CN103001775A - 一种基于企业服务总线的安全管理系统及方法 - Google Patents
一种基于企业服务总线的安全管理系统及方法 Download PDFInfo
- Publication number
- CN103001775A CN103001775A CN201210581772XA CN201210581772A CN103001775A CN 103001775 A CN103001775 A CN 103001775A CN 201210581772X A CN201210581772X A CN 201210581772XA CN 201210581772 A CN201210581772 A CN 201210581772A CN 103001775 A CN103001775 A CN 103001775A
- Authority
- CN
- China
- Prior art keywords
- identity information
- information card
- client
- authentication
- saml
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于企业服务总线的安全管理系统,该系统包括:身份认证子系统,用于为客户端创建业务账户和身份信息卡;收到客户端发送的身份信息卡认证消息后对身份信息卡进行认证,认证成功后发送SAML断言至客户端;客户端,用于利用业务账户登录身份认证子系统并下载其提供的身份信息卡;向身份认证子系统发送身份信息卡认证消息,将身份认证子系统返回的SAML断言发送至访问控制子系统;访问控制子系统,用于收到客户端发送的SAML断言时验证SAML断言合法性,并在合法时查找与所述业务对应的安全策略,对业务执行安全策略;本发明公开了一种基于企业服务总线的安全管理方法,采用本发明,能够实现对用户进行统一认证和授权。
Description
技术领域
本发明涉及企业服务总线(ESB,Enterprise Service Bus)中的信息安全技术,尤其涉及一种基于ESB的安全管理系统及方法。
背景技术
大规模分布式的企业应用需要相对简单而实用的中间件技术,以简化和统一越来越复杂、繁琐的企业级信息系统平台。面向服务体系架构(SOA,Service-Oriented Architecture)是能够将应用程序的不同功能单元通过服务之间定义良好的接口和契约联系起来。SOA使用户可以不受限制地重复使用软件、将各种资源互连起来,只要IT人员选用标准接口包装旧的应用程序,将新的应用程序构建成服务,那么其他应用系统就可以很方便地使用这些功能服务。
支撑SOA的关键是其消息传递架构ESB。ESB是传统中间件技术与可扩展标记语言(XML,Extensible Markup Language)、网页服务等技术相互结合的产物,用于实现企业应用不同消息和信息的准确、高效和安全传递。ESB的出现改变了传统的软件架构,可以提供比传统中间件产品更为廉价的解决方案,同时它还可以消除不同应用之间的技术差异,让不同的应用服务协调运作,实现不同服务之间的通信与整合。
随着信息化的迅猛发展,政府、企业机构等不断增加基于互联网的业务系统,如各类网上申报系统,网上审批系统,报表系统等。系统的业务性质一般都要求实现用户管理、身份认证、访问控制等必不可少的安全措施。当新系统与已有系统集成或融合时,特别是针对相同的用户群会带来诸多问题,如无法实现统一认证和授权,多个身份认证系统使安全策略必须在不同的系统内进行多次设置,与此同时,每个系统都开发各自的身份认证系统将造成资源的浪费,多个身份认证系统会增加整个系统的管理工作成本,用户需要记忆多个用户名和口令,使用极为不便。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于ESB的安全管理系统及方法,能够实现对用户进行统一认证和授权。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种基于企业服务总线的安全管理系统,该系统包括:身份认证子系统、客户端、访问控制子系统;其中,
所述身份认证子系统,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;接收到所述客户端发送的身份信息卡认证消息后,对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后发送安全断言标记语言SAML断言至客户端;
所述客户端,用于利用业务账户登录所述身份认证子系统,从所述身份认证子系统提供的与所述业务账户对应的身份信息卡中选择所需的身份信息卡并下载;在业务访问时向所述身份认证子系统发送身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;将所述身份认证子系统返回的SAML断言发送至访问控制子系统;
所述访问控制子系统,用于接收到所述客户端发送的SAML断言时对其进行验证;并在验证合法时,查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略。
