专利名称:一种Webservice服务的管理方法和系统的制作方法
技术领域:
本发明涉及计算机软件技术领域,尤其涉及一种Webservice服务的管理方法和 系统。
背景技术:
随着互联网技术的不断发展,Webservice (网络服务)逐渐成为企业应用集成 (Enterprise Application Integration)的有效平台。所述 Webservice 是构建互联网分 布式系统的基本部件,可以构建应用程序。现有的一般WebService 调用都是基于 SOAP (Simple ObjectAccess Protocal,简 单对象访问协议)。S OAP是一种轻量的、简单的、基于XML(Extensible Markup Language, 可扩展标记语言)的协议,它被设计成在网络上交换结构化的和固化的信息。SOAP可以和 现存的许多因特网协议和格式结合使用,包括超文本传输协议(HTTP),简单邮件传输协议 (SMTP),多用途网际邮件扩充协议(MIME)。它还支持从消息系统到远程过程调用(RPC)等 大量的应用程序。这样,基于SOAP协议的ffeb Service调用,当客户端需要与服务器端之 间进行数据交互时,客户端与服务器端需要建立连接,该连接用于客户端与服务器端之间 传输数据。所述传输的数据可以通过HTTP (HyperText Transfer Protocol,超文本传输协 议)的传输通道进行传输。然而,在实现上述客户端与服务器端之间的ffeb Service调用过程中,发明人发现 现有技术中存在如下问题现有技术中,客户端与服务器端之间的ffeb Service调用过程中的XML信息都是 明文传输,从而使W^eb Service的安全性较差。
发明内容
本发明实施例提供一种Webservice服务的管理方法和系统,为达到上述目的,本 发明的实施例采用如下技术方案一种^febservice服务的管理方法,包括网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括 用户数字证书和用户身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证 中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结 果;根据所述认证结果,所述网络服务器为所述客户端提供网络服务。一种^febservice服务的管理系统,包括客户端、网络服务器和认证中心;所述客户端,用于用户向所述网络服务器发起服务请求以及用户身份认证请求;
所述网络服务器,用于获取客户端发送的用户身份认证请求;所述用户身份认证 请求包括用户数字证书和用户身份认证信息;将其获取到的用户身份认证请求转发给认 证中心;当所述认证中心完成认证后,接收所述认证中心返回的认证结果;根据所述认证 结果,为所述客户端提供网络服务;所述认证中心,用于对所述网络服务器以及用户身份进行认证,并给出认证结果。本发明实施例提供的一种Webservice服务的管理方法和系统,通过网络服务器 获取客户端发送的用户身份认证请求;所述用户身份认证请求包括用户数字证书和用户 身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所 述认证中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述 网络服务器接收所述认证中心返回的认证结果;根据所述认证结果,所述网络服务器为所 述客户端提供网络服务。采用本发明实施例不但能够提高Web Service的安全性,还能够 有效的解决了验证数字证书的使用者和所有者是否是同一实体的问题。
图1为本发明实施例提供的一种Webservice服务的管理方法流程图;图2为本发明实施例提供的另一种Webservice服务的管理方法流程图;图3为本发明实施例提供的一种Webservice服务的管理系统结构示意图;图4为本发明实施例提供的一种Webservice服务的管理系统的数据传输示意图。
具体实施例方式下面结合附图对本发明实施例提供的一种Webservice服务的管理方法和系统进 行详细描述。如图1所示,为本发明实施例提供的一种Webservice服务的管理方法;该方法包 括101 网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求 包括用户数字证书和用户身份认证信息。102 所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述 认证中心对所述网络服务器以及用户身份进行认证。103 当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果。104 根据所述认证结果,所述网络服务器为所述客户端提供网络服务。如图2所示,为本发明实施例提供的另一种;该方法包括201 所述网络服务器与所述客户端从所述认证中心获取数字证书;具体的讲,就 是所述网络服务器与所述客户端都可以从可以信赖的CA(Certification Authority)获得 标准的数字证书。202 所述认证中心注册所述客户端用户的电子签名。203 所述客户端获取用户输入的电子签名密码(F)。204 所述客户端对所述电子签名密码(F)使用hash函数得到hash值(H)。205 所述客户端使用所述认证中心的公钥加密所述电子签名密码(F)和经过hash函数得到hash值(H),获取到S(FjH)0206 所述客户端使用所述网络服务器的公钥加密所述S (F,H)和所述用户数字证 书(Cert),并通过所述用户身份认证请求发送给所述网络服务器。207 网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求 包括用户数字证书和用户身份认证信息。