CN103001775B - 一种基于企业服务总线的安全管理系统及方法 - Google Patents

一种基于企业服务总线的安全管理系统及方法 Download PDF

Info

Publication number
CN103001775B
CN103001775B CN201210581772.XA CN201210581772A CN103001775B CN 103001775 B CN103001775 B CN 103001775B CN 201210581772 A CN201210581772 A CN 201210581772A CN 103001775 B CN103001775 B CN 103001775B
Authority
CN
China
Prior art keywords
identity information
information card
client
authentication
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201210581772.XA
Other languages
English (en)
Other versions
CN103001775A (zh
Inventor
章洋
陈俊亮
张美娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN201210581772.XA priority Critical patent/CN103001775B/zh
Publication of CN103001775A publication Critical patent/CN103001775A/zh
Application granted granted Critical
Publication of CN103001775B publication Critical patent/CN103001775B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于企业服务总线的安全管理系统,该系统包括:身份认证子系统,用于为客户端创建业务账户和身份信息卡;收到客户端发送的身份信息卡认证消息后对身份信息卡进行认证,认证成功后发送SAML断言至客户端;客户端,用于利用业务账户登录身份认证子系统并下载其提供的身份信息卡;向身份认证子系统发送身份信息卡认证消息,将身份认证子系统返回的SAML断言发送至访问控制子系统;访问控制子系统,用于收到客户端发送的SAML断言时验证SAML断言合法性,并在合法时查找与所述业务对应的安全策略,对业务执行安全策略;本发明公开了一种基于企业服务总线的安全管理方法,采用本发明,能够实现对用户进行统一认证和授权。

