CN110413372A - 一种支持业务安全标记的web服务中间件扩展方法 - Google Patents

一种支持业务安全标记的web服务中间件扩展方法 Download PDF

Info

Publication number
CN110413372A
CN110413372A CN201910536187.XA CN201910536187A CN110413372A CN 110413372 A CN110413372 A CN 110413372A CN 201910536187 A CN201910536187 A CN 201910536187A CN 110413372 A CN110413372 A CN 110413372A
Authority
CN
China
Prior art keywords
service
service security
internet resources
label
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910536187.XA
Other languages
English (en)
Inventor
于海波
刘杰
赵雨虹
刘坤颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201910536187.XA priority Critical patent/CN110413372A/zh
Publication of CN110413372A publication Critical patent/CN110413372A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种支持业务安全标记的web服务中间件扩展方法。本方法为:1)配置web服务中间件的业务安全标记,标记Web服务中间件的业务安全属性;Web服务中间件的业务安全标记包括安全等级和业务类别;2)web服务中间件收到用户的网络资源请求时,识别该用户的业务安全标记以及该用户所请求的网络资源的业务安全标记;3)对该用户的业务安全标记和所请求的网络资源的业务安全标记进行匹配检查,如果检查通过,则允许执行该网络资源请求并返回对应的网络资源;否则,拒绝执行该网络资源请求。4)为响应消息添加业务安全标记。本发明能够对用户访问行为高效进行细粒度控制和审计。

