WO2013182151A1 - 基于网络服务应用的鉴权方法及系统 - Google Patents

Abstract

本发明实施例公开了一种基于网络服务应用的鉴权方法及系统，网络服务服务器对第三方客户端发送动态密码的请求进行鉴权，鉴权通过后业务多媒体体服务器向终端发送动态密码，所述第三方客户端从终端获取所述动态密码；网络服务服务器接收第三方客户端发送的应用请求，鉴权通过后向业务多媒体服务器发送应用请求，业务多媒体服务器响应该应用请求，向终端发起应用的方法，具有限制网络对网络服务应用的非法攻击且不影响合法用户正常使用的有益效果，提高了系统性能，提升了用户体验。

Description

基于网络服务应用的鉴权方法及系统

技术领域 本发明涉及网络服务技术领域， 尤其涉及一种基于网络服务 （Web Service )应用的鉴权方法及系统。

背景技术

Web Service是系统对外的接口， 是一种构建应用程序的普遍模型， 可以 在任何支持网络通信的操作系统中实施运行， 它是一种新的 web (网络） 应 用程序分支， 是自包含、 自描述、 模块化的应用， 可以发布、 定位、 通过 web 调用。 Web Service是一个应用组件， 它逻辑性的为其他应用程序提供数据与 服务。各应用程序通过网络协议和规定的一些标准数据格式如 Http( Hyper Text Transport Protocol, 超文本传输协议 )、 XML ( Extensive Makeup Language , 可 扩展标示语言）、 Soap ( Simple Object Access Protocol, 简单对象访问协议） 等来访问 Web Service,通过 Web Service内部执行得到所需结果。 Web Service 可以执行从简单的请求到复杂商务处理的任何功能。 一旦部署， 其他 Web Service应用程序可以发现并调用它部署的服务。 实际上， WebService的主要 目标是跨平台的可互操作性。为了达到这一目标， WebService完全基于 XML、 XSD ( XMLSchema, 可扩展标准语言结构定义）等独立于平台、 独立于软件 供应商的标准， 是创建可互操作的、 分布式应用程序的新平台。 随着互联网发展和信息技术的普及， 网络和 IT ( Information Technology, 信息技术） 已经日渐深入到日常生活和工作当中， 社会信息化和信息网络化， 突破了应用信息在时间和空间上的障碍， 使信息的价值不断提高。 但与此同 时， 利用现有技术进行 Web Service应用的访问时， 网页篡改、 计算机病毒、 系统非法入侵、 数据泄密、 网站欺骗、 服务瘫痪、 漏洞非法利用等信息安全 事件仍时有发生。

发明内容 本发明实施例提供一种基于 Web Service应用的鉴权方法及系统， 旨在限 制网络上对 Web Service应用的非法攻击， 同时不影响合法用户的正常使用。 本发明实施例公开了一种基于 Web Service应用的鉴权方法， 包括以下步 骤： 网络服务 Web Service服务器接收第三方客户端发送的动态密码请求， 对 所述第三方客户端发送的第一关键信息进行鉴权， 鉴权通过后生成动态密码， 向业务多媒体服务器发送所述动态密码； 业务多媒体服务器接收所述动态密码， 向终端发送动态密码， 所述第三 方客户端从所述终端获取所述动态密码；

Web Service服务器接收所述第三方客户端发送的应用请求， 对所述第三 方客户端发送的第二关键信息进行鉴权， 鉴权通过后向业务多媒体服务器发 送所述应用请求； 业务多媒体服务器响应所述应用请求， 向终端发起相应的应用。 优选地， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串；

所述第二关键信息包括： 所述第三方客户端的 IP地址、第二动态时间戳和 第二参数加密校验字符串。 优选地， 所述第一参数加密校验字符串包括企业账号信息、 第三动态时 间戳、所述 IP地址的密码信息； 所述第二参数加密校验字符串包括企业账号信 息、 用所述动态密码加密的第四动态时间戳、 所述 IP地址的密码信息； 其中， 所述第三动态时间戳与所述第一动态时间戳相同或者是所述第一动态时间戳 的一偏置值， 所述第四动态时间戳与所述第二动态时间戳相同或者是所述第 二动态时间戳的一偏置值。

优选地， 所述应用请求包含单独的动态密码字段， Web Service服务器接 收所述第三方客户端发送的应用请求后， 先校验所述动态密码， 校验通过后 对所述第三方客户端的第二关键信息进行鉴权。

优选地， 若 Web Service服务器不限制所述第三方客户端的 IP来源， 则不 需要对所述第一关键信息和第二关键信息中的 IP地址进行鉴权； 优选地， Web Service服务器与所述第三方客户端约定用所述动态密码对 所述动态时间戳进行加密的运算规则。

