專利名稱:一種提供系統(tǒng)資源的方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,特別涉及一種提供系統(tǒng)資源的方法、裝置及系統(tǒng)。
背景技術(shù):
現(xiàn)有技術(shù)下,在提供Web服務(wù)的業(yè)務(wù)系統(tǒng)中,為了提高系統(tǒng)資源的安全性,對(duì)系統(tǒng)資源進(jìn)行保護(hù)的方法分為以下幾種第一種方法為使用數(shù)據(jù)庫(kù)存儲(chǔ)系統(tǒng)資源(如,系統(tǒng)文件)。在客戶端訪問(wèn)時(shí),Web 服務(wù)器或業(yè)務(wù)服務(wù)器需要對(duì)其進(jìn)行賬號(hào)密碼等信息的認(rèn)證,通過(guò)認(rèn)證后,再?gòu)臄?shù)據(jù)庫(kù)提取系統(tǒng)資源分發(fā)給客戶端。使用該方法的缺點(diǎn)是依賴于數(shù)據(jù)庫(kù),而數(shù)據(jù)庫(kù)存取大型文件時(shí)執(zhí)行效率低,遠(yuǎn)不如直接存取在硬盤上保存的系統(tǒng)資源的效率高,并且,使用數(shù)據(jù)庫(kù)增加了系統(tǒng)復(fù)雜性,進(jìn)而降低整個(gè)業(yè)務(wù)系統(tǒng)的效率。第二種方法為使用專門的密匙服務(wù)器對(duì)客戶端和業(yè)務(wù)服務(wù)器進(jìn)行協(xié)調(diào)校驗(yàn)。密匙服務(wù)器作為中間者,負(fù)責(zé)對(duì)客戶端和業(yè)務(wù)服務(wù)器的的工作進(jìn)行協(xié)調(diào),其中,客戶端先到密匙服務(wù)器去認(rèn)證,通過(guò)后獲得密匙,同時(shí),密匙服務(wù)器會(huì)通知業(yè)務(wù)服務(wù)器準(zhǔn)備驗(yàn)證該密匙, 最后,客戶端基于獲得的密匙去訪問(wèn)業(yè)務(wù)服務(wù)器進(jìn)行校驗(yàn),通過(guò)后才會(huì)獲得系統(tǒng)資源。使用該方法的缺點(diǎn)是系統(tǒng)復(fù)雜性高,依賴密匙服務(wù)器,一旦密匙服務(wù)器出現(xiàn)故障,則整個(gè)業(yè)務(wù)系統(tǒng)將無(wú)法正常工作,并且網(wǎng)絡(luò)傳輸?shù)牟淮_定性也將導(dǎo)致資源獲取的效率低下。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種提供系統(tǒng)資源的方法、裝置及系統(tǒng),用以在不降低系統(tǒng)資源的訪問(wèn)效率的前提下,保證系統(tǒng)資源的安全性。本發(fā)明實(shí)施例提供的具體技術(shù)方案如下一種提供系統(tǒng)資源的方法,包括用于提供業(yè)務(wù)服務(wù)的第一服務(wù)器接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息;第一服務(wù)器將客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名后發(fā)送給所述客戶端;用于提供系統(tǒng)資源的第二服務(wù)器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后, 采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證;第二服務(wù)器確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。一種提供業(yè)務(wù)服務(wù)的服務(wù)器,包括接收單元,用于接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息;數(shù)字簽名單元,用于對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名;發(fā)送單元,用于將經(jīng)數(shù)字簽名的URL地址發(fā)送給所述客戶端,令所述客戶端采用所述經(jīng)數(shù)字簽名的URL地址向指定服務(wù)器獲取系統(tǒng)資源。一種提供系統(tǒng)資源的服務(wù)器,包括接收單元,用于接收客戶端發(fā)送的經(jīng)指定服務(wù)器數(shù)字簽名的URL地址;認(rèn)證單元,用于采用與指定服務(wù)器約定方式對(duì)經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證;發(fā)送單元,用于確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。