基于.NET的XML Web服务安全性.docVIP

基于.NET的XML Web服务安全性 　　摘要:Web服务使得基于组建开发与网络相结合并且成为了微软.NET编程模型的基石。而无论是对机构还是他们的客户而言,通过安全的应用程序模型以确保Web服务的完整性、机密性和安全性是非常重要的。从身份验证、授权、加密等三方面研究了XML Web服务的安全性。 　　Abstract: Web services enable the combination of development and network become the foundation stone of Microsoft. NET programming model. And either for institutions or their customers,it is important to ensure the integrity of Web services,confidentiality and security through a secure application model. In this paper,the security of XML Web service is researched from the three aspects of authentication,authorization,and encryption. 　　关键词:XML Web服务;身份验证;授权;加密 　　Key words: XML Web services;authentication;authorization;encryption 　　 　　1SOAP头自定义身份验证 　　对用户进行身份验证是Web服务实现安全性的第一步。它的原理主要是首先检查用户的凭据,然后根据某种规定的原则来验证那些凭据的有效性,以便能分辨出用户的身份是否合法。Windows平台本身提供了一些内置的身份验证机制,通过其自带的IIS服务器配合Web.config文件可以使用多种身份验证机制:但是,对互联网而言,利用SQL数据库执行自定义身份验证显然要灵活和方便得多。可以将自定义的凭据(用户名、密码等)传递给Web服务,让Web服务内部的程序逻辑验证用户身份。要将身份验证等额外数据信息发送到Web访问,SOAP头是一种较为理想的方式。 　　SOAP协议是一种在分布式环境中进行信息交换的基于XML的轻量级协议,由封包(envelope)和编码机制(encoding mechanism)组成。在SOAP协议与HTTP协议结合使用的情况下,Envelop元素作为根元素是由必选的Body元素和可选的Header元素组成。Header元素作为SOAP消息Envelope元素中的第一个子元素,其中包含一些不与特定消息直接相关的附加消息,紧接着的Body元素中则包含特定消息的具体数据。 　　2基于角色安全授权 　　通过身份验证的合法用户是否能够执行所请求的操作或得到所需的资源,这取决于该用户所拥有的权限。而授权则是先判定该用户是否拥有所需权限并根据情况授予其系统资源的访问能力。NET技术支持的授权主要有:Windows NT安全功能、基于角色安全功能、代码访问安全功能以及ASP.NET应用程序中配置授权。在商用的Web应用程序中常常使用角色来强制策略。 　　经过验证的用户信息被封装到身份(Identity)对象中,Web服务可以使用Windows身份类型和通用身份类型。由于程序逻辑需要通过执行数据库查找来对用户身份进行验证,本文选用基于自定义身份验证方法的通用身份类型。角色(Role)定义了应用程序中一组在安全设置方面拥有相同权利的用户。由相关身份对象表示的用户身份和与用户相关联的角色一起组成了主体(Principal)对象。.NET下基于角色的安全性就是通过生成主体信息供当前线程使用的方式来支持授权的。 　　3加密 　　身份验证和授权的使用能够防止未经授权的用户访问系统资源,但SOAP协议封装是建立于HTTP协议之上的,而HTTP协议中的信息默认以明文方式传输。包含在SOAP头中的身分信息如果以明文方式传输容易被中途截获,所以为了确保数据传输的安全必须使用加密技术。 　　数据加密标准(data encryption standard, DES)曾被美国国家标准局(NBS, 现为国家标准与技术研究所NIST)确定为联邦信息处理标准,自从 1977 年正式作为标准公布以来,得到了广泛的应用,成为最重要的对称密码算法。三重数据加密标准(3DES)密钥的长度增加到 112 位或者 168 位,可以有效克服穷举攻击,并且增强了抗差分分析和线性分析能力。在.NET Framework的命名空间System.Security.Crypto