一种基于表述性状态转移的网络服务安全模型

摘要

本发明提供了一种基于表述性状态转移的网络服务安全模型是一种Web服务安全模型的解决方案，主要用于解决基于REST的WebServices的安全问题。网络服务安全模型包括下列组成部分：Web服务请求者、Web服务提供者、服务资源搜索模块、HTTP消息安全处理模块、基于REST的资源设计模块、XKMS（公钥管理规范）服务器、SAML（安全断言标记语言）服务器和访问控制器。本发明的主要贡献是采用了能更好的体现HTTP风格的基于REST的面向资源的构架、而不是传统的XML-RPC风格的构架来实现WebServices，并在此基础上设计了整个安全模型。

主权项

一种基于表述性状态转移的网络服务安全模型，其特征在于该方法所包含的步骤为：首先，Web服务提供者A需要设计一个网络服务Web Services C，并在网上发布供Web服务请求者使用，具体过程为：（1）Web服务提供者A需要为所有的资源定义唯一的ID：统一资源定位符URI；通常，值得被URI标识的资源要比数据库记录抽象的多；标识所有值得标识的事物：一个流程或者流程步骤、一次销售、一次谈判、一份报价请求，这都是应该被标识的事物的示例；（2）将所有的资源链接在一起，任何可能的情况下，使用链接指引可以被标识的资源；（3）定义标准方法，使用面向对象的方法来设计资源，并且每个资源对外只暴露一个统一接口，最多支持6种超文本传输协议HTTP方法，分别是GET、POST、 PUT、DELETE、HEAD和OPTIONS方法，允许执行GET、POST、 PUT和DELETE 4种基本操作；（4）对服务进行描述、发布，使用网络应用描述语言WADL来描述资源，并把要发布资源的网络应用描述语言WADL转换成SAWADL格式的服务资源描述文件，然后资源获取模块将发布在互联网中符合SAWADL服务描述规范的服务资源描述文件提取出来，提取的服务描述文件经过解析后，一方面形成SAWADL语义服务资源快照，另一方面进行概念索引，然后用以上提到的4种语义标注元素分别建立索引表供资源匹配模块使用，然后将已获取的语义服务资源描述文件保存在SAWADL语义服务资源快照库，将服务资源描述文件中包含的断言和分类关键字保存在断言及关键字索引库；经过上述4步以后，Web服务提供者A已经把需要发布的Web Services C实现并发布在网上，以供Web服务请求者B申请使用；接着，Web服务请求者B需要通过服务搜索并申请调用Web Services C；具体过程如下：（5）首先Web服务请求者B通过资源匹配模块将查询条件按4种语义标注元素进行解析，并将解析后的查询条件分别与对应的索引项进行匹配，其间语义索引库、断言及关键字索引库为资源匹配模块提供语义信息，支撑语义匹配的全过程，最终从SAWADL语义服务资源快照库中获取到搜索结果，检索的结果就是Web Services C；然后Web服务请求者B需要和Web服务提供者A建立通信，采用超文本传输协议HTTP通信，首先Web服务请求者B对HTTP消息的安全处理过程如下：（6）Web服务请求者B从公钥管理规范XKMS服务器取得服务提供者的认证书，（7）Web服务请求者B将生成的安全断言标记语言SAML断言加入HTTP消息中，（8）Web服务请求者B用自己的认证书中的私钥对HTTP消息签名，（9）用Web服务提供者A认证书中的公钥对HTTP消息加密，（10）将Web服务请求者B的认证书加入HTTP消息，发送给服务提供者，Web服务提供者A收到Web服务请求者B的消息后，将进行处理判段，具体过程如下：（11）Web服务提供者A接收到消息后，定位消息中的认证书，向XKMS确定该证书的有效性，判断证书的状态及有效性，（12）取出其中的公钥验证签名，（13）Web服务提供者A利用自己的认证书中的私钥解密，（14）根据SAML断言中的权限信息决定服务请求者是否有权限访问请求资源，若有权访问，则满足服务请求者的请求，并发送HTTP响应消息；否则拒绝服务请求者的请求，至此，如果Web服务请求者B有使用Web Services C的权限的话，他将成功调用Web服务提供者A提供的Web Services C。