CN101299753A - 基于代理服务器的Web服务安全控制机制 - Google Patents

基于代理服务器的Web服务安全控制机制 Download PDF

Info

Publication number
CN101299753A
CN101299753A CN 200810062261 CN200810062261A CN101299753A CN 101299753 A CN101299753 A CN 101299753A CN 200810062261 CN200810062261 CN 200810062261 CN 200810062261 A CN200810062261 A CN 200810062261A CN 101299753 A CN101299753 A CN 101299753A
Authority
CN
China
Prior art keywords
service
message
acting server
soap message
isp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200810062261
Other languages
English (en)
Other versions
CN101299753B (zh
Inventor
吴朝晖
来谨莹
邓水光
李莹
吴健
尹建伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN 200810062261 priority Critical patent/CN101299753B/zh
Publication of CN101299753A publication Critical patent/CN101299753A/zh
Application granted granted Critical
Publication of CN101299753B publication Critical patent/CN101299753B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明属于Web服务安全领域,涉及一种基于代理服务器的Web服务安全控制机制。一种基于代理服务器的Web服务安全控制机制,其特征在于:在服务请求者和服务提供者的本地机器上设有代理服务器,所述代理服务器用于截获用户发出和接收的所有HTTP信息,并对其中的SOAP消息做处理。本发明的有益效果是:通过在本地机上设置代理服务器,对截获的SOAP消息进行加密、签名等处理,可以保证凡是通过Internet网的SOAP消息都是经过加密和签名的,以保证消息的机密性、完整性和不可抵赖性,使信息传输更安全。

