CN103780572A - 一种网页服务安全实现的系统及方法 - Google Patents
一种网页服务安全实现的系统及方法 Download PDFInfo
- Publication number
- CN103780572A CN103780572A CN201210394180.7A CN201210394180A CN103780572A CN 103780572 A CN103780572 A CN 103780572A CN 201210394180 A CN201210394180 A CN 201210394180A CN 103780572 A CN103780572 A CN 103780572A
- Authority
- CN
- China
- Prior art keywords
- webservice
- service request
- client
- module
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种Webservice安全实现系统,包括客户端、系统服务器和监控器;客户端根据自身需要向系统服务器发起至少一项服务请求,系统服务器针对允许的服务请求调用相应的Webservice资源;依据审计规则,监控器对所述系统服务器的操作进行监控。本发明同时还公开了一种Webservice安全实现方法;采用本发明,能保证只有指定的服务请求才能通过Webservice接口,避免了客户信息被篡改,确保了Webservice实现的安全性。
Description
技术领域
本发明涉及网络安全技术,具体涉及一种网页服务(Webservice)安全实现的系统及方法。
背景技术
随着互联网的不断进步,应用程序集成平台Webservice成为各大商家的宠儿,商家可通过Webservice这个应用程序集成平台完成企业间各种商务交互。商业应用中,通常将Webservice提供的应用程序的执行称为服务,将提供这种服务的实体称为服务端,将调用这种服务的实体称为客户端。
在Webservice的体系结构中,实现一个完整的Web服务,需要服务端、客户端和管理者。其中,服务端用于设计Web服务,将调试正确的Web服务通过管理者发布,并注册在统一描述、发现和集成协议(UDDI,UniversalDescription、Discovery and Integration)注册中心;客户端用于向管理者发起特定的服务请求,管理者根据请求查询UDDI注册中心,并为发起服务请求的客户端寻找满足请求的服务;Web服务的管理者找到满足服务请求的消息,将满足服务请求的消息转化成简单对象访问协议(SOAP,Simple Object AccessProtocol)消息,发送给服务端;服务端按SOAP消息执行相应的Web服务,并将服务结果返回给客户端。
当客户端与服务端进行服务交互时,客户端与服务器端先建立起链接,利用所建立的链接进行服务的传输,所述服务交互包括应用程序或数据的交互。现有技术中,大多采用超文本传输协议(HTTP,Hypertext Transport Protocol)链接作为服务的传输链路,这样,服务消息和服务结果是否能进行安全传输就成为Webservice实现的关键点。
目前,实现Webservice链接的安全技术主要有以下四种方式:
1.使用HTTP对Webservice传输链路进行加密;
2.将服务消息加密为密文;
3.将服务消息进行消息认证和数字签名;
4.将服务消息进行令牌验证。
从上述安全技术可看出,第一种主要考虑到了传输链路层的安全,第二、三、四种实质上都是对服务消息本身进行安全加密,以防止服务消息被篡改。但是,实际上一个Webservice接口中包含多个服务,当多个服务到达同一个Webservice接口时,无论采用上述哪种安全技术,都不会保证只有指定的服务才能通过该Webservice接口进行Webservice资源的调用。
发明内容
有鉴于此,本发明的主要目的在于提供一种Webservice安全实现的系统及方法,能保证只有指定的服务请求才能通过Webservice接口,避免了客户信息被篡改,确保了Webservice实现的安全性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种Webservice安全实现系统,该系统包括:
客户端,用于根据自身需要向系统服务器发起至少一项服务请求;
系统服务器,用于针对允许的服务请求调用相应的Webservice资源;
监控器,用于依据审计规则,对所述系统服务器的操作进行监控。
上述方案中,所述系统服务器进一步包括防火墙、Webservice接口模块和Webservice资源模块;其中,
所述防火墙,用于滤除掺杂在服务请求中的非法应用程序或数据;
所述Webservice接口模块,用于根据预先设置的传输规则对服务请求进行限制,仅允许指定的服务请求通过Webservice接口模块;
所述Webservice资源模块,用于针对允许的服务请求调用相应的Webservice资源,并将Webservice服务结果返回到客户端。
