專利名稱:安全認(rèn)證機(jī)制的系統(tǒng)及其安全認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信與安全認(rèn)證,尤其涉及一種安全認(rèn)證機(jī)制的系統(tǒng)及其安全認(rèn)證的方法��。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展���,基于互聯(lián)網(wǎng)的分布式軟件系統(tǒng)越來越普及����,以前基于互聯(lián)網(wǎng)的分布式軟件系統(tǒng),成本高昂�����,需要高速網(wǎng)絡(luò)的支撐���,甚至需要專線或者VPN設(shè)備才能運行���。隨著網(wǎng)絡(luò)速度越來越快���,成本越來越低����,高速并且穩(wěn)定的帶寬成為分布式應(yīng)用的基礎(chǔ)���,越來越多的系統(tǒng)轉(zhuǎn)而采用分布式架構(gòu)�。分布式軟件系統(tǒng)的技術(shù)發(fā)展可以分為三個重要的階段��,第一個階段是以DCOM技術(shù)和Java RMI為代表的分布式應(yīng)用��;第二階段是以WebService為代表的SOA分布式架構(gòu);第三階段是REST (Representational State Transfer��,表述性狀態(tài)轉(zhuǎn)移)服務(wù)模式����,REST服務(wù)作為一種新的架構(gòu)模式,正越來越流行����,越來越多的系統(tǒng)正在使用REST構(gòu)建其后臺服務(wù)或者正升級到REST服務(wù)。REST架構(gòu)模式是最近幾年才流行開的一種分布式軟件的實現(xiàn)技術(shù)�,它是在SOA基礎(chǔ)發(fā)展而來,借鑒SOA的優(yōu)點��,克服SOA的缺點�。REST架構(gòu)是一次技術(shù)上的返璞歸真,是一種簡化�、再簡化的技術(shù)思想。REST架構(gòu)強(qiáng)調(diào)網(wǎng)絡(luò)上的每個資源都應(yīng)該有一個唯一的標(biāo)識�,資源的狀態(tài)修改使用標(biāo)準(zhǔn)的方法,Request和Response自描述,服務(wù)不應(yīng)該有狀態(tài)等幾點約束���。REST服務(wù)使用HTTP協(xié)議���,數(shù)據(jù)使用JSON或者XML格式�。REST不是一種新的技術(shù)����,而類似一種規(guī)范。由于REST服務(wù)的這些特性�����,所以REST最適合的應(yīng)用場景是需要對外暴露服務(wù)的時候�����,可以充分利用REST的自描述��、無狀態(tài)�����、唯一標(biāo)識等特性來提供清晰�����、友好的API��。然而�����,REST架構(gòu)沒有完整的規(guī)范���,實現(xiàn)不統(tǒng)一����,且無安全認(rèn)證����。
發(fā)明內(nèi)容
有鑒于此,有必要提供一種安全認(rèn)證機(jī)制的系統(tǒng)及其安全認(rèn)證的方法�。本發(fā)明提供的安全認(rèn)證機(jī)制的系統(tǒng),包括服務(wù)裝置�����,用于接收用戶登錄信息���,并發(fā)送所述用戶登錄信息����;應(yīng)用服務(wù)器��,包括通信模塊,用于接收所述用戶登錄信息�����;判斷模塊�����,用于判斷所述服務(wù)裝置是否在白名單中����,且在所述服務(wù)裝置在所述白名單中時驗證所述用戶登錄信息是否有效;以及令牌發(fā)放模塊�����,用于在所述判斷模塊驗證所述用戶登錄信息有效時發(fā)送REST (Representational State Transfer,表述性狀態(tài)轉(zhuǎn)移)服務(wù)訪問令牌至服務(wù)裝置�����,其中��,服務(wù)裝置還用于接收REST服務(wù)訪問令牌后發(fā)送REST請求�。