专利名称:在云/集群环境下web应用的调用方法、装置和系统的制作方法
技术领域:
本发明涉及通信领域中数据业务技术,具体地,涉及在云/集群环境下web应用的调用方法、装置和系统。
背景技术:
在现有技术中,申请号为201010544357.8的中国专利申请公开了基于云计算的商业数据可控分发与融合应用系统,系统由云计算服务资源集群即云提供端、用户终端即云请求端和虚拟云服务中心即中间件组成;云提供端通过虚拟云服务中心管理的设备集群提供相应的商业数据资源和应用能力服务;云请求端提出服务请求;虚拟云服务中心根据用户提交的任务请求,寻找符合用户需求的商业数据资源,并为云请求端提供按需服务;虚拟云服务中心根据商业数据发布/订阅服务属性获取分发路由,完成云集群服务器间的数据迁移,通过通信接口进行分发状态的安全合法性检查和分发事务管理,将数据封装为统一格式的消息;把封装后的消息添加到融合通信平台中,实现分发服务的分级配置和业务属性管理,增强商业数据终端应用的有效性。申请号为201010536544.1的中国专利申请公开了一种集群环境下数据安全实现方法和一种高安全性的集群。包括CA证书中心,安全网关,硬件身份认证设备,加密服务模块,计算节点,远程终端,管理节点和存储服务器。本发明中每个用户的文件都是单独加密保存和传输的,杜绝非法查看用户重要数据的安全隐患,同时防止了网络传输中可能的泄密以及人为原因引起的机群内泄密。在现实情况中,开发者开发的web应用不仅仅运行在单台物理机上,还可以部署在云、集群环境中。因此,如何在云/集群环境下,解决web应用调用能力的安全性,保证用户使用web应用的安全性、计费安全性、隐私安全性等变得越来越重要,而现有的上述现有技术无法有效的解决上述技术问题。
发明内容
本发明的目的是针对现有技术中在云/集群环境下web应用的调用过程安全性不高的缺陷,提出一种在云/集群环境下web应用的调用方法、装置和系统。为实现上述目的,根据本发明的一个方面,提供了一种在云/集群环境下web应用的调用方法。根据本发明实施例的在云/集群环境下web应用的调用方法,包括:应用安全模块接收web应用的调用请求,并确认自身存储有该web应用的应用实例号;应用安全模块将临时授权请求发送给平台安全模块,并接收经平台安全模块验证通过的临时授权信息;应用安全模块向平台安全模块发送携带有应用实例号和临时授权信息的web应用调用请求,并接收经平台安全模块验证通过的web应用调用结果。
在上述技术方案中,在应用安全模块确认自身存储有该web应用的应用实例号的步骤与将临时授权请求发送给平台安全模块的步骤之间还包括:应用安全模块查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期;如果临时授权标识不存在或已过期,生成web标识向平台安全模块请求临时授权标识。为实现上述目的,根据本发明的一个方面,提供了另一种在云/集群环境下web应用的调用方法。根据本发明实施例的在云/集群环境下web应用的调用方法,包括:平台安全模块接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向应用安全模块发送临时授权信息;平台安全模块接收应用安全模块发送的携带有应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证,验证通过后由平台接入模块调用web应用返回给应用安全模块。在上述技术方案中,在满足初始化条件时,则:平台接入模块接收应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给平台安全模块;平台安全模块对web标识进行验证确保该web应用注册请求的合法性,生成web应用的应用实例号;平台安全模块将应用实例号返回给应用安全模块存储。在上述技术方案中,平台安全模块对该web应用调用请求进行验证的步骤包括:平台接入模块接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求;平台鉴权模块向所述平台安全模块发送标识验证请求,平台安全模块对所述临时授权信息中的临时授权标识进行验证;验证通过后,平台安全模块通过平台鉴权模块向所述平台接入模块返回标识验证结果。在上述技术方案中,在平台安全模块对该web应用调用请求进行验证的步骤之后、在验证通过后由平台接入模块调用web应用返回给应用安全模块的步骤之前还包括:平台接入模块向平台鉴权模块发送web应用调用验证请求;平台鉴权模块根据web应用与应用平台的签约关系、用户与web应用的订购关系进行验证;验证通过后,平台鉴权模块对所述web应用的用户进行预扣费处理。在上述技术方案中,在验证通过后由平台接入模块调用web应用返回给应用安全模块的步骤之后还包括: 平台接入模块向平台鉴权模块发送扣费处理通知,并由平台鉴权模块执行扣费处理。为实现上述目的,根据本发明的另一个方面,提供了一种在云/集群环境下web应用的调用装置。