上述方案中,所述身份认证子系统包括:身份认证中心、身份信息卡服务器;其中,
所述身份认证中心,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡,将所述身份信息卡发送至身份信息卡服务器;接收到所述客户端发送的身份信息卡认证消息后,根据本地存储的身份信息卡信息对所述身份信息卡认证消息中携带的身份信息卡进行认证,认证成功后发送SAML断言至客户端;
所述身份信息卡服务器,用于接收身份认证中心发送的身份信息卡并存储;接收到所述客户端的身份信息卡下载请求时为所述客户端提供所请求的身份信息卡。
上述方案中,所述访问控制子系统包括:策略编辑器、策略执行点、策略判决点;其中,
所述策略编辑器,用于编辑安全策略文件及删除无效的安全策略文件;
所述策略执行点,用于接收到客户端发送的SAML断言时,发送携带有所述SAML断言的权限请求消息至策略判决点进行验证及安全策略匹配;并根据策略判决点反馈的与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;
所述策略判决点,用于接收策略执行点发送的权限请求消息,并验证所述权限请求消息中的SAML断言的合法性;当所述SAML断言合法时,根据客户端请求的业务在策略编辑器的安全策略文件中查找与其对应的安全策略;并将所述安全策略反馈至策略执行点。
上述方案中,所述身份认证中心,还用于将身份信息卡信息以列表形式存储至本地;
所述身份信息卡服务器,还用于删除本地存储的无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
上述方案中,所述身份信息卡包括:用户名/密码型身份信息卡、通用证书型的身份信息卡;
所述身份信息卡认证消息为:进行可扩展标记语言XML签名且XML加密的简单对象访问协议SOAP消息。
上述方案中,所述客户端还用于与所述身份信息卡服务器之间建立安全套接层SSL安全通道,并通过SSL安全通道进行身份信息卡的下载。
本发明提供了一种基于企业服务总线的安全管理方法,身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;该方法包括:
所述身份认证子系统在客户端利用所述业务账户登录后,为所述客户端提供与所述业务账户对应的身份信息卡;接收所述客户端选择的身份信息卡,并将所选择的身份信息卡下载到所述客户端;
接收所述客户端在业务访问时发送的身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后,发送安全断言标记语言SAML断言至客户端,由客户端转发所述SAML断言至访问控制子系统;
访问控制子系统验证所述SAML断言的合法性,并在所述SAML断言合法时查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略。
上述方案中,该方法还包括:所述访问控制子系统编辑安全策略文件及删除无效安全策略文件;所述无效安全策略文件包括:过期的安全策略文件、作废的安全策略文件。
上述方案中,该方法还包括:所述身份认证子系统将身份信息卡信息存储至本地;并在身份信息卡无效时,删除无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
本发明提供的基于ESB的安全管理系统及方法,通过身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡,并存储所述身份信息卡供客户端下载;通过客户端将本地身份信息卡所对应的身份信息卡认证消息发送到身份认证子系统进行认证;如此,可以对用户身份信息卡进行统一认证;对身份信息卡认证消息中的身份信息卡认证成功后,通过身份认证子系统发送SAML断言给客户端,由客户端转发所述SAML断言给访问控制子系统;访问控制子系统验证所述SAML断言的合法性,并在SAML断言合法时,查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;如此,可以对具有身份信息卡的用户进行统一授权。
附图说明
图1为本发明基于ESB的安全管理系统的结构组成示意图;
图2为本发明基于ESB的安全管理方法的实现流程示意图;
图3为本发明基于ESB的安全管理中身份信息卡创建实现流程示意图;
图4为本发明基于ESB的安全管理中身份信息卡认证实现流程示意图;
图5为本发明基于ESB的安全管理中权限请求实现流程示意图。
具体实施方式
为了能够更加详尽地了解本发明的特点与技术内容,下面结合附图对本发明的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明。
图1为本发明基于ESB的安全管理系统的结构组成示意图,如图1所示,该系统包括:身份认证子系统11、客户端12、访问控制子系统13;其中,
所述身份认证子系统11,用于为签约的客户端12创建业务账户、以及与所述业务账户对应的身份信息卡;接收到所述客户端12发送的身份信息卡认证消息后,对所述客户端12发送的身份信息卡进行认证,认证成功后发送安全断言标记语言(SAML,Security Assertion Markup Language)断言至客户端12;
