CN102055766B - 一种Webservice服务的管理方法和系统 - Google Patents
一种Webservice服务的管理方法和系统 Download PDFInfo
- Publication number
- CN102055766B CN102055766B CN 201010616910 CN201010616910A CN102055766B CN 102055766 B CN102055766 B CN 102055766B CN 201010616910 CN201010616910 CN 201010616910 CN 201010616910 A CN201010616910 A CN 201010616910A CN 102055766 B CN102055766 B CN 102055766B
- Authority
- CN
- China
- Prior art keywords
- webserver
- authentication center
- authentication
- client
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种Webservice服务的管理方法和系统,涉及计算机软件技术领域。其中,本发明提供的Webservice服务的管理方法,包括:网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果;根据所述认证结果,所述网络服务器为所述客户端提供网络服务。采用本发明不但能提高Web Service的安全性,还能有效的解决验证数字证书的使用者和所有者是否是同一实体的问题。
Description
技术领域
本发明涉及计算机软件技术领域,尤其涉及一种Webservice服务的管理方法和系统。
背景技术
随着互联网技术的不断发展,Webservice(网络服务)逐渐成为企业应用集成(Enterprise Application Integration)的有效平台。所述Webservice是构建互联网分布式系统的基本部件,可以构建应用程序。
现有的一般Web Service调用都是基于SOAP(Simple ObjectAccess Protocal,简单对象访问协议)。S OAP是一种轻量的、简单的、基于XML(Extensible Markup Language,可扩展标记语言)的协议,它被设计成在网络上交换结构化的和固化的信息。SOAP可以和现存的许多因特网协议和格式结合使用,包括超文本传输协议(HTTP),简单邮件传输协议(SMTP),多用途网际邮件扩充协议(MIME)。它还支持从消息系统到远程过程调用(RPC)等大量的应用程序。这样,基于SOAP协议的Web Service调用,当客户端需要与服务器端之间进行数据交互时,客户端与服务器端需要建立连接,该连接用于客户端与服务器端之间传输数据。所述传输的数据可以通过HTTP(HyperText Transfer Protocol,超文本传输协议)的传输通道进行传输。
然而,在实现上述客户端与服务器端之间的Web Service调用过程中,发明人发现现有技术中存在如下问题:
现有技术中,客户端与服务器端之间的Web Service调用过程中的XML信息都是明文传输,从而使Web Service的安全性较差。
发明内容
本发明实施例提供一种Webservice服务的管理方法和系统,为达到上述目的,本发明的实施例采用如下技术方案:
一种Webservice服务的管理方法,包括:
网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;
所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;
当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果;
根据所述认证结果,所述网络服务器为所述客户端提供网络服务。
一种Webservice服务的管理系统,包括:
客户端、网络服务器和认证中心;
所述客户端,用于用户向所述网络服务器发起服务请求以及用户身份认证请求;
所述网络服务器,用于获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;将其获取到的用户身份认证请求转发给认证中心;当所述认证中心完成认证后,接收所述认证中心返回的认证结果;根据所述认证结果,为所述客户端提供网络服务;
所述认证中心,用于对所述网络服务器以及用户身份进行认证,并给出认证结果。
本发明实施例提供的一种Webservice服务的管理方法和系统,通过网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果;根据所述认证结果,所述网络服务器为所述客户端提供网络服务。采用本发明实施例不但能够提高Web Service的安全性,还能够有效的解决了验证数字证书的使用者和所有者是否是同一实体的问题。
附图说明
图1为本发明实施例提供的一种Webservice服务的管理方法流程图;
图2为本发明实施例提供的另一种Webservice服务的管理方法流程图;
图3为本发明实施例提供的一种Webservice服务的管理系统结构示意图;
图4为本发明实施例提供的一种Webservice服务的管理系统的数据传输示意图。
具体实施方式
下面结合附图对本发明实施例提供的一种Webservice服务的管理方法和系统进行详细描述。
如图1所示,为本发明实施例提供的一种Webservice服务的管理方法;该方法包括:
101:网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息。
102:所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证。
103:当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果。
104:根据所述认证结果,所述网络服务器为所述客户端提供网络服务。
如图2所示,为本发明实施例提供的另一种;该方法包括:
201:所述网络服务器与所述客户端从所述认证中心获取数字证书;具体的讲,就是所述网络服务器与所述客户端都可以从可以信赖的CA(Certification Authority)获得标准的数字证书。
202:所述认证中心注册所述客户端用户的电子签名。
