專利名稱:資源隱藏與訪問控制支持的無狀態(tài)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)中的信息檢索,更具體地講��,涉及網(wǎng)站上一種控制訪問與隱藏資源結(jié)構(gòu)的方法�。
背景技術(shù):
與互聯(lián)網(wǎng)上的許多應(yīng)用一樣,萬維網(wǎng)使用客戶機(jī)/服務(wù)器模式����,向發(fā)布請(qǐng)求的最終用戶傳遞大量信息��。網(wǎng)絡(luò)服務(wù)器以網(wǎng)頁的形式傳播信息��。每一個(gè)網(wǎng)頁與一個(gè)稱為統(tǒng)一資源標(biāo)識(shí)符(URI)的特定的標(biāo)識(shí)符相關(guān)聯(lián)���。統(tǒng)一資源定位符(URL)是一種特定類型的URI�,其標(biāo)識(shí)通向服務(wù)器的網(wǎng)絡(luò)路徑,例如�,URL指定了資源的位置。URL是一種特殊的語法標(biāo)識(shí)符���,所述語法標(biāo)識(shí)符定義了通向具體信息的通信路徑��?�?蛻魴C(jī)可訪問的信息的每一個(gè)邏輯塊被稱為“頁”或“網(wǎng)頁”���,由URL標(biāo)識(shí)。URL提供尋找和訪問該信息的通用的��、一致的方法���,主要用于用戶的網(wǎng)絡(luò)瀏覽器����。瀏覽器是能夠把對(duì)數(shù)據(jù)的請(qǐng)求提交給數(shù)據(jù)源或服務(wù)器的程序����,所述數(shù)據(jù)源或服務(wù)器諸如客戶機(jī)機(jī)器上由URL所標(biāo)識(shí)的數(shù)據(jù)源�����。為了觀看網(wǎng)頁��,最終用戶可以使用眾多不同的瀏覽器應(yīng)用中的任何一種��,并且可以通過點(diǎn)擊或激活客戶機(jī)所顯示的網(wǎng)頁上的超鏈接(鏈接)����、按鈕�����、或其它東西啟動(dòng)一個(gè)請(qǐng)求����。用戶也可以通過進(jìn)入瀏覽器的入口字段中的URL啟動(dòng)一個(gè)請(qǐng)求。請(qǐng)求包括標(biāo)識(shí)位于網(wǎng)絡(luò)應(yīng)用服務(wù)器上的資源的URL����,但也可以包括其它信息����,以標(biāo)識(shí)客戶機(jī)或請(qǐng)求的特性����。
網(wǎng)絡(luò)客戶機(jī)的網(wǎng)絡(luò)瀏覽器和電子商務(wù)網(wǎng)站之間的通信基于HTTP(超文本傳送協(xié)議)�����,HTTP是人們所熟悉的協(xié)議�,用于處理諸如文本、靜態(tài)圖形圖像��、音頻���、移動(dòng)視頻等各種數(shù)據(jù)文件的傳送�。HTTP是一種無狀態(tài)協(xié)議���,意味著關(guān)于網(wǎng)絡(luò)客戶機(jī)的信息�,不在從一個(gè)請(qǐng)求到另一個(gè)請(qǐng)求間保持�����。
基于網(wǎng)絡(luò)的服務(wù)器負(fù)責(zé)維持跨越與來自客戶機(jī)的一系列相關(guān)的請(qǐng)求的狀態(tài)���。這樣的狀態(tài)被稱為會(huì)話��。會(huì)話管理允許網(wǎng)站記住不同請(qǐng)求之間的網(wǎng)絡(luò)客戶機(jī)�����。典型的�,把會(huì)話信息寫入“Cookie(庫吉)”中,或者寫入隱藏形式的字段中����,或者使用本領(lǐng)域中已知的URL重寫技術(shù)將其存儲(chǔ)在URL中?�!癈ookie”是一個(gè)數(shù)據(jù)對(duì)象��,被傳送于超文本傳送協(xié)議(“HTTP”)請(qǐng)求消息(當(dāng)請(qǐng)求對(duì)象時(shí)所使用)和響應(yīng)消息(當(dāng)提供所請(qǐng)求的對(duì)象時(shí)所使用)的報(bào)頭中的可變長(zhǎng)度的字段中����。通常,持久性地或在會(huì)話期間�����,把Cookie存儲(chǔ)在客戶機(jī)上����,該會(huì)話例如在客戶與某一在線商家進(jìn)行電子購物交互期間���。Cookie存儲(chǔ)了服務(wù)器應(yīng)用希望記住的關(guān)于某一特殊客戶機(jī)的某些數(shù)據(jù)��。這可以包括客戶機(jī)身份��、會(huì)話參數(shù)�����、用戶偏好����、會(huì)話狀態(tài)信息等,就像本領(lǐng)域技術(shù)人員所認(rèn)識(shí)到的那樣��。
內(nèi)容提供商可能希望防止他人過濾出�、裁剪或者篡改服務(wù)于他們的網(wǎng)頁的內(nèi)容,或者防止提取或收集想得到的內(nèi)容�。例如,通過在URI模式上進(jìn)行過濾�,用戶可以封鎖諸如廣告的某些類型的內(nèi)容,所述廣告維持著向訪問網(wǎng)站的用戶提供具有信息的網(wǎng)頁的成本��。因?yàn)檫@種承諾支付成本的方法需要完整性(integrity),因此提供商的內(nèi)容必須被觀看���。
網(wǎng)絡(luò)服務(wù)器可以利用會(huì)話改變各網(wǎng)頁的內(nèi)容����,所述網(wǎng)頁由依賴于服務(wù)器內(nèi)部狀態(tài)的同一URL所標(biāo)識(shí)���。盡管可以使用會(huì)話控制對(duì)網(wǎng)站的訪問���,但服務(wù)器必須維持所有會(huì)話的狀態(tài)。對(duì)于某些應(yīng)用來說����,讓服務(wù)器做到這一點(diǎn)可能是不可行的,因?yàn)樵跁?huì)話期間�����,必須把會(huì)話數(shù)據(jù)存儲(chǔ)在服務(wù)器上�����??梢园袰ookie用來進(jìn)行無會(huì)話訪問控制����,但是它們不能在所有情況下被依賴于用于維持跨越多種網(wǎng)絡(luò)事務(wù)處理(transaction)類型的應(yīng)用狀態(tài)信息的主要手段���。首先����,在網(wǎng)絡(luò)客戶機(jī)計(jì)算機(jī)或其它客戶機(jī)設(shè)備上對(duì)Cookie進(jìn)行存儲(chǔ)和檢索�。然而����,某些客戶機(jī)設(shè)備可能不能夠存儲(chǔ)Cookie。這些包括無線普及性設(shè)備(pervasive device)(諸如�����,網(wǎng)絡(luò)電話����、個(gè)人數(shù)字助理或“PDA”等),它們可以通過使用無線會(huì)話協(xié)議(“WSP”)的無線通信協(xié)議(“WAP”)網(wǎng)關(guān)訪問互聯(lián)網(wǎng)���。WSP不支持Cookie���。