Description

一种支持业务安全标记的web服务中间件扩展方法
技术领域
本发明涉及一种支持业务安全标记的web服务中间件,该web服务中间件提供针对业务安全标记的配置、生成和识别功能,支持基于业务安全标记的访问控制和审计,属于网络空间安全领域。
背景技术
目前,用户访问Web服务时,主要根据用户身份和网络资源信息实施资源访问控制,传统的Web服务中间件不支持根据用户或网络资源的业务安全属性对相关访问行为进行细粒度管控,需在应用程序中实现细粒度访问控制等功能,并在应用程序中管理用户的安全属性,增加了各应用的开发成本,也降低了实施访问控制的灵活性。
发明内容
在使用业务安全标记的网络***中,针对传统的Web服务中间件不支持基于业务安全属性进行网络资源细粒度管控等问题,本发明的目的在于提出一种支持业务安全标记的Web服务中间件扩展方法,支持中间件配置其自身的业务安全标记;支持识别用户的业务安全标记和请求资源的业务安全标记,从而确保用户仅可根据其业务安全属性访问相应的网络资源;支持根据请求资源的业务安全标记为应用层协议消息添加相应的业务安全标记,支持相关的其他***根据消息正确理解该资源的业务安全性质。
为实现上述目的,本发明提出了一种支持业务安全标记的Web服务中间件扩展方法,该方法包括以下步骤:
步骤1:配置Web服务中间件的业务安全标记。配置web服务中间件的业务安全标记,标记Web服务中间件的安全等级、业务类别等业务安全属性。业务安全标记可由管理人员进行配置,也可由配置模块在获取所在计算环境的业务安全属性信息后自动配置。
步骤2:识别用户及网络资源的业务安全标记。用户请求网络资源时,识别请求中用户的业务安全标记,该标记标识了用户的安全级别、业务类别等业务安全属性;同时识别用户所请求的网络资源的业务安全标记,该标记标识了网络资源的安全级别、业务类别等业务安全属性。
步骤3:基于业务安全标记进行管控。对用户业务安全标记和网络资源业务安全标记进行匹配检查,如果检查通过,则允许执行用户请求并返回网络资源;否则,拒绝用户请求。
步骤4:为响应消息添加业务安全标记。在返回用户请求的网络资源时,通过标记生成模块将资源的业务安全标记转换为响应消息的业务安全标记(转换后响应消息中包含了业务安全标记),并将此标记添加到相应的应用层协议的扩展字段中。
预设信息1:网络资源(客体)具有业务安全标记,表明其安全级别、业务类别、操作控制等业务安全属性。
预设信息2:访问用户具有业务安全标记,表明访问用户的安全级别、业务类别等业务安全属性。
本发明所提供的Web服务中间件内部结构框图如图1所示,包括:Web容器模块、标记配置模块、用户标记识别模块、网络资源标记识别模块、标记生成模块、管控模块。
其中,Web容器模块用于接收用户资源请求,解析请求内容,响应用户网络资源请求;标记配置模块用于为web服务中间件配置业务安全标记;用户标记识别模块用于识别web请求中用户的业务安全标记;网络资源标记识别模块识别网络资源的业务安全标记;标记生成模块用于将请求的网络资源的业务安全标记转换为响应消息的业务安全标记,并将此标记添加到相应的应用层协议的扩展字段中;管控模块用于对用户的网络资源访问行为进行控制和审计。
与现有技术相比,本发明的有益效果是:
本发明提供了一种支持业务安全标记的web服务中间件,该web服务中间件支持针对业务安全标记的配置、生成和识别功能,支持基于业务安全标记的对用户访问行为高效进行细粒度控制和审计,主要优点包括:
1)可以配置Web服务中间件的标记,指明该Web服务中间件允许处理的网络资源的安全等级、业务类别等范围;
2)通过识别访问用户和网络资源的业务安全标记,对用户访问行为进行细粒度管控或审计;
3)将网络资源的业务安全标记添加到响应消息中,可指示相关的其他***高效地根据响应消息直接理解该资源的业务安全性质,而不必进行资源数据还原。
附图说明
图1为Web服务中间件的架构图;
图2为Web服务中间件业务安全标记识别流程图;
图3为Web服务中间件管控流程图;
图4为Web服务中间件业务安全标记生成流程图。
具体实施方式
以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
业务安全标记定义:
业务安全标记M为一个包含多种业务安全属性的多元组,M=<C,G,F>。其中C为安全级别;G为多个业务安全属性Gi的集合,G={g1,g2,…gn},gi可以为业务类别、工作组、角色、环境要求等业务安全属性;F为操作控制属性fj的集合,F={f1,f2,…fm},fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。
网络资源(客体)的业务安全标记记为M(r)=<Cr,Gr,Fr>,***对象、用户等(主体)的业务安全标记记为M(s)=<Cs,Gs>。主体标记M(s)与网络资源标记M(r)之间的关系有两种:支配关系与不可比。标记M(s)支配标记M(r),当Cs≥Cr记为M(s)≥M(r),表示主体可访问客体。如果M(s)与M(r)之间不存在支配关系,则它们之间不可比,主体无权访问客体。如果则任何主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。
预设信息1:网络资源(客体)具有业务安全标记记为M(r)=<Cr,Gr,Fr>,表明其具有的安全级别、业务类别、操作控制等业务安全属性。
预设信息2:访问用户的业务安全标记M(u)=<Cu,Gu>,表明访问用户的安全级别、业务类别等业务安全属性。
本发明实例共分为4个步骤,分别是标记配置、标记识别、标记生成和管控。
步骤1:配置Web服务中间件(主体)的业务安全标记记为M(o)=<Co,Go>,表明中间件的安全级别、业务类别等业务安全属性。标记配置模块在Web容器初始化时被调用,以保证Web服务中间件的业务安全标记可由管理人员人工配置,或可由配置模块在获取所在环境的业务安全属性信息后自动配置。具体步骤包括:
S101:Web服务中间件初始化后,加载Web容器模块、标记配置模块、用户标记识别模块、网络资源标记识别模块、标记生成模块、管控模块;
S102:如果管理人员已经配置本地配置文件,则标记配置模块读取本地配置文件,从中解析出业务安全属性信息,并以此配置所属web服务中间件的业务安全标记M(o)。
S103:如果管理人员没有配置本地配置文件,则标记配置模块自动获取所在计算环境的业务安全属性信息,并以此配置所属web服务中间件的业务安全标记M(o)。
步骤2:识别业务安全标记。标记识别由访问用户标记识别模块和网络资源标记识别模块组成。分别识别访问用户的业务安全标记M(u)和网络资源的业务安全标记M(r),其具体方法如图2所示,具体步骤包括:
S201:Web服务开启。
S202:Web容器模块接收到Web请求后,调用用户标记识别模块,获取访问用户的业务安全标记M(u)
S203:Web容器接收到Web请求后,调用网络资源标记识别模块,获取网络资源的业务安全标记M(r)。
S204:将标记M(u)和M(r)发送给业务安全标记管控模块。
步骤3:基于业务安全标记进行管控。管控的主要功能是对请求中访问用户的业务安全标记M(u)和网络资源的业务安全标记M(r)进行匹配检查。如果M(u)≥M(r),则检查通过,返回网络资源;否则,拒绝该请求。其具体方法如图3所示,具体步骤包括:
S301:管控模块接收请求中访问用户的业务安全标记M(u)和网络资源的业务安全标记M(r);
S302:对M(u)和M(r)进行匹配检查;
S303:若M(o)≥M(r)且M(u)≥M(r),则匹配检查通过,允许用户访问;否则,拒绝访问请求;
S304:管控模块记录日志。
步骤4:生成响应消息业务安全标记。标记生成模块将请求的网络资源的业务安全标记M(r)记转换为响应消息的业务安全标记,并将此标记添加到相应的应用层协议的扩展字段中。其具体方法如图4所示,具体步骤包括:
S401:Web容器调用标记生成模块;
S402:标记生成模块获取所请求的网络资源的业务安全标记M(r);
S403:将M(r)转换为响应消息的业务安全标记,并添加到应用层协议的扩展字段中;
S404:Web服务中间件向用户返回此次响应消息。
尽管为说明目的公开了本发明的具体内容、实施算法以及附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。

