基于注册鉴权的网络资源整合访问方法

技术领域

本发明涉及网络资源访问领域，尤其涉及一种在可控制的网络资源的访问 方法。

技术背景

目前，不论是在电子政务还是电子商务领域，大量应用系统架构在以互联 网为组网模式的各类专网网络上。互联网组网模式具有“无中心、无管理、不 可控、不可信、不安全”的特点，其中“无中心”是指互联网上各节点网状的、 分散的，只有网络接入的中心，没有网络管理的中心；“无管理”是指在互联 网上对于包括用户、服务等资源缺乏统一的管理；“不可控”是指无法对于用 户能否上网，能否使用某项服务，什么时候访问什么服务，访问了多长时间等 进行控制，无法进一步开展以运营为核心的计算机网络增值服务；“不可信” 是指互联网属于匿名文化，没有人知道所访问的应用以及联系人的真实身份， 网络中充斥着伪装和假冒；“不安全”是指互联网本身没有提供足够强度的安 全机制，在信息的保密性、完整性、抗抵赖性等方面缺乏有效手段。

现有技术中，采用的是Web Service中的UDDI技术，即通过将各类应用 发布出来的Web服务在UDDI中心进行注册，使其他人或应用能够在UDDI上查 到自己需要的服务，一旦到后，可以进行使用。然而，在这样一种信息化 环境下，虽然提供了Web Service UDDI等设施，供人们对公开发布的各类服 务进行查询和使用，但由于这些服务本身的可信程度、安全程度存在问题，而 且缺乏对服务使用进行收费的手段，使这些服务只能是一般的简单网络服务， 人们无法将解决自身业务信息化需求地期望寄托在这些服务上。

因此，基于上述技术的服务虽然可以实现查询和使用，但是存在着以下主 要问题：

1、注册的服务不可信。UDDI架构在互联网上，而互联网是“无中心、无 管理、不可信、不可控、不安全”的，因此在UDDI上发布的服务是不可信的；

2、注册的服务在被使用时不可控。其他人或应用使用UDDI上注册的服务 时，UDDI很难对其进行控制，如：无法知道什么人用了什么服务，总计使用了 多少次等；

3、注册的服务需要进行主动查询。UDDI提供了服务的目录，供其他人或 应用去查询，属于被动式的服务；

4、UDDI仅支持对于注册服务的查询。网络资源包括用户、个性应用资源、 共性服务资源等，UDDI只能支持对一些共性服务的注册与查询，但不支持对于 其他用户及个性应用资源的注册与查询。

发明内容

有鉴于现有技术的上述缺陷，本发明的目的在于提供一种对网络资源实现 可信注册和鉴权的方法。

为实现上述目的，本发明提供基于注册鉴权的网络资源整合访问方法，所 述资源包括用户及业务应用，所述用户及业务应用登入所述网络，所述方法包 括如下步骤：

为所述用户及业务应用设置资源标识码；

根据所述资源标识码对所述用户及业务应用分别进行认证，以使所述资源 成为可信资源；

所述用户认证完成后，所述用户对需要使用的所述已认证的业务应用进行 申请；

对所述已申请的业务应用进行定位；

访问所述业务应用。

本发明的网络资源的注册和鉴权方法的优点在于：

1、为网络资源提供了可信的发布机制，使可信成为资源的一种属性；

2、网络资源的使用情况是可控的，可以知道什么人、什么时间使用了什么 资源，既能够支持行为审计和责任认定，也能够支持基于这些信息开展增值业 务；

3、为用户提供了基于权限、能力的个性化、多样化的网络资源发现与定位 机制；

4、网络资源是基于状态的实时发现和主动定位，不需要用户自己再去寻。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说 明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明一较佳实施例中对资源统一管理的流程框图；