所述客户端12,用于利用业务账户登录所述身份认证子系统11,从所述身份认证子系统11提供的与所述业务账户对应的身份信息卡中选择所需的身份信息卡并下载;在业务访问时向所述身份认证子系统11发送身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;将身份认证子系统11返回的SAML断言发送至访问控制子系统13;
所述访问控制子系统13,用于接收到所述客户端12发送的SAML断言时对其进行验证,并在验证合法时查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;
进一步的,所述访问控制子系统13,还用于编辑安全策略文件及删除无效的安全策略文件;
所述无效安全策略包括:过期的安全策略、作废的安全策略。
进一步的,所述身份认证子系统11包括:身份认证中心111、身份信息卡服务器112;其中,
所述身份认证中心111,用于为签约的客户端12创建业务账户、以及约所述业务账户对应的身份信息卡,将所述身份信息卡发送至身份信息卡服务器112;接收所述客户端12发送的身份信息卡认证消息,根据本地存储的身份信息卡信息对所述身份信息卡认证消息中携带的身份信息卡进行认证,在认证成功后发送SAML断言至客户端12;
所述身份信息卡服务器112,用于接收身份认证中心111发送的身份信息卡,并将所述身份信息卡存储至本地;接收到所述客户端12的身份信息卡下载请求时为所述客户端12提供所请求的身份信息卡;
进一步的,所述身份认证中心111,还用于将身份信息卡信息以列表形式存储至本地;
这里,所述列表由身份信息卡列表项组成;每条身份信息卡列表项记载一位客户端的身份信息卡存储信息,包括:用户名、用户身份、用户创建时间等;其中,所述用户身份记录身份信息卡的存储状况;进一步的,所述存储状况包括:无身份信息卡、用户名/密码型身份信息卡、通用证书型身份信息卡;
进一步的,所述身份信息卡服务器112,还用于删除无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡;
上述方案中,所述身份信息卡服务器112将身份信息卡存储至本地的存储形式为分组存储;具体的,一个客户端的所有身份信息卡存为一组,每个客户端和每组身份信息卡之间一一对应;
相应的,所述身份信息卡服务器112,提供与用户对应的一组身份信息卡供客户端12进行下载;
上述方案中,所述身份信息卡包括两种类型:用户名/密码型身份信息卡、通用证书型身份信息卡;
其中,所述用户名/密码型身份信息卡是:需要用户提供用户名和密码的一种身份信息卡;
其中,所述通用证书型身份信息卡是一种通用证书格式,如X509型身份信息卡,所述通用证书型身份信息卡包括:证书版本号、证书持有人的公钥、证书的序列号、主题信息、证书的有效期、认证机构、发布者的数字签名、签名算法标识符;
上述方案中,所述身份信息卡认证消息是:一条签名且加密的简单对象访问协议(SOAP,Simple Object Access Protocol)消息;所述SOAP消息根据所述身份信息卡编辑,所述SOAP消息包括:SOAP封装包、SOAP标头、SOAP体块的XML文档;其中,所述身份信息卡编辑在所述SOAP封装包内;
这里,所述签名为XML签名,所述加密为XML加密;
相应的,所述根据身份信息卡认证消息对身份信息卡进行认证包括:用户名的认证、身份信息卡的认证;
上述方案中,所述SAML断言根据所述身份信息卡编辑,所述SAML断言包括:认证申明、属性申明、授权申明;所述SAML断言用以传输身份信息卡;
上述方案中,所述客户端12与所述身份信息卡服务器112之间通过安全套接层(SSL,Secure Sockets Layer)安全通道进行身份信息卡的下载;
进一步的,所述访问控制子系统13包括:策略编辑器131、策略执行点132、策略判决点133;其中,
所述策略编辑器131,用于编辑安全策略文件及删除无效安全策略文件;
所述策略执行点132,用于在接收到客户端12发送的SAML断言时,发送携有所述SAML断言的权限请求消息至策略判决点133进行验证及安全策略匹配;接收策略判决点反馈的与客户端请求的业务匹配的安全策略,并对所述客户端请求的业务执行所述安全策略;
所述策略判决点,用于接收策略执行点132发送的权限请求消息,并验证所述权限请求消息中的SAML断言的合法性;当所述SAML断言合法时,根据客户端请求的业务在策略编辑器131中查找与其对应的安全策略;将所述安全策略反馈至策略执行点132。
上述方案中,所述安全策略文件包括至少一条安全策略;所述安全策略包括:主题、资源、操作、规则;其中,主题表示操作的主题;资源表示操作的对象;规则表示所述安全策略是否允许操作;进一步的,所述策略文件的格式为XML格式;
所述无效安全策略包括:过期的安全策略、作废的安全策略;
上述方案中,所述执行所述安全策略具体为:将客户端请求的业务作为安全策略的资源,依据安全策略中的规则对所述业务执行所述安全策略中的操作。
图2为本发明基于ESB的安全管理方法的实现流程示意图,如图2所示,该方法包括步骤:
步骤201:身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;在客户端利用所述业务账户登录后,为所述客户端提供与所述业务账户对应的身份信息卡;接收所述客户端选择的身份信息卡,并将所选择的身份信息卡下载到所述客户端;接收所述客户端在业务访问时发送的身份信息卡认证消息;对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后,发送安全断言标记语言SAML断言至客户端,由客户端转发所述SAML断言至访问控制子系统;
本步骤之前还包括:身份认证子系统将身份信息卡信息以列表形式存储至本地;
这里,所述列表由身份信息卡列表项组成;每条身份信息卡列表项记载一位客户端的身份信息卡存储信息,包括:用户名、用户身份、用户创建时间等;其中,所述用户身份记录身份信息卡的存储状况;进一步的,所述存储状况包括:无身份信息卡、用户名/密码型身份信息卡、通用证书型身份信息卡;
上述方案中,所述存储身份信息卡的存储形式为分组存储;具体的,一个用户的所有身份信息卡存为一组,每个用户和每组身份信息卡之间一一对应;
上述方案中,所述身份信息卡包括两种类型:用户名/密码型身份信息卡、通用证书型身份信息卡;
其中,所述用户名/密码型身份信息卡是:需要用户提供用户名和密码的一种身份信息卡;
其中,所述通用证书型身份信息卡是一种证书格式,如X509型身份信息卡,所述通用证书型身份信息卡包括:证书版本号、证书持有人的公钥、证书的序列号、主题信息、证书的有效期、认证机构、发布者的数字签名、签名算法标识符;
上述方案中,所述身份信息卡的存储和发放通过SSL安全通道进行传输;
上述方案中,所述身份信息卡认证消息是:一条签名且加密的简单对象访问协议(SOAP)消息;所述SOAP消息根据所述身份信息卡编辑,所述SOAP消息包括:SOAP封装包、SOAP标头、SOAP体块的XML文档;其中,所述身份信息卡编辑在所述SOAP封装包内包;
这里,所述签名为XML签名,所述加密为XML加密;
相应的,所述根据身份信息卡认证消息对身份信息卡进行认证包括:用户名的认证、身份信息卡的认证。
步骤202:访问控制子系统验证所述SAML断言的合法性,并在所述SAML断言合法时,查找与客户端请求的业务对应的安全策略,对所述客户端请求的业务执行所述安全策略。
本步骤还包括:访问控制子系统编辑安全策略文件及删除无效安全策略文件;
所述安全策略文件包括至少一条安全策略;所述安全策略包括:主题、资源、操作、规则;其中,主题表示操作的主题;资源表示操作的对象,所述资源来自网络服务器资源;规则表示所述安全策略是否允许操作;进一步的,所述策略文件的格式为XML格式;
所述无效安全策略包括:过期的安全策略、作废的安全策略;
上述方案中,所述SAML断言根据所述身份信息卡编辑,所述SAML断言包括:认证申明、属性申明、授权申明;所述SAML断言用以传输身份信息卡。
上述方案中,所述执行所述安全策略具体为:将客户端请求的业务作为安全策略的资源,依据安全策略中的规则对所述业务执行所述安全策略中的操作。
图3为本发明基于ESB的安全管理中身份信息卡创建实现流程示意图,如图3所示,该方法包括步骤:
步骤301:身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;
本步骤还包括:身份认证子系统将身份信息卡信息以列表形式存储至本地;
这里,所述列表由身份信息卡列表项组成;每条身份信息卡列表项记载一位用户的身份信息卡存储信息,包括:用户名、用户身份、用户创建时间等;其中,所述用户身份记录身份信息卡的存储状况;进一步的,所述存储状况包括:无身份信息卡、用户名/密码型身份信息卡、通用证书型身份信息卡;
上述方案中,所述身份信息卡服务器进行存储的存储形式为分组存储;具体的,一个客户端的所有身份信息卡存为一组,每个客户端和每组身份信息卡之间一一对应;
上述方案中,所述身份信息卡包括两种类型:用户名/密码型身份信息卡、通用证书型身份信息卡;
其中,所述用户名/密码型身份信息卡是:需要用户提供用户名和密码的一种身份信息卡;
其中,所述通用证书型身份信息卡是一种证书格式,如X509型身份信息卡,所述通用证书型身份信息卡包括:证书版本号、证书持有人的公钥、证书的序列号、主题信息、证书的有效期、认证机构、发布者的数字签名、签名算法标识符。
步骤302:客户端利用业务账户登录所述身份认证子系统,从身份认证子系统提供的与所述业务账户相应的身份信息卡中选择所需的身份信息卡并下载;
这里,客户端与身份认证子系统之间通过SSL安全通道进行身份信息卡的下载。
图4为本发明基于ESB的安全管理中身份信息卡认证实现流程示意图,如图4所示,该流程包括步骤:
步骤401:客户端发送身份信息卡认证消息到身份认证子系统进行认证;
这里,所述身份信息卡携带有所述客户端选择的身份信息卡;进一步的,所述身份信息卡认证消息是:一条签名且加密的SOAP消息;所述SOAP消息根据所述身份信息卡编辑,所述SOAP消息包括:SOAP封装包、SOAP标头、SOAP体块的XML文档;其中,所述身份信息卡编辑在所述SOAP封装包内;
这里,所述签名为XML签名,所述加密为XML加密;
相应的,所述根据身份信息卡认证消息对身份信息卡进行认证包括:用户名的认证、身份信息卡的认证。
步骤402:身份认证子系统在认证成功后,发送SAML断言给客户端;
上述方案中,所述SAML断言根据所述身份信息卡编辑,所述SAML断言包括:认证申明、属性申明、授权申明;所述SAML断言用以传输身份信息卡。
图5为本发明基于ESB的安全管理中权限请求实现流程示意图,如图5所示,该方法包括步骤:
步骤501:策略执行点接收客户端发送的SAML断言,将携带有SAML断言的权限请求消息发送至策略判决点;
本步骤还包括:策略编辑器编辑安全策略文件及删除无效安全策略文件;
所述安全策略文件包括至少一条安全策略;所述安全策略包括:主题、资源、操作、规则;其中,主题表示操作的主题;资源表示操作的对象,进一步的,所述资源来自网络服务器资源;规则表示所述安全策略是否允许操作;进一步的,所述策略文件的格式为XML格式;
所述无效安全策略包括:过期的安全策略、作废的安全策略;
步骤502:策略判决点验证所述SAML断言的合法性,并在所述SAML断言合法时,在策略编辑器中查找与客户端请求的业务对应的安全策略;并将所述安全策略反馈至策略执行点。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (9)
1.一种基于企业服务总线的安全管理系统,其特征在于,该系统包括:身份认证子系统、客户端、访问控制子系统;其中,
所述身份认证子系统,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;接收到所述客户端发送的身份信息卡认证消息后,对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后发送安全断言标记语言SAML断言至客户端;
所述客户端,用于利用业务账户登录所述身份认证子系统,从所述身份认证子系统提供的与所述业务账户对应的身份信息卡中选择所需的身份信息卡并下载;在业务访问时向所述身份认证子系统发送身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;将所述身份认证子系统返回的SAML断言发送至访问控制子系统;
所述访问控制子系统,用于接收到所述客户端发送的SAML断言时对其进行验证;并在验证合法时,查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略。
2.根据权利要求1所述的系统,其特征在于,所述身份认证子系统包括:身份认证中心、身份信息卡服务器;其中,
所述身份认证中心,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡,将所述身份信息卡发送至身份信息卡服务器;接收到所述客户端发送的身份信息卡认证消息后,根据本地存储的身份信息卡信息对所述身份信息卡认证消息中携带的身份信息卡进行认证,认证成功后发送SAML断言至客户端;
所述身份信息卡服务器,用于接收身份认证中心发送的身份信息卡并存储;接收到所述客户端的身份信息卡下载请求时为所述客户端提供所请求的身份信息卡。
3.根据权利要求1或2所述的系统,其特征在于,所述访问控制子系统包括:策略编辑器、策略执行点、策略判决点;其中,
所述策略编辑器,用于编辑安全策略文件及删除无效的安全策略文件;
所述策略执行点,用于接收到客户端发送的SAML断言时,发送携带有所述SAML断言的权限请求消息至策略判决点进行验证及安全策略匹配;并根据策略判决点反馈的与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;
所述策略判决点,用于接收策略执行点发送的权限请求消息,并验证所述权限请求消息中的SAML断言的合法性;当所述SAML断言合法时,根据客户端请求的业务在策略编辑器的安全策略文件中查找与其对应的安全策略;并将所述安全策略反馈至策略执行点。
4.根据权利要求3所述的系统,其特征在于,
所述身份认证中心,还用于将身份信息卡信息以列表形式存储至本地;
所述身份信息卡服务器,还用于删除本地存储的无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
5.根据权利要求3所述的系统,其特征在于,
所述身份信息卡包括:用户名/密码型身份信息卡、通用证书型的身份信息卡;
所述身份信息卡认证消息为:进行可扩展标记语言XML签名且XML加密的简单对象访问协议SOAP消息。
6.根据权利要求4所述的系统,其特征在于,所述客户端,还用于与所述身份信息卡服务器之间建立安全套接层SSL安全通道,并通过SSL安全通道进行身份信息卡的下载。
7.一种基于企业服务总线的安全管理方法,其特征在于,身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;该方法包括:
所述身份认证子系统在客户端利用所述业务账户登录后,为所述客户端提供与所述业务账户对应的身份信息卡;接收所述客户端选择的身份信息卡,并将所选择的身份信息卡下载到所述客户端;
接收所述客户端在业务访问时发送的身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后,发送安全断言标记语言SAML断言至客户端,由客户端转发所述SAML断言至访问控制子系统;
访问控制子系统验证所述SAML断言的合法性,并在所述SAML断言合法时查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略。
8.根据权利要求7所述的方法,其特征在于,该方法还包括:
所述访问控制子系统编辑安全策略文件及删除无效安全策略文件;所述无效安全策略文件包括:过期的安全策略文件、作废的安全策略文件。
9.根据权利要求7所述的方法,其特征在于,该方法还包括:
所述身份认证子系统将身份信息卡信息存储至本地;并在身份信息卡无效时,删除无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210581772.XA CN103001775B (zh) | 2012-12-27 | 2012-12-27 | 一种基于企业服务总线的安全管理系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210581772.XA CN103001775B (zh) | 2012-12-27 | 2012-12-27 | 一种基于企业服务总线的安全管理系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103001775A true CN103001775A (zh) | 2013-03-27 |
CN103001775B CN103001775B (zh) | 2016-01-13 |
Family
ID=47929939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210581772.XA Expired - Fee Related CN103001775B (zh) | 2012-12-27 | 2012-12-27 | 一种基于企业服务总线的安全管理系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103001775B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027609A (zh) * | 2016-05-05 | 2016-10-12 | 深圳前海大数点科技有限公司 | 一种物联网服务系统 |
CN111079103A (zh) * | 2015-09-14 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种身份认证方法和设备 |
CN111800417A (zh) * | 2020-07-06 | 2020-10-20 | 中电万维信息技术有限责任公司 | 基于esb的统一身份认证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090300512A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Preference editor to facilitate privacy controls over user identities |
CN101908163A (zh) * | 2009-06-05 | 2010-12-08 | 深圳市脑库计算机系统有限公司 | 用于政务商务决策的专家支持应用系统平台及其建构方法 |
CN102811210A (zh) * | 2011-06-03 | 2012-12-05 | 北京邮电大学 | 一种基于ws协议的信息卡认证方法及系统 |
-
2012
- 2012-12-27 CN CN201210581772.XA patent/CN103001775B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090300512A1 (en) * | 2008-05-27 | 2009-12-03 | Open Invention Network Llc | Preference editor to facilitate privacy controls over user identities |
CN101908163A (zh) * | 2009-06-05 | 2010-12-08 | 深圳市脑库计算机系统有限公司 | 用于政务商务决策的专家支持应用系统平台及其建构方法 |
CN102811210A (zh) * | 2011-06-03 | 2012-12-05 | 北京邮电大学 | 一种基于ws协议的信息卡认证方法及系统 |
Non-Patent Citations (2)
Title |
---|
张美娜: "A Security Service for Enhancing ESB based Execution Platform", 《PROCEEDINGS OF 2012 INTERNATIONAL CONFERENCE ON APPLIED INFORMATICS AND COMMUNICATION》 * |