本发明实施例还公开一种基于 Web Service应用的鉴权系统， 包括 Web Service服务器和业务多媒体服务器； 所述 Web Service服务器设置成接收第三方客户端发送的动态密码请求， 对所述第三方客户端发送的第一关键信息进行鉴权， 鉴权通过后生成动态密 码， 向业务多媒体服务器发送所述动态密码； 还设置成接收所述第三方客户端发送的应用请求， 对所述第三方客户端 发送的第二关键信息进行鉴权， 鉴权通过后向业务多媒体服务器发送应用请 求；

所述业务多媒体服务器设置成接收所述动态密码， 向终端发送动态密码； 还设置成响应 Web Service服务器发送的所述应用请求， 向终端发起相应 的应用。 优选地， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串；

所述第二关键信息包括： 所述第三方客户端的 IP地址、第二动态时间戳和 第二参数加密校验字符串。 优选地， 所述第一参数加密校验字符串包括企业账号信息、 第三动态时 间戳、所述 IP地址的密码信息； 所述第二参数加密校验字符串包括企业账号信 息、 用所述动态密码加密的第四动态时间戳、 所述 IP地址的密码信息； 其中， 所述第三动态时间戳与所述第一动态时间戳相同或者是所述第一动态时间戳 的一偏置值， 所述第四动态时间戳是所述第二动态时间戳的一偏置值。 优选地， 所述 Web Service服务器还设置成： 若所述应用请求包含单独的 动态密码字段， Web Service服务器接收所述第三方客户端发送的应用请求后， 先校验所述动态密码， 校验通过后对所述第三方客户端的第二关键信息进行 鉴权。 优选地， 所述 Web Service服务器还设置成： 若不限制所述第三方客户端的 IP来源， 则不需要对所述关键信息中的 IP 地址进行鉴权； 优选地， 所述 Web Service服务器还设置成：

与所述第三方客户端约定用所述动态密码对所述第四动态时间戳进行加 密的运算规则即约定规则。 本发明实施例还公开了一种基于网络服务应用的服务器， 包括接收模块、 第一鉴权模块、 动态密码生成模块、 发送模块和第二鉴权模块， 其中， 接收模块， 其设置成接收第三方客户端发送的动态密码请求； 第一鉴权模块， 其设置成对所述接收模块接收到的所述动态密码请求中 的第一关键信息进行鉴权， 鉴权通过后， 通知动态密码生成模块； 所述动态密码生成模块， 其设置成接收所述第一鉴权模块的通知， 生成 动态密码， 传送到所述发送模块； 发送模块， 其设置成将所述动态密码发送给业务多媒体服务器， 由所述 业务多媒体服务器将所述动态密码发送给终端； 所述接收模块， 还设置成接收所述终端反馈的所述动态密码； 所述接收模块， 还设置成接收所述第三方客户端发送的应用请求； 第二鉴权模块， 其设置成对所述接收模块接收到的所述应用请求中的第 二关键信息进行鉴权， 鉴权通过后通知所述发送模块向所述业务多媒体服务 器发送应用请求。 可选地， 其中， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串；

所述第二关键信息包括，所述第三方客户端的 IP地址、第二动态时间戳和 第二参数加密校验字符串。 可选地， 其中， 所述第一参数加密校验字符串包括企业账号信息、 第三 动态时间戳和所述 IP地址的密码信息，所述第二参数加密校验字符串包括企业 账号信息、 用所述动态密码加密的第四动态时间戳和所述 IP地址的密码信息； 其中， 所述第三动态时间戳与所述第一动态时间戳相同或者是所述第一动态 时间戳的一偏置值， 所述第四动态时间戳是所述第二动态时间戳的一偏置值。 可选地， 其中， 所述第二鉴权模块还设置成： 若所述应用请求包含动态 密码字段， 则先校验所述动态密码， 校验通过后才对所述第三方客户端的第 二关键信息进行鉴权。 可选地， 其中， 所述第一鉴权模块和所述第二鉴权模块还设置成： 若不限制所述第三方客户端的 IP来源， 则不需要对所述关键信息中的 IP 地址进行鉴权； 可选地， 其中， 所述第二鉴权模块还设置成：

与所述第三方客户端约定用所述动态密码对所述第四动态时间戳进行加 密的运算规则。

本发明实施例通过 Web Service服务器对第三方客户端发送动态密码的请 求进行鉴权， 鉴权通过后向业务多媒体服务器发送动态密码， 业务多媒体服 务器接收该动态密码后， 向终端发送动态密码， 所述第三方客户端从该终端 获取所述动态密码； Web Service服务器对第三方客户端发送的应用请求鉴权 通过后， 向业务多媒体服务器发送应用请求， 业务多媒体服务器响应该应用 请求， 向终端发起应用的方法， 具有限制网络对 Web Service应用的非法攻击 且不影响合法用户正常使用的有益效果， 提高了系统性能， 提升了用户体验。

