基于SOAP扩展的Web服务安全机制研究.pdfVIP

第 17卷 第 6期 北 京 印 刷 学 院 学 报 2009年 12月 Dec．2009 V01．17 No．6 基于 SOAP扩展的Web服务安全机制研究 冯柳平 (北京印刷学院 信息与机电工程学院，北京 102600) 一一一l一一一～§F一一一一～～一一一一一川一一一～一一一一一一． 摘 要 ：Web限务 的安全性是 电子 商务 中必须考虑 的 问 的通信框架。 题 ，SOAP协议是Web服务的核心协议 ，而 SOAP消息是 以 SOAP的两个主要设计 目标是简单性和可扩 XML文档 的形式在信道中传输 ，可能要在 中间节点进行驻 展性 ，因此，在制定 SOAP标准时并没有过多考虑 留、转换 ，很容 易被修 改或泄 露。为加强 Web服务 的安全 其安全性，而是尽可能利用已有的标准和协议来实 性，根据 SOAP安全扩展模型，采 用 XML数 字签名和加 密 现相应的安全功能。 技术对 Web服务的安全性进行扩展，保证 了SOAP消息端 到端传输的机密性和完整性，并可对用户进行身份认证。 1 SOAP协议与 Web服务的安全 隐患 关键词 ：Web服务；SOAP扩展 ；XML数字签名；XML加 密 中图分类号 ：TP393．08 文献标识码 ：A SOAP协议是一个基于 XML的协议。它包括 文章编号：1004—8626(2009)06-0037-03 4部分：SOAP封装 (envelop)，定义 了一个描述消 息中的内容是什么，是谁发送的，谁应当接受并处 理它们以及如何处理它们的框架 ；SOAP编码规则 (encodingrules)，用于表示应用程序需要使用的数 据类 型的实例 ；SOAPRPC表示 (RPCrepresenta— tion)，表示远程过程调用和应答的协定；SOAP绑 定 (binding)，使用底层协议交换信息 。 目前，SSL和 TLS被用来提供传输层的 Web 服务安全，SSL／TLS在点对点(point—to—point)的 会话中，可以完成包括审计 、数据完整性和数据机 密性的要求。网络层的 IPSec对于 Web服务安全 来说 ，也是一个很重要的标准。同 SSIMTLS一样 ， 它也提供主机审计认证 、数据完整性和数据机密性 的功能。 然而，Web服务通信使用的并不是二进制的协 议，而是普通的文本协议。这种以文本形式存在的 消息或协议在网络上传输时，其安全性 比二进制的 Web服务因其开放性 、标准性 以及与平 台无 协议更容易受到威胁。首先 ，Web服务依赖于建