專利名稱：基于注冊(cè)和呼叫控制的應(yīng)用整合方法
技術(shù)領(lǐng)域：
本發(fā)明涉及應(yīng)用整合，尤其涉及通過大型網(wǎng)絡(luò)的應(yīng)用整合。
背景技術(shù)：
隨著電子政務(wù)與電子商務(wù)等互聯(lián)網(wǎng)信息技術(shù)的迅猛發(fā)展，對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的快速、簡(jiǎn)易、安全提出了更高的要求。傳統(tǒng)的用戶名+口令的身份認(rèn)證方式已經(jīng)無法滿足業(yè)務(wù)增長(zhǎng)過程中遇到的安全性需求。目前計(jì)算機(jī)信息安全的主要解決方案是建設(shè)公鑰基礎(chǔ)設(shè)施(PKI，Public Key Infrastructure)為網(wǎng)絡(luò)實(shí)體發(fā)放數(shù)字證書，通過基于數(shù)字證書的非對(duì)稱密碼技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)實(shí)體身份的強(qiáng)認(rèn)證。我國在這個(gè)領(lǐng)域上已經(jīng)研究多年，許多應(yīng)用系統(tǒng)使用PKI技術(shù)。
目前PKI的應(yīng)用技術(shù)集中于安全中間件技術(shù)，即通過對(duì)加解密、簽名驗(yàn)證、隨機(jī)數(shù)生成、數(shù)字信封封裝、數(shù)字證書查詢與驗(yàn)證等功能的封裝，為應(yīng)用開發(fā)商提供適用于各類開發(fā)語言的安全中間件接口，由應(yīng)用開發(fā)商調(diào)用這些接口來對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行向PKI的遷移和改造，或者基于這些接口進(jìn)行新應(yīng)用系統(tǒng)開發(fā)，以達(dá)到保障信息安全的目的。部分應(yīng)用在傳輸過程中則是基于SSL協(xié)議，通過SSL網(wǎng)關(guān)提供身份認(rèn)證和傳輸間的安全。這樣就會(huì)造成如下問題1)、基于安全中間件的應(yīng)用系統(tǒng)改造，需要在了解PKI技術(shù)、非對(duì)稱密碼技術(shù)原理的基礎(chǔ)上，對(duì)開發(fā)接口進(jìn)行學(xué)習(xí)和測(cè)試驗(yàn)證，在此基礎(chǔ)上才能對(duì)應(yīng)用系統(tǒng)業(yè)務(wù)邏輯進(jìn)行改造，而許多應(yīng)用開發(fā)商對(duì)PKI及相關(guān)技術(shù)并不熟悉，安全中間件在使用過程中相當(dāng)困難，開發(fā)效率低，甚至出現(xiàn)錯(cuò)誤的使用，結(jié)果造成雖然使用了安全服務(wù)，卻沒有真正為信息安全提供保障；2)、對(duì)正在運(yùn)行的應(yīng)用系統(tǒng)進(jìn)行改造，可能會(huì)對(duì)應(yīng)用系統(tǒng)穩(wěn)定性造成影響，從而對(duì)正常開展的業(yè)務(wù)造成影響；3)、現(xiàn)有很多應(yīng)用系統(tǒng)都建了比較長(zhǎng)的時(shí)間，部分應(yīng)用系統(tǒng)的開發(fā)商都已經(jīng)不存在或已經(jīng)不提供技術(shù)支持，這樣的應(yīng)用無法實(shí)現(xiàn)基于安全中間件技術(shù)的改造；4)、在應(yīng)用系統(tǒng)之前增加了SSL網(wǎng)關(guān)，在一定程度上可以減少應(yīng)用開發(fā)量，但是僅支持瀏覽器/服務(wù)器結(jié)構(gòu)的應(yīng)用，對(duì)客戶端/服務(wù)器結(jié)構(gòu)的應(yīng)用無法支持。而且在每個(gè)系統(tǒng)之前都增加SSL網(wǎng)關(guān)，用戶在訪問每個(gè)系統(tǒng)之前都要進(jìn)行身份認(rèn)證，增加了使用的復(fù)雜度，這對(duì)只有少量瀏覽器/服務(wù)器結(jié)構(gòu)的應(yīng)用改造可以使用，對(duì)于多應(yīng)用系統(tǒng)很難實(shí)施。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)方案是提出一種與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的應(yīng)用整合，將基于中間件對(duì)應(yīng)用系統(tǒng)進(jìn)行改造的過程轉(zhuǎn)化為用戶和應(yīng)用系統(tǒng)向應(yīng)用支撐系統(tǒng)注冊(cè)的過程。
為了解決上述技術(shù)問題，本發(fā)明所采用技術(shù)方案的基本構(gòu)思是提出一種基于注冊(cè)和呼叫控制技術(shù)的網(wǎng)絡(luò)信息訪問控制方法，首先基于注冊(cè)和呼叫控制技術(shù)建設(shè)一種應(yīng)用支撐平臺(tái)，至少包括客戶端服務(wù)系統(tǒng)、注冊(cè)服務(wù)系統(tǒng)、資源整合服務(wù)系統(tǒng)、鑒權(quán)服務(wù)系統(tǒng)、密碼服務(wù)系統(tǒng)以及客戶端軟件，將業(yè)務(wù)應(yīng)用系統(tǒng)的標(biāo)識(shí)信息在通過資源整合服務(wù)系統(tǒng)在注冊(cè)服務(wù)器上注冊(cè)，所述資源整合系統(tǒng)分配給所述業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)一的資源標(biāo)識(shí)，用戶使用所述業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，所述用戶提供數(shù)字證書和標(biāo)識(shí)信息在所述注冊(cè)服務(wù)系統(tǒng)進(jìn)行注冊(cè)，所述注冊(cè)服務(wù)系統(tǒng)調(diào)用密碼運(yùn)算系統(tǒng)完成對(duì)所述數(shù)字證書的驗(yàn)證，若所述用戶通過驗(yàn)證，根據(jù)所述標(biāo)識(shí)信息為用戶鑒權(quán)，獲得相應(yīng)權(quán)限，若所述用戶未通過驗(yàn)證，終止本次連接，然后所述用戶向所述應(yīng)用系統(tǒng)發(fā)出呼叫并提供自身標(biāo)識(shí)信息，并登錄到應(yīng)用系統(tǒng)。由于用戶和服務(wù)都必須到平臺(tái)進(jìn)行注冊(cè)，用戶只需使用數(shù)字證書向平臺(tái)進(jìn)行一次注冊(cè)和認(rèn)證，就能夠成為可信的用戶，只要該用戶進(jìn)入有權(quán)訪問的網(wǎng)絡(luò)區(qū)域，就不再需要進(jìn)行強(qiáng)身份認(rèn)證，然后由用戶向應(yīng)用系統(tǒng)發(fā)起呼叫，應(yīng)用支撐平臺(tái)進(jìn)行鑒權(quán)控制的方式，由平臺(tái)代替多個(gè)應(yīng)用系統(tǒng)對(duì)用戶進(jìn)行訪問控制，這樣就實(shí)現(xiàn)了統(tǒng)一的身份認(rèn)證和單點(diǎn)登錄，也大大減少了多個(gè)應(yīng)用系統(tǒng)都需對(duì)用戶進(jìn)行認(rèn)證的效率損失，這樣就將應(yīng)用開發(fā)商基于中間件對(duì)應(yīng)用系統(tǒng)進(jìn)行改造的過程轉(zhuǎn)化為用戶和應(yīng)用系統(tǒng)向應(yīng)用支撐平臺(tái)注冊(cè)的過程，實(shí)現(xiàn)多個(gè)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)區(qū)域的單點(diǎn)登錄，降低了應(yīng)用開發(fā)商的使用安全服務(wù)的開發(fā)復(fù)雜度和風(fēng)險(xiǎn)，實(shí)現(xiàn)信任服務(wù)在應(yīng)用系統(tǒng)上的快速整合。
以下將結(jié)合附圖對(duì)本發(fā)明的構(gòu)思及產(chǎn)生的技術(shù)效果作進(jìn)一步說明，以充分地了解本發(fā)明。


圖1為本發(fā)明網(wǎng)絡(luò)信息訪問控制方法的流程圖。
圖2為應(yīng)用支撐平臺(tái)的組成示意圖。
圖3為使用本發(fā)明網(wǎng)絡(luò)信息訪問控制方法的應(yīng)用支撐平臺(tái)中應(yīng)用業(yè)務(wù)系統(tǒng)的注冊(cè)示意圖。
圖4為使用本發(fā)明網(wǎng)絡(luò)信息訪問控制方法的應(yīng)用支撐平臺(tái)的用戶注冊(cè)示意圖。
圖5為使用本發(fā)明網(wǎng)絡(luò)信息訪問控制方法的應(yīng)用支撐平臺(tái)的用戶和應(yīng)用業(yè)務(wù)系統(tǒng)間信息訪問示意圖。
具體實(shí)施例方式
參考圖2，使用本發(fā)明應(yīng)用整合的應(yīng)用支撐平臺(tái)，至少包括客戶端服務(wù)系統(tǒng)、注冊(cè)服務(wù)系統(tǒng)、資源整合服務(wù)系統(tǒng)、鑒權(quán)服務(wù)系統(tǒng)、密碼服務(wù)系統(tǒng)以及客戶端軟件，所述客戶端服務(wù)系統(tǒng)是客戶端的服務(wù)器端設(shè)備，主要為客戶端軟件提供個(gè)性化服務(wù)、內(nèi)容服務(wù)、后臺(tái)支撐服務(wù)等，包括客戶端管理、身份認(rèn)證管理、版本自動(dòng)更新、基于客戶端的虛擬辦公等服務(wù)。所述注冊(cè)服務(wù)系統(tǒng)對(duì)各類用戶提供實(shí)體注冊(cè)服務(wù)，實(shí)現(xiàn)平臺(tái)內(nèi)用戶可信注冊(cè)和認(rèn)證。用戶必須通過注冊(cè)認(rèn)證后才能在平臺(tái)中進(jìn)行各種操作，實(shí)體一次注冊(cè)將全網(wǎng)通行，并通過所述鑒權(quán)服務(wù)系統(tǒng)進(jìn)行全網(wǎng)統(tǒng)一的鑒權(quán)后，才能獲得訪問各種資源的權(quán)限。所述鑒權(quán)服務(wù)系統(tǒng)為各類實(shí)體的聯(lián)系人權(quán)限和網(wǎng)絡(luò)及網(wǎng)絡(luò)資源訪問權(quán)限等進(jìn)行統(tǒng)一管理，并根據(jù)上述權(quán)限進(jìn)行鑒權(quán)服務(wù)，為實(shí)現(xiàn)全網(wǎng)統(tǒng)一鑒權(quán)提供支撐。所述資源整合服務(wù)系統(tǒng)是對(duì)各應(yīng)用系統(tǒng)進(jìn)行管理、資源授權(quán)，代理應(yīng)用進(jìn)行注冊(cè)和發(fā)布功能。所述密碼服務(wù)系統(tǒng)為平臺(tái)各設(shè)備提供基礎(chǔ)的密碼服務(wù)，包括加密、解密、簽名、驗(yàn)簽、Hash等密碼的運(yùn)算功能。所述客戶端軟件是為用戶提供各種服務(wù)的基礎(chǔ)框架，集成了示證、安全套接字虛擬專用網(wǎng)(SSL VPN)等基本的安全功能組件和呼叫控制軟件。
如圖3所示，首先需要把公文系統(tǒng)注冊(cè)到平臺(tái)上，將“公文處理系統(tǒng)”、“http://192.168.10.25/index.htm”等標(biāo)識(shí)信息在資源整合控制網(wǎng)關(guān)上注冊(cè)；資源整合服務(wù)系統(tǒng)為其分配統(tǒng)一的資源標(biāo)識(shí)“公文處理系統(tǒng)”和服務(wù)號(hào)“gwclxt@mydomain.com”；在鑒權(quán)服務(wù)系統(tǒng)上將“公文處理系統(tǒng)”資源授權(quán)給相應(yīng)的用戶。在這里公文處理系統(tǒng)的首頁不再需要輸入用戶名、口令的界面。公文處理系統(tǒng)經(jīng)過在平臺(tái)上注冊(cè)后就能提供服務(wù)了，用戶在使用服務(wù)之前必須先經(jīng)過注冊(cè)和認(rèn)證。
如圖4所示，用戶在使用時(shí)先向注冊(cè)服務(wù)系統(tǒng)發(fā)送注冊(cè)請(qǐng)求，同時(shí)提交自己的數(shù)字證書信息、簽名信息和本地IP地址信息；注冊(cè)服務(wù)系統(tǒng)調(diào)用密碼服務(wù)系統(tǒng)完成對(duì)該用戶的身份驗(yàn)證，然后更新該用戶的地址信息，完成用戶的定位；鑒權(quán)服務(wù)系統(tǒng)根據(jù)該用戶的身份信息，經(jīng)過判斷認(rèn)為該用戶具有使用公文處理系統(tǒng)的能力；客戶端服務(wù)系統(tǒng)查詢到公文處理系統(tǒng)的服務(wù)狀態(tài)后，將標(biāo)識(shí)為“公文處理系統(tǒng)”的服務(wù)的訪問入口(表現(xiàn)為一個(gè)按鈕)推送到用戶的終端。這樣，該授權(quán)用戶就可以訪問該項(xiàng)應(yīng)用服務(wù)了。
如圖5所示，用戶點(diǎn)擊“公文處理系統(tǒng)”按鈕，先由客戶端軟件向資源整合服務(wù)系統(tǒng)發(fā)出呼叫請(qǐng)求并提交自身識(shí)別信息，要求建立與業(yè)務(wù)資源的連接；資源整合服務(wù)系統(tǒng)解析出該用戶身份識(shí)別信息后再次判斷該用戶是否有權(quán)限訪問所請(qǐng)求資源；確認(rèn)后資源整合服務(wù)系統(tǒng)將應(yīng)用系統(tǒng)的真實(shí)地址“http://192.168.10.25/index.htm”返回給客戶端軟件呼叫控制終端；這時(shí)，用戶就可以通過URL地址來訪問應(yīng)用系統(tǒng)了，用戶和公文處理系統(tǒng)之間可以通過安全套接字虛擬專用網(wǎng)絡(luò)(SSL VPN)訪問，實(shí)現(xiàn)了傳輸時(shí)的數(shù)據(jù)保密。
本說明書中所述的只是本發(fā)明的一種較佳具體實(shí)施例，凡依本發(fā)明的構(gòu)思所做的改變或修飾，皆應(yīng)在本發(fā)明的權(quán)利要求保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種基于注冊(cè)和呼叫控制的應(yīng)用整合方法，至少包括如下步驟(a)基于注冊(cè)和呼叫控制建設(shè)一種應(yīng)用支撐平臺(tái)，至少包括客戶端服務(wù)系統(tǒng)、注冊(cè)服務(wù)系統(tǒng)、資源整合服務(wù)系統(tǒng)、鑒權(quán)服務(wù)系統(tǒng)、密碼服務(wù)系統(tǒng)以及客戶端軟件；(b)將業(yè)務(wù)應(yīng)用系統(tǒng)的標(biāo)識(shí)信息通過所述資源整合服務(wù)系統(tǒng)注冊(cè)到所述注冊(cè)服務(wù)系統(tǒng)，所述資源整合系統(tǒng)分配給所述業(yè)務(wù)應(yīng)用系統(tǒng)統(tǒng)一的資源標(biāo)識(shí)；(c)用戶提供數(shù)字證書和標(biāo)識(shí)信息在所述注冊(cè)服務(wù)系統(tǒng)進(jìn)行注冊(cè)，所述注冊(cè)服務(wù)系統(tǒng)調(diào)用密碼運(yùn)算系統(tǒng)完成對(duì)所述數(shù)字證書的驗(yàn)證；(d)若所述用戶通過驗(yàn)證，根據(jù)所述標(biāo)識(shí)信息為用戶鑒權(quán)，獲得相應(yīng)權(quán)限；(e)若所述用戶未通過驗(yàn)證，終止本次連接；(f)所述業(yè)務(wù)用戶向應(yīng)用系統(tǒng)發(fā)出呼叫并提供自身標(biāo)識(shí)信息，登錄到所述應(yīng)用系統(tǒng)；
2.如權(quán)利要求1所述的訪問控制方法，其特征在于所述數(shù)字證書為公鑰基礎(chǔ)設(shè)施。
3.如權(quán)利要求1所述的訪問控制方法，其特征在于所述業(yè)務(wù)應(yīng)用系統(tǒng)的標(biāo)識(shí)信息為系統(tǒng)名稱和系統(tǒng)統(tǒng)一資源定位符。
4.如權(quán)利要求1所述的訪問控制方法，其特征在于所述用戶標(biāo)識(shí)信息為用戶身份和位置信息。
全文摘要
一種基于注冊(cè)和呼叫控制的應(yīng)用整合方法，首先提供基于呼叫信令技術(shù)建立一個(gè)應(yīng)用支撐平臺(tái)，將業(yè)務(wù)應(yīng)用系統(tǒng)通過資源整合服務(wù)系統(tǒng)在注冊(cè)服務(wù)系統(tǒng)上注冊(cè)，并分配給業(yè)務(wù)應(yīng)用系統(tǒng)資源標(biāo)識(shí)，用戶使用業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，先以數(shù)字證書在注冊(cè)服務(wù)系統(tǒng)上注冊(cè)，若數(shù)字證書通過驗(yàn)證，為用戶鑒權(quán)，獲得相應(yīng)權(quán)限，否則就終止本次連接；使用業(yè)務(wù)系統(tǒng)時(shí)，用戶向應(yīng)用系統(tǒng)呼叫并提供自身標(biāo)識(shí)信息，登錄到應(yīng)用系統(tǒng)，不需要應(yīng)用再做強(qiáng)身份認(rèn)證。因此實(shí)現(xiàn)了多個(gè)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)區(qū)域的單點(diǎn)登錄，降低了應(yīng)用開發(fā)商的使用安全服務(wù)的開發(fā)復(fù)雜度和風(fēng)險(xiǎn)，實(shí)現(xiàn)信任服務(wù)在應(yīng)用支撐平臺(tái)的快速整合。
文檔編號(hào)H04L12/56GK101064611SQ20061002599
公開日2007年10月31日 申請(qǐng)日期2006年4月24日 優(yōu)先權(quán)日2006年4月24日
發(fā)明者顧青, 陸蓓婷, 靳勝勇, 蔣文創(chuàng), 周衛(wèi)紅, 吳鵬 申請(qǐng)人:維豪信息技術(shù)有限公司