Description

基于代理服务器的Web服务安全控制机制
技术领域
本发明属于Web服务安全领域,涉及一种基于代理服务器的Web服务安全控制机制。
背景技术
Web服务技术是为解决网络应用集成问题而提出来的,使得应用程序可以用与平台和编程语言无关的方式进行相互通信的一项技术。Web服务描述了一组可以在网络上通过标准化的可扩展标记语言消息传递访问的操作,使用基于XML语言的协议来描述所要执行的操作或者所要与另一个Web服务交换的数据。
SOAP(Simple Object Access Protocol)简单对象访问协议,是基于XML的用于应用程序之间通信数据编码的传输协议。SOAP包不是通过专用的二进制协议调用方法,而是使用XML这种基本文本的词法来调用方法。请求应用程序与接收对象之间的所有信息,是作为XML流中的标记数据通过HTTP发送的。SOAP的缺省传输绑定是HTTP,因而,SOAP文档可以穿过几乎所有的防火墙,从而能跨越不同的平台交换信息,造成Web服务的不安全性。
代理服务器是介于浏览器和Web服务器之间的服务器。使用代理服务器之后,浏览器不再是直接到Web服务器去取回网页而是向代理服务器发出请求,请求信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给浏览器。
发明内容
为了解决以上Web服务的不安全性的缺陷,本发明提出了一种信息传输更安全的基于代理服务器的Web服务安全控制机制。
一种基于代理服务器的Web服务安全控制机制,其特征在于:在服务请求者和服务提供者的本地机器上设有代理服务器,所述代理服务器用于截获用户发出和接收的所有HTTP信息,并对其中的SOAP消息做处理。
进一步的,所述代理服务器包括本地代理服务器模块,消息处理模块,服务认证模块,服务策略模块和本地配置模块;
其中,
本地代理服务器模块,以代理服务器的形式,监听特定的端口,截获所有经过代理服务器的HTTP消息,取得其中的SOAP消息,交由消息处理模块处理,并将处理后的SOAP消息转发给真正的目的地;
消息处理模块,对SOAP消息进行处理:对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密,以保证机密性;对消息进行签名,以保证完整性和不可篡改性,并对服务接收者收到的加密、签名的SOAP消息进行验证、解密;
服务认证模块,在服务提供者处认证服务请求者的身份,判断是否应该为其提供服务;
服务策略模块,根据用户预定义的断言方式判断服务请求者能否调用服务接收者提供的服务;
本地配置模块,为服务请求者和服务提供者配置相应的安全参数和断言参数。
更进一步的,所述对SOAP消息进行处理包括对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密、签名,和对服务接收者收到的加密、签名的SOAP消息进行验证、解密。
更进一步的,所述对SOAP消息进行处理包括加解密、签名。
更进一步的,所述代理服务器为服务请求者和服务提供者配置相应的安全参数,包括密钥获取方式;并为服务提供者配置断言参数,包括是否进行加密、签名,需加密、签名部分,加密算法,认证方式,并生成策略文件;服务请求者可以获取服务提供者的断言参数。
进一步的,所述代理服务器设有加快SOAP消息处理效率的线程池。
进一步的,服务请求者的本地机器上的代理服务器和服务提供者的本地机器上的代理服务器通过ESB容器传输信息。
下面对本发明做进一步的描述:
本发明对通过Internet网的SOAP消息进行加密和解密,从而为Web服务提供端到端的消息层安全。
本发明的主要设计思想是:本发明所述的安全控制机制以一个客户端代理服务器的形式存在于服务请求者和服务提供者的本地机器上,它将截获用户发出和接受的所有HTTP信息,并对其中的SOAP消息做处理。为保证使用效率,将由一个线程池来处理用户的每个SOAP消息。
用户可以通过GUI工具,设置相应的安全参数和断言参数。然后消息处理器在服务请求者处执行时,将读入相应的配置参数对SOAP做加密、签名操作,并将(加密、签名过的)SOAP消息发送给ESB容器。ESB(Enterprise ServiceBus)企业服务总线是传统中间件技术与XML、Web服务等技术结合的产物,是一个基于消息的调用企业服务的通信模块。同样,消息处理器在服务提供者处执行时,也读入用户预定义的配置参数对SOAP消息做断言验证、签名验证、解密和认证操作。
该安全控制机制包括:本地代理服务器模块,消息处理模块,服务认证模块,服务策略模块和本地配置模块。
本地代理服务器模块,以代理服务器的形式,监听特定的端口,截获所有经过代理服务器的HTTP消息,取得其中的SOAP消息,交由消息处理器处理,并将处理后的SOAP消息转发给真正的目的地。
消息处理模块,根据用户预定义的配置参数对SOAP消息进行处理,包括加解密、签名、认证方式和断言方式。对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密,以保证机密性;并且对消息进行签名,以保证完整性和不可篡改性。对服务接收者收到的加密、签名的SOAP消息进行验证、解密。
服务认证模块,在服务提供者处认证服务请求者的身份,判断是否应该为其提供服务。
服务策略模块根据用户预定义的断言方式判断服务请求者能否调用服务接收者提供的服务。
本地配置模块为服务请求者和服务提供者配置相应的安全参数和断言参数。
本发明的有益效果是:通过在本地机上设置代理服务器,对截获的SOAP消息进行加密、签名等处理,可以保证凡是通过Internet网的SOAP消息都是经过加密和签名的,以保证消息的机密性、完整性和不可抵赖性,使信息传输更安全。
附图说明
图1为总体流程图
图2为服务请求者发送调用请求信息流程图
图3为服务接收者接收调用请求信息流程图
具体实施方式
下面结合附图对本发明做进一步介绍:
1、基于代理服务器的Web服务安全控制机制总体流程图(如图1所示):
(1)客户端服务请求者发送明文请求消息。
(2)客户端代理服务器截获并解析服务请求者发送的明文HTTP请求消息,获取其中的SOAP消息。消息处理器根据策略文件中的加密、签名、认证参数对请求消息进行处理。代理服务器将处理后的消息转发给服务器。
(3)服务器端代理服务器截获并解析经加密签名的HTTP请求消息,获取其中的SOAP消息。消息处理器根据策略文件中的加密、签名、认证参数对请求消息进行处理。代理服务器将处理后的明文请求消息转交给服务提供者处理。
(4)服务器端服务提供者生成明文应答消息,并发送该明文的HTTP应答消息。
(5)服务端代理服务器截获并解析服务提供者发送的明文HTTP应答消息,获取其中的SOAP消息。消息处理器根据策略文件中的加密、签名参数对请求消息进行处理。代理服务器将处理后的消息转发给客户端。
(6)客户端代理服务器截获并解析经加密签名的HTTP应答消息,获取其中的SOAP消息。消息处理器根据策略文件中的加密、签名参数对应答消息进行处理。代理服务器将处理后的明文应答消息转交给服务请求者。至此,一个安全的WEB服务请求过程完成。
2、服务请求者发送调用请求信息:
如图2所示,客户端服务请求者发送的明文请求信息,通过本地代理服务器,将由消息处理器处理后的经加密签名的请求消息发送给ESB容器。
(1)服务请求者发送明文HTTP请求消息。
(2)本地代理服务器在特定的端口监听,截获该HTTP消息。
(3)本地代理服务器首先解析该明文HTTP请求信息,获取其中的SOAP消息。
(4)本地代理服务器从线程池获取消息处理SOAP Handler实例。
(5)SOAP Handler实例负责对SOAP请求消息进行加密和签名(加密、签名为可选)。如果要使用第三方认证服务器的话,需要从第三方认证服务器中获取票据。
(6)代理服务器将加密签名后的请求消息转发给服务器。
其中步骤(4)中的消息处理可以分为如下子步骤:
1)加密:从策略文件中读取是否要对请求消息进行加密的信息。如果要对请求消息进行加密,利用从策略文件中读取的加密算法、需加密内容参数对请求消息进行加密。
2)认证:从策略文件中读取认证方式。如果采用用户名、密码方式,将从配置文件中读取的认证参数添加到请求消息中。如果使用的是第三方的认证服务器,需要从第三方认证服务器中获取票据。
3)签名:从策略文件中读取是否要对请求消息进行签名的信息。如果要对请求消息进行签名,利用从策略文件中读取的签名算法、需签名内容参数对请求消息进行签名。
3、服务接收者接收调用请求信息:
如图3所示,服务器端的本地代理服务器接收到ESB容器转发的经加密签名的请求消息,将由消息处理器经断言验证、解密、验证、认证处理后的明文请求消息转交给服务提供者。
(1)本地代理服务器监听特定的端口,截获经加密签名的HTTP请求消息。
(2)本地代理服务器解析该消息,获取其中的SOAP请求消息。
(3)本地代理服务器从线程池获取消息处理SOAP Handler实例。
(4)SOAP Handler实例负责对消息进行断言检查、签名验证、解密以及认证,以判断服务请求者是否能够调用该服务。
(5)代理服务器将消息处理后得到的明文请求消息交给服务提供者处理。
其中步骤(4)中的消息处理可以分为如下子步骤:
(1)断言检查:通过检查服务请求者使用的断言和服务提供者预定义的断言是否兼容,来判断服务请求者能否调用服务。
(2)认证:服务提供者根据从消息中获取的认证信息,认证服务请求者的身份,判断是否应该为其提供服务。
(3)签名:从策略文件中获取签名相关参数,对请求消息进行签名验证。
(4)解密:从策略文件中获取加密相关参数,对请求信息进行解密,以读取消息的内容。

