【IT168 信息化】

     软件互联平台统一提供了用户注册、登录认证、订购、退订、计费、充值等功能，所有ISV 和独立开发者提供的服务/应用只需要调用相应接口，即可实现系统接入。在整个生态体系中，用户/公司信息和客户消费信息都存储在软件互联平台的中心数据库中，但业务数据即可Hosting在阿里软件，也可存在于服务提供商。 

     1. ISV 接入改造要点 

     概括起来，一个ISV服务/应用接入软件互联平台，只需要做如下改造即可：

     . 新用户注册 — 最终用户在软件互联平台的服务订阅中心完成ISV 服务订购后，相对于ISV 来说，用户就完成了在该服务/应用上的注册。系统会将软件互联平台的用户信息同步到ISV子系统，提供必要的令牌认证工作。 

     . 用户登录 — 最终用户登录软件互联平台后，跳转到ISV 提供的服务， 会携带必要的令牌认证信息。ISV系统根据令牌判断请求的合法性。如果该请求标示是新用户，系统会自动新增（对于失效用户，对应操作为恢复）ISV本地用户信息。 

     . 用户注销 — 最终用户自己注销软件互联平台上某个ISV 服务/应用；或者ISV或Admin 通过各自Portarl 停止该用户的本项ISV服务。此时系统将对该用户的ISV本地信息作删除（失效）处理。 

     . 计费 — 软件互联平台针对ISV的各类计费模式，提供了一组计费接口， 能使ISV 服务/应用只作很小的改动即可实现计费功能。最终用户使用ISV 服务时，ISV向软件互联平台调用计费服务，传入必要计费信息，软件互联平台返回实际的扣费和欠费信息，ISV保存在本地，作为对帐依据。 

     . 同步余额 — ISV要求软件互联平台返回当前用户余额信息，并保存在本地。 

    

    2. ISV 接入安全与信息加密 

     软件互联平台依托WS-Security 规范，使ISV 拥有在Web Service 应用中实施完整性、机密性和身份验证等安全需求的规范方法。现软件互联平台的Web Service Security 这部分只是要求了Signature，而对于Signature 跟ISV 是使用X.509 证书方式。

     X.509 所谓的证书，其中包括了公钥私钥对（作为签名和认证使用），证书颁发者的信息（可能是一些CA机构或者是用本地的证书生成工具自己生成）， 证书拥有者的身份信息，以及一些导入的受信第三方的公钥证书。当前的证书方式的签名认证主要有两种模式，一种是双方证书都是由第三方CA认证，同时双方都将对方的CA 作为可信的CA，那么请求发起方将会把自己的证书放入到Soap Header中，接受方接受到请求以后，获取证书，发现是受信的CA，那么就认为请求发起方身份可信，同时在作完整性摘要校对。另一种模式就是双方的证书可以没有任何权威的CA作保证，但是双方首先就需要将附带自己公钥的证书发送给对方，对方将这附带有公钥的证书分别导入到证书管理库中(java 是某个JKS，.net 是windows的当前用户或者本机的证书管理文件)。双方交互的时候不需要将证书置入Soap Header 中，但是需要将证书的引用标示（序列号或者是X.509 SubjectKeyIdentifier）传递给服务端，服务端根据标示在本地的证书库中查找并且校验，这种模式的好处就是不需要CA的认证（省钱）同时传递的时候不需要将证书带到Header 中，节省了传递报文的大小，就是双方需要互相保存对方的公钥证书到本地的证书库中。 

    
    图 10 ISV与软件互联平台的WS流程