203:所述客户端获取用户输入的电子签名密码(F)。
204:所述客户端对所述电子签名密码(F)使用hash函数得到hash值(H)。
205:所述客户端使用所述认证中心的公钥加密所述电子签名密码(F)和经过hash函数得到hash值(H),获取到S(F,H)。
206:所述客户端使用所述网络服务器的公钥加密所述S(F,H)和所述用户数字证书(Cert),并通过所述用户身份认证请求发送给所述网络服务器。
207:网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息。
需要说明的是,该步骤的用户数字证书是经过206步骤加密后的;所述用户身份认证信息是经过步骤206加密后的S(F,H)。
208:所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;该步骤具体可以包括:
S1、所述网络服务器使用其私钥对所述获取到的用户身份认证请求进行解密,获取所述S(F,H)和所述用户数字证书Cert;
S2、所述网络服务器采用认证中心的公钥对所述S(F,H)和所述用户数字证书(Cert)进行加密处理,得到SC;
S3、所述网络服务器将加密处理后得到的SC发送给认证中心。
需要说明的是,所述认证中心对所述网络服务器以及用户身份进行认证包括:
所述认证中心使用其私钥解密所述SC,得到电子签名密码(F)和经过hash函数得到hash值(H);
所述认证中心验证所述用户数字证书;
所述认证中心对所述电子签名密码F进行hash函数处理;
判断经过所述hash函数处理的电子签名密码(F)是否等于所述解密得到的hash值(H)。
209:根据所述认证结果,所述网络服务器为所述客户端提供网络服务;具体的过程如下:
如果所述认证结果为认证中心验证所述用户数字证书以及电子签名密码正确,则所述网络服务器为所述客户端提供网络服务;
如果所述认证结果为所述认证中心验证所述用户数字证书以及电子签名密码不正确,则所述网络服务器拒绝为所述客户端提供网络服务。
需要说明的是,该方法还包括:
所述网络服务器预置证书库;所述证书库包括:所述认证中心为所述网络服务器证书分配的数字证书和所述认证中心为所述客户端分配的数字证书。
还需要说明的是,该方法还包括:
所述网络服务器与所述认证中心建立专用的数据传输通道;
所述网络服务器通过所述专用的数据传输通道获取所述数字证书;
所述网络服务器通过所述专用的数据传输通道将所述客户端的用户身份注册和身份认证授权给所述认证中心;
所述网络服务器通过所述专用的数据传输通道获取所述认证中心的给出的认证结果。
还需要说明的是,当用户退出服务或者长时间没有事物活动的时候,Web服务提供者撤销连接,取消认证合法性。
如图3所示,为本发明实施例提供的一种Webservice服务的管理系统,该系统包括:客户端301、网络服务器302和认证中心303;
所述客户端301,用于用户向所述网络服务器发起服务请求以及用户身份认证请求;
所述网络服务器302,用于获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;将其获取到的用户身份认证请求转发给认证中心;当所述认证中心完成认证后,接收所述认证中心返回的认证结果;根据所述认证结果,为所述客户端提供网络服务;
所述认证中心303,用于对所述网络服务器以及用户身份进行认证,并给出认证结果。
需要说明的是,所述所述认证中心,还用于为所述网络服务器与所述客户端分配数字证书,以及注册所述客户端用户的电子签名。
如图4所示,为本发明实施例提供的一种Webservice服务的管理系统的数据传输示意图;该系统包括:客户端301、网络服务器302和认证中心303;
所述网络服务器302的Web Service使用https加密传输方式,所述网络服务器创建证书库;所述证书库包括:所述认证中心303为所述网络服务器证书分配的数字证书和所述认证中心为所述客户端分配的数字证书。
所述网络服务器302首先验证客户端301的用户数字证书是否有效,验证通过后,双方交换密钥,通过S SL(Secure Sockets Layer,安全套接层)协议建立安全通道。但是数字证书的方式不能充分满足非否认性,因为这种数字证书认证的安全是建立在私钥安全和数字证书可靠的假设基础之上的,认为客户端和所网络服务器Web服务的数字证书提供的标识是不可破坏的,数字证书的所有者也是证书的使用者,只有证书的所有者才有证书验证的私钥,然而,实际情况中,数字证书的使用者只是数字证明使用了某个特殊标识,它不能证明该标识使用者就是该标识的真正所有者。而数字签名就是利用通过某种密码运算生成的一系列符号及代码组成电子密码进行″签名″,来代替书写签名或印章,对于这种电子式的签名在技术上还可进行算法验证,其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。数字签名在ISO7498-2标准中定义为:附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。美国电子签名标准(DSS,FIPS186-2)对数字签名作了如下解释:利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性。把电子签名和数字证书相结合,在认证用户身份的同时,同时验证数字证书和该证书使用者的电子签名,利用使用者的电子签名来确认该证书的所有者和使用者是否是同一个实体。另一方面,利用数字证书中约定的密钥机制来加密电子签名,保证电子签名在传输过程中的安全。
本发明实施例提供的一种Webservice服务的管理方法和系统,通过网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果;根据所述认证结果,所述网络服务器为所述客户端提供网络服务。采用本发明实施例不但能够提高Web Service的安全性,还能够有效的解决了验证数字证书的使用者和所有者是否是同一实体的问题。通过以上的实施方式的描述,本领域普通技术人员可以理解:实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如上述方法实施例的步骤,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种Webservice服务的管理方法,其特征在于,包括:
客户端获取用户输入的电子签名密码(F);
所述客户端对所述电子签名密码(F)使用hash函数得到hash值(H);
