[发明专利]基于WebService应用的鉴权方法及系统

说明书

技术领域

本发明涉及网络服务技术领域，尤其涉及一种基于Web Service（网络服务）应用的鉴权方法及系统。

背景技术

Web Service是系统对外的接口，是一种构建应用程序的普遍模型，可以在任何支持网络通信的操作系统中实施运行，它是一种新的web（网络） 应用程序分支，是自包含、自描述、模块化的应用，可以发布、定位、通过web调用。Web Service是一个应用组件，它逻辑性的为其他应用程序提供数据与服务。各应用程序通过网络协议和规定的一些标准数据格式如Http（Hyper Text Transport Protocol，超文本传输协议）、XML（Extensive Makeup Language，可扩展标示语言）、Soap（Simple Object Access Protocol，简单对象访问协议）等来访问Web Service，通过Web Service内部执行得到所需结果。Web Service可以执行从简单的请求到复杂商务处理的任何功能。一旦部署，其他Web Service应用程序可以发现并调用它部署的服务。实际上，WebService的主要目标是跨平台的可互操作性。为了达到这一目标，WebService完全基于XML、XSD（XMLSchema，可扩展标准语言结构定义）等独立于平台、独立于软件供应商的标准，是创建可互操作的、分布式应用程序的新平台。

随着互联网发展和信息技术的普及，网络和IT（Information Technology，信息技术）已经日渐深入到日常生活和工作当中，社会信息化和信息网络化，突破了应用信息在时间和空间上的障碍，使信息的价值不断提高。但与此同时，利用现有技术进行Web Service应用的访问时，网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件仍时有发生。

发明内容

本发明的主要目的是提供一种基于Web Service应用的鉴权方法及系统，旨在限制网络上对Web Service应用的非法攻击，同时不影响合法用户的正常使用。

本发明公开了一种基于Web Service应用的鉴权方法，包括以下步骤：

网络服务Web Service服务器接收第三方客户端发送的动态密码请求，在对所述第三方客户端的关键信息进行鉴权通过后，向业务多媒体服务器发送所述动态密码请求；

业务多媒体服务器接收所述动态密码请求，向终端发送动态密码；

Web Service服务器接收所述第三方客户端发送的应用请求，在对所述动态密码及所述关键信息鉴权通过后，向业务多媒体服务器发送所述应用请求；

业务多媒体服务器响应所述应用请求，向终端发起相应的应用。

优选地，所述关键信息包括：

所述第三方客户端的IP地址、动态时间戳、参数加密校验字符串。

优选地，所述参数加密校验字符串包括企业账号信息、动态时间戳信息、所述IP地址的密码信息。

优选地，所述对第三方客户端的关键信息进行鉴权包括：

若Web Service服务器不限制所述第三方客户端的IP来源，则不需要对所述关键信息中的IP地址进行鉴权；

若所述第三方客户端发送的动态密码请求中不包含单独的所述动态密码字段，则不需要对关键信息中的动态密码字段进行鉴权；

若Web Service服务器不限制所述第三方客户端的IP来源，同时所述动态密码请求中不包含所述动态密码字段，则不需要对所述关键信息中的IP地址和动态密码字段进行鉴权。

优选地，所述约定规则为Web Service服务器与所述第三方客户端约定的根据所述动态密码对所述动态时间戳进行加密的运算规则。

本发明还公开一种基于Web Service应用的鉴权系统，包括Web Service服务器和业务多媒体服务器；

所述Web Service服务器用于，接收第三方客户端发送的动态密码请求，在对所述第三方客户端的关键信息进行鉴权通过后，向业务多媒体服务器发送所述动态密码请求；

还用于，接收所述第三方客户端发送的应用请求，在对动态密码及所述关键信息鉴权通过后，向业务多媒体服务器发送应用请求；

所述业务多媒体服务器用于，接收所述动态密码请求，向终端发送动态密码；

还用于，响应Web Service服务器发送的所述应用请求，向终端发起相应的应用。

优选地，所述关键信息包括：