Description

一种基于企业服务总线的安全管理系统及方法
技术领域
本发明涉及企业服务总线(ESB,EnterpriseServiceBus)中的信息安全技术,尤其涉及一种基于ESB的安全管理系统及方法。
背景技术
大规模分布式的企业应用需要相对简单而实用的中间件技术,以简化和统一越来越复杂、繁琐的企业级信息系统平台。面向服务体系架构(SOA,Service-OrientedArchitecture)是能够将应用程序的不同功能单元通过服务之间定义良好的接口和契约联系起来。SOA使用户可以不受限制地重复使用软件、将各种资源互连起来,只要IT人员选用标准接口包装旧的应用程序,将新的应用程序构建成服务,那么其他应用系统就可以很方便地使用这些功能服务。
支撑SOA的关键是其消息传递架构ESB。ESB是传统中间件技术与可扩展标记语言(XML,ExtensibleMarkupLanguage)、网页服务等技术相互结合的产物,用于实现企业应用不同消息和信息的准确、高效和安全传递。ESB的出现改变了传统的软件架构,可以提供比传统中间件产品更为廉价的解决方案,同时它还可以消除不同应用之间的技术差异,让不同的应用服务协调运作,实现不同服务之间的通信与整合。
随着信息化的迅猛发展,政府、企业机构等不断增加基于互联网的业务系统,如各类网上申报系统,网上审批系统,报表系统等。系统的业务性质一般都要求实现用户管理、身份认证、访问控制等必不可少的安全措施。当新系统与已有系统集成或融合时,特别是针对相同的用户群会带来诸多问题,如无法实现统一认证和授权,多个身份认证系统使安全策略必须在不同的系统内进行多次设置,与此同时,每个系统都开发各自的身份认证系统将造成资源的浪费,多个身份认证系统会增加整个系统的管理工作成本,用户需要记忆多个用户名和口令,使用极为不便。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于ESB的安全管理系统及方法,能够实现对用户进行统一认证和授权。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种基于企业服务总线的安全管理系统,该系统包括:身份认证子系统、客户端、访问控制子系统;其中,
所述身份认证子系统,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;接收到所述客户端发送的身份信息卡认证消息后,对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后发送安全断言标记语言SAML断言至客户端;
所述客户端,用于利用业务账户登录所述身份认证子系统,从所述身份认证子系统提供的与所述业务账户对应的身份信息卡中选择所需的身份信息卡并下载;在业务访问时向所述身份认证子系统发送身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;将所述身份认证子系统返回的SAML断言发送至访问控制子系统;
所述访问控制子系统,用于接收到所述客户端发送的SAML断言时对其进行验证;并在验证合法时,查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略。
上述方案中,所述身份认证子系统包括:身份认证中心、身份信息卡服务器;其中,
所述身份认证中心,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡,将所述身份信息卡发送至身份信息卡服务器;接收到所述客户端发送的身份信息卡认证消息后,根据本地存储的身份信息卡信息对所述身份信息卡认证消息中携带的身份信息卡进行认证,认证成功后发送SAML断言至客户端;
所述身份信息卡服务器,用于接收身份认证中心发送的身份信息卡并存储;接收到所述客户端的身份信息卡下载请求时为所述客户端提供所请求的身份信息卡。
上述方案中,所述访问控制子系统包括:策略编辑器、策略执行点、策略判决点;其中,
所述策略编辑器,用于编辑安全策略文件及删除无效的安全策略文件;
所述策略执行点,用于接收到客户端发送的SAML断言时,发送携带有所述SAML断言的权限请求消息至策略判决点进行验证及安全策略匹配;并根据策略判决点反馈的与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;
所述策略判决点,用于接收策略执行点发送的权限请求消息,并验证所述权限请求消息中的SAML断言的合法性;当所述SAML断言合法时,根据客户端请求的业务在策略编辑器的安全策略文件中查找与其对应的安全策略;并将所述安全策略反馈至策略执行点。
上述方案中,所述身份认证中心,还用于将身份信息卡信息以列表形式存储至本地;
所述身份信息卡服务器,还用于删除本地存储的无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
上述方案中,所述身份信息卡包括:用户名/密码型身份信息卡、通用证书型的身份信息卡;
