应用服务管理系统及服务禁用方法

文档序号:7988841阅读:207来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:应用服务管理系统及服务禁用方法
技术领域
本发明涉及数字信息网络技术领域,尤其涉及一种应用服务管理系统及服务禁用方法。
背景技术
随着网络技术的发展,越来越多的应用服务被开发和应用。应用服务器作为应用服务网络中的一种实体,根据用户的业务需求,为用户提供可访问的途径,使用户能享受到相关的服务。例如,应用服务器可以提供多媒体新闻发布、在线直播、网络广告、电子商务、 视频点播、远程教育、远程医疗、网络电台、实时视频会议等网络应用服务。随着网络规模和复杂度的不断提高,网络逐渐具有更大的开放性,其安全问题也正日益引起广大使用者的重视。中国专利CN200910037146. 2公开了一种基于数字证书的应用服务管理系统及管理方法,能够提高应用服务网络的安全性。该系统由鉴别服务器为各用户端、应用服务器颁发数字证书及对应的数字证书私钥,用户端根据鉴别服务器为其颁发的数字证书可以访问不同的应用服务器,无需在每次访问一个新的应用服务器时都进行注册,此外,在用户端与应用服务器通过鉴别服务器验证了双方的身份之后,由应用服务器向用户端分发主密钥,并通过主密钥等元素协商二者之间通信的业务密钥,建立应用服务数据交互的安全通道,通过该业务密钥实现应用服务数据在安全通道中的加密传输。用户端、应用服务器、鉴别服务器之间在接入和鉴别过程中的通信无需经过额外的安全信道, 是管理以及运营模式上的改进和突破。但是在上述专利中,用户端只有在接入应用服务器网络时,才进行身份验证,一旦通过身份验证成功接入应用服务器网络后,用户端在和应用服务器进行应用服务数据交互过程中,则不再进行身份验证。如果在用户端和应用服务器进行应用服务数据交互的过程中,鉴别服务器认为某个用户端的身份失效,或者系统管理人员认定或设置某个用户端非法,虽然鉴别服务器已经吊销了用户端的代表身份合法性的数字证书,但是应用服务器并没有收到相应通知,因此该用户端仍然以合法身份接入应用服务器中,并继续与应用服务器进行应用服务数据交互。因为应用服务数据交互过程中周期性的密钥协商不再涉及身份验证,所以在这个过程中应用服务器始终无法识别出该用户端的身份问题,这样就造成了安全上的威胁。

发明内容
本发明实施例提出一种应用服务管理系统及服务禁用方法,禁止非法用户端和应用服务器进行应用服务数据交互,提高应用服务网络的安全性。本发明实施例提供一种应用服务管理系统,包括
鉴别服务器,用于在判定用户端非法后,根据本地的地址绑定表获知所述用户端当前接入的应用服务器,并向所述应用服务器发送服务禁用生效消息;所述地址绑定表包含用户端及其接入的应用服务器的绑定信息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码;
应用服务器,用于在接收到服务禁用生效消息后,根据消息中的待禁用的用户端身份信息,查询是否有待禁用的用户端正在接入本应用服务器并进行应用数据交互;若否,则忽略所述服务禁用生效消息;若是,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互;所述服务禁用通告消息包含禁用原因码;
用户端,用于在接收服务禁用通告消息后,根据消息中的禁用原因码获得服务禁用的原因。相应地,本发明实施例还提供一种服务禁用方法,包括
51、鉴别服务器判定用户端非法,根据本地的地址绑定表获知所述用户端当前接入的应用服务器,并向所述应用服务器发送服务禁用生效消息;所述地址绑定表包含用户端及其接入的应用服务器的绑定信息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码;
52、所述应用服务器收到所述服务禁用生效消息后,根据消息中的待禁用的用户端身份信息,查询是否有待禁用的用户端正在接入本应用服务器并进行应用数据交互;若否,则忽略所述服务禁用生效消息;若是,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互;所述服务禁用通告消息包含禁用原因码;
53、待禁用的用户端收到所述服务禁用通告消息后,根据消息中的禁用原因码获得服务禁用的原因。本发明实施例提供的应用服务管理系统及服务禁用方法,在用户端与应用服务器进行应用数据交互的过程中,若鉴别服务器判定所述用户端非法,则向该用户端接入的应用服务器发送服务禁用生效消息,由应用服务器解除该用户端的接入,中断非法用户端和应用服务器进行应用服务数据交互,提高应用服务网络的安全性。本发明能够解决应用服务数据交互过程中用户端身份失效后,仍持续与应用服务器进行应用服务数据交互而带来的安全威胁问题。


图1是本发明实施例一提供的应用服务管理系统的结构示意图; 图2是本发明实施例二提供的服务禁用方法的流程示意图3是本发明实施例三提供的服务禁用方法的流程示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。参见图1,是本发明实施例一提供的应用服务管理系统的结构示意图。本实施例提供应用服务管理系统包括鉴别服务器、至少一个应用服务器和至少一个用户端。具体如下
鉴别服务器,用于在判定用户端非法后,根据本地的地址绑定表获知所述用户端当前接入的应用服务器,并向所述应用服务器发送服务禁用生效消息;所述地址绑定表包含用户端及其接入的应用服务器的绑定信息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码;
应用服务器,用于在接收到服务禁用生效消息后,根据消息中的待禁用的用户端身份信息,查询是否有待禁用的用户端正在接入本应用服务器并进行应用数据交互;若否,则忽略所述服务禁用生效消息;若是,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互;所述服务禁用通告消息包含禁用原因码;
用户端,用于在接收服务禁用通告消息后,根据消息中的禁用原因码获得服务禁用的原因。进一步的,鉴别服务器还用于对用户端和应用服务器进行身份验证;且在所述用户端接入所述应用服务器后,鉴别服务器在本地的地址绑定表中记录所述用户端及其接入的应用服务器的绑定信息。用户端还用于在身份验证通过后,接入应用服务器,与该应用服务器进行应用数据交互。此外,鉴别服务器还用于在应用服务器解除用户端的接入之后,删除地址绑定表中记录的已禁用的用户端和应用服务器的绑定信息。本发明实施例还提供一种服务禁用方法,该方法可应用于上述实施例的应用服务管理系统。参见图2,是本发明实施例二提供的服务禁用方法的流程示意图。本实施例还提供的服务禁用方法,包括
Si、鉴别服务器判定用户端非法,根据本地的地址绑定表获知所述用户端当前接入的应用服务器,并向所述应用服务器发送服务禁用生效消息;所述地址绑定表包含用户端及其接入的应用服务器的绑定信息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码。S2、所述应用服务器收到所述服务禁用生效消息后,根据消息中的待禁用的用户端身份信息,查询是否有待禁用的用户端正在接入本应用服务器并进行应用数据交互;若否,则忽略所述服务禁用生效消息;若是,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互;所述服务禁用通告消息包含禁用原因码。S3、待禁用的用户端收到所述服务禁用通告消息后,根据消息中的禁用原因码获得服务禁用的原因。进一步的,如图2所示,在所述用户端被所述鉴别服务器判定非法之前,还包括 so、所述用户端和应用服务器通过所述鉴别服务器进行身份验证;在身份验证通过后,
所述用户端接入所述应用服务器,与所述应用服务器进行应用数据交互;且所述鉴别服务器在本地的地址绑定表中记录所述用户端及其接入的应用服务器的绑定信息。此外,如图2所示,在所述应用服务器解除所述用户端的接入之后,还包括S4、所述应用服务器向所述鉴别服务器发送服务禁用确认消息,消息中包含已禁用的用户端身份信息。S5、所述鉴别服务器收到所述服务禁用确认消息后,删除地址绑定表中记录的已禁用的用户端和应用服务器的绑定信息。具体实施时,上述服务禁用生效消息、服务禁用通告消息、服务禁用确认消息均包含签名信息;该签名信息用于验证消息的合法性。鉴别服务器使用不同的禁用原因码值表示不同的服务禁用原因;服务禁用原因包括证书已过期、证书已吊销、证书未按规定用途使用和证书错误原因未知。例如,使用禁用原因码值1表示证书已过期,使用禁用原因码值2表示证书已吊销,使用禁用原因码值3表示证书未按规定用途使用,使用禁用原因码值4表示证书错误原因未知。在上述实施例中,鉴别服务器对用户端和应用服务器进行身份验证,可以采用中国专利CN200910037146. 2提供的应用服务管理方法来实现,在此不进行详细说明。下面结合图3,对本发明实施例提供的服务禁用方法的流程进行详细描述。参见图3,是本发明实施例三提供的服务禁用方法的流程示意图。该方法具体包括以下步骤
S11,用户端通过鉴别服务器的身份验证,接入到应用服务器,完成业务密钥分发;且鉴别服务器在本地的地址绑定表中记录所述用户端及其接入的应用服务器的绑定信息。具体实施时,用户端接入应用服务器,完成业务密钥分发,可以采用中国专利 CN200910037146. 2提供的应用服务管理方法来实现,在此不进行详细说明。S12,用户端和应用服务器进行应用数据交互。S13,鉴别服务器判定用户端非法,向该用户端接入的应用服务器发送服务禁用生效消息。具体的,在应用服务数据交互过程中,如果鉴别服务器认为该用户端的身份失效, 或者是系统管理人员认定或设置该用户端非法,则在鉴别服务器侧吊销该用户端的数字证书。该用户端被判定非法,是待禁用的用户端。其中,服务禁用生效消息包含待服务禁用的用户端接入的应用服务器身份信息、 待服务禁用的用户端身份信息、禁用原因码、鉴别服务器签名等字段。S14,应用服务器收到服务禁用生效消息后,验证鉴别服务器签名,若验证不通过, 则忽略该消息。若验证通过,则根据待服务禁用的用户端身份信息,查找是否有待禁用的用户端正接入本应用服务器并进行应用服务数据交互,若无该用户端,则忽略该消息。若有该用户端,则生成服务禁用确认消息,对该信息签名后,发送至鉴别服务器。 其中,服务禁用确认消息包含已禁用的用户端身份信息、禁用原因码、应用服务器签名等字段。鉴别服务器收到服务禁用确认消息后,验证应用服务器签名,若验证不通过,则丢弃该消息,并重新生成务禁用生效消息,再次发送给应用服务器。若验证通过,则删除地址绑定表中记录的已禁用的用户端和应用服务器的绑定信息。S15,应用服务器向用户端发送服务禁用通告消息。其中,服务禁用通告消息包含待禁用的用户端接入的应用服务器身份信息、待禁用的用户端身份等字段。
用户端收到该服务禁用确认消息后,根据消息中的禁用原因码,可以获得服务禁用的原因,并采取重新申请更换证书等措施,确保下次可以接入应用服务器。应用服务器向用户端发送服务禁用通告消息之后,应用服务器解除待服务禁用的用户端的接入,中断与该用户端的应用服务数据交互。本发明实施例提供的应用服务管理系统及服务禁用方法,在用户端与应用服务器进行应用数据交互的过程中,若鉴别服务器判定所述用户端非法,则向该用户端接入的应用服务器发送服务禁用生效消息,由应用服务器解除该用户端的接入,中断非法用户端和应用服务器进行应用服务数据交互,提高应用服务网络的安全性。本发明能够解决应用服务数据交互过程中用户端身份失效后,仍持续与应用服务器进行应用服务数据交互而带来的安全威胁问题。以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
权利要求
1.一种应用服务管理系统,其特征在于,包括鉴别服务器,用于在判定用户端非法后,根据本地的地址绑定表获知所述用户端当前接入的应用服务器,并向所述应用服务器发送服务禁用生效消息;所述地址绑定表包含用户端及其接入的应用服务器的绑定信息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码;应用服务器,用于在接收到服务禁用生效消息后,根据消息中的待禁用的用户端身份信息,查询是否有待禁用的用户端正在接入本应用服务器并进行应用数据交互;若否,则忽略所述服务禁用生效消息;若是,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互;所述服务禁用通告消息包含禁用原因码;用户端,用于在接收服务禁用通告消息后,根据消息中的禁用原因码获得服务禁用的原因。
2.如权利要求1所述的应用服务管理系统,其特征在于,所述鉴别服务器还用于对用户端和应用服务器进行身份验证;且在所述用户端接入所述应用服务器后,所述鉴别服务器在本地的地址绑定表中记录所述用户端及其接入的应用服务器的绑定信息。
3.如权利要求2所述的应用服务管理系统,其特征在于,所述用户端还用于在身份验证通过后,接入所述应用服务器,与所述应用服务器进行应用数据交互。
4.如权利要求3所述的应用服务管理系统,其特征在于,所述鉴别服务器还用于在所述应用服务器解除所述用户端的接入之后,删除地址绑定表中记录的已禁用的用户端和应用服务器的绑定信息。
5.一种服务禁用方法,其特征在于,包括51、鉴别服务器判定用户端非法,根据本地的地址绑定表获知所述用户端当前接入的应用服务器,并向所述应用服务器发送服务禁用生效消息;所述地址绑定表包含用户端及其接入的应用服务器的绑定信息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码;52、所述应用服务器收到所述服务禁用生效消息后,根据消息中的待禁用的用户端身份信息,查询是否有待禁用的用户端正在接入本应用服务器并进行应用数据交互;若否,则忽略所述服务禁用生效消息;若是,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互;所述服务禁用通告消息包含禁用原因码;53、待禁用的用户端收到所述服务禁用通告消息后,根据消息中的禁用原因码获得服务禁用的原因。
6.如权利要求5所述的服务禁用方法,其特征在于,所述用户端被所述鉴别服务器判定非法之前,还包括SO、所述用户端和应用服务器通过所述鉴别服务器进行身份验证;在身份验证通过后, 所述用户端接入所述应用服务器,与所述应用服务器进行应用数据交互;且所述鉴别服务器在本地的地址绑定表中记录所述用户端及其接入的应用服务器的绑定信息。
7.如权利要求6所述的服务禁用方法,其特征在于,在所述应用服务器解除所述用户端的接入之后,还包括·54、所述应用服务器向所述鉴别服务器发送服务禁用确认消息,消息中包含已禁用的用户端身份信息;·55、所述鉴别服务器收到所述服务禁用确认消息后,删除地址绑定表中记录的已禁用的用户端和应用服务器的绑定信息。
8.如权利要求7所述的服务禁用方法,其特征在于,所述服务禁用生效消息、服务禁用通告消息、服务禁用确认消息均包含签名信息;所述签名信息用于验证消息的合法性。
9.如权利要求8所述的服务禁用方法,其特征在于,所述鉴别服务器使用不同的禁用原因码值表示不同的服务禁用原因;服务禁用原因包括证书已过期、证书已吊销、证书未按规定用途使用和证书错误原因未知。
全文摘要
本发明公开了一种应用服务管理系统及服务禁用方法,该方法包括鉴别服务器判定用户端非法,向所述用户端当前接入的应用服务器发送服务禁用生效消息;所述服务禁用生效消息包含待禁用的用户端身份信息和禁用原因码;所述应用服务器收到所述服务禁用生效消息后,确认有待禁用的用户端正在接入本应用服务器并进行应用数据交互,则向待禁用的用户端发送服务禁用通告消息,并解除所述用户端的接入,中断与所述用户端之间的应用数据交互。采用本发明实施例,能够禁止非法用户端和应用服务器进行应用服务数据交互,提高应用服务网络的安全性。
文档编号H04L29/06GK102420817SQ20111038330
公开日2012年4月18日 申请日期2011年11月28日 优先权日2011年11月28日
发明者林凡, 黄建青 申请人:广州杰赛科技股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:林凡;黄建青
  • 技术所有人:广州杰赛科技股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
管理系统中计算机应用相关技术
数据库应用和管理系统相关技术
集中监控应用管理系统相关技术
应用交付管理系统相关技术
管理系统计算机应用相关技术
苏大应用教务管理系统相关技术
信息管理系统的应用相关技术
安卓应用商店管理系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2