Claims (7)

1.一种基于代理服务器的Web服务安全控制机制,其特征在于:在服务请求者和服务提供者的本地机器上设有代理服务器,所述代理服务器用于截获用户发出和接收的所有HTTP信息,并对其中的SOAP消息做处理。
2.根据权利要求1所述的基于代理服务器的Web服务安全控制机制,其特征在于:所述代理服务器包括本地代理服务器模块,消息处理模块,服务认证模块,服务策略模块和本地配置模块;其中,
本地代理服务器模块,以代理服务器的形式,监听特定的端口,截获所有经过代理服务器的HTTP消息,取得其中的SOAP消息,交由消息处理模块处理,并将处理后的SOAP消息转发给真正的目的地;
消息处理模块,对SOAP消息进行处理:对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密,以保证机密性;对消息进行签名,以保证完整性和不可篡改性,并对服务接收者收到的加密、签名的SOAP消息进行验证、解密;
服务认证模块,在服务提供者处认证服务请求者的身份,判断是否应该为其提供服务;
服务策略模块,根据用户预定义的断言方式判断服务请求者能否调用服务接收者提供的服务;
本地配置模块,为服务请求者和服务提供者配置相应的安全参数和断言参数。
3.根据权利要求2所述的基于代理服务器的Web服务安全控制机制,其特征在于:所述对SOAP消息进行处理包括对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密、签名,和对服务接收者收到的加密、签名的SOAP消息进行验证、解密。
4.根据权利要求2所述的基于代理服务器的Web服务安全控制机制,其特征在于:所述对SOAP消息进行处理包括加解密、签名。
5.根据权利要求2所述的基于代理服务器的Web服务安全控制机制,其特征在于:所述代理服务器为服务请求者和服务提供者配置相应的安全参数,包括密钥获取方式;并为服务提供者配置断言参数,包括是否进行加密、签名,需加密、签名部分,加密算法,认证方式,并生成策略文件;服务请求者可以获取服务提供者的断言参数。
6.根据权利要求1所述的基于代理服务器的Web服务安全控制机制,其特征在于:所述代理服务器设有加快SOAP消息处理效率的线程池。
7.根据权利要求1所述的基于代理服务器的Web服务安全控制机制,其特征在于:服务请求者的本地机器上的代理服务器和服务提供者的本地机器上的代理服务器通过ESB容器传输信息。
CN 200810062261 2008-06-17 2008-06-17 具有web服务安全控制机制的代理服务器 Expired - Fee Related CN101299753B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 200810062261 CN101299753B (zh) 2008-06-17 2008-06-17 具有web服务安全控制机制的代理服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 200810062261 CN101299753B (zh) 2008-06-17 2008-06-17 具有web服务安全控制机制的代理服务器

