CN102790712A - Web服务安全处理方法及系统 - Google Patents
Web服务安全处理方法及系统 Download PDFInfo
- Publication number
- CN102790712A CN102790712A CN2011101281738A CN201110128173A CN102790712A CN 102790712 A CN102790712 A CN 102790712A CN 2011101281738 A CN2011101281738 A CN 2011101281738A CN 201110128173 A CN201110128173 A CN 201110128173A CN 102790712 A CN102790712 A CN 102790712A
- Authority
- CN
- China
- Prior art keywords
- web service
- safe handling
- request message
- information
- service request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种Web服务安全处理方法及系统。其中Web服务安全处理方法包括:接收Web服务请求报文,所述请求报文中包含Web服务信息;调用与所述Web服务信息对应的Web服务包;根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。本发明使Web服务运行容器方便地对具有不同安全处理要求的Web服务进行综合的安全策略处理,减少不同安全子功能服务间数据处理的人为参与。
Description
技术领域
本发明涉及互联网技术,尤其涉及一种Web服务安全处理方法及系统。
背景技术
Web可用于提供网上信息浏览服务,用户通过Web服务可以方便地获取丰富的信息。为使Web服务提供的信息不被黑客或信息窃贼轻易获取,Web服务运行容器需要对Web服务提供的信息进行安全处理。
现有技术中,对Web服务提供的信息进行的安全处理,一般是在Web服务的应用层针对具体的Web页面或报文类型采取加密、数字签名或公钥基础设施(Public Key Infrastructure,简称PKI)等安全处理。当请求报文访问Web服务运行容器时,Web服务运行容器直接调用已安全处理的具体Web页面并返回响应报文或者调用Web服务后对特定报文类型的请求报文进行安全处理后返回响应报文。这些Web服务安全处理能够满足特定报文类型或某种Web页面定制的相对简单的安全要求。
然而,实际中Web服务面对各种各样的报文和Web页面,其对安全处理的需求是随机的,因此上述的Web服务安全处理方法难以满足各种报文和Web页面的安全处理需求。
发明内容
本发明的目的是提供一种Web服务安全处理方法及系统,用以使Web服务运行容器方便地对具有不同安全处理要求的Web服务操作进行处理,减少人为参与。
为实现上述目的,本发明提供了一种Web服务安全处理方法,包括:
接收Web服务请求报文,所述请求报文中包含Web服务信息;
调用与所述Web服务信息对应的Web服务包;
根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。
本发明还提供一种Web服务安全处理系统,包括:
收发模块,用于接收Web服务请求报文,所述请求报文中包含Web服务信息;
调用模块,用于调用与所述Web服务信息对应的Web服务包;
处理模块,用于根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理,和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。
由上述技术方案可知,本发明通过在Web服务包中的WSDL文档中添加少量安全信息,无需对Web服务包进行复杂改变,即可实现对Web安全服务的引入扩展,因此Web服务安全处理方法可以满足各种报文和Web页面的安全处理需求,同时降低了人为参与操作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明Web服务安全处理方法实施例一的流程图;
图2为本发明Web服务安全处理方法实施例二的流程图;
图3为图2中步骤24中安全处理的具体流程图;
图4为图3进一步细化的流程图;
图5为图2实施例中对SOAP报文进行加密的模块结构图;
图6为图2实施例中对SOAP报文进行解密的模块结构图;
图7为图2实施例中对SOAP报文进行数字签名的模块结构图;
图8为图2实施例中对SOAP报文进行签名验证的数据流结构图;
图9为图2中步骤24中访问控制的具体流程图;
图10为图2中步骤24中单点登录访问控制的模块结构图;
图11为本发明Web服务安全处理系统实施例一的流程图;
图12为本发明Web服务安全处理系统实施例二的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明Web服务安全处理方法实施例一的流程图,如图1所示,本实施例的方法包括:
步骤11、接收Web服务请求报文,所述请求报文中包含Web服务信息。
