CN102427461B - 一种实现Web服务应用安全的方法及系统 - Google Patents
一种实现Web服务应用安全的方法及系统 Download PDFInfo
- Publication number
- CN102427461B CN102427461B CN201110459036.2A CN201110459036A CN102427461B CN 102427461 B CN102427461 B CN 102427461B CN 201110459036 A CN201110459036 A CN 201110459036A CN 102427461 B CN102427461 B CN 102427461B
- Authority
- CN
- China
- Prior art keywords
- soap
- user
- module
- web application
- web service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本申请提供了一种实现Web服务应用安全的方法,包括:Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;SOAP消息截获模块接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务。实现了Web应用与Web服务的信息的安全传递,保证了Web应用和Web服务的安全性。
Description
技术领域
本申请涉及Web服务应用领域,特别涉及一种实现Web服务应用安全的方法及系统。
背景技术
Web服务(Web Service)是基于XML和HTTPS的一种服务,其通信协议主要基于SOAP,服务的描述通过WSDL,通过UDDI来发现和获得服务的元数据。
Web应用即Web应用程序,常见的计数器、留言版、聊天室和论坛BBS等,都是Web应用程序,不过这些应用相对比较简单,而Web应用程序的真正核心主要是对数据库进行处理,管理信息系统(ManagementInformation System,简称MIS)就是这种架构最典型的应用。MIS可以应用于局域网,也可以应用于广域网。目前基于Internet的MIS系统以其成本低廉、维护简便、覆盖范围广、功能易实现等诸多特性,得到越来越多的应用。
由于现在网络中使用了比较灵活的开放标准,所以Web在当今的网络环境中成为一种绝佳机制,通过它可以向客户端提供各种功能并驻留前端Web服务器所访问的中间层业务逻辑。但是,由于存在标准限制且Web服务需要支持多种类型的客户端,所以保护Web服务的安全极具挑战性。
发明人经过研究发现,现有技术中还未存在有效的技术方案对访问Web服务过程中的安全问题进行保障。
发明内容
本申请所要解决的技术问题是提供一种实现Web服务应用安全的方法,保证用户访问Web服务过程中Web服务的安全性。
本申请还提供了一种实现Web服务应用安全的系统,用以保证上述方法在实际中的实现及应用。
为了解决上述问题,本申请公开了一种实现Web服务应用安全的方法,所述方法应用于Web服务应用安全系统中,所述Web服务应用安全系统包括:Web应用代理模块、SOAP(Simple Object Access Protocol,简单对象访问协议)消息截获模块和Web服务访问控制模块;所述方法包括:
所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;
所述SOAP消息截获模块接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;
所述Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务。
上述的方法,优选的,所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份包括:
Web应用代理模块接收到用户发送的SOAP访问请求时,反馈身份提示指令至用户,提示用户提交用户的数字证书;当接收到用户提交的数字证书时,依据所述数字证书验证用户的访问权限。
上述的方法,优选的,所述Web应用安全系统还包括:第三方授权模块,所述第三方授权模块同时得到Web应用与Web服务的信任授权;
当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送过程中,所述生成交互密钥包括:
所述第三方授权模块接收Web应用发送的经过加密的数值;当接收到所述经过加密的数值时,依据预设规则生成第三方数值;依据所述Web应用发送的经过加密的数值及所述第三方数值,生成加密数值;并将所述加密数值发送至所述Web应用代理模块;
所述Web应用代理模块依据所述加密数值生成交互密钥。
上述的方法,优选的,在所述SOAP消息截获模块接收到所述Web应用代理模块发送的所述经过加密的SOAP请求后,在对所述经过加密的SOAP请求进行解密前,还包括:
验证所述经过加密的SOAP请求的完整性;当所述SOAP请求处于完整状态时,对所述SOAP请求进行解密。
上述的方法,优选的,还包括:将经过加密的SOAP访问请求发送至SOAP消息截获模块时,对所述发送的SOAP请求的发送属性进行审计记录,当所述审计记录不满足预设条件时,触发警报。
一种实现Web服务应用安全的系统,所述系统包括:
Web应用代理模块、SOAP(Simple Object Access Protocol,简单对象访问协议)消息截获模块和Web服务访问控制模块;
其中:
所述Web应用代理模块用于接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;
所述SOAP消息截获模块用于接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;
所述Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务。
上述的系统,优选的,所述系统还包括:
第三方授权模块;
所述第三方授权模块同时得到Web应用与Web服务的信任授权;
所述第三方授权模块用于接收Web应用发送的经过加密的数值;当接收到所述经过加密的数值时,依据预设规则生成第三方数值;依据所述Web应用发送的经过加密的数值及所述第三方数值,生成加密数值,并将所述加密数值发送至所述Web应用代理模块。
上述的系统,优选的,所述系统还包括:
审计模块;
所述审计模块用于将经过加密的SOAP访问请求发送至SOAP消息截获模块时,对所述发送的SOAP请求的发送属性进行审计记录,当所述审计记录不满足预设条件时,触发警报。
上述的系统,优选的,所述系统还包括:
用户信息管理模块;
所述用户信息管理模块用于对发送SOAP访问请求至所述Web应用代理模块的用户的用户信息进行管理,并对所述用户的访问权限进行设置。
与现有技术相比,本申请包括以下优点:
在本申请中,用户需要访问Web服务时,发送SOAP访问请求至Web应用代理模块;所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;所述SOAP消息截获模块接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;所述Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务。
本申请提供的实现Web服务应用安全的方法及系统,在用户通过Web应用访问Web服务的过程中,在用户访问Web应用及通过Web应用访问Web服务的过程中,都设置了数据加密过程,从而保证了访问Web服务的安全。
当然,实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的一种实现Web服务应用安全的方法实施例1的流程图;
图2是本申请的一种实现Web服务应用安全的方法实施例2的一具体流程图;
图3是本申请的一种实现Web服务应用安全的系统实施例1的结构框图;
图4是本申请的一种实现Web服务应用安全的系统实施例2的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
参考图1,示出了本申请一种实现Web服务应用安全的方法实施例1的流程图,所述方法应用于Web服务应用安全系统中,所述Web服务应用安全系统包括:Web应用代理模块、SOAP消息截获模块和Web服务访问控制模块;所述方法可以包括以下步骤:
步骤101:所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份,用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;
Web应用代理模块接收到用户发送的SOAP访问请求时,反馈身份提示指令至用户,提示用户提交用户的数字证书;当接收到用户提交的数字证书时,依据所述数字证书验证用户的访问权限。
步骤S102:所述SOAP消息截获模块接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;
步骤S103:所述Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务。
本申请实施例提供的实现Web服务应用安全的方法所应用的Web应用安全系统中还包括:第三方授权模块,所述第三方授权模块同时得到Web应用与Web服务的信任授权;当用户通过身份验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送的过程中,生成交互密钥的过程包括:
所述第三方授权模块接收Web应用发送的经过加密的数值;当接收到所述经过加密的数值时,依据预设规则生成第三方数值;依据所述Web应用发送的经过加密的数值及所述第三方数值,生成加密数值;并将所述加密数值发送至所述Web应用代理模块;所述Web应用代理模块依据所述加密数值生成交互密钥。
本申请实施例提供的实现Web服务应用安全的方法中,在所述SOAP消息截获模块接收到所述Web应用代理模块发送的所述经过加密的SOAP请求后,在对所述经过加密的SOAP请求进行解密前,还包括:
验证所述经过加密的SOAP请求的完整性;当所述SOAP请求处于完整状态时,对所述SOAP请求进行解密。
并且,将经过加密的SOAP访问请求发送至SOAP消息截获模块时,对所述发送的SOAP请求的发送属性进行审计记录,当所述审计记录不满足预设条件时,触发警报。
本申请实施例提供的实现Web服务应用安全的方法,结合ws-security、saml和精确访问控制的xacml,在Web应用与Web服务不信任的前提下,实现Web应用与Web服务的信息的安全传递,同时针对具体的访问者进行认证和授权,保证了只有经过授权的用户才能访问Web服务,并且保证Web应用和Web服务的安全性。
