基于ＳＯＡＰ安全扩展的Ｗｅｂ服务研究.docVIP

基于ＳＯＡＰ安全扩展的Ｗｅｂ服务研究 　　摘要：SOAP(Simple Object Access Protocol，简单对象访问协议)是一种基于XML的通信协议。本文在分析基于SOAP的Web服务结构以及SOAP消息构成后，提出了一种加强Web服务安全的SOAP数字签名技术，确保了Web服务完整性和安全性. 　　关键词：Web服务；简单对象访问协议；数字签名；可扩展标记语言 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)06-1pppp-0c 　　Study on SOAP Security Expansion-Based of Web Services 　　FAN You-lei1,ZHANG Ya-zhen2 　　(1.A0513 Class,Faculty of Information ScienceTechnology,Jiujiang University,Jiujiang 332005,China;(2.Faculty of Information ScienceTechnology,Jiujiang University,Jiujiang 332005,China) 　　Abstract: SOAP is a XML-based communication protocol.In this article,we discuss Web Services architecture of SOAP-based and SOAP message construct,a way to solve safety of Web Service is provided through SOAP based Digital Signature that ensures the integrity and security of Web Services. 　　Key words: Web Services;SOAP;Digital Signature;XML 　　 　　1 引言 　　 　　Web服务是一种通过统一资源指示符(URI)标识的软件应用，其接口及绑定形式可以通过XML标准定义、描述和检索，Web服务能够通过XML消息及Internet协议完成与其它软件应用的直接交互。Web服务可以不用改变现有的各种应用，也不用关心它们技术的不同，利用Web服务的消息驱动机制，就可以让它们协同工作和交互。Web服务体系结构中最基础的支柱是XML消息传递。目前XML消息传递的行业标准协议是SOAP，通常服务的调用者通过在传输层协议之上绑定SOAP消息来请求服务。 随着Web服务技术的飞速发展，其在电子商务、企业应用集成(EAI),B2B应用及电子政务等多个领域正发挥着越来越重要的作用。同时在这些领域也面临着各种各样的安全威胁，如信息窃取、恶意欺骗、伪装、非法修改以及各种扰乱破坏等。为保证Web服务能够在Internet上得到广泛应用，必须保证Web服务的安全，而Web服务通信是利用SOAP消息进行的，因此Web服务安全的核心就是SOAP消息的安全。 　　 　　2 Web服务的技术框架 　　 　　Web服务不是一个孤立的概念或者技术，它是由一系列相关的协议来组成的，这些协议之间相互依赖、相互影响。它是计算机应用中的一个重要而崭新的体系，并在此基础上形成了一个协议互操作栈。它从开放性着眼，克服了以前电子商务的封闭性，试图解决Web服务界面层的一致性和和集成平台的开放性。 　　协议互操作栈[1]是新一代的协议互操作技术，它是由一系列的协议所组成，从而形成了整个Web服务的体系。这些协议包括SOAP、WSDL、UDDI等多种协议。Web服务的体系结构是一个层次结构，由网络层、接口层、描述层、平台服务层以及Web服务工作流等组成，而每层都有相应的标准协议，从而形成了一个Web服务的标准协议互操作栈。图1给出了Web服务的技术框架： 　　 　　图1 Web服务的协议栈 　　位于协议栈最底层的为各种现有的网络协议，如 HTTP 协议，FTP 协议等，它们是与 Web 服务通信的基础。SOAP 为在不同系统之间实施平台无关的交互定义了一套基本的元规则，SOAP 是 Web 服务体系架构中服务交互的基础。WSDL 则是描述 Web 服务界面的基本工具。依靠 WSDL，Web 服务的交互界面就能被系统自动处理。UDDI 则是在动态服务集成解决方案中的首次尝试。这组技术使得底层平台对应用交互透明，应用的互操作能力得到了前所未有的提升。位于最高层的 WSFL 是Web 服务工作流协议，它是 Web 服务组合运行、互操作方面的规范。安全机制对于松散耦合的对象环境非常重要,因此需要我们对诸如