[发明专利]一种防止Web 服务被非法调用的方法

权利要求书

1.一种防止Web service被非法调用的方法，其特征是：Web service使用者若使用Web service提供者提供的服务，Web service使用者必须提供调用令牌，Web service提供者经验证后才能提供服务。

2.如权利要求1所述的一种防止Web service被非法调用的方法，其特征是，所述调用令牌是Web service提供者验证合法调用的唯一凭证，调用令牌的特征是动态的，以防止令牌的泄露，所述调用令牌生成方法如下：

设Web service调用者和Web service提供者的共享密钥为key_share，调用时的系统时间为Time_call-system，时间的精度为秒级，设Time_{call-system-second}为调用时系统时间的秒数，设置调用的最大时延为15秒，对调用时间的秒位进行调整，调整公式为：

Time_call-second =[Time_call-second/15]×15，其中[ ]表示取整；

用Time_call-second代替Time_{call-system-second}，形成调用时间信息Time_call，之后利用对称加密算法对Time_call进行加密，最终形成调用令牌Token_call。

3.如权利要求2所述的一种防止Web service被非法调用的方法，其特征是，所述验证的方法如下：

使用Web service提供者的令牌验证模块对调用者的调用合法性进行验证，首先取得被调用时的系统时间，设为Time_{Invoke-system}，时间的精度为秒级，设Time_{Invoke-system-second}为调用时系统时间的秒数，设置调用的最大时延为15秒，对调用时间的秒位进行调整，调整公式为：

Time_{Invoke-second} =[Time_{Invoke-second}/15]×15，其中[ ]表示取整；

用Time_{Invoke-second}代替Time_{Invoke-system-second}，形成调用时间信息Time_Invoke，之后利用与调用令牌相同的对称加密算法对Time_Invokel进行加密，最终形成验证令牌Token_Invoke；

在进行验证时，只需比较验证令牌Token_Invoke与调用令牌Token_call是否相等，相等则通过验证。

4.如权利要求3所述的一种防止Web service被非法调用的方法，其特征是，Web service使用者与Web service提供者的交互过程包括以下步骤：

（1）Web service使用者依据调用时间按照调用令牌生成方法生成调用令牌，为Web service服务的访问提供令牌；

（2）选择Web service提供者中的具体方法，并依据方法的方法名、参数名、参数类型对调用信息进行封装，封装为XML格式的信息文；

（3）以key_share为密钥，采用对称加密算法，对在步骤（2）中形成的XML格式的信息文进行加密处理；

（4）通过Web service实际调用Web service提供者，并将使用key_share加密后的信息文传递给Web service提供者的统一调用接口方法；

（5）Web service接收到调用请求后，首先生成验证令牌，与传递过来的调用令牌进行对比，若调用令牌不等于验证令牌，则转到记录异常调用处理过程；

（6）若调用令牌等于验证令牌，其利用key_share，依据对称加密算法对调用消息进行解析；

（7）依据调用信息中的方法名、参数名、参数类型、参数值进行内部执行模块中的实际方法的调用；

（8）将实际方法的调用结果进行XML格式的信息封装，并利用key_share，采用对称加密算法对信息进行加密处理；

（9）Web service使用者接收到消息后，利用key_share对返回的调用结果进行解密分析，至此整个Web service调用过程结束。