一種基于軟件數(shù)字證書和時(shí)間戳的WebService安全認(rèn)證訪問控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)和信息安全技術(shù)領(lǐng)域,具體涉及WebService服務(wù)端對(duì)客戶端認(rèn)證以及時(shí)間訪問控制技術(shù)。
【背景技術(shù)】
[0002]WebService當(dāng)今成為網(wǎng)絡(luò)接口服務(wù)的主流手段，安全性方面一直受到關(guān)注，WebService本身也有訪問認(rèn)證，當(dāng)前有幾種認(rèn)證方法:
[0003](I)使用用戶名口令方式。這種方式雖然簡(jiǎn)單易行，但安全性弱，用戶名密碼容易被盜，并且基于密碼的訪問需要定期更換密鑰，對(duì)于安全易用性都有嚴(yán)重影響。
[0004](2) WebService自帶的證書認(rèn)證,雖然能夠使用證書,但擴(kuò)展性不強(qiáng),不能使用基于國(guó)密算法的SM2證書，并且無法根據(jù)有效的時(shí)間戳信息確定時(shí)間認(rèn)證和訪問控制。
[0005]由此可見提供一種WebService服務(wù)端對(duì)客戶端的安全方便的認(rèn)證控制機(jī)制是本領(lǐng)域亟需要解決的問題。

【發(fā)明內(nèi)容】

[0006]針對(duì)現(xiàn)有WebService訪問認(rèn)證所存在的問題，本發(fā)明的目的在于提供一種基于軟件數(shù)字證書和時(shí)間戳的WebService唯一'丨生認(rèn)證方法,該方法使用軟件方法來實(shí)現(xiàn)應(yīng)用服務(wù)器認(rèn)證客戶端以及訪問控制，有效解決WebService服務(wù)端對(duì)客戶端的方便性安全認(rèn)證以及訪問控制的問題。
[0007]為了達(dá)到上述目的，本發(fā)明采用如下的技術(shù)方案:
[0008]一種基于軟件數(shù)字證書和時(shí)間戳的WebService安全認(rèn)證訪問控制方法,所述安全認(rèn)證訪問控制方法包括如下步驟:
[0009]( DffebService客戶端安裝證書客戶端,根據(jù)證書設(shè)備信息生成證書請(qǐng)求,通過證書請(qǐng)求向CA認(rèn)證中心請(qǐng)求簽發(fā)設(shè)備證書,并將返回的設(shè)備證書導(dǎo)入到WebService客戶端，且把此設(shè)備證書添加進(jìn)WebService服務(wù)端受信任的證書體系；
[0010](2)發(fā)送請(qǐng)求時(shí)，WebService客戶端構(gòu)造WebService請(qǐng)求,并通過導(dǎo)入的設(shè)備證書對(duì)WebService請(qǐng)求數(shù)據(jù)簽名；
[0011](3)ffebService客戶端對(duì)生成的WebService請(qǐng)求數(shù)據(jù)調(diào)用時(shí)間戳服務(wù)，由時(shí)間戳服務(wù)器從時(shí)間源獲取標(biāo)準(zhǔn)時(shí)間，使用時(shí)間戳服務(wù)器私鑰對(duì)WebService請(qǐng)求數(shù)據(jù)簽發(fā)時(shí)間戳；
[0012](4) WebService客戶端把WebService請(qǐng)求數(shù)據(jù)原文、WebService客戶端的設(shè)備證書、簽名消息、時(shí)間戳信息，封裝后通過WebService接口把數(shù)據(jù)發(fā)送到WebService服務(wù)端;
[0013](5) WebService服務(wù)端在客戶端設(shè)備證書、數(shù)字簽名數(shù)據(jù)以及時(shí)間戳信息三者都驗(yàn)證通過后，才處理WebService請(qǐng)求,并向WebService客戶端返回處理結(jié)果；否則認(rèn)為此請(qǐng)求不合法。
[0014]在本方案的優(yōu)選實(shí)例中，所述步驟(5)具體通過如下步驟進(jìn)行驗(yàn)證:
[0015]所述步驟(5)具體通過如下步驟進(jìn)行驗(yàn)證:
[0016](5-1) WebService服務(wù)端收到WebService請(qǐng)求,解開獲取到客戶端設(shè)備證書信息，判斷此證書的合法性，并可通過WebService客戶端的設(shè)備證書驗(yàn)證訪問權(quán)限；
[0017](5-2)客戶端設(shè)備證書驗(yàn)證通過后，WebService服務(wù)端獲取到數(shù)字簽名數(shù)據(jù)，驗(yàn)證數(shù)字簽名；
[0018](5-3)在數(shù)字簽名通過后，WebService服務(wù)端獲取到時(shí)間戳信息，判斷時(shí)間戳有效性，有效則獲取時(shí)間信息，判斷時(shí)間是否在合法時(shí)間內(nèi)。
[0019]進(jìn)一步的，所述步驟(I)中在生成證書請(qǐng)求時(shí)所生成的公私鑰包括但不限于RSA密鑰，ECC密鑰。
[0020]進(jìn)一步的,所述步驟(I)中證書請(qǐng)求格式包括但不限于pkcslO格式的證書請(qǐng)求。
[0021]進(jìn)一步的，所述步驟(I)中軟件數(shù)字證書包括但不限于符合X509格式的證書。
[0022]進(jìn)一步的,所述步驟(I)中WebService客戶端通過添加的證書客戶端控制證書生成模式，并根據(jù)不同的應(yīng)用控制不同應(yīng)用的訪問控制。
[0023]進(jìn)一步的，所述步驟(2)中證書簽名包括但不限于SHA1WITHRSA、SM3WITHSM2。
[0024]進(jìn)一步的，所述步驟(3)中WebService客戶端通過調(diào)用時(shí)間戳服務(wù)，向時(shí)間戳服務(wù)器發(fā)送一個(gè)時(shí)間戳請(qǐng)求信息。
[0025]進(jìn)一步的,所述步驟(4)中WebService客戶端把原文請(qǐng)求數(shù)據(jù),證書信息,簽名數(shù)據(jù)，時(shí)間戳信息封裝成請(qǐng)求包。
[0026]進(jìn)一步的，所述步驟(5-1)中數(shù)字證書驗(yàn)證包括但不限于以下驗(yàn)證手段:
[0027]驗(yàn)證證書在服務(wù)器端的有效性，包含證書是否受信任，是否已經(jīng)被廢除；
[0028]驗(yàn)證證書在服務(wù)端的使用權(quán)限，使用者身份是否正確。
[0029]進(jìn)一步的，所述步驟(5-2)中簽名結(jié)果驗(yàn)證不限于以下驗(yàn)證手段:
[0030]通過服務(wù)器證書驗(yàn)證簽名，不限于指定簽名算法SHA1WITHRSA、SM3WITHSM2。
[0031]進(jìn)一步的，所述步驟(5-2)中時(shí)間戳驗(yàn)證不限于時(shí)間戳的有效性，驗(yàn)證時(shí)間的訪問控制，根據(jù)時(shí)間控制訪問請(qǐng)求。
[0032]根據(jù)上述技術(shù)方案得到的本發(fā)明能夠很好對(duì)WebService客戶端進(jìn)行驗(yàn)證，在客戶端訪問敏感信息，對(duì)訪問有認(rèn)證需求，有時(shí)間控制的需求，采用數(shù)字證書體系認(rèn)證強(qiáng)度高，不怕請(qǐng)求數(shù)據(jù)被串改；而且在注冊(cè)時(shí)數(shù)字證書內(nèi)容與請(qǐng)求信息，簽名數(shù)據(jù)，時(shí)間戳信息一起提交，可保證客戶端訪問正確性，并且可以嚴(yán)格控制訪問數(shù)據(jù)的安全性，訪問控制的高要求，而且可根據(jù)時(shí)間戳信息有效防止重放攻擊。
【附圖說明】
[0033]以下結(jié)合附圖和【具體實(shí)施方式】來進(jìn)一步說明本發(fā)明。
[0034]圖1為本發(fā)明WebService服務(wù)的不意圖；
[0035]圖2為本發(fā)明實(shí)施時(shí)客戶端訪問服務(wù)端的認(rèn)證流程示意圖。
【具體實(shí)施方式】
[0036]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。
[0037]參見圖1，其所示為本發(fā)明提供的基于軟件數(shù)字證書和時(shí)間戳的WebService安全認(rèn)證訪問控制方法對(duì)應(yīng)的WebService服務(wù)示意圖。由圖可知,整個(gè)安全認(rèn)證訪問控制過程如下:
[0038]( DffebService客戶端添加安裝證書客戶端,根據(jù)證書設(shè)備信息生成證書請(qǐng)求,通過該請(qǐng)求向CA認(rèn)證中心請(qǐng)求簽發(fā)設(shè)備證書,將返回的設(shè)備證書導(dǎo)入到WebService客戶端。
[0039]該步驟中，WebService客戶端通過添加的證書客戶端控制證書生成模式,并可根據(jù)不通的應(yīng)用控制不同應(yīng)用的訪問控制。