在其中可望共享或從一個(gè)實(shí)體向另一個(gè)實(shí)體傳輸一個(gè)URL的情況下�����,基于Cookie的系統(tǒng)不能夠進(jìn)行無會(huì)話訪問控制�。在基于Cookie的系統(tǒng)中�,不能夠僅由一個(gè)URL,而是通過由一個(gè)URL和一個(gè)Cookie組成的對(duì)來標(biāo)識(shí)某些資源��。由于該URL和Cookie對(duì)��,不能夠通過簡(jiǎn)單地共享或電子地從一方向另一方傳送一個(gè)URL��,而簡(jiǎn)單地授予對(duì)某一具體資源的無會(huì)話訪問權(quán)��。
因此���,申請(qǐng)人認(rèn)為��,存在在網(wǎng)站上隱藏資源與/或?qū)Y源的訪問進(jìn)行控制的一種無狀態(tài)方法的需求�����。
發(fā)明內(nèi)容
本發(fā)明對(duì)現(xiàn)有技術(shù)進(jìn)行了改進(jìn)���,并且消除了許多與現(xiàn)有技術(shù)相關(guān)的問題�����,包括�,但不局限于以上所討論的問題���。根據(jù)以下權(quán)利要求所闡述的特性����,可以完成本發(fā)明的目的及優(yōu)點(diǎn)���。
本發(fā)明提供了一種方法與裝置,用于響應(yīng)來自客戶機(jī)的資源請(qǐng)求�,在資源提供商服務(wù)器上提供對(duì)于資源的受控的訪問,其中���,資源請(qǐng)求包括統(tǒng)一資源標(biāo)識(shí)符(URI)�,所述URI具有加密的部分���。本發(fā)明的方法使用預(yù)先確定的密鑰對(duì)加密的部分進(jìn)行解密���,以獲得解密的段���。從解密的段中提取附加信息,然后驗(yàn)證附加信息��。該附加信息可以為支持完整性�、訪問控制、會(huì)話管理與/或具有專門目的的應(yīng)用的數(shù)據(jù)��。該方法導(dǎo)出一個(gè)至少具有解密的段的一部分的解密的URI��,并且把解密的URI發(fā)送至資源制造商服務(wù)器����。
本發(fā)明的方法還可以包括響應(yīng)于請(qǐng)求,從資源制造商服務(wù)器接收資源����。資源可以包括一個(gè)或多個(gè)具有一個(gè)透明段和一個(gè)不透明段的未加密的URI。該方法可以至少對(duì)不透明段的一部分進(jìn)行加密�����,并且可以形成具有透明段和加密的部分的加密的URI����。然后�,可以把加密的段發(fā)送至客戶機(jī)�。
在另一方面,本發(fā)明還旨在提供一種能夠?qū)ν獠抠Y源制造商服務(wù)器進(jìn)行受控訪問的服務(wù)的方法�。根據(jù)該方面,響應(yīng)于來自客戶機(jī)的訪問資源的請(qǐng)求���,本發(fā)明判斷是否滿足一個(gè)或多個(gè)事務(wù)處理要求�����,如果滿足�����,則該方法創(chuàng)建響應(yīng)于該請(qǐng)求的統(tǒng)一資源標(biāo)識(shí)符(URI)。該URI包括預(yù)先確定的數(shù)據(jù)和預(yù)先確定的結(jié)構(gòu)�����。本發(fā)明還對(duì)URI的至少一部分進(jìn)行加密��,并且響應(yīng)于該請(qǐng)求�����,發(fā)送這一具有加密的部分的URI。于是��,客戶機(jī)能夠獲得對(duì)外部資源制造商服務(wù)器的訪問�����,所述外部資源制造商服務(wù)器可以是與提供具有加密信息的URI的服務(wù)提供商分離的實(shí)體�。
在其它方面,還可把本發(fā)明體現(xiàn)為一種機(jī)器可讀的計(jì)算機(jī)程序產(chǎn)品或程序存儲(chǔ)設(shè)備�����,明確體現(xiàn)為可由機(jī)器加以執(zhí)行的指令的程序���,以執(zhí)行上述發(fā)明方法�����。
通過以下對(duì)本發(fā)明的說明性實(shí)施例的詳細(xì)的描述��,并結(jié)合附圖閱讀這一描述����,本發(fā)明的這些及其它目的、特性與優(yōu)點(diǎn)將會(huì)變得十分明顯��。
圖1是一個(gè)流程圖����,說明了根據(jù)本發(fā)明的用于對(duì)URI的一部分進(jìn)行編碼的優(yōu)選實(shí)施例;圖2是一個(gè)流程圖����,說明了根據(jù)本發(fā)明的用于對(duì)URI的一部分進(jìn)行解碼的優(yōu)選實(shí)施例;圖3示意性地說明了本發(fā)明的優(yōu)選實(shí)施例如何運(yùn)作�����;圖4說明了把本發(fā)明表現(xiàn)為一個(gè)服務(wù)的另一個(gè)優(yōu)選實(shí)施例����。
具體實(shí)施例方式
現(xiàn)在,將描述本發(fā)明的一些優(yōu)選實(shí)施例��。以下旨在提供對(duì)本發(fā)明的實(shí)例的詳細(xì)的描述��,而不應(yīng)該視為對(duì)本發(fā)明本身的限制����。更確切地說,任何數(shù)量的變化均可落入本發(fā)明的范圍���,在此描述之后的權(quán)利要求中定義了本發(fā)明的范圍�。
首先�����,為了幫助描述本發(fā)明�����,將解釋統(tǒng)一資源標(biāo)識(shí)符(URI)的某些已知的方面及其它們的結(jié)構(gòu)�����。如本領(lǐng)域所共知���,URL是URI的一種類型����,通過資源的網(wǎng)絡(luò)位置的表示來標(biāo)識(shí)資源����。URI是一個(gè)壓縮的字符串���,提供了用于在網(wǎng)絡(luò)上標(biāo)識(shí)資源的可擴(kuò)展手段。RFC 2396中規(guī)定了URI的語法和語義���,所述RFC 2396是Internet工程任務(wù)組(IETF)在http//www.ietf.org上所發(fā)表的一個(gè)規(guī)范����。RFC 2396規(guī)范定義了針對(duì)所有URI的類屬語法���。在以下的描述中����,我們把URL作為本發(fā)明的方法要解決的資源標(biāo)識(shí)的例子來討論�����。盡管將通過實(shí)例的方式來使用“http”URI方案����,但也可以把本發(fā)明應(yīng)用于其它方案,諸如ftp�����、nfs���、afs��、dav���、mailto、rtsp����、pnm、soap.beep等�����。在各種規(guī)范中�,即互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(IANA)所維護(hù)的官方列表中,給出了針對(duì)不同方案的格式�。URI方案的IANA注冊(cè)簿可得于網(wǎng)絡(luò),網(wǎng)址為<http//www.iana.org/assignments/uri-schemes>���。
