專利名稱：基于PKI和PMI的Web服務(wù)安全控制機(jī)制的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及Web服務(wù)安全領(lǐng)域，是一種用于為Web服務(wù)提供身份認(rèn)證和權(quán)限控制的基 于PKI和PMI的Web服務(wù)安全控制機(jī)制。
背景技術(shù)：
PKI (Public Key Infrastructure)是一種密鑰管理平臺(tái)，它能夠提供加密和數(shù)字簽名等 密碼服務(wù)所需要的密鑰和證書管理。利用數(shù)字簽名技術(shù)，PKI可以提供以下四種主要服務(wù): 一是認(rèn)證，向一個(gè)實(shí)體確認(rèn)另一個(gè)實(shí)體確實(shí)是他自己；二是完整性，向一個(gè)實(shí)體確保數(shù)據(jù) 沒有被有意或無意的修改；三是機(jī)密性，向一個(gè)實(shí)體確保除了接收者，無人能讀懂?dāng)?shù)據(jù)的 關(guān)鍵部分；四是不可抵賴性，向一個(gè)實(shí)體確認(rèn)該操作是另一個(gè)實(shí)體完成的。
PMI (Privilege Management Infrastructure)是一種權(quán)限控制管理平臺(tái)，它基于PKI系統(tǒng) 來驗(yàn)證用戶的身份，使用屬性證書來保存用戶的訪問權(quán)限，并可以證明用戶能夠訪問什么 資源以及能夠?qū)υ撡Y源做什么操作。
Web服務(wù)(Web Service)是一種設(shè)計(jì)用來支持在網(wǎng)絡(luò)上機(jī)器與機(jī)器之間互操作的軟 件系統(tǒng)。本質(zhì)上來說，Web服務(wù)就是一套可訪問的網(wǎng)絡(luò)API，而且其調(diào)用執(zhí)行是在提供請(qǐng)求 服務(wù)的遠(yuǎn)程系統(tǒng)上。
現(xiàn)有基于HTTPS的Web服務(wù)安全解決方案，無法提供強(qiáng)健的身份認(rèn)證和權(quán)限控制， 而對(duì)于電子商務(wù)和電子政務(wù)來說，這兩點(diǎn)是必不可少的。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于PKI和PMI的Web服務(wù)安全控制機(jī)制， 其為Web服務(wù)調(diào)用提供了一套完整強(qiáng)健的身份認(rèn)證和權(quán)限控制系統(tǒng)，保證了 Web服務(wù)調(diào) 用消息的機(jī)密性、完整性和不可否認(rèn)性。
本發(fā)明解決上述問題所采用的技術(shù)方案是該控制機(jī)制包括PKI系統(tǒng)、PMI系統(tǒng)和 Web服務(wù)安全系統(tǒng)，其實(shí)現(xiàn)步驟為用戶通過PKI系統(tǒng)申請(qǐng)身份證書，再根據(jù)自己的身份 證書去PMI系統(tǒng)申請(qǐng)屬性證書，屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上，PMI 系統(tǒng)預(yù)定義的策略證書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去，當(dāng)用戶使用Web服務(wù)時(shí)， Web服務(wù)安全系統(tǒng)幫助PKI系統(tǒng)檢查身份證書的合法性，再幫助PMI系統(tǒng)檢査用戶是否有 權(quán)限調(diào)用該Web服務(wù)，當(dāng)所有檢査都通過時(shí)，允許用戶訪問Web服務(wù)，以實(shí)現(xiàn)安全的Web 服務(wù)調(diào)用。
