專利名稱:一種提供系統(tǒng)資源的方法���、裝置及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機領域�,特別涉及一種提供系統(tǒng)資源的方法��、裝置及系統(tǒng)��。
背景技術:
現(xiàn)有技術下����,在提供Web服務的業(yè)務系統(tǒng)中,為了提高系統(tǒng)資源的安全性�,對系統(tǒng)資源進行保護的方法分為以下幾種第一種方法為使用數(shù)據(jù)庫存儲系統(tǒng)資源(如,系統(tǒng)文件)�����。在客戶端訪問時�,Web 服務器或業(yè)務服務器需要對其進行賬號密碼等信息的認證,通過認證后�,再從數(shù)據(jù)庫提取系統(tǒng)資源分發(fā)給客戶端。使用該方法的缺點是依賴于數(shù)據(jù)庫�,而數(shù)據(jù)庫存取大型文件時執(zhí)行效率低,遠不如直接存取在硬盤上保存的系統(tǒng)資源的效率高��,并且�����,使用數(shù)據(jù)庫增加了系統(tǒng)復雜性��,進而降低整個業(yè)務系統(tǒng)的效率�。第二種方法為使用專門的密匙服務器對客戶端和業(yè)務服務器進行協(xié)調校驗。密匙服務器作為中間者����,負責對客戶端和業(yè)務服務器的的工作進行協(xié)調,其中�����,客戶端先到密匙服務器去認證,通過后獲得密匙����,同時,密匙服務器會通知業(yè)務服務器準備驗證該密匙��, 最后�����,客戶端基于獲得的密匙去訪問業(yè)務服務器進行校驗����,通過后才會獲得系統(tǒng)資源。使用該方法的缺點是系統(tǒng)復雜性高���,依賴密匙服務器�,一旦密匙服務器出現(xiàn)故障�����,則整個業(yè)務系統(tǒng)將無法正常工作��,并且網(wǎng)絡傳輸?shù)牟淮_定性也將導致資源獲取的效率低下���。
發(fā)明內容
本發(fā)明實施例提供一種提供系統(tǒng)資源的方法�����、裝置及系統(tǒng)�����,用以在不降低系統(tǒng)資源的訪問效率的前提下����,保證系統(tǒng)資源的安全性����。本發(fā)明實施例提供的具體技術方案如下一種提供系統(tǒng)資源的方法,包括用于提供業(yè)務服務的第一服務器接收客戶端發(fā)送的系統(tǒng)資源請求消息�;第一服務器將客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名后發(fā)送給所述客戶端;用于提供系統(tǒng)資源的第二服務器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后����, 采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證;第二服務器確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時��,將相應的系統(tǒng)資源發(fā)送給所述客戶端���。一種提供業(yè)務服務的服務器����,包括接收單元,用于接收客戶端發(fā)送的系統(tǒng)資源請求消息���;數(shù)字簽名單元�����,用于對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名��;發(fā)送單元��,用于將經(jīng)數(shù)字簽名的URL地址發(fā)送給所述客戶端��,令所述客戶端采用所述經(jīng)數(shù)字簽名的URL地址向指定服務器獲取系統(tǒng)資源��。一種提供系統(tǒng)資源的服務器�����,包括接收單元�����,用于接收客戶端發(fā)送的經(jīng)指定服務器數(shù)字簽名的URL地址����;認證單元,用于采用與指定服務器約定方式對經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證�����;發(fā)送單元���,用于確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時,將相應的系統(tǒng)資源發(fā)送給所述客戶端�。一種提供系統(tǒng)資源的系統(tǒng),包括第一服務器�����,用以提供業(yè)務服務��,用于接收客戶端發(fā)送的系統(tǒng)資源請求消息��,并將客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名后發(fā)送給所述客戶端����;第二服務器�,用以提供系統(tǒng)資源���,用于在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL 地址后�,采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證�����,并在確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時���,將相應的系統(tǒng)資源發(fā)送給所述客戶端����。