[发明专利]基于PKI和PMI的Web服务安全控制机制

说明书

技术领域

本发明涉及Web服务安全领域，是一种用于为Web服务提供身份认证和权限控制的基于PKI和PMI的Web服务安全控制方法。

背景技术

PKI(Public Key Infrastructure)是一种密钥管理平台，它能够提供加密和数字签名等密码服务所需要的密钥和证书管理。利用数字签名技术，PKI可以提供以下四种主要服务：一是认证，向一个实体确认另一个实体确实是他自己；二是完整性，向一个实体确保数据没有被有意或无意的修改；三是机密性，向一个实体确保除了接收者，无人能读懂数据的关键部分；四是不可抵赖性，向一个实体确认该操作是另一个实体完成的。

PMI(Privilege Management Infrastructure)是一种权限控制管理平台，它基于PKI系统来验证用户的身份，使用属性证书来保存用户的访问权限，并可以证明用户能够访问什么资源以及能够对该资源做什么操作。

Web服务(Web Service)是一种设计用来支持在网络上机器与机器之间互操作的软件系统。本质上来说，Web服务就是一套可访问的网络API，而且其调用执行是在提供请求服务的远程系统上。

现有基于HTTPS的Web服务安全解决方案，无法提供强健的身份认证和权限控制，而对于电子商务和电子政务来说，这两点是必不可少的。

发明内容

本发明所要解决的技术问题是提供一种基于PKI和PMI的Web服务安全控制方法，其为Web服务调用提供了一套完整强健的身份认证和权限控制系统，保证了Web服务调用消息的机密性、完整性和不可否认性。

本发明解决上述问题所采用的技术方案是：该控制方法基于PKI系统、PMI系统和Web服务安全系统，其实现步骤为：用户通过PKI系统申请身份证书，再根据自己的身份证书去PMI系统申请属性证书，属性证书将用户的身份关联到一个或多个角色上，PMI系统预定义的策略证书将角色绑定到一个或多个Web服务上去，当用户使用Web服务时，Web服务安全系统帮助PKI系统检查身份证书的合法性，再帮助PMI系统检查用户是否有权限调用该Web服务，当所有检查都通过时，允许用户访问Web服务，以实现安全的Web服务调用。

本发明所述的PKI系统为用户提供公私密钥管理，用户填写好申请表单，由管理员审核通过之后，用户可下载其公私密钥，其中的公钥证书将上传到Ldap服务器上；PKI系统对外提供所有用户的公钥证书下载，并可验证用户公钥证书的合法性。

本发明所述的PMI系统提供资源访问控制，首先管理员负责定义需要控制的资源和资源类型、能够对资源进行的操作、不同访问权限的角色以及策略证书，并将策略证书上传到Ldap服务器上；用户拿着PKI系统提供的身份证书进入PMI系统申请属性证书，待管理员审核通过之后，将生成相应的属性证书，属性证书也将上传到Ldap服务器上；PMI系统对外提供资源访问控制接口，参数包括用户的身份证书、需要访问的资源和对该资源执行的操作。

本发明所述Web服务安全系统负责Web服务调用的服务器端和客户端的安全，根据用户调用的Web服务，Web服务安全系统会帮助服务器端和客户端互相验证对方的身份，同时服务器端会根据PMI系统的资源访问控制的配置情况，决定该用户是否有权限调用该Web服务。