在http的情況下�����,在IETF規(guī)范RFC 2616中描述了這一方案的格式(可得于網(wǎng)絡(luò)���,網(wǎng)址為<http//www.ietf.org/rfc/rfc2616.txt>)���。即,對(duì)于http���,把結(jié)構(gòu)<scheme><scheme-specific-part>指定為http//<host>[<port>][<abs_path>[��?<query>]]�,其中�,在本技術(shù)領(lǐng)域中眾所周知,<host>指的是網(wǎng)絡(luò)主機(jī)的域名或其IP地址����;<port>指的是對(duì)于服務(wù)器的網(wǎng)絡(luò)端口號(hào)。<abs path>部分指的是絕對(duì)地址參照��,其可以為一個(gè)以單斜線字符(“/”)開始的相對(duì)參照����,<query>成份為一個(gè)將由資源加以解釋的信息串����。以[]加以標(biāo)記的部分不是必須的�����。
對(duì)于每一個(gè)協(xié)議而言����,均存在相應(yīng)的URI語法���。這些協(xié)議的具體定義均具有這樣的事實(shí)它們由一個(gè)必須透明的部分和一個(gè)可以不透明的部分組成����,所述不透明的部分例如僅需由服務(wù)器加以了解����。在HTTP的情況下,透明部分是http//<host>[<port>]��,并且包含協(xié)議�、主機(jī)以及端口,因?yàn)樗鼈冃枰颜?qǐng)求提交于主機(jī)服務(wù)器��。URI的其余部分,例如對(duì)于http方案的[<abs_path>[���?<query>]]����,可以被稱為不透明部分���,因?yàn)閷?duì)于正確提交請(qǐng)求而言����,不需要這一部分�,而且這一部分僅由主機(jī)服務(wù)器加以解釋。
因此���,URI具有人工可讀的層次結(jié)構(gòu)�����,盡管這一結(jié)構(gòu)的資源部分�,例如查詢組件�,通常相應(yīng)于可以定位的資源的服務(wù)器上的一個(gè)目錄結(jié)構(gòu)。對(duì)于到指示目錄結(jié)構(gòu)和與其對(duì)應(yīng)的資源的網(wǎng)頁的一組URI或超鏈接�,可以以例如下面的形式出現(xiàn)http//www.site.com/resources/2004/paper2.pdfhttp//www.site.com/adv/images/cjdfrwejpghttp//www.site.com/pages/page2.html如以上的例子中所說明的����,由于URI是人工可讀的�����,所以資源的這一層次結(jié)構(gòu)可顯而易見�。
本發(fā)明提供了一種方法和計(jì)算機(jī)實(shí)現(xiàn)的指令����,用于基于URI的加密,提供對(duì)于網(wǎng)站的無狀態(tài)資源隱藏和對(duì)訪問控制的支持����。該方法使用與密碼措施相結(jié)合的無狀態(tài)動(dòng)態(tài)URI重寫。根據(jù)本發(fā)明�����,提供了一種其中可由服務(wù)器對(duì)URI的不透明部分進(jìn)行加密的方法�����。例如�����,在http的情況下����,該方法提供了對(duì)<abs_path>����、<query>與/或可能的附加信息的至少一部分的加密�。
在本發(fā)明以下的描述中,我們把http URI方案作為一個(gè)例子���。本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到�,可以把我們的方法與所有包含不透明部分(例如���,ftp�、nfs�、afs、dav����、mailto、rtsp、pnm����、soap.beep等)的URI方案一起使用。
現(xiàn)在參照附圖���,圖1是一個(gè)流程圖�����,描述了一種用于根據(jù)本發(fā)明的優(yōu)選實(shí)施例對(duì)URI的至少一部分進(jìn)行編碼的方法�。如圖1中所示��,方法10由接收URI20開始����,例如以URL語法為例http//<host>[<port>][<abs_path>[���?query]]��。URI20被分離或提取為透明部分40和不透明部分50�。根據(jù)20中的例子URI��,可以把透明部分(或<transparentpart>)40表示為http//<host>[<port>]��,并且可以把不透明部分50表示為[<abs_path>[?<query>]]���。如塊60中所示��,可以把不透明部分50與附加信息70加以組合��,所述附加信息70可以包括例如客戶機(jī)的網(wǎng)際協(xié)議(IP)地址���、時(shí)間標(biāo)記(timestamp)、使用期限�����、幻數(shù)���、造詞(nonce)���、順序計(jì)數(shù)器、哈希值�����、確保完整性的平均值(means)、或本領(lǐng)域技術(shù)人員將意識(shí)到的其它具體應(yīng)用信息等��。不透明部分50和附加信息70的組合優(yōu)選地導(dǎo)致50和70以標(biāo)準(zhǔn)化串的格式寫入���,在圖1中�,將這一組合稱為<不透明部分+信息>80���。
可以使用加密算法90以及使用加密密鑰100對(duì)<opaque part+info>(不透明部分+信息)80或者其某一部分進(jìn)行加密�����,以形成<encrypted part>(加密的部分)110��。本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到���,可以使用多種工業(yè)標(biāo)準(zhǔn)或非標(biāo)準(zhǔn)的加密算法中的任何一種�����,對(duì)<opaque part+info>(不透明部分+信息)80中的全部或部分字符串進(jìn)行加密�����。盡管為了隱藏資源和URI中的其它支持信息(以下將對(duì)此加以討論)可以對(duì)整個(gè)串<opaque part+info>(不透明部分+信息)進(jìn)行加密,然而本發(fā)明的這一方法也可以對(duì)URI的該部分的某一部分進(jìn)行加密����。
可以對(duì)<encrypted part>(加密的部分)進(jìn)行URI編碼120,以形成<encrypted encoded part>(加密的編碼部分)140�����。URI編碼120確保加密的部分110在語法上是正確的�����,并且其符合URI規(guī)范���;例如����,塊120對(duì)不應(yīng)處于URI中的字符進(jìn)行編碼���。在塊130中�����,<encrypted encoded part>(加密的編碼部分)140與<transparent part>(透明部分)40組合�,以構(gòu)造一個(gè)按所希望的那樣進(jìn)行編碼的URI 150。因此����,如圖1中的例子所說明的,將URI從如在塊20中出現(xiàn)的結(jié)構(gòu)http//<host>[<port>[<abs_path>[�?<query>]]編碼到如在塊150中出現(xiàn)的結(jié)構(gòu)http//<host>[<port>][<encodedURL>]。更一般地講���,對(duì)于被表示為<scheme>(方案)<scheme-specific-part>(方案-具體-部分)的任何URI���,參照?qǐng)D1所描述的本發(fā)明的方法可以對(duì)<scheme-specific-part>的一個(gè)或多個(gè)部分進(jìn)行加密。
