Web服务安全性体系结构研究.pdfVIP

Web 服务安全体系结构研究 摘要：随着Web 服务的普及，构建解决其各种安全问题的安全体系结构研究变得 非常有意义。在分析了Web 服务的基本组件、协议以及Web 服务所需要的安全保 证之后，提出了一种分层的安全体系结构。该体系结构充分利用了现有的安全技 术和设施，综合了传输层次和SOAP 层次上的安全措施来保证Web 服务的安全。 另外还对各层次上应采取的措施和应达到的安全性要求做了详细的分析。 关键词：Web 服务; HTTP 基本身份验证; SSL; SOAP 数字签名; SOAP 加密 Abstract：With the popularization of web services, it becomes very meaningful to research into the building of the security architecturethat can solve various security problems of the web service. After the basic components and protocols of web services are analyzed, akind of layered security system architecture is presented. This system architecture makes full use of existing security technologies andfacilities, and integrates security measures both on transport layer and SOAP layer to ensure the security of web services. The measuresthat should be taken on and the security that should be achieved are also analyzed in detail. Key words：web services; HTTP BASIC-AUTH; SSL; SOAP digital signature; SOAP encryption 1 引言 随着一些关键的Web 服务标准纷纷制定，越来越多的企业采用Web 服务技术 进行应用开发。和Internet 上其它的应用一样，Web 服务也面临着安全性风险， 因为信息有可能被盗、丢失和被篡改。安全的Web 服务是应用成功的必要保证。 因此，针对Web服务的安全体系结构研究具有非常现实的意义。安全的Web 服务 需要保证以下5 项安全性要求：①认证：提供某个实体(人或者系统)的身份的保 证；②授权：保护资源以免对其进行非法的使用和操纵；③机密性：保护信息不 被泄漏或暴露给未授权的实体；④完整性：保护数据以防止未授权的改变、删除 或替代；⑤不可否认性：防止参与某次通信交换的一方事后否认本次交换曾经发 生过。针对以上5 项要求，本文提出了一种Web 服务安全体系结构。 2 Web 服务介绍 2.1 Web 服务模型 Web 服务是一种新的分布式计算模型。通过开放的标准和基于XML的信息交 换，Web服务成为应用集成的平台。Web服务模型基于3 种角色(服务提供者、服 务注册中心和服务请求者)之间的交互。服务提供者提供Web 服务、定义服务描 述并将服务发布到服务注册中心，服务请求者使用查找操作从服务中心查找服务 描述，然后使用服务描述与服务提供者进行绑定并调用Web 服务。图1 显示了Web 服务的模型。 2.2 Web 服务的协议栈 为了实现上述Web 服务模型中的发布、查找和绑定等操作，需要定义一系列 分层的协议规范。Web 服务的协议栈结构如图2 所示：①服务发现：用来发现Web 服务。由UDDI 来处理的；②服务描述：对Web 服务进行自我描述。使用WSDL来 进行服务描述；③服务调用：这一层的实质是基于XML 的消息传递。当前基于XML 消息传递的行业标准是SOAP。SOAP是一种简单的轻量级的基于XML的机制，用来 在应用程序之间进行结构化数据交换。SOAP 可以和各种网络协议相结合使用； ④传输层：用来传送客户端和服务器之间的消息。这一层使用的协议通常是HTTP 协议。理论上，我们