本发明专利技术涉及对于应用客户端(AC)对应用服务器(AS1,AS2)上提供的软件产品(SP1,SP2)的访问授予访问权的改进。对此提出,许可服务器(LS)建立、电子签名许可牌并将其传输到应用客户端(AC),该应用客户端自身将许可牌传输到应用服务器(AS1,AS2)。因为应用客户端(AC)在调用软件产品(SP1,SP2)时一同提供对于其访问软件产品(SP1,SP2)的访问权,使得访问权的快速的和高效的检验是可行的,在调用期间也不需要在许可服务器(LS)和应用服务器(AS1,AS2)之间的连接。
【技术实现步骤摘要】
本专利技术涉及一种授予对在应用服务器上提供的软件产品的访问权的方法,以及一种用于执行该方法的相应的计算机系统。
技术介绍
已知多种方法,借助于该方法应用客户端能够访问在应用服务器上提供的软件产品,其中应用客户端和应用服务器经由网络彼此接。例如对于授予访问权来说必要的能够是,在应用客户端中输入所谓的秘钥,该秘钥通常以特定的字串符的形式存在。在此不利的是,对此关于有效的秘钥的信息在应用客户端处必须是已知的。另外的可能性在于许可秘钥物理地传输到应用客户端的储存介质上,其通过昂贵的技术措施防止拷贝。另外已知,在通过应用客户端调用应用服务器上提供的软件产品时,应用服务器首先经由网络与许可服务器接触并询问,是否存在用于相关的应用客户端和相关的软件产品的许可。另外,硬件加密狗(Dongle)的应用在应用客户端处是已知的,其通常包括许可秘钥和必要时用于验证许可所需要的代码。中间连接许可服务器的优点是,为了检验访问授权,不必在应用服务器和应用客户端之间存在直接的接触。
技术实现思路
本专利技术的目的在于,通过使用许可服务器简化对于应用客户端访问在应用服务器上提供的软件产品的授权。迄今为止应用服务器在访问应用服务器上提供的软件产品前必须始终检验是否存在访问授权。对此,通常或者通过在许可服务器处相应的询问检验在许可服务器中许可的存在性,或者检验,在应用客户端的本地储存介质上是否防拷贝地保持有所需要的许可。与此不同,本专利技术提出,在通过应用客户端调用应用服务器上提供的软件产品时,应用服务器首先通知应用客户端,哪些许可对于所计划的访问是必需的。因此应用客户端经由网络从许可服务器请求许可。许可服务器自身建立所谓的许可牌,从该令牌中得出,应用客户端关于在用户服务器上提供的软件产品是否具有许可并必要时得出具有哪些许可。为了使应用服务器具有检验许可牌的正确性的可行性,来自许可服务器的许可牌配有电子签名,并且许可牌传输到应用客户端上。应用客户端自身将已电子签名的许可牌传输到应用服务器。依据电子签名,应用服务器能够检验传输的许可牌的真实性,并在许可有效的情况下授予应用客户端对所提供的软件产品的访问权。根据本专利技术的措施具有的优点是,应用服务器不必在许可服务器处询问有效许可的存在性,而是应用客户端自己一同提供必要的许可信息。因此应用服务器为了检验许可不必直接访问许可服务器。同样地,也不一定需要运行用于储存和传输不可拷贝的许可秘钥数据的复杂方法。有利地,由许可服务器建立的许可牌仅短时间内有效,使得因此能够实际上防止滥用。根据本专利技术优选的实施方式,许可服务器使用加密的许可秘钥用于许可牌的电子签名,并且应用服务器借助许可服务器的公开的签名秘钥验证许可牌的真实性。由此可行的是,应用服务器能够信任许可的来源。本专利技术特别优选的实施方式提出,许可服务器公开的签名秘钥与已电子签名的许可牌一起从许可服务器经由应用客户端传输到应用服务器。这也有助于,检验许可授权不是必需的,且对此在许可服务器和应用服务器之间存在连接。本专利技术的实施方式设置了多个应用服务器,其中应用客户端的调用向在第一应用服务器提出,然而,所调用的软件产品储存在第二应用服务器上。在该情况下软件产品的调用从第一应用服务器转发到第二应用服务器上。第二应用服务器利用对于访问相关的软件产品必需的许可进行应答并从第一应用服务器请求该许可。第一应用服务器自身将对必需的许可的请求转发到应用客户端上,该应用客户端将许可询问转发到许可服务器上。接着许可服务器将关于应用客户端的与所涉及的软件产品相关的许可的信息打包到许可牌中,对其设有电子签名,并将其传输经由应用客户端和第一应用服务器传输到第二应用服务器。这种链接当然也能够扩展到多于两个应用服务器。根据本专利技术的方法的优点是,许可牌能够以描述的方法直接递送到链接中最后的应用服务器。依据提供的签名,链接中最后的应用服务器能够始终验证连同提供的许可牌的正确性。本专利技术的一种实施方式提出,在许可服务器和一个或多个应用服务器之间单独地(einmalig)构建一种“信任关系”。当应用服务器的关于软件产品的许可信息储存在许可服务器中时,能够有利地实现信任关系。这有利地在通过应用客户端第一次调用软件产品前实现。信任关系能够例如如下地构建,即许可服务器将其公开的签名秘钥传输到应用服务器。这样在询问以许可形式的访问权之前构建信任关系具有的优点是,在随后询问访问权时不再需要在许可服务器和应用服务器之间的连接。本专利技术的实施方式提出,软件产品是网络服务(Webservice)。在此将网络服务称作软件应用,其经由网络用于直接的机器对机器互动。对于网络服务的访问常常由多个应用客户端并且在短时间段中同时实现。因此当
