第五章Web服务安全.pptxVIP

第五章Web服务安全目录5.1 Web服务5.2 网络服务安全隐患5.3 SSL/TLS5.4 S-HTTP5.5 Web服务安全规范协议族5.1 Web服务 万维网（World Wide Web，WWW，或简称Web）是欧洲粒子实验室最先开发的一个分布式超媒体信息查询系统，目前它是Internet上最为先进、交互性能最好、应用最为广泛的信息检索工具，万维网包括各种各样的信息，如文本、声音、图像、视频等。万维网采用“超文本”技术，使得用户以通用而简单的办法就可获得Internet上的各种信息。 随着万维网的迅猛发展，万维网已变成一个巨大的全球化的信息仓库，现在人们不仅可以通过网络发布和共享各种信息，而且还可以在网络上提供和获得各种应用，例如网上购物、聊天、网络教育、电子商务等。但是伴随而来的是用户对网络提供服务能力的新要求，其中更方便的跨平台的信息交互就是众多要求之一，而Web服务的提出可以有效地解决这一问题。由于在分布式系统中，基于Web的数据交互在Internet上传输时可能会遭受窃取、伪装、恶意欺骗、篡改等安全威胁，因而如何有效地防御各种安全威胁、保证机密数据的安全性就成为一个需要解决的实际问题。5.1.1 Web服务的定义和基本结构 Web服务（Web Services）主要是为了使原来各孤立的站点之间的信息能够相互通信、共享而提出的一种接口，通过借鉴和利用现有的Internet开发互连标准在各种平台基础上构建一个通用的、与平台无关的、与语言无关的技术层规范，来实现不同平台应用的互连和操作，为进一步信息共享、推广和开发各类Internet应用提供最佳手段，也为网格计算等技术注入新的活力。 然而，Web服务目前还没有一个公认的确切定义。从表面上看，Web服务就是一个应用程序，它向外界暴露出一个能够通过Web进行调用的应用程序编程接口（API），就是说，用户能够用编程的方法通过Web调用来实现某个功能的应用程序。大致上，Web服务有以下两种表述。1．Web服务是一组应用程序 W3C将Web服务定义为：Web服务是由统一资源指示符（URI）标识的软件应用程序，其接口和绑定可以通过可扩展标记语言（XML）进行定义、描述和发现，Web服务通过基于Internet的协议与其他软件直接交互。2．Web服务是一组服务 Web服务是一个集自包含、自描述、模块化于一体的应用，可以发布、定位，通过Web调用，可以执行从简单请求到复杂商务处理的任何功能。一旦部署，用户或者其他应用程序就可以发现并调用它部署的服务。 其中，自包含意味着一个服务不应该依赖其他服务而存在，服务和服务之间是松散耦合的；自描述指服务本身提供描述自身的详细信息，如通信所需的数据类型、消息结构、传输协议等；模块化揭示了Web服务的内部实现仍然是基于对象和组件的。 因此，Web服务具有完好的封装性、松散耦合，使用标准协议规范，高度可集成能力、可跨越防火墙等特征，因而具有广阔的应用前景。它为B2B通信和系统整合提供了巨大的可能性，但因缺乏一个有效的安全解决方案，使得Web服务不能方便地应用于企业业务。 而Web服务的基本架构由三个角色和三个基本操作构成。三个角色分别为服务提供者（Service Provider）、服务请求者（Service Request）和服务注册中心（Service Registry），三个基本操作分别为发布（Publish）、查找（Find）和绑定（Bind）。 这些角色和操作一起作用于Web服务构件：Web服务软件模块及其描述。服务提供者定义Web服务的服务描述并把它发布给服务请求者或服务注册中心。服务请求者使用查找操作来从本地或服务注册中心检索服务描述，然后使用服务描述与服务提供者进行绑定，并调用Web服务实现或与它交互。服务提供者和服务请求者是逻辑结构，因而服务可以表现两种特性。这些操作和提供这些操作的组件以及它们之间的交互，如图5.1所示。其中，各角色的功能描述如下： （1）服务提供者。从企业的角度看，这是服务的所有者。从体系结构的角度看，这是托管访问服务的平台。服务提供者用WSDL描述Web服务的接口。 （2）服务请求者。从企业的角度看，这是要求满足特定功能的企业。从体系结构的角度看，这是寻找并调用服务，或启动与服务交互的应用程序。服务请求者角色可以由浏览器来担当，由人或无用户界面的程序（例如，另外一个Web服务）来控制它。服务请求者使用SOAP来调用Web服务对象提供的接口。图5.1 Web服务组件交互 （3）服务注册中心。这是可搜索的服务描述注册中心，服务提供者在此发布他们的服务描述。在静态绑定开发或动态绑定执行期间，服务请求者查找服务并获得服务的绑定信息（在服务描述中）。对于静态绑定的服务请求者，服务注册中心是体系结构