CN103444152A - 将HTTP请求变换成用于安全处理的Web服务信任消息 - Google Patents

将HTTP请求变换成用于安全处理的Web服务信任消息 Download PDF

Info

Publication number
CN103444152A
CN103444152A CN2012800115521A CN201280011552A CN103444152A CN 103444152 A CN103444152 A CN 103444152A CN 2012800115521 A CN2012800115521 A CN 2012800115521A CN 201280011552 A CN201280011552 A CN 201280011552A CN 103444152 A CN103444152 A CN 103444152A
Authority
CN
China
Prior art keywords
http
request
parameter
rstr
security token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012800115521A
Other languages
English (en)
Other versions
CN103444152B (zh
Inventor
S·A·埃克斯顿
D·J·霍姆斯
S·维塞利
S·B·威登
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN103444152A publication Critical patent/CN103444152A/zh
Application granted granted Critical
Publication of CN103444152B publication Critical patent/CN103444152B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/565Conversion or adaptation of application format or content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

提供一种接收HTTP请求并且创建安全令牌请求(RST)的方式。从请求中选择参数并且取回与参数对应的映射。在RST中创建与参数对应的上下文属性。基于参数在HTTP请求内所位于的HTTP节段设置上下文属性值。向安全令牌服务发送RST以用于处理。在另一方式中,接收请求安全令牌响应(RSTR)并且创建HTTP响应。选择RSTR参数并且从映射表取回与选择的RSTR参数对应的参数映射,而类型值基于取回的参数映射来标识。基于标识的类型值向HTTP响应添加上下文属性。向远程计算机***发送HTTP响应。