所述身份信息卡认证消息为:进行可扩展标记语言XML签名且XML加密的简单对象访问协议SOAP消息。
上述方案中,所述客户端还用于与所述身份信息卡服务器之间建立安全套接层SSL安全通道,并通过SSL安全通道进行身份信息卡的下载。
本发明提供了一种基于企业服务总线的安全管理方法,身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;该方法包括:
所述身份认证子系统在客户端利用所述业务账户登录后,为所述客户端提供与所述业务账户对应的身份信息卡;接收所述客户端选择的身份信息卡,并将所选择的身份信息卡下载到所述客户端;
接收所述客户端在业务访问时发送的身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后,发送安全断言标记语言SAML断言至客户端,由客户端转发所述SAML断言至访问控制子系统;
访问控制子系统验证所述SAML断言的合法性,并在所述SAML断言合法时查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略。
上述方案中,该方法还包括:所述访问控制子系统编辑安全策略文件及删除无效安全策略文件;所述无效安全策略文件包括:过期的安全策略文件、作废的安全策略文件。
上述方案中,该方法还包括:所述身份认证子系统将身份信息卡信息存储至本地;并在身份信息卡无效时,删除无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
本发明提供的基于ESB的安全管理系统及方法,通过身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡,并存储所述身份信息卡供客户端下载;通过客户端将本地身份信息卡所对应的身份信息卡认证消息发送到身份认证子系统进行认证;如此,可以对用户身份信息卡进行统一认证;对身份信息卡认证消息中的身份信息卡认证成功后,通过身份认证子系统发送SAML断言给客户端,由客户端转发所述SAML断言给访问控制子系统;访问控制子系统验证所述SAML断言的合法性,并在SAML断言合法时,查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;如此,可以对具有身份信息卡的用户进行统一授权。
附图说明
图1为本发明基于ESB的安全管理系统的结构组成示意图;
图2为本发明基于ESB的安全管理方法的实现流程示意图;
图3为本发明基于ESB的安全管理中身份信息卡创建实现流程示意图;
图4为本发明基于ESB的安全管理中身份信息卡认证实现流程示意图;
图5为本发明基于ESB的安全管理中权限请求实现流程示意图。
具体实施方式
为了能够更加详尽地了解本发明的特点与技术内容,下面结合附图对本发明的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明。
图1为本发明基于ESB的安全管理系统的结构组成示意图,如图1所示,该系统包括:身份认证子系统11、客户端12、访问控制子系统13;其中,
所述身份认证子系统11,用于为签约的客户端12创建业务账户、以及与所述业务账户对应的身份信息卡;接收到所述客户端12发送的身份信息卡认证消息后,对所述客户端12发送的身份信息卡进行认证,认证成功后发送安全断言标记语言(SAML,SecurityAssertionMarkupLanguage)断言至客户端12;
所述客户端12,用于利用业务账户登录所述身份认证子系统11,从所述身份认证子系统11提供的与所述业务账户对应的身份信息卡中选择所需的身份信息卡并下载;在业务访问时向所述身份认证子系统11发送身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;将身份认证子系统11返回的SAML断言发送至访问控制子系统13;
所述访问控制子系统13,用于接收到所述客户端12发送的SAML断言时对其进行验证,并在验证合法时查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;
进一步的,所述访问控制子系统13,还用于编辑安全策略文件及删除无效的安全策略文件;
所述无效安全策略包括:过期的安全策略、作废的安全策略。
进一步的,所述身份认证子系统11包括:身份认证中心111、身份信息卡服务器112;其中,
所述身份认证中心111,用于为签约的客户端12创建业务账户、以及约所述业务账户对应的身份信息卡,将所述身份信息卡发送至身份信息卡服务器112;接收所述客户端12发送的身份信息卡认证消息,根据本地存储的身份信息卡信息对所述身份信息卡认证消息中携带的身份信息卡进行认证,在认证成功后发送SAML断言至客户端12;
所述身份信息卡服务器112,用于接收身份认证中心111发送的身份信息卡,并将所述身份信息卡存储至本地;接收到所述客户端12的身份信息卡下载请求时为所述客户端12提供所请求的身份信息卡;
