面向服务构架下Web服务安全问题研究.docVIP

面向服务构架下Web服务安全问题研究 　　摘要：近年来随着SOA 技术的发展与普及应用，基于各个平台的Web 服务的安全问题日益突出。该文先介绍Microsoft .net、Apache Axis两个不同平台下的安全解决方案，同时针对异构平台间安全性问题，提出了一个基于.NET，Axis2平台的异构平台间Web服务安全模型。并指出下一步的研究方向。 　　关键词： SOA；Web服务；SOAP；安全问题 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）14-3242-04 　　Abstract： With the development and universal application of SOA technology， security issues of Web services based on heterogeneous platform have become increasingly prominent. This article first introduces Microsoft Net， Apache Axis platform security two different solutions. At the same time for the security issues between heterogeneous platforms. We proposed a Web services security mode based on the .NET platform and the Axis2 platform. We also pointed out the direction of the future research. 　　Key words： Heterogeneous； Web Service； SOAP； Security issues 　　Web服务（Web Service）是基于XML和HTTPS的一种服务，其通信协议主要基于SOAP，服务的描述通过WSDL，通过UDDI来发现和获得服务的元数据。Web 服务提供了一个基于一系列开放标准的解决业务级和应用级互操作性的体系结构，通过组合一系列平台中立的技术来实现Internet和Intranet上业务和应用的快速交付与使用，为充分利用各种形式的网络资源提供了一种新的途径 。Web Services通过Web服务描述语言WSDL来描述在线业务；通过简单对象接入协议SOAP完成跨平台的交互通信；通过统一描述、发现和集成UDDI实现业务注册和广泛环境内的业务发现和集成[1]。 　　面向服务的体系结构（Service-Oriented Architecture，SOA）是一个组件模型，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以一种统一和通用的方式进行交互。 　　虽然面向服务的体系结构不是一个新鲜事物，但它却是更传统的面向对象的模型的替代模型，面向对象的模型是紧耦合的，已经存在二十多年了。虽然基于 SOA 的系统并不排除使用面向对象的设计来构建单个服务，但是其整体设计却是面向服务的。由于它考虑到了系统内的对象，所以虽然 SOA 是基于对象的，但是作为一个整体，它却不是面向对象的。不同之处在于接口本身。SOA 系统原型的一个典型例子是通用对象请求代理体系结构（Common Object Request Broker Architecture，CORBA），它已经出现很长时间了，其定义的概念与 SOA 相似。然而，现在的 SOA 已经有所不同了，因为它依赖于一些更新的进展，这些进展是以可扩展标记语言（extensible Markup Language，XML）为基础的。通过使用基于 XML 的语言（称为 Web 服务描述语言（Web Services Definition Language，WSDL））来描述接口，服务已经转到更动态且更灵活的接口系统中，非以前 CORBA 中的接口描述语言（Interface Definition Language，IDL）可比了[2]。 　　目前Web 服务已经是实现 SOA 的一种重要的方式，以至于很多人将两者的概念混淆。现在SOA要求服务间广泛的互操作性，SOA虽然能解决异构平台下Web服务的互相调用，在开发Web服务的逻辑功能时，如果把安全特性也设计进来，使其能实现SOA安全之目标，无论对理论与技术实践，都提出了挑战。 　　1 异构平台安全特性 　　SOA要求服务间广泛的互操作性。在开