Description

将HTTP请求变换成用于安全处理的Web服务信任消息
技术领域
本发明涉及一种将超文本传送协议(HTTP)请求变换成Web服务信任消息,使得它们可以由Web服务信任(WS-信任)安全令牌服务(STS)处理(消费)的方式。
背景技术
大量计算机网络流量使用HTTP以在计算机***之间传送请求。此外,HTTP请求也用来通过向HTTP消息的一个或者多个部分、比如向首部、主体或者查询组成追加用来进行授权判决的参数来传送安全信息。然而安全令牌服务应用被设计用于基于Web服务信任(WS-信任)消息而不是HTTP请求来处理和进行授权判决。因此在向这些安全令牌服务应用提供HTTP请求中包括的数据时存在挑战。
发明内容
根据一个公开的实施例,提供一种接收HTTP请求并且用与HTTP请求对应的安全令牌(RST)创建RST请求。从HTTP请求选择参数并且从映射表取回与选择的参数中的每个参数对应的参数映射。在请求安全令牌中创建与选择的参数中的每个参数对应的上下文属性。设置与创建的上下文属性对应的上下文属性类型值,而类型值基于参数在HTTP请求内所位于的HTTP节段。然后向安全令牌服务发送所得RST以用于处理。
根据另一公开的实施例,接收请求安全令牌响应(RSTR)并且基于RSTR创建HTTP响应。从接收的RSTR选择RSTR参数。从映射表取回与选择的RSTR参数对应的参数映射,而类型值基于取回的参数映射来标识。基于标识的类型值在HTTP响应中添加HTTP上下文属性。向远程计算机***发送所得HTTP响应。
前文是发明内容、因此必要地包含简化、概括和细节省略;因而本领域技术人员将理解,发明内容仅为示例而未旨在于以任何方式限制。如仅由权利要求限定的本发明的其它方面、发明特征和优点将在以下阐述的非限制具体描述中变得明显。
附图说明
可以通过参照附图更好地理解本发明并且使它的许多目的、特征和优点为本领域技术人员所清楚,在附图中:
图1是其中可以实施这里描述的方法的数据处理***的框图;
图2提供图1中所示信息操纵***环境的扩展以图示可以在联网环境中操作的广泛多种信息操纵***上执行这里描述的方法;
图3是示出在操纵客户端超文本传送协议(HTTP)请求并且将它映射到请求安全令牌(RST)时使用的部件的部件图;
图4是示出为了将HTTP请求变换成RST令牌而采取的步骤的流程图;
图5是示出为了将来自安全应用的请求安全令牌响应(RSTR)转变回成HTTP响应而采取的步骤的流程图;
图6示出HTTP请求消息到RST的第一示例变换;以及
图7示出HTTP请求消息到RST的第二示例变换。
具体实施方式
这里使用的术语仅用于描述具体实施例这样的目的而未旨在于限制本发明。如这里所用,除非上下文另有明示,单数形式“一个/一种”和“该”旨在于也包括复数形式。还将理解,术语“包括”在本说明书中被使用时指定存在陈述的特征、整件、步骤、操作、单元和/或部件、但是未排除存在或者添加一个或者多个其它特征、整件、步骤、操作、单元、部件和/或其组合。
所附权利要求中的所有装置或者步骤加上功能要素的对应结构、材料、动作和等效物旨在于包括用于与如具体要求保护的其它权利要求要素组合执行功能的任何结构、材料或者动作。已经出于示例和描述的目的而呈现本发明的各种实施例的描述,但是该描述未旨在于穷举本发明或者使本发明限于公开的形式。许多修改和变化将为本领域普通技术人员所清楚而未脱离描述的实施例的范围和精神实质。选择和描述这里使用的术语以最好地说明实施例的原理和实际应用以使本领域其他普通技术人员能够针对具有如与设想的具体用途相适应的各种修改的各种实施例理解本发明。
所属技术领域的技术人员知道,本发明可以实现为***、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。此外,在一些实施例中,本发明的各个方面还可以实现为在任何一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可用的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置、器件或者任意以上的组合。计算机可读存储介质的更具体的示例(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的计算机代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、射频(RF)等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如JavaTM、SmalltalkTM、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照根据本发明示例实施例的方法、装置(***)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些计算机程序指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其他设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。
以下具体描述将一般遵循如以上阐述的本发明的发明内容从而在必要时进一步说明和展开本发明的各种方面和实施例的定义。为此,这一具体描述首先阐述图1中的计算环境,该计算环境适合于实施与本发明关联的软件和/或硬件技术。在图2中图示联网环境为基本计算环境的扩展以强调可以跨越多个分立设备执行现代计算技术。
图1图示信息操纵***100,该信息操纵***是能够执行这里描述的计算操作的计算机***的简化示例。信息操纵***100包括耦合到处理器接口总线112的一个或者多个处理器110。处理器接口总线112将处理器110连接到也称为存储器控制器集线器(MCH)的北桥115。北桥115连接到***存储器120并且提供用于处理器110访问***存储器的装置。图像控制器125也连接到北桥115。在一个实施例中,PCI Express总线118将北桥115连接到图形控制器125。图形控制器125连接到显示设备130、比如计算机监视器。