本申请实施例提供的实现Web应用安全的方法的应用前提是,Web应用与Web服务是不信任的,但是它们同时信任第三方的机构。第三方机构会首先给Web应用发送一个令牌,令牌中按照一定的存储算法存储了Web应用和Web服务传输需要的密钥,此密钥在Web应用中可以通过第三方机构发送的数值根据协商好的算法自己生成,这样Web应用和Web服务就可以通过此密钥进行通信。在Web应用和Web服务都有自己的访问控制模式,Web应用是基于角色的访问控制,Web服务是基于属性的访问控制。
本申请实施例提供的方法应用于Web服务应用安全系统中,所述Web服务应用安全系统包括:Web应用代理模块、SOAP(Simple Object AccessProtocol,简单对象访问协议)消息截获模块和Web服务访问控制模块;还包括:第三方授权模块、审计模块和用户信息管理模块。
其中:Web应用代理模块
主要用于当用户访问Web应用时,Web应用代理模块会自动截获用户信息,并要求用户提交数字证书,当数字证书是有效则允许用户访问Web应用。
SOAP消息截获模块,主要用于Web应用和Web服务之间的安全信息传输,保证了网络上端到端之间的传输。
Web服务访问控制模块,主要用于Web服务收到Web应用的请求后,对访问者的信息进行分析,到相应的策略库中进行匹配策略,返回是否允许用户访问Web服务。
用户信息管理模块,主要用于保存用户的信息,以及对用户信息的管理以及权限控制。
审计模块,在Web应用发给Web服务请求时,会自动调用审计模块,审计模块会加入Web应用的调用时间、ip等环境属性,保证调用信息的可信性,并且在同一请求多次提交形成恶意攻击的时候会发出警告。
针对上述各个模块的应用场景及功能,本申请实施例提供的实现Web服务应用安全的方法的工作原理,如下:
当访问Web应用时,Web应用代理模块会要求用户出示数字证书,验证数字证书的有效性并且判断该用户是否有权限访问Web应用。
用户登录到Web应用后,当Web应用要访问Web服务时,会先与第三方授权模块协商算法,接下来按照一定的规则生成一个数值,然后对该数值加密签名后到第三方授权模块申请令牌,第三方授权模块收到请求后,会按照规则生成一个数值,然后根据Web应用发送的数值以及自己生成的数值和协商好的算法生成一个新的数值,把该数值放到令牌中,然后把令牌和生成的数值加密签名后请求Web应用,Web应用收到请求信息后,会先解密并验证签名,确定是可信任的第三方授权模块发送的信息,然后会根据接收的数值和自己生成的数值以及协商算法生成一个数字,该数值与令牌中的数值相对应,Web应用用该数值对消息请求进行加密发送给Web服务,在请求过程中审计模块会自动加入调用者的信息。
Web服务收到请求前要先通过防火墙过滤,只有通过防火墙授权的用户才能调用Web服务,Web服务收到请求后首先会解密出令牌中的数值,然后用该数值对soap请求进行解密,根据用户的证书首先到本地的用户管理系统查找用户的信息,如果查找不到,会自动进行身份联合,到相应的用户管理系统查找信息。然后根据用户信息到策略库中进行匹配策略,匹配成功后,允许该用户访问Web服务,用数值对返回结果进行加密,返回给Web应用。
通过Web应用代理模块和SOAP消息截获模块和Web服务访问控制模块,用户信息管理模块组成来实现Web服务应用安全的方法与机制,在Web应用和Web服务不信任的前提下,通过第三方授权模块颁发的令牌实现Web应用和Web服务之间的安全通信,在通信过程中审计模块自动加入调用者信息保证了信息的可靠性与一致性,在恶意攻击下会自动发出警告,经过防火墙过滤后,soap消息截获模块会自动处理Web应用发送的soap消息并对用户自动进行身份联合,根据查找到的用户信息进行策略评估,策略评估。
为了详尽的对上述过程进行描述,本申请实施例提供的一种实现Web服务应用安全的方法实施例2的一具体流程图,如图2所示,包括:
步骤S201:用户访问Web应用;
步骤S202:Web应用代理模块截获用户请求提示用户提交数字证书;
步骤S203:判断用户是否有权访问Web应用,如果是,执行步骤S205,否则,执行步骤S204;
步骤S204:提示用户没有访问权限;
步骤S205:Web应用于第三方授权模块(简称第三方机构)协商算法;
步骤S206:Web应用根据规则生成数值;
步骤S207:Web应用对数值进行加密和签名后,发送至第三方机构;
步骤S208:判断第三方验证信息是否完整且具有保密性,如果是执行步骤S209;否则,执行步骤S221;
步骤S209:第三方机构根据算法生成密钥放并放到令牌中;
步骤S210:第三方机构把令牌和数值加密和签名后,发送给Web应用代理模块;
步骤S211:Web应用代理模块判断信息是否具有完整性以及保密性;如果是,执行步骤S212;否则,执行步骤S221;
步骤S212:Web应用代理根据数值以及算法生成密钥;
步骤S213:用密钥对SOAP请求和令牌加密签名后发送给Web服务;
步骤S214:审计模块添加调用者信息;
步骤S215:防火墙过滤,判断用户是否通过授权;如果是,执行步骤S216;否则,执行步骤S221;
步骤S216:SOAP消息截获模块验证信息是否完整且具有保密性;如果是,执行步骤S217;否则,执行步骤S221;