进一步的,所述身份认证中心111,还用于将身份信息卡信息以列表形式存储至本地;
这里,所述列表由身份信息卡列表项组成;每条身份信息卡列表项记载一位客户端的身份信息卡存储信息,包括:用户名、用户身份、用户创建时间等;其中,所述用户身份记录身份信息卡的存储状况;进一步的,所述存储状况包括:无身份信息卡、用户名/密码型身份信息卡、通用证书型身份信息卡;
进一步的,所述身份信息卡服务器112,还用于删除无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡;
上述方案中,所述身份信息卡服务器112将身份信息卡存储至本地的存储形式为分组存储;具体的,一个客户端的所有身份信息卡存为一组,每个客户端和每组身份信息卡之间一一对应;
相应的,所述身份信息卡服务器112,提供与用户对应的一组身份信息卡供客户端12进行下载;
上述方案中,所述身份信息卡包括两种类型:用户名/密码型身份信息卡、通用证书型身份信息卡;
其中,所述用户名/密码型身份信息卡是:需要用户提供用户名和密码的一种身份信息卡;
其中,所述通用证书型身份信息卡是一种通用证书格式,如X509型身份信息卡,所述通用证书型身份信息卡包括:证书版本号、证书持有人的公钥、证书的序列号、主题信息、证书的有效期、认证机构、发布者的数字签名、签名算法标识符;
上述方案中,所述身份信息卡认证消息是:一条签名且加密的简单对象访问协议(SOAP,SimpleObjectAccessProtocol)消息;所述SOAP消息根据所述身份信息卡编辑,所述SOAP消息包括:SOAP封装包、SOAP标头、SOAP体块的XML文档;其中,所述身份信息卡编辑在所述SOAP封装包内;
这里,所述签名为XML签名,所述加密为XML加密;
相应的,所述根据身份信息卡认证消息对身份信息卡进行认证包括:用户名的认证、身份信息卡的认证;
上述方案中,所述SAML断言根据所述身份信息卡编辑,所述SAML断言包括:认证申明、属性申明、授权申明;所述SAML断言用以传输身份信息卡;
上述方案中,所述客户端12与所述身份信息卡服务器112之间通过安全套接层(SSL,SecureSocketsLayer)安全通道进行身份信息卡的下载;
进一步的,所述访问控制子系统13包括:策略编辑器131、策略执行点132、策略判决点133;其中,
所述策略编辑器131,用于编辑安全策略文件及删除无效安全策略文件;
所述策略执行点132,用于在接收到客户端12发送的SAML断言时,发送携有所述SAML断言的权限请求消息至策略判决点133进行验证及安全策略匹配;接收策略判决点反馈的与客户端请求的业务匹配的安全策略,并对所述客户端请求的业务执行所述安全策略;
所述策略判决点,用于接收策略执行点132发送的权限请求消息,并验证所述权限请求消息中的SAML断言的合法性;当所述SAML断言合法时,根据客户端请求的业务在策略编辑器131中查找与其对应的安全策略;将所述安全策略反馈至策略执行点132。
上述方案中,所述安全策略文件包括至少一条安全策略;所述安全策略包括:主题、资源、操作、规则;其中,主题表示操作的主题;资源表示操作的对象;规则表示所述安全策略是否允许操作;进一步的,所述策略文件的格式为XML格式;
所述无效安全策略包括:过期的安全策略、作废的安全策略;
上述方案中,所述执行所述安全策略具体为:将客户端请求的业务作为安全策略的资源,依据安全策略中的规则对所述业务执行所述安全策略中的操作。
图2为本发明基于ESB的安全管理方法的实现流程示意图,如图2所示,该方法包括步骤:
步骤201:身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;在客户端利用所述业务账户登录后,为所述客户端提供与所述业务账户对应的身份信息卡;接收所述客户端选择的身份信息卡,并将所选择的身份信息卡下载到所述客户端;接收所述客户端在业务访问时发送的身份信息卡认证消息;对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后,发送安全断言标记语言SAML断言至客户端,由客户端转发所述SAML断言至访问控制子系统;
本步骤之前还包括:身份认证子系统将身份信息卡信息以列表形式存储至本地;
这里,所述列表由身份信息卡列表项组成;每条身份信息卡列表项记载一位客户端的身份信息卡存储信息,包括:用户名、用户身份、用户创建时间等;其中,所述用户身份记录身份信息卡的存储状况;进一步的,所述存储状况包括:无身份信息卡、用户名/密码型身份信息卡、通用证书型身份信息卡;
上述方案中,所述存储身份信息卡的存储形式为分组存储;具体的,一个用户的所有身份信息卡存为一组,每个用户和每组身份信息卡之间一一对应;
上述方案中,所述身份信息卡包括两种类型:用户名/密码型身份信息卡、通用证书型身份信息卡;
其中,所述用户名/密码型身份信息卡是:需要用户提供用户名和密码的一种身份信息卡;
其中,所述通用证书型身份信息卡是一种证书格式,如X509型身份信息卡,所述通用证书型身份信息卡包括:证书版本号、证书持有人的公钥、证书的序列号、主题信息、证书的有效期、认证机构、发布者的数字签名、签名算法标识符;