所述客户端使用认证中心的公钥加密所述电子签名密码(F)和经过hash函数得到hash值(H),获取到S(F,H);
所述客户端使用网络服务器的公钥加密所述S(F,H)和用户数字证书(Cert),并通过用户身份认证请求发送给所述网络服务器;
网络服务器获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;所述用户身份认证信息是经网络服务器的公钥加密后的S(F,H);
所述网络服务器将其获取到的用户身份认证请求转发给认证中心,以便所述认证中心对所述网络服务器以及用户身份进行认证;
当所述认证中心完成认证后,所述网络服务器接收所述认证中心返回的认证结果;
根据所述认证结果,所述网络服务器为所述客户端提供网络服务。
2.根据权利要求1所述的Webservice服务的管理方法,其特征在于,该方法还包括:
所述网络服务器与所述客户端从所述认证中心获取数字证书;
所述认证中心注册所述客户端用户的电子签名。
3.根据权利要求1中所述的Webservice服务的管理方法,其特征在于,所述网络服务器将其获取到的用户身份认证请求转发给认证中心的步骤包括:
所述网络服务器使用其私钥对所述获取到的用户身份认证请求进行解密,获取所述S(F,H)和所述用户数字证书Cert;
所述网络服务器采用认证中心的公钥对所述S(F,H)和所述用户数字证书(Cert)进行加密处理,得到SC;
所述网络服务器将加密处理后得到的SC发送给认证中心。
4.根据权利要求3所述的Webservice服务的管理方法,其特征在于,所述认证中心对所述网络服务器以及用户身份进行认证包括:
所述认证中心使用其私钥解密所述SC,得到电子签名密码(F)和经过hash函数得到hash值(H);
所述认证中心验证所述用户数字证书;
所述认证中心对所述电子签名密码F进行hash函数处理;
判断经过所述hash函数处理的电子签名密码(F)是否等于所述解密得到的hash值(H)。
5.根据权利要求4中所述的Webservice服务的管理方法,其特征在于,所述根据所述认证结果,所述网络服务器为所述客户端提供网络服务的步骤包括:
如果所述认证结果为认证中心验证所述用户数字证书以及电子签名密码正确,则所述网络服务器为所述客户端提供网络服务;
如果所述认证结果为所述认证中心验证所述用户数字证书以及电子签名密码不正确,则所述网络服务器拒绝为所述客户端提供网络服务。
6.根据权利要求5中所述的Webservice服务的管理方法,其特征在于,该方法还包括:
所述网络服务器预置证书库;所述证书库包括:所述认证中心为所述网络服务器证书分配的数字证书和所述认证中心为所述客户端分配的数字证书。
7.根据权利要求2至6中任意一项所述的Webservice服务的管理方法,其特征在于,该方法还包括:
所述网络服务器与所述认证中心建立专用的数据传输通道;
所述网络服务器通过所述专用的数据传输通道获取所述数字证书;
所述网络服务器通过所述专用的数据传输通道将所述客户端的用户身份注册和身份认证授权给所述认证中心;
所述网络服务器通过所述专用的数据传输通道获取所述认证中心的给出的认证结果。
8.一种Webservice服务的管理系统,其特征在于,包括:客户端、网络服务器和认证中心;
所述客户端,用于用户向所述网络服务器发起服务请求以及用户身份认证请求,其中,所述客户端用于获取用户输入的电子签名密码(F);对所述电子签名密码(F)使用hash函数得到hash值(H);使用认证中心的公钥加密所述电子签名密码(F)和经过hash函数得到hash值(H),获取到S(F,H);以及,使用所述网络服务器的公钥加密所述S(F,H)和用户数字证书(Cert),并通过所述用户身份认证请求发送给所述网络服务器;
所述网络服务器,用于获取客户端发送的用户身份认证请求;所述用户身份认证请求包括:用户数字证书和用户身份认证信息;将其获取到的用户身份认证请求转发给认证中心;当所述认证中心完成认证后,接收所述认证中心返回的认证结果;根据所述认证结果,为所述客户端提供网络服务;所述用户身份认证信息是经网络服务器的公钥加密后的S(F,H);
所述认证中心,用于对所述网络服务器以及用户身份进行认证,并给出认证结果。
9.根据权利要求8所述的Webservice服务的管理系统,其特征在于,
所述认证中心,还用于为所述网络服务器与所述客户端分配数字证书,以及注册所述客户端用户的电子签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010616910 CN102055766B (zh) | 2010-12-31 | 2010-12-31 | 一种Webservice服务的管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010616910 CN102055766B (zh) | 2010-12-31 | 2010-12-31 | 一种Webservice服务的管理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102055766A CN102055766A (zh) | 2011-05-11 |
| CN102055766B true CN102055766B (zh) | 2013-06-12 |
Family
ID=43959692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010616910 Active CN102055766B (zh) | 2010-12-31 | 2010-12-31 | 一种Webservice服务的管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102055766B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102262677A (zh) * | 2011-08-15 | 2011-11-30 | 华北电力大学 | 基于Web Service的信息资源集成方法 |
| CN102917021A (zh) * | 2012-09-19 | 2013-02-06 | 深圳市融创天下科技股份有限公司 | 一种基于Web服务的数据返回方法、系统和终端设备 |
| CN104753881B (zh) * | 2013-12-30 | 2019-03-26 | 格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
