增强 Web 服务安全性新技术.docVIP

增强 Web 服务安全性的新技术 发布日期 : 1/24/2005 | 更新日期 : 1/24/2005 David Chappell 本文假设读者熟悉 XML 和安全性基础知识。 摘要 如果没有良好的安全性，Web 服务将永远不能发挥它的潜能。本文重点讨论了 WS-Security 及其相关的技术，它们代表了 Web 服务安全性的未来。本文对这些新兴的安全标准进行了概述，并对这些安全标准的作用、工作方式和协作形式进行了说明。讨论的主题包括完整性、保密性以及如何通过公钥加密、WS-Security 和其他技术来实现完整性和保密性。本文还讨论了一些关键的 WS-Security 组件，例如 wsu 命名空间。 本页内容 WS-Security 发送安全令牌 完整性 保密性 指定策略：WS-SecurityPolicy 获得安全令牌：WS-Trust 建立上下文：WS-SecureConversation 使用 SAML 和其他基于 XML 的令牌 小结 如果没有良好的安全性，Web 服务就不能发挥它的作用。然而，SOAP 的最初设计者选择了推迟定义解决此问题的方法。由于 Web 服务开发初始希望其简单易用 — 但要确保其安全却不是一件简单的事情，因此，这是一个合理的选择。但是，安全问题不能永远推迟下去。因此，Microsoft 和 IBM 以及其他公司强强联合，共同致力于解决此问题。其成果是制定了一组提供 Web 服务安全性的规范，其中最重要的是 WS-Security。本文将对这些技术如何工作进行全面概述。 从某个角度来看，Web 服务安全性的设计者所面临的任务看起来很简单。毕竟，分布式安全已经存在有效的机制，包括 Kerberos、公钥技术以及其他，因此，这些设计者所面临的任务并不是要发明新的安全机制。相反，他们的目标是定义 Web 服务领域（一个构建于 XML 和 SOAP 之上的领域）中现有安全机制的使用方式。目前已经有几个与安全相关的规范，包括： WS-Security：其他所有规范的基础。它定义了允许传递安全令牌的 SOAP 扩展，安全令牌可安全地对客户端进行标识和身份验证、确保消息完整性以及提供消息保密性。Web Services Security Addendum：一种附加规范，向原始文档中添加了一些细节和修正。 WS-SecurityPolicy：指定如何定义明确声明 Web 服务优先权和要求的安全声明。 WS-Trust：定义如何获得安全令牌。 WS-SecureConversation：定义如何创建与 Web 服务进行特殊会话的上下文，以及如何创建用于该上下文的密钥。 Web Services Security Profile for XML-based Tokens：定义如何将基于 XML 的技术（例如，安全声明标记语言 (SAML) 和可扩展权限标记语言 (XrML)）与 WS-Security 一起使用。该规范还获得了最长规范名奖。 这些规范自成体系，并以此为基础构成了易使用、可协作以及相当完善的方法，以提供 Web 服务安全性。 WS-Security WS-Security 定义了向 SOAP 中添加安全性的基本技术。其宏伟目标是为 SOAP 消息提供端对端的消息级别的安全，但 WS-Security 规范并不十分冗长，细数起来也只有 20 多页。这是因为 WS-Security 几乎没有定义什么新技术，而是定义了一种使用 SOAP 的现有安全技术的方法。 或许，WS-Security 定义的最基本内容是位于 SOAP 标头中的 Security 元素。包含该元素的 SOAP 消息的结构如图 1 所示。如这个简单的架构显示，WS-Security 定义了它自己的命名空间。在任何可能的位置上，WS-Security 的设计者都会遵守现有的这些标准和技术，而只是会集中于指定如何在 SOAP 中使用它们。 WS-Security 描述如何实现完整性和保密性。完整性允许接收方确保从消息中接收的数据在传输过程中没有被篡改；保密性可确保数据在传输过程中不会被窥视。它还描述了如何发送安全令牌，例如用户名/密码组合、Kerberos 票据或 X.509 证书等。下面三方面内容描述 WS-Security 如何处理其中的每个领域。 返回页首 发送安全令牌 消息接收方遇到的最基本的问题可能是：我正在和谁交谈？问题虽然简单，但答案却非想象的那么简单。在网络中表明身份的方法有多种（用户名、Kerberos 票据或 X.509 证书等），进行身份验证的方法也有不少。例如，通过用户名以及随附的密码，可以证明用户的真实身份。相反，Kerberos 票据由发行方使用票据接收方可验证其正确性的密