北桥115和南桥135使用总线119来相互连接。在一个实施例中,总线是在北桥115与南桥135之间在每个方向上高速传送数据的直接媒体接口(DMI)总线。在另一实施例中,***部件互连(PCI)总线连接北桥和南桥。也称为I/O控制器集线器(ICH)的南桥135是一般实施以比南桥提供的能力更慢的速度操作的能力的芯片。南桥135通常提供用来连接各种部件的各种总线。这些总线例如包括PCI和PCI Express总线、ISA总线、***管理总线(SM总线或者SMB)和/或低管脚计数(LPC)总线。LPC总线常常连接低带宽设备、比如引导ROM196和“旧式”I/O设备(使用“超级I/O”芯片)。“旧式”I/O设备(198)可以例如包括串行和并行端口、键盘、鼠标和/或软盘控制器。LPC总线也将南桥135连接到信任平台模块(TPM)195。在南桥135中经常包括的其它部件包括直接存储器访问(DMA)控制器、可编程中断控制器(PIC)和使用总线184将南桥135连接到非易失性存储设备185(比如硬盘驱动)的存储设备控制器。
扩展插槽(ExpressCard)155是将热可插设备连接到信息操纵***的槽。扩展插槽155支持PCI Express和USB连接二者,因为它使用通用串行总线(USB)和PCI Express总线二者来连接到南桥135。南桥135包括USB控制器140,该USB控制器向连接到USB的设备提供USB连接。这些设备包括网络摄像机(相机)150、红外线(IR)接收器148、键盘和触控板144以及提供无线个人局域网(PAN)的蓝牙设备146。USB控制器140也向其它各种USB连接设备142、比如鼠标、可移除非易失性存储设备145、调制解调器、网卡、ISDN连接器、传真机、打印机、USB集线器和许多其它类型的USB连接设备提供USB连接。尽管将可移除非易失性存储设备145示出为USB连接设备,但是可以使用不同接口、比如火线接口等来连接可去除非易失性存储设备145。
无线局域网(LAN)设备175经由PCI或者PCI Express总线172来连接到南桥135。LAN设备175通常实施空中调制技术的IEEE802.11标准之一,这些标准都使用相同协议以在信息操纵***100与另一计算机***或者设备之间无线通信。光学存储设备190使用串行ATA(SATA)总线188来连接到南桥135。串行ATA适配器和设备通过高速串行链路通信。串行ATA总线也将南桥135连接到其它形式的存储设备、比如硬盘驱动。音频电路装置160、比如声卡经由总线158连接到南桥135。音频电路装置160也提供诸如音频线性输入和光学信号音频输入端口162、光学数字输出和头戴式受话器插孔164、内部扬声器166以及内部麦克风168之类的功能。以太网控制器170使用总线、比如PCI或者PCI Express总线来连接到南桥135。以太网控制器170将信息操纵***100连接到计算机网络、比如局域网(LAN)、因特网以及其它公共和专有计算机网络。
尽管图1示出一个信息操纵***,但是信息操作***可以采用许多形式。例如信息操纵***可以采用桌面型计算机、服务器、便携计算机、膝上型计算机、笔记本计算机或者其它尺寸外型的计算机或者数据处理***。此外,信息操纵***可以采用其它尺寸外型、比如个人数字助理(PDA)、游戏设备、ATM机、便携电话设备、通信设备或者包括处理器和存储器的其它设备。
图1中示出和这里描述的用于提供安全功能的信任平台模块(TPM195)仅为硬件安全模块(HSM)的一个示例。因此,这里描述和要求保护的TPM包括任何类型的HSM,这包括但不限于符合信任计算组(TCG)标准并且标题为“信任平台模块(TPM)规范版本1.2”的硬件安全设备。TPM是可以向任何数目的信息操纵***、比如图2中概括的信息操纵***中的硬件安全子***。
图2提供图1中所示信息操纵***环境的扩展以图示可以在联网环境中操作的广泛多种信息操纵***上执行这里描述的方法。信息操纵***类型范围从小型手持设备、比如手持计算机/移动电话210到大型机***、比如大型机计算机270。手持计算机210的示例包括个人数字助理(PDA)、个人娱乐设备、比如MP3播放器、便携电视和紧致盘播放器。信息操纵***的其它示例包括笔或者写字板计算机220、膝上型计算机或者笔记本计算机230、工作站240、个人计算机***250和服务器260。在图2中未个别示出的其它类型的信息操纵***由信息操纵***280代表。如图所示,可以使用计算机网络200将各种信息操纵***一起联网。可以用来互连各种信息操纵***的计算机网络类型包括局域网(LAN)、无线局域网(WLAN)、因特网、公共交换电话网络(PSTN)、其它无线网络和可以用来互连信息操纵***的任何其它网络拓扑。信息操纵***中的许多信息操纵***包括非易失性数据存储库、比如硬驱动和/或非易失性存储器。图2中所示信息操纵***中的一些信息操纵***描绘单独非易失性数据存储库(服务器260利用非易失性数据存储库265,大型机计算机270利用非易失性数据存储库275,并且信息操纵***280利用非易失性数据存储库285)。非易失性数据存储库可以是各种信息操纵***外部的部件或者可以在信息操纵***之一内部。此外,可以使用各种技术、比如将可移除非易失性存储设备145连接到信息操纵***的USB端口或者其它连接器而在两个或者更多信息操纵***之间共享可去除非易失性存储设备145。
图3是示出在操纵客户端超文本传送协议(HTTP)请求并且将它映射到请求安全令牌(RST)时使用的部件的部件图。Web客户端应用300(请求者)向HTTP引擎310(比如网站用来操纵HTTP请求和响应的软件应用)发送HTTP请求305。Web客户端应用300(请求者)是从HTTP引擎310(网站)的远程计算机***而客户端应用和HTTP引擎通过计算机网络、比如因特网相互发送请求和响应来相互通信。HTTP引擎310利用Web服务信任(WS-信任)引擎320,该引擎是用于安全处理目的的软件应用。HTTP引擎310或者在一些实施例中WS-信任引擎320使用映射表330将HTTP请求变换成请求安全令牌(RST)325。映射表330包括HTTP属性332及其对应RST元素类型334。HTTP引擎320(或者WS-信任引擎320)取回映射信息以将HTTP请求305中包括的HTTP属性(参数)映射到RST325中包括的RST上下文属性。提取HTTP请求305的个别属性并且作为个别请求安全令牌(RST)元素映射到WS-信任消息。标准HTTP协议属性在它们的HTTP协议定义的属性名称(例如方法、方案、主机)之后被命名,而在HTTP首部、HTTP URI的查询串组成或者发布主体中发现的名称-值对在它们的参数名称之后被命名。属性的源(源是属性在HTTP请求内的位置)也在WS-信任消息中由RST元素的类型属性标识。如映射表330中所示,向标准HTTP协议属性(例如方法、方案、主机)分配类型“请求”,而向名称-值对分配关于它们在HTTP请求内的位置的类型(例如“查询”、“首部”、“主体”)。图6和图7提供变换成RST的HTTP请求的示例。