根据本发明实施例的在云/集群环境下web应用的调用装置,包括:应用安全模块,用于接收web应用的调用请求,并确认自身存储有该web应用的应用实例号,将临时授权请求发送给平台安全模块,并接收经平台安全模块验证通过的临时授权信息,并向平台安全模块发送携带有应用实例号和临时授权信息的web应用调用请求,并接收经平台安全模块验证通过的web应用调用结果。在上述技术方案中,应用安全模块,还用于查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期;如果临时授权标识不存在或已过期,生成web标识向平台安全模块请求临时授权标识。为实现上述目的,根据本发明的另一个方面,提供了另一种在云/集群环境下web应用的调用装置。根据本发明实施例的在云/集群环境下web应用的调用装置,包括:平台安全模块,用于接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向应用安全模块发送临时授权信息,并接收应用安全模块发送的携带有应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证;平台接入模块,用于在平台安全模块对web应用调用请求验证通过后,调用web应用返回给应用安全模块。在上述技术方案中,初始化判断模块,用于判断web应用的初始化条件,在满足初始化条件时,触发初始化处理流程;平台接入模块,还用于接收应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给平台安全模块;平台安全模块,还用于对web标识进行验证确保该web应用注册请求的合法性,生成web应用的应用实例号,将应用实例号返回给应用安全模块存储。在上述技术方案中,装置还包括:平台接入模块,还用于接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求;平台鉴权模块,用于向平台安全模块发送所述标识验证请求;平台安全模块,还用于对临时授权信息中的临时授权标识进行验证,验证通过后,通过平台鉴权模块向平台接入模块返回标识验证结果。在上述技术方案中,装置还包括:平台接入模块,还用于向平台鉴权模块发送web应用调用验证请求;平台鉴权模块,用于根据web应用与应用平台的签约关系、用户与web应用的订购关系进行验证,验证通过后,对web应用的用户进行预扣费处理。在上述技术方案中,平台接入模块,还用于向平台鉴权模块发送扣费处理通知;平台鉴权模块,用于执行扣费处理。为实现上述目的,根据本发明的另一个方面,提供了另一种在云/集群环境下web应用的调用系统。根据本发明实施例的在云/集群环境下web应用的调用系统,包括:
应用安全模块,用于接收web应用的调用请求,并确认自身存储有该web应用的应用实例号,将临时授权请求发送给平台安全模块,并接收经所述平台安全模块验证通过的临时授权信息,并向平台安全模块发送携带有应用实例号和临时授权信息的web应用调用请求,并接收经平台安全模块验证通过的web应用调用结果;平台安全模块,用于接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向应用安全模块发送临时授权信息,并接收应用安全模块发送的携带有应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证;平台接入模块,用于在平台安全模块对web应用调用请求验证通过后,调用web应用返回给应用安全模块。在上述技术方案中,系统还包括初始化判断|旲块:初始化判断模块,用于判断web应用的初始化条件,在满足初始化条件时,触发初始化处理流程;平台接入模块,还用于接收应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给平台安全模块;平台安全模块,还用于对web标识进行验证确保该web应用注册请求的合法性,生成web应用的应用实例号,将应用实例号返回给应用安全模块存储;应用安全模块,还用于查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期;如果临时授权标识不存在或已过期,生成web标识向平台安全模块请求临时授权标识。