附图概述 图 1是本发明较佳实施方式的基于 Web Service应用的鉴权方法具体应用 场景示意图； 图 2是本发明较佳实施方式的基于 Web Service应用的鉴权方法一实施例 流程示意图； 图 3是本发明较佳实施方式的基于 Web Service应用的鉴权方法中 Web Service服务器进行各种应用信号流程示意图； 图 4是本发明较佳实施方式的基于 Web Service应用的鉴权系统一实施例 结构示意图。 图 5是本发明较佳实施方式的基于 Web Service应用的服务器一实例的结 构及与第三方客户端、 业务多媒体服务器、 终端关系的示意图。

本发明的较佳实施方式

以下结合说明书附图及具体实施例进一步说明本发明较佳实施方式的技 术方案。 应当理解， 此处所描述的具体实施例仅仅用以解释本发明， 并不用 于限定本发明。 需要说明的是， 在不冲突的情况下， 本申请中的实施例及实 施例中的特征可以相互任意组合。 参照图 1 , 图 1是本发明较佳实施方式的基于 Web Service应用的鉴权方 法具体应用场景示意图；如图 1所示，本发明较佳实施方式的基于 Web Service 应用的鉴权方法的具体应用场景包括第三方客户端、 Web Service服务器、 多 媒体业务服务器、 核心网和终端组成。 Web Service服务器主要用于进行第三 方客户端发送请求的判断和处理， 解决第三方客户端合法性的问题， 对用户 身份进行合法性校验。 校验通过后方可进行传真、 短信、 会议、 呼叫各种应 用的使用。 核心网主要由归属地用户服务器 （HSS )、 媒体网关控制功能 ( MGCF )、媒体网关（MGW )等诸多功能实体组成。 业务媒体服务器主要负 责多媒体的业务逻辑的判断和处理。 终端包括传真、 短信、 会议、 呼叫等应 用的各种终端类型， 可以是传真机、 手机、 固定电话、 小灵通、 电脑等等。 第三方客户端为能够进行传真、 短信、 会议、 呼叫等各种应用而操作的各种 客户端。 在某种情况下， 第三方客户端与终端可以为同一个实体。 基于图 1实施例的具体描述， 参照图 2, 图 2是本发明较佳实施方式的基 于 Web Service应用的鉴权方法一实施例流程示意图； 如图 2所示， 本发明较 佳实施方式的基于 Web Service应用的鉴权方法具体包括以下步骤： 步骤 S01、 Web Service服务器接收第三方客户端发送的动态密码请求， 对 所述第三方客户端发送的第一关键信息进行鉴权， 鉴权通过后生成动态密码， 并将该动态密码发送给业务多媒体服务器；

第三方客户端发起申请动态密码的请求给 Web Service服务器， Web Service服务器对所述第三方客户端发送的关键信息 （即： 第一关键信息）进 行鉴权； 若鉴权不通过， 则结束后续流程； 若鉴权通过， 则 Web Service服务 器生成动态密码， 将该动态密码发送给业务多媒体服务器。

在一优选的实施例中， 所述第三方客户端发送的第一关键信息包括： 所 述第三方客户端的 IP ( Internet Protocol, 互联网协议 )地址、第一动态时间戳、 第一参数加密校验字符串等。具体地， Web Service服务器对第三方客户端的 IP 地址进行校验， 若该 IP地址不合法， 则直接禁止该 IP地址对应的第三方客户端 的访问； 若该 IP地址合法， 则对该第三方客户端的动态时间戳进行校验； 若该 动态时间戳和 Web Service服务器上的时间间隔超过时长阔值， 则直接禁止该 IP地址对应的第三方客户端的访问； 若该动态时间戳校验通过，则对参数加密 字符串进行校验； 该字符串包括第三动态时间戳、 IP密码信息、 企业账号信息 等， 其中所述第三动态时间戳， 可以与所述第一动态时间戳相同， 或者是第 一动态时间戳加一偏置形成： 如在该第一动态时间戳之后加数字串或将所述 第一动态时间戳加一数字， 只要事先约定即可， 本发明实施例不作特别限定； 若字符串匹配失败， 则直接结束； 若字符串匹配通过， 则 Web Service服务器 生成动态密码， 并将该动态密码发送到业务多媒体服务器， 动态密码可以是 数字或数字 /字符的组合， 只要双方约定好每个字符代表什么数字即可； 所述 动态密码可以直接为一串动态密码， 也可以为由动态密码组成的动态密码短 信息， 本实施例对动态密码的组成内容和组成方式不作限定。