一種提供系統(tǒng)資源的系統(tǒng),包括第一服務(wù)器,用以提供業(yè)務(wù)服務(wù),用于接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息,并將客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名后發(fā)送給所述客戶端;第二服務(wù)器,用以提供系統(tǒng)資源,用于在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL 地址后,采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,并在確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。本發(fā)明實(shí)施例中,基于Web服務(wù)器和業(yè)務(wù)服務(wù)器之間的相互配合,對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名,并通過(guò)對(duì)經(jīng)數(shù)字簽名的URL地址的檢驗(yàn)確定客戶端是否有權(quán)訪問(wèn)系統(tǒng)資源,從而杜絕了客戶端對(duì)系統(tǒng)資源的直接訪問(wèn),并且客戶端使用錯(cuò)誤簽名或過(guò)期簽名的URL地址也不會(huì)訪問(wèn)到系統(tǒng)資源,從而在不降低系統(tǒng)資源的訪問(wèn)效率的前提下,實(shí)現(xiàn)了對(duì)Web服務(wù)器上的系統(tǒng)資源的保護(hù),提高了系統(tǒng)資源的安全性。
圖1為本發(fā)明實(shí)施例中系統(tǒng)架構(gòu)示意圖;圖2A為本發(fā)明實(shí)施例中業(yè)務(wù)服務(wù)器功能結(jié)構(gòu)示意圖;圖2B為本發(fā)明實(shí)施例中Web服務(wù)器功能結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例中業(yè)務(wù)服務(wù)器向客戶端提供經(jīng)數(shù)字簽名的URL地址流程圖;圖4為本發(fā)明實(shí)施例中Web服務(wù)器向客戶端提供系統(tǒng)資源流程圖。
具體實(shí)施例方式本發(fā)明實(shí)施例中,實(shí)現(xiàn)一種簡(jiǎn)單靈活的提供系統(tǒng)資源的方式,實(shí)現(xiàn)Web服務(wù)器側(cè)的系統(tǒng)資源(如,Web系統(tǒng)文件)的保護(hù)與業(yè)務(wù)層控制邏輯結(jié)合起來(lái),從而達(dá)到保護(hù)系統(tǒng)資源的目的。其具體為,較佳的,用于提供業(yè)務(wù)服務(wù)的業(yè)務(wù)服務(wù)器接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息,并將將客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名后發(fā)送給客戶端,而用于提供系統(tǒng)資源的Web服務(wù)器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與業(yè)務(wù)服務(wù)器約定方式對(duì)該經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,并在確定該經(jīng)數(shù)字簽名的 URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給客戶端。參閱圖1所示,本發(fā)明實(shí)施例中,用于提供系統(tǒng)資源的業(yè)務(wù)系統(tǒng)包括業(yè)務(wù)服務(wù)器和Web服務(wù)器,其中,業(yè)務(wù)服務(wù)器,用以提供業(yè)務(wù)服務(wù),用于接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息,并將客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名后發(fā)送給客戶端;
