专利名称:Web服务安全访问控制方法、装置及系统的制作方法
技术领域:
本发明属于计算机技术领域,尤其涉及一种Web服务安全访问控制方法、装置及系统。
背景技术:
Web服务(Web服务)的主要目标是跨平台的可互操作性。为了达到这一目标,Web 服务主要是基于XML (可扩展标记语言)、XSD (XML Schema)等独立于平台、独立于软件供应商的标准,因此,Web服务具有应用程序集成,以及软件和数据重用等优点。目前,用户进行Web服务的访问时,访问控制策略是将身份信息作为Web服务的接口参数,直接传输给Web服务,由Web服务自身进行验证,使得用户身份信息直接暴露,降低了系统的安全性,增加了 Web服务系统的复杂性和维护成本。
发明内容
本发明实施例的目的在于提供一种Web服务安全访问控制方法、装置及系统,旨在解决由于访问Web服务(Web Service)时,访问控制策略是将身份信息作为Web服务的接口参数,直接传输给Web服务,使得用户身份信息直接暴露,导致系统安全性降低,系统维护困难的问题。本发明实施例是这样实现的,一种Web服务安全访问控制方法,所述方法包括下述步骤提取外部系统发送的Web服务访问请求信息中的会话标识;当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取所述会话标识关联的外部系统访问上下文信息;将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明实施例的另一目的在于提供一种Web服务安全访问控制装置,所述装置包括会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明实施例的另一目的在于提供一种包括Web服务安全访问控制装置的ERP系统,所述Web服务安全访问控制装置包括会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明实施例通过在接收到Web服务访问请求信息时,提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将该上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露, 导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,同时,降低了 Web服务的复杂性和系统维护成本。
图1是本发明第一实施例提供的Web服务安全访问控制方法的实现流程图;图2是本发明第二实施例提供的Web服务安全访问控制方法的实现流程图;图3是本发明第四实施例提供的Web服务安全访问控制装置的结构图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明实施例通过提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将该上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数, 直接传输给Web服务,使得外部系统身份信息直接暴露,导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,降低了 Web服务的复杂性和系统维护成本。本发明实施例提供了一种Web服务安全访问控制方法,所述方法包括下述步骤提取外部系统发送的Web服务访问请求信息中的会话标识;当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取所述会话标识关联的外部系统访问上下文信息;将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明实施例还提供了一种Web服务安全访问控制装置,所述装置包括
会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明实施例还提供了一种包括Web服务安全访问控制装置的ERP系统,所述Web 服务安全访问控制装置包括会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明实施例通过在接收到Web服务访问请求信息时,提取Web服务访问请求信息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将该上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露, 导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,降低了 Web服务的复杂性和系统维护成本。以下结合具体实施例对本发明的具体实现进行详细描述实施例一Web服务是一个应用程序,向外界暴露一个能够通过Web进行调用的应用程序调用接口(API),供外部系统使用,外部系统只须提供Web服务服务所必须的参数即可,通过 Web服务接口接收到该参数后,Web服务对外部系统请求进行处理后返回处理结果。在本发明实施例中,ERP系统的功能都是以Web服务的形式向外部系统提供。图1示出了本发明第一实施例提供的Web服务安全访问控制方法的实现流程,详述如下在步骤SlOl中,提取外部系统发送的Web服务访问请求信息中的会话(Session) 标识。在本发明实施例中,发送Web服务访问请求信息的外部系统可以是用户终端、同构的或异构的其它ERP系统,接收到的Web服务访问请求信息可以是简单对象访问协议 (SOAP)或阿帕奇可扩展交互系统(Axis)等消息格式,访问请求信息的封装格式在此不用以限制本发明。在步骤S102中,当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取步骤SlOl提取的会话标识关联的外部系统访问上下文