一旦创建RST,基于将HTTP参数映射到RST上下文属性,向安全令牌服务340发送所得RST以用于安全处理。安全令牌服务340基于RST325中包括的数据进行授权判决。在一个实施例中,安全令牌服务利用安全预处理模块350以在请求安全令牌响应(RSTR)355中发送授权判决。同样,HTTP引擎310或者WS-信任引擎320这时利用映射表330以基于RSTR中包括的类型值将从安全令牌服务接收的RSTR355映射到HTTP上下文属性。这一“反向”映射用来创建包括HTTP上下文属性的HTTP响应360。一旦创建,HTTP引擎310通过计算机网络、比如因特网向Web客户端应用300(请求者)发送回HTTP响应360。
图4是示出为了将HTTP请求变换成RST令牌而采取的步骤的流程图。处理在400开始,因此在步骤410从远程计算机***、比如客户端的Web应用接收传入的HTTP请求305。在存储器区域中存储HTTP请求305以用于处理。在步骤415,过程在另一存储器区域中创建新请求安全令牌(RST)(在存储器区域325中创建的新RST)。现在处理HTTP请求305中包括的参数以完全创建新RST。
在步骤420从HTTP请求305选择第一参数。在步骤430在映射表330中进行对选择的参数的搜索(映射表的具体视图见图3)。在步骤440在RST325中创建与来自HTTP请求的选择的参数对应的新上下文属性。在步骤450基于在HTTP请求中在哪儿(哪个节段)发现对应参数在RST中设置上下文属性“类型值”。基于HTTP在请求内的发现参数的节段(例如查询节段、首部节段、主体节段等)将类型值设置成值、比如查询、发布或者首部。向RST325中的上下文属性添加类型值。
关于在HTTP请求中是否有需要处理的更多参数进行判决(判决460)。如果存在待处理的更多参数,则判决460转移至“是”分支,该分支循环回到如以上描述的那样选择和处理下一参数。这一循环继续直至已经处理来自HTTP请求的需要处理的所有参数,在这一点,判决460转移至“否”分支。在已经处理HTTP请求中的所有参数之后,然后在步骤470向安全令牌服务340发送完成的RST以用于授权判决(例如是否将向客户端请求者批准访问等)。处理随后在495结束。
图5是示出为了将来自安全应用的请求安全令牌响应(RSTR)变换回成HTTP响应而采取的步骤的流程图。处理始于500,因此在步骤510从用于授权判决的安全模块接收授权判决(请求安全令牌响应(RSTR)305)。在步骤515在存储器区域中创建新HTTP响应(HTTP响应360)。现在处理RSTR中包括的参数以便创建HTTP响应。
在步骤520从传入RSTR305选择第一参数。在步骤530在映射表330中进行对选择的参数的搜索(映射表的具体视图见图3)。基于搜索在步骤540标识选择的参数的类型值。这一类型值用来基于来自RSTR的类型值向HTTP响应添加上下文属性信息。在步骤550向HTTP响应360添加上下文属性信息。
关于在RSTR中是否存在需要处理的更多参数作出判决(判决560)。如果存在待处理的更多参数,则判决560转移至“是”分支,该分支循环回到如以上描述的那样选择和处理来自RSTR305的下一参数。这一循环继续直至已经处理RSTR中的需要处理的所有参数,在这一点,判决560转移至“否”分支以退出循环。
在步骤570向请求者300、比如在远程计算机***上运行的Web客户端应用发送回完成的HTTP响应360。处理随后在595结束。
图6示出HTTP请求消息到RST的第一示例变换。示例HTTP请求600包括以下细节:
所得示例RST605包括以下细节。首先将HTTP请求变换成包括610中所示以下属性的WS-信任消息:
接着如下并且如620中所示在RST中表示首部属性:
Figure BDA00003765348500112
如以下所示并且如630中所示将HTTP请求中的查询串分解成名称-值对,并且为每对添加RST元素:
Figure BDA00003765348500113
最后,如以下所示并且如640中所示,如果发布主体被URL编码,将它分解成名称-值对并且为每对添加RST元素:
Figure BDA00003765348500114
图7示出HTTP请求消息到RST的第二示例变换。在图7中,与基于变换处理的实现方式生成的完整RST一起包括如图6中示出和描述的变换。这一实现方式使用RST基础中的安全令牌服务通用用户(STSUU)令牌与向STSUU上下文属性节段添加的HTTP属性元素。将示例HTTP请求700变换成所得示例RST710。注意RST710内的节段720包括从HTTP请求提取的并且变换成如图6中示出和描述的RST上下文属性和对应文本的上下文属性。
尽管已经示出和描述本发明的具体实施例,但是本领域技术人员将清楚,基于这里的教导,可以进行改变和修改而未脱离本发明及其更广义方面。因此,所附权利要求是为了在它们的范围内涵盖如在本发明的真实精神实质和范围内的所有这样的改变和修改。另外将理解,本发明仅由所附权利要求限定。本领域技术人员将理解,如果旨在于引入的权利要求要素的具体数目,则将在权利要求中明确记载这样的意图,而在不存在这样的记载时,不存在这样的限制。对于非限制示例,作为对理解的辅助,所附权利要求包含引导性短语“至少一个”和“一个或者多个”的使用以引入权利要求要素。然而不应解释使用这样的短语意味着不定冠词“一种”引入权利要求要素使包含这样的引入的权利要求要素的任何具体权利要求限于包含仅一个这样的要素的发明,即使在相同权利要求包括引导性短语“一个或者多个”或者“至少一个”和不定冠词、比如“一种”;这对于在权利要求中使用定冠词同样成立。