上述方案中,所述身份信息卡的存储和发放通过SSL安全通道进行传输;
上述方案中,所述身份信息卡认证消息是:一条签名且加密的简单对象访问协议(SOAP)消息;所述SOAP消息根据所述身份信息卡编辑,所述SOAP消息包括:SOAP封装包、SOAP标头、SOAP体块的XML文档;其中,所述身份信息卡编辑在所述SOAP封装包内包;
这里,所述签名为XML签名,所述加密为XML加密;
相应的,所述根据身份信息卡认证消息对身份信息卡进行认证包括:用户名的认证、身份信息卡的认证。
步骤202:访问控制子系统验证所述SAML断言的合法性,并在所述SAML断言合法时,查找与客户端请求的业务对应的安全策略,对所述客户端请求的业务执行所述安全策略。
本步骤还包括:访问控制子系统编辑安全策略文件及删除无效安全策略文件;
所述安全策略文件包括至少一条安全策略;所述安全策略包括:主题、资源、操作、规则;其中,主题表示操作的主题;资源表示操作的对象,所述资源来自网络服务器资源;规则表示所述安全策略是否允许操作;进一步的,所述策略文件的格式为XML格式;
所述无效安全策略包括:过期的安全策略、作废的安全策略;
上述方案中,所述SAML断言根据所述身份信息卡编辑,所述SAML断言包括:认证申明、属性申明、授权申明;所述SAML断言用以传输身份信息卡。
上述方案中,所述执行所述安全策略具体为:将客户端请求的业务作为安全策略的资源,依据安全策略中的规则对所述业务执行所述安全策略中的操作。
图3为本发明基于ESB的安全管理中身份信息卡创建实现流程示意图,如图3所示,该方法包括步骤:
步骤301:身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;
本步骤还包括:身份认证子系统将身份信息卡信息以列表形式存储至本地;
这里,所述列表由身份信息卡列表项组成;每条身份信息卡列表项记载一位用户的身份信息卡存储信息,包括:用户名、用户身份、用户创建时间等;其中,所述用户身份记录身份信息卡的存储状况;进一步的,所述存储状况包括:无身份信息卡、用户名/密码型身份信息卡、通用证书型身份信息卡;
上述方案中,所述身份信息卡服务器进行存储的存储形式为分组存储;具体的,一个客户端的所有身份信息卡存为一组,每个客户端和每组身份信息卡之间一一对应;
上述方案中,所述身份信息卡包括两种类型:用户名/密码型身份信息卡、通用证书型身份信息卡;
其中,所述用户名/密码型身份信息卡是:需要用户提供用户名和密码的一种身份信息卡;
其中,所述通用证书型身份信息卡是一种证书格式,如X509型身份信息卡,所述通用证书型身份信息卡包括:证书版本号、证书持有人的公钥、证书的序列号、主题信息、证书的有效期、认证机构、发布者的数字签名、签名算法标识符。
步骤302:客户端利用业务账户登录所述身份认证子系统,从身份认证子系统提供的与所述业务账户相应的身份信息卡中选择所需的身份信息卡并下载;
这里,客户端与身份认证子系统之间通过SSL安全通道进行身份信息卡的下载。
图4为本发明基于ESB的安全管理中身份信息卡认证实现流程示意图,如图4所示,该流程包括步骤:
步骤401:客户端发送身份信息卡认证消息到身份认证子系统进行认证;
这里,所述身份信息卡携带有所述客户端选择的身份信息卡;进一步的,所述身份信息卡认证消息是:一条签名且加密的SOAP消息;所述SOAP消息根据所述身份信息卡编辑,所述SOAP消息包括:SOAP封装包、SOAP标头、SOAP体块的XML文档;其中,所述身份信息卡编辑在所述SOAP封装包内;
这里,所述签名为XML签名,所述加密为XML加密;
相应的,所述根据身份信息卡认证消息对身份信息卡进行认证包括:用户名的认证、身份信息卡的认证。
步骤402:身份认证子系统在认证成功后,发送SAML断言给客户端;
上述方案中,所述SAML断言根据所述身份信息卡编辑,所述SAML断言包括:认证申明、属性申明、授权申明;所述SAML断言用以传输身份信息卡。
图5为本发明基于ESB的安全管理中权限请求实现流程示意图,如图5所示,该方法包括步骤:
步骤501:策略执行点接收客户端发送的SAML断言,将携带有SAML断言的权限请求消息发送至策略判决点;
本步骤还包括:策略编辑器编辑安全策略文件及删除无效安全策略文件;
所述安全策略文件包括至少一条安全策略;所述安全策略包括:主题、资源、操作、规则;其中,主题表示操作的主题;资源表示操作的对象,进一步的,所述资源来自网络服务器资源;规则表示所述安全策略是否允许操作;进一步的,所述策略文件的格式为XML格式;
所述无效安全策略包括:过期的安全策略、作废的安全策略;
步骤502:策略判决点验证所述SAML断言的合法性,并在所述SAML断言合法时,在策略编辑器中查找与客户端请求的业务对应的安全策略;并将所述安全策略反馈至策略执行点。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (8)

1.一种基于企业服务总线的安全管理系统,其特征在于,该系统包括:身份认证子系统、客户端、访问控制子系统;其中,
所述身份认证子系统,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;接收到所述客户端发送的身份信息卡认证消息后,对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后发送安全断言标记语言SAML断言至客户端;
所述客户端,用于利用业务账户登录所述身份认证子系统,从所述身份认证子系统提供的与所述业务账户对应的身份信息卡中选择所需的身份信息卡并下载;在业务访问时向所述身份认证子系统发送身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;将所述身份认证子系统返回的SAML断言发送至访问控制子系统;还用于与所述身份信息卡服务器之间建立安全套接层SSL安全通道,并通过SSL安全通道进行身份信息卡的下载;
所述访问控制子系统,用于接收到所述客户端发送的SAML断言时对其进行验证;并在验证合法时,查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略,其中,所述安全策略包括:主题、资源、操作、规则,所述执行所述安全策略具体为:将客户端请求的业务作为安全策略的资源,依据安全策略中的规则对所述业务执行所述安全策略中的操作。
2.根据权利要求1所述的系统,其特征在于,所述身份认证子系统包括:身份认证中心、身份信息卡服务器;其中,
所述身份认证中心,用于为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡,将所述身份信息卡发送至身份信息卡服务器;接收到所述客户端发送的身份信息卡认证消息后,根据本地存储的身份信息卡信息对所述身份信息卡认证消息中携带的身份信息卡进行认证,认证成功后发送SAML断言至客户端;
所述身份信息卡服务器,用于接收身份认证中心发送的身份信息卡并存储;接收到所述客户端的身份信息卡下载请求时为所述客户端提供所请求的身份信息卡。
3.根据权利要求1或2所述的系统,其特征在于,所述访问控制子系统包括:策略编辑器、策略执行点、策略判决点;其中,
所述策略编辑器,用于编辑安全策略文件及删除无效的安全策略文件;
所述策略执行点,用于接收到客户端发送的SAML断言时,发送携带有所述SAML断言的权限请求消息至策略判决点进行验证及安全策略匹配;并根据策略判决点反馈的与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略;
所述策略判决点,用于接收策略执行点发送的权限请求消息,并验证所述权限请求消息中的SAML断言的合法性;当所述SAML断言合法时,根据客户端请求的业务在策略编辑器的安全策略文件中查找与其对应的安全策略;并将所述安全策略反馈至策略执行点。
4.根据权利要求3所述的系统,其特征在于,
所述身份认证中心,还用于将身份信息卡信息以列表形式存储至本地;
所述身份信息卡服务器,还用于删除本地存储的无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
5.根据权利要求3所述的系统,其特征在于,
所述身份信息卡包括:用户名/密码型身份信息卡、通用证书型的身份信息卡;
所述身份信息卡认证消息为:进行可扩展标记语言XML签名且XML加密的简单对象访问协议SOAP消息。
6.一种基于企业服务总线的安全管理方法,其特征在于,身份认证子系统为签约的客户端创建业务账户、以及与所述业务账户对应的身份信息卡;该方法包括:
所述身份认证子系统在客户端利用所述业务账户登录后,为所述客户端提供与所述业务账户对应的身份信息卡;接收所述客户端选择的身份信息卡,并将所选择的身份信息卡下载到所述客户端;其中,所述客户端与所述身份信息卡服务器之间建立安全套接层SSL安全通道,并通过SSL安全通道进行身份信息卡的下载;
接收所述客户端在业务访问时发送的身份信息卡认证消息,所述身份信息卡认证消息中携带有所述客户端选择的身份信息卡;对所述身份信息卡认证消息中的身份信息卡进行认证,认证成功后,发送安全断言标记语言SAML断言至客户端,由客户端转发所述SAML断言至访问控制子系统;
访问控制子系统验证所述SAML断言的合法性,并在所述SAML断言合法时查找与客户端请求的业务对应的安全策略,对所述业务执行所述安全策略,其中,所述安全策略包括:主题、资源、操作、规则,所述执行所述安全策略具体为:将客户端请求的业务作为安全策略的资源,依据安全策略中的规则对所述业务执行所述安全策略中的操作。
7.根据权利要求6所述的方法,其特征在于,该方法还包括:
所述访问控制子系统编辑安全策略文件及删除无效安全策略文件;所述无效安全策略文件包括:过期的安全策略文件、作废的安全策略文件。
8.根据权利要求6所述的方法,其特征在于,该方法还包括:
所述身份认证子系统将身份信息卡信息存储至本地;并在身份信息卡无效时,删除无效身份信息卡;所述无效身份信息卡包括:过期的身份信息卡、作废的身份信息卡。
CN201210581772.XA 2012-12-27 2012-12-27 一种基于企业服务总线的安全管理系统及方法 Expired - Fee Related CN103001775B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210581772.XA CN103001775B (zh) 2012-12-27 2012-12-27 一种基于企业服务总线的安全管理系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210581772.XA CN103001775B (zh) 2012-12-27 2012-12-27 一种基于企业服务总线的安全管理系统及方法

