基于Web Services的网上图书订购系统安全性应用.docVIP

基于Web Services的网上图书订购系统安全性应用摘 要本文介绍了Web Service的基本概念，介绍了三个级别的Web Services安全性应用。并给出了网上图书订购系统的Web Services 安全性应用方案。【关键词】Web服务 安全 简单对象访问协议随着Internet的高速发展，部署在Web上的各种应用不断发展。人们通过远程的Web站点进行交互式操作，访问远程站点提供的计算能力并利用它所提供的服务。这时Web就成为一个能够将应用，服务以及设备等迅速联结在一起的可设计的Web站点。Web变成了可重用的智能Web Service。1 Web Services概述Web Services的应用主要是为了实现在现有的各种异构平台的基础上构筑一个通用的与平台无关，语言无关的技术层。Web Services能够统一地封装信息、行为、数据表现以及流程，而无需考虑应用所在的环境是使用何种系统和设备。它的出现极大的改善了目前的开发模式和应用部署的费用规模。Web Service 的所有协议都基于标准的Web协议。其中SOAP以XML标准封装调用远程服务的调用格式，它可以使用任何的实体传输层来传送。Web service体系结构是基于服务提供者、服务注册中心和服务请求者之间的交互。服务提供者定义 Web Service的服务描述并把它发布到服务请求者或服务注册中心。服务请求者使用查找操作来从本地或服务注册中心检索服务描述，然后使用服务描述与服务提供者进行绑定并调用 Web Service实现或同它交互。在Internet上以供访问的Web Services会受到各种各样的网络攻击。例如数据的截获和窃取、数据的篡改和假冒、企业商业交易抵赖等，因此Web Services 安全性是十分重要。Web Services 的安全机制是以 WWW 的安全机制为基调，因此可在点对点安全性、应用程序级安全性和端对端安全性三个级别应用。其中点对点安全性是针对点对点的基础上应用的，简单明了可用于多种企业应用方案，但是这种级别的安全性不能提供提供多个跃点和路由。使得安全性有很大的局限性。应用程序级安全性提供自定义安全功能，可在应用系统中利用当前企业已经使用的用户和角色的数据库架构。也可以根据用户需求，只针对部分重要数据进行安全性控制，灵活性比较好。而端对端安全性功能最强并且灵活性最大，SOAP通过 HTTP 在两个端点之间交换消息并提供质量保障。当应用中出现异类安全性体系结构时，这种安全性最好。2 网上图书订购系统安全性应用实例网上图书订购批发市场的企业集成商务系统中，数据是以XML格式进行传输的，人们很容易通过各种络监视工具得到消息的内容。因此要对网上图书订购系统中的部分重要的数据，比如用户名和密码。交易的订单金额等进行的加密以保护敏感数据。因此使用应用程序级安全性来保证该系统对Web Services的安全调用。进行数据加密，信息的安全依赖于密钥的保密性。因此可使用非对称加密进行数据的加密。如果应用系统使用.net平台进行开发，可使用.NET类库中提供的非对称式加密RSA算法。在应用中使用密钥容器来存储密钥（CspParameter类），这样就可以重用密钥。ASP.NET中应用程序时不能指定交互用户，也就没有办法找到对应的用户的配置文件，故而找不到索默认的密钥容器。因此网上图书订购系统使用本地的密钥信息，并通知这种变化。在单向加密机制的网上图书订购系统中，该系统中采用自定义的SOAP头部扩展和SOAP属性，来加密传输的SOAP消息中的敏感数据。系统中将公钥包含在自定义的SOAP头中发送给Web Services。以订单服务为例，使用一个自定义的SOAP头部类OrderSecurityContext。在客户调用Web Services的时候，需要提供自己的验证信息。Web Services从收到的SOAP头信息中读取公钥并加密敏感数据，然后将结果返回到网上图书订购系统。系统接收到这个信息后，使用相对应的私钥来解密数据，从而实现数据的安全传输。以订单服务为例，增加了头部类到Web Services后，SoapHeaderAttribute类能够被应用到Web Services方法中，在WSUtil类中，包含了对客户端调用者进行验证的方法Authenticate，在这个方法中，可以判断客户端调用者所提供的信息是否正确，保证了Web Services的安全调用。3 结束语Web Services的安全性对于整个Web Services技术的成功引用是非常必要的，特别是对于商务应用领域。由于web Services技术还在不断的发展过程中，所以在实际应用应该要具体问题具体分析，综合应用多种技术，提供一个安全和可信的环境参考文献[1]顾宁等.Web S