在每次调用中也连同提供关于有效许可的信息时,对于其上提供了相关的网络服务的应用服务器来说意味着巨大的负载。附图说明接下来根据实施例详细阐述本专利技术。附图示出了根据本专利技术的计算机系统。具体实施方式附图在此示出了许可服务器LS、应用客户端AC、第一应用服务器AS1以及第二应用服务器AS2,这些经由计算机网络能够彼此连接或已经彼此连接。在应用服务器AS1和AS2上提供软件产品SP1和SP2,例如以网络服务的形式。为了配置示出的计算机系统,首先在许可服务器LS和两个应用服务器AS1和AS2之间构建信任关系。在图中其通过设有标号“0”的双箭头示出。应用服务器AS1和AS2在配置时获得公开的秘钥(公开的证书),许可服务器借助该秘钥电子地签名数据,并能够随后由此检验由许可服务器签名的许可牌的真实性。在第一步骤1中,被授权的人类用户使用应用客户端AC的功能,例如通过借助键盘的用户输入。可替选地也能够考虑的是,在没有人类用户的访问的情况下,软件使用应用客户端AC的功能。该功能使得需要调用在第一应用服务器AS1上提供的软件产品(网络服务)SP1(步骤2)。在第三步骤3中,应用服务器AS1以必要许可的列表进行响应,并将与其相关的数据传输到应用客户端AC上。在第四步骤4中,应用客户端AC在许可服务器LS处请求与必要许可相关的数据。许可服务器LS接着建立许可牌,从该许可牌中得出应用客户端AC关于软件产品SP1的许可和由此的访问权。该许可牌由许可服务器LS电子签名,特别是在使用加密的签名秘钥的情况下电子签名,并在步骤5中传输到应用客户端AC处。在
步骤6中现在实现了通过应用客户端AC第二次调用软件产品SP1,其中随着该调用一同提供已电子签名的许可牌。接下来第一应用服务器AS1借助于许可服务器LS的公开的签名秘钥检验在许可牌中列出的许可的有效性。如果存在所需要的许可,则为应用客户端AC授予对软件产品SP1的访问权。因此在配置后对于在软件产品SP1调用之后检验许可不需要在许可服务器LS和应用服务器AS1之间的连接。如果由应用客户端AC调用的软件产品不是位于与应用客户端AC直接连接的第一应用服务器AS1上,而是位于第二应用服务器AS2上,则示出的措施能够如下地扩展:如果第一应用服务器AS1识别到由应用客户端AC调用的第二软件产品SP2不是在第一应用服务器AS1上,而是在第二应用服务器AS2上储存,则第一应用服务器将源于应用客户端AC的调用在步骤2'中转发到第二应用服务器AS2。第二应用服务器在步骤3'中将本文档来自技高网...
【技术保护点】
一种授予对于在应用服务器(AS1,AS2)上提供的软件产品(SP1,SP2)的访问权的方法,具有如下步骤:通过应用客户端(AC)调用所述软件产品(SP1,SP2),通过所述应用服务器(AS1,AS2)向所述应用客户端(AC)请求至少一个对于访问所述软件产品(SP1,SP2)必需的许可,通过所述应用客户端(AC)向许可服务器(LS)请求必需的所述许可,通过所述许可服务器(LS)建立电子签名的许可牌,并将由所述许可服务器(LS)电子签名的所述许可牌传输到所述应用客户端(AC)处,将电子签名的所述许可牌从所述应用客户端(AC)传输到所述应用服务器(AS1,AS2)处,通过所述应用服务器(AS1,AS2)检验所传输的电子签名的所述许可牌,并在所述许可有效的情况下为所述应用客户端(AC)对所述软件产品(SP1,SP2)的访问授予访问权。
【技术特征摘要】
2015.02.25 EP 15156554.61.一种授予对于在应用服务器(AS1,AS2)上提供的软件产品(SP1,SP2)的访问权的方法,具有如下步骤:通过应用客户端(AC)调用所述软件产品(SP1,SP2),通过所述应用服务器(AS1,AS2)向所述应用客户端(AC)请求至少一个对于访问所述软件产品(SP1,SP2)必需的许可,通过所述应用客户端(AC)向许可服务器(LS)请求必需的所述许可,通过所述许可服务器(LS)建立电子签名的许可牌,并将由所述许可服务器(LS)电子签名的所述许可牌传输到所述应用客户端(AC)处,将电子签名的所述许可牌从所述应用客户端(AC)传输到所述应用服务器(AS1,AS2)处,通过所述应用服务器(AS1,AS2)检验所传输的电子签名的所述许可牌,并在所述许可有效的情况下为所述应用客户端(AC)对所述软件产品(SP1,SP2)的访问授予访问权。2.根据权利要求1所述的方法,其中,所述许可服务器(LS)使用加密的签名秘钥用于所述许可牌的电子签名,并且所述应用服务器(AS1,AS2)借助所述许可服务器(LS)的公开的签名秘钥验证所述许可牌。3.根据权利要求2所述的方法,其中,所述公开的签名秘钥与已电子签名的所述许可牌一起从所述许可服务器(LS)经由所述应用客户端(AC)传输给所述应用服务器(AS1,AS2)。4.根据权利要求1至3中任一项所述的方法,其中,所述应用客户端(AC)在第一应用服务器(A...
【专利技术属性】
技术研发人员:亚历山大·伯克哈特,本杰明·梅,
申请(专利权)人:西门子公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。