本發(fā)明實施例中���,基于Web服務器和業(yè)務服務器之間的相互配合����,對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名�����,并通過對經(jīng)數(shù)字簽名的URL地址的檢驗確定客戶端是否有權訪問系統(tǒng)資源,從而杜絕了客戶端對系統(tǒng)資源的直接訪問����,并且客戶端使用錯誤簽名或過期簽名的URL地址也不會訪問到系統(tǒng)資源,從而在不降低系統(tǒng)資源的訪問效率的前提下����,實現(xiàn)了對Web服務器上的系統(tǒng)資源的保護,提高了系統(tǒng)資源的安全性���。
圖1為本發(fā)明實施例中系統(tǒng)架構示意圖���;圖2A為本發(fā)明實施例中業(yè)務服務器功能結構示意圖;圖2B為本發(fā)明實施例中Web服務器功能結構示意圖��;圖3為本發(fā)明實施例中業(yè)務服務器向客戶端提供經(jīng)數(shù)字簽名的URL地址流程圖���;圖4為本發(fā)明實施例中Web服務器向客戶端提供系統(tǒng)資源流程圖。
具體實施例方式本發(fā)明實施例中�,實現(xiàn)一種簡單靈活的提供系統(tǒng)資源的方式,實現(xiàn)Web服務器側的系統(tǒng)資源(如�,Web系統(tǒng)文件)的保護與業(yè)務層控制邏輯結合起來,從而達到保護系統(tǒng)資源的目的�。其具體為,較佳的,用于提供業(yè)務服務的業(yè)務服務器接收客戶端發(fā)送的系統(tǒng)資源請求消息��,并將將客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名后發(fā)送給客戶端�,而用于提供系統(tǒng)資源的Web服務器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與業(yè)務服務器約定方式對該經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證��,并在確定該經(jīng)數(shù)字簽名的 URL地址通過數(shù)字簽名認證時��,將相應的系統(tǒng)資源發(fā)送給客戶端�。參閱圖1所示,本發(fā)明實施例中�,用于提供系統(tǒng)資源的業(yè)務系統(tǒng)包括業(yè)務服務器和Web服務器,其中��,業(yè)務服務器�����,用以提供業(yè)務服務�����,用于接收客戶端發(fā)送的系統(tǒng)資源請求消息����,并將客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名后發(fā)送給客戶端;
Web服務器,用以提供系統(tǒng)資源��,用于在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后�,采用與業(yè)務服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證,并在確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時�,將相應的系統(tǒng)資源發(fā)送給所述客戶端。所謂的Web服務器既可以是直接提供系統(tǒng)資源的服務器�,也可以是具有緩存功能的服務器等等,并不局限于一種實現(xiàn)方式�。本實施例中,為實現(xiàn)上述功能�����,需要在Web服務器中開發(fā)一個具有過濾功能的模塊�����,該模塊只是對URL地址進行數(shù)字簽名認證��,執(zhí)行速度很快���,對Web服務器性能基本沒有影響。例如�����,較佳的,采用Apache服務器作為Web服務器�,在Apache服務器上開發(fā)一個 Apache模塊,該Apache模塊對需要保護的系統(tǒng)資源的URL進行攔截并進行數(shù)字簽名認證���, 只有被可信任的業(yè)務服務器進行數(shù)字簽名的URL才允許訪問����,且URL地址中攜帶簽名有效期���,過期的數(shù)字簽名將被拒絕���。從而實現(xiàn)了保護系統(tǒng)資源的目的。下面結合附圖對本發(fā)明優(yōu)選的實施方式進行詳細說明���。