Web服务安全保障机制研究.pdfVIP

第32卷第4期 华 中 科 技 大 学 学 报(自然科学版) Vo1．32 No．4 2004年 4月 J．Huazhong Univ．of Sci．Tech．(Nature Science Edition) Apt． 2004 Web服务安全保障机制研究 肖道举 杨 剑 陈晓苏 (华中科技大学计算机科学与技术学院，湖北武汉430074) 摘要：针对Web服务领域日益严重的安全问题，分析了消息传输安全性的需求，分别讨论了几种常见的构架 在SSL安全协议之上，或工作在非SSL环境下的安全保障措施．提出了一种利用卜r几、P头部标记、二进制安 全令牌和数字签名等技术，保障web服务综合安全的模型． 关 键 词：web服务；公钥基础设施；简单对象访问协议；XML加密；数字签名 中图分类号：TP393 文献标识码：A 文章编号：1671—4512(2004)04—0050—03 The security scheme for Web service Xiao D~oju YangJi．，f Chert Xiaosu Abstract：Aimed at the increasingly severe security of web service．the security requirements of the message transport were analyzed．Several pieces of security guarantee were discussed base on secure protocol SSL or not．A comprehensive web service security mode was promoted which would Use the technologies such as the extended head tab field of HTTP．binary security token and digital signature and SO on． Key words：Web service；PKI；S()AP；XML encryption；digital signature Xiao Daojn Associate Prof．；College of Computer Sci．Tech．，Huazhong Univ．of Sci．Tech．， Wuhan 430074，China． 随着网络应用之间通信和互操作的增多，基 么的过程；c．数据完整性，信息在传送的过程中 于Web服务的应用也在快速发展．Web服务是一 保持完整和统一；d．信息源认证，对信息或数据 种完全建立在现有互联网标准之上、松散耦合的、 的发送者进行的标识；e．不可否认性，保证信息 跨语言和平台的应用程序之间通信的标准方 的发送者不能否认对信息的发送． 法…．Web服务及其安全性的研究正受到人们日 益广泛的关注． 2 Web服务的若干安全保障措施 1 Web服务存在的安全问题 2．1 用户名信 码的直接信任 该安全措施实现的基础是基于客户和服务器 在分布式网络环境中，全面的安全web服务 之间所建立的SSL／rLS(Secure Socket Layer／ 依赖于每一个参与的系统，以及它们之间的协同 Transport Layer Security)安全连接，由它来保证 工作．Web服务的基础是简单对象访问协议 消息的机密性；同时通过SSL在被传输的消息中 ， 它是在分布式环境中交换信息的简单的 附加消息鉴别码 MAC(Message Authentication XML文本协议，因而本身具有安全隐患，从而也