Publications (2)

Publication Number Publication Date
CN101299753A true CN101299753A (zh) 2008-11-05
CN101299753B CN101299753B (zh) 2012-12-05

Family

ID=40079436

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 200810062261 Expired - Fee Related CN101299753B (zh) 2008-06-17 2008-06-17 具有web服务安全控制机制的代理服务器

Country Status (1)

Country Link
CN (1) CN101299753B (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101923465A (zh) * 2010-06-25 2010-12-22 深圳创维-Rgb电子有限公司 一种面向嵌入式应用的易扩展web服务***
CN102427461A (zh) * 2011-12-31 2012-04-25 山东中创软件商用中间件股份有限公司 一种实现Web服务应用安全的方法及***
CN101621516B (zh) * 2009-08-10 2012-12-05 浙江大学 一种企业服务总线与外部Web服务的交互方法
CN101515932B (zh) * 2009-03-23 2013-06-05 中兴通讯股份有限公司 一种安全的Web service访问方法和***
CN103281181A (zh) * 2013-04-27 2013-09-04 天地融科技股份有限公司 转换装置和显示***
CN103533060A (zh) * 2013-10-17 2014-01-22 华为技术有限公司 本地代理的处理方法及装置
CN103688485A (zh) * 2011-05-18 2014-03-26 西里克斯***公司 用于对数据进行安全处理的***和方法
CN103986690A (zh) * 2014-04-03 2014-08-13 北京京东尚科信息技术有限公司 一种处理客户端请求的方法和装置
CN105550542A (zh) * 2015-12-10 2016-05-04 北京奇虎科技有限公司 基于***的审核任务提交方法及装置、游戏平台***
CN106375441A (zh) * 2016-08-31 2017-02-01 北京深思数盾科技股份有限公司 一种基于web浏览器的功能扩展方法及终端设备
CN107135249A (zh) * 2017-04-06 2017-09-05 腾讯科技(深圳)有限公司 数据下载方法及装置
CN107294913A (zh) * 2016-03-31 2017-10-24 阿里巴巴集团控股有限公司 基于http的安全通信方法、服务端及客户端
CN108206825A (zh) * 2017-11-28 2018-06-26 中国科学院信息工程研究所 在以内容传输为主的网络中平衡隐私保护与行为问责的方法和***
CN109005038A (zh) * 2018-08-03 2018-12-14 北京达佳互联信息技术有限公司 签名方法、装置、电子设备及存储介质
CN109067739A (zh) * 2018-07-27 2018-12-21 平安科技(深圳)有限公司 通信数据加密方法和装置
CN110855656A (zh) * 2019-11-06 2020-02-28 云深互联(北京)科技有限公司 可实现应用服务器防护的插件流量代理方法、装置及***
WO2022126972A1 (zh) * 2020-12-16 2022-06-23 平安科技(深圳)有限公司 数据通信方法、密钥管理***、设备及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111193595B (zh) * 2019-11-28 2023-05-09 腾讯云计算(北京)有限责任公司 电子签名的错误检测方法、装置、设备和存储介质