Web服務(wù)器,用以提供系統(tǒng)資源,用于在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與業(yè)務(wù)服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,并在確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。所謂的Web服務(wù)器既可以是直接提供系統(tǒng)資源的服務(wù)器,也可以是具有緩存功能的服務(wù)器等等,并不局限于一種實(shí)現(xiàn)方式。本實(shí)施例中,為實(shí)現(xiàn)上述功能,需要在Web服務(wù)器中開(kāi)發(fā)一個(gè)具有過(guò)濾功能的模塊,該模塊只是對(duì)URL地址進(jìn)行數(shù)字簽名認(rèn)證,執(zhí)行速度很快,對(duì)Web服務(wù)器性能基本沒(méi)有影響。例如,較佳的,采用Apache服務(wù)器作為Web服務(wù)器,在Apache服務(wù)器上開(kāi)發(fā)一個(gè) Apache模塊,該Apache模塊對(duì)需要保護(hù)的系統(tǒng)資源的URL進(jìn)行攔截并進(jìn)行數(shù)字簽名認(rèn)證, 只有被可信任的業(yè)務(wù)服務(wù)器進(jìn)行數(shù)字簽名的URL才允許訪問(wèn),且URL地址中攜帶簽名有效期,過(guò)期的數(shù)字簽名將被拒絕。從而實(shí)現(xiàn)了保護(hù)系統(tǒng)資源的目的。下面結(jié)合附圖對(duì)本發(fā)明優(yōu)選的實(shí)施方式進(jìn)行詳細(xì)說(shuō)明。參閱圖2A所示,本發(fā)明實(shí)施例中,用于對(duì)系統(tǒng)資源的URL (統(tǒng)一資源定位)地址進(jìn)行數(shù)字簽名的裝置(如,業(yè)務(wù)服務(wù)器)包括接收單元20、數(shù)字簽名單元21和發(fā)送單元22, 其中,接收單元20,用于接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息;數(shù)字簽名單元21,用于對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名;發(fā)送單元22,用于將經(jīng)數(shù)字簽名的URL地址發(fā)送給客戶端,令該客戶端采用經(jīng)數(shù)字簽名的URL地址向Web服務(wù)器獲取系統(tǒng)資源。 參閱圖2B所示,本發(fā)明實(shí)施例中,用于對(duì)系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名認(rèn)證以提供系統(tǒng)資源的裝置(如,Web服務(wù)器)包括接收單元200、認(rèn)證單元201和發(fā)送單元202, 其中,接收單元200,用于接收客戶端發(fā)送的經(jīng)業(yè)務(wù)服務(wù)器數(shù)字簽名的URL地址;認(rèn)證單元201,用于采用與業(yè)務(wù)服務(wù)器約定方式對(duì)經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證;發(fā)送單元202,用于確定經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給客戶端。參閱圖3所示,本發(fā)明實(shí)施例中,業(yè)務(wù)服務(wù)器向客戶端提供經(jīng)數(shù)字簽名的URL地址的詳細(xì)流程如下步驟300 客戶端向業(yè)務(wù)服務(wù)器發(fā)送系統(tǒng)資源請(qǐng)求消息,該系統(tǒng)資源請(qǐng)求消息中攜帶有客戶端請(qǐng)求獲取的系統(tǒng)資源的標(biāo)識(shí)。例如,用戶通過(guò)點(diǎn)擊客戶端呈現(xiàn)的網(wǎng)頁(yè)頁(yè)面中的指定鏈接(如,打折食品一覽表、 火車時(shí)刻表、話費(fèi)查詢等等),觸發(fā)客戶端向業(yè)務(wù)服務(wù)器發(fā)送系統(tǒng)資源請(qǐng)求消息。步驟301 業(yè)務(wù)服務(wù)器接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息,并根據(jù)該系統(tǒng)資源請(qǐng)求消息攜帶的系統(tǒng)資源的標(biāo)識(shí)確定相應(yīng)的URL地址。實(shí)際應(yīng)用中,業(yè)務(wù)服務(wù)器用戶請(qǐng)求獲取的系統(tǒng)資源可以對(duì)應(yīng)一個(gè)URL地址,也可以對(duì)應(yīng)多個(gè)URL地址。步驟302 業(yè)務(wù)服務(wù)器對(duì)獲得的URL地址進(jìn)行數(shù)字簽名。