因此�,本發(fā)明的方法可以有效地隱藏通向資源的路徑,與/或可以允許防止向URI篡改性地添加任意信息�。例如,可以使用附加信息支持對(duì)資源的訪問控制��,以下將對(duì)此更詳細(xì)地加以解釋��。
現(xiàn)在參照?qǐng)D2��,當(dāng)服務(wù)器接收到一個(gè)請(qǐng)求�,而且該請(qǐng)求具有一個(gè)如以上所描述的已經(jīng)加密的URI時(shí)���,可以執(zhí)行下列程序���,以確定或解碼<abs_path>��、<query>與/或可以被與其一起編碼的任何附加信息���。在塊200處開始,接收編碼的URI���,其中����,編碼的URI以下述為例http//<host>[<port>][<encodedURL>]��。應(yīng)該注意的是�,這里被稱為[<encodedURL>]的部分可以被部分地或全部地進(jìn)行編碼。
在塊210處�,可以如以下更詳細(xì)地加以討論的,對(duì)編碼的URI的完整性加以驗(yàn)證����,然后提取編碼的URI的透明部分220和不透明部分230。以http//<host>[<port>]作為圖2中的例子中的透明部分220的例子����,以<encodedencrypted part>(編碼的加密部分)230作為不透明部分230的例子���。在塊240中,對(duì)不透明部分230進(jìn)行驗(yàn)證���,并且對(duì)其進(jìn)行URI解碼�,以形成<encryptedpart>(加密的部分)250�����。
在塊270處�,使用解密密鑰(“密鑰*”)260對(duì)<encrypted part>(加密的部分)250進(jìn)行解密。密鑰*260用于對(duì)由加密密鑰100所加密的信息進(jìn)行解密�,在前面已經(jīng)參照?qǐng)D1進(jìn)行了描述。繼續(xù)參照?qǐng)D2��,塊270中解密的結(jié)果為URI的解密的部分280�,以<opaque part+info>(不透明部分+信息)為例。在塊290中����,可以如以上所討論的,對(duì)解密的部分280進(jìn)行驗(yàn)證�����。在塊290中�,可以把解密的部分280劃分成<opaque part>(不透明部分)300和附加信息310,其中����,附加信息310可以包括IP地址、時(shí)間標(biāo)記與/或訪問控制信息���,或者如上述關(guān)于附加信息70的其它信息�����。
在塊320處���,使用<opaque part>(不透明部分)300和<transparent part>(透明部分)220形成有效的URI 330。應(yīng)該加以注意的是�����,根據(jù)圖1對(duì)其進(jìn)行加密和編碼的以http//<host>[<port>][<abs_path>[����?<query>]]20為例的URI與根據(jù)圖2進(jìn)行解密和解碼的URI 330相對(duì)應(yīng)����?����?梢园堰@一URI 330傳遞給網(wǎng)絡(luò)服務(wù)器���,以檢索URI中所標(biāo)識(shí)的資源��。
在圖2中��,塊210��、240與/或290還可以執(zhí)行對(duì)URI或其一部分的驗(yàn)證����,以確保該串未被篡改����。例如,驗(yàn)證可以包括判斷URI的資源部分是否被例如通過用戶有選擇地加以改變����,或者判斷URI是否被誤用于獲得不適當(dāng)?shù)脑L問����,或者判斷是否由某一不希望或未經(jīng)授權(quán)的諸如機(jī)器人程序(robot)的實(shí)體�����,對(duì)某些內(nèi)容進(jìn)行了提取或收集����。附加信息310還可以包括對(duì)URI或其一部分的完整性或真實(shí)性進(jìn)行驗(yàn)證的數(shù)據(jù)����。例如,附加信息310可以包括幻數(shù)���、順序計(jì)數(shù)器或者如上所述有關(guān)附加信息70的其它信息���。本領(lǐng)域技術(shù)人員將意識(shí)到,可以按各種方式使用幻數(shù)���,例如指示所解密的信息是否呈所要求的或所期望的形式����。順序計(jì)數(shù)器隨相繼的請(qǐng)求不斷增加,并且可用于確定請(qǐng)求的總數(shù)�。
上述URI加密方案可以提供資源隱藏以及一種用于向URI中添加附加信息的抗篡改方法。隱藏通向所請(qǐng)求的資源的路徑�����,有效地防止了利用URI匹配�,通過常規(guī)表達(dá)式對(duì)網(wǎng)絡(luò)內(nèi)容進(jìn)行所不希望的裁減。如本領(lǐng)域技術(shù)人員將意識(shí)到的�,可以使用常規(guī)表達(dá)式描述諸如URI的串中的模式。然而�����,根據(jù)本發(fā)明已經(jīng)加密的URI除了URI的主機(jī)名稱部分外��,不具有可加以匹配的明顯的模式����,從而隨每個(gè)請(qǐng)求而不同;從而防止了所不希望的通過使用URI匹配裁減網(wǎng)絡(luò)內(nèi)容的努力�����。對(duì)網(wǎng)絡(luò)內(nèi)容的所不希望的裁減的例子包括內(nèi)容的提取與收集,以及廣告的濾出����。
向URI抗篡改地添加附加信息,可以用于許多目的���。一個(gè)目的是為所請(qǐng)求的資源上的訪問控制提供支持��。例如,可以使用添加于URI上的壽命值����,以控制在一個(gè)有限的時(shí)間量?jī)?nèi)資源的可訪問性。也可把源網(wǎng)際協(xié)議(IP)地址或源IP地址的范圍添加到URI上�,用于控制從何處可訪問資源。另外�����,抗篡改URI防止了對(duì)其它有效URI的試探����,因?yàn)椴僮鬟^程可自動(dòng)地使該URI無效。于是���,可以應(yīng)用本發(fā)明��,以使得不能夠?yàn)楫a(chǎn)生一個(gè)不同的����、有效的URI而修改某一有效的URI。
有利的是����,可以在網(wǎng)絡(luò)服務(wù)器上容易地實(shí)現(xiàn)本發(fā)明的方法,而無需改變每個(gè)網(wǎng)絡(luò)應(yīng)用���。本發(fā)明適合已知的客戶機(jī)軟件和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施�����。而且���,在服務(wù)器側(cè),本發(fā)明所述的方法為無狀態(tài)的��。本發(fā)明的這一方面能夠使本發(fā)明的方法容易地得以實(shí)現(xiàn)�、較少地使用資源、以及易于達(dá)到負(fù)載平衡(因?yàn)椴淮嬖跔顟B(tài)共享)�����。
