基于XML的Web服务安全性研究与应用.docxVIP

基于 XML 的 Web 服务安全性研究与应用王磊( 上海电视大学, 上海, 200433)摘 要: 介绍了 Web 服务技术与架构, 阐述了 Web 服务的安全性问题和解决方案, 论述了 PD 系统中的 Web 服务安全性。关键词: Web 服务技术; 信息安全; XML 加密; PD 系统中图分类号: TP393.08文献标识码: A在当今的商业市场上, 全球一体化的趋势日益明显。实现这种一体1.4 UDDIUDDI 是一套基于 Web 的、分布式的、为 Web 服务提供信息注册中 心的实现标准规范, 同时也包括一组使企业能将发现和访问已经注册的 Web 服务的访问协议的实现标准。UDDI 注册中心的创建目的是为促进 Web 服务的发展及为企业发现适当的 Web 服务提供有力支持。同时 , UDDI 与 SOAP, WSDL, XML 等是一个不可分割的技术体系。化 的 一 种 主 要 的 媒 介 就 是 Internet,已 有 越 来 越 多 的 商 务 活 动 借 助 于Internet 来展开。网络使企业内部不同的部门之间、企业与企业之间相互协作或交易的成本大幅降低, 而效率则大幅提高, 使得整合企业内和企 业外的供应链、实现与合作伙伴的一体化成为可能。然而 , 在当今的 Internet 世界中, 孤立的系统、应用程序和 Web 站点仍然占绝大多数, 它 们就好像是一个个“ 信息孤岛”, 彼此之间要进行信息交流还不是轻而易 举的事情。如何解决这个问题, 便捷地实现不同系统之间的集成, 仍然是 全世界的共同努力目标。Web 服务是一种网络应用的集成方案, 提供了一个分布式环境。在 此环境中, 各个组织内部及各个组织之间的应用程序或应用程序组件能 够以与平台和语言无关的方式无缝交互。在 Web 服务提供巨大便利的同时, 也对 Web 服务的安全性提出了 严峻的挑战, 而 Web 服务分布式、异构的本质, 使得 Web 服务的安全问 题变得更加复杂。尽管目前已有许多解决安全性问题的技术, 但 Web 服 务的安全问题提出了一些新的特殊要求。Web 服务的安全性问题日益成 为影响其广泛应用的一个主要障碍。1.5Web 服务协议栈( 见表 1)表 1 Web 服务协议栈实现一个完整的 Web 服务体系需要有一系列的协议规范来支 撑 。表 1 展示了当前投入使用的 Web 服务协议栈。Web 服务协议栈的基础是网络传输层。Web 服务请求者通过网络搜 索和调用 Web 服务。HTTP 凭借其普遍性的优点, 成为 Internet 环境下 Web 服务应用的标准网络协议。数据表现层的 XML 为整个 Web 服务的 上层协议提供了数据/信息描述手段。XML 已经成为开放环境下描述数 据和描述信息的标准技术。在 Web 服务中, 全部的规范都是以 XML 为底 层核心和架构基础的。数据模型层是描述数据结构的数据模型。它本身 也是一种数据 , 描述数据 结 构 的 方 法 也 是 使 用 基 础 的 数 据 表 现 方 式 : XML。基于 XML 的消息层是构筑在更低的传输层之上的。这一层使用的 是基于 XML 的消息协议 SOAP。SOAP 可以与大多数传输协议绑定使用。 服务描述层使用的协议是 WSDL。WSDL 是一个基于 XML 格式的定义服 务的实现和接口的基础标准。服务描述为调用 Web 服务提供了具体的 方 法 。 在 服 务 发 布 层 中 , Web 服 务 提 供 者 可 以 选 择 将 服 务 描 述 层 的 WSDL 文档发布到本地的 WSDL 注册库, 或是公共/私用的 UDDI 注册中 心。Web 服务请求者可以通过注册库来获得 WSDL 文档。服务发现层提 供的服务发现是基于服务发布的。如果 Web 服务没有或者不能发布, 那 么它就不能够被发现。1.6 Web 服务的体系架构Web 服务体系结构基于 3 种角色( 服务提供者、服务注册中心和服 务请求者) 之间的交互。交互具体涉及发布、查找和绑定操作。服务提供 者定义 Web 服务的服务描述, 并把它发布给服务请求者或发布到服务 注册中心。服务请求者使用查找操作从本地或服务注册中心搜索服务描 述, 然后使用服务描述与服务提供者进行绑定, 并调用相应的 Web 服务 实现。服务注册中心: 服务提供者在此发布他们的服务描述。在动态绑定 执行期间, 服务请求者从服务注册中心查找服务并获得服务的描述信 息。对于静态绑定的服务请求者, 服务注册中心是体系结构中的可选角 色, 因为服务提供者把服务描述直接发送给服务请求者。SOAP, UDDI 和1Web 服务技术与架构Web 服务是 XML, SOAP,WSDL 和 UDDI 的整