上述方案中,所述客户端包括客户模块和业务模块。
上述方案中,所述监控器包括审计模块和审计管理模块;其中,
所述审计模块,用于依据设定的审计规则对所述Webservice资源模块进行监控,并在监控到异常操作时,自动写入异常操作并通知所述审计管理模块。
本发明还提供了一种Webservice安全实现方法,该方法包括:
客户端根据自身需要向系统服务器发起至少一项服务请求;
系统服务器针对允许的服务请求调用相应的Webservice资源;
依据审计规则,对系统服务器的操作进行监控。
上述方案中,所述系统服务器针对允许的服务请求调用相应的Webservice资源为:
先滤除掺杂在服务请求中的非法应用程序或数据;然后按照预先设置的传输规则对所述服务请求进行限制,仅允许指定的服务请求通过所述Webservice接口,针对允许的服务请求调用相应Webservice资源,并将Webservice服务结果返回到客户端。
上述方案中,该方法进一步包括:监控到异常操作时,自动写入异常操作到所述审计模块并通知所述审计管理模块。
所述传输规则包括对客户端IP地址进行分类、对客户端进行标识。
本发明所提供的Webservice安全实现的系统及方法,客户端发起至少一项服务请求后,先利用防火墙对该至少一项服务请求进行限制,保留正常的服务请求,滤除掺杂在服务请求中的非法应用程序如网页病毒;再利用预先设置的传输规则对客户端的网络协议(IP,Internet Protocol)地址进行限制,如此,就能够保证只有指定的服务请求才能通过Webservice接口对相应的Webservice资源进行调用,从而避免了客户信息被篡改,确保了系统处理客户端服务请求时Webservice实现的安全性。
附图说明
图1为本发明Webservice安全实现系统的组成结构示意图;
图2为本发明Webservice安全实现方法的流程示意图;
图3为本发明Webservice安全实现系统一实施例的组成结构示意图。
具体实施方式
本发明的Webservice安全实现系统,如图1所示,包括:客户端11、系统服务器12和监控器13;其中,所述客户端11还包括:客户模块111和业务模块112;所述系统服务器12包括防火墙121、Webservice接口模块122和Webservice资源模块123;所述监控器13包括审计模块131和审计管理模块132。
所述客户端11,用于根据自身需要向系统服务器12发起至少一项服务请求;
所述系统服务器12,用于针对允许的服务请求调用相应的Webservice资源;
所述监控器13,用于依据审计规则,对所述系统服务器12的操作进行监控。
具体的,所述客户端11根据自身需要的业务向所述系统服务器12发起至少一项服务请求,所述至少一项服务请求通过所述防火墙121先对掺杂在所述至少一项服务请求中诸如病毒、木马等非法应用程序或数据进行限制,即:滤除掺杂在服务请求中的非法应用程序或数据,保留正常的服务请求;然后,按照预先设置的传输规则对所述至少一项服务请求做进一步的限制,仅允许指定的服务请求通过Webservice接口模块122,并针对允许的服务请求调用存储在所述Webservice资源模块123中的相应Webservice资源。
所述Webservice资源被调用后,所述Webservice资源模块123会将所述Webservice资源执行后的服务结果反馈给所述客户端11,能保证让所述客户端11获知自身发出的所述至少一项服务请求是否成功;当所述客户端11接收到成功的服务结果时,则所述客户端11执行所述服务结果对应的业务;当所述客户端11接收到失败的服务结果时,则所述客户端11可继续向所述系统服务器12发起服务请求,也可停止发起服务请求。其中,所述预先设置的传输规则可由系统的工作人员制定,包括对客户端IP地址进行分类,对客户端进行标识等。
上述过程中,所述Webservice资源模块123受到所述监控器13的监控,所述审计模块131依据设定的审计规则对所述Webservice资源模块123进行监控;当所述审计模块131监控到异常操作时,所述异常操作自动写入所述审计模块131,并及时通知所述审计管理模块132。其中,所述设定的审计规则可由所述审计管理模块132依据计算机审计规则的相关规定而制定。
基于上述Webservice的安全实现系统,本发明还提供了Webservice的安全实现方法,如图2所示,所述方法包括:
步骤21:客户端根据自身需要向系统服务器发起至少一项服务请求;
步骤22:系统服务器针对允许的服务请求调用相应的Webservice资源;
具体的,本步骤为:先将所述至少一项服务请求通过防火墙121,所述防火墙121对掺杂在所述至少一项服务请求中的非法应用程序或数据进行滤除,保留正常的服务请求;然后,按照预先设置的传输规则对所述至少一项服务请求做进一步的限制,仅允许指定的服务请求通过Webservice接口模块122,并针对允许的服务请求调用存储在所述Webservice资源模块123中的相应Webservice资源。其中,所述预先设置的传输规则可由系统的工作人员制定,包括对客户端IP地址进行分类、对客户端进行标识等。