參閱圖2A所示�,本發(fā)明實施例中��,用于對系統(tǒng)資源的URL (統(tǒng)一資源定位)地址進行數(shù)字簽名的裝置(如���,業(yè)務服務器)包括接收單元20��、數(shù)字簽名單元21和發(fā)送單元22��, 其中����,接收單元20,用于接收客戶端發(fā)送的系統(tǒng)資源請求消息���;數(shù)字簽名單元21��,用于對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名��;發(fā)送單元22�,用于將經(jīng)數(shù)字簽名的URL地址發(fā)送給客戶端���,令該客戶端采用經(jīng)數(shù)字簽名的URL地址向Web服務器獲取系統(tǒng)資源��。 參閱圖2B所示����,本發(fā)明實施例中����,用于對系統(tǒng)資源的URL地址進行數(shù)字簽名認證以提供系統(tǒng)資源的裝置(如,Web服務器)包括接收單元200�、認證單元201和發(fā)送單元202, 其中�����,接收單元200����,用于接收客戶端發(fā)送的經(jīng)業(yè)務服務器數(shù)字簽名的URL地址;認證單元201���,用于采用與業(yè)務服務器約定方式對經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證��;發(fā)送單元202����,用于確定經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時����,將相應的系統(tǒng)資源發(fā)送給客戶端。參閱圖3所示���,本發(fā)明實施例中���,業(yè)務服務器向客戶端提供經(jīng)數(shù)字簽名的URL地址的詳細流程如下步驟300 客戶端向業(yè)務服務器發(fā)送系統(tǒng)資源請求消息���,該系統(tǒng)資源請求消息中攜帶有客戶端請求獲取的系統(tǒng)資源的標識。例如�����,用戶通過點擊客戶端呈現(xiàn)的網(wǎng)頁頁面中的指定鏈接(如�����,打折食品一覽表����、 火車時刻表、話費查詢等等)�����,觸發(fā)客戶端向業(yè)務服務器發(fā)送系統(tǒng)資源請求消息��。步驟301 業(yè)務服務器接收客戶端發(fā)送的系統(tǒng)資源請求消息��,并根據(jù)該系統(tǒng)資源請求消息攜帶的系統(tǒng)資源的標識確定相應的URL地址�。實際應用中����,業(yè)務服務器用戶請求獲取的系統(tǒng)資源可以對應一個URL地址�,也可以對應多個URL地址�����。步驟302 業(yè)務服務器對獲得的URL地址進行數(shù)字簽名�����。本實施例中���,執(zhí)行步驟302時����,業(yè)務服務器采用與Web服務器約定的方式對獲得的URL地址進行簽名�,較佳的,簽名算法采用MD5算法�,具體包括假設客戶端請求獲取的URL地址為http //Ioca Iho s t/stub/Dl 10000b jwb/20 10-06/2 2/mpml. files/ nb.Dl10000bjwb_20100622-01. pagebig. 1. jpg為了保證客戶端獲得的系統(tǒng)資源的時效性,較佳的�,在對URL地址進行數(shù)字簽名時,要在URL地址后面加上其簽名有效期��,采用expires參數(shù)描述,具體為http ://localhost/st ub/Dl 10000b i wb/20 1 Q-Q6/2 2/mpml. files/ nb. DllOOOObiwb 20100622-01. pagebig. 1. jpg �����? expires = 6307200000 ��;其中�����,expires = 6307200000表示簽名的有效期��,實際應用中�����,若針對系統(tǒng)資源不存在有效期方面的限制���,也可以在URL地址中不包含expires參數(shù)��,上述內容僅為舉例����,以下實施例中亦如此,將不再贅述��。接著�,為了提高數(shù)字簽名結果的安全性,業(yè)務服務器通常會在URL地址的明文中混入干擾密鑰key���,即將URL明文和干擾密鑰key拼接起來����,然后進行數(shù)字簽名���,簽名結果再拼接至URL地址后,使用參數(shù)digest描述��。具體為采用URL地址中域名后邊的內容部分和約定的干擾密匙key —起進行數(shù)字簽名���,兩者之間用“ + ”連接�����,假設密鑰key = apabi����,簽名示例如下stub/Dl10000bjwb/2010-06/22/mpml. files/nb. Dl10000bjwb_20100622-01. pagebig. 