另外,與要求使用cookie的現(xiàn)有技術(shù)的方法相反���,可以容易地把根據(jù)本發(fā)明方法的包含編碼的與/或抗篡改信息的URI從一個(gè)實(shí)體傳遞到另一個(gè)實(shí)體��,諸如通過電子郵件�、即時(shí)消息等����。取代需要URI和cookie兩者來標(biāo)識(shí)資源(如在基于cookie的系統(tǒng)中),本發(fā)明的方法能夠僅通過已經(jīng)對(duì)其加以編碼的與/或已經(jīng)將其與抗篡改信息加以組合的URI�,對(duì)資源加以標(biāo)識(shí)��,實(shí)現(xiàn)無會(huì)話訪問控制�����。
本發(fā)明的另一個(gè)方面涉及對(duì)隱私權(quán)的保護(hù)���。例如�,已知網(wǎng)絡(luò)操作員和其他中間人有能力記錄對(duì)服務(wù)器的所有訪問的細(xì)節(jié)�。根據(jù)本發(fā)明已經(jīng)對(duì)其進(jìn)行加密的URI的登錄并非是有效的���,因?yàn)榘裊RI的有層次的、人工可讀的結(jié)構(gòu)轉(zhuǎn)換成了平的��、隨機(jī)化的結(jié)構(gòu)�,而平的、隨機(jī)化的結(jié)構(gòu)隱藏和保護(hù)了某些信息�,即某一實(shí)體可能不希望將它們暴露于其它實(shí)體的某些信息。
現(xiàn)在參照?qǐng)D3�����,可以把本發(fā)明的一個(gè)實(shí)施例作為網(wǎng)絡(luò)服務(wù)器模塊400加以實(shí)現(xiàn)���,其中��,網(wǎng)絡(luò)服務(wù)器模塊400可以對(duì)URI進(jìn)行加密和解密���,而且對(duì)網(wǎng)絡(luò)內(nèi)容的提供商和消費(fèi)者來說都是透明的。
當(dāng)網(wǎng)絡(luò)服務(wù)器410使用加密的URI從客戶機(jī)430接收到請(qǐng)求420時(shí)��,根據(jù)上述關(guān)于圖2的方法���,對(duì)該URI進(jìn)行解密/解碼440���?�?梢詫?duì)加密的URI進(jìn)行額外的驗(yàn)證(未示出)�,并且可以隨任何附加信息450將其傳遞給適當(dāng)?shù)奶幚沓绦?60�����。該處理程序(handler)460�,可以是網(wǎng)絡(luò)應(yīng)用,可以使用附加信息�����,用來進(jìn)行訪問控制或者用于裁剪網(wǎng)絡(luò)內(nèi)容����。根據(jù)該實(shí)施例���,處理請(qǐng)求的應(yīng)用460不需要知道正在執(zhí)行本發(fā)明的URI加密方法�����。
在將客戶機(jī)請(qǐng)求420的處理程序460所創(chuàng)建的響應(yīng)470傳遞480給請(qǐng)求客戶機(jī)430之前����,可以由網(wǎng)絡(luò)服務(wù)器410中的模塊400進(jìn)行處理。通過例3中的方法����,響應(yīng)470可以呈其中嵌入了一個(gè)或多個(gè)URI的HTML頁面的形式?��?梢愿鶕?jù)某種可配置策略�����,優(yōu)選地使用上述關(guān)于圖1的方法�����,在490和500從響應(yīng)470中提取出響應(yīng)470中所找到的一個(gè)或多個(gè)URI的一個(gè)或多個(gè)部分�����,并且由模塊400對(duì)它們進(jìn)行加密/編碼510���。
應(yīng)該理解,此處使用術(shù)語“URI加密”和“加密的URI”是為了方便和簡(jiǎn)潔地參照上面參照?qǐng)D1和2所描述的方法的各個(gè)方面���,從而由<sheme><scheme-specific-part>所代表的URI��,可以具有加密的和編碼的(圖1)或解密的和解碼的(圖2)的<scheme-specific-part>的一個(gè)或多個(gè)部分���。
根據(jù)本發(fā)明的一個(gè)可選的實(shí)施例����,可以使產(chǎn)生所服務(wù)的內(nèi)容的網(wǎng)絡(luò)應(yīng)用知道URI加密的技術(shù)����,并且可以獨(dú)立于網(wǎng)絡(luò)服務(wù)器對(duì)所希望的URI進(jìn)行加密和解密。應(yīng)用本身可以執(zhí)行加密和解密���,或可以將其發(fā)送至其應(yīng)用服務(wù)器中的一個(gè)附加的專門化的功能��,或者利用執(zhí)行本發(fā)明的方法的專門化的工具或API�。
根據(jù)本發(fā)明的另一個(gè)實(shí)施例��,可以把本發(fā)明表征為如圖4中所說明的服務(wù)����。本發(fā)明使服務(wù)提供商600可以把加密的URI作為電子票據(jù)提供給某些資源��,所述某些資源由資源提供商實(shí)體610分別加以提供。例如�����,資源提供商實(shí)體可以提供通過對(duì)URI的使用而可得到的任意種類的資源�����,諸如網(wǎng)頁��、數(shù)據(jù)文件��、音樂��、圖像�、流媒體等。服務(wù)提供商600��,例如經(jīng)紀(jì)人或銷售商���,可以針對(duì)某種費(fèi)用或者作為資源提供商實(shí)體610利益的商業(yè)提供物的一部分��,發(fā)布電子票據(jù)����。電子票據(jù)可以包括對(duì)于提供訪問的資源與/或要被授予訪問權(quán)的用戶所需的所有信息。例如包括發(fā)行和有效時(shí)間可以把這些信息包括在URI的加密的部分中�,如從以上的描述所見,所述URI可以包括與訪問控制相關(guān)的附加信息����,例如70和310。由于對(duì)該信息進(jìn)行了加密���,所以其被隱藏����,并且是抗篡改的�,而且它阻止用戶或未經(jīng)授權(quán)的實(shí)體對(duì)其進(jìn)行修改。
根據(jù)本發(fā)明的該實(shí)施例��,可以在電子票據(jù)中提供所有必要的信息����。因此,不必把票據(jù)600的發(fā)布者與把訪問權(quán)授予給定資源的網(wǎng)絡(luò)服務(wù)器610相連����。例如�,銷售者���、經(jīng)紀(jì)人或者其他服務(wù)提供商600可以與購買或者請(qǐng)求630訪問對(duì)在內(nèi)容提供商或資源提供商的網(wǎng)絡(luò)服務(wù)器610上可得的某一具體資源進(jìn)行訪問的買主620或者用戶進(jìn)行交互。服務(wù)提供商或者經(jīng)紀(jì)人可以通過提供根據(jù)上述方法對(duì)其加密的URI�,來在640響應(yīng)請(qǐng)求或者購買?��?梢越?jīng)由多種已知的方法中的任何一種方法�����,例如通過供應(yīng)網(wǎng)頁����,或者經(jīng)由電子郵件�����、即時(shí)消息�����、SMS(短信)等���,容易地把URI在640傳達(dá)給請(qǐng)求者620���。加密的URI可以包括例如在具體的時(shí)間�����、根據(jù)具體的服務(wù)級(jí)別����、與/或按可加以裁剪的具體方式���,把對(duì)一個(gè)或多個(gè)具體的資源的訪問權(quán)授予諸如無線或滲透式計(jì)算設(shè)備的客戶機(jī)設(shè)備的信息�。
