本發(fā)明涉及體系結(jié)構(gòu)技術(shù)領域,具體涉及一種基于XML的網(wǎng)絡加密傳輸方法和系統(tǒng)����。
背景技術(shù):
由于網(wǎng)絡服務使用的是簡單對象訪問協(xié)議作為它的標準消息交換協(xié)議,而簡單對象訪問協(xié)議設計之初一個很重要的目標就是簡單性與便捷性�����,它盡可能的使用已有的標準和協(xié)議來構(gòu)建相應的應用和功能��,所以在誕生之初����,該協(xié)議沒有考慮到實際應用中的安全性需求。因此���,單單使用簡單對象訪問協(xié)議很難滿足實際應用中對數(shù)據(jù)安全的需求���。
根據(jù)以往的經(jīng)驗來說,傳統(tǒng)的消息加密傳遞基本依靠者SSL/TLS,SSL是通過加密在服務器和瀏覽器之間正在傳輸?shù)臄?shù)據(jù)的方法來實現(xiàn)Web服務的機密性�����,并且SSL能夠確保使用Web瀏覽器的用戶正在瀏覽的web站點是可信的����。但是SSL在實際應用中的暴露很多不足:
1) SSL只能保證相鄰的兩個實體點到點的消息安全�����,而無法保證整個實體的業(yè)務流程鏈中任何兩個實體的端到端的安全�����,這很可能導致數(shù)據(jù)在傳輸過程中被中介攔截并修改��。
2) SSL提供的是面向數(shù)據(jù)流的安全信道�����,無法保證數(shù)據(jù)傳輸時的細粒度的安全性�����,因此,當需要進行大量數(shù)據(jù)的通信傳輸時�����,會極大地增加的系統(tǒng)的開銷�����。
3) SSL僅能使用于特定的傳輸協(xié)議�����,目前僅適用于HTTP協(xié)議���。
4) SSL僅能保證數(shù)據(jù)傳輸中安全�����,不能保證傳輸完成后數(shù)據(jù)存儲時安全���。
技術(shù)實現(xiàn)要素:
本發(fā)明要解決的技術(shù)問題是:本發(fā)明針對以上問題,提供一種基于XML的網(wǎng)絡加密傳輸方法和系統(tǒng)����。
通過對傳統(tǒng)的網(wǎng)絡加密傳輸方法進行分析���,我們得出網(wǎng)絡安全傳輸必須滿足可以保證網(wǎng)絡中信息交換所必須有的機密性、完整性���、不可否認性以及身份驗證和訪問控制的授權(quán)性��。因此結(jié)合各種安全模型以及安全規(guī)范��,本發(fā)明通過將XML加密組件,XML簽名組件和訪問控制組件結(jié)合起來使用���,形成了一套基于XLM的信息通信加密傳輸方法����,該機制在一定程度上提高了網(wǎng)絡傳輸?shù)陌踩浴?/p>
本發(fā)明所采用的技術(shù)方案為:
一種基于XML的網(wǎng)絡加密傳輸方法��,所述方法通過將XML加密組件�����、XML簽名組件和訪問控制組件結(jié)合起來使用�,形成一套針對于簡單對象訪問協(xié)議的通信加密傳輸機制,利用XML標準被廣泛支持的特性��,通過結(jié)合XML加密和XML簽名,從而對消息的傳遞進行加密與簽名處理��。
在網(wǎng)絡服務系統(tǒng)中一般都使用簡單對象訪問協(xié)議交換數(shù)據(jù)�,本發(fā)明機制在一定程度上提高了Web服務的安全性。一方面可以對消息進行端到端的安全保護�����,也就是要保證消息的機密性��、完整性����、不可否認性、身份驗證以及授權(quán)�����,另外一方面是對消息進行訪問控制的安全保護����。
根據(jù)Web服務動態(tài)性以及開放性的特點,所述訪問控制組件采用基于角色的訪問控制模型來實現(xiàn)�,web服務的訪問控制通過對不同的用戶分配不同的權(quán)限,保證Web服務的內(nèi)容不被未經(jīng)授權(quán)的用戶所訪問�。
所述方法對于通信加密的處理如下:通信雙方需要在認證服務中心注冊他們的秘鑰對并生成證書���。
秘鑰和證書是整個Web服務平臺得以正常運作的基礎。只有服務請求者����,服務提供者都擁有了自己的證書,其他的安全機制才能得以實現(xiàn)���。
一種基于XML的網(wǎng)絡加密傳輸系統(tǒng)���,所述系統(tǒng)包括XML加密組件、XML簽名組件和訪問控制組件���,其中XML加密組件負責對傳遞消息的加密,XML簽名組件負責對傳遞消息的簽名����,訪問控制組件采用基于角色的訪問控制模型來實現(xiàn),通過對不同的用戶分配不同的權(quán)限�,保證Web服務的內(nèi)容不被未經(jīng)授權(quán)的用戶所訪問。
所述系統(tǒng)通過認證服務中心對通信進行加密��,通信雙方需要在認證服務中心注冊他們的秘鑰對并生成證書�。
本發(fā)明的有益效果為:
本發(fā)明可以對消息進行端到端的安全保護�,也就保證消息的機密性�,完整性,不可否認性���,身份驗證以及授權(quán)��;可以對消息進行訪問控制的安全保護����;加密效率高��,對系統(tǒng)性能要求低���。
附圖說明
圖1為本發(fā)明基于XML網(wǎng)絡加密傳輸總體架構(gòu)圖��。
具體實施方式
下面根據(jù)說明書附圖�����,結(jié)合具體實施方式對本發(fā)明進一步說明:
實施例1
如圖1所示���,一種基于XML的網(wǎng)絡加密傳輸方法,所述方法通過將XML加密組件�、XML簽名組件和訪問控制組件結(jié)合起來使用�����,形成一套針對于簡單對象訪問協(xié)議的通信加密傳輸機制��,利用XML標準被廣泛支持的特性��,通過結(jié)合XML加密和XML簽名�����,從而對消息的傳遞進行加密與簽名處理��。
在網(wǎng)絡服務系統(tǒng)中一般都使用簡單對象訪問協(xié)議交換數(shù)據(jù)�����,本發(fā)明機制在一定程度上提高了Web服務的安全性�。一方面可以對消息進行端到端的安全保護�����,也就是要保證消息的機密性���、完整性�����、不可否認性�、身份驗證以及授權(quán)�,另外一方面是對消息進行訪問控制的安全保護。
實施例2
在實施例1的基礎上�,本實施例根據(jù)Web服務動態(tài)性以及開放性的特點,所述訪問控制組件采用基于角色的訪問控制模型來實現(xiàn)�����,web服務的訪問控制通過對不同的用戶分配不同的權(quán)限�,保證Web服務的內(nèi)容不被未經(jīng)授權(quán)的用戶所訪問。
實施例3
在實施例2的基礎上��,本實施例所述方法對于通信加密的處理如下:通信雙方需要在認證服務中心注冊他們的秘鑰對并生成證書�。
秘鑰和證書是整個Web服務平臺得以正常運作的基礎。只有服務請求者�����,服務提供者都擁有了自己的證書���,其他的安全機制才能得以實現(xiàn)��。
實施例4
一種基于XML的網(wǎng)絡加密傳輸系統(tǒng)��,所述系統(tǒng)包括XML加密組件�����、XML簽名組件和訪問控制組件�,其中XML加密組件負責對傳遞消息的加密,XML簽名組件負責對傳遞消息的簽名����,訪問控制組件采用基于角色的訪問控制模型來實現(xiàn),通過對不同的用戶分配不同的權(quán)限�����,保證Web服務的內(nèi)容不被未經(jīng)授權(quán)的用戶所訪問���。
實施例5
在實施例4的基礎上����,本實施例所述系統(tǒng)通過認證服務中心對通信進行加密�����,通信雙方需要在認證服務中心注冊他們的秘鑰對并生成證書��。
實施方式僅用于說明本發(fā)明���,而并非對本發(fā)明的限制��,有關(guān)技術(shù)領域的普通技術(shù)人員��,在不脫離本發(fā)明的精神和范圍的情況下����,還可以做出各種變化和變型����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護范圍應由權(quán)利要求限定����。