1. jpg ? expires = 6307200000+apabi最后���,采用MD5算法對上述簽名示例進行數(shù)字簽名����,得到的MD5值為digest = 33 a71d6m3609ec919e0fa91d4e4eb6cc���,將該MD5值采用“&”符號后綴在簽名有效期后面�,便完成了對URL地址的數(shù)字簽名��,最終得到的結果(即經(jīng)過數(shù)字簽名的URL地址)如下http ://localhost/st ub/Dl 10000b i wb/20 1 Q-Q6/2 2/mpml. files/ nb. DllOOOObiwb 20100622-01. paRebiR. 1. ipr�? expires = 6307200000&diRest = 33a71 d66b609ec919e0fa91d4e4eb6cc。步驟303 :業(yè)務服務器將經(jīng)數(shù)字簽名的URL地址發(fā)往客戶端���?��?蛻舳私邮盏綐I(yè)務服務器下發(fā)的經(jīng)數(shù)字簽名的URL地址后,可以立即向Web服務器請求相應的系統(tǒng)資源����,也可以等待一段時間后,再向Web服務器請求相應的系統(tǒng)資源�。參閱圖4所示��,本發(fā)明實施例中�����,Web服務器向客戶端提供系統(tǒng)資源的詳細流程如下步驟400 客戶端將獲得的經(jīng)數(shù)字簽名的URL地址發(fā)往Web服務器�,以請求獲得相應的系統(tǒng)資源�����。步驟401 =Web服務器接收客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址����,并對該URL地址進行數(shù)字簽名認證����。在預配置Web服務器時,較佳的���,要設置被保護的資源類型和與業(yè)務服務器約定的簽名密鑰����,即步驟302中提及的干擾密匙key����,實際應用中����,為了提高靈活性���,使用正則表達式描述被保護的資源類型�����。正則表達式*. jpg ��? ”可用來匹配前邊任意個字符�,且后綴為“.jpg �����? ”的URL地址��,如12345abc. jpg �? 12345abc就符合上述正則表達式?;谏鲜鲱A配置,在執(zhí)行步驟401時�,Web服務器在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后�,較佳的��,只對合法的(即匹配正則表達式描述)的URL地址進行數(shù)字簽名認證��,進一步地�����,若經(jīng)數(shù)字簽名的URL地址中還包括簽名有效期����,則Web服務器還需要進行簽名有效期認證,此時����,只有通過數(shù)字簽名認證并且沒有超過簽名有效期的URL地址,才允許訪問系統(tǒng)資源�。例如http //Ioca Iho s t/stub/Dl 10000b jwb/20 10-06/2 2/mpml. files/ nb. Dl10000bjwb_20100622-01. pagebig.1.jpg�����? expires = 6307200000&digest = 33a71 d66b609ec919e0fa91d4e4eb6cc�����。Web服務器采用正則表達式判斷上述經(jīng)數(shù)字簽名的URL地址是否合法,從而判斷上述經(jīng)數(shù)字簽名的URL地址是否由可信任的業(yè)務服務器提供����,如,采用的正則表達式為 ~·*· jpg �����?時���,就可以匹配http ://localhost/st ub/Dl 10000b i wb/20 1 Q-Q6 / 2 2/mpm 1. files/ nb. DllOOOObiwb20100622-01. pagebig.1. jpg���? expires = 6307200000&digest = 33a71d 66b609ec919e0fa91d4e4eb6ccWeb服務器確定經(jīng)數(shù)字簽名的URL地址與預設的證則表達式匹配時,采用與業(yè)務服務器約定的密鑰key’以及MD5算法(僅為舉例)對以下內容進行數(shù)字簽名Stub/Dl10000bjwb/2010-06/22/mpml. files/nb. Dl10000bjwb_20100622-01. pagebig. 1. jpg ��? expires = 6307200000��,�,假設得到的數(shù)字簽名結果采用digest,描述����,那么,在digest����,= digest時�,Web 服務器確定經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證���。在進行數(shù)字簽名認證之前/過程中/之后�,Web服務器可以根據(jù)“expires = 6307200000”對經(jīng)數(shù)字簽名的URL地址進行簽名有效期認證�����。步驟402 =Web服務器根據(jù)認證結果判斷接收的經(jīng)數(shù)字簽名的URL地址是否通過數(shù)字簽名認證����,若是,則進行步驟403 �����;否則����,進行步驟404��。若Web服務器對經(jīng)數(shù)字簽名的URL地址進行了簽名有效期證���,則在執(zhí)行步驟306 時�����,還需確定上述URL地址在通過數(shù)字簽名認證的同時沒有超過有效期��,才會執(zhí)行步驟 307����。步驟403 =Web服務器向客戶端返回其請求的系統(tǒng)資源,即與接收的經(jīng)數(shù)字簽名的 URL地址相對應的系統(tǒng)資源�����。步驟404 :Web服務器拒絕向客戶端提供系統(tǒng)資源�,如,返回401消息拒絕客戶端的訪問ο本發(fā)明實施例中�,基于Web服務器和業(yè)務服務器之間的相互配合,對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名���,并通過對經(jīng)數(shù)字簽名的URL地址的檢驗確定客戶端是否有權訪問系統(tǒng)資源�����,從而在不降低提供系統(tǒng)資源的執(zhí)行效率的前提下��,實現(xiàn)了對Web 服務器上的系統(tǒng)資源的保護�����,提高了系統(tǒng)資源的安全性?,F(xiàn)有技術下,客戶端很容易通過猜解的方式來非法獲取系統(tǒng)資源���,例如��,在一個 Web服務器上存在很多系統(tǒng)資源���,如,包括jpg圖片�、pdf電子書等等,假設用戶通過客戶端只允許訪問URL地址為http://localhost/ipR/l· Ipr的圖片����,但是用戶可以很容易猜到諸如URL地址為http //localhost/Ipr/xxx. Ipr的圖片也存在于Web服備器上,從而很容易未經(jīng)授權便獲取到這些圖片��。采用本發(fā)明實施例提供的技術方案后�,完善系統(tǒng)資源的保護機制,杜絕了客戶端對系統(tǒng)資源的直接訪問,并且客戶端使用錯誤簽名或過期簽名的URL地址也不會訪問到系統(tǒng)資源����,從而有效提高了系統(tǒng)資源的安全性�,并且本發(fā)明技術方案的實現(xiàn)復雜度低,只需在 Web服務器上增設一個具有簽名認證功能的模塊即可�,因此不會影響客戶端訪問系統(tǒng)資源的效率,進一步地����,本發(fā)明技術方案中,未使用數(shù)據(jù)庫存儲系統(tǒng)資源��,也未使用專門的密匙服務器進行認證���,降低了系統(tǒng)復雜度和方案實施對系統(tǒng)環(huán)境的依賴程度�,當系統(tǒng)環(huán)境改變時��,無需修改系統(tǒng)資源的保護機制�����,具有很高的兼容性和可靠性�。 顯然,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內���,則本發(fā)明也意圖包含這些改動和變型在內��。
權利要求
1.一種提供系統(tǒng)資源的方法��,其特征在于��,包括用于提供業(yè)務服務的第一服務器接收客戶端發(fā)送的系統(tǒng)資源請求消息��; 第一服務器將客戶端請求的系統(tǒng)資源的統(tǒng)一資源定位URL地址進行數(shù)字簽名后發(fā)送給所述客戶端��;用于提供系統(tǒng)資源的第二服務器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后���,采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證;第二服務器確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時��,將相應的系統(tǒng)資源發(fā)送給所述客戶端��。
2.如權利要求1所述的方法���,其特征在于�,所述第一服務器對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名,包括第一服務器確定與第二服務器約定的第一密鑰�����,將所述第一密鑰與所述URL地址中指定內容部分進行拼接��;第一服務器采用指定的加密算法對拼接后的內容進行數(shù)字簽名�����,獲得第一數(shù)字簽名結果���;第一服務器將獲得的第一數(shù)字簽名結果添加至所述URL地址中的指定位置,獲得經(jīng)數(shù)字簽名的URL地址�。
3.如權利要求2所述的方法,其特征在于�,所述第二服務器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證之前�,包括判斷所述經(jīng)數(shù)字簽名的URL地址與預設的正則表達式是否匹配,確定匹配時��,再對其進行數(shù)字簽名認證��。