當(dāng)在外部資源制造商服務(wù)器610上接收對(duì)資源的訪問請(qǐng)求630之后��,服務(wù)提供商600(或者“電子票據(jù)發(fā)布者”)可以首先判斷是否已經(jīng)滿足了任何事務(wù)處理要求��。事務(wù)處理要求可能涉及付費(fèi)與/或管理請(qǐng)求者620是否可以訪問服務(wù)提供商600與/或610處的資源的其它要求��。例如��,服務(wù)提供商600可以與請(qǐng)求者620進(jìn)行交互��,以接收支付����,或者可以判斷是否已經(jīng)付費(fèi)或所請(qǐng)求的訪問是否需要付費(fèi)����。服務(wù)提供商600還包括一個(gè)或多個(gè)用于為資源供應(yīng)客戶機(jī)請(qǐng)求和在某一數(shù)據(jù)存儲(chǔ)設(shè)備(未示出)中存儲(chǔ)事務(wù)處理細(xì)節(jié)的供應(yīng)過程(未示出)���。
然后,電子票據(jù)發(fā)布者600可以使用預(yù)先確定的密鑰創(chuàng)建URI�����,該URI具有預(yù)先確定的結(jié)構(gòu)��,隨后客戶機(jī)620可以使用這一預(yù)先確定的結(jié)構(gòu)在650請(qǐng)求資源提供商610處的資源670��。服務(wù)提供商600和資源提供商610所使用的預(yù)先確定的密鑰���,既可以是對(duì)稱的密鑰也可以是非對(duì)稱的密鑰(例如���,分別參見圖1和2中的密鑰100和260)。于是��,如果服務(wù)提供商600向請(qǐng)求者620在640發(fā)布加密的URI�,所述請(qǐng)求者620之后使用該URI尋求對(duì)資源制造商服務(wù)器610處的資源670的訪問650���,則資源制造商610可以使用預(yù)先確定的密鑰對(duì)該URI進(jìn)行解密。
可以用服務(wù)提供商600和資源制造商610在660預(yù)先確定URI的結(jié)構(gòu)和加密密鑰�,以致資源制造商可以驗(yàn)證已經(jīng)滿足某些要求。例如�,預(yù)先確定的結(jié)構(gòu)可以包括指示,所述指示為請(qǐng)求者已經(jīng)為對(duì)資源的訪問付費(fèi)�����,或者請(qǐng)求者至少為18歲�����;或者請(qǐng)求者可以在一個(gè)指定的時(shí)間周期獲得對(duì)資源的訪問���;或者已經(jīng)指定了具體的服務(wù)級(jí)別等�����。通常��,在服務(wù)提供商600向請(qǐng)求者620在640發(fā)布電子票據(jù)之前���,在經(jīng)紀(jì)人600和資源提供商610之間安排660密鑰和結(jié)構(gòu)的具體內(nèi)容���。URI的預(yù)先確定的結(jié)構(gòu)可以更普遍地包括預(yù)先確定的支持完整性、訪問控制����、會(huì)話管理、與/或具有專門目的的應(yīng)用的數(shù)據(jù)�����。
如果把地址賦予了受保護(hù)的資源�����,則服務(wù)提供商600根據(jù)此處所公開的本發(fā)明的方法���,創(chuàng)建加密的URI。然后��,服務(wù)提供商600向請(qǐng)求者620發(fā)送或發(fā)布640該加密的URI�。
在接收到這一加密的URI之后,用戶620可以選擇��、點(diǎn)擊���、或者激活該URI�����,所述URI提供了對(duì)在資源提供商服務(wù)器610處可得的某些所希望的內(nèi)容或資源的鏈接�����。根據(jù)本發(fā)明的該方面����,對(duì)資源的訪問進(jìn)行授權(quán)的網(wǎng)絡(luò)服務(wù)器610不需要具有與在640發(fā)布加密的URI的服務(wù)提供商實(shí)體600的直接的鏈接。資源提供商610可以獨(dú)立地對(duì)URI進(jìn)行解密���、判斷是否可以授予訪問權(quán)��、驗(yàn)證包含在URI中的信息�、與/或可以在向請(qǐng)求者620供應(yīng)資源之前�����,根據(jù)上述本發(fā)明的方法有選擇地對(duì)URI進(jìn)行加密��。例如,資源提供商610優(yōu)選地使用與以上所討論的由對(duì)URI進(jìn)行加密的實(shí)體600所使用的方案相對(duì)應(yīng)的密鑰�、或者加密或解密方案。從而�����,經(jīng)紀(jì)人或服務(wù)提供商600和資源提供商610可以建立服務(wù)關(guān)系660��,其中����,把電子票據(jù)的供應(yīng)640與資源的服務(wù)670相分離。
在另一個(gè)實(shí)施例中�����,內(nèi)容提供商服務(wù)器可以使用本發(fā)明����,以支持對(duì)自動(dòng)裝置或其它入侵者的檢測(cè)���。例如���,通過各種實(shí)體在互聯(lián)網(wǎng)上使用機(jī)器人程序以自動(dòng)地重復(fù)諸如瀏覽網(wǎng)站以及下載其內(nèi)容的工作。由于機(jī)器人程序的行為類似于其他���、正規(guī)用戶的行為����,所以難以檢測(cè)到它們。內(nèi)容提供商可以通過把一個(gè)隱藏的“污點(diǎn)”編碼于其URI中以支持自動(dòng)裝置檢測(cè)而使用本發(fā)明�。根據(jù)本發(fā)明,把污點(diǎn)包含于所加密的URI中��,從而使其可以把多個(gè)源自同一網(wǎng)頁的請(qǐng)求相關(guān)聯(lián)�����,即使客戶機(jī)使用多個(gè)IP地址���。
在另一個(gè)實(shí)施例中�,可以把本發(fā)明的方法用于向URI添加抗篡改參數(shù)���。向URI添加的有用的參數(shù)是所請(qǐng)求的資源的期滿時(shí)間����。通過對(duì)添加于URI的參數(shù)進(jìn)行加密��,資源提供商可以在有限的時(shí)間量?jī)?nèi)把對(duì)某些內(nèi)容的訪問權(quán)賦予客戶。如果請(qǐng)求者在期滿時(shí)間或日期過后試圖使用具有加密的參數(shù)的URI訪問資源�,則本發(fā)明的方法可用于對(duì)URI參數(shù)進(jìn)行解密,對(duì)其進(jìn)行有效性檢查�,以及拒絕訪問。作為選擇��,資源提供商服務(wù)器可以把請(qǐng)求者重新導(dǎo)向可選網(wǎng)頁��,從而給予請(qǐng)求者購買更長(zhǎng)訪問權(quán)的機(jī)會(huì)���。
本發(fā)明還可有助于確保對(duì)資源的公平使用��,所述資源是使用本發(fā)明的URI加密方法�����、以某種受控的方式加以供應(yīng)的�。例如����,如果客戶購買了對(duì)某些資源的訪問權(quán)����,例如對(duì)在線字典或游戲的訪問權(quán),則向該客戶提供用于定位和訪問這些資源的URI。使用本發(fā)明的方法��,可以把客戶的IP地址添加于URI的加密的部分���。通過以這種方式發(fā)布URI��,資源提供商可以防止客戶與其他人��、非付費(fèi)用戶共享他或她的訪問權(quán)����,因?yàn)閮H向來自被嵌入U(xiǎn)RI的加密的部分中的IP地址的請(qǐng)求授予訪問權(quán)����。
