专利名称:基于注册和呼叫控制的应用整合方法
技术领域:
本发明涉及应用整合,尤其涉及通过大型网络的应用整合。
背景技术:
随着电子政务与电子商务等互联网信息技术的迅猛发展,对网络应用系统的快速、简易、安全提出了更高的要求。传统的用户名+口令的身份认证方式已经无法满足业务增长过程中遇到的安全性需求。目前计算机信息安全的主要解决方案是建设公钥基础设施(PKI,Public Key Infrastructure)为网络实体发放数字证书,通过基于数字证书的非对称密码技术实现对网络实体身份的强认证。我国在这个领域上已经研究多年,许多应用系统使用PKI技术。
目前PKI的应用技术集中于安全中间件技术,即通过对加解密、签名验证、随机数生成、数字信封封装、数字证书查询与验证等功能的封装,为应用开发商提供适用于各类开发语言的安全中间件接口,由应用开发商调用这些接口来对现有的应用系统进行向PKI的迁移和改造,或者基于这些接口进行新应用系统开发,以达到保障信息安全的目的。部分应用在传输过程中则是基于SSL协议,通过SSL网关提供身份认证和传输间的安全。这样就会造成如下问题1)、基于安全中间件的应用系统改造,需要在了解PKI技术、非对称密码技术原理的基础上,对开发接口进行学习和测试验证,在此基础上才能对应用系统业务逻辑进行改造,而许多应用开发商对PKI及相关技术并不熟悉,安全中间件在使用过程中相当困难,开发效率低,甚至出现错误的使用,结果造成虽然使用了安全服务,却没有真正为信息安全提供保障;2)、对正在运行的应用系统进行改造,可能会对应用系统稳定性造成影响,从而对正常开展的业务造成影响;3)、现有很多应用系统都建了比较长的时间,部分应用系统的开发商都已经不存在或已经不提供技术支持,这样的应用无法实现基于安全中间件技术的改造;4)、在应用系统之前增加了SSL网关,在一定程度上可以减少应用开发量,但是仅支持浏览器/服务器结构的应用,对客户端/服务器结构的应用无法支持。而且在每个系统之前都增加SSL网关,用户在访问每个系统之前都要进行身份认证,增加了使用的复杂度,这对只有少量浏览器/服务器结构的应用改造可以使用,对于多应用系统很难实施。
发明内容
本发明要解决的技术方案是提出一种与具体应用系统开发和管理无关的应用整合,将基于中间件对应用系统进行改造的过程转化为用户和应用系统向应用支撑系统注册的过程。
为了解决上述技术问题,本发明所采用技术方案的基本构思是提出一种基于注册和呼叫控制技术的网络信息访问控制方法,首先基于注册和呼叫控制技术建设一种应用支撑平台,至少包括客户端服务系统、注册服务系统、资源整合服务系统、鉴权服务系统、密码服务系统以及客户端软件,将业务应用系统的标识信息在通过资源整合服务系统在注册服务器上注册,所述资源整合系统分配给所述业务应用系统统一的资源标识,用户使用所述业务应用系统时,所述用户提供数字证书和标识信息在所述注册服务系统进行注册,所述注册服务系统调用密码运算系统完成对所述数字证书的验证,若所述用户通过验证,根据所述标识信息为用户鉴权,获得相应权限,若所述用户未通过验证,终止本次连接,然后所述用户向所述应用系统发出呼叫并提供自身标识信息,并登录到应用系统。由于用户和服务都必须到平台进行注册,用户只需使用数字证书向平台进行一次注册和认证,就能够成为可信的用户,只要该用户进入有权访问的网络区域,就不再需要进行强身份认证,然后由用户向应用系统发起呼叫,应用支撑平台进行鉴权控制的方式,由平台代替多个应用系统对用户进行访问控制,这样就实现了统一的身份认证和单点登录,也大大减少了多个应用系统都需对用户进行认证的效率损失,这样就将应用开发商基于中间件对应用系统进行改造的过程转化为用户和应用系统向应用支撑平台注册的过程,实现多个应用系统和网络区域的单点登录,降低了应用开发商的使用安全服务的开发复杂度和风险,实现信任服务在应用系统上的快速整合。
以下将结合附图对本发明的构思及产生的技术效果作进一步说明,以充分地了解本发明。
图1为本发明网络信息访问控制方法的流程图。
图2为应用支撑平台的组成示意图。
图3为使用本发明网络信息访问控制方法的应用支撑平台中应用业务系统的注册示意图。
图4为使用本发明网络信息访问控制方法的应用支撑平台的用户注册示意图。
图5为使用本发明网络信息访问控制方法的应用支撑平台的用户和应用业务系统间信息访问示意图。
具体实施例方式
