Web服务安全的语义表达解剖.docVIP

Web服务安全的语义表达研究 摘要：本文在分析了Web服务安全风险和安全需求的基础上，指出了国外同类研究成果的局限性，研究了各种Web服务安全规范中的概念的语义和它们之间的内在联系，使用OWL-DL语言设计开发了Web服务安全本体SecOWS，用于表达Web服务的安全需求和安全能力。 关键词：Web服务 服务安全 安全规范 安全本体 1 引言 Web服务提供了因特网上的应用软件相互调用的一种标准机制，这些应用软件可以运行在不同的平台上，也可以是采用不同的软件技术开发的应用。Web服务极大地促进了应用软件之间的松散耦合，实现了应用软件的动态组合。要实现Web服务之间以及与其它种类形式的软件之间的自动发现与自动调用，必须对自描述信息的格式、交换信息的格式和传输方式等方面标准化，表1列出了Web服务协议栈。 表1 Web服务协议栈 Web服务协议栈在因特网协议栈的基础上，增加了5层。这就意味着Web服务受到安全攻击的风险要比传统分布式应用大很多，同时也表明因特网中的现有安全机制仍然能够发挥它们应有的作用，但光靠它们是远远不够的。例如，当Web服务消息经过中间节点中转时，消息的完整性和机密性就可能遭到破坏。同时，Web服务在因特网上暴露了单位内部的业务处理过程及使用方法，因特网固有的开放性加剧了Web服务的安全风险。下面列出了Web服务容易遭受的一些典型的攻击类型[1-5]。 （1）非授权访问： HTTP协议的周知端口号是TCP端口80，大部分防火墙软件不过滤该端口的通信数据，因此，Web服务消息很容易穿过防火墙。Web服务由不同的服务者提供，分布在因特网上，访问控制规则的制订和实施也很困难。这些因素都很容易导致非授权访问。 （2）中间节点查看或篡改非授权的消息内容：传统的网络安全传输协议只能保证点到点的传输消息的完整性和保密性，不能保证端到端的传输消息的完整性和保密性，因此，也就无法防范中间节点针对所中继的消息的攻击。 （3）恶意的参数输入：攻击者发送给Web服务非正常的调用参数，导致运行Web服务的系统出错，试图利用系统出错后的状态来达到控制系统的目的。 （4）拒绝服务攻击：攻击者在短时间内发出大量的服务请求，力图使运行Web服务的系统无暇处理正常的服务请求。拒绝服务攻击会产生涟漪波动效果，影响到与被攻击系统存在联系的其它系统。 （5）中间人攻击：攻击者位于服务请求者和服务提供者之间，充当两者的消息中介，从而达到监听或篡改消息内容的目的。 （6）消息重放攻击：攻击者将监听到的消息的全部或部分在将来某个时刻发给服务提供者，试图获得非授权的访问。 2 Web服务安全 Web服务在不安全的万维网上公开了自己的调用接口和访问方法，本身的安全防范范围又比传统的分布式应用扩大了许多，受到安全攻击的风险大大增加。那么，Web服务的安全需求主要有哪些呢？列举如下： （1）机密性：数据内容对非授权实体不可用，保护数据免遭被动攻击。这里，有两层含义，一是指在传输过程中服务消息保密；二是服务消息内容对非授权查看节点保密。 （2）完整性：服务消息在到达服务接收者后，该接收者能够检测出消息自最初服务请求者发出后，是否发生变化。因为完整性需求与主动攻击相关，所以只关注检测而不是防范。 （3）不可否认性：服务消息的发送者或接收者不能否认曾发出或接收过某消息。当发送一个消息时，接收方能够证实该消息确实是所宣称的发送方发送的；当接收一个消息时，发送方能够证实该消息确实是所宣称的接收方接收的。 （4）身份鉴别：识别并确认Web服务提供者和Web服务请求者的身份。传统的网络安全协议能够确认直接通信站点的身份，无法确认通过中间站点通信的两个站点的身份。因特网上身份表示的多样性，也给本需求的实现增加了难度。 （5）访问控制：服务对非授权的实体不可用。Web服务提供者对服务所涉及的资源拥有绝对的控制权，但面对因特网上陌生的服务请求者如何授权，又如何实施访问控制？这两个方面是访问控制需求的主要内容。 （6）消息唯一性：确认所收到的消息不是以前所收到过的消息，防范消息重放攻击。消息发送者必须在消息中加入随机数、创建时间和过期时间及有关应用数据，如交易号码等数据，便于消息接收者检测消息重放攻击。 为了有效防范针对Web服务的安全攻击，实现Web服务的安全需求，IBM和Microsoft公司于2002年联合提出了Web服务安全路线图[6]，包含了7种安全规范。在这些规范中，有的已成为OASIS组织推荐的标准，有的提交给W3C组织，成为标准草案，还有一些迄今为止还未公开规范的具体内容。除了文献6中提出的安全规范外，W3C和OASIS也制订了许多Web服务安全标准。在这些安全标准或草案中，每个都是针对Web服务安全需求的某个方