[发明专利]基于代理服务器的Web服务安全控制机制

说明书

技术领域

本发明属于Web服务安全领域，涉及一种具有web服务安全控制机制的代理服务器。 

背景技术

Web服务技术是为解决网络应用集成问题而提出来的，使得应用程序可以用与平台和编程语言无关的方式进行相互通信的一项技术。Web服务描述了一组可以在网络上通过标准化的可扩展标记语言消息传递访问的操作，使用基于XML语言的协议来描述所要执行的操作或者所要与另一个Web服务交换的数据。 

SOAP(Simple Object Access Protocol)简单对象访问协议，是基于XML的用于应用程序之间通信数据编码的传输协议。SOAP包不是通过专用的二进制协议调用方法，而是使用XML这种基本文本的词法来调用方法。请求应用程序与接收对象之间的所有信息，是作为XML流中的标记数据通过HTTP发送的。SOAP的缺省传输绑定是HTTP，因而，SOAP文档可以穿过几乎所有的防火墙，从而能跨越不同的平台交换信息，造成Web服务的不安全性。 

代理服务器是介于浏览器和Web服务器之间的服务器。使用代理服务器之后，浏览器不再是直接到Web服务器去取回网页而是向代理服务器发出请求，请求信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给浏览器。 

发明内容

为了解决以上Web服务的不安全性的缺陷，本发明提出了一种信息传输更安全的具有web服务安全控制机制的代理服务器。 

一种具有web服务安全控制机制的代理服务器，其特征在于：在服务请求者和服务提供者的本地机器上设有代理服务器，所述代理服务器用于截获用户发出和接收的所有HTTP信息，并对其中的SOAP消息做处理。 

其中，所述代理服务器包括本地代理服务器模块，消息处理模块，服务认证模块，服务策略模块和本地配置模块； 

其中， 

本地代理服务器模块，以代理服务器的形式，监听特定的端口，截获所有经过代理服务器的HTTP消息，取得其中的SOAP消息，交由消息处理模块处理，并将处理后的SOAP消息转发给真正的目的地； 

消息处理模块，对SOAP消息进行处理：对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密，以保证机密性；对消息进行签名，以保证完整性和不可篡改性，并对服务接收者收到的加密、签名的SOAP消息进行验证、解密； 

服务认证模块，在服务提供者处认证服务请求者的身份，判断是否应该为其提供服务； 

服务策略模块，根据用户预定义的断言方式判断服务请求者能否调用服务接收者提供的服务； 

本地配置模块，为服务请求者和服务提供者配置相应的安全参数和断言参数。 

更进一步的，所述对SOAP消息进行处理包括对服务请求者发送的SOAP消息的全部或其中的隐私部分进行加密、签名，和对服务接收者收到的加密、签名的SOAP消息进行验证、解密。 

更进一步的，所述代理服务器为服务请求者和服务提供者配置相应的安全参数，包括密钥获取方式；并为服务提供者配置断言参数，包括是否进行加密、签名，需加密、签名部分，加密算法，认证方式，并生成策略文件；服务请求者可以获取服务提供者的断言参数。 

进一步的，所述代理服务器设有加快SOAP消息处理效率的线程池。 

进一步的，服务请求者的本地机器上的代理服务器和服务提供者的本地机器上的代理服务器通过ESB容器传输信息。 

下面对本发明做进一步的描述： 

本发明对通过Internet网的SOAP消息进行加密和解密，从而为Web服务提供端到端的消息层安全。 

本发明的主要设计思想是：本发明所述的安全控制机制以一个客户端代理服务器的形式存在于服务请求者和服务提供者的本地机器上，它将截获用户发出和接受的所有HTTP信息，并对其中的SOAP消息做处理。为保证使用效率，将由一个线程池来处理用户的每个SOAP消息。 

用户可以通过GUI工具，设置相应的安全参数和断言参数。然后消息处理器在服务请求者处执行时，将读入相应的配置参数对SOAP做加密、签名操作，并将(加密、签名过的)SOAP消息发送给ESB容器。ESB(Enterprise Service Bus)企业服务总线是传统中间件技术与XML、Web服务等技术结合的产物，是一个基于消息的调用企业服务的通信模块。同样，消息处理器在服务提供者处执行时，也读入用户预定义的配置参数对SOAP消息做断言验证、签名验证、解密和认证操作。