本实施例中的Web服务请求报文可以为简单对象访问协议(SimpleObject Access Protocol,以下简称:SOAP)报文,也可以为其他类型的请求报文,以下以SOAP报文为例进行说明。Web服务信息可以为请求Web服务进行相应操作的参数信息,如进行查询、运算或其他操作的参数。步骤12、调用与所述Web服务信息对应的Web服务包。
当Web服务运行容器接收到Web服务请求报文时,获取该请求报文中的Web服务信息,根据该Web服务信息运行容器可以调用相应的Web服务包。
步骤13、根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的进行访问控制。
Web服务包中包括有WSDL(Web Services Description Language,简称:WSDL)文档,WSDL是Web Service的描述语言,用于描述Web Service的服务,接口绑定等,为用户提供详细的接口说明。本实施例中,WSDL文档可以包括对Web服务请求报文进行安全处理的安全处理需求信息,如加密、解密、数字签名和签名验证等;也可以包括对Web服务请求报文的客户端进行访问控制的访问控制策略信息,如单点登录和访问控制等。当运行容器调用Web服务包时,通过解析WSDL文档可以获知需要对Web服务请求报文进行的操作。具体使用中,可以根据安全处理需求在WSDL文档中添加或删除相应的信息。
现有技术中,当需要对不同类型报文进行安全处理时,需要分别对不同类型的报文进行配置相应功能的Web安全服务,因此就需要更多的人为参与。而在本实施例提供的安全处理框架下,可依据安全需求进行安全处理的扩展,即通过在Web服务包中的WSDL文档中添加少量相应的安全信息,在运行容器中部署该Web安全服务后就可使Web服务运行容器方便地调用安全服务,达到对Web服务进行综合的安全策略处理,减少现有技术中各安全子功能服务间数据处理的人为参与,从而提高Web服务效率。
本实施例通过在Web服务包中的WSDL文档中添加少量安全信息,无需对Web服务包进行复杂改变,即可实现对Web安全服务的引入扩展,因此Web服务安全处理方法可以满足各种报文和Web页面的安全处理需求,同时降低了人为参与操作。
在上述实施例一的步骤13之前还可以包括对WSDL文档进行预处理的过程:在步骤13之后还可以包括对返回的响应报文进行安全处理的过程。
图2为本发明Web服务安全处理方法实施例二的流程图,如图2所示,本实施例的方法包括:
步骤21、在Web服务包的WSDL文档中添加安全处理需求信息。
本步骤为安全服务的预处理过程,实际应用中可以根据安全处理需求在WSDL文档中添加相应的安全处理需求信息,从而当后续运行容器调用该Web服务包时可以进行相应的安全操作;也可以在WSDL文档中添加访问控制策略信息,以便于后续运行容器调用该Web服务包时可以进行相应的访问控制操作。
步骤22、接收Web服务请求报文,所述请求报文中包含Web服务信息。
步骤23、调用与所述Web服务信息对应的Web服务包。
步骤24、根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的进行访问控制。
本步骤中,Web运行容器根据解析Web服务包中的WSDL文档描述的操作信息进行下一步操作,图3为图2中步骤24中安全处理的具体流程图,如图3所示,安全处理操作包括:
步骤401、解析所述Web服务包中的WSDL文档,获取所述安全处理需求信息。
步骤402、采用与所述安全处理需求信息对应的安全处理模块对所述Web服务请求报文进行安全处理。
本实施例中,安全处理需求信息可以包括:安全标签以及与所述安全标签对应的安全处理方式。安全标签可以包括加密标签、解密标签、数字签名标签、签名验证标签或单点登录访问控制标签等。其分别对应对报文进行加密处理、解密处理、数字签名处理、签名验证处理或单点登录访问控制处理等。图4为图3进一步细化的流程图,如图4所示,步骤401和步骤402具体包括:
步骤4011、解析所述安全处理需求信息,获取安全标签以及与所述安全标签对应的安全处理方式。
安全处理方式可以包括:加密、解密、数字签名和签名验证。当调用Web服务包后,根据解析获得的WSDL文档中的安全标签以及与所述安全标签对应的安全处理方式可以获知对Web服务请求报文进行哪种安全处理方式。
步骤4012、提取所述安全处理方式对应的安全处理模块。
每种安全处理方式对应相应的安全处理模块,通过安全处理方式映射到具体的安全处理模块,安全处理模块可以对Web服务请求报文进行具体的安全处理操作。安全处理模块可以包括具体的加密单元、解密单元、数字签名单元和签名验证单元等。
在安全处理模块中可以预存储该安全处理模块采用的安全处理算法以及对Web服务请求报文进行安全处理的位置信息。以便于解析获取安全处理需求信息时,根据提取的与所述安全处理需求信息对应的安全处理模块,依照该安全处理模块采用的安全处理算法对所述Web服务请求报文的相应位置进行安全处理。
步骤4013采用所述安全处理模块对所述Web服务请求报文进行安全处理。