在一优选的实施例中， 若 Web Service服务器不限制第三方客户端的 IP来 源， 则不需要对第三方客户端关键信息中的 IP地址进行校验。 步骤 S02、业务多媒体服务器接收所述动态密码，向终端发送该动态密码， 所述第三方客户端从所述终端获取所述动态密码。 业务多媒体服务器接收 Web Service服务器发送的动态密码， 并向终端发 送该动态密码， 第三方客户端从所述终端获取该动态密码； 获取的方式与所 述终端的属性有关： 如终端是手机， 该终端可以将该动态密码转发给所述第 三方客户端； 如终端是传真机， 需要釆用人工输入或其他方式将密码录入到 所述第三方客户端； 如终端与所述第三方客户端是同一实体， 可以釆用自动 转发的方式将所述密码转发第三方客户端等等。 第三方客户端收到该动态密 码后， 向 Web Service服务器发送应用请求。 在一优选的实施例中， 所述动态密码既可以作为此后 Web Serviced)良务器 对第三方客户端进行鉴权的一个单独校验项， 也可以作为后续加密动态时间 戳的随机值。 步骤 S03、 Web Service服务器接收所述第三方客户端发送的应用请求， 对 所述第三方客户端发送的第二关键信息进行鉴权， 鉴权通过后向业务多媒体 服务器发送所述应用请求；

第三方客户端收到所述动态密码后， 向 Web Service服务器发送传真、 短 信、 会议、 呼叫等应用请求； Web Service服务器接收该第三方客户端发送的 应用请求， 再次对该第三方客户端发送的关键信息 （即： 第二关键信息）进 行鉴权。 Web Service服务器对关键信息进行鉴权时， 如果该应用请求中包含 单独的动态密码字段， 则首先对第三方客户端发送的动态密码进行校验； 如 果校验失败， 则分析校验失败的原因； 若是因为动态密码错误， 则第三方客 户端重新发起传真、 短信、 会议、 呼叫等应用请求给 Web Service服务器； 若 是因为第三方客户端未申请密码或者申请的密码已过期， 则第三方客户端需 重新向 Web Service服务器发起动态密码请求。 若对动态密码校验通过， Web Service服务器对第三方客户端的 IP地址进行校验， 若该 IP地址不合法， 则直接 禁止该 IP地址对应的第三方客户端的访问； 若该 IP地址合法， 则对该第三方客 户端的第二动态时间戳进行校验； 若该第二动态时间戳和 Web Service服务器 上的时间间隔超过时长阔值， 则直接禁止该 IP地址对应的第三方客户端的访 问； 若该第二动态时间戳校验通过， 则对第二参数加密字符串进行校验； 该 第二参数加密字符串包括釆用所述动态密码根据约定规则运算后的加密的第 四动态时间戳信息、 IP密码信息、 企业账号信息等， 其中， 所述第二动态时间 戳是所述第三方客户端发起应用请求时的动态时间戳， 所述第四动态时间戳 与第二动态时间戳相同， 或者是第二动态时间戳加一偏置形成： 如在该第二 动态时间戳之后加数字串或将所述第二动态时间戳加一数字， 只要事先约定 即可， 本发明实施例不作特别限定； 若字符串匹配失败， 则直接结束； 若字 符串匹配通过， Web Service服务器向业务多媒体服务器发送第三方客户端发 起的传真、 短信、 会议、 呼叫等应用请求。

在一优选的实施例中， 步骤 S03中， 若 Web Service服务器不限制所述第三 方客户端的 IP来源， 则不需要对所述关键信息中的 IP地址进行鉴权。

步骤 S04、业务多媒体服务器响应所述应用请求，向终端发起相应的应用。 业务多媒体服务器响应 Web Service服务器发起的应用请求， 向终端发起 相应的传真、 短信、 会议、 呼叫等应用。 参照图 3 , 图 3是本发明较佳实施方式的基于 Web Service应用的鉴权方 法中 Web Service服务器进行各种应用信号流程示意图； 如图 3所示， 第三方 客户端向 Web Service服务器发送动态密码申请时， Web Service服务器对该第 三方客户端发送的关键信息 （即： 第一关键信息）进行鉴权， 鉴权通过后生 成动态密码， 并将该动态密码发送给业务多媒体服务器， 业务多媒体服务器 将该动态密码发送至终端， 所述第三方客户端从所述终端获取所述动态密码。 其中， 如果第三方客户端与终端是同一实体， 该动态密码可以由终端自动转 发到该第三方客户端； 如果终端是传真机、 固定电话等， 可以釆用人工或其 他方式将该动态密码录入到所述第三方客户端； 如果终端是手机， 可以釆用 短信等方式将该动态密码转发给所述第三方客户端； 当第三方客户端发起传 真、 短信、 会议、 呼叫等应用请求时， Web Service服务器接收该第三方客户 端发送的应用请求， 再次对该第三方客户端发送的关键信息 （即第二关键信 息）进行鉴权， 鉴权通过后将该应用请求发送至业务多媒体服务器， 业务多 媒体服务器响应该应用请求， 并向终端发起传真、 短信、 会议、 呼叫等相关 应用， 在限制网络对 Web Service应用的非法攻击的同时， 不影响合法用户的 正常使用。 所述应用请求可以包含动态密码信息， 本实施例对应用请求的组 成内容和组成方式不作限定 本领域的技术人员可以理解， 本发明基于 Web Service应用的鉴权方法中 Web Service服务器进行各种应用的信号流程并不限于图 3 实施例的具体描 述， 比如还可以通过下述方式实现： 第三方客户端发送动态密码请求至 Web Service服务器， 由 Web Service服务器生成动态密码，将该动态密码发送至业 务多媒体服务器， 该业务多媒体服务器接收所述动态密码， 并将该动态密码 发送至第三方客户端； 或者， 第三方客户端发送动态密码请求至 Web Service 服务器， Web Service服务器响应该请求， 生成动态密码并将该动态密码回复 给所述第三方客户端； 本实施例对本发明基于 Web Service应用的鉴权方法中 Web Service服务器进行各种应用的信号流程的具体实现方式不做限定。