本發(fā)明提供的安全認(rèn)證的方法�,用于服務(wù)裝置與應(yīng)用服務(wù)器之間進(jìn)行認(rèn)證�,包括所述服務(wù)裝置接收用戶登錄信息��,并將所述用戶登錄信息發(fā)送到所述應(yīng)用服務(wù)器����。所述應(yīng)用服務(wù)器接收來自所述服務(wù)裝置的所述用戶登錄信息;所述應(yīng)用服務(wù)器判斷所述服務(wù)裝置是否在白名單中�����;若是�����,則所述應(yīng)用服務(wù)器驗證所述用戶登錄信息是否有效���;以及若所述用戶登錄信息有效�,則所述應(yīng)用服務(wù)器發(fā)放REST服務(wù)訪問令牌至服務(wù)裝置�����,以及服務(wù)裝置接收到REST服務(wù)訪問令牌后發(fā)送REST請求�。本發(fā)明實施方式中的安全認(rèn)證機(jī)制的系統(tǒng)及其安全認(rèn)證的方法通過驗證所述用戶登錄信息的有效性以及服務(wù)裝置是否在白名單中來確定是否發(fā)放REST服務(wù)訪問令牌,有效的提高了 REST架構(gòu)的安全性���。
圖I為本發(fā)明一實施方式中REST系統(tǒng)架構(gòu)圖�����;圖2為本發(fā)明一實施方式中安全認(rèn)證機(jī)制的系統(tǒng)的模塊圖���;圖3為本發(fā)明一實施方式中安全認(rèn)證方法的流程圖����;圖4為本發(fā)明一實施方式中應(yīng)用服務(wù)器中REST服務(wù)驗證方法的流程圖�����?�!?br>
具體實施例方式下面詳細(xì)描述本發(fā)明的實施例���,所述實施例的示例在附圖中示出�,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件��。下面通過參考附圖描述的實施例是示例性的�,僅用于解釋本發(fā)明�����,而不能理解為對本發(fā)明的限制。在本發(fā)明的描述中�,術(shù)語“內(nèi)”、“外”�����、“縱向”����、“橫向”、“上”����、“下”、“頂”�、“底”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明而不是要求本發(fā)明必須以特定的方位構(gòu)造和操作�,因此不能理解為對本發(fā)明的限制。請參閱圖1�,圖I所示為本發(fā)明一實施方式中REST系統(tǒng)架構(gòu)圖。在本實施方式中���,為了適應(yīng)全球化的部署戰(zhàn)略服務(wù)必須能從全球任何的地方訪問�;為了支持高并發(fā)量的用戶,服務(wù)必須支持集群和負(fù)載均衡技術(shù)�,為了支持跨服務(wù)器,跨地域的調(diào)用��,服務(wù)最好是無狀態(tài)的����。因此,用戶通過網(wǎng)絡(luò)連接到前端的服務(wù)裝置10��,服務(wù)裝置10調(diào)用后臺的應(yīng)用服務(wù)器20�����,其中所有的業(yè)務(wù)邏輯由應(yīng)用服務(wù)器20承載�����,以REST服務(wù)方式對外公布����。在本實施方式中,服務(wù)裝置10分別部署在全球各個區(qū)域���,應(yīng)用服務(wù)器20集中部署在數(shù)據(jù)中心����。在本實施方式中����,應(yīng)用服務(wù)器20負(fù)責(zé)業(yè)務(wù)邏輯的處理,訪問用戶數(shù)據(jù)庫和文檔��,應(yīng)用服務(wù)器20使用集群方式部署��,Web服務(wù)10通過網(wǎng)絡(luò)請求應(yīng)用服務(wù)器20����。在本實施方式中,應(yīng)用服務(wù)器20限定訪問REST服務(wù)的IP�����,只有指定列表(白名單)中的IP可以連接到應(yīng)用服務(wù)器��,其他的IP地址的服務(wù)裝置10的請求一律忽略���。 在本發(fā)明實施方式中��,服務(wù)裝置10為WEB服務(wù)器�����。在本發(fā)明其他實施方式中��,月艮務(wù)裝置10可以為客戶端等����。請參閱圖2,所示為本發(fā)明一實施方式中安全認(rèn)證機(jī)制的系統(tǒng)的模塊圖�����。