图5为图2实施例中对SOAP报文进行加密的模块结构图,如图5所示,若解析图2中的安全处理是对SOAP报文进行加密,其处理过程中可以采用图5中的相应模块进行。具体为:发送方构造好明文SOAP报文,当运行容器获取该报文时,将该报文发送给加密单元,加密单元根据运行容器解析获取的WSDL文档信息加载相应的安全策略进行安全处理。具体为:安全策略管理器56将WSDL文件58中的安全策略加载为安全策略模型57,保持在内存当中。加密处理器50根据安全策略模型57进行初始化,读取安全策略并设置内部的各项属性值。加密处理器50接收外部程序提供的SOAP报文,此时SOAP报文还处于明文状态,需要进行明文至暗文的转变。在加密单元中,密钥管理器51随机生成一个对称密钥。由于SOAP报文中可能具有大数据量的情况,使用数据加密器52对原始数据采用对称加密进行加密,同时对对称密钥本身进行非对称加密,在传递SOAP报文中将该对称密钥随SOAP报文一起发送给接收方。在对报文加密的过程中,加密算法由安全策略管理器56载入算法管理器53。在非对称加密的过程中,使用密钥加密器54调用非对称密钥,非对称密钥有多种形式,包括证书、密钥文件或者表示密钥的序列化后的数码等。完成上述加密操作后,调用数据管理器55,由数据管理器55对SOAP报文进行相关操作,主要是对从明文到暗文的替换和标志安全机制的SOAP头部的添加等,形成新的完整SOAP报文。
图6为图2实施例中对SOAP报文进行解密的模块结构图,如图6所示,若解析图2中的安全处理是对SOAP报文进行解密,其处理过程中可以采用图6中的相应模块进行,解密是加密的逆过程,由解密单元执行,具体操作如下:解密处理器60通过安全策略管理器65,加载WSDL文件68中的安全策略,形成安全策略模型67,根据安全模型对解密处理器60进行初始化;解密处理器60调用密钥解密器61,通过非对称解密,获得通过SOAP报文传递的对称密钥信息。非对称解密的过程中,使用的是本身的私钥,私钥的形式包括密钥仓库(KeyStore)或者密钥文件等。由于对称密钥是通过SOAP这种文本格式的报文传输的,因此传输的是文本形式的对称密钥值。在解密过程中,需要将该文本反序列化为程序中的密钥对象。数据解密器62使用该对称密钥,对SOAP头和SOAP体中的数据利用对称算法进行解密,获得明文数据。数据管理器63将解密后的数据重新组装成完整的明文SOAP报文。该解密过程中,加密算法由安全策略管理器65载入算法管理器64。
图7为图2实施例中对SOAP报文进行数字签名的模块结构图,如图7所示,若解析图2中的安全处理是对SOAP报文进行数字签名,其处理过程中可以采用图7中的相应模块进行,数字签名是如何保证数据完整性和发送方的身份,由数字签名单元执行,具体操作如下:数字签名处理器70调用安全策略管理器75,通过安全策略模型77封装WSDL文件78中的安全策略信息,并对签名处理器70进行初始化。签名处理器70通过数据管理器71,提取出需要签名的内容,默认签名内容为SOAP体中的数据,然后调用数据摘要器72。数据摘要器72通过算法管理器73的接口,使用相应签名算法进行摘要,将摘要后的数据返回给数据摘要器72。数据摘要器72将摘要后的数据传递给数据加密器79,数据加密器79使用发送方本身的私钥以非对称加密算法进行数字签名,签名过程中同样使用算法管理器73。生成签名值后,将暗文数据传递给消息管理器80,消息管理器80对SOAP报文进行更新,形成包含签名机制的SOAP报文,提交给签名处理器70。数字签名要求发送方用自己的私用密钥对摘要加密,这就形成了发送方的数字签名。和数据加密中的非对称加密一样,发送方要生成一对非对称公钥和私钥,将公钥发布在公开位置,保留私钥并用私钥对数据的摘要签名,以此证明该数据发送者的身份。
图8为图2实施例中对SOAP报文进行签名验证的数据流结构图,如图8所示,若解析图2中的安全处理是本实施例若是对SOAP报文进行签名验证,其处理过程中可以采用图8中的相应模块进行,签名验证是为了检验数据的完整性,并验证用户身份的真实性,同时将身份信息转入下一步访问控制作为输入参数。
签名验证由签名验证单元执行,签名验证的过程主要包含两部分:引用验证和签名验证。
引用验证通过数据摘要的方式解决SOAP报文的数据完整性问题。其具体过程为:在接收方获得SOAP报文后,第一步应进行解密,因为SOAP报文在网络中是以暗文的形式传输,接收方无法直接获得与数字签名有关的数据信息。因此利用从SOAP报文头部指名的接收方私钥信息对数据信息解密,实现从暗文到明文的转变过程。解密后,接收方开始进行对SOAP报文中签名信息的验证过程。首先,从SOAP消息中提取原始数据81,按照摘要算法进行摘要,生成的数据摘要87,将该数据摘要87和SOAP报文头部的摘要值数据摘要83比较。如果两个值相等,则说明原始数据在传输过程中没有改变,以此来验证报文的完整性。
签名验证对SOAP报文发送方的身份进行认证,同时还可以支持对不可否认性的确定。其具体过程为:签名验证处理器使用SOAP报文中规定的密钥作为签名验证的非对称密钥,也可以通过其它特定方式在签名验证处理器中由程序获取密钥。该密钥是发送方的公钥,可以以数字证书或文件等形式存在。签名验证处理器根据非对称算法来对数字签名值进行非对称解密,并与通过上一步的数据摘要值进行比较判断。如果结果相等,则通过签名验证,以此来验证报文的真实性并验证身份。
图9为图2中步骤24中访问控制的具体流程图,如图9所示,步骤24中Web运行容器根据解析Web服务包中的WSDL文档描述的操作信息进行的下一步操作若为访问控制,则步骤24具体为:
步骤403、提取所述Web服务请求报文中的SAML标签信息。