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101515932B (zh) * 2009-03-23 2013-06-05 中兴通讯股份有限公司 一种安全的Web service访问方法和***
CN101621516B (zh) * 2009-08-10 2012-12-05 浙江大学 一种企业服务总线与外部Web服务的交互方法
CN101923465A (zh) * 2010-06-25 2010-12-22 深圳创维-Rgb电子有限公司 一种面向嵌入式应用的易扩展web服务***
CN103688485A (zh) * 2011-05-18 2014-03-26 西里克斯***公司 用于对数据进行安全处理的***和方法
CN102427461B (zh) * 2011-12-31 2015-05-20 山东中创软件商用中间件股份有限公司 一种实现Web服务应用安全的方法及***
CN102427461A (zh) * 2011-12-31 2012-04-25 山东中创软件商用中间件股份有限公司 一种实现Web服务应用安全的方法及***
CN103281181A (zh) * 2013-04-27 2013-09-04 天地融科技股份有限公司 转换装置和显示***
WO2014173216A1 (zh) * 2013-04-27 2014-10-30 天地融科技股份有限公司 转换装置和显示***
CN103281181B (zh) * 2013-04-27 2016-09-14 天地融科技股份有限公司 转换装置和显示***
CN103533060A (zh) * 2013-10-17 2014-01-22 华为技术有限公司 本地代理的处理方法及装置
CN103533060B (zh) * 2013-10-17 2017-04-19 华为技术有限公司 本地代理的处理方法及装置
CN103986690A (zh) * 2014-04-03 2014-08-13 北京京东尚科信息技术有限公司 一种处理客户端请求的方法和装置
CN105550542A (zh) * 2015-12-10 2016-05-04 北京奇虎科技有限公司 基于***的审核任务提交方法及装置、游戏平台***
CN107294913A (zh) * 2016-03-31 2017-10-24 阿里巴巴集团控股有限公司 基于http的安全通信方法、服务端及客户端
CN107294913B (zh) * 2016-03-31 2021-08-27 阿里巴巴集团控股有限公司 基于http的安全通信方法、服务端及客户端
CN106375441A (zh) * 2016-08-31 2017-02-01 北京深思数盾科技股份有限公司 一种基于web浏览器的功能扩展方法及终端设备
CN107135249A (zh) * 2017-04-06 2017-09-05 腾讯科技(深圳)有限公司 数据下载方法及装置
CN108206825A (zh) * 2017-11-28 2018-06-26 中国科学院信息工程研究所 在以内容传输为主的网络中平衡隐私保护与行为问责的方法和***
CN108206825B (zh) * 2017-11-28 2020-05-22 中国科学院信息工程研究所 在以内容传输为主的网络中平衡隐私保护与行为问责的方法和***
CN109067739A (zh) * 2018-07-27 2018-12-21 平安科技(深圳)有限公司 通信数据加密方法和装置
WO2020019478A1 (zh) * 2018-07-27 2020-01-30 平安科技(深圳)有限公司 通信数据加密方法和装置
CN109067739B (zh) * 2018-07-27 2021-10-08 平安科技(深圳)有限公司 通信数据加密方法和装置
CN109005038A (zh) * 2018-08-03 2018-12-14 北京达佳互联信息技术有限公司 签名方法、装置、电子设备及存储介质
CN110855656A (zh) * 2019-11-06 2020-02-28 云深互联(北京)科技有限公司 可实现应用服务器防护的插件流量代理方法、装置及***
CN110855656B (zh) * 2019-11-06 2022-07-12 云深互联(北京)科技有限公司 可实现应用服务器防护的插件流量代理方法、装置及***
WO2022126972A1 (zh) * 2020-12-16 2022-06-23 平安科技(深圳)有限公司 数据通信方法、密钥管理***、设备及存储介质

Also Published As

Publication number Publication date
CN101299753B (zh) 2012-12-05

Similar Documents

Publication Publication Date Title
CN101299753A (zh) 基于代理服务器的Web服务安全控制机制
CN101873331B (zh) 一种安全认证方法和***
CN109067803A (zh) 一种ssl/tls加解密通信方法、装置及设备
Paterson et al. Reactive and proactive standardisation of TLS
CN103428221B (zh) 对移动应用的安全登录方法、***和装置
US8499156B2 (en) Method for implementing encryption and transmission of information and system thereof
CN101510877B (zh) 单点登录方法和***、通信装置
CN101640682B (zh) 一种改善Web服务安全性的方法
CN101978650B (zh) 安全的网络认证***和方法
KR20210137073A (ko) 블록체인 기반 보안 이메일 시스템
Gruschka et al. Server-side streaming processing of ws-security
CN107516196A (zh) 一种移动支付***及其移动支付方法
CN102546562A (zh) 在web中传输数据时进行加解密的方法及***
US20130103944A1 (en) Hypertext Link Verification In Encrypted E-Mail For Mobile Devices
CN109792433A (zh) 用于将设备应用绑定到网络服务的方法和装置
CN106998316A (zh) 一种鉴权方法、应用客户端及网关设备
CN103179128A (zh) 安卓平台浏览器与网站服务器间的通信安全增强代理***
CN102333085A (zh) 安全的网络认证***和方法
CN106603388B (zh) 一种邮件发送、查看、查看控制方法及其设备
CN101296230A (zh) 基于PKI和PMI的Web服务安全控制机制
CN108768928A (zh) 一种信息获取方法、终端及服务器
CN101924635A (zh) 一种用户身份认证的方法及装置
Setiawan Securing data communication through MQTT protocol with AES-256 encryption algorithm CBC mode on ESP32-based smart homes
CN109510710A (zh) 一种业务请求的响应方法及***
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20081105

Assignee: IPANEL. TV Inc.

Assignor: Zhejiang University

Contract record no.: 2013330000103

Denomination of invention: Web service security control mechanism based on proxy server

Granted publication date: 20121205

License type: Common License

Record date: 20130425

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20121205