本實(shí)施例中,執(zhí)行步驟302時(shí),業(yè)務(wù)服務(wù)器采用與Web服務(wù)器約定的方式對(duì)獲得的URL地址進(jìn)行簽名,較佳的,簽名算法采用MD5算法,具體包括假設(shè)客戶端請(qǐng)求獲取的URL地址為http //Ioca Iho s t/stub/Dl 10000b jwb/20 10-06/2 2/mpml. files/ nb.Dl10000bjwb_20100622-01. pagebig. 1. jpg為了保證客戶端獲得的系統(tǒng)資源的時(shí)效性,較佳的,在對(duì)URL地址進(jìn)行數(shù)字簽名時(shí),要在URL地址后面加上其簽名有效期,采用expires參數(shù)描述,具體為http ://localhost/st ub/Dl 10000b i wb/20 1 Q-Q6/2 2/mpml. files/ nb. DllOOOObiwb 20100622-01. pagebig. 1. jpg ? expires = 6307200000 ;其中,expires = 6307200000表示簽名的有效期,實(shí)際應(yīng)用中,若針對(duì)系統(tǒng)資源不存在有效期方面的限制,也可以在URL地址中不包含expires參數(shù),上述內(nèi)容僅為舉例,以下實(shí)施例中亦如此,將不再贅述。接著,為了提高數(shù)字簽名結(jié)果的安全性,業(yè)務(wù)服務(wù)器通常會(huì)在URL地址的明文中混入干擾密鑰key,即將URL明文和干擾密鑰key拼接起來(lái),然后進(jìn)行數(shù)字簽名,簽名結(jié)果再拼接至URL地址后,使用參數(shù)digest描述。具體為采用URL地址中域名后邊的內(nèi)容部分和約定的干擾密匙key —起進(jìn)行數(shù)字簽名,兩者之間用“ + ”連接,假設(shè)密鑰key = apabi,簽名示例如下stub/Dl10000bjwb/2010-06/22/mpml. files/nb. Dl10000bjwb_20100622-01. pagebig. 1. jpg ? expires = 6307200000+apabi最后,采用MD5算法對(duì)上述簽名示例進(jìn)行數(shù)字簽名,得到的MD5值為digest = 33 a71d6m3609ec919e0fa91d4e4eb6cc,將該MD5值采用“&”符號(hào)后綴在簽名有效期后面,便完成了對(duì)URL地址的數(shù)字簽名,最終得到的結(jié)果(即經(jīng)過(guò)數(shù)字簽名的URL地址)如下http ://localhost/st ub/Dl 10000b i wb/20 1 Q-Q6/2 2/mpml. files/ nb. DllOOOObiwb 20100622-01. paRebiR. 1. ipr? expires = 6307200000&diRest = 33a71 d66b609ec919e0fa91d4e4eb6cc。步驟303 :業(yè)務(wù)服務(wù)器將經(jīng)數(shù)字簽名的URL地址發(fā)往客戶端??蛻舳私邮盏綐I(yè)務(wù)服務(wù)器下發(fā)的經(jīng)數(shù)字簽名的URL地址后,可以立即向Web服務(wù)器請(qǐng)求相應(yīng)的系統(tǒng)資源,也可以等待一段時(shí)間后,再向Web服務(wù)器請(qǐng)求相應(yīng)的系統(tǒng)資源。參閱圖4所示,本發(fā)明實(shí)施例中,Web服務(wù)器向客戶端提供系統(tǒng)資源的詳細(xì)流程如下步驟400 客戶端將獲得的經(jīng)數(shù)字簽名的URL地址發(fā)往Web服務(wù)器,以請(qǐng)求獲得相應(yīng)的系統(tǒng)資源。步驟401 =Web服務(wù)器接收客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址,并對(duì)該URL地址進(jìn)行數(shù)字簽名認(rèn)證。在預(yù)配置Web服務(wù)器時(shí),較佳的,要設(shè)置被保護(hù)的資源類型和與業(yè)務(wù)服務(wù)器約定的簽名密鑰,即步驟302中提及的干擾密匙key,實(shí)際應(yīng)用中,為了提高靈活性,使用正則表達(dá)式描述被保護(hù)的資源類型。正則表達(dá)式*. jpg ? ”可用來(lái)匹配前邊任意個(gè)字符,且后綴為“.jpg ? ”的URL地址,如12345abc. jpg ? 