Publications (2)

Publication Number Publication Date
CN103001775A CN103001775A (zh) 2013-03-27
CN103001775B true CN103001775B (zh) 2016-01-13

Family

ID=47929939

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210581772.XA Expired - Fee Related CN103001775B (zh) 2012-12-27 2012-12-27 一种基于企业服务总线的安全管理系统及方法

Country Status (1)

Country Link
CN (1) CN103001775B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106533687B (zh) * 2015-09-14 2019-11-08 阿里巴巴集团控股有限公司 一种身份认证方法和设备
CN106027609B (zh) * 2016-05-05 2019-04-02 深圳大数点科技有限公司 一种物联网服务系统
CN111800417A (zh) * 2020-07-06 2020-10-20 中电万维信息技术有限责任公司 基于esb的统一身份认证方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101908163A (zh) * 2009-06-05 2010-12-08 深圳市脑库计算机系统有限公司 用于政务商务决策的专家支持应用系统平台及其建构方法
CN102811210A (zh) * 2011-06-03 2012-12-05 北京邮电大学 一种基于ws协议的信息卡认证方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850548B2 (en) * 2008-05-27 2014-09-30 Open Invention Network, Llc User-portable device and method of use in a user-centric identity management system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101908163A (zh) * 2009-06-05 2010-12-08 深圳市脑库计算机系统有限公司 用于政务商务决策的专家支持应用系统平台及其建构方法
CN102811210A (zh) * 2011-06-03 2012-12-05 北京邮电大学 一种基于ws协议的信息卡认证方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A Security Service for Enhancing ESB based Execution Platform;张美娜;《Proceedings of 2012 International Conference on Applied Informatics and Communication》;20121204;正文第123页至128页 *
基于ESB服务执行平台的安全管理服务;张美娜;《北京邮电大学硕士研究生学位论文》;20121110;正文第24页至第41页 *

Also Published As

Publication number Publication date
CN103001775A (zh) 2013-03-27

Similar Documents

Publication Publication Date Title
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US8949963B2 (en) Application identity design
US7266840B2 (en) Method and system for secure, authorized e-mail based transactions
CN101931613B (zh) 集中认证方法和集中认证系统
CN1332521C (zh) 用于管理网络业务接入与登记的系统和方法
US9021113B2 (en) Inter-service sharing of content between users from different social networks
US20100077208A1 (en) Certificate based authentication for online services
EP1696378A1 (en) Distributed Workflow Techniques
US20110296172A1 (en) Server-side key generation for non-token clients
US9100171B1 (en) Computer-implemented forum for enabling secure exchange of information
US20110296171A1 (en) Key recovery mechanism
US20090100261A1 (en) Method and system for mediation of authentication within a communication network
KR20090015026A (ko) 인덱스 저장소 사용 방법, 컴퓨터 시스템, 및 컴퓨터 판독가능 매체
CN106464496A (zh) 用于创建对用户身份鉴权的证书的方法和系统
WO2014042992A2 (en) Establishing and using credentials for a common lightweight identity
CN101426009A (zh) 身份管理平台、业务服务器、统一登录系统及方法
Aiftimiei et al. Towards next generations of software for distributed infrastructures: the European Middleware Initiative
US20040083359A1 (en) Delegation by electronic certificate
CN102811210B (zh) 一种基于ws协议的信息卡认证方法及系统
CN103001775B (zh) 一种基于企业服务总线的安全管理系统及方法
CN106936760A (zh) 一种登录Openstack云系统虚拟机的装置和方法
JP6319006B2 (ja) 認証サービス方法、認証サービスサーバ、及び認証サービスシステム
JP2001202332A (ja) 認証プログラム管理システム
CN116707849A (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台
CN111555887A (zh) 区块链证书兼容性处理方法、装置及计算机存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160113

Termination date: 20211227