國杰, 李曉林, 謝毅 申請人:廣東電子工業(yè)研究院有限公司