Claims (25)

1.一种方法,包括:
在网络适配器处接收超文本传送协议(HTTP)请求并且在第一存储器区域中存储所述HTTP请求;
在第二存储器区域中创建与所述HTTP请求对应的请求安全令牌(RST);
从所述存储的HTTP请求中选择多个参数;
从映射表取回与所选择的多个参数中的每个参数对应的参数映射;
在所创建的请求安全令牌中创建与所选择的多个参数中的每个参数对应的上下文属性;
基于所述对应的参数在所述HTTP请求内所位于的HTTP节段,设置与所创建的上下文属性中的一个或者多个上下文属性对应的上下文属性类型值;以及
向安全令牌服务发送具有创建的上下文属性和上下文属性类型值的所述RST。
2.根据权利要求1所述的方法,其中所述上下文属性类型值选自包括查询、发布和首部的组。
3.根据权利要求1所述的方法,其中所述HTTP请求是使用计算机网络从请求客户端接收的。
4.根据权利要求1所述的方法,其中所述参数映射取回还包括:
将所述参数之一中标识的HTTP“方法”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“方案”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“主机”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“路径”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP首部名称-值对属性映射到RST元素类型“首部”;
将所述参数之一中标识的HTTP查询串名称-值对属性映射到RST元素类型“查询”;以及
将所述参数之一中标识的HTTP发布主体URL编码的名称-值对映射到RST元素类型“主体”。
5.根据权利要求1所述的方法,还包括:
响应于对所述RST的所述发送,从所述安全令牌服务接收请求安全令牌响应(RSTR);
基于所述RSTR创建HTTP响应;以及
向发送所述HTTP请求的请求者发送所创建的HTTP响应。
6.根据权利要求5所述的方法,还包括:
从所接收的RSTR中选择多个RSTR参数;
从所述映射表取回与所选择的多个RSTR参数中的每个RSTR参数对应的所述参数映射;
基于所取回的参数映射来标识与所选择的参数中的每个参数对应的类型值;以及
基于所标识的类型值在所述HTTP响应中添加多个HTTP上下文属性。
7.根据权利要求6所述的方法,还包括:
在与网站关联的HTTP引擎处接收所述HTTP请求,所述请求接收自所述请求者;
在所述HTTP引擎处接收所述RSTR;以及
从所述HTTP引擎向所述请求者发送所述HTTP响应。
8.一种信息操纵***,包括:
一个或者多个处理器;
存储器,其耦合到所述处理器中的至少一个处理器,其中所述存储器包括多个存储器区域;
网络适配器,其将所述信息操纵***连接到计算机网络;
计算机程序指令集,其存储于所述存储器中并且由所述处理器中的至少一个处理器执行以便执行以下动作:
在所述网络适配器处接收超文本传送协议(HTTP)请求并且在第一存储器区域中存储所述HTTP请求;
在第二存储器区域中创建与所述HTTP请求对应的请求安全令牌(RST);
从所存储的HTTP请求中选择多个参数;
从映射表取回与所选择的多个参数中的每个参数对应的参数映射;
在所创建的请求安全令牌中创建与所选择的多个参数中的每个参数对应的上下文属性;
基于所述对应的参数在所述HTTP请求内所位于的HTTP节段,设置与所创建的上下文属性中的一个或者多个上下文属性对应的上下文属性类型值;以及
向安全令牌服务发送具有创建的上下文属性和上下文属性类型值的所述RST。
9.根据权利要求8所述的信息操纵***,其中所述上下文属性类型值选自包括查询、发布和首部的组。
10.根据权利要求8所述的信息操纵***,其中所述HTTP请求是使用计算机网络从请求客户端接收的。
11.根据权利要求8所述的信息操纵***,其中所述参数映射取回还包括:
将所述参数之一中标识的HTTP“方法”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“方案”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“主机”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“路径”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP首部名称-值对属性映射到RST元素类型“首部”;
将所述参数之一中标识的HTTP查询串名称-值对属性映射到RST元素类型“查询”;以及
将所述参数之一中标识的HTTP发布主体URL编码的名称-值对映射到RST元素类型“主体”。
12.根据权利要求8所述的信息操纵***,其中所述处理器执行以下附加动作:
响应于对所述RST的所述发送,从所述安全令牌服务接收请求安全令牌响应(RSTR);
基于所述RSTR创建HTTP响应;以及
向发送所述HTTP请求的请求者发送所创建的HTTP响应。
13.根据权利要求12所述的信息操纵***,其中所述处理器执行以下附加动作:
从所接收的RSTR中选择多个RSTR参数;
从所述映射表取回与所选择的多个RSTR参数中的每个RSTR参数对应的所述参数映射;
基于所取回的参数映射来标识与所选择的参数中的每个参数对应的类型值;以及
基于所标识的类型值在所述HTTP响应中添加多个HTTP上下文属性。
14.根据权利要求13所述的信息操纵***,其中所述处理器执行以下附加动作:
在与网站关联的HTTP引擎处接收所述HTTP请求,所述请求接收自所述请求者;
在所述HTTP引擎处接收所述RSTR;以及
从所述HTTP引擎向所述请求者发送所述HTTP响应。
15.一种在计算机可读存储介质中存储的计算机程序产品,包括计算机程序代码,所述计算机程序代码在由信息操纵***执行时使所述信息操纵***执行以下动作:
在网络适配器处接收超文本传送协议(HTTP)请求并且在第一存储器区域中存储所述HTTP请求;
在第二存储器区域中创建与所述HTTP请求对应的请求安全令牌(RST);
从所述存储的HTTP请求中选择多个参数;
从映射表取回与所选择的多个参数中的每个参数对应的参数映射;
在所创建的请求安全令牌中创建与所选择的多个参数中的每个参数对应的上下文属性;
基于所述对应的参数在所述HTTP请求内所位于的HTTP节段,设置与所创建的上下文属性中的一个或者多个上下文属性对应的上下文属性类型值;以及
向安全令牌服务发送具有创建的上下文属性和上下文属性类型值的所述RST。
16.根据权利要求15所述的计算机程序产品,其中所述上下文属性类型值选自包括查询、发布和首部的组。
17.根据权利要求15所述的计算机程序产品,其中所述HTTP请求是使用计算机网络从请求客户端接收的。
18.根据权利要求15所述的计算机程序产品,其中所述参数映射取回还包括:
将所述参数之一中标识的HTTP“方法”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“方案”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“主机”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP“路径”属性映射到RST元素类型“请求”;
将所述参数之一中标识的HTTP首部名称-值对属性映射到RST元素类型“首部”;
将所述参数之一中标识的HTTP查询串名称-值对属性映射到RST元素类型“查询”;以及
将所述参数之一中标识的HTTP发布主体URL编码的名称-值对映射到RST元素类型“主体”。
19.根据权利要求15所述的计算机程序产品,其中所述信息操纵***还执行以下动作:
响应于对所述RST的所述发送,从所述安全令牌服务接收请求安全令牌响应(RSTR);
基于所述RSTR创建HTTP响应;以及
向发送所述HTTP请求的请求者发送所创建的HTTP响应。
20.根据权利要求19所述的计算机程序产品,其中所述信息操纵***还执行以下动作:
从所接收的RSTR中选择多个RSTR参数;
从所述映射表取回与所选择的多个RSTR参数中的每个RSTR参数对应的所述参数映射;
基于所取回的参数映射来标识与所选择的参数中的每个参数对应的类型值;以及
基于所标识的类型值在所述HTTP响应中添加多个HTTP上下文属性。
21.根据权利要求20所述的计算机程序产品,其中所述信息操纵***还执行以下动作:
在与网站关联的HTTP引擎处接收所述HTTP请求,所述请求接收自所述请求者;
在所述HTTP引擎处接收所述RSTR;以及
从所述HTTP引擎向所述请求者发送所述HTTP响应。
22.一种方法,包括:
接收请求安全令牌响应(RSTR)并且在第一存储器区域中存储所述请求安全令牌响应;
基于所述请求安全令牌响应创建HTTP响应;
从所接收的请求安全令牌响应中选择多个RSTR参数;
从在第二存储器区域中存储的映射表取回与所选择的多个RSTR参数中的每个RSTR参数对应的参数映射;
基于所取回的参数映射来标识与所选择的RSTR参数中的每个RSTR参数对应的类型值;
基于所标识的类型值在所述HTTP响应中添加多个HTTP上下文属性;以及
利用网络适配器通过计算机网络发送所述HTTP响应,其中所述HTTP响应向远程计算机***寻址。
23.根据权利要求22所述的方法,其中所述参数映射取回还包括:
将所述RSTR参数之一中标识的RST元素类型“首部”映射到HTTP首部名称-值对属性;
将所述RSTR参数之一中标识的RST元素类型“查询”映射到HTTP查询串名称-值对属性;以及
将所述RSTR参数之一中标识的RST元素类型“主体”映射到HTTP发布主体URL编码的名称-值对。
24.根据权利要求22所述的方法,还包括:
在接收所述请求安全令牌响应之前,向安全令牌服务发送安全令牌请求(RST),其中所述请求安全令牌响应是响应于所述安全令牌请求的所述发送而从所述安全令牌服务接收的。
25.根据权利要求24所述的方法,还包括:
在向所述安全令牌服务发送所述安全令牌请求之前,从所述远程计算机***接收HTTP请求;以及
将所述HTTP请求变换成向所述安全令牌服务发送的所述安全令牌请求。
CN201280011552.1A 2011-03-25 2012-03-23 一种信息操纵方法和*** Active CN103444152B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/071,582 US8447857B2 (en) 2011-03-25 2011-03-25 Transforming HTTP requests into web services trust messages for security processing
US13/071,582 2011-03-25
PCT/CA2012/050181 WO2012129684A1 (en) 2011-03-25 2012-03-23 Transforming http requests into web services trust messages for security processing