为保证所述客户端11能够获知自身发出的所述至少一项服务请求是否成功,所述Webservice资源被调用后,所述Webservice资源模块123会将所述Webservice资源执行后的服务结果反馈给所述客户端11;当所述客户端11接收到成功的服务结果时,则所述客户端11执行所述服务结果对应的业务;当所述客户端11接收到失败的服务结果时,则所述客户端11可继续向所述系统服务器12发起服务请求,也可停止发起服务请求。
步骤23:依据审计规则,对系统服务器的操作进行监控;
具体的,本步骤为:依据设定的审计规则,所述审计模块131对所述Webservice资源模块123进行监控;当所述审计模块131监控到异常操作时,所述异常操作自动写入所述审计模块131,并及时通知所述审计管理模块132。其中,所述设定的审计规则可由所述审计管理模块132依据计算机审计规则的相关规定而制定。
结合图3所示,对本发明一个具体实施例进行详细地说明。本实施例中,有三个客户端,分别为客户端A、客户端B和客户端C,分别对应三个客户;客户端A包括客户模块A和业务模块A,客户端B包括客户模块B和业务模块B,客户端C包括客户模块C和业务模块C。
客户模块A根据自身需求发起一项服务请求A,客户模块B根据自身需求发起一项服务请求B,客户模块C根据自身需求发起一项服务请求C;所述服务请求A、所述服务请求B和所述服务请求C经过所述防火墙121;所述防火墙121对掺杂在所述服务请求A、所述服务请求B和所述服务请求C中诸如病毒、木马等非法应用程序或数据进行限制;之后,再根据预先设置的传输规则对所述服务请求A、所述服务请求B和所述服务请求C做进一步限制,因为Webservice基于HTTP协议,所以,所述系统服务器12能够获取到所述客户端包括的各客户的IP地址,并对所述各客户的IP地址进行分类,令属于系统认同的IP地址段的服务请求能够通过Webservice接口,不属于系统认同的IP地址段的服务请求无法通过Webservice接口。
同时,所述Webservice安全实现系统还可以对发起服务请求的各客户进行标识,所述客户端标识包括各客户发起服务请求的时间、各客户帐号等信息。所述Webservice安全实现系统对所述的各客户标识进行加密形成各自签名,所述系统服务器12可根据所述客户端和所述系统服务器12事先约定好的加密算法和密钥对所述各签名自行解密。当所述系统服务器12识别出解密之后的各自签名与所述各客户标识一致时,则所述Webservice接口模块122认为所述各客户标识没有被篡改,信息没有被篡改的各客户发起的服务请求可顺利通过所述Webservice接口模块122。
当所述服务请求A、所述服务请求B和所述服务请求C通过所述Webservice接口模块122之后,所述Webservice资源模块123识别出所述服务请求A应调用Webservice资源A,所述服务请求B和所述服务请求C对于所述服务请求A发起的调用是无效的;同样地,所述服务请求B应调用Webservice资源B,所述服务请求A和所述服务请求C对于所述服务请求B发起的调用是无效的;所述服务请求C应调用Webservice资源C,所述服务请求A和所述服务请求B对于所述服务请求C发起的调用是无效的。
所述Webservice资源模块123将所述Webservice资源A、所述Webservice资源B和所述Webservice资源C执行后的服务结果A、服务结果B、服务结果C分别反馈给所述客户模块A、所述客户模块B和所述客户模块C。当所述客户模块A接收到成功的服务结果A,所述客户模块A执行所述业务A;当所述客户模块A接收到失败的服务结果A,则所述客户模块A可继续发起服务请求A直至接收到成功的服务结果,也可停止发起服务请求A;当所述客户模块B接收到成功的服务结果B,所述客户模块B执行所述业务B;当所述客户模块B接收到失败的服务结果B,则所述客户模块B可继续发起服务请求B直至接收到成功的服务结果,也可停止发起服务请求B;当所述客户模块C接收到成功的服务结果C,所述客户模块C执行所述业务C;当所述客户模块C接收到失败的服务结果C,则所述客户模块C可继续发起服务请求C直至接收到成功的服务结果,也可停止发起服务请求C。
上述处理执行过程中,所述监控器13依据设定的审计规则对所述Webservice资源模块123进行监控,所述审计规则由审计管理模块132依据计算机审计规则的相关规定而制定。其中,审计规则可以包括Webservice资源访问出现异常操作的情况,所述异常操作情况包括客户在一天时间中对Webservice资源的访问少于一定数量,还包括每天凌晨时间段客户对Webservice资源的访问多于一定数量等等;当系统监控到有异常操作出现时,自动将所述异常操作写入所述审计模块131,并及时通知所述审计管理模块132。