图2是本发明一较佳实施例中对资源进行可信注册、发布的流程框图；

图3是本发明一较佳实施例中对资源进行申请、审核与开通的流程框图；

图4是本发明一较佳实施例中对可信申请人的申请的流程框图；

图5是本发明一较佳实施例中对资源进行主动发现与定位的流程框图；

图6是本发明一较佳实施例中通过事先呼叫对资源进行访问控制的流程框 图。

具体实施方式

本发明涉及网络资源发布、搜索与定位，尤其在大型网络环境下，对包括 用户和服务等在内的网络资源进行跨地区、跨部门、跨信任域的发布、搜索与 定位。

本发明介绍了一种包括联系人、业务应用、共性服务等在内的网络资源的 发布、发现、定位与访问的方法。

本发明采用一种统一注册、统一鉴权、统一管理的方法在电子政务、电子 商务等行业专网中对资源和服务提供可信的发布、发现、定位与服务功能。

该方法通过将各类网络资源和服务进行统一标记，通过可信注册的方式发 布出来，供用户查询和申请资源，并且能够根据用户对资源的访问权限，为用 户提供资源的主动推送以及资源状态实时提醒与更新服务，使用户采用呼叫控 制的方式对资源进行访问。

统一标记是对资源进行命名和标注，使其拥有全网中的唯一标识，方便其 他用户或应用进行查，实现对网络资源“有管理”。

其中可信注册是指对于包括：用户、业务应用、共性服务等在内的网络资 源进行基于数字证书的强认证，并把其身份信息、资源描述信息和位置信息进 行统一的集中登记，使其他用户可以选择需要的资源及服务，并且能够准确定 位。对于用户采用实时注册的方式，即每次登录网络都必须注册，各类服务及 业务应用采用非实时注册方式，即在开通运行时进行一次注册。资源注册所在 的设备和系统成为网络资源的“中心”，而基于数字证书的注册解决了网络资 源的“可信”问题。

用户申请资源是指用户在使用某项资源之前必须经过申请、审核与开通的 过程。

为用户提供资源的主动推送是指在完成对用户的身份识别之后，自动关联 该用户已经申请并审核通过的资源，并将这些资源的访问入口推送到用户的终 端，方便用户访问和使用。

资源状态实时提醒与更新是指对包括联系人、业务资源、各类服务等网络 资源的在线状态、通信状态进行实时的提示，当状态发生改变时，也采用实时 的方式通知到用户终端。

采用呼叫控制的方式对资源进行访问是指在用户真正使用资源之前，先在 用户终端和资源之间建立起一个连接，如果被呼叫的资源拒绝通信或服务，可 以终止该连接，通过这种方式实现了对资源的访问控制，同时也能够对什么用 户访问了什么服务，用了多少时间等运营数据进行记录，支持开展计算机网络 的增值业务。这种方式解决了网络资源的“可控”问题。

以下结合本发明的一较佳实施例说明本发明的方法的实施。

本发明的注册方法的一具体实施例是基于SIP技术的可信注册鉴权与呼 叫控制的资源发布、发现、定位与访问控制方法。SIP(会话初始协议)的最初 开发目的是用来帮助提供跨越因特网的高级电话业务，它是IETF标准进程的 一部分，在诸如SMTP(简单邮件传送协议)和HTTP(超文本传送协议)基础 之上建立起来的。它用来建立，改变和终止基于IP网络的实体间的呼叫。

SIP被描述为用来生成，修改和终结一个或多个参与者之间的会话。会话 中的成员能够通过多播或单播联系的网络来通信。它提供了SIP用户代理和SIP 网络服务器两大要素。

SIP主要提供了以下主要功能：

名字翻译和用户定位：无论被呼叫方在哪里都确保呼叫达到被叫方。

特征协商：它允许与呼叫有关的组在支持的特征上达成一致。

呼叫参与者管理：呼叫中参与者能够引入其它用户加入呼叫或取消到其它 用户的连接。

呼叫特征改变：用户应该能够改变呼叫过程中的呼叫特征及状态。

本发明提出的方法涉及以下步骤：

1、如图1所示，对资源进行统一管理；

(1)为资源进行统一的命名与标注，采用如下形式：id@domain，其中 id代表了资源的名称，domain代表了资源所在的网络域，通过这种方式实现 了资源命名和标注的全网唯一性；

(2)通过PKI体系为资源颁发数字证书，在证书的受理过程中，需要将 资源的全网唯一标识名称写入证书的扩展项；

(3)证书生产完毕后，将证书和私钥保存在证书载体中，网络资源所在 的终端设备通过读取证书载体，可以获得该网络资源的数字证书，使用私钥对 数据签名；

(4)为网络资源配制能力描述信息，详细说明该资源提供什么服务。

2、如图2所示，对资源进行可信注册、发布；

(1)位于网络资源所作终端的SIP用户代理调用通信接口向SIP网络服务 器发出注册申请；

(2)SIP网络服务器响应该请求，并生产一个128位随机数，下传到SIP 用户代理；

(3)SIP用户代理通过读取证书载体中的资源数字证书和私钥，对随机数 进行签名，同时证书载体也生成一个128位随机数，SIP用户代理将证书、签 名值以及新生成的随机数发送到SIP网络服务器；

(4)SIP网络服务器使用资源的公钥验证签名，并将解密后的随机数与刚 才在SIP网络服务器生成的随机数进行比较，如果匹配，则使用自己的私钥对 来自SIP用户代理的随机数进行签名，并把签名值和自己的数字证书传给SIP 用户代理；

(5)SIP用户代理使用SIP网络服务器的数字证书对签名值进行验证，并 将解密后的随机数与原先在终端证书载体生成的随机数进行比对，如果通过则 完成了网络资源和SIP网络服务器之间的基于数字证书的双向强身份认证，该 网络资源成为一项可信的资源；

(6)SIP用户代理采集网络资源的服务描述以及所在终端的IP地址信息， 传给SIP网络服务器；

(7)SIP网络服务器从网络资源的数字证书中解析出资源的唯一标识名称， 将其与服务描述信息、地址信息一起进行登记，可供其他用户和应用查询，至 此完成了资源的可信注册与发布。

本方法支持对于包括用户、服务在内的各类网络资源的注册，实现了对多 样化网络资源的可信发布。

3、如图3所示，对资源进行申请、审核与开通；

资源申请包括对于可信服务的申请和可信联系人的申请，可信服务申请步 骤如下：

(1)用户在完成注册后，由SIP用户代理从SIP网络服务器下载所有注册 的服务和资源列表；

(2)用户选择需要使用的资源，并向SIP网络服务器提交使用申请；

(3)管理员在SIP网络服务器接收申请，根据规则进行审核，并授予用户 资源的访问权限，并将用户和资源的订阅关系信息保存起来；

其中，如图4所示，对于可信联系人的申请步骤如下：

(1)用户完成注册后，由SIP用户代理从SIP网络服务器下载已注册的联 系人列表；

(2)用户选择需要进行联系的人员列表，并向被请求人员发出建立联系的 申请；

(3)被请求人员上线时可以看到申请信息，可以自行决定是否与该用户建 立联系，如果允许建立联系，则通知SIP网络服务器在双方的用户资源订阅关 系中加入对方的信息。

4、如图5所示，对资源进行主动发现与定位；

(1)用户注册后，SIP网络服务器根据用户的身份信息查询保存的用户及 其已经申请并审核通过的资源订阅关系列表，获得该用户拥有的网络资源列 表；

(2)SIP网络服务器根据列表查询这些资源的当前状态(是否在线、处于 何种通信状态等)；

(3)SIP网络服务器将资源唯一标识名称和资源状态信息传送到用户的 SIP用户代理，这样用户可以在不用输入任何地址信息的情况下，发现并定位 自己的资源。

5、如图6所示，通过事先呼叫对资源进行访问控制，包括以下步骤：

(1)用户通过SIP用户代理向SIP网络服务器发出包含资源唯一标识名 的呼叫请求，要求访问该项资源；

(2)SIP网络服务器判断用户确实拥有该项注册资源的访问权限，在记录 下访问用户身份、访问时间等信息后，将资源注册的地址信息返回给SIP用户 代理；

(3)SIP用户代理通过资源的地址使用户能够访问和使用该项资源。

现结合图7描述具体应用前述实施例方法的系统。

所述系统包括由业务专网连接的网络域域A、域B和域C以及多个所述用 户的终端代理。所述域A、域B和域C都包括注册模块、鉴权模块、状态模块 和密码服务模块以及各种业务应用构成的应用系统，其中所述注册模块、鉴 权模块、状态模块属于所述SIP服务器，所述终端代理为所述SIP终端以与所 述SIP服务器通信。

用户、业务应用及共性服务等资源首先通过PKI体系获得数字证书，然后 登入该系统时需通过注册模块进行注册后成为可信资源，该注册包括用户注册 和应用注册。为用户、业务应用及共性服务提供注册服务，用户、业务应用及 共性服务通过该终端代理持该数字证书到该注册模块进行注册，对包括其身 份、服务能力及位置等在内的资源信息进行登记。对于所述用户采用实时注册 的方式，即每次登录所述系统都必须注册，对所述业务应用及共性服务采用非 实时注册方式，即所述系统开通运行时进行一次注册。所述的共性服务为所有 所述用户均可使用的服务，如网页浏览等。

