专利名称:一种安全的Web service访问方法和系统的制作方法
技术领域:
本发明属于Web Service4支术领域,具体涉及到一种安全的Web service访 问方法和系统。
背景技术:
Web Service是当今的热点技术之一,它定义了应用程序如何在Web上实 现互操作性,是建立可互操作的分布式应用程序的新平台。人们可以用所喜欢 的语言,在不同的平台中编写Web Service,然后通过Web Service的标准来对 这些服务进行查询和访问。利用Web Service能够创建出可供不同人从不同地方 使用的、功能强大的应用程序,极大地拓展了应用程序的功能,实现了软件的 动态提供。
Web Service是一种部署在Web上的对象,因此具有对象技术所承诺的所 有优点;同时,Web Service的基石是以XML (Extensible Markup Language)为 主的、开放的Web规范技术,具有比现有的对象技术更好的开放性。
然而WebService作为方便的服务被广大领域使用的同时,其安全性问题也 日益受到关注,
目前其安全的实现主要分为以下几个方面 一、传输的安全性用SSL和 HTTPS协议,可以获得连接过程中的安全;二、消息加密对XML传输的数 据进行数据加密,增加数字签名功能。
上述的安全措施,可以从不同的方面,增加Web Service访问的安全性,然 而,其并不能够抵御所有的入侵。本文所提出的方法,是从Web Service提供的访问业务本身出发,对于业务 的重要性进行分级管理,根据客户的级别不同,进行授权的业务访问,同时对 于来访客户进行IP地址的检验,进一步增加Web Service服务器安全性。
发明内容
本发明要解决的问题是目前Web service访问中存在的安全问题,以使得用 户在Web service访问中获得更好的安全体验。
为了实现上述目的,本发明提供了一种安全的Web service访问方法和系 统,该方法包括以下步骤
客户端向服务端发起访问请求;
所述服务端的接口模块获取所述客户端提供的安全验证参数,并对该安全 验证参数进行认证,如果认证失败,则拒绝访问,如果通过认证,则将所述安 全验证参数和接口 ID发送给服务端权限管理系统;
所述服务端的权限管理系统对所述安全验证参数和被访问的接口 ID进行认 证,如果认证失败,则拒绝访问,如果通过认证,则客户端可以通过访问服务 端业务处理系统获取所需业务。
所述的方法,服务端接口模块获取所述客户端提供的安全验证参数包括客 户端的版本号、设备代码、用户名、用户密码。
所述的方法,服务端接口模块对客户端的版本号进行认证具体为检查客 户端的版本号是否和服务端的版本号兼容,如果不兼容,则拒绝访问,如果兼 容,则通过访问;所述服务端接口模块对客户端设备代码的认证具体为检查 要访问的设备代码是否本服务端配置的设备代码,如果不是,则拒绝用户访问, 如果是,则通过访问。
所述的方法,服务端权限管理系统对所述用户用户名和用户密码的认体为权限管理系统;险查客户端的用户名和密码是否正确,若用户不存在或者 密码不正确,则拒绝访问,如果用户名存在并且密码正确,则通过访问;所述 服务端权限管理系统对被访问的服务端接口 ID进行认证具体为权限管理系统 通过所述接口 ID检查该用户是否具有访问该接口的权限,若没有,则拒绝访问, 若有,则通过访问。
所述的方法,服务端接口模块将所述安全验证参数发送给服务端权限管理 系统的同时,还将客户端的IP地址发送给所述服务端权限管理系统,由所述权 限管理系统对所述IP地址进行认证。
所述的方法,服务端权限管理系统对所述IP地址进行认证具体为检查客 户端是否配置了绑定IP地址检查,若已经配置,则检验所述IP地址是否在服务 端配置的绑定IP地址范围内,如果在,则通过访问,如果客户端没有配置绑定 IP地址检查或者所述IP地址不在服务端配置的绑定IP地址范围内,则拒绝访问。 所述的方法,服务端权限管理系统在进行认证时需要调取服务端数据库中 的数据来进行认证。
该系统包括客户端和服务端,客户端通过访问服务端的接口模块,获取服 务;服务端包括接口模块和权限管理系统,该接口模块用于为客户端提供访问 服务并获取客户端提供的访问请求参数;该权限管理系统用于在所述接口模块 通过认证后从所述接口模块接收安全验证参数和接口 ID,并对该安全验证参数 和接口 ID进行认证。