在本實施方式中��,安全認(rèn)證機(jī)制的系統(tǒng)包括服務(wù)裝置10以及應(yīng)用服務(wù)器20�����。在本實施方式中����,服務(wù)裝置10用于接收用戶登錄信息,并發(fā)送所述用戶登錄信息��。在本實施方式中,用戶請求服務(wù)裝置10登錄頁面�,服務(wù)裝置10返回給用戶一客戶ID,用于標(biāo)識用戶的唯一性�����,同時產(chǎn)生一個隨機(jī)的鍵值(key)返給用戶���,用戶輸入自己的用戶登錄信息,并提交到服務(wù)裝置10��。在本實施方式中����,所述用戶登錄信息包括賬戶、密碼以及標(biāo)識符���。
應(yīng)用服務(wù)器20包括通信模塊210�、判斷模塊220�����、令牌發(fā)放模塊230以及存儲模塊 240���。在本實施方式中�����,通信模塊210用于接收服務(wù)裝置10發(fā)送的所述用戶登錄信息��。判斷模塊220用于判斷所述服務(wù)裝置10是否在白名單中�,且在所述服務(wù)裝置10在所述白名單中時驗證所述用戶登錄信息是否有效。在本實施方式中��,所述白名單存儲在所述應(yīng)用服務(wù)器20的存儲模塊240中��,為IP列表或網(wǎng)段列表��。在本發(fā)明其他實施方式中�����,所述白名單亦可以存儲在用于存儲文 件的文件服務(wù)器中���。令牌發(fā)放模塊230用于在所述判斷模塊220驗證所述用戶登錄信息有效時發(fā)送REST (Representational State Transfer,表述性狀態(tài)轉(zhuǎn)移)服務(wù)訪問令牌���。在本實施方式中,所述服務(wù)裝置10還用于接收所述REST服務(wù)訪問令牌后發(fā)送REST請求���,所述通信模塊210還用于接收來自所述服務(wù)裝置10的REST請求����,所述判斷模塊220判斷所述服務(wù)裝置10是否在白名單中,所述通信模塊210還用于在所述WEB服務(wù)10是白名單中時獲取所述REST服務(wù)訪問令牌�,所述判斷模塊220還用驗證所述REST服務(wù)訪問令牌是否有效,通信模塊210還用于在所述REST服務(wù)訪問令牌有效時返回請求數(shù)據(jù)至服務(wù)裝置10���。在本實施方式中���,所述REST服務(wù)訪問令牌包括用戶標(biāo)識���、到期時間以及加密的驗證碼�。在本實施方式中���,所述判斷模塊220通過加密算法驗證所述REST服務(wù)訪問令牌是否有效����。在本實施方式中���,所述判斷模塊220通過判斷所述服務(wù)裝置10的IP地址來確定所述服務(wù)裝置10是否在白名單中����。請參閱圖3,圖3所示為本發(fā)明一實施方式中安全認(rèn)證方法的流程圖���。在本實施方式中����,安全認(rèn)證的方法用于服務(wù)裝置10與應(yīng)用服務(wù)器20之間進(jìn)行認(rèn)證���,包括在步驟S100����,所述服務(wù)裝置10接收用戶登錄信息����,并將所述用戶登錄信息發(fā)送到所述應(yīng)用服務(wù)器20。在本實施方式中��,所述用戶登錄信息包括賬戶�、密碼以及標(biāo)識符。在步驟S102��,所述應(yīng)用服務(wù)器20接收來自所述服務(wù)裝置10的所述用戶登錄信息����。在步驟S104�����,所述應(yīng)用服務(wù)器20判斷所述服務(wù)裝置10是否在白名單中���。在本實施方式中,所述白名單存儲在所述應(yīng)用服務(wù)器20中�����,為IP列表或網(wǎng)段列表����。在本實施方式中�,所述應(yīng)用服務(wù)器20通過判斷所述服務(wù)裝置10的IP地址來確定所述服務(wù)裝置10是否在白名單中。若是����,則在步驟S106,所述應(yīng)用服務(wù)器20驗證所述用戶登錄信息是否有效���。若所述用戶登錄信息有效���,則在步驟S108��,所述應(yīng)用服務(wù)器20發(fā)放REST服務(wù)訪問令牌至服務(wù)裝置10���。