张美娜: "基于ESB服务执行平台的安全管理服务", 《北京邮电大学硕士研究生学位论文》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111079103A (zh) * | 2015-09-14 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种身份认证方法和设备 |
CN111079103B (zh) * | 2015-09-14 | 2024-02-09 | 创新先进技术有限公司 | 一种身份认证方法和设备 |
CN106027609A (zh) * | 2016-05-05 | 2016-10-12 | 深圳前海大数点科技有限公司 | 一种物联网服务系统 |
CN106027609B (zh) * | 2016-05-05 | 2019-04-02 | 深圳大数点科技有限公司 | 一种物联网服务系统 |
CN111800417A (zh) * | 2020-07-06 | 2020-10-20 | 中电万维信息技术有限责任公司 | 基于esb的统一身份认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103001775B (zh) | 2016-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103051628B (zh) | 基于服务器获取认证令牌的方法及系统 | |
CN105027493B (zh) | 安全移动应用连接总线 | |
EP2657871B1 (en) | Secure configuration of mobile application | |
US8392702B2 (en) | Token-based management system for PKI personalization process | |
CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
US8619986B2 (en) | Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier | |
US10084790B2 (en) | Peer to peer enterprise file sharing | |
US20150271146A1 (en) | Methods and systems for the secure exchange of information | |
CN102457509B (zh) | 云计算资源安全访问方法、装置及系统 | |
CN101931613B (zh) | 集中认证方法和集中认证系统 | |
US20100154041A1 (en) | Transforming claim based identities to credential based identities | |
CN112671720B (zh) | 一种云平台资源访问控制的令牌构造方法、装置及设备 | |
US9154304B1 (en) | Using a token code to control access to data and applications in a mobile platform | |
CN106464496A (zh) | 用于创建对用户身份鉴权的证书的方法和系统 | |
WO2013009290A1 (en) | Policy based data management | |
CN101771541A (zh) | 一种用于家庭网关的密钥证书生成方法和系统 | |
CN106796630A (zh) | 用户认证 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
CN102811210B (zh) | 一种基于ws协议的信息卡认证方法及系统 | |
CN103716280A (zh) | 数据传输方法、服务器及系统 | |
CN103024735A (zh) | 无卡终端的业务访问方法及设备 | |
JP2013008140A (ja) | シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム | |
CN103001775B (zh) | 一种基于企业服务总线的安全管理系统及方法 | |
US11206129B2 (en) | First entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products | |
JP2012181662A (ja) | アカウント情報連携システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160113 Termination date: 20211227 |
|
CF01 | Termination of patent right due to non-payment of annual fee |