SAML(Security Assertion Markup Language,简称:SAML)为安全断言标记语言,SAML定义安全系统之间的共享授权信息,例如用户密码和安全检查等。本实施例中的访问控制服务要求客户端发送的SOAP报文头部携带SAML标签,为消息身份验证断言,在运行容器调用相应的服务时,进行断言的判断及处理。根据该身份验证断言,寻找相关XACML策略,并根据Web服务地址以及操作名,正确进行判断是否允许特定用户访问特定资源或操作。XACML是一种用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架,它在传统的分布式环境中被用于访问控制策略的执行,XACML通常设计成与SAML协同工作。
步骤404、根据所述WSDL文档描述的访问控制策略信息对所述SAML标签信息进行判断。
步骤405、根据判断结果对所述Web服务请求报文的客户端进行访问控制。
访问控制服务在容器部署后,在客户端发送SOAP请求报文到Web服务运行容器,运行容器接到该报文后进行访问控制解析,如果访问控制请求通过则按照该服务的要求进行相应操作;如果不通过,则返回拒绝报文。
图10为图2中步骤24中单点登录访问控制的模块结构图,当运行容器需要对SOAP报文的客户端进行访问控制时,可采用图10所示的相关模块进行处理。具体来说,运行容器可以通过SAML处理器90对接收到的SOAP报文进行解析,通过对报文中的关键字进行解析,获取SOAP报文属于三种访问控制断言92中的哪一种:身份验证断言、属性断言还是授权认证断言,在判断接收到的断言报文属性后采取不同的访问控制策略进行处理。运行容器对访问容器的客户端进行身份、权限的管理,以达到访问控制的目的,本实施例中采用了基于XACML策略94的准入控制,对相关web服务调用进行访问控制。XACML可以根据主体、资源、环境的属性以及所采取的行为进行控制。返回的结果有四种:允许、拒绝、无法决定和不适用。具体处理过程为:SAML处理器负责对请求SOAP报文信息进行分析处理,并通过策略进行访问控制判断是否允许其访问操作,其中,运行容器解析Web服务包中的WSDL文件99,载入安全策略模型98,并初始化相应的参数。同时,将请求报文发送给SAML处理器,经过分析判断控制断言属于哪一种,策略决策点96根据算法管理器93提供的算法利用策略规则判断客户端的访问请求是否满足要求,以便决定是允许还是拒绝,并将决策结果返回给策略执行点97,策略规则由安全策略管理器95载入算法管理器93。
步骤25、若所述安全处理需求信息中包括Web服务响应报文的安全处理要求信息,则根据所述响应报文的安全处理需求信息对所述响应报文进行安全处理。
本步骤中,运行容器通过解析WSDL文档,获取安全处理需求信息,若安全处理需求信息中包括Web服务响应报文的安全处理要求信息,则根据该信息对响应报文进行安全处理。
本实施例通过在Web服务包的WSDL文档中添加安全处理需求信息可以使Web安全服务根据需要进一步扩展,从而增加了安全服务的灵活性;通过在WSDL文档的安全处理需求信息中包括Web服务响应报文的安全处理要求信息可以对容器返回的响应报文进行安全处理。
图11为本发明Web服务安全处理系统实施例一的流程图,如图11所示,本实施例的系统包括:收发模块200、调用模块201和处理模块202,调用模块201分别与收发模块200和处理模块202连接,处理模块202还与收发模块200连接。其中,收发模块200,用于接收Web服务请求报文,所述请求报文中包含Web服务信息;调用模块201,用于调用与所述Web服务信息对应的Web服务包;处理模块202,用于根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理,和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。
本实施例可以执行上述图1所示方法实施例一的技术方案,其技术原理及达到的技术效果类似,不再赘述。
图12为本发明Web服务安全处理系统实施例二的流程图,如图12所示,本实施例是对上述图11实施例一的进一步细化,其中,处理模块202包括安全消息子模块301、单点登录子模块303和策略决策子模块302,策略决策子模块302分别与安全消息子模块301和所述单点登录子模块303连接,安全消息子模块301和单点登录子模块303分别与调用模块201连接。请求报文通过传输层和消息层300后到达收发模块200,安全消息子模块301,用于根据所述策略决策子模块302确定的安全处理方式对所述Web服务信息进行安全处理,所述安全处理方式包括:加密、解密、数字签名或签名验证;安全消息子模块301包括解密单元3011、加密单元3013、签名验证单元3012、和数字签名单元3014,分别用于完成解密、加密、签名验证和数字签名的操作。单点登录子模块303,用于对发送Web服务请求报文的客户端进行身份验证,根据所述身份验证的结果对客户端进行访问控制;单点登录子模块303包括SAML令牌管理器,用于对客户端进行授权访问控制。策略决策子模块302,用于根据所述WSDL文档描述的安全处理需求信息确定对所述Web服务请求报文采取的安全处理方式,和/或根据接收到的Web服务请求报文中携带的SAML标签信息和所述WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。策略信息点3023负责给策略决策点96提供授权决策所需要的用户属性、环境属性和资源属性等。图中的策略管理器3021可以为安全处理中的策略管理器,如加密、解密、数字签名和签名验证中的策略管理器,也可以为单点登录访问控制中的策略管理器。策略文件为WSDL文件集,分别对应不同的安全处理需求。