12345abc就符合上述正則表達(dá)式?;谏鲜鲱A(yù)配置,在執(zhí)行步驟401時(shí),Web服務(wù)器在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,較佳的,只對(duì)合法的(即匹配正則表達(dá)式描述)的URL地址進(jìn)行數(shù)字簽名認(rèn)證,進(jìn)一步地,若經(jīng)數(shù)字簽名的URL地址中還包括簽名有效期,則Web服務(wù)器還需要進(jìn)行簽名有效期認(rèn)證,此時(shí),只有通過(guò)數(shù)字簽名認(rèn)證并且沒(méi)有超過(guò)簽名有效期的URL地址,才允許訪問(wèn)系統(tǒng)資源。例如http //Ioca Iho s t/stub/Dl 10000b jwb/20 10-06/2 2/mpml. files/ nb. Dl10000bjwb_20100622-01. pagebig.1.jpg? expires = 6307200000&digest = 33a71 d66b609ec919e0fa91d4e4eb6cc。Web服務(wù)器采用正則表達(dá)式判斷上述經(jīng)數(shù)字簽名的URL地址是否合法,從而判斷上述經(jīng)數(shù)字簽名的URL地址是否由可信任的業(yè)務(wù)服務(wù)器提供,如,采用的正則表達(dá)式為 ~·*· jpg ?時(shí),就可以匹配http ://localhost/st ub/Dl 10000b i wb/20 1 Q-Q6 / 2 2/mpm 1. files/ nb. DllOOOObiwb20100622-01. pagebig.1. jpg? expires = 6307200000&digest = 33a71d 66b609ec919e0fa91d4e4eb6ccWeb服務(wù)器確定經(jīng)數(shù)字簽名的URL地址與預(yù)設(shè)的證則表達(dá)式匹配時(shí),采用與業(yè)務(wù)服務(wù)器約定的密鑰key’以及MD5算法(僅為舉例)對(duì)以下內(nèi)容進(jìn)行數(shù)字簽名Stub/Dl10000bjwb/2010-06/22/mpml. files/nb. Dl10000bjwb_20100622-01. pagebig. 1. jpg ? expires = 6307200000,,假設(shè)得到的數(shù)字簽名結(jié)果采用digest,描述,那么,在digest,= digest時(shí),Web 服務(wù)器確定經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證。在進(jìn)行數(shù)字簽名認(rèn)證之前/過(guò)程中/之后,Web服務(wù)器可以根據(jù)“expires = 6307200000”對(duì)經(jīng)數(shù)字簽名的URL地址進(jìn)行簽名有效期認(rèn)證。步驟402 =Web服務(wù)器根據(jù)認(rèn)證結(jié)果判斷接收的經(jīng)數(shù)字簽名的URL地址是否通過(guò)數(shù)字簽名認(rèn)證,若是,則進(jìn)行步驟403 ;否則,進(jìn)行步驟404。若Web服務(wù)器對(duì)經(jīng)數(shù)字簽名的URL地址進(jìn)行了簽名有效期證,則在執(zhí)行步驟306 時(shí),還需確定上述URL地址在通過(guò)數(shù)字簽名認(rèn)證的同時(shí)沒(méi)有超過(guò)有效期,才會(huì)執(zhí)行步驟 307。步驟403 =Web服務(wù)器向客戶端返回其請(qǐng)求的系統(tǒng)資源,即與接收的經(jīng)數(shù)字簽名的 URL地址相對(duì)應(yīng)的系統(tǒng)資源。步驟404 :Web服務(wù)器拒絕向客戶端提供系統(tǒng)資源,如,返回401消息拒絕客戶端的訪問(wèn)ο本發(fā)明實(shí)施例中,基于Web服務(wù)器和業(yè)務(wù)服務(wù)器之間的相互配合,對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名,并通過(guò)對(duì)經(jīng)數(shù)字簽名的URL地址的檢驗(yàn)確定客戶端是否有權(quán)訪問(wèn)系統(tǒng)資源,從而在不降低提供系統(tǒng)資源的執(zhí)行效率的前提下,實(shí)現(xiàn)了對(duì)Web 服務(wù)器上的系統(tǒng)資源的保護(hù),提高了系統(tǒng)資源的安全性。