参照图 4, 图 4是本发明较佳实施方式的基于 Web Service应用的鉴权系 统一实施例结构示意图。如图 4所示，本发明较佳实施方式的基于 Web Service 应用的鉴权系统包括 Web Service服务器 01和业务多媒体服务器 02。 所述 Web Service服务器 01用于接收第三方客户端发送的动态密码请求， 对所述第三方客户端的发送第一关键信息进行鉴权， 鉴权通过后生成动态密 码， 并向业务多媒体服务器 02发送所述动态密码； 还用于接收所述第三方客户端发送的应用请求， 对所述第三方客户端发 送的第二关键信息进行鉴权， 鉴权通过后向业务多媒体服务器 02发送所述应 用请求；

所述业务多媒体服务器 02用于接收所述动态密码， 向终端发送动态密码； 还用于响应 Web Service服务器 01发送的所述应用请求， 向终端发起相应 的应用。

基于图 1所述的具体应用场景， 参照图 3中第三方客户端、 Web Service 服务器 01、 业务多媒体服务器 02和终端进行交互时的信号流图，对本发明较 佳实施方式的基于 Web Service应用的鉴权系统的具体工作过程描述如下： 第三方客户端发起申请动态密码的请求给 Web Service服务器 01 , Web Service服务器 01对所述第三方客户端发送的第一关键信息进行鉴权； 若鉴权 不通过， 则结束后续流程； 若鉴权通过， 则 Web Service服务器 01生成动态密 码， 并向业务多媒体服务器 02发送该动态密码。 在一优选的实施例中， 所述第三方客户端发送的第一关键信息包括： 所 述第三方客户端的 IP ( Internet Protocol, 互联网协议）地址、第一动态时间戳、 第一参数加密校验字符串等。 具体地， Web Service服务器 01对第三方客户端 的 IP地址进行校验， 若该 IP地址不合法， 则直接禁止该 IP地址对应的第三方客 户端的访问； 若该 IP地址合法，则对该第三方客户端的第一动态时间戳进行校 验； 若该第一动态时间戳和 Web Service服务器 01上的时间间隔超过时长阔值， 则直接禁止该 IP地址对应的第三方客户端的访问；若该第一动态时间戳校验通 过， 则对第一参数加密字符串进行校验； 该第一参数加密字符串包括第三动 态时间戳、 IP密码信息、 企业账号信息等， 其中所述第三动态时间戳， 可以与 所述第一动态时间戳相同， 或者在第一动态时间戳加一偏置形成： 如在该第 一动态时间戳之后加数字串或将所述第一动态时间戳加一数字， 只要事先约 定即可， 本发明实施例不作特别限定； 若字符串匹配失败， 则直接结束； 若 字符串匹配通过， 则 Web Service服务器 01生成动态密码， 并向业务多媒体服 务器 02发送该动态密码， 动态密码可以是数字或数字 /字符的组合， 只要双方 约定好每个字符代表什么数字即可； 所述动态密码请求可以直接为一串动态 密码， 也可以为由动态密码组成的动态密码短信息， 本实施例对动态密码请 求的组成内容和组成方式不作限定。 在一优选的实施例中， 若 Web Service服务器 01不限制第三方客户端的 IP 来源， 则不需要对第三方客户端关键信息中的 IP地址进行校验。

业务多媒体服务器 02接收 Web Service服务器 01发送的动态密码， 并向终 端发送该动态密码后， 第三方客户端从所述终端获取所述动态密码， 向 Web Service服务器 01发送应用请求。 在一优选的实施例中， 所述动态密码既可以作为此后 Web Serviced)良务器 01对第三方客户端进行鉴权的一个单独校验项， 也可以作为后续加密动态时 间戳的随机值。