Claims (8)

1.一种支持业务安全标记的web服务中间件扩展方法,其步骤包括:
1)配置web服务中间件的业务安全标记,标记Web服务中间件的业务安全属性;Web服务中间件的业务安全标记包括安全等级和业务类别;
2)web服务中间件收到用户的网络资源请求时,识别该用户的业务安全标记以及该用户所请求的网络资源的业务安全标记;用户的业务安全标记包括用户的安全级别和业务类别,网络资源的业务安全标记包括网络资源的安全级别和业务类别;
3)对该用户的业务安全标记和所请求的网络资源的业务安全标记进行匹配检查,如果检查通过,则允许执行该网络资源请求并返回对应的网络资源;否则,拒绝执行该网络资源请求。
2.如权利要求1所述的方法,其特征在于,步骤3)中,返回网络资源时,将返回的网络资源的业务安全标记转换为响应消息的业务安全标记,并将其添加到相应的应用层协议的扩展字段中。
3.如权利要求1或2所述的方法,其特征在于,网络资源的业务安全标记还包括操作控制信息。
4.如权利要求1所述的方法,其特征在于,web服务中间件的业务安全标记由管理人员进行配置,或者由配置模块获取web服务中间件所在计算环境的业务安全属性信息后自动配置。
5.一种支持业务安全标记的Web服务中间件,其特征在于,包括Web容器模块、标记配置模块、用户标记识别模块、网络资源标记识别模块、标记生成模块、管控模块;其中,
标记配置模块,用于配置web服务中间件的业务安全标记;Web服务中间件的业务安全标记包括安全等级和业务类别;
用户标记识别模块,用于识别用户的业务安全标记;用户的业务安全标记包括用户的安全级别和业务类别;
网络资源标记识别模块,用于识别网络资源的业务安全标记;网络资源的业务安全标记包括网络资源的安全级别和业务类别;
Web容器模块,用于接收用户的网络资源请求,解析网络资源请求内容,响应用户的网络资源请求;
标记生成模块,用于将请求的网络资源的业务安全标记转换为响应消息的业务安全标记,并将其添加到相应的应用层协议的扩展字段中;
管控模块,用于对用户的业务安全标记和所请求的网络资源的业务安全标记进行匹配检查,如果检查通过,则允许执行该网络资源请求并返回对应的网络资源;否则,拒绝执行该网络资源请求。
6.如权利要求5所述的Web服务中间件,其特征在于,返回网络资源时,将返回的网络资源的业务安全标记转换为响应消息的业务安全标记,并将其添加到相应的应用层协议的扩展字段中。
7.如权利要求5所述的Web服务中间件,其特征在于,网络资源的业务安全标记还包括操作控制信息。
8.如权利要求5所述的Web服务中间件,其特征在于,配置模块获取web服务中间件所在计算环境的业务安全属性信息后自动配置web服务中间件的业务安全标记。
CN201910536187.XA 2019-06-20 2019-06-20 一种支持业务安全标记的web服务中间件扩展方法 Pending CN110413372A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910536187.XA CN110413372A (zh) 2019-06-20 2019-06-20 一种支持业务安全标记的web服务中间件扩展方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910536187.XA CN110413372A (zh) 2019-06-20 2019-06-20 一种支持业务安全标记的web服务中间件扩展方法

Publications (1)

Publication Number Publication Date
CN110413372A true CN110413372A (zh) 2019-11-05

Family

ID=68359405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910536187.XA Pending CN110413372A (zh) 2019-06-20 2019-06-20 一种支持业务安全标记的web服务中间件扩展方法

Country Status (1)