本发明的Webservice安全实现的系统及方法,在客户端根据自身业务需要对系统服务器发起至少一项服务请求后,所述服务请求先通过防火墙滤除掺杂在服务请求中的非法应用程序和数据,再通过对客户端IP地址进行分类和对客户端进行标识的方法,令只有指定的服务请求才能通过Webservice接口完成Webservice资源调用。同时,采用防火墙、对客户端IP进行分类和对标识客户端多种方法,避免非法应用程序的介入,减少了客户信息被篡改的概率,增强了系统完成Webservice资源服务的可靠性和安全性。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (9)
1.一种Webservice安全实现系统,其特征在于,该系统包括:
客户端,用于根据自身需要向系统服务器发起至少一项服务请求;
系统服务器,用于针对允许的服务请求调用相应的Webservice资源;
监控器,用于依据审计规则,对所述系统服务器的操作进行监控。
2.根据权利要求1所述的Webservice安全实现系统,其特征在于,所述系统服务器进一步包括防火墙、Webservice接口模块和Webservice资源模块;其中,
所述防火墙,用于滤除掺杂在服务请求中的非法应用程序或数据;
所述Webservice接口模块,用于根据预先设置的传输规则对服务请求进行限制,仅允许指定的服务请求通过Webservice接口模块;
所述Webservice资源模块,用于针对允许的服务请求调用相应的Webservice资源,并将Webservice服务结果返回到客户端。
3.根据权利要求1所述的Webservice安全实现系统,其特征在于,所述客户端包括客户模块和业务模块。
4.根据权利要求1、2或3所述的Webservice安全实现系统,其特征在于,所述监控器包括审计模块和审计管理模块;其中,
所述审计模块,用于依据设定的审计规则对所述Webservice资源模块进行监控,并在监控到异常操作时,自动写入异常操作并通知所述审计管理模块。
5.根据权利要求2所述的Webservice安全实现系统,其特征在于,所述传输规则包括对客户端IP地址进行分类、对客户端进行标识。
6.一种Webservice安全实现方法,其特征在于,该方法包括:
客户端根据自身需要向系统服务器发起至少一项服务请求;
系统服务器针对允许的服务请求调用相应的Webservice资源;
依据审计规则,对系统服务器的操作进行监控。
7.根据权利要求6所述的Webservice安全实现方法,其特征在于,所述系统服务器针对允许的服务请求调用相应的Webservice资源为:
先滤除掺杂在服务请求中的非法应用程序或数据;然后按照预先设置的传输规则对所述服务请求进行限制,仅允许指定的服务请求通过所述Webservice接口,针对允许的服务请求调用相应Webservice资源,并将Webservice服务结果返回到客户端。
8.根据权利要求6或7所述的Webservice安全实现方法,其特征在于,该方法进一步包括:监控到异常操作时,自动写入异常操作到所述审计模块并通知所述审计管理模块。
9.根据权利要求6或7所述的Webservice安全实现方法,其特征在于,所述传输规则包括对客户端IP地址进行分类、对客户端进行标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210394180.7A CN103780572A (zh) | 2012-10-17 | 2012-10-17 | 一种网页服务安全实现的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210394180.7A CN103780572A (zh) | 2012-10-17 | 2012-10-17 | 一种网页服务安全实现的系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103780572A true CN103780572A (zh) | 2014-05-07 |
Family
ID=50572408
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210394180.7A Pending CN103780572A (zh) | 2012-10-17 | 2012-10-17 | 一种网页服务安全实现的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103780572A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1892664A (zh) * | 2005-06-30 | 2007-01-10 | 国际商业机器公司 | 控制对资源的访问的方法和系统 |
| CN101019403A (zh) * | 2004-08-07 | 2007-08-15 | 浪控有限公司 | 资源访问过滤系统和方法 |
| US20090006618A1 (en) * | 2007-06-28 | 2009-01-01 | Richard Hayton | Methods and systems for access routing and resource mapping using filters |