第三方客户端从所述终端获取所述动态密码后， 向 Web Service服务器 01 发送传真、 短信、 会议、 呼叫等应用请求； Web Service服务器 01接收该第三 方客户端发送的应用请求， 再次对该第三方客户端发送的关键信息 （即： 第 二关键信息）进行鉴权。 Web Service服务器 01对第二关键信息进行鉴权时， 如果第三方客户端发送的应用请求应用请求包含单独的动态密码字段， 则首 先对该动态密码进行校验； 如果校验失败， 则分析校验失败的原因； 若是因 为动态密码错误， 则第三方客户端重新发起传真、 短信、 会议、 呼叫等应用 请求给 Web Service服务器 01 ; 若是因为第三方客户端未申请密码或者申请的 密码已过期， 则第三方客户端需重新向 Web Service服务器 01发起动态密码请 求。 若动态密码校验通过， Web Service服务器 01对第三方客户端的 IP地址进 行校验，若该 IP地址不合法，则直接禁止该 IP地址对应的第三方客户端的访问； 若该 IP地址合法，则对该第三方客户端的第二动态时间戳进行校验； 若该第二 动态时间戳和 Web Service服务器 01上的时间间隔超过时长阔值， 则直接禁止 该 IP地址对应的第三方客户端的访问； 若该第二动态时间戳校验通过，则对参 数加密字符串进行校验； 该字符串包括釆用所述动态密码根据约定规则运算 后的加密的第四动态时间戳、 IP密码信息、 企业账号信息等， 其中， 所述第二 动态时间戳是所述第三方客户端发起应用请求时的动态时间戳， 所述第四动 态时间戳与所述第二动态时间戳相同， 或者是第二动态时间戳加一偏置形成： 如在该第二动态时间戳之后加数字串或将所述第二动态时间戳加一数字， 只 要事先约定即可， 本发明实施例不作特别限定； 若字符串匹配失败， 则直接 结束； 若字符串匹配通过， Web Service服务器 01向业务多媒体服务器 02发送 第三方客户端发起的传真、 短信、 会议、 呼叫等应用请求。 在一优选的实施例中， Web Service服务器 01对第三方客户端进行鉴权时， 若 Web Service服务器 01不限制所述第三方客户端的 IP来源， 则不需要对所述 关键信息中的 IP地址进行鉴权。 业务多媒体服务器 02响应 Web Service服务器 01发起的应用请求， 向终 端发起相应的传真、 短信、 会议、 呼叫等应用。

如图 5所示， 本发明实施例还包括一种基于网络服务的服务器， 包括接收 模块、 第一鉴权模块、 动态密码生成模块、 发送模块和第二鉴权模块， 其中： 所述接收模块， 其设置成接收第三方客户端发送的动态密码请求； 所述第一鉴权模块， 其设置成对所述接收模块接收到的所述动态密码请 求中的第一关键信息进行鉴权， 鉴权通过后， 通知所述动态密码生成模块； 所述动态密码生成模块， 其设置成接收所述第一鉴权模块的通知， 生成 动态密码， 传送到所述发送模块； 所述发送模块， 其设置成将所述动态密码发送给业务多媒体服务器， 由 所述业务多媒体服务器将所述动态密码发送给终端； 所述接收模块， 还设置成接收所述终端反馈的所述动态密码； 所述接收模块， 还设置成接收所述第三方客户端发送的应用请求； 所述第二鉴权模块， 其设置成对所述接收模块接收到的所述应用请求中 的第二关键信息进行鉴权， 鉴权通过后通知所述发送模块向所述业务多媒体 服务器发送应用请求。 其中， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串， 所述第二关键信息包括： 所述第三方客户端的 IP地址、 第二动态时间戳和 第二参数加密校验字符串，。 所述第一关键信息的参数加密校验字符串包括企业账号信息、 第三动态 时间戳和所述 IP地址的密码信息，所述第二关键信息的参数加密校验字符串包 括企业账号信息、用所述动态密码加密的第四动态时间戳和所述 IP地址的密码 信息。

所述第二鉴权模块还设置成： 若所述应用请求包含动态密码字段， 则先 校验所述动态密码， 校验通过后才对所述第三方客户端的第二关键信息进行 鉴权。 所述第一鉴权模块和所述第二鉴权模块还设置成： 若不限制所述第三方客户端的 IP来源， 则不需要对所述关键信息中的 IP 地址进行鉴权； 所述第二鉴权模块还设置成： 与所述第三方客户端约定用所述动态密码对第四动态时间戳进行加密的 运算规则。

本实施例通过 Web Service服务器对第三方客户端发送动态密码的请求进 行鉴权， 鉴权通过后生成动态密码并向业务多媒体服务器发送该动态密码， 业务多媒体服务器响应该动态密码请求， 向终端发送动态密码， 该第三方客 户端从所述终端获取该动态密码； Web Service服务器第三方客户端发送的应 用请求鉴权通过后， 向业务多媒体服务器发送应用请求， 业务多媒体服务器 响应该应用请求， 向终端发起应用， 具有限制网络对 Web Service应用的非法 攻击且不影响合法用户正常使用的有益效果， 提高了系统性能， 提升了用户 体验。

