[发明专利]通过要嵌入网络应用认证周围的网络应用的方法和系统

说明书

本申请涉及一种用于通过要嵌入的网络应用认证周围的网络应用的方法和系统，周围的第一网络应用在浏览器中实施且要嵌入的第二网络应用设置用于在第一应用的单独实施和显示区域中进行，第一应用通过至少一个第一网络服务器、第二应用通过至少一个第二网络服务器提供。第一应用相对于第二应用进行认证，配属第一应用的第一秘钥材料由第二网络服务器使用，经浏览器在第一和第二网络服务器之间交换认证消息，仅在成功的认证或授权时激活第二应用。该方法实现：要嵌入的网络应用识别周围的网络应用并且其进行认证，通过存储和评估相应的网络服务器中的必要秘钥材料给予高安全标准，因为不传输秘钥材料自身而只传输用于局域使用秘钥材料的认证消息。

技术领域

本申请涉及一种用于通过要嵌入的网络应用认证周围的网络应用的方法和系统。

背景技术

如今，在工业化的设备中同时存在各种不同的系统和应用，例如SCADA(Supervisory Control and Data Acquisition，监管控制和数据获取)系统、MES(Manufactoring Execution System，制造执行系统)系统或DCS(Distributed ControlSystem，分散式控制系统)系统。在此，一些系统又由多个例如用于工程和运行的单个应用组成。同样地，在这样的设备中当然表征了域不可知的应用，例如用于通信、文档管理/处理和导航。在此，操作者必须在多个工作步骤和活动中通过各种应用结束工作。在此，多个这样的系统能作为浏览器中实施的网络应用使用。此外，这样的应用通常相互集成，以便经由共同的用户接口操作。

在此，应用通常在视觉上(即在表示层)相互集成，其特别地适用于网络应用(在此也被称为“Mash-Up”或“Mashup”(混聚))。在此，各种应用自身进一步影响其用户接口，其嵌入在上级的用户界面(User-Interface)。下列的说明特别地针对应用的应用认证，而不是自然人的认证(用户认证)。

特别地在工业化的设备中，用户/消费者或者系统集成器(System-Integratoren)常常想要使各种网络应用相互组合；然而存在各种将会反对不受控制的集成的原因。例如，各种应用的集成能够联结一个许可，然而消费者/集成器并不具有对于设备足够的许可。此外，应用能够放弃敏感的数据，从而应当保障的是，仅能够相互集成可靠的应用。

由于该原因，迄今为止常常利用工艺上的手段基本上阻止将网络应用集成到其它的(网络)应用中。最通用的变体对此原则上禁止将网络应用包含到其它的应用中，这例如由此实现，即应用识别其是否在下级的窗口、所谓的“内联框架”或简称“iframe”中实施，并且是否因此拒绝实施。此外，主要限制网络API(API＝Application ProgrammingInterface＝应用程序界面)的使用。然而在此，仅仅消费者、即API所应用的页面，相对于API进行认证。在此，典型的认证方式是API秘钥、消费者ID、授权URL或数字签名的URL。

API秘钥单独在API提供方对于每个应用要求一次，并且每个询问附加有该密钥。缺点在于，秘钥作为明文传输；因此该方法主要应用于结算(“Billing(开账单)”)。作为秘钥的替换，通常应用所谓的消费者ID(消费者识别号)。在此的转变和缺点参照API秘钥。在所谓的“授权URL”中相对于应用的API授权整个域(例如http://example.com)。在此，在调用API时传递和相对校验调用者的地址。该方式显著地取决于基础设施的特定的安装。该方法通常与其它的认证方法、例如消费者ID组合。

在此，所有这种方法都相对于服务器仅仅针对API调用，其中，该服务器并不相对于调用进行认证。

相互的认证在HTTPS/TLS中已知。然而在此，仅消费者/服务器相对认证；在此涉及用于传输通道的安全措施，其不设置产品或应用层上的认证。

同样已知了若干认证方法，它们此外被考虑用于用户认证和下游的用户授权。然而，在各种登记方法中仅检查的是，用户是允许使用具体的应用。在此并不检查是否(允许)各种应用相互联合。