| CN104901935A (zh) * | 2014-09-26 | 2015-09-09 | 易兴旺 | 一种基于cpk的双向认证及数据交互安全保护方法 |
| CN105592031B (zh) * | 2014-11-25 | 2019-07-19 | 中国银联股份有限公司 | 基于身份认证的用户登陆方法及系统 |
| CN104486343B (zh) * | 2014-12-18 | 2018-06-19 | 广东粤铁科技有限公司 | 一种双因子双向认证的方法及系统 |
| CN107276965B (zh) * | 2016-04-07 | 2021-05-14 | 阿里巴巴集团控股有限公司 | 服务发现组件的权限控制方法及装置 |
| CN109587101B (zh) * | 2017-09-29 | 2021-04-13 | 腾讯科技(深圳)有限公司 | 一种数字证书管理方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731723A (zh) * | 2005-08-19 | 2006-02-08 | 上海林果科技有限公司 | 电子/手机令牌动态口令认证系统 |
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
-
2010
- 2010-12-31 CN CN 201010616910 patent/CN102055766B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1731723A (zh) * | 2005-08-19 | 2006-02-08 | 上海林果科技有限公司 | 电子/手机令牌动态口令认证系统 |
| CN101183932A (zh) * | 2007-12-03 | 2008-05-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102055766A (zh) | 2011-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102055766B (zh) | 一种Webservice服务的管理方法和系统 | |
| US10439826B2 (en) | Identity-based certificate management | |
| EP3424176B1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| JP5021215B2 (ja) | Webサービス用の信頼できる第三者認証 | |
| US8843415B2 (en) | Secure software service systems and methods | |
| US8219808B2 (en) | Session-based public key infrastructure | |
| US9137017B2 (en) | Key recovery mechanism | |
| US20070055867A1 (en) | System and method for secure provisioning of encryption keys | |
| US20120297187A1 (en) | Trusted Mobile Device Based Security | |
| CN111884805A (zh) | 基于区块链及分布式身份的数据托管方法及系统 | |
| CN101459505B (zh) | 生成用户私钥的方法、系统及用户设备、密钥生成中心 | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| CN101296230A (zh) | 基于PKI和PMI的Web服务安全控制机制 | |
| CN101938465B (zh) | 基于webservice认证的方法及系统 | |
| JP2020014168A (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
| KR20080012402A (ko) | 공개키 기반의 무선단문메시지 보안 및 인증방법 | |
| KR100970552B1 (ko) | 비인증서 공개키를 사용하는 보안키 생성 방법 | |
| CN113329003B (zh) | 一种物联网的访问控制方法、用户设备以及系统 | |
| US9281947B2 (en) | Security mechanism within a local area network | |
| Zwattendorfer et al. | Privacy-preserving realization of the STORK framework in the public cloud | |
| KR100896743B1 (ko) | P3p를 위한 보안 시스템 및 그 보안 방법 | |
| Sultan et al. | Overcoming Barriers to Client-Side Digital Certificate Adoption | |
| CN116957507A (zh) | 政务系统中基于区块链和隐私计算的数据交互方法 | |
| Cater | SOA: Service-Oriented Architecture | |
| Park et al. | An enhanced LBS security protocol in wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 810, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING D-MEDIA COMMUNICATION TECHNOLOGY Co.,Ltd. Address before: 100089 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building A block 5 layer Patentee before: BEIJING D-MEDIA COMMUNICATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |