一种支持业务安全标记的web服务中间件扩展方法技术

本发明专利技术公开了一种支持业务安全标记的web服务中间件扩展方法。本方法为：1)配置web服务中间件的业务安全标记，标记Web服务中间件的业务安全属性；Web服务中间件的业务安全标记包括安全等级和业务类别；2)web服务中间件收到用户的网络资源请求时，识别该用户的业务安全标记以及该用户所请求的网络资源的业务安全标记；3)对该用户的业务安全标记和所请求的网络资源的业务安全标记进行匹配检查，如果检查通过，则允许执行该网络资源请求并返回对应的网络资源；否则，拒绝执行该网络资源请求。4)为响应消息添加业务安全标记。本发明专利技术能够对用户访问行为高效进行细粒度控制和审计。

An extension method of web service middleware supporting business security tag

【技术实现步骤摘要】
一种支持业务安全标记的web服务中间件扩展方法
本专利技术涉及一种支持业务安全标记的web服务中间件，该web服务中间件提供针对业务安全标记的配置、生成和识别功能，支持基于业务安全标记的访问控制和审计，属于网络空间安全领域。
技术介绍
目前，用户访问Web服务时，主要根据用户身份和网络资源信息实施资源访问控制，传统的Web服务中间件不支持根据用户或网络资源的业务安全属性对相关访问行为进行细粒度管控，需在应用程序中实现细粒度访问控制等功能，并在应用程序中管理用户的安全属性，增加了各应用的开发成本，也降低了实施访问控制的灵活性。
技术实现思路
在使用业务安全标记的网络系统中，针对传统的Web服务中间件不支持基于业务安全属性进行网络资源细粒度管控等问题，本专利技术的目的在于提出一种支持业务安全标记的Web服务中间件扩展方法，支持中间件配置其自身的业务安全标记；支持识别用户的业务安全标记和请求资源的业务安全标记，从而确保用户仅可根据其业务安全属性访问相应的网络资源；支持根据请求资源的业务安全标记为应用层协议消息添加相应的业务安全标记，支持相关的其他系统根据消息正确理解该资源的业务安全性质。为实现上述目的，本专利技术提出了一种支持业务安全标记的Web服务中间件扩展方法，该方法包括以下步骤：步骤1：配置Web服务中间件的业务安全标记。配置web服务中间件的业务安全标记，标记Web服务中间件的安全等级、业务类别等业务安全属性。业务安全标记可由管理人员进行配置，也可由配置模块在获取所在计算环境的业务安全属性信息后自动配置。步骤2：识别用户及网络资源的业务安全标记。用户请求网络资源时，识别请求中用户的业务安全标记，该标记标识了用户的安全级别、业务类别等业务安全属性；同时识别用户所请求的网络资源的业务安全标记，该标记标识了网络资源的安全级别、业务类别等业务安全属性。步骤3：基于业务安全标记进行管控。对用户业务安全标记和网络资源业务安全标记进行匹配检查，如果检查通过，则允许执行用户请求并返回网络资源；否则，拒绝用户请求。步骤4：为响应消息添加业务安全标记。在返回用户请求的网络资源时，通过标记生成模块将资源的业务安全标记转换为响应消息的业务安全标记(转换后响应消息中包含了业务安全标记)，并将此标记添加到相应的应用层协议的扩展字段中。预设信息1：网络资源(客体)具有业务安全标记，表明其安全级别、业务类别、操作控制等业务安全属性。预设信息2：访问用户具有业务安全标记，表明访问用户的安全级别、业务类别等业务安全属性。本专利技术所提供的Web服务中间件内部结构框图如图1所示，包括：Web容器模块、标记配置模块、用户标记识别模块、网络资源标记识别模块、标记生成模块、管控模块。其中，Web容器模块用于接收用户资源请求，解析请求内容，响应用户网络资源请求；标记配置模块用于为web服务中间件配置业务安全标记；用户标记识别模块用于识别web请求中用户的业务安全标记；网络资源标记识别模块识别网络资源的业务安全标记；标记生成模块用于将请求的网络资源的业务安全标记转换为响应消息的业务安全标记，并将此标记添加到相应的应用层协议的扩展字段中；管控模块用于对用户的网络资源访问行为进行控制和审计。与现有技术相比，本专利技术的有益效果是：本专利技术提供了一种支持业务安全标记的web服务中间件，该web服务中间件支持针对业务安全标记的配置、生成和识别功能，支持基于业务安全标记的对用户访问行为高效进行细粒度控制和审计，主要优点包括：1)可以配置Web服务中间件的标记，指明该Web服务中间件允许处理的网络资源的安全等级、业务类别等范围；2)通过识别访问用户和网络资源的业务安全标记，对用户访问行为进行细粒度管控或审计；3)将网络资源的业务安全标记添加到响应消息中，可指示相关的其他系统高效地根据响应消息直接理解该资源的业务安全性质，而不必进行资源数据还原。附图说明图1为Web服务中间件的架构图；图2为Web服务中间件业务安全标记识别流程图；图3为Web服务中间件管控流程图；图4为Web服务中间件业务安全标记生成流程图。具体实施方式以下结合附图对本专利技术的实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。业务安全标记定义：业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性Gi的集合，G＝{g1,g2,…gn}，gi可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性fj的集合，F＝{f1,f2,…fm}，fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。网络资源(客体)的业务安全标记记为M(r)＝<Cr，Gr，Fr>，系统对象、用户等(主体)的业务安全标记记为M(s)＝<Cs，Gs>。主体标记M(s)与网络资源标记M(r)之间的关系有两种：支配关系与不可比。标记M(s)支配标记M(r)，当Cs≥Cr且记为M(s)≥M(r)，表示主体可访问客体。如果M(s)与M(r)之间不存在支配关系，则它们之间不可比，主体无权访问客体。如果则任何主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。预设信息1：网络资源(客体)具有业务安全标记记为M(r)＝<Cr，Gr，Fr>，表明其具有的安全级别、业务类别、操作控制等业务安全属性。预设信息2：访问用户的业务安全标记M(u)＝<Cu，Gu>，表明访问用户的安全级别、业务类别等业务安全属性。本专利技术实例共分为4个步骤，分别是标记配置、标记识别、标记生成和管控。步骤1：配置Web服务中间件(主体)的业务安全标记记为M(o)＝<Co，Go>，表明中间件的安全级别、业务类别等业务安全属性。标记配置模块在Web容器初始化时被调用，以保证Web服务中间件的业务安全标记可由管理人员人工配置，或可由配置模块在获取所在环境的业务安全属性信息后自动配置。具体步骤包括：S101：Web服务中间件初始化后，加载Web容器模块、标记配置模块、用户标记识别模块、网络资源标记识别模块、标记生成模块、管控模块；S102：如果管理人员已经配置本地配置文件，则标记配置模块读取本地配置文件，从中解析出业务安全属性信息，并以此配置所属web服务中间件的业务安全标记M(o)。S103：如果管理人员没有配置本地配置文件，则标记配置模块自动获取所在计算环境的业务安全属性信息，并以此配置所属web服务中间件的业务安全标记M(o)。步骤2：识别业务安全标记。标记识别由访问用户标记识别模块和网络资源标记识别模块组成。分别识别访问用户的业务安全标记M(u)和网络资源的业务安全标记M(r)，其具体方法如图2所示，具体步骤包括：S201：Web服务开启。S202：Web容器模块接收到Web请求后，调用用户标记识别模块，获取访问用户的业务安全标记M(u)S203：Web容器接收到Web请求后，调用网络资源标记识别模块，获取网络资源的业务安全标记M(r)。S204：将标记M(u)和M(r)发送给业务安全标记管控模块。步骤3：基于业务安全标记进行管控。管控的主要功能是对请求中访问用户的业务安全标记M(u)和网络本文档来自技高网...