[0040]對(duì)于生成的證書請(qǐng)求,具體為pkcslO格式的證書請(qǐng)求。而CA認(rèn)證中心返回的設(shè)備證書為軟件數(shù)字證書，具體可以為符合X509格式的證書，但并不限于此。
[0041](2)在WebService客戶端獲取到設(shè)備證書后，WebService客戶端將構(gòu)造WebService請(qǐng)求,并通過設(shè)備證書對(duì)WebService請(qǐng)求數(shù)據(jù)簽名。
[0042](3)ffebService客戶端對(duì)生成的WebService請(qǐng)求數(shù)據(jù)通過調(diào)用時(shí)間戳服務(wù)，向時(shí)間戳服務(wù)器發(fā)送一個(gè)時(shí)間戳請(qǐng)求信息，時(shí)間戳服務(wù)器從時(shí)間源獲取標(biāo)準(zhǔn)時(shí)間，使用時(shí)間戳服務(wù)器私鑰對(duì)WebService請(qǐng)求數(shù)據(jù)簽發(fā)時(shí)間戳。
[0043](4) WebService客戶端將WebService請(qǐng)求原文、WebService客戶端的設(shè)備證書、簽名消息、時(shí)間戳信息，封裝形成一個(gè)完整的請(qǐng)求包，通過WebService接口把數(shù)據(jù)發(fā)送到WebService 服務(wù)端。
[0044](5) WebService服務(wù)端收到WebService請(qǐng)求,解開獲取到證書信息,判斷此證書的合法性，并可通過WebService客戶端的設(shè)備證書驗(yàn)證訪問權(quán)限,合法則獲取到簽名數(shù)據(jù)，驗(yàn)證數(shù)字簽名，驗(yàn)證簽名通過則獲取到時(shí)間戳信息，判斷時(shí)間戳有效性，有效則獲取時(shí)間信息，判斷時(shí)間是否在合法時(shí)間內(nèi)。只有在這三者都驗(yàn)證通過后，才處理WebService請(qǐng)求，并向WebService客戶端返回處理結(jié)果；只要有一項(xiàng)認(rèn)證不通過，就認(rèn)為此請(qǐng)求不合法。
[0045]具體的，該步驟具體通過如下步驟完成客戶端設(shè)備證書、數(shù)字簽名數(shù)據(jù)以及時(shí)間戳信息的驗(yàn)證:
[0046](5-1) WebService服務(wù)端收到WebService請(qǐng)求,解開獲取到證書信息,判斷此證書的合法性，并可通過WebService客戶端的設(shè)備證書驗(yàn)證訪問權(quán)限。該步驟進(jìn)行數(shù)字證書驗(yàn)證的手段如下:
[0047]驗(yàn)證證書在服務(wù)器端的有效性，包含證書是否受信任，是否已經(jīng)被廢除；
[0048]驗(yàn)證證書在服務(wù)端的使用權(quán)限，使用者身份是否正確。
[0049](5-2)在證書的合法性驗(yàn)證通過后,WebService服務(wù)端解開收到的WebService請(qǐng)求，獲取到數(shù)字簽名數(shù)據(jù)，驗(yàn)證數(shù)字簽名。該步驟可通過服務(wù)器證書驗(yàn)證簽名進(jìn)行數(shù)字簽名的驗(yàn)證，例如可以采用相應(yīng)的算法SHA1WITHRSA、SM3WITHSM2，但并不限于此。
[0050](5-3)在數(shù)字簽名數(shù)據(jù)驗(yàn)證通過后,WebService服務(wù)端再解開收到WebService請(qǐng)求，獲取到時(shí)間戳信息，判斷時(shí)間戳有效性，有效則獲取時(shí)間信息，判斷時(shí)間是否在合法時(shí)間內(nèi)。
[0051]依次通過上述三步，可快速、精確的實(shí)現(xiàn)WebService請(qǐng)求的驗(yàn)證。
[0052]參見圖2，其所示為基于上述方案進(jìn)行的客戶端訪問服務(wù)端的認(rèn)證流程示意圖。由圖可知整個(gè)認(rèn)證過程依次分為WebService客戶端注冊(cè)部分(即WebService客戶端生成客戶端信任證書)、WebService客戶端對(duì)訪問請(qǐng)求構(gòu)造部分、WebService服務(wù)端訪問控制認(rèn)證部分。
[0053]對(duì)于WebService客戶端生成客戶端信任證書,具體步驟如下:
[0054](I) WebService客戶端生成設(shè)備