专利名称:一种基于电力系统专用网闸的网络服务过滤方法
技术领域:
本发明涉及一种基于电力系统专用网闸的Web Service过滤方法,属于电力系统信息安全领域。
背景技术:
由于目前的防火墙、UTM等防护系统都不能保护保证攻击的一定阻断,入侵检测和入侵防御系统也不能保证入侵行为的完全捕获,电力系统安全防护方案采用以物理隔离的方式隔离内外网的业务连接,实现协议落地、数据交换的目的。采用网闸技术之后,不同安全级别的网络之间的TCP/IP通讯被完全终止,无法进行传统的SOAP over HTTP的WebService 调用。目前,Web Service服务通过代理发布到物理隔离的不同网络之上使得客户端穿越网闸执行Web Service服务调用成为可能,这虽然解决了物理隔离环境下的Web Service集成,但对基于Web Service的接口调用无法进行细粒度的访问控制机制,以达到高强度、细粒度的安全、可信的接口调用。
发明内容
针对现有技术的不足,本发明所要解决的技术问题是,提供基于电力系统专用网闸的Web Service过滤方法,通过解析WSDL文件将Web Service接口调用的接口信息规则化,保证Web Service接口调用的可控性,从而有效保证物理隔离环境下WebService客户端和服务端通讯的安全性。为达到上述目的,本发明的技术方案具体实现方法如下
一种基于应用网闸的Web Service过滤方法,其特征在于,所述方法包括规则生成模块和Web Service接口过滤模块。所述规则生成模块用于,将wsdl文件解析成一个个提供服务的接口,用户为每一个接口配置访问规则,最后生成一个规则文件供Web Service接口过滤模块调用。所述Web Service接口过滤模块用于,利用规则生成模块生成的规则文件提取接口信息放置于接口贮存器,soap请求通过接口贮存器匹配验证是否合法。所述的Web Service接口过滤模块,包括HTTP调度器、WSDL解析器、接口贮存器和接口匹配器;
所述HTTP调度器用于,辨别客户端发过来的http请求是否为soap请求,如果是,将其解析为一个方法调用,交给接口匹配器匹配。所述WSDL解析器用于,将Web Service的WSDL文件中的接口信息解析出放至接口贮存器里面。所述接口贮存器用于,存储WSDL文件解析出来的接口信息。 所述接口匹配器用于,验证客户端的请求接口是否合法。较佳的,所述方法进一步包括一个隔离网闸过滤加载模块。、
所述过滤加载模块用于,作为隔离网闸的一个嵌入式模块,供隔离网闸调用。所述的规则生成模块的规则生成包括如下步骤
1.接收一个wsdl文件。2.对wsdl文件进行语法解析,产生一系列接口以及相关接口信息,接口信息包括接口名称、接口参数个数和参数类型。3.用户对每一个接口信息进行行为控制,行为控制包括每个接口的接口名、参数个数、参数类型以及接口允许的访问时间,生成一个规则文件。所述的Web Service过滤模块包括如下步骤
I·接收一个http请求
2.HTTP调度器判断http请求是否为soap请求,如果是,从soap协议中解析出调用接 口以及相关接口信息
3.匹配解析出的调用接口在接口贮存器中存不存在相同的接口名,接口名相同再进而匹配参数个数和参数类型,如相同,最后验证接口的访问时间在不在允许的时间范围内,如果在,则匹配成功,反之则失败。
图I为应用网闸过滤加载模块原理图。图2为接口匹配器的匹配流程图。
具体实施例方式 下面参照附图并结合实例对本专利作进一步详细描述。
具体实施方式
如下
I.应用网闸以动态链接库的方式加载应用网闸过滤加载模块。2.用户通过导入wsdl文件,WSDL解析器解析出其描述的全部接口信息,用户手动配置各个接口的处理规则,由规则生成模块生成机器可识别的规则文件。3. 客户端发起Web Service请求,HTTP调度器解析http请求,如果此http请求属于soap请求,将此请求交给soap解析器解析。4. Soap解析器解析出请求接口,放入接口匹配器匹配,匹配成功,则过滤模块认为合法,反之,则认为不合法。
权利要求
1.一种基于电力系统专用网闸的Web Service过滤方法,其特征在于,所述方法包括规则生成模块和Web Service接口过滤模块;所述规则生成模块用于,将wsdl文件解析成一系列提供服务的接口,用户为每一个接口配置访问规则,最后生成一个规则文件供WebService接口过滤模块调用;2.所述Web Service接口过滤模块用于,利用规则生成模块生成的规则文件提取接口信息放置于接口贮存器,soap请求通过接口贮存器匹配验证是否合法。
2.如权利要求I所述的WebService接口过滤模块,其特征在于,所述过滤模块包括HTTP调度器、SOAP解析器、接口贮存器和接口匹配器;所述HTTP调度器用于,辨别客户端发过来的http请求是否为soap请求,如果是,交给soap解析器将其解析为一个方法调用,交给接口匹配器匹配;所述WSDL解析器用于,将Web Service的WSDL文件中的接口信息解析出放至接口贮存器里面;所述接口贮存器用于,存储WSDL文件解析出来的接口信息;所述接口匹配器用于,验证客户端的请求接口是否合法。
3.如权利要求I所述的WebService过滤方法,其特征在于,进一步包括一个隔离网闸过滤加载模块;所述过滤加载模块用于,作为隔离网闸的一个嵌入式模块,供隔离网闸调用。
4.如权利要求I所述的规则生成模块,其特征在于,所述的规则生成包括如下步骤 .401.接收一个wsdl文件; .402.对wsdl文件进行语法解析,产生一系列接口以及相关接口信息; .403.用户对每一个接口信息进行行为控制,生成一个规则文件。
5.如权利要求I所述的WebService过滤模块,其特征在于,所述过滤步骤包括如下步骤 . 501.接收一个http请求; .502.HTTP调度器判断http请求是否为soap请求,如果是,从soap协议中解析出调用接口以及相关接口信息; .503.匹配解析出的调用接口以及相关接口信息在接口贮存器存不存在,如存在,则匹配成功,如不存在,则匹配失败。
全文摘要
本发明公开了一种基于应用网闸的网络服务过滤方法,过滤方法包括规则生成模块和网络服务过滤模块。规则生成模块包括WSDL解析器以及规则生成模块。网络服务过滤模块包括http调度器、soap解析器、接口匹配器和接口贮存器。本发明满足电力系统专用网闸关于网络服务接口调用的安全可靠性要求,以达到高强度、细粒度的安全、可信的接口调用。
文档编号H04L29/06GK102790759SQ20111040284
公开日2012年11月21日 申请日期2011年12月7日 优先权日2011年12月7日
发明者周诚, 张涛, 戴造建, 楚杰, 管小娟, 胡斌, 邵志鹏 申请人:国网电力科学研究院