現(xiàn)有技術(shù)下,客戶端很容易通過(guò)猜解的方式來(lái)非法獲取系統(tǒng)資源,例如,在一個(gè) Web服務(wù)器上存在很多系統(tǒng)資源,如,包括jpg圖片、pdf電子書等等,假設(shè)用戶通過(guò)客戶端只允許訪問(wèn)URL地址為http://localhost/ipR/l· Ipr的圖片,但是用戶可以很容易猜到諸如URL地址為http //localhost/Ipr/xxx. Ipr的圖片也存在于Web服備器上,從而很容易未經(jīng)授權(quán)便獲取到這些圖片。采用本發(fā)明實(shí)施例提供的技術(shù)方案后,完善系統(tǒng)資源的保護(hù)機(jī)制,杜絕了客戶端對(duì)系統(tǒng)資源的直接訪問(wèn),并且客戶端使用錯(cuò)誤簽名或過(guò)期簽名的URL地址也不會(huì)訪問(wèn)到系統(tǒng)資源,從而有效提高了系統(tǒng)資源的安全性,并且本發(fā)明技術(shù)方案的實(shí)現(xiàn)復(fù)雜度低,只需在 Web服務(wù)器上增設(shè)一個(gè)具有簽名認(rèn)證功能的模塊即可,因此不會(huì)影響客戶端訪問(wèn)系統(tǒng)資源的效率,進(jìn)一步地,本發(fā)明技術(shù)方案中,未使用數(shù)據(jù)庫(kù)存儲(chǔ)系統(tǒng)資源,也未使用專門的密匙服務(wù)器進(jìn)行認(rèn)證,降低了系統(tǒng)復(fù)雜度和方案實(shí)施對(duì)系統(tǒng)環(huán)境的依賴程度,當(dāng)系統(tǒng)環(huán)境改變時(shí),無(wú)需修改系統(tǒng)資源的保護(hù)機(jī)制,具有很高的兼容性和可靠性。 顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1.一種提供系統(tǒng)資源的方法,其特征在于,包括用于提供業(yè)務(wù)服務(wù)的第一服務(wù)器接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息; 第一服務(wù)器將客戶端請(qǐng)求的系統(tǒng)資源的統(tǒng)一資源定位URL地址進(jìn)行數(shù)字簽名后發(fā)送給所述客戶端;用于提供系統(tǒng)資源的第二服務(wù)器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證;第二服務(wù)器確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。
2.如權(quán)利要求1所述的方法,其特征在于,所述第一服務(wù)器對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名,包括第一服務(wù)器確定與第二服務(wù)器約定的第一密鑰,將所述第一密鑰與所述URL地址中指定內(nèi)容部分進(jìn)行拼接;第一服務(wù)器采用指定的加密算法對(duì)拼接后的內(nèi)容進(jìn)行數(shù)字簽名,獲得第一數(shù)字簽名結(jié)果;第一服務(wù)器將獲得的第一數(shù)字簽名結(jié)果添加至所述URL地址中的指定位置,獲得經(jīng)數(shù)字簽名的URL地址。
3.如權(quán)利要求2所述的方法,其特征在于,所述第二服務(wù)器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證之前,包括判斷所述經(jīng)數(shù)字簽名的URL地址與預(yù)設(shè)的正則表達(dá)式是否匹配,確定匹配時(shí),再對(duì)其進(jìn)行數(shù)字簽名認(rèn)證。
4.如權(quán)利要求2或3所述方法,其特征在于,所述第二服務(wù)器采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,包括第二服務(wù)器確定與第一服務(wù)器約定的第二密鑰,將所述第二密鑰與所述經(jīng)數(shù)字簽名的 URL地址中指定內(nèi)容部分進(jìn)行拼接;第二服務(wù)器從接收的經(jīng)數(shù)字簽名的URL地址中獲取第一數(shù)字簽名結(jié)果,以及采用指定的加密算法對(duì)拼接后的內(nèi)容進(jìn)行數(shù)字簽名,獲得第二數(shù)字簽名結(jié)果;第二服務(wù)器將所述第二數(shù)字簽名結(jié)果與第一數(shù)字簽名結(jié)果進(jìn)行比較,獲知兩者相同時(shí),確認(rèn)通過(guò)數(shù)字簽名認(rèn)證。