在本實施方式中,所述REST服務(wù)訪問令牌包括用戶標(biāo)識��、到期時間以及加密的驗證碼��。在步驟SI 10,所述服務(wù)裝置10接收REST服務(wù)訪問令牌��,并發(fā)送REST請求�。請參閱圖4����,所示為本發(fā)明一實施方式中應(yīng)用服務(wù)器中REST服務(wù)驗證方法的流程圖在步驟S200,所述應(yīng)用服務(wù)器20接收來自所述服務(wù)裝置10的REST請求�����。在步驟S204��,所述應(yīng)用服務(wù)器20判斷所述服務(wù)裝置10是否在白名單中。在本實施方式中��,所述白名單存儲在所述應(yīng)用服務(wù)器20中�����,為IP列表或網(wǎng)段列表���。在本實施方式中��,所述應(yīng)用服務(wù)器20通過判斷所述服務(wù)裝置10的IP地址來確定所述服務(wù)裝置10是否在白名單中���。若是,則在步驟S206����,所述應(yīng)用服務(wù)器20獲取服務(wù)裝置10所發(fā)送的所述REST服務(wù)訪問令牌。在步驟S208���,所述應(yīng)用服務(wù)器20驗證所述REST服務(wù)訪問令牌是否有效����;若所述REST服務(wù)訪問令牌有效����,則在步驟S210,所述應(yīng)用服務(wù)器20返回請求數(shù) 據(jù)�����。在本實施方式中�����,所述應(yīng)用服務(wù)器20通過加密算法驗證所述REST服務(wù)訪問令牌是否有效��。本發(fā)明實施方式中的安全認(rèn)證機(jī)制的系統(tǒng)及其安全認(rèn)證的方法通過驗證所述用戶登錄信息的有效性以及服務(wù)裝置10是否在白名單中來確定是否發(fā)放REST服務(wù)訪問令牌�,在用戶發(fā)送REST請求來請求應(yīng)用服務(wù)器20上的數(shù)據(jù)時,驗證服務(wù)裝置10是否在白名單以及REST服務(wù)訪問令牌是否有效來確定是否返回請求數(shù)據(jù)�,在有效的提高了 REST架構(gòu)的安全性。雖然本發(fā)明參照當(dāng)前的較佳實施方式進(jìn)行了描述�,但本領(lǐng)域的技術(shù)人員應(yīng)能理解,上述較佳實施方式僅用來說明本發(fā)明����,并非用來限定本發(fā)明的保護(hù)范圍,任何在本發(fā)明的精神和原則范圍之內(nèi)��,所做的任何修飾��、等效替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明的權(quán)利保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種安全認(rèn)證機(jī)制的系統(tǒng)�,包括 服務(wù)裝置,用于接收用戶登錄信息��,并發(fā)送所述用戶登錄信息�����; 應(yīng)用服務(wù)器�����,包括 通信模塊����,用于接收所述用戶登錄信息; 判斷模塊����,用于判斷所述服務(wù)裝置是否在白名單中,且所述服務(wù)裝置在所述白名單時�,驗證所述用戶登錄信息是否有效;以及 令牌發(fā)放模塊��,用于在所述判斷模塊驗證所述用戶登錄信息有效時發(fā)送REST服務(wù)訪問令牌至服務(wù)裝置����,其中,所述服務(wù)裝置還用于接收所述REST服務(wù)訪問令牌后發(fā)送REST請求�����。
2.如權(quán)利要求I所述的安全認(rèn)證機(jī)制的系統(tǒng)����,其特征在于,其中所述通信模塊還用于接收來自所述服務(wù)裝置的REST請求�����,所述判斷模塊判斷所述服務(wù)裝置是否在白名單中����;所述通信模塊還用于在所述WEB服務(wù)是白名單中時獲取所述REST服務(wù)訪問令牌,所述判斷模塊還用驗證所述REST服務(wù)訪問令牌是否有效����;通信模塊還用于在所述REST服務(wù)訪問令牌有效時返回請求數(shù)據(jù)。
3.如權(quán)利要求I所述的安全認(rèn)證機(jī)制的系統(tǒng)�,其特征在于�,所述用戶登錄信息包括賬戶����、密碼以及標(biāo)識符。