Publications (2)

Publication Number Publication Date
CN103444152A true CN103444152A (zh) 2013-12-11
CN103444152B CN103444152B (zh) 2016-01-20

Family

ID=46878260

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280011552.1A Active CN103444152B (zh) 2011-03-25 2012-03-23 一种信息操纵方法和***

Country Status (5)

Country Link
US (1) US8447857B2 (zh)
CN (1) CN103444152B (zh)
DE (1) DE112012001441B4 (zh)
GB (1) GB2503402B (zh)
WO (1) WO2012129684A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022170915A1 (zh) * 2021-02-10 2022-08-18 华为技术有限公司 一种http更新的方法和通信装置

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742757B2 (en) 2013-11-27 2017-08-22 International Business Machines Corporation Identifying and destroying potentially misappropriated access tokens
US9811248B1 (en) 2014-07-22 2017-11-07 Allstate Institute Company Webpage testing tool
CN105407102B (zh) * 2015-12-10 2019-05-17 四川长虹电器股份有限公司 http请求数据可靠性验证方法
CN107770225B (zh) * 2016-08-22 2020-11-03 北京京东尚科信息技术有限公司 一种webService访问***和访问webService的方法
US10592388B1 (en) * 2018-09-26 2020-03-17 Jpmorgan Chase Bank, N.A. Methods for facilitating more efficient network message exchange and analysis and devices thereof
CN113489705B (zh) * 2021-06-30 2023-03-24 ***股份有限公司 一种抓取应用程序http通讯数据的方法、装置存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060112422A1 (en) * 2004-11-19 2006-05-25 Microsoft Corporation Data transfer using hyper-text transfer protocol (HTTP) query strings
US7222363B2 (en) * 2002-10-18 2007-05-22 American Express Travel Related Services Company, Inc. Device independent authentication system and method
US20100154046A1 (en) * 2008-12-17 2010-06-17 Industrial Technology Research Institute Single sign-on method and system for web browser
US20100293385A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Http-based authentication