另外,由于本發(fā)明可用于隱藏URI中通??梢姷哪夸浗Y(jié)構(gòu),所以本發(fā)明能夠阻止用戶猜想U(xiǎn)RI��,而是要求用戶使用超級(jí)鏈接���。而且���,如果資源提供商希望防止用戶封鎖諸如廣告的內(nèi)容���,則本發(fā)明可用于實(shí)現(xiàn)這一點(diǎn)。加密的URI看上去是隨機(jī)的����,因此,可防止對(duì)選擇性內(nèi)容封鎖的邏輯結(jié)構(gòu)的不希望的使用或篡改�����。另外���,由于加密的URI是無狀態(tài)的�,所以可以在極高負(fù)載的情況下將其用于服務(wù)器中�,諸如用于主要體育賽事的網(wǎng)絡(luò)服務(wù)器等。
本發(fā)明的優(yōu)選實(shí)現(xiàn)之一為應(yīng)用程序���,即代碼模塊中的一組指令(程序代碼)�,所述代碼模塊例如可駐留在計(jì)算機(jī)的隨機(jī)訪問存儲(chǔ)器中�。在計(jì)算機(jī)需要其之前,可以把這組指令存儲(chǔ)在另一個(gè)計(jì)算機(jī)存儲(chǔ)器中�����,例如�,存儲(chǔ)在硬盤驅(qū)動(dòng)器上,或者存儲(chǔ)在諸如光盤(用于最終在CD ROM中的使用)或軟盤(用于最終在軟盤驅(qū)動(dòng)器中的使用)的可移動(dòng)存儲(chǔ)器中�;或者經(jīng)由互聯(lián)網(wǎng)或其它計(jì)算機(jī)網(wǎng)絡(luò)加以下載;或者經(jīng)由任何傳輸類型的媒體被分發(fā)���,諸如數(shù)字模擬通信鏈路�����、使用諸如射頻和光波傳輸?shù)膫鬏斝问降挠芯€或無線通信鏈路��。因此���,可以作為在計(jì)算機(jī)中使用的計(jì)算機(jī)程序產(chǎn)品而實(shí)現(xiàn)本發(fā)明。另外�����,盡管可以在通用計(jì)算機(jī)中方便地實(shí)現(xiàn)所描述的各種可由軟件有選擇地激活或配置的方法�,然而本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到,也能夠以硬件����、固件�、或其構(gòu)造旨在執(zhí)行所要求的方法步驟的更專門化的裝置的形式來實(shí)現(xiàn)這些方法����。
而且,對(duì)于本領(lǐng)域技術(shù)人員是顯然的���,也可以由包括一種機(jī)器可讀介質(zhì)的一款產(chǎn)品執(zhí)行本發(fā)明的這些方法��,所述機(jī)器可讀介質(zhì)含有一個(gè)或多個(gè)程序��。另外�����,明顯的是�,本發(fā)明描述了一種可以由在諸如內(nèi)容或服務(wù)提供商����、內(nèi)容或服務(wù)請(qǐng)求者、經(jīng)紀(jì)人與/或中間人的利益上的數(shù)據(jù)通信網(wǎng)絡(luò)成分執(zhí)行的方法�����。
已經(jīng)為了說明性和描述性的目的而給出了本發(fā)明的描述�����,而且并未試圖以所公開的形式無遺漏地描述本發(fā)明����,或?qū)Ρ景l(fā)明加以限制。在不背離本發(fā)明的范圍與精神的情況下���,本領(lǐng)域技術(shù)人員可以對(duì)本發(fā)明進(jìn)行多方面的修改或者變更���。對(duì)優(yōu)選實(shí)施例的選擇與描述,旨在最好地解釋本發(fā)明的原理和實(shí)際的應(yīng)用���,以及可使本領(lǐng)域中的其他技術(shù)人員能夠理解本發(fā)明的具有各種修改的不同的實(shí)施例���,其中的修改適合于所期望的具體的應(yīng)用。
權(quán)利要求
1.一種用于對(duì)資源提供商服務(wù)器上的資源提供受控訪問的方法�,該方法包括響應(yīng)來自客戶機(jī)的資源請(qǐng)求,其中資源請(qǐng)求包括一個(gè)統(tǒng)一資源標(biāo)識(shí)符(URI)�,所述URI具有加密的部分;使用預(yù)先確定的密鑰對(duì)加密的部分進(jìn)行解密��,以獲得解密的段����;從解密的段中提取附加信息�����;驗(yàn)證該附加信息��;導(dǎo)出至少具有解密的段的一部分的解密的URI����;以及把解密的URI發(fā)送至資源制造商服務(wù)器����。
2.根據(jù)權(quán)利要求1所述的方法,其中�����,所述附加信息包括支持完整性���、訪問控制���、會(huì)話管理和具有專門目的的應(yīng)用的至少之一的數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的方法,其中�,驗(yàn)證附加信息包括把包含在附加信息中的訪問控制細(xì)節(jié)與存儲(chǔ)在一個(gè)數(shù)據(jù)存儲(chǔ)裝置中的訪問控制數(shù)據(jù)進(jìn)行比較。
4.根據(jù)權(quán)利要求1所述的方法�����,還包括對(duì)加密的部分進(jìn)行驗(yàn)證����。
5.根據(jù)權(quán)利要求1所述的方法��,還包括對(duì)加密的部分進(jìn)行解碼����。
6.根據(jù)權(quán)利要求1所述的方法,還包括從資源提供商服務(wù)器接收響應(yīng)于請(qǐng)求的資源�,其中資源包括一個(gè)或多個(gè)具有一個(gè)透明段和一個(gè)不透明段的未加密的URI;至少對(duì)不透明段的一部分進(jìn)行加密��;以及形成具有透明段和加密的段的加密的URI����。
7.根據(jù)權(quán)利要求6所述的方法,還包括從不透明段和附加信息形成組合段�,并且對(duì)該組合段進(jìn)行加密,以形成加密的部分。
8.根據(jù)權(quán)利要求7所述的方法�����,其中��,其它附加信息包括支持完整性�����、訪問控制����、會(huì)話管理和具有專門目的的應(yīng)用的至少之一的數(shù)據(jù)。
9.根據(jù)權(quán)利要求6所述的方法����,還包括把加密的URI發(fā)送至客戶機(jī)。
10.根據(jù)權(quán)利要求6所述的方法��,還包括對(duì)加密的部分進(jìn)行解碼���。
11.一種存儲(chǔ)在計(jì)算機(jī)可操作的媒體中的計(jì)算機(jī)程序產(chǎn)品�,用于控制對(duì)資源制造商服務(wù)器的訪問�����,包括存儲(chǔ)介質(zhì);指令�,用于接收具有一個(gè)透明部分和一個(gè)編碼的加密部分的統(tǒng)一資源標(biāo)識(shí)符(URI);用于提取編碼的加密部分的指令�;用于對(duì)編碼的加密部分進(jìn)行解碼,以獲得加密的段的指令�����;用于使用預(yù)先確定的密鑰對(duì)加密的部分進(jìn)行解密���,以獲得解密的段的指令;用于從解密的段中提取附加信息的指令���;以及用于驗(yàn)證該附加信息的指令���。