参考图2,使用本发明应用整合的应用支撑平台,至少包括客户端服务系统、注册服务系统、资源整合服务系统、鉴权服务系统、密码服务系统以及客户端软件,所述客户端服务系统是客户端的服务器端设备,主要为客户端软件提供个性化服务、内容服务、后台支撑服务等,包括客户端管理、身份认证管理、版本自动更新、基于客户端的虚拟办公等服务。所述注册服务系统对各类用户提供实体注册服务,实现平台内用户可信注册和认证。用户必须通过注册认证后才能在平台中进行各种操作,实体一次注册将全网通行,并通过所述鉴权服务系统进行全网统一的鉴权后,才能获得访问各种资源的权限。所述鉴权服务系统为各类实体的联系人权限和网络及网络资源访问权限等进行统一管理,并根据上述权限进行鉴权服务,为实现全网统一鉴权提供支撑。所述资源整合服务系统是对各应用系统进行管理、资源授权,代理应用进行注册和发布功能。所述密码服务系统为平台各设备提供基础的密码服务,包括加密、解密、签名、验签、Hash等密码的运算功能。所述客户端软件是为用户提供各种服务的基础框架,集成了示证、安全套接字虚拟专用网(SSL VPN)等基本的安全功能组件和呼叫控制软件。
如图3所示,首先需要把公文系统注册到平台上,将“公文处理系统”、“http://192.168.10.25/index.htm”等标识信息在资源整合控制网关上注册;资源整合服务系统为其分配统一的资源标识“公文处理系统”和服务号“gwclxt@mydomain.com”;在鉴权服务系统上将“公文处理系统”资源授权给相应的用户。在这里公文处理系统的首页不再需要输入用户名、口令的界面。公文处理系统经过在平台上注册后就能提供服务了,用户在使用服务之前必须先经过注册和认证。
如图4所示,用户在使用时先向注册服务系统发送注册请求,同时提交自己的数字证书信息、签名信息和本地IP地址信息;注册服务系统调用密码服务系统完成对该用户的身份验证,然后更新该用户的地址信息,完成用户的定位;鉴权服务系统根据该用户的身份信息,经过判断认为该用户具有使用公文处理系统的能力;客户端服务系统查询到公文处理系统的服务状态后,将标识为“公文处理系统”的服务的访问入口(表现为一个按钮)推送到用户的终端。这样,该授权用户就可以访问该项应用服务了。
如图5所示,用户点击“公文处理系统”按钮,先由客户端软件向资源整合服务系统发出呼叫请求并提交自身识别信息,要求建立与业务资源的连接;资源整合服务系统解析出该用户身份识别信息后再次判断该用户是否有权限访问所请求资源;确认后资源整合服务系统将应用系统的真实地址“http://192.168.10.25/index.htm”返回给客户端软件呼叫控制终端;这时,用户就可以通过URL地址来访问应用系统了,用户和公文处理系统之间可以通过安全套接字虚拟专用网络(SSL VPN)访问,实现了传输时的数据保密。
本说明书中所述的只是本发明的一种较佳具体实施例,凡依本发明的构思所做的改变或修饰,皆应在本发明的权利要求保护范围内。
权利要求
1.一种基于注册和呼叫控制的应用整合方法,至少包括如下步骤(a)基于注册和呼叫控制建设一种应用支撑平台,至少包括客户端服务系统、注册服务系统、资源整合服务系统、鉴权服务系统、密码服务系统以及客户端软件;(b)将业务应用系统的标识信息通过所述资源整合服务系统注册到所述注册服务系统,所述资源整合系统分配给所述业务应用系统统一的资源标识;(c)用户提供数字证书和标识信息在所述注册服务系统进行注册,所述注册服务系统调用密码运算系统完成对所述数字证书的验证;(d)若所述用户通过验证,根据所述标识信息为用户鉴权,获得相应权限;(e)若所述用户未通过验证,终止本次连接;(f)所述业务用户向应用系统发出呼叫并提供自身标识信息,登录到所述应用系统;
2.如权利要求1所述的访问控制方法,其特征在于所述数字证书为公钥基础设施。
3.如权利要求1所述的访问控制方法,其特征在于所述业务应用系统的标识信息为系统名称和系统统一资源定位符。
4.如权利要求1所述的访问控制方法,其特征在于所述用户标识信息为用户身份和位置信息。
全文摘要
一种基于注册和呼叫控制的应用整合方法,首先提供基于呼叫信令技术建立一个应用支撑平台,将业务应用系统通过资源整合服务系统在注册服务系统上注册,并分配给业务应用系统资源标识,用户使用业务应用系统时,先以数字证书在注册服务系统上注册,若数字证书通过验证,为用户鉴权,获得相应权限,否则就终止本次连接;使用业务系统时,用户向应用系统呼叫并提供自身标识信息,登录到应用系统,不需要应用再做强身份认证。因此实现了多个应用系统和网络区域的单点登录,降低了应用开发商的使用安全服务的开发复杂度和风险,实现信任服务在应用支撑平台的快速整合。
文档编号H04L12/56GK101064611SQ20061002599
公开日2007年10月31日 申请日期2006年4月24日 优先权日2006年4月24日
发明者顾青, 陆蓓婷, 靳胜勇, 蒋文创, 周卫红, 吴鹏 申请人:维豪信息技术有限公司