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7721329B2 (en) 2003-11-18 2010-05-18 Aol Inc. Method and apparatus for trust-based, fine-grained rate limiting of network requests
US8528063B2 (en) * 2004-03-31 2013-09-03 International Business Machines Corporation Cross domain security information conversion
US8225385B2 (en) 2006-03-23 2012-07-17 Microsoft Corporation Multiple security token transactions
US8656472B2 (en) 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US8528058B2 (en) 2007-05-31 2013-09-03 Microsoft Corporation Native use of web service protocols and claims in server authentication
US9736153B2 (en) * 2008-06-27 2017-08-15 Microsoft Technology Licensing, Llc Techniques to perform federated authentication
US20100293604A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Interactive authentication challenge

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7222363B2 (en) * 2002-10-18 2007-05-22 American Express Travel Related Services Company, Inc. Device independent authentication system and method
US20060112422A1 (en) * 2004-11-19 2006-05-25 Microsoft Corporation Data transfer using hyper-text transfer protocol (HTTP) query strings
US20100154046A1 (en) * 2008-12-17 2010-06-17 Industrial Technology Research Institute Single sign-on method and system for web browser
US20100293385A1 (en) * 2009-05-14 2010-11-18 Microsoft Corporation Http-based authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022170915A1 (zh) * 2021-02-10 2022-08-18 华为技术有限公司 一种http更新的方法和通信装置

Also Published As

Publication number Publication date
DE112012001441T5 (de) 2013-12-19
GB2503402A (en) 2013-12-25
DE112012001441B4 (de) 2017-03-16
GB2503402B (en) 2014-09-10
US8447857B2 (en) 2013-05-21
WO2012129684A1 (en) 2012-10-04
GB201318321D0 (en) 2013-11-27
US20120246312A1 (en) 2012-09-27
CN103444152B (zh) 2016-01-20

Similar Documents

Publication Publication Date Title
WO2018177124A1 (zh) 业务处理方法、装置、数据共享***及存储介质
CN103444152A (zh) 将HTTP请求变换成用于安全处理的Web服务信任消息
EP2798561B1 (en) Biometric cloud communication and data movement
US9973485B2 (en) Apparatus and method to securely receive a key
US9172694B2 (en) Propagating delegated authorized credentials through legacy systems
TWI354466B (en) Secure password entry
US9111081B2 (en) Remote direct memory access authentication of a device
US9456229B2 (en) Parsing single source content for multi-channel publishing
US9356936B2 (en) Method and apparatus for managing access to electronic content
TWI504202B (zh) 透過閘道器伺服器或服務以存取雲端運算服務儲存的多媒體裝置
US9270684B2 (en) Providing a domain to IP address reputation service
CN109600349A (zh) 一种业务数据的共享实现方法、装置、设备和介质
JP2017045462A (ja) コンタクトリストを利用してユーザを認証するシステムおよび方法
US20140298414A1 (en) Browsing remote content using a native user interface
WO2020088681A1 (zh) 模型文件的管理方法和终端设备
CN113038192B (zh) 视频处理方法、装置、电子设备和存储介质
US20130132552A1 (en) Application-Aware Quality Of Service In Network Applications
US10469575B2 (en) Techniques for contact exporting
US20180159931A1 (en) Server for providing cloud service and operating method thereof
US20150195253A1 (en) Retrieving both sensitive and non-sensitive content in a secure manner
JP6742847B2 (ja) サーバ装置、無害化方法、およびプログラム
WO2023177163A1 (ko) 아바타토큰정보를 이용한 오픈소스기반 메타버스 플랫폼 접속방법
US12028315B2 (en) Methods, devices, and computer program products for authenticating peripheral device
US20220104025A1 (en) Second factor authentication for iot devices
US11252155B2 (en) Systems and methods for on-network device identification

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant