技術領域

本發明涉及數字信息網絡技術領域，尤其涉及一種基于標識的應用服務網絡訪問方法及系統。

背景技術

隨著網絡技術的日新月異，發展出越來越多類型的應用服務，而且這樣的應用服務還在不斷地高速增長。應用服務器作為網絡中的一種實體，根據用戶端的業務需求，提供可訪問的途徑，使用戶能享受到相應的應用服務，即用戶端可以通過應用服務器，訪問存放在各種系統中的各種類型的信息以及享受相關的服務，例如應用服務器可以用于多媒體新聞發布、在線直播、網絡廣告、電子商務、視頻點播、遠程教育、遠程醫療、網絡電臺、實時視頻會議等網絡應用服務的方方面面。

隨著網絡規模和復雜度的不斷提高，網絡逐漸具有更大的開放性，其安全問題也日益引起廣大使用者的高度重視。雖然應用服務器只給通過認證的用戶端提供訪問權限，但是對于用戶端來說，大多數情況下并沒有提供一個驗證應用服務器的合法性的途徑。這將導致一個問題，容易偽造應用服務器的身份來欺騙用戶端接入，實現騙取用戶端的資費、泄露用戶端信息和提供低劣服務等非法目的，從而嚴重影響應用服務器服務提供商的形象和聲譽，導致市場占用率的下降。為解決這個問題，目前普遍采用管理機構對應用服務器和用戶端的身份進行認證，使非法的應用服務器和非法的用戶端即使接入了應用服務網絡，也無法在網絡中進行業務數據的交互和傳輸。

目前，網絡的認證和鑒別等操作都是基于PKI（Public?Key?Infrastructure，公鑰基礎設施）技術的，其存在以下缺點：在網絡中，必然存在各種不同應用服務器服務提供商建立的不同的應用服務網絡，對于用戶端來說，每次接入到一個不同的應用服務網絡都需要進行用戶端信息的注冊和身份的驗證等工作。而且有些服務提供商自己構建CA（Certificate?Authority，認證中心）為用戶端頒發數字證書，對于用戶端來說，面對著數量越來越龐大的應用服務器服務提供商，必須持有一大堆的證書才能獲得相應的應用服務，這對于用戶端來說是非常不便的。

發明內容

本發明實施例提出一種基于標識的應用服務網絡訪問方法及系統，在大規模應用服務網絡中對應用服務器和用戶端進行統一認證，使用戶端能夠以同一身份標識訪問不同應用服務器，為用戶帶來很大的便利。

本發明實施例提供的基于標識的應用服務網絡訪問方法，包括：

在用戶端接入應用服務器的過程中，鑒別服務器根據所述用戶端和所述應用服務器的身份標識，獲取所述用戶端和所述應用服務器的證書，對所述用戶端和所述應用服務器的身份進行驗證，且在所述用戶端和所述應用服務器的身份驗證通過后，所述用戶端和所述應用服務器協商獲得消息鑒別密鑰；

所述用戶端和所述應用服務器根據所述消息鑒別密鑰，進行應用服務數據的保密傳輸。

本發明實施例提供的應用服務器系統，包括用戶端、應用服務器和鑒別服務器；

在所述用戶端接入所述應用服務器的過程中，所述鑒別服務器根據所述用戶端和所述應用服務器的身份標識，獲取所述用戶端和所述應用服務器的證書，對所述用戶端和所述應用服務器的身份進行驗證，且在所述用戶端和所述應用服務器的身份驗證通過后，所述用戶端和所述應用服務器協商獲得消息鑒別密鑰；

所述用戶端和所述應用服務器根據所述消息鑒別密鑰，進行應用服務數據的保密傳輸。

本發明實施例提供的基于標識的應用服務網絡訪問方法及系統，適用于大規模應用服務網絡，鑒別服務器為接入應用服務網絡中的每個用戶端和每個應用服務器頒發證書，并保存證書、注冊信息和身份標識的對應關系。在用戶端接入應用服務器的過程中，鑒別服務器根據用戶端和應用服務器的身份標識，獲取用戶端和應用服務器的證書，對應用服務器和用戶端進行統一認證，使用戶端能夠以同一身份標識訪問不同應用服務器，為用戶帶來很大的便利。而且，在用戶端接入應用服務器的過程中，使用身份標識代替證書描述各個角色的身份信息，減少了接入過程中傳遞消息的報文長度，可以降低通信負荷，極大地提高通信效率。

附圖說明

圖1是本發明提供的基于標識的應用服務網絡訪問方法的一個實施例的流程示意圖；

圖2是本發明提供的應用服務器系統的一個實施例的結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。