所述的系统,还包括数据库,用于为服务端权限管理系统和业务处理系统 提供访问数据。
所述的系统,还包括业务处理系统,用于在客户端通过认证时为客户端提 供相应的业务。
6本文所提出的方法和系统,通过服务端接口模块和服务端权限管理系统进
行双重认证,增加了 Web Service服务器的安全性。
图1是本发明包括的模块图; , 图2是本发明的处理流程图。
具体实施例方式
下面结合附图对本发明进行详细说明。
从图l可以看出,该系统包括客户端、服务端接口访问模块、权限管理系 统、业务处理系统以及用于权限和业务管理的数据库系统。其中服务端接口访 问模块用于从客户端的访问请求中获得安全验证参数块,和权限管理系统一起 完成客户端的安全验证工作,并把通过安全验证的客户端访问请求,转给业务 处理系统进行业务的访问;权限管理系统负责完成客户端访问用户的权限管理; 业务处理系统负责完成被授权访问客户端的业务处理功能。
权限管理系统完成访问用户的权限配置,根据服务端接口功能和重要性的 不同,对访问用户进行分级管理,如O级--超级管理员级,1级--系统管理员 级,2级一授权用户A级,3级一授权用户B级,4级一授权用户C级等,不同 级别的用户可以访问的接口功能不同。同时可以对访问用户进行IP地址或者 IP子网地址的绑定,如果来访用户的IP地址不在绑定的IP地址范围之内,则 拒绝访问。对于访问接口,每个接口在权限管理系统中给出唯一的接口 ID,该 ID值唯一标识了一个访问接口。当客户端提交服务端的接口访问请求后,在进 行客户端的权限验证时,由被访问的接口把该ID值和客户端提交的安全验证参 数一起传入权限管理系统,以进行访问权限的验证。
附图2是本发明所包含的主要步骤。 —步骤S100,客户端发起访问请求。
客户端通过SOAP消息,以服务端的WSDL描述的接口方式发起访问请求。 本发明中,把该请求参数分为两个参数块安全验证参数块和业务参数块。 其中安全验证参数块包含对系统进行授权访问所需要的参数,用于验证访问请 求的有效性和合法性。业务参数块包含访问授权业务所需的参数,用于对业务 进4亍正确的i方问。
安全验证参数块部分包括如下的参数
(1) 来访用户的Web Service客户端的版本号,用于-睑证客户端的版本是 否是服务端所要求的版本;
(2) 设备代码,指被访问设备的代码;
(3) 来访的用户名,指Web Service月良务端4受^l的访问用户名;
(4) 用户的密码,指Web Service服务端分配给4吏权访问用户的密码,在 客户端的访问请求中以加密方式传输;该密码的加密方式由服务端指定 加密方式或者提供加密包完成密码的加密工作。
步骤S10 5,服务端接口模块接收到客户端的接口访问请求后,获得客户端 提供的安全验证参数,包括来访用户的客户端的版本号,被访问的设备代码, 来访的用户名,用户的密码。
步骤S110,服务端接口模块检查客户端的版本号是否和服务端的版本号兼 容;若不兼容,则拒绝访问。
步骤S115:服务端接口模块检查要访问的设备代码是否本设备代码。若不 是本服务端配置的设备代码,则拒绝用户访问。
步骤S120,服务端调用权限管理系统,进行权限的验证。
服务端获得来访客户端的IP地址。服务端接口模块把来访用户的用户名、
8密码、IP地址、本次访问的接口的ID值传入权限管理模块进行权限的验证。
步骤S12 5:服务端权限管理系统根据客户端的用户名,从数据库中读取用 户的权限属性,检查是否配置来访用户绑定IP地址检查;若该用户配置了绑定 IP地址检查,则检验来访用户的IP地址是否在服务器端配置的绑定IP地址范 围内;若不在该范围内,则拒绝用户访问。
步骤S130:服务端权限管理模块检查来访客户的用户名和密码是否正确; 若用户不存在或者密码不正确,则拒绝用户访问。
步骤S135:服务端权限管理模块根据客户端的用户名,查找用户所在的用 户权限组,并读取该用户权限组具有的权限,该访问权限包含了用户所在的用 户权限组能够访问哪些服务端接口 。
步骤S140:若该用户权限组的访问权限中,不包含一皮访问接口的4妄口 ID, 则权限验证失败,拒绝该用户进行业务的访问。
步骤S145:来访的用户通过权限验证,服务端接口模块根据客户端的业务 参数块内容,调用业务模块,进行业务的访问,并把访问结果返回给客户端模 块。