Country Link
CN (1) CN110413372A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050114789A1 (en) * 2003-11-24 2005-05-26 Hung-Yang Chang Method and system for collaborative web browsing
CN102355657A (zh) * 2011-06-28 2012-02-15 成都市华为赛门铁克科技有限公司 业务访问控制方法、装置和***
CN102413198A (zh) * 2011-09-30 2012-04-11 山东中创软件工程股份有限公司 一种基于安全标记的访问控制方法和相关***
CN102495989A (zh) * 2011-12-21 2012-06-13 北京诺思恒信科技有限公司 一种基于主体标记的访问控制方法及***
CN103248485A (zh) * 2013-04-24 2013-08-14 中国南方电网有限责任公司 一种基于安全标记的电力二次***访问控制方法及***
CN103974248A (zh) * 2013-01-24 2014-08-06 ***通信集团公司 在能力开放***中的终端安全性保护方法、装置及***
US20140281501A1 (en) * 2013-03-13 2014-09-18 Samsung Electronics Co., Ltd. Application access control method and electronic apparatus implementing the same
CN105991626A (zh) * 2015-03-06 2016-10-05 小米科技有限责任公司 网络访问的方法及装置
CN108183915A (zh) * 2018-01-15 2018-06-19 中国科学院信息工程研究所 一种面向高安全等级业务与应用需求的安全标签实现框架
CN108520177A (zh) * 2018-04-11 2018-09-11 厦门美图移动科技有限公司 应用软件管理方法、装置、移动终端及可读存储介质
CN109656884A (zh) * 2018-12-14 2019-04-19 郑州云海信息技术有限公司 一种访问文件的方法及装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050114789A1 (en) * 2003-11-24 2005-05-26 Hung-Yang Chang Method and system for collaborative web browsing
CN102355657A (zh) * 2011-06-28 2012-02-15 成都市华为赛门铁克科技有限公司 业务访问控制方法、装置和***
CN102413198A (zh) * 2011-09-30 2012-04-11 山东中创软件工程股份有限公司 一种基于安全标记的访问控制方法和相关***
CN102495989A (zh) * 2011-12-21 2012-06-13 北京诺思恒信科技有限公司 一种基于主体标记的访问控制方法及***
CN103974248A (zh) * 2013-01-24 2014-08-06 ***通信集团公司 在能力开放***中的终端安全性保护方法、装置及***
US20140281501A1 (en) * 2013-03-13 2014-09-18 Samsung Electronics Co., Ltd. Application access control method and electronic apparatus implementing the same
CN103248485A (zh) * 2013-04-24 2013-08-14 中国南方电网有限责任公司 一种基于安全标记的电力二次***访问控制方法及***
CN105991626A (zh) * 2015-03-06 2016-10-05 小米科技有限责任公司 网络访问的方法及装置
CN108183915A (zh) * 2018-01-15 2018-06-19 中国科学院信息工程研究所 一种面向高安全等级业务与应用需求的安全标签实现框架
CN108520177A (zh) * 2018-04-11 2018-09-11 厦门美图移动科技有限公司 应用软件管理方法、装置、移动终端及可读存储介质
CN109656884A (zh) * 2018-12-14 2019-04-19 郑州云海信息技术有限公司 一种访问文件的方法及装置

Similar Documents

Publication Publication Date Title
CN104781802B (zh) 资源栈中的自定义资源
RU2586866C2 (ru) Дифференцирование набора признаков участником арендуемой среды и пользователем
US7853614B2 (en) Hierarchical, traceable, and association reputation assessment of email domains
CN102576354B (zh) 支持不同部署架构的可扩展框架
US8375379B2 (en) Importing language extension resources to support application execution
CN101611422B (zh) web数据使用平台
US8316420B2 (en) Access control on dynamically instantiated portal applications
US20110270711A1 (en) Managing application interactions with enterprise systems
US8255507B2 (en) Active directory object management methods and systems
CN102460389A (zh) 用于将应用启动到现有的隔离环境中的***和方法
US9104398B2 (en) Invocation of external web services using dynamically generated composite applications
US20140067868A1 (en) Schema Mapping Based on Data Views and Database Tables
US20110302265A1 (en) Leader arbitration for provisioning services
CN101257494B (zh) 用于访问在计算机网络中实现的资源的方法和***
Sharp Overview of the digital object architecture (DOA)
CN106063204A (zh) 域名服务器业务量估计
Das et al. A service oriented design approach for e-Governance systems
Bazarhanova et al. Love and hate relationships in a platform ecosystem: a case of Finnish electronic identity management
CN110413372A (zh) 一种支持业务安全标记的web服务中间件扩展方法
CN101325525B (zh) 商用网络操作***
Dodani From Objects to Services: A Journey in Search of Component Reuse Nirvana.
US20050172149A1 (en) Method and system for management of information for access control
CN107171959B (zh) 基于soa的动态路由方法及动态路由***
CN103065027A (zh) 一种提供给第三方sns网页游戏的留言方法及装置
Sabiri et al. A new best approximation result in (S) convex metric spaces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191105