在上述技术方案中,系统还包括平台鉴权模块:平台接入模块,还用于接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求;平台鉴权模块,用于向平台安全模块发送标识验证请求;平台安全模块,还用于对临时授权信息中的临时授权标识进行验证,验证通过后,通过平台鉴权模块向平台接入模块返回标识验证结果。在上述技术方案中,系统还包括平台鉴权模块:平台接入模块,还用于向平台鉴权模块发送web应用调用验证请求;平台鉴权模块,用于根据web应用与应用平台的签约关系、用户与web应用的订购关系进行验证,验证通过后,对web应用的用户进行预扣费处理。在上述技术方案中,平台接入模块,还用于向平台鉴权模块发送扣费处理通知;平台鉴权模块,用于执行扣费处理。本发明各实施例的在云/集群环境下web应用的调用方法、装置和系统,面向开发者提供各种能力,便于开发者基于能力开发不同的应用,进而促进web应用的使用;用户通过使用应用调用能力,能力开放平台通过对开发者、web应用、用户等进行认证及鉴权实现对应用及能力调用的计费。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:图1为本发明的云/集群环境下web应用的初始化方法流程示意图;图2为本发明的云/集群环境下web应用的调用方法流程示意图;图3为本发明的云/集群环境下web应用的调用装置结构示意图。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。本发明为运行在云/集群环境下的web应用提供了一种进行安全的能力调用的方法和装置,本方法和装置包括两个使用流程,分别为:web应用初始化、web应用能力调用。通过初始化流程,能力开放平台(OMP, Open Mobile Platform)对web应用进行身份认证,并为每个web应用实例分配唯一的应用实例号(AppInstanceID)。应用安全模块获取应用实例号(AppInstanceID)后,在应用安全模块中安全的存储应用实例号(AppInstanceID)。调用能力时,应用安全模块向能力开放平台OMP发送能力调用请求,请求中应包括:应用实例号(AppInstanceID)、应用标识(APP_ID)、用户标识(PID)、临时授权Token (TmpffebToken)、HOTP计数器(即应用计数器,Counter)等信息。其中,AppInstanceID为应用实例的标识,用来标识同一应用的不同实例。这里“实例”为应用的物理上的标识,一般情况下可以理解为进程。APP_ID与AppInstanceID为一对多的关系,一个应用可以对应多个实例。例如,同一个应用部署在两台物理主机上,每台主机启动同一应用的两个进程,每个进程是应用的一个实例,这样同一应用就对应四个
不同的“应用实例”。AppInstanceID与TmpWebTokeruCounter分别为--对应的关系,OMP
平台可以根据每个应用实例对应的AppInstanceID来验证TmpWebToken和Counter的有效性。
_4] 方法实施例根据本发明实施例,提供了一种云/集群环境下web应用的初始化方法,图1为本发明的云/集群环境下web应用的初始化方法流程示意图。以下几个条件中的任何一个都会触发web应用的初始化流程:
I)应用安全模块接收到web应用调用的业务请求后,通过查询应用安全模块本地记录的注册状态标记发现未进行成功注册过;2)在发送web应用接入认证请求前,应用安全模块检测到HOTP(HMAC-BasedOne Time Password,基于HMAC的一次性口令)计数器已达到最大数值,即Counter达到99999999时,需重新发起web应用的初始化;3)在发送web应用接入认证请求前,应用安全模块未检测到本地存储有应用实例号(AppInstanceID)。
通过初始化流程,OMP平台与web应用实现身份认证,并且应用安全模块为每一个应用实例分配唯一的应用实例号(AppInstanceID)。应用安全模块获取应用实例号后,在应用安全模块中安全存储。应用实例号为唯一数,由平台安全模块生成,每次生成的号码都不一样,应用实例号的编码规则为18位的数字字符,YYYYMMDDHHMISSXXXX,其中前14位为年月日时分秒,后4位为循环数,从0000-9999循环使用,例:201001101513110022,平台安全模块需确保应用实例号为唯一。初始化流程包括:步骤101:应用安全模块接收到web应用调用的业务请求后,检查本地是否存储有应用实例号,如果没有,进行后续步骤;步骤103:应用安全模块将注册请求使用HTTPS (Hypertext Transfer Protocolover Secure Socket Layer,以安全为目标的HTTP通道)通道发往平台接入模块,注册请求的消息中包含的参数有:web应用标识APP_ID、WebToken (即web标识)等参数;其中:WebToken = HMAC [APPKey, Counter]Counter为8个Bytes,采用ASCII进行编码,格式为“XXXXXXXX”,其中“X”表示“O”- “9” 的字符,Counter 的范围为:“00000001 ”- “99999999”,每生成一次 WebToken,Counter的数值自动累加一。具体应用中的Token生成函数每次生成Token时,Counter均要累加一,而不管最后网络侧的请求成功与否。平台安全模块需要保留任一设备任一应用中Counter的最新值,以保障下一次校验时收到的Counter是最新的。web应用的初始化流程中Counter值始终为00000001。步骤105:平台接入模块将该注册请求转发给平台鉴权模块;步骤107:平台鉴权模块将注册请求发送到平台安全模块;步骤109:平台安全模块对WebToken进行验证以确保该请求来自于合法的web应用,即经过网络运营商授权使用的web应用;步骤111:平台安全模块校验WebToken通过后生成唯一标识一应用实例号(AppInstanceID);步骤113:平台安全模块将应用实例号返回平台鉴权模块;步骤115:平台鉴权模块将应用实例号返回平台接入模块;步骤117:平台接入模块将应用实例号返回应用安全模块;步骤119:应用安全模块记录Counter、应用实例号等信息;步骤121:应用安全模块通知web应用注册成功。根据本发明实施例,提供了一种云/集群环境下web应用的调用方法,图2为本发明的云/集群环境下web应用的调用方法流程示意图。本实施例包括:步骤201:用户使用web应用时,web浏览器向应用逻辑模块发送能力调用请求,应用逻辑模块调用应用安全模块,转发能力调用请求;步骤203:应用安全模块首先查看本地是否存储有应用实例号(AppInstanceID),如果未存储,则发起web应用的初始化流程;如果存储有应用实例号,先查看本地是否有临时授权Token (即临时授权标识,TmpffebToken),如果有,则检查该TmpWebToken是否过期,如果TmpWebToken不存在或者已过期,则根据应用密钥APPKey、计数器Counter、时间YY-MM生成WebToken (即web标识)向平台安全模块请求临时授权Token ;如果TmpWebToken未过期,则进行接下来的步骤;步骤205:应用安全模块发送获取临时授权Token的请求到平台接入模块,该请求包括:AppInstanceID、APP_ID、WebToken 和 Counter 值等;步骤207:平台接入模块转发获取临时授权Token的请求到平台鉴权模块;步骤209:平台鉴权模块在发送获取临时授权Token的请求到平台安全模块,平台安全模块对WebToken进行验证,通过验证后,由平台安全模块生成临时授权Token (TmpffebToken),以及该 Token 的有效期长度 ValidTime ;步骤211:平台安全模块返回验证结果给平台鉴权模块,该验证结果包括:TmpWebTokeruValidTime ;步骤213:平台鉴权模块返回验证结果给平台接入模块;步骤215:平台接入模块返回验证结果给应用安全模块,应用安全模块将TmpWebTokeruValidTime 存储起来;步骤217:应用安全模块向平台接入模块发送能力调用请求,该能力调用请求包括:AppInstanceID、APP_ID、PID (Pseudo ID,伪码)、TmpWebToken、Counter 值等,其中,PID用来标识一个用户,与用户的手机号关联,使用伪码是为了保护用户真实手机号不泄漏;步骤219:平台接入模块发送Token验证请求到平台鉴权模块,该Token验证请求包括:AppInstanceID、APP_ID、PID、TmpWebToken、Counter 值等;步骤221:平台鉴权模块发送Token验证请求到平台安全模块,平台安全模块验证TmpffebToken,若验证通过,则转至步骤223,若验证不通过,则返回错误代码;步骤223:平台安全模块返回Token验证通过的消息给平台鉴权模块;步骤225:平台鉴权模块返回Token验证通过的消息给平台接入模块;步骤227:平台接入模块发送能力调用验证请求(即web应用调用验证请求)到平台鉴权模块,其中,能力调用验证请求包括APP_ID、PID、EID(Enabler ID,能力ID)等信息,平台鉴权模块对web应用与能力的签约关系、用户与web应用产品的订购关系、开发者的子账户以及用户的账户,进行一一验证,若验证通过,则转至步骤229,若验证不通过,则返回错误代码;步骤229:平台鉴权模块对web应用的用户进行预扣费处理,并将验证通过的结果信息发送给平台接入模块,该结果信息包括APP_ID、EID、MSISDN(Mobile Subscriber ISDNNumber,移动用户国际号码)等信息;步骤231:平台接入模块自能力平台(即应用平台)调用能力(即web应用);步骤233:能力平台返回能力调用响应给平台接入模块;步骤235:平台接入模块向应用安全模块返回能力调用结果;步骤237:应用安全模块向应用逻辑模块返回能力调用响应消息;步骤239:应用逻辑模块向web浏览器返回能力调用结果;步骤241:平台接入模块向平台鉴权模块发送扣费处理通知,通知包括APP_ID、MSISDN等信息,平台鉴权模块执行扣费处理;
步骤243:平台鉴权模块返回扣费处理响应给平台接入模块;步骤245:平台鉴权模块发送话单请求到BOSS (业务运营支撑系统),该话单请求包括APP_ID、MSISDN等信息;步骤247 =BOSS返回扣费结果给平台鉴权模块。本发明的云/集群环境下web应用的调用方法,面向开发者提供各种能力(例如:短信、彩信、位置等),便于开发者基于能力开发不同的应用,进而促进web应用的使用;用户通过使用应用调用能力,能力开放平台通过对开发者、web应用、用户等进行认证及鉴权实现对应用及能力调用的计费。本发明的云/集群环境下web应用的调用方法,针对web应用部署在集群、云环境中的通用方式,保证了 web应用调用能力的安全性,也确保了用户使用web应用的安全性、计费安全性、隐私安全性。装置实施例根据本发明实施例,提供了一种在云/集群环境下web应用的调用装置。本实施例包括:应用安全模块,用于接收web应用的调用请求,并确认自身存储有该web应用的应用实例号,将临时授权请求发送给平台安全模块,并接收经平台安全模块验证通过的临时授权信息,并向平台安全模块发送携带有应用实例号和临时授权信息的web应用调用请求,并接收经平台安全模块验证通过的web应用调用结果。其中:应用安全模块,还用于查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期;如果临时授权标识不存在或已过期,生成web标识向所述平台安全模块请求临时授权标识。根据本发明实施例,提供了另一种在云/集群环境下web应用的调用装置,如图3所示。本实施例包括:平台安全模块303,用于接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向应用安全模块发送临时授权信息,并接收应用安全模块发送的携带有应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证;平台接入模块301,用于在平台安全模块303对web应用调用请求验证通过后,调用web应用返回给应用安全模块。其中:初始化判断模块304,用于判断web应用的初始化条件,在满足初始化条件时,触发平台接入模块301,由平台接入模块301转发给平台安全模块303,由平台安全模块303进行初始化处理;平台接入模块301,还用于接收应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给平台安全模块303 ;平台安全模块303,还用于对web标识进行验证确保该web应用注册请求的合法性,生成web应用的应用实例号,将应用实例号返回给应用安全模块存储。需要说明的是,初始化判断模块304既可以作为应用安全模块的子模块设置,也可以单独设置在OMP平台侧、应用侧或其它位置中。其中:平台接入模块301,还用于接收应用安全模块发送的web应用调用请求,并向平台鉴权模块302发送携带有应用实例号和临时授权信息的标识验证请求;平台鉴权模块302,用于向平台安全模块303发送标识验证请求;平台安全模块303,还用于对临时授权信息中的临时授权标识进行验证,验证通过后,通过平台鉴权模块302向平台接入模块301返回标识验证结果。其中:平台接入模块301,还用于向平台鉴权模块302发送web应用调用验证请求;平台鉴权模块302,用于根据web应用与应用平台的签约关系、用户与web应用的订购关系进行验证,验证通过后,对web应用的用户进行预扣费处理。其中:平台接入模块301,还用于向平台鉴权模块302发送扣费处理通知;平台鉴权模块302,用于执行扣费处理。本发明的云/集群环境下web应用的调用装置,面向开发者提供各种能力(例如:短信、彩信、位置等),便于开发者基于能力开发不同的应用,进而促进web应用的使用;用户通过使用应用调用能力,能力开放平台通过对开发者、web应用、用户等进行认证及鉴权实现对应用及能力调用的计费。本发明的云/集群环境下web应用的调用装置,针对web应用部署在集群、云环境中的通用方式,保证了 web应用调用能力的安全性,也确保了用户使用web应用的安全性、计费安全性、隐私安全性。系统实施例根据本发明实施例,提供了一种在云/集群环境下web应用的调用系统。本实施例包括:应用安全模块,用于接收web应用的调用请求,并确认自身存储有该web应用的应用实例号,将临时授权请求发送给平台安全模块,并接收经所述平台安全模块验证通过的临时授权信息,并向平台安全模块发送携带有应用实例号和临时授权信息的web应用调用请求,并接收经平台安全模块验证通过的web应用调用结果;平台安全模块,用于接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向应用安全模块发送临时授权信息,并接收应用安全模块发送的携带有应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证;平台接入模块,用于在平台安全模块对web应用调用请求验证通过后,调用web应用返回给应用安全模块。其中,系统还包括初始化判断模块:初始化判断模块,用于判断web应用的初始化条件,在满足初始化条件时,触发初始化处理流程;
平台接入模块,还用于接收应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给平台安全模块;平台安全模块,还用于对web标识进行验证确保该web应用注册请求的合法性,生成web应用的应用实例号,将应用实例号返回给应用安全模块存储;应用安全模块,还用于查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期;如果临时授权标识不存在或已过期,生成web标识向平台安全模块请求临时授权标识。其中,系统还包括平台鉴权模块:平台接入模块,还用于接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求;平台鉴权模块,用于向平台安全模块发送标识验证请求;平台安全模块,还用于对临时授权信息中的临时授权标识进行验证,验证通过后,通过平台鉴权模块向平台接入模块返回标识验证结果。其中,系统还包括平台鉴权模块:平台接入模块,还用于向平台鉴权模块发送web应用调用验证请求;平台鉴权模块,用于根据web应用与应用平台的签约关系、用户与web应用的订购关系进行验证,验证通过后,对web应用的用户进行预扣费处理。其中:平台接入模块,还用于向平台鉴权模块发送扣费处理通知;平台鉴权模块,用于执行扣费处理。本发明的云/集群环境下web应用的调用系统,针对web应用部署在集群、云环境中的通用方式,保证了 web应用调用能力的安全性,也确保了用户使用web应用的安全性、计费安全性、隐私安全性。本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种在云/集群环境下web应用的调用方法,其特征在于,包括: 应用安全模块接收web应用的调用请求,并确认自身存储有该web应用的应用实例号; 所述应用安全模块将临时授权请求发送给平台安全模块,并接收经所述平台安全模块验证通过的临时授权信息; 所述应用安全模块向所述平台安全模块发送携带有所述应用实例号和临时授权信息的web应用调用请求,并接收经所述平台安全模块验证通过的web应用调用结果。
2.根据权利要求1所述的方法,其特征在于,在应用安全模块确认自身存储有该web应用的应用实例号的步骤与将临时授权请 求发送给平台安全模块的步骤之间还包括: 所述应用安全模块查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期; 如果临时授权标识不存在或已过期,生成web标识向所述平台安全模块请求临时授权标识。
3.—种在云/集群环境下web应用的调用方法,其特征在于,包括: 平台安全模块接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向所述应用安全模块发送临时授权信息; 所述平台安全模块接收所述应用安全模块发送的携带有所述应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证,验证通过后由平台接入模块调用web应用返回给应用安全模块。
4.根据权利要求3所述的方法,其特征在于,在满足初始化条件时,则: 所述平台接入模块接收所述应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给所述平台安全模块; 所述平台安全模块对所述web标识进行验证确保该web应用注册请求的合法性,生成所述web应用的应用实例号; 所述平台安全模块将所述应用实例号返回给所述应用安全模块存储。
5.根据权利要求3所述的方法,其特征在于,平台安全模块对该web应用调用请求进行验证的步骤包括: 所述平台接入模块接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求; 所述平台鉴权模块向所述平台安全模块发送所述标识验证请求,所述平台安全模块对所述临时授权信息中的临时授权标识进行验证; 验证通过后,所述平台安全模块通过所述平台鉴权模块向所述平台接入模块返回标识验证结果。
6.根据权利要求3所述的方法,其特征在于,在平台安全模块对该web应用调用请求进行验证的步骤之后、在验证通过后由平台接入模块调用web应用返回给应用安全模块的步骤之前还包括: 平台接入模块向平台鉴权模块发送web应用调用验证请求; 所述平台鉴权模块根据所述web应用与应用平台的签约关系、用户与web应用的订购关系进行验证;验证通过后,所述平台鉴权模块对所述web应用的用户进行预扣费处理。
7.根据权利要求6所述的方法,其特征在于,在验证通过后由平台接入模块调用web应用返回给应用安全模块的步骤之后还包括: 所述平台接入模块向所述平台鉴权模块发送扣费处理通知,并由所述平台鉴权模块执行扣费处理。
8.—种在云/集群环境下web应用的调用装置,其特征在于,包括: 应用安全模块,用于 接收web应用的调用请求,并确认自身存储有该web应用的应用实例号,将临时授权请求发送给平台安全模块,并接收经所述平台安全模块验证通过的临时授权信息,并向所述平台安全模块发送携带有所述应用实例号和临时授权信息的web应用调用请求,并接收经所述平台安全模块验证通过的web应用调用结果。
9.根据权利要求8所述的装置,其特征在于, 所述应用安全模块,还用于查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期; 如果临时授权标识不存在或已过期,生成web标识向所述平台安全模块请求临时授权标识。
10.一种在云/集群环境下web应用的调用装置,其特征在于,包括: 平台安全模块,用于接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向所述应用安全模块发送临时授权信息,并接收所述应用安全模块发送的携带有所述应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证; 平台接入模块,用于在所述平台安全模块对web应用调用请求验证通过后,调用web应用返回给应用安全模块。
11.根据权利要求10所述的装置,其特征在于,还包括初始化判断模块: 所述初始化判断模块,用于判断web应用的初始化条件,在满足初始化条件时,触发初始化处理流程; 所述平台接入模块,还用于接收所述应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给所述平台安全模块; 所述平台安全模块,还用于对所述web标识进行验证确保该web应用注册请求的合法性,生成所述web应用的应用实例号,将所述应用实例号返回给所述应用安全模块存储。
12.根据权利要求10所述的装置,其特征在于,还包括平台鉴权模块: 所述平台接入模块,还用于接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求; 所述平台鉴权模块,用于向所述平台安全模块发送所述标识验证请求; 所述平台安全模块,还用于对所述临时授权信息中的临时授权标识进行验证,验证通过后,通过所述平台鉴权模块向所述平台接入模块返回标识验证结果。
13.根据权利要求10所述的装置,其特征在于,还包括平台鉴权模块: 所述平台接入模块,还用于向平台鉴权模块发送web应用调用验证请求; 所述平台鉴权模块,用于根据所述web应用与应用平台的签约关系、用户与web应用的订购关系进行验证,验证通过后,对所述web应用的用户进行预扣费处理。
14.根据权利要求13所述的装置,其特征在于, 所述平台接入模块,还用于向所述平台鉴权模块发送扣费处理通知; 所述平台鉴权模块,用于执行扣费处理。
15.一种在云/集群环境下web应用的调用系统,其特征在于,包括: 应用安全模块,用于接收web应用的调用请求,并确认自身存储有该web应用的应用实例号,将临时授权请求发送给平台安全模块,并接收经所述平台安全模块验证通过的临时授权信息,并向所述平台安全模块发送携带有所述应用实例号和临时授权信息的web应用调用请求,并接收经所述平台安全模块验证通过的web应用调用结果; 平台安全模块,用于接收应用安全模块发送的临时授权请求,并对该临时授权请求进行验证,验证通过后向所述应用安全模块发送临时授权信息,并接收所述应用安全模块发送的携带有所述应用实例号和临时授权信息的web应用调用请求,并对该web应用调用请求进行验证; 平台接入模块,用于在所述平台安全模块对web应用调用请求验证通过后,调用web应用返回给应用安全模块。
16.根据权利要求15所述的系统,其特征在于,还包括初始化判断模块: 所述初始化判断模块,用于判断web应用的初始化条件,在满足初始化条件时,触发初始化处理流程; 所述平台接入模块,还用于接收所述应用安全模块发送的携带有web标识的web应用注册请求,并将该注册请求转发给所述平台安全模块; 所述平台安全模块,还用于对所述web标识进行验证确保该web应用注册请求的合法性,生成所述web应用的应用实例号,将所述应用实例号返回给所述应用安全模块存储;所述应用安全模块,还用于查看自身是否存在临时授权标识,如果存在,则检查该临时授权标识是否过期;如果临时授权标识不存在或已过期,生成web标识向所述平台安全模块请求临时授权标识。
17.根据权利要求15所述的系统,其特征在于,还包括平台鉴权模块: 所述平台接入模块,还用于接收应用安全模块发送的web应用调用请求,并向平台鉴权模块发送携带有应用实例号和临时授权信息的标识验证请求; 所述平台鉴权模块,用于向所述平台安全模块发送所述标识验证请求; 所述平台安全模块,还用于对所述临时授权信息中的临时授权标识进行验证,验证通过后,通过所述平台鉴权模块向所述平台接入模块返回标识验证结果。
18.根据权利要求15所述的系统,其特征在于,还包括平台鉴权模块: 所述平台接入模块,还用于向平台鉴权模块发送web应用调用验证请求; 所述平台鉴权模块,用于根据所述web应用与应用平台的签约关系、用户与web应用的订购关系进行验证,验证通过后,对所述web应用的用户进行预扣费处理。
19.根据权利要求18所述的系统,其特征在于, 所述平台接入模块,还用于向所述平台鉴权模块发送扣费处理通知; 所述平台鉴权模块,用于执行扣费处理。
全文摘要
本发明公开了一种在云/集群环境下web应用的调用方法、装置和系统,其中,该方法包括应用安全模块接收web应用的调用请求,并确认自身存储有该web应用的应用实例号;应用安全模块将临时授权请求发送给平台安全模块,并接收经平台安全模块验证通过的临时授权信息;应用安全模块向平台安全模块发送携带有应用实例号和临时授权信息的web应用调用请求,并接收经平台安全模块验证通过的web应用调用结果。本发明的方法、装置和系统,面向开发者提供各种能力,便于开发者基于能力开发不同的应用,进而促进web应用的使用。
文档编号H04L29/08GK103179176SQ20111044220
公开日2013年6月26日 申请日期2011年12月26日 优先权日2011年12月26日
发明者王姗姗, 龙湘明, 王磊建, 刘涛, 武威, 孙杰 申请人:中国移动通信集团公司