需要说明的是,该步骤的用户数字证书是经过206步骤加密后的;所述用户身份 认证信息是经过步骤206加密后的S (F,H)。208 所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述 认证中心对所述网络服务器以及用户身份进行认证;该步骤具体可以包括Si、所述网络服务器使用其私钥对所述获取到的用户身份认证请求进行解密,获 取所述S (F,H)和所述用户数字证书Cert ;S2、所述网络服务器采用认证中心的公钥对所述S(F,H)和所述用户数字证书 (Cert)进行加密处理,得到SC;S3、所述网络服务器将加密处理后得到的SC发送给认证中心。需要说明的是,所述认证中心对所述网络服务器以及用户身份进行认证包括所述认证中心使用其私钥解密所述SC,得到电子签名密码(F)和经过hash函数得 到 hash 值(H);所述认证中心验证所述用户数字证书;所述认证中心对所述电子签名密码F进行hash函数处理;判断经过所述hash函数处理的电子签名密码(F)是否等于所述解密得到的hash 值(H)。209 根据所述认证结果,所述网络服务器为所述客户端提供网络服务;具体的过 程如下如果所述认证结果为认证中心验证所述用户数字证书以及电子签名密码正确,则 所述网络服务器为所述客户端提供网络服务;如果所述认证结果为所述认证中心验证所述用户数字证书以及电子签名密码不 正确,则所述网络服务器拒绝为所述客户端提供网络服务。需要说明的是,该方法还包括所述网络服务器预置证书库;所述证书库包括所述认证中心为所述网络服务器 证书分配的数字证书和所述认证中心为所述客户端分配的数字证书。还需要说明的是,该方法还包括所述网络服务器与所述认证中心建立专用的数据传输通道;所述网络服务器通过所述专用的数据传输通道获取所述数字证书;所述网络服务器通过所述专用的数据传输通道将所述客户端的用户身份注册和 身份认证授权给所述认证中心;所述网络服务器通过所述专用的数据传输通道获取所述认证中心的给出的认证结果。还需要说明的是,当用户退出服务或者长时间没有事物活动的时候,Web服务提供 者撤销连接,取消认证合法性。
如图3所示,为本发明实施例提供的一种Webservice服务的管理系统,该系统包 括客户端301、网络服务器302和认证中心303 ;所述客户端301,用于用户向所述网络服务器发起服务请求以及用户身份认证请 求;所述网络服务器302,用于获取客户端发送的用户身份认证请求;所述用户身份 认证请求包括用户数字证书和用户身份认证信息;将其获取到的用户身份认证请求转发 给认证中心;当所述认证中心完成认证后,接收所述认证中心返回的认证结果;根据所述 认证结果,为所述客户端提供网络服务;所述认证中心303,用于对所述网络服务器以及用户身份进行认证,并给出认证结^ ο需要说明的是,所述所述认证中心,还用于为所述网络服务器与所述客户端分配 数字证书,以及注册所述客户端用户的电子签名。如图4所示,为本发明实施例提供的一种Webservice服务的管理系统的数据传输 示意图;该系统包括客户端301、网络服务器302和认证中心303 ;所述网络服务器302的Wfeb Service使用https加密传输方式,所述网络服务器 创建证书库;所述证书库包括所述认证中心303为所述网络服务器证书分配的数字证书 和所述认证中心为所述客户端分配的数字证书。所述网络服务器302首先验证客户端301的用户数字证书是否有效,验证通过后, 双方交换密钥,通过S SL(Secure Sockets Layer,安全套接层)协议建立安全通道。但是 数字证书的方式不能充分满足非否认性,因为这种数字证书认证的安全是建立在私钥安全 和数字证书可靠的假设基础之上的,认为客户端和所网络服务器Web服务的数字证书提供 的标识是不可破坏的,数字证书的所有者也是证书的使用者,只有证书的所有者才有证书 验证的私钥,然而,实际情况中,数字证书的使用者只是数字证明使用了某个特殊标识,它 不能证明该标识使用者就是该标识的真正所有者。而数字签名就是利用通过某种密码运算 生成的一系列符号及代码组成电子密码进行"签名",来代替书写签名或印章,对于这种 电子式的签名在技术上还可进行算法验证,其验证的准确度是在物理世界中与手工签名和 图章的验证是无法相比的。数字签名在IS07498-2标准中定义为附加在数据单元上的一 些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确 认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。美 国电子签名标准(DSS,FIPS1861)对数字签名作了如下解释利用一套规则和一个参数对 数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性。把电子签名和数 字证书相结合,在认证用户身份的同时,同时验证数字证书和该证书使用者的电子签名,利 用使用者的电子签名来确认该证书的所有者和使用者是否是同一个实体。另一方面,利用 数字证书中约定的密钥机制来加密电子签名,保证电子签名在传输过程中的安全。本发明实施例提供的一种Webservice服务的管理方法和系统,通过网络服务器 获取客户端发送的用户身份认证请求;所述用户身份认证请求包括用户数字证书和用户 身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所 述认证中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述 网络服务器接收所述认证中心返回的认证结果;根据所述认证结果,所述网络服务器为所述客户端提供网络服务。采用本发明实施例不但能够提高Web Service的安全性,还能够有 效的解决了验证数字证书的使用者和所有者是否是同一实体的问题。通过以上的实施方式 的描述,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以 通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中, 该程序在执行时,包括如上述方法实施例的步骤,所述的存储介质,如R0M/RAM、磁碟、光盘寸。 以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
权利要求
1.一种Wfebservice服务的管理方法,其特征在于,包括网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括用户 数字证书和用户身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心 对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果; 根据所述认证结果,所述网络服务器为所述客户端提供网络服务。
2.根据权利要求1所述的Webservice服务的管理方法,其特征在于,该方法还包括 所述网络服务器与所述客户端从所述认证中心获取数字证书;所述认证中心注册所述客户端用户的电子签名。
3.根据权利要求2所述的Webservice服务的管理方法,其特征在于,所述网络服务器 获取客户端发送的用户身份认证请求的步骤之前,还包括所述客户端获取用户输入的电子签名密码(F); 所述客户端对所述电子签名密码(F)使用hash函数得到hash值(H); 所述客户端使用所述认证中心的公钥加密所述电子签名密码(F)和经过hash函数得 到hash值(H),获取到S (F,H);所述客户端使用所述网络服务器的公钥加密所述S(F,H)和所述用户数字证书 (Cert),并通过所述用户身份认证请求发送给所述网络服务器。
4.根据权利要求3中所述的Webservice服务的管理方法,其特征在于,所述网络服务 器将其获取到的用户身份认证请求转发给认证中心的步骤包括所述网络服务器使用其私钥对所述获取到的用户身份认证请求进行解密,获取所述 S (F,H)和所述用户数字证书Cert ;所述网络服务器采用认证中心的公钥对所述S (F,H)和所述用户数字证书(Cert)进行 加密处理,得到SC;所述网络服务器将加密处理后得到的SC发送给认证中心。
5.根据权利要求4所述的Webservice服务的管理方法,其特征在于,所述认证中心对 所述网络服务器以及用户身份进行认证包括所述认证中心使用其私钥解密所述SC,得到电子签名密码(F)和经过hash函数得到 hash 值(H);所述认证中心验证所述用户数字证书;所述认证中心对所述电子签名密码F进行hash函数处理;判断经过所述hash函数处理的电子签名密码(F)是否等于所述解密得到的hash值(H)。
6.根据权利要求5中所述的Webservice服务的管理方法,其特征在于,所述根据所述 认证结果,所述网络服务器为所述客户端提供网络服务的步骤包括如果所述认证结果为认证中心验证所述用户数字证书以及电子签名密码正确,则所述 网络服务器为所述客户端提供网络服务;如果所述认证结果为所述认证中心验证所述用户数字证书以及电子签名密码不正确, 则所述网络服务器拒绝为所述客户端提供网络服务。
7.根据权利要求6中所述的Webservice服务的管理方法,其特征在于,该方法还包括所述网络服务器预置证书库;所述证书库包括所述认证中心为所述网络服务器证书 分配的数字证书和所述认证中心为所述客户端分配的数字证书。
8.根据权利要求2至7中任意一项所述的Webservice服务的管理方法,其特征在于, 该方法还包括所述网络服务器与所述认证中心建立专用的数据传输通道; 所述网络服务器通过所述专用的数据传输通道获取所述数字证书; 所述网络服务器通过所述专用的数据传输通道将所述客户端的用户身份注册和身份 认证授权给所述认证中心;所述网络服务器通过所述专用的数据传输通道获取所述认证中心的给出的认证结果。
9.一种Webservice服务的管理系统,其特征在于,包括客户端、网络服务器和认证中心;所述客户端,用于用户向所述网络服务器发起服务请求以及用户身份认证请求; 所述网络服务器,用于获取客户端发送的用户身份认证请求;所述用户身份认证请求 包括用户数字证书和用户身份认证信息;将其获取到的用户身份认证请求转发给认证中 心;当所述认证中心完成认证后,接收所述认证中心返回的认证结果;根据所述认证结果, 为所述客户端提供网络服务;所述认证中心,用于对所述网络服务器以及用户身份进行认证,并给出认证结果。
10.根据权利要求9所述的Webservice服务的管理系统,其特征在于,所述认证中心,还用于为所述网络服务器与所述客户端分配数字证书,以及注册所述 客户端用户的电子签名。
全文摘要
本发明公开了一种Webservice服务的管理方法和系统,涉及计算机软件技术领域。其中,本发明提供的Webservice服务的管理方法,包括网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括用户数字证书和用户身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果;根据所述认证结果,所述网络服务器为所述客户端提供网络服务。采用本发明不但能提高Web Service的安全性,还能有效的解决验证数字证书的使用者和所有者是否是同一实体的问题。
文档编号H04L29/08GK102055766SQ201010616910
公开日2011年5月11日 申请日期2010年12月31日 优先权日2010年12月31日
发明者李伟 申请人:北京新媒传信科技有限公司