步骤S217:SOAP消息截获模块解密出密钥,根据密钥解密用户信息;
步骤S218:Web服务访问控制模块根据用户信息在策略库中匹配策略,匹配成功,执行步骤S219;否则,执行步骤S221;
步骤S219:Web服务用密钥返回信息给Web应用;
步骤S220:Web应用受到信息解密获取到返回的信息;
步骤S221:所述方法执行结束。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
与上述本申请一种实现Web服务应用安全的方法实施例1所提供的方法相对应,参见图3,本申请还提供了一种实现Web服务应用安全的系统实施例1,在本实施例中,该装置可以包括:
Web应用代理模块301、SOAP(Simple Object Access Protocol,简单对象访问协议)消息截获模块302和Web服务访问控制模块303;
其中:
所述Web应用代理模块301用于接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;
所述SOAP消息截获模块302用于接收所述Web应用代理模块301发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;
所述Web服务访问控制模块303应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务。
在图3的基础上,本申请实施例提供了实现Web服务应用安全的系统的另一结构示意图,如图4所示,所述系统还包括:
第三方授权模块304;
所述第三方授权模块304同时得到Web应用与Web服务的信任授权;
所述第三方授权模块304用于接收Web应用发送的经过加密的数值;当接收到所述经过加密的数值时,依据预设规则生成第三方数值;依据所述Web应用发送的经过加密的数值及所述第三方数值,生成加密数值,并将所述加密数值发送至所述Web应用代理模块。
审计模块305;
所述审计模块305用于将经过加密的SOAP访问请求发送至SOAP消息截获模块时,对所述发送的SOAP请求的发送属性进行审计记录,当所述审计记录不满足预设条件时,触发警报。
用户信息管理模块306;
所述用户信息管理模块306用于对发送SOAP访问请求至所述Web应用代理模块的用户的用户信息进行管理,并对所述用户的访问权限进行设置。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
以上对本申请所提供的一种检索方法、装置及系统进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (6)
1.一种实现Web服务应用安全的方法,其特征在于,所述方法应用于Web服务应用安全系统中,所述Web服务应用安全系统包括:Web应用代理模块、SOAP(Simple Object Access Protocol,简单对象访问协议)消息截获模块和Web服务访问控制模块;所述方法包括:
所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;
所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份包括:
Web应用代理模块接收到用户发送的SOAP访问请求时,反馈身份提示指令至用户,提示用户提交用户的数字证书;当接收到用户提交的数字证书时,依据所述数字证书验证用户的访问权限;
所述SOAP消息截获模块接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;
所述Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务;
所述Web应用安全系统还包括:第三方授权模块,所述第三方授权模块同时得到Web应用与Web服务的信任授权;
当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送过程中,所述生成交互密钥包括:
所述第三方授权模块接收Web应用发送的经过加密的数值;当接收到所述经过加密的数值时,依据预设规则生成第三方数值;依据所述Web应用发送的经过加密的数值及所述第三方数值,生成加密数值;并将所述加密数值发送至所述Web应用代理模块;
所述Web应用代理模块依据所述加密数值生成交互密钥。
2.根据权利要求1所述的方法,其特征在于,在所述SOAP消息截获模块接收到所述Web应用代理模块发送的所述经过加密的SOAP请求后,在对所述经过加密的SOAP请求进行解密前,还包括:
验证所述经过加密的SOAP请求的完整性;当所述SOAP请求处于完整状态时,对所述SOAP请求进行解密。
3.根据权利要求1所述的方法,其特征在于,还包括:将经过加密的SOAP访问请求发送至SOAP消息截获模块时,对所述SOAP访问请求的发送属性进行审计记录,当所述审计记录不满足预设条件时,触发警报。
4.一种实现Web服务应用安全的系统,其特征在于,所述系统包括:
Web应用代理模块、SOAP(Simple Object Access Protocol,简单对象访问协议)消息截获模块和Web服务访问控制模块;
其中:
所述Web应用代理模块用于接收到用户发送的SOAP访问请求时,验证所述用户的身份,当用户通过验证时,生成交互密钥对接收的所述SOAP访问请求进行加密并发送;