4.如權(quán)利要求I或2所述的安全認(rèn)證機(jī)制的系統(tǒng)�����,其特征在于���,還包括存儲模塊���,用于存儲所述白名單,其中����,所述白名單為IP列表或網(wǎng)段列表。
5.如權(quán)利要求4所述的安全認(rèn)證機(jī)制的系統(tǒng)�,其特征在于,所述REST服務(wù)訪問令牌包括用戶標(biāo)識���、到期時間以及加密的驗證碼��。
6.如權(quán)利要求5所述的安全認(rèn)證機(jī)制的系統(tǒng)���,其特征在于����,所述判斷模塊通過加密算法驗證所述REST服務(wù)訪問令牌是否有效�。
7.一種安全認(rèn)證的方法���,用于服務(wù)裝置與應(yīng)用服務(wù)器之間進(jìn)行認(rèn)證����,包括 所述服務(wù)裝置接收用戶登錄信息��,并將所述用戶登錄信息發(fā)送到所述應(yīng)用服務(wù)器��; 所述應(yīng)用服務(wù)器接收來自所述服務(wù)裝置的所述用戶登錄信息����; 所述應(yīng)用服務(wù)器判斷所述服務(wù)裝置是否在白名單中; 若是���,則所述應(yīng)用服務(wù)器驗證所述用戶登錄信息是否有效����;以及若所述用戶登錄信息有效,則所述應(yīng)用服務(wù)器發(fā)放REST服務(wù)訪問令牌至所述服務(wù)裝置�����;以及 所述服務(wù)裝置接收到所述REST服務(wù)訪問令牌后發(fā)送REST請求�����。
8.如權(quán)利要求7所述的安全認(rèn)證的方法�,其特征在于,還包括 所述應(yīng)用服務(wù)器接收來自所述服務(wù)裝置的REST請求���; 所述應(yīng)用服務(wù)器判斷所述服務(wù)裝置是否在白名單中��; 若是���,則所述應(yīng)用服務(wù)器獲取所述REST服務(wù)訪問令牌,并驗證所述REST服務(wù)訪問令牌是否有效����; 若所述REST服務(wù)訪問令牌有效,則所述應(yīng)用服務(wù)器返回請求數(shù)據(jù)����。
9.如權(quán)利要求7所述的安全認(rèn)證的方法��,其特征在于�,所述用戶登錄信息包括賬戶�、密碼以及標(biāo)識符。
10.如權(quán)利要求7或8所述的安全認(rèn)證的方法��,所述白名單存儲在所述應(yīng)用服務(wù)器中�����,為IP列表或網(wǎng)段列表�����。
11.如權(quán)利要求10所述的安全認(rèn)證的方法�,所述REST服務(wù)訪問令牌包括用戶標(biāo)識�、到期時間以及加密的驗證碼。
12.如權(quán)利要求11所述的安全認(rèn)證的方法���,所述應(yīng)用服務(wù)器通過加密算法驗證所述REST服務(wù)訪問令牌是否有效����。
全文摘要
一種安全認(rèn)證機(jī)制的系統(tǒng)����,包括服務(wù)裝置�����,用于接收用戶登錄信息�����,并發(fā)送所述用戶登錄信息����;應(yīng)用服務(wù)器���,包括通信模塊�、判斷模塊以及令牌發(fā)放模塊�����,其中��,通信模塊接收所述用戶登錄信息����;判斷模塊判斷服務(wù)裝置是否在白名單中���,且服務(wù)裝置在白名單中時驗證用戶登錄信息是否有效;以及令牌發(fā)放模塊在判斷模塊驗證用戶登錄信息有效時發(fā)送REST(Representational State Transfer���,表述性狀態(tài)轉(zhuǎn)移)服務(wù)訪問令牌服務(wù)裝置���,其中,服務(wù)裝置還用于接收REST服務(wù)訪問令牌后發(fā)送REST請求��。本發(fā)明中的安全認(rèn)證機(jī)制的系統(tǒng)實現(xiàn)簡單�,具有非常高的效率與安全性。
文檔編號H04L29/06GK102904895SQ201210407858
公開日2013年1月30日 申請日期2012年10月23日 優(yōu)先權(quán)日2012年10月23日
發(fā)明者郭天良, 何洋 申請人:深圳市匯智集信息科技有限公司