本实施例可以执行上述图2所示方法实施例二的技术方案,其技术原理及达到的技术效果类似,不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (10)
1.一种Web服务安全处理方法,其特征在于,包括:
接收Web服务请求报文,所述请求报文中包含Web服务信息;
调用与所述Web服务信息对应的Web服务包;
根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。
2.根据权利要求1所述的方法,其特征在于,所述根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理,包括:
解析所述Web服务包中的WSDL文档,获取所述安全处理需求信息;
采用与所述安全处理需求信息对应的安全处理模块对所述Web服务请求报文进行安全处理。
3.根据权利要求2所述的方法,其特征在于,所述安全处理需求信息包括:安全标签以及与所述安全标签对应的安全处理方式,
采用与所述安全处理需求信息对应的安全处理模块对所述Web服务请求报文进行安全处理,包括:
解析所述安全处理需求信息,获取安全标签以及与所述安全标签对应的安全处理方式;
提取所述安全处理方式对应的安全处理模块;
采用所述安全处理模块对所述Web服务请求报文进行安全处理。
4.根据权利要求3所述的方法,其特征在于,所述安全标签包括加密标签、解密标签、数字签名标签、签名验证标签或单点登录访问控制标签。
5.根据权利要求2所述的方法,其特征在于,采用与所述安全处理需求信息对应的安全处理模块对所述Web服务请求报文进行安全处理之前,还包括:
存储所述安全处理模块采用的安全处理算法以及对所述Web服务请求报文进行安全处理的位置信息;
采用与所述安全处理需求信息对应的安全处理模块对所述Web服务请求报文进行安全处理,包括:
提取与所述安全处理需求信息对应的安全处理模块;
依照所述安全处理模块采用的安全处理算法对所述Web服务请求报文的相应位置进行安全处理。
6.根据权利要求1~5中任一项所述的方法,其特征在于,根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理之后,还包括:
若所述安全处理需求信息中包括Web服务响应报文的安全处理要求信息,则根据所述响应报文的安全处理需求信息对所述响应报文进行安全处理。
7.根据权利要求1~5所述的方法,其特征在于,根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理之前,还包括:
在Web服务包的WSDL文档中添加安全处理需求信息。
8.根据权利要求1所述的方法,其特征在于,根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制,具体包括:
提取所述Web服务请求报文中的SAML标签信息;
根据所述WSDL文档描述的访问控制策略信息对所述SAML标签信息进行判断;
根据判断结果对所述Web服务请求报文的客户端进行访问控制。
9.一种Web服务安全处理系统,其特征在于,包括:
收发模块,用于接收Web服务请求报文,所述请求报文中包含Web服务信息;
调用模块,用于调用与所述Web服务信息对应的Web服务包;
处理模块,用于根据所述Web服务包中采用WSDL文档描述的安全处理需求信息对所述Web服务请求报文进行安全处理,和/或根据所述Web服务包中采用WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。
10.根据权利要求9所述的系统,其特征在于,所述处理模块包括安全消息子模块、单点登录子模块和策略决策子模块,所述策略决策子模块分别与所述安全消息子模块和所述单点登录子模块连接,所述安全消息子模块和所述单点登录子模块分别与所述调用模块连接,
所述安全消息子模块,用于根据所述策略决策子模块确定的安全处理方式对所述Web服务信息进行安全处理,所述安全处理方式包括:加密、解密、数字签名或签名验证;
所述单点登录子模块,用于对发送Web服务请求报文的客户端进行身份验证,根据所述身份验证的结果对客户端进行访问控制;
所述策略决策子模块,用于根据所述WSDL文档描述的安全处理需求信息确定对所述Web服务请求报文采取的安全处理方式,和/或根据接收到的Web服务请求报文中携带的SAML标签信息和所述WSDL文档描述的访问控制策略信息对所述Web服务请求报文的客户端进行访问控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110128173.8A CN102790712B (zh) | 2011-05-17 | 2011-05-17 | Web服务安全处理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110128173.8A CN102790712B (zh) | 2011-05-17 | 2011-05-17 | Web服务安全处理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102790712A true CN102790712A (zh) | 2012-11-21 |
| CN102790712B CN102790712B (zh) | 2015-07-15 |
Family
ID=47156019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110128173.8A Expired - Fee Related CN102790712B (zh) | 2011-05-17 | 2011-05-17 | Web服务安全处理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102790712B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580195A (zh) * | 2014-12-31 | 2015-04-29 | 上海格尔软件股份有限公司 | 一种基于软件数字证书安全的权限发布获取控制方法 |
| CN105659557A (zh) * | 2013-09-20 | 2016-06-08 | 甲骨文国际公司 | 用于单点登录的基于网络的接口集成 |
| CN110266640A (zh) * | 2019-05-13 | 2019-09-20 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1692617A (zh) * | 2003-03-15 | 2005-11-02 | 国际商业机器公司 | 客户机Web服务访问 |
| CN1790261A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 信息服务的建立系统及建立方法 |
| CN101588363A (zh) * | 2009-06-18 | 2009-11-25 | 天津大学 | 建立基于程序切片的Web服务安全分析模型的方法 |
-
2011
- 2011-05-17 CN CN201110128173.8A patent/CN102790712B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1692617A (zh) * | 2003-03-15 | 2005-11-02 | 国际商业机器公司 | 客户机Web服务访问 |
| CN1790261A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 信息服务的建立系统及建立方法 |
| CN101588363A (zh) * | 2009-06-18 | 2009-11-25 | 天津大学 | 建立基于程序切片的Web服务安全分析模型的方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105659557A (zh) * | 2013-09-20 | 2016-06-08 | 甲骨文国际公司 | 用于单点登录的基于网络的接口集成 |
| US10225244B2 (en) | 2013-09-20 | 2019-03-05 | Oracle International Corporation | Web-based interface integration for single sign-on |
| CN105659557B (zh) * | 2013-09-20 | 2019-11-01 | 甲骨文国际公司 | 用于单点登录的基于网络的接口集成的方法和系统 |
| US10693865B2 (en) | 2013-09-20 | 2020-06-23 | Oracle International Corporation | Web-based interface integration for single sign-on |
| CN104580195A (zh) * | 2014-12-31 | 2015-04-29 | 上海格尔软件股份有限公司 | 一种基于软件数字证书安全的权限发布获取控制方法 |
| CN104580195B (zh) * | 2014-12-31 | 2018-07-17 | 上海格尔软件股份有限公司 | 一种基于软件数字证书安全的权限发布获取控制方法 |
| CN110266640A (zh) * | 2019-05-13 | 2019-09-20 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
| CN110266640B (zh) * | 2019-05-13 | 2021-11-05 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102790712B (zh) | 2015-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11176226B2 (en) | Secure messaging service with digital rights management using blockchain technology | |