12.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品,還包括用于產(chǎn)生根據(jù)透明部分和加密的段的至少之一所導(dǎo)出的第二個(gè)URI的指令�����。
13.根據(jù)權(quán)利要求12所述的計(jì)算機(jī)程序產(chǎn)品��,還包括用于把第二個(gè)URI發(fā)送至與資源制造商服務(wù)器相關(guān)的應(yīng)用程序的指令。
14.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品�,還包括指令,用于接收包括具有一個(gè)透明段和一個(gè)不透明段的一個(gè)或多個(gè)未加密的URI的資源����;指令,用于對(duì)根據(jù)透明部分和不透明段至少之一所導(dǎo)出的數(shù)據(jù)進(jìn)行加密����;用于對(duì)加密的數(shù)據(jù)進(jìn)行編碼的指令;以及用于形成具有透明段和編碼的加密數(shù)據(jù)的加密的URI的指令���。
15.根據(jù)權(quán)利要求14所述的計(jì)算機(jī)程序產(chǎn)品�����,還包括用于把加密的URI發(fā)送至客戶機(jī)的指令����。
16.一種機(jī)器可讀的程序存儲(chǔ)設(shè)備�,其明確體現(xiàn)了可由機(jī)器執(zhí)行的指令的程序,以執(zhí)行一種方法�����,所述方法用于向資源提供商服務(wù)器處的資源提供受控的訪問,該方法包括獲得具有加密部分的統(tǒng)一資源標(biāo)識(shí)符(URI)����;使用預(yù)先確定的密鑰對(duì)加密的部分進(jìn)行解密,以獲得解密的段�����;從解密的段中提取附加信息�;驗(yàn)證該附加信息;形成具有解密的段的至少一部分的解密的URI��;以及把解密的URI發(fā)送至資源制造商服務(wù)器���。
17.根據(jù)權(quán)利要求16所述的程序存儲(chǔ)設(shè)備�,其中����,該方法還包括把包含在附加信息中的訪問控制細(xì)節(jié)與存儲(chǔ)在數(shù)據(jù)存儲(chǔ)裝置中的訪問控制數(shù)據(jù)進(jìn)行比較����。
18.根據(jù)權(quán)利要求16所述的程序存儲(chǔ)設(shè)備,其中���,該方法還包括對(duì)加密的部分進(jìn)行驗(yàn)證��。
19.根據(jù)權(quán)利要求16所述的程序存儲(chǔ)設(shè)備��,其中��,該方法還包括對(duì)加密的部分進(jìn)行解碼����。
20.根據(jù)權(quán)利要求16所述的程序存儲(chǔ)設(shè)備,其中����,該方法還包括從資源提供商服務(wù)器中獲得資源,所述資源包括一個(gè)或多個(gè)具有一個(gè)透明段和一個(gè)不透明段的未加密的URI����;至少對(duì)不透明段的一部分進(jìn)行加密;以及形成具有透明段和加密的段的加密的URI����。
21.一種用于向外部資源制造商服務(wù)器提供能夠?qū)崿F(xiàn)受控訪問的服務(wù)的方法,包括對(duì)來自客戶機(jī)的對(duì)資源的訪問的請(qǐng)求進(jìn)行響應(yīng)����,判斷是否滿足一個(gè)或多個(gè)事務(wù)處理要求�����;如果滿足一個(gè)或多個(gè)事務(wù)處理要求�,則響應(yīng)于該請(qǐng)求而創(chuàng)建統(tǒng)一資源標(biāo)識(shí)符(URI)�����,其中該URI包括在預(yù)先確定的結(jié)構(gòu)中的預(yù)先確定的數(shù)據(jù)����;對(duì)URI的至少一部分進(jìn)行加密;以及響應(yīng)該請(qǐng)求����,發(fā)送具有加密的部分的URI。
22.根據(jù)權(quán)利要求21所述的方法�,還包括把與該請(qǐng)求相關(guān)的事務(wù)處理細(xì)節(jié)存儲(chǔ)在數(shù)據(jù)存儲(chǔ)裝置中。
23.根據(jù)權(quán)利要求21所述的方法�,還包括對(duì)URI的加密的部分進(jìn)行編碼。
24.根據(jù)權(quán)利要求21所述的方法����,還包括分別地把預(yù)先確定的數(shù)據(jù)和預(yù)先確定的結(jié)構(gòu)傳送給外部資源制造商��。
25.根據(jù)權(quán)利要求21所述的方法,還包括把與資源請(qǐng)求相關(guān)的事務(wù)處理細(xì)節(jié)傳送給外部資源制造商����,以得到付費(fèi)。
26.根據(jù)權(quán)利要求21所述的方法����,其中,一個(gè)或多個(gè)事務(wù)處理要求包括從客戶機(jī)付費(fèi)����。
27.根據(jù)權(quán)利要求21所述的方法,其中���,一個(gè)或多個(gè)事務(wù)處理要求包括判斷客戶機(jī)是否滿足一個(gè)或多個(gè)訪問要求����。
28.根據(jù)權(quán)利要求21所述的方法����,其中,判斷是否滿足一個(gè)或多個(gè)事務(wù)處理要求包括把包含在請(qǐng)求中的訪問控制細(xì)節(jié)與存儲(chǔ)在數(shù)據(jù)存儲(chǔ)裝置中的訪問控制數(shù)據(jù)進(jìn)行比較���。
29.根據(jù)權(quán)利要求21所述的方法����,其中,具有加密的部分的URI是電子票據(jù)�。
30.根據(jù)權(quán)利要求21所述的方法,其中���,預(yù)先確定的數(shù)據(jù)包括支持完整性�、訪問控制�、會(huì)話管理和具有專門目的的應(yīng)用的至少之一的數(shù)據(jù)。
全文摘要
公開了一種能夠?qū)Y源提供商服務(wù)器上的資源進(jìn)行受控訪問的裝置與方法�。本發(fā)明根據(jù)用于隱藏資源與/或提供訪問控制支持的無狀態(tài)的方法,可以對(duì)統(tǒng)一資源標(biāo)識(shí)符(URI)的部分進(jìn)行加密或解密����。在接收到具有加密的部分的URI之后,本發(fā)明使用一個(gè)預(yù)先確定的密鑰對(duì)加密的部分進(jìn)行解密����,以獲得解密的段,在把解密的URI發(fā)送至資源制造商服務(wù)器之前����,從解密的段中提取附加信息,并且形成一個(gè)解密的URI。本發(fā)明也可以在響應(yīng)于客戶機(jī)請(qǐng)求而把URI發(fā)送到客戶機(jī)之前���,對(duì)來自資源提供商服務(wù)器的URI進(jìn)行解密。
文檔編號(hào)G06F17/30GK1777090SQ20051011615
公開日2006年5月24日 申請(qǐng)日期2005年10月24日 優(yōu)先權(quán)日2004年11月18日
發(fā)明者克里斯·P·范登伯格, 塔德茲·J·皮特拉斯?jié)煽? 克里斯托弗·J·吉布林, 詹姆斯·F·里奧丹 申請(qǐng)人:國際商業(yè)機(jī)器公司