浅谈Web服务的安全性问题.docVIP

浅谈Web服务的安全性问题 　　摘要：该文主要对讨论了Web安全性问题，在传统的Web安全性问题的基础上提出了一种可靠的Web服务的安全模型。 　　关键词：Web服务；SSL；安全模型 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)13-3050-02 　　Discusses the Problem of Safety in Web Services 　　HE Ting1， HUANG Dong2 　　(1.Guizhou University Vocational and Technical College, Guiyang 550003, China; 2.China Nuclear Power Engineering Co., Ltd, Zhengzhou 450052, China) 　　Abstract: This paper mainly discussed the safety problems of web, in traditional web security problems are put forward on the basis of a reliable web service security model. 　　Key words: web service; SSL; security model 　　Web服务是Internet中最重要的服务之一，根据web访问的结构，可以将web服务的安全威胁分为3类：web服务器的安全威胁、web浏览器的安全威胁以及服务器和浏览器之间通信的安全威胁。其中，web服务器和浏览器的安全问题是计算机系统自身的安全性问题，传统的web安全性问题指的是服务器和浏览器之间通信的安全，本文主要讨论了传统的web安全性问题，并在此基础上提出了构建一种可靠的Web服务的安全模型。 　　1 传统的web服务安全解决方案 　　提供web服务安全的方法一种方法是使用IPSec，网络层的IPSec对于Web 服务安全来说，是一个很重要的标准。同SSL/TLS一样，它也提供主机审计认证，数据完整性和数据机密性的功能，使用IPSec的好处是它对终端用户和应用是透明的，并能提供一种一般性的解决方案；另一种更一般的解决方案仅在TCP上实现安全，这种解决方案主要是安全套接字层（SSL）和传输层安全(TLS)协议，它们被用来提供传输层的Web服务安全，SSL/TLS在点对点（point-to-point）的会话中,可以完成包括审计，数据完整性，机密性这样的要求。 　　SSL可以嵌入到特殊的软件包中，例如Netscape和Microsoft Explorer浏览器都配置了SSL，大部分服务器也都实现了该协议。 　　1.1 SSL体系结构 　　SSL使用TCP提供一种可靠的端对端的安全服务。SSL不是单个协议，它由两层协议组成。SSL中定义的三个较高层次协议分别是：握手协议、密码变更规格协议和报警协议。SSL协议中两个重要的问题是SSL会话和SSL连接，会话是客户与服务器之间的一种关联，连接是一种能够提供合适服务类型的传输。 　　1.2 SSL记录协议的运行流程 　　SSL记录协议对各种更高层协议提供基本的安全服务。尤其是，超文本传输协议是为Web客户端/服务器的交互提供传输服务的协议，它可以在SSL的顶层运行。记录协议要传输应用消息是，先将数据分段成一些可操作的块，然后选择压缩或不压缩数据，再生成MAC、加密、添加头并将最后的结果作为一个TCP分组送出。对收到的数据，首先解密，然后做完完整性验证、解压缩、重组，最后把数据递送到更高层用户。 　　1.3 握手协议 　　SSL最重要的部分是握手协议。这一协议允许客户端和服务器相互认证，并协商加密和MAC算法以及用于保护SSL记录中所发送数据加密密钥。握手协议在任何应用数据被传输之前使用，由客户端和服务器之间的一系列消息交换组成。 　　1.4 密码计算 　　我们主要关注两个问题： 　　1) 通过密钥交换创建一个共享主密钥。共享主密钥是通过安全密钥交换方式为本次会话创建的一个一次性48字节的值。创建过程分两步完成。第一步：交换预备主密钥。第二步：双方计算主密钥。客户端和服务器都按照下面方法计算主密钥： 　　Master_secrect=Md5(pre_ Master_secrect?O?OSHA(A ?O?O 　　pre_ Master_secrect?O?OClientHello.random?O?O 　　ServerHello.random)) ?O?O 　　Md5(pre_ Master_secrect?O?OSHA(BB ?O?O 　　pre_ Master_se