4.如權利要求2或3所述方法����,其特征在于��,所述第二服務器采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證�����,包括第二服務器確定與第一服務器約定的第二密鑰����,將所述第二密鑰與所述經(jīng)數(shù)字簽名的 URL地址中指定內容部分進行拼接���;第二服務器從接收的經(jīng)數(shù)字簽名的URL地址中獲取第一數(shù)字簽名結果�����,以及采用指定的加密算法對拼接后的內容進行數(shù)字簽名�,獲得第二數(shù)字簽名結果���;第二服務器將所述第二數(shù)字簽名結果與第一數(shù)字簽名結果進行比較��,獲知兩者相同時��,確認通過數(shù)字簽名認證����。
5.如權利要求4所述的方法,其特征在于����,若所述經(jīng)數(shù)字簽名的URL地址中不包含簽名有效期,則所述第二服務器確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證后��,將相應的系統(tǒng)資源發(fā)送至所述客戶端��;若所述經(jīng)數(shù)字簽名的URL地址中包含簽名有效期�,則所述第二服務器確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證后��,進一步確定未超過所述簽名有效期時�,將相應系統(tǒng)資源發(fā)送至所述客戶端。
6.一種提供業(yè)務服務的服務器�����,其特征在于��,包括 接收單元����,用于接收客戶端發(fā)送的系統(tǒng)資源請求消息��;數(shù)字簽名單元�,用于對客戶端請求的系統(tǒng)資源的統(tǒng)一資源定位URL地址進行數(shù)字簽名�����;發(fā)送單元�,用于將經(jīng)數(shù)字簽名的URL地址發(fā)送給所述客戶端,令所述客戶端采用所述經(jīng)數(shù)字簽名的URL地址向指定服務器獲取系統(tǒng)資源��。
7.如權利要求6所述的服務器���,其特征在于���,所述數(shù)字簽名單元對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名,包括確定與所述指定服務器約定的第一密鑰��,將所述第一密鑰與所述URL地址中指定內容部分進行拼接��;采用指定的加密算法對拼接后的內容進行數(shù)字簽名��,獲得第一數(shù)字簽名結果���;將獲得的第一數(shù)字簽名結果添加至所述URL地址中的指定位置�����,獲得經(jīng)數(shù)字簽名的 URL地址����。
8.一種提供系統(tǒng)資源的服務器,其特征在于����,包括接收單元,用于接收客戶端發(fā)送的經(jīng)指定服務器數(shù)字簽名的統(tǒng)一資源定位URL地址�;認證單元,用于采用與指定服務器約定方式對經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證�����;發(fā)送單元��,用于確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時����,將相應的系統(tǒng)資源發(fā)送給所述客戶端����。
9.如權利要求8所述的服務器����,其特征在于��,所述接收單元接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后��,所述認證單元采用與指定服務器約定方式對所述經(jīng)數(shù)字簽名的URL 地址進行數(shù)字簽名認證之前�����,包括判斷所述經(jīng)數(shù)字簽名的URL地址與預設的證則表達式是否匹配����,確定匹配時,再對其進行數(shù)字簽名認證����。
10.如權利要求8或9所述服務器,其特征在于�,所述認證單元采用與指定服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證,包括確定與所述指定服務器約定的第二密鑰���,將所述第二密鑰與所述經(jīng)數(shù)字簽名的URL地址中指定內容部分進行拼接�;從接收的經(jīng)數(shù)字簽名的URL地址中獲取第一數(shù)字簽名結果,以及采用指定的加密算法對拼接后的內容進行數(shù)字簽名�,獲得第二數(shù)字簽名結果;將所述第二數(shù)字簽名結果與第一數(shù)字簽名結果進行比較�,獲知兩者相同時,確認通過數(shù)字簽名認證���。