以上所述,仅是本发明的较佳实施方式,不应被视为是对本发明范围的限 制,而且本发明所主张的权利要求范围并不局限于此,凡熟悉此领域技艺的人 士,依据本发明所揭露的技术内容,可轻易思及的等效变化,均应落入本发明 的保护范围。
权利要求
1、一种安全的Web service访问方法,其特征在于,该方法由以下步骤组成客户端向服务端发起访问请求;所述服务端的接口模块获取所述客户端提供的安全验证参数,并对该安全验证参数进行认证,如果认证失败,则拒绝访问,如果通过认证,则将所述安全验证参数和接口ID发送给服务端权限管理系统;所述服务端的权限管理系统对所述安全验证参数和接口ID进行认证,如果认证失败,则拒绝访问,如果通过认证,则客户端可以通过访问服务端业务处理系统获取所需业务。
2、 如权利要求l所述的方法,其特征在于,所述服务端接口模块获取所述 客户端提供的安全验证参数包括客户端的版本号、设备代码、用户名、用户密 码。
3、 如权利要求2所述的方法,其特征在于,所述服务端接口模块对客户端 的版本号进行认证具体为检查客户端的版本号是否和服务端的版本号兼容, 如果不兼容,则拒绝访问,如果兼容,则通过访问;所述服务端接口模块对客 户端设备代码的认证具体为检查要访问的设备代码是否本服务端配置的设备 代码,如果不是,则拒绝用户访问,如果是,则通过访问。
4、 如权利要求2所述的方法,其特征在于,所述服务端权限管理系统对所 述用户用户名和用户密码的认证具体为权限管理系统检查客户端的用户名和 密码是否正确,若用户不存在或者密码不正确,则拒绝访问,如果用户名存在 并且密码正确,则通过访问;所述服务端权限管理系统对被访问的服务端接口 ID进行认证具体为权限管理系统通过所述接口 ID才全查该用户是否具有访问 该接口的权限,若没有,则拒绝访问,若有,则通过访问。
5、 如权利要求l所述的方法,其特征在于,所述服务端接口模块将所述安 全验证参数发送给服务端权限管理系统的同时,还将客户端的IP地址发送给所 述服务端权限管理系统,由所述权限管理系统对所述IP地址进行认证。
6、 如权利要求5所述的方法,其特征在于,所述服务端权限管理系统对所 述IP地址进行认证具体为检查客户端是否配置了绑定IP地址检查,若已经配 置,则抬r验所述IP地址是否在服务端配置的绑定IP地址范围内,如果在,则通 过访问,如果客户端没有配置绑定IP地址^r查或者所述IP地址不在服务端配置 的绑定IP地址范围内,则拒绝访问。
7、 如权利要求l所述的方法,其特征在于,所述服务端权限管理系统在进 行认证时需要调取服务端数据库中的数据来进行认证。
8、 一种安全的Web service访问系统,其特征在于,该系统包括客户端和 服务端,客户端通过访问服务端的接口模块,获取服务;服务端包括接口模块 和权限管理系统,该接口模块用于为客户端提供访问服务并获取客户端提供的 访问请求参数;该权限管理系统用于在所述接口模块通过认证后从所述接口模 块接收安全-睑证参数和接口 ID,并对该安全^r证参数和接口 ID进行iU正。
9、 如权利要求8所述的系统,其特征在于,该系统还包括数据库,用于为 服务端权限管理系统和服务端业务处理系统提供访问数据。
10、 如权利要求8所述的系统,其特征在于,该系统还包括业务处理系统, 用于在客户端通过认证时为客户端提供相应的业务。
全文摘要
本发明公开了一种安全的Web service访问方法和系统,方法的主要步骤如下客户端向服务端发起访问请求,服务端的接口模块获取客户端提供的安全验证参数,并对该安全验证参数进行认证,如果认证失败,则拒绝访问,如果通过认证,则将该安全验证参数和接口ID发送给服务端权限管理系统;服务端的权限管理系统对安全验证参数和被访问的接口ID进行认证,如果认证失败,则拒绝访问,如果通过认证,则客户端可以通过访问服务端业务处理系统获取所需业务。本文所提出的方法和系统,通过服务端接口模块和服务端权限管理系统进行双重认证,增加了Web Service服务器的安全性。
文档编号H04L9/32GK101515932SQ20091010616
公开日2009年8月26日 申请日期2009年3月23日 优先权日2009年3月23日
发明者刘新田, 强 狄 申请人:中兴通讯股份有限公司