5.如權(quán)利要求4所述的方法,其特征在于,若所述經(jīng)數(shù)字簽名的URL地址中不包含簽名有效期,則所述第二服務(wù)器確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證后,將相應(yīng)的系統(tǒng)資源發(fā)送至所述客戶端;若所述經(jīng)數(shù)字簽名的URL地址中包含簽名有效期,則所述第二服務(wù)器確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證后,進(jìn)一步確定未超過(guò)所述簽名有效期時(shí),將相應(yīng)系統(tǒng)資源發(fā)送至所述客戶端。
6.一種提供業(yè)務(wù)服務(wù)的服務(wù)器,其特征在于,包括 接收單元,用于接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息;數(shù)字簽名單元,用于對(duì)客戶端請(qǐng)求的系統(tǒng)資源的統(tǒng)一資源定位URL地址進(jìn)行數(shù)字簽名;發(fā)送單元,用于將經(jīng)數(shù)字簽名的URL地址發(fā)送給所述客戶端,令所述客戶端采用所述經(jīng)數(shù)字簽名的URL地址向指定服務(wù)器獲取系統(tǒng)資源。
7.如權(quán)利要求6所述的服務(wù)器,其特征在于,所述數(shù)字簽名單元對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名,包括確定與所述指定服務(wù)器約定的第一密鑰,將所述第一密鑰與所述URL地址中指定內(nèi)容部分進(jìn)行拼接;采用指定的加密算法對(duì)拼接后的內(nèi)容進(jìn)行數(shù)字簽名,獲得第一數(shù)字簽名結(jié)果;將獲得的第一數(shù)字簽名結(jié)果添加至所述URL地址中的指定位置,獲得經(jīng)數(shù)字簽名的 URL地址。
8.一種提供系統(tǒng)資源的服務(wù)器,其特征在于,包括接收單元,用于接收客戶端發(fā)送的經(jīng)指定服務(wù)器數(shù)字簽名的統(tǒng)一資源定位URL地址;認(rèn)證單元,用于采用與指定服務(wù)器約定方式對(duì)經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證;發(fā)送單元,用于確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。
9.如權(quán)利要求8所述的服務(wù)器,其特征在于,所述接收單元接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,所述認(rèn)證單元采用與指定服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL 地址進(jìn)行數(shù)字簽名認(rèn)證之前,包括判斷所述經(jīng)數(shù)字簽名的URL地址與預(yù)設(shè)的證則表達(dá)式是否匹配,確定匹配時(shí),再對(duì)其進(jìn)行數(shù)字簽名認(rèn)證。
10.如權(quán)利要求8或9所述服務(wù)器,其特征在于,所述認(rèn)證單元采用與指定服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,包括確定與所述指定服務(wù)器約定的第二密鑰,將所述第二密鑰與所述經(jīng)數(shù)字簽名的URL地址中指定內(nèi)容部分進(jìn)行拼接;從接收的經(jīng)數(shù)字簽名的URL地址中獲取第一數(shù)字簽名結(jié)果,以及采用指定的加密算法對(duì)拼接后的內(nèi)容進(jìn)行數(shù)字簽名,獲得第二數(shù)字簽名結(jié)果;將所述第二數(shù)字簽名結(jié)果與第一數(shù)字簽名結(jié)果進(jìn)行比較,獲知兩者相同時(shí),確認(rèn)通過(guò)數(shù)字簽名認(rèn)證。
11.如權(quán)利要求10所述的服務(wù)器,其特征在于,若所述經(jīng)數(shù)字簽名的URL地址中不包含簽名有效期,則所述認(rèn)證單元確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證后,通知所述發(fā)送單元將相應(yīng)的系統(tǒng)資源發(fā)送至所述客戶端;若所述經(jīng)數(shù)字簽名的URL地址中包含簽名有效期,則所述認(rèn)證單元確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證后,進(jìn)一步確定未超過(guò)所述簽名有效期時(shí),通知所述發(fā)送單元將相應(yīng)系統(tǒng)資源發(fā)送至所述客戶端。
12.一種提供系統(tǒng)資源的系統(tǒng),其特征在于,包括第一服務(wù)器,用以提供業(yè)務(wù)服務(wù),用于接收客戶端發(fā)送的系統(tǒng)資源請(qǐng)求消息,并將客戶端請(qǐng)求的系統(tǒng)資源的統(tǒng)一資源定位URL地址進(jìn)行數(shù)字簽名后發(fā)送給所述客戶端;第二服務(wù)器,用以提供系統(tǒng)資源,用于在接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,并在確定所述經(jīng)數(shù)字簽名的URL地址通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給所述客戶端。
13.如權(quán)利要求12所述的系統(tǒng),其特征在于,所述第一服務(wù)器對(duì)客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名,包括第一服務(wù)器確定與第二服務(wù)器約定的第一密鑰,將所述第一密鑰與所述URL地址中指定內(nèi)容部分進(jìn)行拼接;第一服務(wù)器采用指定的加密算法對(duì)拼接后的內(nèi)容進(jìn)行數(shù)字簽名,獲得第一數(shù)字簽名結(jié)果;第一服務(wù)器將獲得的第一數(shù)字簽名結(jié)果添加至所述URL地址中的指定位置,獲得經(jīng)數(shù)字簽名的URL地址。
14.如權(quán)利要求13所述的系統(tǒng),其特征在于,所述第二服務(wù)器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證之前,包括判斷所述經(jīng)數(shù)字簽名的URL地址與預(yù)設(shè)的證則表達(dá)式是否匹配,確定匹配時(shí),再對(duì)其進(jìn)行數(shù)字簽名認(rèn)證。
15.如權(quán)利要求13或14所述系統(tǒng),其特征在于,所述第二服務(wù)器采用與第一服務(wù)器約定方式對(duì)所述經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,包括第二服務(wù)器確定與第一服務(wù)器約定的第二密鑰,將所述第二密鑰與所述經(jīng)數(shù)字簽名的 URL地址中指定內(nèi)容部分進(jìn)行拼接;第二服務(wù)器從接收的經(jīng)數(shù)字簽名的URL地址中獲取第一數(shù)字簽名結(jié)果,以及采用指定的加密算法對(duì)拼接后的內(nèi)容進(jìn)行數(shù)字簽名,獲得第二數(shù)字簽名結(jié)果;第二服務(wù)器將所述第二數(shù)字簽名結(jié)果與第一數(shù)字簽名結(jié)果進(jìn)行比較,獲知兩者相同時(shí),確認(rèn)通過(guò)數(shù)字簽名認(rèn)證。
全文摘要
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,特別涉及一種提供系統(tǒng)資源的方法、裝置及系統(tǒng),用以在不降低系統(tǒng)資源的訪問(wèn)效率的前提下,保證系統(tǒng)資源的安全性。該方法為業(yè)務(wù)服務(wù)器將客戶端請(qǐng)求的系統(tǒng)資源的URL地址進(jìn)行數(shù)字簽名后發(fā)送給客戶端,Web服務(wù)器接收到客戶端發(fā)送的經(jīng)數(shù)字簽名的URL地址后,采用與業(yè)務(wù)服務(wù)器約定方式對(duì)經(jīng)數(shù)字簽名的URL地址進(jìn)行數(shù)字簽名認(rèn)證,確定通過(guò)數(shù)字簽名認(rèn)證時(shí),將相應(yīng)的系統(tǒng)資源發(fā)送給客戶端,這樣,便杜絕了客戶端對(duì)系統(tǒng)資源的直接訪問(wèn),并且客戶端使用錯(cuò)誤簽名或過(guò)期簽名的URL地址也不會(huì)訪問(wèn)到系統(tǒng)資源,從而在不降低系統(tǒng)資源的訪問(wèn)效率的前提下,實(shí)現(xiàn)了對(duì)系統(tǒng)資源的有效保護(hù),提高了系統(tǒng)資源的安全性。
文檔編號(hào)H04L9/32GK102546579SQ20101062426
公開(kāi)日2012年7月4日 申請(qǐng)日期2010年12月31日 優(yōu)先權(quán)日2010年12月31日
發(fā)明者徐劍波, 王朋闖, 閆進(jìn)兵 申請(qǐng)人:北京方正阿帕比技術(shù)有限公司, 北大方正集團(tuán)有限公司