| CN102196006A (zh) * | 2010-03-17 | 2011-09-21 | 中国移动通信集团公司 | 一种为应用程序提供资源的开放系统 |
-
2012
- 2012-10-17 CN CN201210394180.7A patent/CN103780572A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101019403A (zh) * | 2004-08-07 | 2007-08-15 | 浪控有限公司 | 资源访问过滤系统和方法 |
| CN1892664A (zh) * | 2005-06-30 | 2007-01-10 | 国际商业机器公司 | 控制对资源的访问的方法和系统 |
| US20090006618A1 (en) * | 2007-06-28 | 2009-01-01 | Richard Hayton | Methods and systems for access routing and resource mapping using filters |
| CN102196006A (zh) * | 2010-03-17 | 2011-09-21 | 中国移动通信集团公司 | 一种为应用程序提供资源的开放系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106341429B (zh) | 一种保护服务器数据安全的认证方法 | |
| CN105656903B (zh) | 一种Hive平台的用户安全管理系统及应用 | |
| CN104243496B (zh) | 一种软件定义网跨域安全代理方法和系统 | |
| CN104636678B (zh) | 一种云计算环境下对终端设备进行管控的方法和系统 | |
| CN1878170A (zh) | 用于管理会话标识符的方法和设备 | |
| CN104333556B (zh) | 基于资源服务管理系统安全认证网关分布式配置管理方法 | |
| CN112187931A (zh) | 会话管理方法、装置、计算机设备和存储介质 | |
| CN104504014A (zh) | 基于大数据平台的数据处理方法和装置 | |
| CN109150800A (zh) | 一种登录访问方法、系统和存储介质 | |
| CN103457802A (zh) | 一种信息传输系统及方法 | |
| WO2012155456A1 (zh) | 一种许可控制方法及系统 | |
| CN114780214B (zh) | 任务处理方法、装置、系统及设备 | |
| CN102739405A (zh) | 一种面向服务架构服务消费者的认证方法 | |
| US8977741B1 (en) | Method and system for cloud computing service transparency | |
| US9064289B2 (en) | Service mediation model | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN101283540A (zh) | 在数字权限管理中共享权限对象的方法及其装置和系统 | |
| EP3352418B1 (en) | Data processing status monitoring method and device | |
| JPWO2009087885A1 (ja) | サーバシステムとそのイベントメッセージ送信方法、クライアント端末とその接続方法とプログラム、記録媒体 | |
| WO2009066858A1 (en) | Personal information management apparatus and personal information management method | |
| CN112926981B (zh) | 用于区块链的交易信息处理方法、装置、介质及电子设备 | |
| US20220109665A1 (en) | Method and system for capturing data from an external cloud computing platform | |
| CN103780572A (zh) | 一种网页服务安全实现的系统及方法 | |
| CN112104625B (zh) | 一种进程访问的控制方法及装置 | |
| CN113485731A (zh) | 一种用于区块链的智能合约升级方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140507 |
|
| RJ01 | Rejection of invention patent application after publication |