本发明基于 Web Service应用的鉴权方法及系统的具体实施方式中， 为了 防止网络上的非法重复攻击， 引入了不断变化的校验字符串一一动态时间戳； 所述动态时间戳处理时的约定规则由 Web Service服务器和第三方客户端协 商。

比如， 合法用户可以先申请一个随机动态密码， 然后第三方客户端按照 这个随机数对时间戳进行运算。 例如动态密码是 287519, 第一步将时间戳加 上 287519秒， 第二步将时间戳的第 2位和第 8位数字进行调换， 第三步将第 7位和第 5位调换， 第四步将第 1位和第 9位调换， 得到动态时间戳， 最后根 据动态密码将该动态时间戳加密生成加密动态时间戳， 这样就解决了非法重 复攻击的问题和有规律算法的缺陷问题， 扩展了一种鉴权的应用。 其中对动态时间戳的算法不限于上述先偏移再调换这一种算法， 也可以 定义为： 第一步时间戳第 2位加 2取个数部分， 第 8位加 8取个数部分， 第 7 位加 7取个数部分， 第 5位加 5取个数部分， 第 1位加 1取个数部分， 第 9 位加 9取个数部分。 第二步将时间戳的倒数第 2位和倒数第 8位数字进行调 换， 第三步将倒数第 7位和倒数第 5位调换， 第四步将倒数第 1位和倒数第 9 位调换， 得到动态时间戳， 最后根据动态密码将该动态时间戳加密生成加密 动态时间戳。

本领域的技术人员可以理解， Web Service服务器与第三方客户端对动态 时间戳根据动态密码进行加密处理时的约定规则远远不至上述列举的两种实 现方法， Web Service服务器可以与第三方客户端协商任何一种能够满足条件 的约定规则， 本发明实施例根据动态密码对动态时间戳进行加密处理时的约 定规则的制定方法不作限定。 本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成， 所述程序可以存储于计算机可读存储介质中， 如只读 存储器、 磁盘或光盘等。 可选地， 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现， 相应地， 上述实施例中的各模块 /单元可以釆用 硬件的形式实现， 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。 以上所述仅为本发明的优选实施例， 并非因此限制其专利范围， 凡是利 用本发明说明书及附图内容所作的等效结构或等效流程变换， 直接或间接运 用在其他相关的技术领域， 均同理包括在本发明的专利保护范围内。

工业实用性 本发明实施例提供的基于网络服务应用的鉴权方法及系统， 网络服务服 务器对第三方客户端发送动态密码的请求进行鉴权， 鉴权通过后业务多媒体 服务器才向终端发送动态密码； 第三方客户端从该终端获取所述动态密码； 网络服务服务器在第三方客户端发送的应用请求鉴权通过后， 才向业务多媒 体服务器发送应用请求， 由业务多媒体服务器向终端发起应用， 具有限制网 络对网络服务应用的非法攻击且不影响合法用户正常使用的有益效果， 可以 提高系统性能， 改善用户体验。

Claims

权 利 要 求 书

1、 一种基于网络服务应用的鉴权方法， 包括以下步骤： 网络服务服务器接收第三方客户端发送的动态密码请求， 对所述第三方 客户端发送的第一关键信息进行鉴权， 鉴权通过后生成动态密码， 向业务多 媒体服务器发送所述动态密码； 业务多媒体服务器接收所述动态密码， 向终端发送所述动态密码， 所述 第三方客户端从所述终端获取该动态密码； 网络服务服务器接收所述第三方客户端发送的应用请求， 对所述第三方 客户端发送的第二关键信息进行鉴权， 鉴权通过后向业务多媒体服务器发送 所述应用请求； 业务多媒体服务器响应所述应用请求， 向所述终端发起相应的应用。

2、 如权利要求 1所述的方法， 其中， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串；

所述第二关键信息包括： 所述第三方客户端的 IP地址、第二动态时间戳和 第二参数加密校验字符串。

3、 如权利要求 2所述的方法， 其中， 所述第一参数加密校验字符串包括 企业账号信息、第三动态时间戳和所述 IP地址的密码信息； 所述第二参数加密 校验字符串包括企业账号信息、 用所述动态密码加密的第四动态时间戳和所 述 IP地址的密码信息。

4、 如权利要求 1所述的方法， 其中， 网络服务服务器接收所述第三方客 户端发送的应用请求， 若所述应用请求包含动态密码字段， 则先校验所述动 态密码， 校验通过后对所述第三方客户端的第二关键信息进行鉴权， 鉴权通 过后向业务多媒体服务器发送所述应用请求。

5、 如权利要求 1至 4任一项所述的方法， 其中， 若网络服务服务器不限制 所述第三方客户端的 IP来源，则不需要对所述第一关键信息和第二关键信息中 的 IP地址进行鉴权。

6、 如权利要求 3所述的方法， 其中， 所述网络服务服务器与所述第三方 客户端约定用所述动态密码对所述第四动态时间戳进行加密的运算规则。

7、 一种基于网络服务应用的鉴权系统， 包括网络服务服务器和业务多媒 体服务器；

所述网络服务服务器， 设置成接收第三方客户端发送的动态密码请求， 对所述第三方客户端发送的第一关键信息进行鉴权， 鉴权通过后生成动态密 码， 向业务多媒体服务器发送所述动态密码； 还设置成接收所述第三方客户端发送的应用请求， 对所述第三方客户端 发送的第二关键信息进行鉴权， 鉴权通过后向业务多媒体服务器发送应用请 求；

所述业务多媒体服务器， 设置成接收所述动态密码请求， 向终端发送动 态密码；

还设置成响应网络服务服务器发送的所述应用请求， 向终端发起相应的 应用。

8、 如权利要求 7所述的系统， 其中， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串；

所述第二关键信息包括： 所述第三方客户端的 IP地址、第二动态时间戳和 第二参数加密校验字符串。

9、 如权利要求 8所述的系统， 其中， 所述第一参数加密校验字符串包括 企业账号信息、第三动态时间戳和所述 IP地址的密码信息，所述第二参数加密 校验字符串包括企业账号信息、 用所述动态密码加密的第四动态时间戳和所 述 IP地址的密码信息。

10、 如权利要求 7所述的系统， 其中， 所述网络服务服务器还设置成接收 所述第三方客户端发送的应用请求， 若所述应用请求包含动态密码字段， 则 先校验所述动态密码， 校验通过后才对所述第三方客户端的第二关键信息进 行鉴权， 鉴权通过后向业务多媒体服务器发送所述应用请求。

11、 如权利要求 7至 10任一项所述的系统， 其中， 所述网络服务服务器还 设置成： 若不限制所述第三方客户端的 IP来源， 则不需要对所述关键信息中的 IP 地址进行鉴权。

12、 如权利要求 9所述的系统， 其中， 所述网络服务服务器还设置成： 与所述第三方客户端约定用所述动态密码对所述第四动态时间戳进行加 密的运算规则。

13、 一种基于网络服务应用的服务器， 包括接收模块、 第一鉴权模块、 动态密码生成模块、 发送模块和第二鉴权模块， 其中： 接收模块， 其设置成接收第三方客户端发送的动态密码请求； 第一鉴权模块， 其设置成对所述接收模块接收到的所述动态密码请求中 的第一关键信息进行鉴权， 鉴权通过后， 通知动态密码生成模块； 所述动态密码生成模块， 其设置成接收所述第一鉴权模块的通知， 生成 动态密码， 传送到所述发送模块； 发送模块， 其设置成将所述动态密码发送给业务多媒体服务器， 由所述 业务多媒体服务器将所述动态密码发送给终端； 所述接收模块， 还设置成接收所述终端反馈的所述动态密码； 所述接收模块， 还设置成接收所述第三方客户端发送的应用请求； 第二鉴权模块， 其设置成对所述接收模块接收到的所述应用请求中的第 二关键信息进行鉴权， 鉴权通过后通知所述发送模块向所述业务多媒体服务 器发送应用请求。

14、 如权利要求 13所述的服务器， 其中， 所述第一关键信息包括： 所述第三方客户端的 IP地址、 第一动态时间戳和第一参数加密校验字符 串；

所述第二关键信息包括：

所述第三方客户端的 IP地址、 第二动态时间戳和第二参数加密校验字符 串。

15、 如权利要求 13所述的服务器， 其中， 所述第一参数加密校验字符串 包括企业账号信息、第三动态时间戳和所述 IP地址的密码信息，所述第二参数 加密校验字符串包括企业账号信息、 用所述动态密码加密的第四动态时间戳 和所述 IP地址的密码信息。

16、 如权利要求 13所述的服务器， 其中， 所述第二鉴权模块还设置成： 若所述应用请求包含动态密码字段， 则先校验所述动态密码， 校验通过后才 对所述第三方客户端的第二关键信息进行鉴权。

17、 如权利要求 13至 16任一项所述的服务器， 其中， 所述第一鉴权模块 和所述第二鉴权模块还设置成： 若不限制所述第三方客户端的 IP来源， 则不需要对所述关键信息中的 IP 地址进行鉴权。

18、 如权利要求 13所述的服务器， 其中， 所述第二鉴权模块还设置成： 与所述第三方客户端约定用所述动态密码对所述第四动态时间戳进行加 密的运算规则。