安全实现Web services.docVIP

安全实现Web services--XML Web services是IT行业的重大改革，除非公司正确、尽早地解决安全问题，否则可能产生严重的风险，并增加正在进行的管理中的成本。 时间：2005-01-28作者：Andrew Yang浏览次数： 4406 本文关键字：安全,?Web services,?xml 文章工具?推荐给朋友?打印文章 　　XML和Web services都是很简单却有强大的标准，它们使应用程序之间的通信变得更有效。与基于Internet技术实现人与人通信（e-mail）和人与应用程序（Web页）的通信方式很相似，XML和Web services从根本上改变了应用程序之间的通信方式。他们使应用程序之间的通信更加有效，而不必要处理底层的通信机制。然而，Web services标准不能彻底解决XML Web services的安全性。本文中，我将提供与XML Web services相关的安全性问题的概述，略述当前在运用的这些标准，并说明现今如何保护Web services通信的安全，不论其是否在防火墙下。　　如果一开始没有正确解决安全问题就使用XML Web services，那么即使位于防火墙之下，也会造成严重的风险。为了处理被Web services启用的新的通信，必须更新当前的安全方案。虽然能够使用当前的一些技术（如安全套接层（SSL）和轻量级目录访问协议（LDAP）等）来保护高度受控的Web services网络，但是它们无法很好地适应任务关键型环境。　　Web services会暴露新的重大安全风险，在实现任何关键任务期间，必须解决这个问题。比如：因为Web services被设计成通过防火墙使用通道，所以网络防火墙不能够提供足够的安全保护，在应用层上，Web services避开了防火墙。（防火墙要保护的是网络层的安全，而不是应用层的安全。）通常，Web services接口暴露了比标准接口更多的功能。因为Web services接口是应用程序接口，所以它们暴露了更多会受到内部和外部威胁的功能。由于它们的复杂性和暴露性，这些接口的安全性更容易遭到破坏。因为Web services允许连接不同的应用程序，比如大型机、桌面应用程序、.NET、Sun ONE、打包应用程序等，所以很难为它们定制标准化的安全，并通过不同的系统对它们进行监视（参见图 1)）。Web services网络通常是基于同层的，其分散式管理妨碍了标准化、全面可见性和控制。即使出现一些标准，它们也是发展迅速、不断变化，并且是不统一的。在实现Web services时同时使用多个标准是常有的事。这是因为技术管理人员使用了许多遗留标准，他们不想将赌注下在某一个特殊的标准上。最后，Web services网络是动态的，并且其增长是有机的，这些将增加经营和管理成本。 图 1. 获得连接 　　Web services网络允许您连接应用程序，这样将导致松散耦合的、具有不同安全方案和能力的异构网络。标准化安全　　身份验证、授权、机密性和签名支持，它们是基于Web通信的4项基本安全要求，同时也是XML Web services安全通信的基础。可以利用实现Web安全的现有基础设施来实现XML Web services，从而为XML消息提供安全。 　　然而，Web services也引入了新的安全问题。尽管XML Web services与大多数Web基础的通信使用的是相同的传输机制，但典型的XML网络还需要其他安全性来确保最小的安全保护级别。因此，即使在可控环境中，也能够使用现有的技术保护试点项目，但是随着时间的推移，各种安全和管理问题还是会出现。　　因为Web services只是简单地与诸如提供者、消费者和合作伙伴之类的第三方程序整合在一起，所以必须严密控制身份验证和访问权限，使它们能够及时更新。然而，因为第三方程序常常与Web services网络有关，所以它们很难或者说无法对身份验证和访问控制方案进行标准化（参见图 2）。具体地说，在跨不同公司管理多种格式方面，B2B交易面临着极大的挑战。在极端的情况下，每项服务都需要一个用于其访问的每项服务的独立的证书。单点登陆和证书映射解决方案有助于简化对这些环境的管理，并且参与者使用它们也很方便。 图 2. 保持其安全 　　在公司整合了不同的系统之后，互操作性就成为一个严重管理问题。尽管SOAP、WSDL和UDDI标准化了通信，但仍然需要解决安全问题，以及数据和传输互操作性方面的问题。　　任何安全解决方案都必须能够从性能方面进行衡量。然而，随着诸如Web 服务安全性之类的新标准出现，可能会出现性能瓶颈，这些标准需要使一些处理器加强功能（比如签名认证和解密）成为网络的组