組件安全調(diào)用系統(tǒng)及調(diào)用方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種調(diào)用系統(tǒng)及調(diào)用方法��,具體地,涉及一種組件安全調(diào)用系統(tǒng)及調(diào)用方法����。
【背景技術(shù)】
[0002]通常一個(gè)系統(tǒng)都是由不同的組件組成,并協(xié)同運(yùn)行�����。組件間傳統(tǒng)的調(diào)用方式一般是通過(guò)商定特定的內(nèi)部通信數(shù)據(jù)格式來(lái)實(shí)現(xiàn)��,另外也通過(guò)一些加密處理方法來(lái)實(shí)現(xiàn)安全調(diào)用���,保證通信數(shù)據(jù)的機(jī)密性��、完整性等�。目前的技術(shù)雖然通過(guò)內(nèi)部數(shù)據(jù)格式和加密技術(shù)等實(shí)現(xiàn)了組件的安全調(diào)用����,但是沒(méi)有考慮組件調(diào)用的策略訪問(wèn)控制,例如某個(gè)特定組件的調(diào)用需要授權(quán)控制��,不僅僅要求通信數(shù)據(jù)的安全性����,還需要驗(yàn)證調(diào)用方的有效性等,顯然目前的技術(shù)無(wú)法滿足�。雖然組件間通信數(shù)據(jù)是加密的,但惡意的第三方完全有可能獲取加密數(shù)據(jù)進(jìn)行重放攻擊等�,從而影響系統(tǒng)的運(yùn)行。
【發(fā)明內(nèi)容】
[0003]針對(duì)現(xiàn)有技術(shù)中的缺陷��,本發(fā)明的目的是提供一種組件安全調(diào)用系統(tǒng)及調(diào)用方法�����,其使組件授權(quán)訪問(wèn)��,避免惡意重放攻擊等��,保證系統(tǒng)的正常運(yùn)行���。
[0004]根據(jù)本發(fā)明的一個(gè)方面�,提供一種組件安全調(diào)用系統(tǒng)�����,其特征在于��,包括應(yīng)用組件����、服務(wù)組件�����、可信服務(wù)中心�����,應(yīng)用組件�����、服務(wù)組件��、可信服務(wù)中心三者之間相互連接�。
[0005]優(yōu)選地�,所述可信服務(wù)中心是引入基于PKI體系的可信組件,提供各組件的身份認(rèn)證�、組件的授權(quán)訪問(wèn)及策略控制。
[0006]本發(fā)明還提供一種組件安全調(diào)用方法���,其特征在于����,包括以下步驟:
[0007]步驟一:應(yīng)用組件根據(jù)被調(diào)用組件的ID到可信服務(wù)中心獲取該組件的服務(wù)支持信息;
[0008]步驟二:應(yīng)用組件到可信服務(wù)中心獲取對(duì)被調(diào)用組件訪問(wèn)的授權(quán)憑據(jù)�����;
[0009]步驟三:被調(diào)用組件到可信服務(wù)中心驗(yàn)證授權(quán)憑據(jù)的有效性����;
[0010]步驟四:被調(diào)用組件根據(jù)可信服務(wù)中心的授權(quán)訪問(wèn)策略安全啟動(dòng)��。
[0011]優(yōu)選地���,所述被調(diào)用組件為服務(wù)組件��。
[0012]優(yōu)選地��,所述服務(wù)支持信息包括但不限于組件服務(wù)狀態(tài)��。
[0013]優(yōu)選地���,所述授權(quán)憑據(jù)包括但不限于被調(diào)用組件的公鑰。
[0014]與現(xiàn)有技術(shù)相比����,本發(fā)明具有如下的有益效果:一�,本發(fā)明對(duì)通信數(shù)據(jù)加密��,避免敏感數(shù)據(jù)泄露�;二,本發(fā)明使組件可信調(diào)用���,避免非授權(quán)方非法調(diào)用����;三���,本發(fā)明使組件授權(quán)訪問(wèn)����,避免惡意重放攻擊等�,保證系統(tǒng)的正常運(yùn)行。