| Celesti et al. | An approach for the secure management of hybrid cloud–edge environments | |
| Gupta et al. | Layer-based privacy and security architecture for cloud data sharing | |
| US11509643B2 (en) | Enclave interactions | |
| Pradeep et al. | An efficient framework for sharing a file in a secure manner using asymmetric key distribution management in cloud environment | |
| Abdulraheem et al. | An efficient lightweight cryptographic algorithm for IoT security | |
| Buccafurri et al. | Integrating digital identity and blockchain | |
| CN102055685A (zh) | 网页邮件信息加密的方法 | |
| CN102790712B (zh) | Web服务安全处理方法及系统 | |
| Muftic et al. | Business information exchange system with security, privacy, and anonymity | |
| Shahgholi et al. | A new SOA security framework defending web services against WSDL attacks | |
| Mashima et al. | Enhancing demand response signal verification in automated demand response systems | |
| Pal et al. | Wip: Criminal smart contract for private key theft in end to end encrypted applications | |
| Daodu et al. | A data encryption standard (DES) based web services security architecture | |
| Kataria et al. | IMAGE ENCRYPTION TECHNIQUES AND COMPARATIVE ANALYSIS | |
| CN111010385A (zh) | 一种基于RESTful的安全交互方法 | |
| Kangle | Design Information Security Management System Based on Cryptography | |
| Majernik et al. | Marv-data level confidentiality protection in bpel-based web service compositions | |
| Gilda et al. | None Shall Pass: A blockchain-based federated identity management system | |
| Ahmed | Digital Signature with RSA Public Key Cryptography for Data Integrity in SOSE-Based E-Government Systems | |
| KR100964200B1 (ko) | 공인전자문서보관소 서비스 중 전자문서 보관 및 발급 시스템과 그 제어 방법 | |
| Regan et al. | Securing a Dependability Improvement Mechanism for Cyber-Physical Systems | |
| Adkinson-Orellana et al. | Sharing secure documents in the cloud-a secure layer for Google Docs | |
| Kumar et al. | Security for SOAP based Communication among Web Services | |
| Thangavel et al. | We Bring Your Identity: A Secure Online Passenger Identity Protocol (SOPIP) for Indian Railways Using Aadhaar Number |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150715 Termination date: 20170517 |