身处异地的用户要进行注册时，由当地的该注册模块对注册请求进行重定 向，寻到该用户所在网络域的注册模块进行注册。该重定向由该注册模块中 的重定向模块实现，该用户发出呼叫请求后，该注册模块自动解析出该用户呼 叫的真实地址，如果该地址不属于本地的注册模块，则通过该重定向模块将该 呼叫请求重新定向到该呼叫对象所在网络域的目标注册模块上。

该用户对需使用的该些资源进行申请才可使用，该用户提出该申请后，鉴 权模块为该用户提供权限信息服务，其根据相关应用系统或管理员发布的授权 列表判断该些用户是否有权使用指定的服务/资源，所述资源包括：用户、业 务应用和共性服务等。更具体地，该鉴权模块通过包含用户权限信息的权限信 息列表，可以知道该用户是否能访问某个应用系统或服务，并且支持用户申请 其未开通的联系人、业务应用或其他资源。该鉴权模块提供鉴权信息收集。该 鉴权模块接收来自相关权限管理系统(如：资源管理系统、用户管理系统等) 发布的权限信息列表或支持管理员进行配置，将这些信息保存在鉴权数据库中 成为鉴权数据，供所述鉴权模块使用。该鉴权模块处理的该鉴权数据主要包括 两类：本域内鉴权数据和分布式鉴权数据。本域内授权数据仅对本域内用户有 效，这种类型的鉴权数据来自业务运行和资源管理体系中的各系统。分布式鉴 权数据描述两个不同域内用户的权限关系，这种类型的鉴权数据来自跨域资源 管理模块或由管理员进行配置。

所述状态模块为该些用户提供该些资源的即时状态及其更新服务。使网络 环境下的该些用户的实体间能更方便地联系、该些资源可以更容易被使用，例 如可以了解联系人及业务应用的在线状态、即时通信状态或者网络会议室等共 性服务的使用状态等。状态模块根据鉴权模块提供的可信资源与用户的对应信 息，该状态模块产生该用户对于该资源的订阅状态列表，并将该资源的标识及 其状态发送到该用户的该终端代理上。状态模块接受由位于该资源所在终端的 该终端代理发出的状态变化指令，并根据该订阅状态列表通报此状态。

用户根据该订阅状态列表对该资源进行访问。因此，该注册模块还包括定 位模块以使该用户能能够迅速、便捷的访问该资源。该定位模块存储并向该用 户返回所述已注册的资源的位置信息，该些位置信息来自于该些资源的注册、 管理员配置登记或者从其他数据库进行同步获得。

所述密码模块是注册模块进行身份认证所要用到的辅助模块提供加密、解 密、签名、验证、随机数生成等服务。

本发明的方法解决了以下问题：

1、解决了对于网络资源的可信发布问题，用户与应用系统必须基于数字 证书在完成验证的基础上才能够接入网络，使网络用户与应用成为可信的人和 可信的应用；

2、解决了对于网络资源的控制、管理与运营问题，能够记录并统计资源 及服务的使用者，使用时间和使用次数等运营数据，使网络资源及服务提供商 能够在此基础上提供网络增值服务；

3、解决了网络资源的实时发现与主动推送问题，需要使用资源的用户可 以根据自己的权限，自动获得从服务端推送过来的各类实时在线的服务资源， 包括其他可信联系用户，个性应用和共性服务等，而不需要主动地进行查和 搜索；

4、解决了网络资源的多样性问题，除了支持对共性资源的注册与发布外， 还支持对于其他可信联系用户及个性应用的注册，使得用户能够获得个性化的 服务体验；

5、解决了网络资源的分域管理问题，对包括其他可信联系用户、共性资 源和个性应用在内的所有网络资源发放唯一标识，标识出资源地唯一ID和所 在域的域名，实现资源的分域管理。

综上所述，本说明书中所述的只是本发明的较佳具体实施例。凡本技术领 域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有 限的实验可以得到的技术方案，皆应在本发明的权利要求保护范围内。