本發(fā)明所述的PKI系統(tǒng)為用戶提供公私密鑰管理，用戶填寫好申請(qǐng)表單，由管理員審核通過之后，用戶可下載其公私密鑰，其中的公鑰證書將上傳到Ldap服務(wù)器上；PKI系統(tǒng) 對(duì)外提供所有用戶的公鑰證書下載，并可驗(yàn)證用戶公鑰證書的合法性。
本發(fā)明所述的PMI系統(tǒng)提供資源訪問控制，首先管理員負(fù)責(zé)定義需要控制的資源和資 源類型、能夠?qū)Y源進(jìn)行的操作、不同訪問權(quán)限的角色以及策略證書，并將策略證書上傳 到Ldap服務(wù)器上；用戶拿著PKI系統(tǒng)提供的身份證書進(jìn)入PMI系統(tǒng)申請(qǐng)屬性證書，待管 理員審核通過之后，將生成相應(yīng)的屬性證書，屬性證書也將上傳到Ldap服務(wù)器上；PMI 系統(tǒng)對(duì)外提供資源訪問控制接口，參數(shù)包括用戶的身份證書、需要訪問的資源和對(duì)該資源 執(zhí)行的操作。
本發(fā)明所述Web Service安全系統(tǒng)負(fù)責(zé)Web服務(wù)調(diào)用的服務(wù)器端和客戶端的安全，根 據(jù)用戶調(diào)用的Web服務(wù)，Web Service安全系統(tǒng)會(huì)幫助服務(wù)器端和客戶端互相驗(yàn)證對(duì)方的 身份，同時(shí)服務(wù)器端會(huì)根據(jù)PMI系統(tǒng)的資源訪問控制的配置情況，決定該用戶是否有權(quán)限 調(diào)用該Web服務(wù)。
本發(fā)明與現(xiàn)有技術(shù)相比，具有以下有益效果(1) Web服務(wù)在異構(gòu)的分布式的環(huán)境下， 對(duì)客戶的身份認(rèn)證比較困難，當(dāng)調(diào)用一個(gè)企業(yè)的Web服務(wù)時(shí)，這個(gè)Web服務(wù)可能又會(huì)去 調(diào)用另一個(gè)企業(yè)的Web服務(wù)，如何在這種跨域的環(huán)境下實(shí)現(xiàn)Web服務(wù)的身份認(rèn)證，是必 須解決的一個(gè)問題；PKI系統(tǒng)能夠使計(jì)算機(jī)用戶在無需事先協(xié)商的情況下，互相驗(yàn)證對(duì)方 的身份，為Web服務(wù)下的身份認(rèn)證提供了解決方法，該控制機(jī)制的Web服務(wù)身份認(rèn)證模 型即基于PKI完成，客戶端和服務(wù)器端都通過PKI系統(tǒng)來獲取對(duì)方的公鑰證書，通過PKI 系統(tǒng)來檢驗(yàn)公鑰證書的有效性，并通過公鑰證書來驗(yàn)證對(duì)方的身份。(2) —般的Web應(yīng)用 都需要根據(jù)不同的用戶來決定開放什么樣的資源，同樣對(duì)于Web服務(wù)來說，其提供的服務(wù) 本身就是資源，并不是所有的Web服務(wù)都能開放給所有的用戶，如企業(yè)級(jí)的Web服務(wù)可 能會(huì)分為針對(duì)付費(fèi)用戶和普通用戶兩種，并為付費(fèi)用戶提供更快的反應(yīng)速度、更高的精確 度和更多的系統(tǒng)資源，如何實(shí)現(xiàn)Web Services的權(quán)限控制就成為了必不可少的一個(gè)環(huán)節(jié)； PMI系統(tǒng)是為企業(yè)級(jí)Web應(yīng)用提供了跨域的統(tǒng)一的權(quán)限控制系統(tǒng)，它能夠保證權(quán)限相關(guān)信 息的完整性和不可偽造性，同時(shí)建立起多個(gè)企業(yè)之間的信任關(guān)系，方便了多企業(yè)之間的 Web應(yīng)用訪問，該控制機(jī)制的Web服務(wù)權(quán)限控制模型即基于PMI系統(tǒng)完成，在Web服務(wù) 的服務(wù)器處理SOAP請(qǐng)求消息之前，調(diào)用PMI的接口，檢査該用戶是否有權(quán)限調(diào)用該Web 服務(wù)，如果有這個(gè)權(quán)限，就繼續(xù)執(zhí)行，否則直接返回錯(cuò)誤應(yīng)答消息，而無須Web服務(wù)做 任何處理。綜上，該控制機(jī)制采用基于PKI和PMI的技術(shù)為Web服務(wù)提供了強(qiáng)健的身份 認(rèn)證和訪問控制，


圖1為基于PKI系統(tǒng)進(jìn)行身份認(rèn)證的流程圖。 圖2為基于PMI系統(tǒng)進(jìn)行權(quán)限控制的流程圖。
具體實(shí)施方式
本發(fā)明的主要設(shè)計(jì)思想是通過PKI來進(jìn)行身份認(rèn)證，通過PMI來進(jìn)行權(quán)限控制，以此來實(shí)現(xiàn)安全的Web服務(wù)調(diào)用的安全。實(shí)現(xiàn)步驟為用戶通過PKI系統(tǒng)申請(qǐng)身份證書，再根據(jù)自己的身份證書去PMI系統(tǒng)申 請(qǐng)屬性證書，屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上，PMI系統(tǒng)預(yù)定義的策略證 書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去，當(dāng)用戶使用Web服務(wù)時(shí)，先去PKI系統(tǒng)檢查身 份證書的合法性，再去PMI系統(tǒng)檢査用戶是否有權(quán)限調(diào)用該Web服務(wù)，當(dāng)所有檢査都通過 時(shí)，允許用戶訪問Web服務(wù)，以實(shí)現(xiàn)安全的Web服務(wù)調(diào)用。本控制機(jī)制包括PKI系統(tǒng)，PMI系統(tǒng)和Web Service安全系統(tǒng)。 PKI系統(tǒng)為用戶提供公私密鑰管理，用戶填寫好申請(qǐng)表單，包括組織名，用戶名，有 效期限等等，由管理員審核通過之后，用戶可下載其公私密鑰，其中的公鑰證書將上傳到 Ldap服務(wù)器上。PKI系統(tǒng)對(duì)外提供所有用戶的公鑰證書下載，并可驗(yàn)證用戶公鑰證書的合 法性。PMI系統(tǒng)提供資源訪問控制，首先管理員負(fù)責(zé)定義需要控制的資源和資源類型、能夠 對(duì)資源進(jìn)行的操作、不同訪問權(quán)限的角色以及策略證書。策略證書包括什么角色能夠?qū)κ?么資源進(jìn)行什么操作，并將上傳到Ld鄰服務(wù)器上。用戶拿著PKI系統(tǒng)提供的身份證書進(jìn) 入PMI系統(tǒng)申請(qǐng)屬性證書，包括有效期限，申請(qǐng)哪些角色等等，待管理員審核通過之后， 將生成相應(yīng)的屬性證書，屬性證書也將上傳到Ldap服務(wù)器上。PMI系統(tǒng)對(duì)外提供資源訪問 控制接口，參數(shù)包括用戶的身份證書、需要訪問的資源和對(duì)該資源執(zhí)行的操作。Web Service安全系統(tǒng)負(fù)責(zé)Web服務(wù)調(diào)用的服務(wù)器端和客戶端的安全，根據(jù)用戶調(diào)用 的Web服務(wù)，Web Service安全系統(tǒng)會(huì)幫助服務(wù)器端和客戶端互相驗(yàn)證對(duì)方的身份，同時(shí) 服務(wù)器端會(huì)根據(jù)PMI系統(tǒng)的資源訪問控制的配置情況，決定該用戶是否有權(quán)限調(diào)用該Web 服務(wù)。參見圖1，基于PKI系統(tǒng)進(jìn)行身份認(rèn)證的具體流程為(1) 用戶進(jìn)入PKI系統(tǒng)填寫請(qǐng)求表單，申請(qǐng)身份證書；(2) 管理員審核通過證書申請(qǐng)，同時(shí)將用戶的公鑰證書上傳到Ldap服務(wù)器上；(3) 用戶進(jìn)入PKI系統(tǒng)獲取公私密鑰對(duì)；(4) 用戶發(fā)送明文的S0AP請(qǐng)求消息，Web Service安全系統(tǒng)使用用戶的私鑰加密請(qǐng) 求消息，從PKI系統(tǒng)獲取服務(wù)器的公鑰證書對(duì)請(qǐng)求消息進(jìn)行簽名，并把加密和簽名過的請(qǐng) 求消息發(fā)送給服務(wù)器端；
(5) 服務(wù)器端獲取請(qǐng)求消息之后，Web Service安全系統(tǒng)先從PKI系統(tǒng)獲取用戶的公 鑰證書，對(duì)消息進(jìn)行驗(yàn)證，判斷請(qǐng)求消息是否被篡改和破壞，然后用服務(wù)器自己的私鑰對(duì) 請(qǐng)求消息進(jìn)行解密，最終獲得明文的請(qǐng)求消息；
(6) 服務(wù)器完成Web服務(wù)調(diào)用之后，返回明文的SOAP應(yīng)答消息，Web Service安全 系統(tǒng)使用服務(wù)器的私鑰加密應(yīng)答消息，使用用戶的身份證書對(duì)應(yīng)答消息進(jìn)行簽名，并把加 密和簽名過的應(yīng)答消息發(fā)送給客戶端；
(7) 客戶端收到服務(wù)器端的應(yīng)答消息之后，Web Service安全系統(tǒng)使用服務(wù)器的公鑰 證書對(duì)應(yīng)答消息進(jìn)行驗(yàn)證，判斷應(yīng)答消息是否被篡改和破壞，然后用自己的私鑰對(duì)應(yīng)答消 息進(jìn)行解密，最終獲得明文的應(yīng)答消息。
參見圖2，基于PMI系統(tǒng)進(jìn)行權(quán)限控制的具體流程為
(1) 管理員在PMI系統(tǒng)中將需要訪問控制的Web服務(wù)定義為一個(gè)資源，并為該資源 定義一張策略證書，辯明什么角色能夠?qū)υ撡Y源執(zhí)行哪些操作，并將該策略證書上傳到 Ldap服務(wù)器上；
(2) 用戶進(jìn)入PMI系統(tǒng)，填寫表單，申請(qǐng)屬性證書，以表明自己需要哪些角色的權(quán)
限；
(3) 管理員負(fù)責(zé)審核用戶的申請(qǐng)信息，同時(shí)將用戶的屬性證書上傳到Ldap服務(wù)器上；
(4) 用戶發(fā)送SOAP請(qǐng)求消息到服務(wù)器端之后，Web Service安全系統(tǒng)根據(jù)用戶的身 份證書，從PMI系統(tǒng)獲取該用戶的屬性證書，同時(shí)從PMI系統(tǒng)中獲取用戶訪問的資源的策 略證書，將兩張證書進(jìn)行匹配，以決定用戶是否用權(quán)限訪問該Web服務(wù)。
權(quán)利要求
1、一種基于PKI和PMI的Web服務(wù)安全控制機(jī)制，其特征是該控制機(jī)制包括PKI系統(tǒng)、PMI系統(tǒng)和Web服務(wù)安全系統(tǒng)，其實(shí)現(xiàn)步驟為用戶通過PKI系統(tǒng)申請(qǐng)身份證書，再根據(jù)自己的身份證書去PMI系統(tǒng)申請(qǐng)屬性證書，屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上，PMI系統(tǒng)預(yù)定義的策略證書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去，當(dāng)用戶使用Web服務(wù)時(shí)，Web服務(wù)安全系統(tǒng)幫助PKI系統(tǒng)檢查身份證書的合法性，再幫助PMI系統(tǒng)檢查用戶是否有權(quán)限調(diào)用該Web服務(wù)，當(dāng)所有檢查都通過時(shí)，允許用戶訪問Web服務(wù)，以實(shí)現(xiàn)安全的Web服務(wù)調(diào)用。
2、 根據(jù)權(quán)利要求1所述的基于PKI和PMI的Web服務(wù)安全控制機(jī)制，其特征是所述的 PKI系統(tǒng)為用戶提供公私密鑰管理，用戶填寫好申請(qǐng)表單，由管理員審核通過之后，用戶可 下載其公私密鑰，其中的公鑰證書將上傳到Ldap服務(wù)器上；PKI系統(tǒng)對(duì)外提供所有用戶的公 鑰證書下載，并可驗(yàn)證用戶公鑰證書的合法性。
3、 根據(jù)權(quán)利要求l所述的基于PKI和PMI的Web服務(wù)安全控制機(jī)制，其特征是所述的 PMI系統(tǒng)提供資源訪問控制，首先管理員負(fù)責(zé)定義需要控制的資源和資源類型、能夠?qū)Y源 進(jìn)行的操作、不同訪問權(quán)限的角色以及策略證書，并將策略證書上傳到Ldap服務(wù)器上；用戶 拿著PKI系統(tǒng)提供的身份證書進(jìn)入PMI系統(tǒng)申請(qǐng)屬性證書，待管理員審核通過之后，將生成 相應(yīng)的屬性證書，屬性證書也將上傳到Ld鄰服務(wù)器上；PMI系統(tǒng)對(duì)外提供資源訪問控制接口， 參數(shù)包括用戶的身份證書、需要訪問的資源和對(duì)該資源執(zhí)行的操作。
4、 根據(jù)權(quán)利要求1所述的基于PKI和PMI的Web服務(wù)安全控制機(jī)制，其特征是所述 Web Service安全系統(tǒng)負(fù)責(zé)Web服務(wù)調(diào)用的服務(wù)器端和客戶端的安全，根據(jù)用戶調(diào)用的Web 服務(wù)，Web Service安全系統(tǒng)會(huì)幫助服務(wù)器端和客戶端互相驗(yàn)證對(duì)方的身份，同時(shí)服務(wù)器端 會(huì)根據(jù)PMI系統(tǒng)的資源訪問控制的配置情況，決定該用戶是否有權(quán)限調(diào)用該Web服務(wù)。
全文摘要
本發(fā)明公開了一種基于PKI和PMI的Web服務(wù)安全控制機(jī)制。其包括PKI、PMI和Web服務(wù)安全系統(tǒng)，用戶通過PKI系統(tǒng)申請(qǐng)身份證書，再根據(jù)身份證書去PMI系統(tǒng)申請(qǐng)屬性證書，屬性證書將用戶的身份關(guān)聯(lián)到一個(gè)或多個(gè)角色上，PMI系統(tǒng)預(yù)定義的策略證書將角色綁定到一個(gè)或多個(gè)Web服務(wù)上去，用戶使用Web服務(wù)時(shí)，Web安全系統(tǒng)幫助PKI系統(tǒng)檢查身份證書的合法性，再幫助PMI系統(tǒng)檢查用戶是否有權(quán)限調(diào)用該Web服務(wù)，當(dāng)所有檢查都通過時(shí)，允許用戶訪問Web服務(wù)，以實(shí)現(xiàn)安全的Web服務(wù)調(diào)用。本發(fā)明提供了一套完整強(qiáng)健的身份認(rèn)證和權(quán)限控制系統(tǒng)，保證了Web服務(wù)調(diào)用消息的機(jī)密性、完整性和不可否認(rèn)性。
文檔編號(hào)H04L9/32GK101296230SQ20081006226
公開日2008年10月29日 申請(qǐng)日期2008年6月17日 優(yōu)先權(quán)日2008年6月17日
發(fā)明者健 吳, 吳朝暉, 尹建偉, 瑩 李, 鄧水光, 黃志明 申請(qǐng)人:浙江大學(xué)