【技术保护点】
1.一种支持业务安全标记的web服务中间件扩展方法，其步骤包括：1)配置web服务中间件的业务安全标记，标记Web服务中间件的业务安全属性；Web服务中间件的业务安全标记包括安全等级和业务类别；2)web服务中间件收到用户的网络资源请求时，识别该用户的业务安全标记以及该用户所请求的网络资源的业务安全标记；用户的业务安全标记包括用户的安全级别和业务类别，网络资源的业务安全标记包括网络资源的安全级别和业务类别；3)对该用户的业务安全标记和所请求的网络资源的业务安全标记进行匹配检查，如果检查通过，则允许执行该网络资源请求并返回对应的网络资源；否则，拒绝执行该网络资源请求。

【技术特征摘要】
1.一种支持业务安全标记的web服务中间件扩展方法，其步骤包括：1)配置web服务中间件的业务安全标记，标记Web服务中间件的业务安全属性；Web服务中间件的业务安全标记包括安全等级和业务类别；2)web服务中间件收到用户的网络资源请求时，识别该用户的业务安全标记以及该用户所请求的网络资源的业务安全标记；用户的业务安全标记包括用户的安全级别和业务类别，网络资源的业务安全标记包括网络资源的安全级别和业务类别；3)对该用户的业务安全标记和所请求的网络资源的业务安全标记进行匹配检查，如果检查通过，则允许执行该网络资源请求并返回对应的网络资源；否则，拒绝执行该网络资源请求。2.如权利要求1所述的方法，其特征在于，步骤3)中，返回网络资源时，将返回的网络资源的业务安全标记转换为响应消息的业务安全标记，并将其添加到相应的应用层协议的扩展字段中。3.如权利要求1或2所述的方法，其特征在于，网络资源的业务安全标记还包括操作控制信息。4.如权利要求1所述的方法，其特征在于，web服务中间件的业务安全标记由管理人员进行配置，或者由配置模块获取web服务中间件所在计算环境的业务安全属性信息后自动配置。5.一种支持业务安全标记的Web服务中间件，其特征在于，包括Web容器模块、标记配置模块、用户标记识别模块、网络资源标记识别模块、标记生...

【专利技术属性】
技术研发人员：于海波，刘杰，赵雨虹，刘坤颖，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11