fn息ο在本发明实施例中,通过在存储会话标识的散列表、数据库表,或其它文件中检索会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,该上下文信息包括会话标识对应的外部系统访问历史记录信息、以及外部系统权限信息等,处理Web 服务的ERP系统根据该上下文信息对外部系统请求进行处理。当从存储的会话标识和外部系统访问上下文信息之间的关联关系中未检索到会话标识时,向外部系统发送拒绝Web服务访问请求服务信息。在步骤S103中,将外部系统访问上下文信息发送给处理Web服务访问请求信息的 ERP系统,以使该ERP系统根据外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。在本发明实施例中,按照SOAP等通信协议对Web服务访问请求信息和访问Web服务的会话标识进行封装,在接收该请求信息后,提取会话标识,获取会话标识关联的外部系统上下文信息,提供Web服务的ERP系统根据外部系统上下文信息向外部系统提供服务, 使得系统能够在不改变提供ERP系统服务的Web服务接口情况下,对Web服务的访问进行安全控制,有效地保护了外部系统的身份信息,提高了提供Web服务服务的ERP系统的安全性。实施例二 会话机制是一种服务器端的机制,服务器使用一种散列表或其它结构来保存信息。当接收到外部系统服务请求时,服务器首先检查请求中是否包含了一个会话标识 (Session id),如果请求不包含会话标识,则为该外部系统创建一个会话并生成一个与该会话关联的会话标识,会话标识将在本次响应中返回给外部系统。在本发明实施例,在请求Web服务服务前,Web服务提供商需要对请求服务的外部系统身份信息进行验证,当验证通过后,生成相应的会话标识,并发送给外部系统,在本发明实施例中,采用SOAP消息格式对访问请求信息进行封装。图2示出了本发明第二实施例提供的Web服务安全访问控制方法的实现流程,其中,ERP系统以Web服务的形式以外部系统提供服务,详述如下1.外部系统向Web服务安全访问控制装置发送身份信息。2. Web服务安全访问控制装置对外部系统身份信息进行验证,当验证通过时,生成本次访问Web服务的会话标识,保存所述会话标识。在本发明实施例中,Web服务安全访问控制装置也可以提供一个Web服务形式的身份信息验证服务。在本发明实施例中,还需将会话标识关联的外部系统访问信息保存到外部系统访问上下文信息中,以便处理外部系统Web服务请求的ERP系统根据外部系统访问上下文信息对请求进行处理。3. Web服务安全访问控制装置将生成的会话标识发送给外部系统。4.外部系统将会话标识封装到Web服务访问请求的SOAP消息中。5.外部系统将封装Web服务访问请求的SOAP消息发送给Web服务安全访问控制
直ο
6. Web服务安全访问控制装置提取Web服务访问请求信息中的会话标识。7. Web服务安全访问控制装置当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息。8. Web服务安全访问控制装置将外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统。9. ERP系统根据外部系统访问上下文信息,对接收的Web服务访问请求进行处理。10. ERP系统向外部系统发送Web服务结果。在本发明实施例中,外部系统通过SOAP协议与提供Web服务的Web服务安全访问控制装置、以及ERP系统进行通信,在协议中封装会话标识,通过Web服务安全访问控制装置对会话标识进行认证验证,从而在对提供Web服务的ERP系统进行安全控制时,无须改变现有Web服务的接口,减少了系统维护和扩展的工作量以及成本。实施例三在本发明实施例中,当外部系统通过Web服务安全访问控制装置请求ERP系统提供的Web服务时,无论是否为同一外部系统,Web服务安全访问控制装置都会分配与上一次登录不同的会话标识给外部系统,从而保证系统的安全性。实施例四在本发明实施例中,当外部系统登录ERP系统后,超过预设时间未请求Web服务时,外部系统的登录信息将被注销,从而减少非活动用户占用Web服务提供系统的资源,提高Web服务提供系统的资源利用率。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中, 所述的存储介质,如ROM/RAM、磁盘、光盘等。实施例四图3示出了本发明第四实施例提供的Web服务安全访问控制装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。该Web服务安全访问控制装置可以用于ERP系统中,可以是运行于ERP内的软件单元,也可以作为独立的挂件集成到ERP系统中,其中身份信息验证单元31接收外部系统输入的身份信息,对身份信息进行验证;当身份信息验证单元31的身份信息验证通过时,会话标识发送单元32生成本次访问Web服务的会话标识,保存会话标识,并将会话标识发送给外部系统。会话标识提取单元33提取外部系统发送的Web服务访问请求信息中的会话标识; 当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到会话标识提取单元33提取的会话标识时,上下文信息获取单元34获取会话标识关联的外部系统访问上下文信息;上下文信息发送单元35将上下文信息获取单元34获取的外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统,以使该ERP系统根据外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。上述仅为本发明的系统实施例,其各单元的功能如上述方法实施例所述,在此不再赘述,但不用以限制本发明。本发明实施例通过在接收到Web服务访问请求信息时,提取Web服务访问请求信
7息中的会话标识,当检索到会话标识时,获取会话标识关联的外部系统访问上下文信息,将外部系统访问上下文信息发送给处理Web服务访问请求信息的ERP系统,克服了访问Web 服务时,将身份信息作为Web服务的接口参数,直接传输给Web服务,使得外部系统身份信息直接暴露,导致系统安全性降低,系统维护困难的问题,提高了提供Web服务的ERP系统的安全性,降低了系统的维护成本。 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种Web服务安全访问控制方法,其特征在于,所述方法包括下述步骤提取外部系统发送的Web服务访问请求信息中的会话标识;当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识时,获取所述会话标识关联的外部系统访问上下文信息;将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统, 以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
2.如权利要求1所述的方法,其特征在于,所述方法还包括下述步骤当从存储的会话标识和外部系统访问上下文信息之间的关联关系中未检索到所述会话标识时,拒绝外部系统发送的Web服务访问请求。
3.如权利要求1所述的方法,其特征在于,所述Web服务访问请求信息按照SOAP消息的格式进行封装。
4.如权利要求1所述的方法,其特征在于,所述外部系统访问上下文信息为会话标识对应的外部系统访问历史记录信息、以及外部系统权限信息。
5.如权利要求1所述的方法,其特征在于,所述提取外部系统发送的Web服务访问请求信息中的会话标识的步骤之前,所述方法还包括下述步骤接收外部系统输入的身份信息,对所述身份信息进行验证;当所述身份信息验证通过时,生成本次访问Web服务的会话标识,保存所述会话标识, 并将会话标识发送给外部系统。
6.如权利要求5所述的方法,其特征在于,所述方法还包括下述步骤将所述会话标识关联的外部系统访问信息保存到上下文信息中。
7.—种Web服务安全访问控制装置,其特征在于,所述装置包括会话标识提取单元,用于提取外部系统发送的Web服务访问请求信息中的会话标识;上下文信息获取单元,用于当从存储的会话标识和外部系统访问上下文信息之间的关联关系中检索到所述会话标识提取单元提取的会话标识时,获取所述会话标识关联的外部系统访问上下文信息;以及上下文信息发送单元,用于将所述上下文信息获取单元获取的外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。
8.如权利要求7所述的装置,其特征在于,所述装置还包括身份信息验证单元,用于接收外部系统输入的身份信息,对所述身份信息进行验证;以及会话标识发送单元,用于当所述身份信息验证单元的身份信息验证通过时,生成本次访问Web服务的会话标识,保存所述会话标识,并将会话标识发送给外部系统。
9.如权利要求8所述的装置,其特征在于,所述装置还包括访问信息保存单元,用于将会话标识关联的外部系统访问信息保存到上下文信息中。
10.一种ERP系统,其特征在于,所述系统包括所述权利要求7至9任一所述的Web服务安全访问控制装置。
全文摘要
本发明适用于计算机技术领域,提供了一种Web服务安全访问控制方法、装置及系统,所述方法包括提取外部系统发送的Web服务访问请求信息中的会话标识;获取所述会话标识关联的外部系统访问上下文信息;将所述外部系统访问上下文信息发送给处理所述Web服务访问请求信息的ERP系统,以使所述ERP系统根据所述外部系统访问上下文信息对Web服务访问请求进行处理,并输出Web服务结果。本发明克服了访问Web服务时,将身份信息作为接口参数,直接传输给每一个请求的Web服务,外部系统身份信息直接暴露的问题,提高了提供Web服务的ERP系统的安全性,降低了提供Web服务的系统维护成本。
文档编号H04L29/06GK102480475SQ20101056586
公开日2012年5月30日 申请日期2010年11月30日 优先权日2010年11月30日
发明者刘兵 申请人:金蝶软件(中国)有限公司