Web+Services安全和企业应用.pdf

Web Service 的安全和企业应用 Web Services的安全和企业应用 摘 要 本文主要在一些规范和协议的基础上 研究了如何在企业中安全应用Web Services 首先简要介绍了 Web Services 的起源 发展以及在目前软件工业中的地位 包括 Web Services 的产生缘由,Web Services 在软件工业中能起到的作用 相关技术规范和技 术平台 接着详细分析和描述了Web Services 安全现状 一些企业和组织为了Web Services 的安全到目前为止所得到的工作成果 包括 1 网络安全 介绍可以增强Web Services 的网络安全方法 分析了这些方法对于 Web Services 而言 由于Web Services 支持多种传输协议 而存在的优缺点 由于网络 安全方法存在的一些缺点 决定网络安全方法仅仅能在特定环境中使用 或作为一个辅 助手段 2 XML 安全 包括XML 签名和XML 加密 详细介绍了签名和加密过程 XML 加密中存在的困难和已有的解决方案 以一个详细的例子介绍了XML 加密和解密过程 XML 安全是SOAP 安全扩展的基础 3 SOAP 安全扩展 定义了用数字方式签名 SOAP 消息及确认签名的句法和处理 规则 通过 SOAP 头 Header 携带 SOAP 签名信息的句法和处理规则 在不改变 SOAP 主要结构的基础上 SOAP 数字签名工作组在SOAP 头元素的扩展命名空间中加 入安全特征 通过扩展 在方案中加入一个新的元素 这个元素在 schema 中可以不用 改变 通过XML 安全 对SOAP 结构进行扩展 并把扩展规范和 SSL 做了比较 4 WS-SECURITY 目前主要企业和组织针对Web Services 安全 制定的一个安 全规范 这个规范是多个安全规范的综合 吸取了多个安全规范的成果而成 WS-SECURITY 被设计成用来构建多种安全性模型的基础 特别为多安全性令牌 多信 任域 多签名格式和多加密技术提供支持 该规范提供了三种主要的机制 安全性令牌 传播 消息完整性和消息机密性 I Web Service 的安全和企业应用 然后以三个示范项目 给出如何在企业级应用中 如何根据不同的需要 安全使用 Web Services 同时也给出了升级已有Web Services 安全性的方法 第一个项目是一个 最普通的Web Services 无任何安全性 第二个项目 在第一个项目的基础上 增加相 应的密码回调程序 并修改相关配置文件 使第一个Services 升级为一个UserNameToken 安全校验的 具有一定安全性的Web Services 第三个项目 在第一个项目的基础上 同第二个项目 增加密码回调函数 配置密码和证书 并修改配置 使之支持 WS-SECURITY 并给出运行中得到的实际消息结构 以这三个项目 获得开发和升级 现有Servcie 安全性的一般方法 具有普适性 在示范项目的基础上 给出了一个解决方案 说明企业中 安全Web Services 的可 能应用方法 并给出了二个应用案例 包括解决方案及结果 最后在前面的分析的基础上 并通过实际项目及应用 得出结论 在目前阶段 开 发满足企业应用级别的安全Web Services 还是比较容易的 掌握了方法之后 不需要太 多的额外工作量 关键词 Web Services WS-SECURITY XML SOAP 加密 签名 II Web Ser