【附圖說(shuō)明】
[0015]通過(guò)閱讀參照以下附圖對(duì)非限制性實(shí)施例所作的詳細(xì)描述�,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0016]圖1為本發(fā)明組件安全調(diào)用系統(tǒng)的原理框圖����。
【具體實(shí)施方式】
[0017]下面結(jié)合具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。以下實(shí)施例將有助于本領(lǐng)域的技術(shù)人員進(jìn)一步理解本發(fā)明,但不以任何形式限制本發(fā)明�����。應(yīng)當(dāng)指出的是�,對(duì)本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明構(gòu)思的前提下��,還可以做出若干變形和改進(jìn)�。這些都屬于本發(fā)明的保護(hù)范圍���。
[0018]如圖1所示����,本發(fā)明組件安全調(diào)用系統(tǒng)包括應(yīng)用組件���、服務(wù)組件�、可信服務(wù)中心��,應(yīng)用組件�、服務(wù)組件、可信服務(wù)中心三者之間相互連接��。可信服務(wù)中心是引入基于PKI (Public Key Infrastructure���,公鑰基礎(chǔ)設(shè)施)等體系的可信組件��,提供各組件的身份認(rèn)證�、組件的授權(quán)訪問(wèn)及策略控制等����,可以提供本地可信服務(wù)或是作為全局的可信服務(wù)節(jié)點(diǎn)存在。應(yīng)用組件是服務(wù)請(qǐng)求者�����,用于請(qǐng)求所需的功能服務(wù)��;服務(wù)組件是服務(wù)提供者�����,用于提供功能服務(wù)��;可信服務(wù)中心用于提供各組件的身份認(rèn)證�����,組件的授權(quán)訪問(wèn)及策略控制等。
[0019]本發(fā)明組件安全調(diào)用方法包括以下步驟:
[0020]步驟一:應(yīng)用組件根據(jù)被調(diào)用組件的ID到可信服務(wù)中心獲取該組件的服務(wù)支持信息���,服務(wù)支持信息包括但不限于組件服務(wù)狀態(tài)等�����;被調(diào)用組件為服務(wù)組件���。
[0021]步驟二:應(yīng)用組件到可信服務(wù)中心獲取對(duì)被調(diào)用組件訪問(wèn)的授權(quán)憑據(jù),授權(quán)憑據(jù)包括但不限于被調(diào)用組件的公鑰(用于加密通信數(shù)據(jù)等)等��;
[0022]步驟三:被調(diào)用組件到可信服務(wù)中心驗(yàn)證授權(quán)憑據(jù)的有效性�;
[0023]步驟四:被調(diào)用組件根據(jù)可信服務(wù)中心的授權(quán)訪問(wèn)策略安全啟動(dòng)���。
[0024]具體例子如下:
[0025]步驟1:應(yīng)用組件A到可信服務(wù)中心C查詢服務(wù)組件B的服務(wù)支持情況����。
[0026]步驟2:應(yīng)用組件A到可信服務(wù)中心C獲取對(duì)服務(wù)組件B的授權(quán)訪問(wèn)憑據(jù)��,可信服務(wù)中心C驗(yàn)證應(yīng)用組件A身份并返回服務(wù)組件B的公鑰���、隨機(jī)授權(quán)碼等信息�。
[0027]步驟3:應(yīng)用組件A通過(guò)服務(wù)組件B的公鑰加密通信數(shù)據(jù),隨同授權(quán)隨機(jī)碼傳遞給服務(wù)組件B���。服務(wù)組件B發(fā)送授權(quán)隨機(jī)碼到可信服務(wù)中心C驗(yàn)證有效性��,可信服務(wù)中心C返回驗(yàn)證結(jié)果及授權(quán)訪問(wèn)策略���。
[0028]步驟4:服務(wù)組件B根據(jù)可信服務(wù)中心C的授權(quán)訪問(wèn)策略啟動(dòng)。
[0029]本發(fā)明中各組件及可信服務(wù)中心之間的通信基于SSL(Secure Socket Layer)實(shí)現(xiàn)�����,并基于PKI體系對(duì)數(shù)據(jù)進(jìn)行簽名校驗(yàn)等���,可以有效保證數(shù)據(jù)的安全傳輸���;本發(fā)明中各組件的訪問(wèn)都是基于可信服務(wù)中心,并通過(guò)基于PKI體系的非對(duì)稱加解密�����、數(shù)字簽名等技術(shù)來(lái)實(shí)現(xiàn)組件身份及訪問(wèn)的強(qiáng)認(rèn)證控制��,避免非授權(quán)組件非法調(diào)用等��;本發(fā)明中可信服務(wù)中心實(shí)現(xiàn)憑據(jù)策略控制,授權(quán)憑據(jù)僅一次有效��,并可提供有效時(shí)間控制等控制策略��,避免重放攻擊等�。
[0030]以上對(duì)本發(fā)明的具體實(shí)施例進(jìn)行了描述。需要理解的是��,本發(fā)明并不局限于上述特定實(shí)施方式�,本領(lǐng)域技術(shù)人員可以在權(quán)利要求的范圍內(nèi)做出各種變形或修改,這并不影響本發(fā)明的實(shí)質(zhì)內(nèi)容�����。
【主權(quán)項(xiàng)】
1.一種組件安全調(diào)用系統(tǒng)���,其特征在于����,包括應(yīng)用組件�����、服務(wù)組件�����、可信服務(wù)中心���,應(yīng)用組件�、服務(wù)組件����、可信服務(wù)中心三者之間相互連接。
2.根據(jù)權(quán)利要求1所述的組件安全調(diào)用系統(tǒng)����,其特征在于,所述可信服務(wù)中心是引入基于PKI體系的可信組件����,提供各組件的身份認(rèn)證、組件的授權(quán)訪問(wèn)及策略控制����。
3.—種組件安全調(diào)用方法,其特征在于��,包括以下步驟: 步驟一:應(yīng)用組件根據(jù)被調(diào)用組件的ID到可信服務(wù)中心獲取該組件的服務(wù)支持信息�; 步驟二:應(yīng)用組件到可信服務(wù)中心獲取對(duì)被調(diào)用組件訪問(wèn)的授權(quán)憑據(jù)�����; 步驟三:被調(diào)用組件到可信服務(wù)中心驗(yàn)證授權(quán)憑據(jù)的有效性���; 步驟四:被調(diào)用組件根據(jù)可信服務(wù)中心的授權(quán)訪問(wèn)策略安全啟動(dòng)。
4.根據(jù)權(quán)利要求3所述的組件安全調(diào)用方法�,其特征在于,所述被調(diào)用組件為服務(wù)組件���。
5.根據(jù)權(quán)利要求3所述的組件安全調(diào)用方法��,其特征在于���,所述服務(wù)支持信息包括但不限于組件服務(wù)狀態(tài)。
6.根據(jù)權(quán)利要求3所述的組件安全調(diào)用方法���,其特征在于�,所述授權(quán)憑據(jù)包括但不限于被調(diào)用組件的公鑰�����。
【專利摘要】本發(fā)明提供了一種組件安全調(diào)用系統(tǒng)及調(diào)用方法�,組件安全調(diào)用系統(tǒng)包括應(yīng)用組件、服務(wù)組件��、可信服務(wù)中心�,應(yīng)用組件、服務(wù)組件�����、可信服務(wù)中心三者之間相互連接���。本發(fā)明使組件授權(quán)訪問(wèn)���,避免惡意重放攻擊等,保證系統(tǒng)的正常運(yùn)行���。
【IPC分類】H04L29-06, H04L9-32
【公開(kāi)號(hào)】CN104601328
【申請(qǐng)?zhí)枴緾N201410805057
【發(fā)明人】余根君, 丁星, 武靜, 朱宏濤
【申請(qǐng)人】中電科華云信息技術(shù)有限公司
【公開(kāi)日】2015年5月6日
【申請(qǐng)日】2014年12月18日