11.如權利要求10所述的服務器���,其特征在于,若所述經(jīng)數(shù)字簽名的URL地址中不包含簽名有效期���,則所述認證單元確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證后����,通知所述發(fā)送單元將相應的系統(tǒng)資源發(fā)送至所述客戶端�;若所述經(jīng)數(shù)字簽名的URL地址中包含簽名有效期,則所述認證單元確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證后��,進一步確定未超過所述簽名有效期時�����,通知所述發(fā)送單元將相應系統(tǒng)資源發(fā)送至所述客戶端�����。
12.一種提供系統(tǒng)資源的系統(tǒng)�,其特征在于,包括第一服務器�����,用以提供業(yè)務服務��,用于接收客戶端發(fā)送的系統(tǒng)資源請求消息����,并將客戶端請求的系統(tǒng)資源的統(tǒng)一資源定位URL地址進行數(shù)字簽名后發(fā)送給所述客戶端;第二服務器��,用以提供系統(tǒng)資源���,用于在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后��,采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證��,并在確定所述經(jīng)數(shù)字簽名的URL地址通過數(shù)字簽名認證時�����,將相應的系統(tǒng)資源發(fā)送給所述客戶端���。
13.如權利要求12所述的系統(tǒng)��,其特征在于��,所述第一服務器對客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名�����,包括第一服務器確定與第二服務器約定的第一密鑰����,將所述第一密鑰與所述URL地址中指定內容部分進行拼接�����;第一服務器采用指定的加密算法對拼接后的內容進行數(shù)字簽名����,獲得第一數(shù)字簽名結果;第一服務器將獲得的第一數(shù)字簽名結果添加至所述URL地址中的指定位置�����,獲得經(jīng)數(shù)字簽名的URL地址�����。
14.如權利要求13所述的系統(tǒng)�,其特征在于,所述第二服務器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后��,采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證之前��,包括判斷所述經(jīng)數(shù)字簽名的URL地址與預設的證則表達式是否匹配��,確定匹配時�����,再對其進行數(shù)字簽名認證�。
15.如權利要求13或14所述系統(tǒng),其特征在于�����,所述第二服務器采用與第一服務器約定方式對所述經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證��,包括第二服務器確定與第一服務器約定的第二密鑰���,將所述第二密鑰與所述經(jīng)數(shù)字簽名的 URL地址中指定內容部分進行拼接�;第二服務器從接收的經(jīng)數(shù)字簽名的URL地址中獲取第一數(shù)字簽名結果,以及采用指定的加密算法對拼接后的內容進行數(shù)字簽名�,獲得第二數(shù)字簽名結果;第二服務器將所述第二數(shù)字簽名結果與第一數(shù)字簽名結果進行比較����,獲知兩者相同時,確認通過數(shù)字簽名認證���。
全文摘要
本發(fā)明涉及計算機領域�����,特別涉及一種提供系統(tǒng)資源的方法�、裝置及系統(tǒng)�,用以在不降低系統(tǒng)資源的訪問效率的前提下,保證系統(tǒng)資源的安全性��。該方法為業(yè)務服務器將客戶端請求的系統(tǒng)資源的URL地址進行數(shù)字簽名后發(fā)送給客戶端����,Web服務器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與業(yè)務服務器約定方式對經(jīng)數(shù)字簽名的URL地址進行數(shù)字簽名認證����,確定通過數(shù)字簽名認證時��,將相應的系統(tǒng)資源發(fā)送給客戶端,這樣�,便杜絕了客戶端對系統(tǒng)資源的直接訪問,并且客戶端使用錯誤簽名或過期簽名的URL地址也不會訪問到系統(tǒng)資源�,從而在不降低系統(tǒng)資源的訪問效率的前提下,實現(xiàn)了對系統(tǒng)資源的有效保護�,提高了系統(tǒng)資源的安全性。
文檔編號H04L9/32GK102546579SQ20101062426
公開日2012年7月4日 申請日期2010年12月31日 優(yōu)先權日2010年12月31日
發(fā)明者徐劍波, 王朋闖, 閆進兵 申請人:北京方正阿帕比技術有限公司, 北大方正集團有限公司