所述Web应用代理模块接收到用户发送的SOAP访问请求时,验证所述用户的身份包括:
Web应用代理模块接收到用户发送的SOAP访问请求时,反馈身份提示指令至用户,提示用户提交用户的数字证书;当接收到用户提交的数字证书时,依据所述数字证书验证用户的访问权限;
所述SOAP消息截获模块用于接收所述Web应用代理模块发送的所述经过加密的SOAP请求,对所述经过加密的SOAP请求进行解密,解析与所述SOAP请求相对应的用户信息;
所述Web服务访问控制模块应用所述用户信息在预设的策略库中匹配与所述用户发送的SOAP访问请求相对应的策略,当匹配成功时,允许用户访问Web服务;
所述系统还包括:
第三方授权模块;
所述第三方授权模块同时得到Web应用与Web服务的信任授权;
所述第三方授权模块用于接收Web应用发送的经过加密的数值;当接收到所述经过加密的数值时,依据预设规则生成第三方数值;依据所述Web应用发送的经过加密的数值及所述第三方数值,生成加密数值,并将所述加密数值发送至所述Web应用代理模块。
5.根据权利要求4所述的系统,其特征在于,所述系统还包括:
审计模块;
所述审计模块用于将经过加密的SOAP访问请求发送至SOAP消息截获模块时,对所述SOAP访问请求的发送属性进行审计记录,当所述审计记录不满足预设条件时,触发警报。
6.根据权利要求4所述的系统,其特征在于,所述系统还包括:
用户信息管理模块;
所述用户信息管理模块用于对发送SOAP访问请求至所述Web应用代理模块的用户的用户信息进行管理,并对所述用户的访问权限进行设置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110459036.2A CN102427461B (zh) | 2011-12-31 | 2011-12-31 | 一种实现Web服务应用安全的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110459036.2A CN102427461B (zh) | 2011-12-31 | 2011-12-31 | 一种实现Web服务应用安全的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102427461A CN102427461A (zh) | 2012-04-25 |
CN102427461B true CN102427461B (zh) | 2015-05-20 |
Family
ID=45961404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110459036.2A Active CN102427461B (zh) | 2011-12-31 | 2011-12-31 | 一种实现Web服务应用安全的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102427461B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106470184B (zh) * | 2015-08-14 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 安全认证方法、装置及系统 |
CN112685706A (zh) * | 2020-12-29 | 2021-04-20 | 平安普惠企业管理有限公司 | 请求鉴权方法及相关设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141466A (zh) * | 2007-10-26 | 2008-03-12 | 北京交通大学 | 基于交织水印和生物特征的文件认证方法 |
CN101299753A (zh) * | 2008-06-17 | 2008-11-05 | 浙江大学 | 基于代理服务器的Web服务安全控制机制 |
CN101374153A (zh) * | 2007-08-23 | 2009-02-25 | 中国移动通信集团公司 | 安全激活第三方应用的方法、第三方服务器、终端及系统 |
CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
-
2011
- 2011-12-31 CN CN201110459036.2A patent/CN102427461B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101374153A (zh) * | 2007-08-23 | 2009-02-25 | 中国移动通信集团公司 | 安全激活第三方应用的方法、第三方服务器、终端及系统 |
CN101141466A (zh) * | 2007-10-26 | 2008-03-12 | 北京交通大学 | 基于交织水印和生物特征的文件认证方法 |
CN101299753A (zh) * | 2008-06-17 | 2008-11-05 | 浙江大学 | 基于代理服务器的Web服务安全控制机制 |
CN102118385A (zh) * | 2010-12-14 | 2011-07-06 | 北京握奇数据系统有限公司 | 安全域的管理方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102427461A (zh) | 2012-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110855671B (zh) | 一种可信计算方法和系统 | |
Banyal et al. | Multi-factor authentication framework for cloud computing | |
KR102055116B1 (ko) | 데이터 보안 서비스 | |
Sood | A combined approach to ensure data security in cloud computing | |
Ali et al. | DaSCE: Data security for cloud environment with semi-trusted third party | |
Pradeep et al. | An efficient framework for sharing a file in a secure manner using asymmetric key distribution management in cloud environment | |
CN111770088A (zh) | 数据鉴权方法、装置、电子设备和计算机可读存储介质 | |
Selvamani et al. | A review on cloud data security and its mitigation techniques | |
Kumar et al. | Data outsourcing: A threat to confidentiality, integrity, and availability | |
Manjusha et al. | Secure authentication and access system for cloud computing auditing services using associated digital certificate | |
Athena et al. | Survey on public key cryptography scheme for securing data in cloud computing | |
Rajkumar et al. | Deep learning based user identity management protocol for improving security in cloud communication | |
CN102665205B (zh) | 移动增值服务系统中保护用户访问隐私的访问控制方法 | |
Al Hamadi et al. | A novel security scheme for the smart grid and SCADA networks | |
CN102427461B (zh) | 一种实现Web服务应用安全的方法及系统 | |
Tiwari et al. | Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos | |
CN104811421A (zh) | 基于数字版权管理的安全通信方法及装置 | |
CN105376242A (zh) | 一种云终端数据访问的认证方法、系统及云终端的管理系统 | |
Arki et al. | A multi-agent security framework for cloud data storage | |
Senthil Mahesh et al. | Secure and novel authentication model for protecting data centers in fog environment | |
Al-Shqeerat et al. | Design and Analysis of an Effective Secure Cloud System at Qassim University | |
Arya et al. | An authentication approach for data sharing in cloud environment for dynamic group | |
Donald et al. | Key based mutual authentication (KBMA) mechanism for secured access in MobiCloud environment | |
Zhang et al. | A Secure Access Control Framework for Cloud Management | |
Goswami et al. | Investigation on storage level data integrity strategies in cloud computing: classification, security obstructions, challenges and vulnerability |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |