基于dotnet环境下Web服务安全性研究与实现-计算机应用技术专业论文.docxVIP

基于 d 基于 dotNet 环境下 Web 服务安全性研究与实现 摘要 PAGE IV PAGE IV 万方数据 摘 要 Web 服务作为新一代分布式技术，它的松散耦合性、跨平台、跨语言、良好的互 操作特性已为许多专家拥护并得到广大 IT 公司和组织的支持。Web 服务技术的应用 是全球网络化高速发展的需要，它的广泛应用将是大势所趋。作为基于网络的分布式 系统，安全性是不得不首先考虑的重要因素。 Web 服务通信基于 SOAP 协议，SOAP 通信安全涉及端到端的安全、应用的独立性、 传输的独立性、存储消息的安全性等特殊需求，目前常用的安全通信机制有 SSL、 TLS、IPSec 等，虽然在一定程度上保证了消息的机密性，但并不能完全满足上述 SOAP 通信安全的需求，而且这些方法缺乏良好的灵活性和可扩展性，因此不适用应用层 SOAP 消息的安全保护。 本文致力于解决 Web 服务通信过程中 SOAP 消息的安全问题，实现适合 Web 服务 特有的保护其消息机密性、消息完整性和不可否认性的方法。基于对 Web 服务通信机 制充分理解的基础上，对其通信过程中的安全需求进行分析，给出一套在 dotNet 平 台下实现安全 Web 服务的技术与开发过程。 1． Web 服务具有良好的兼容性和与平台无关互操作性，它允许在不同平台上、 以不同语言编写的各种 Web 服务程序以基于标准的方式相互通信。文中分析了 Web 服务技术的优势、几个关键技术及其面临的安全威胁； 2． Web 服务通信过程中遇到各种安全问题，主要问题有消息被截取，泄露消息 内容，篡改消息及否认消息发送动作。本文针对这几个方面的安全问题，提出需求， 指出使用针对 SOAP 消息的安全技术来保证 Web 服务的通信安全的必要性；要确保 Web 服务的安全，核心内容就是确保传输消息的安全，即 SOAP 的安全。保护 SOAP 本身 的安全，可以对其进行加密和数字签名处理。本文给出了 XML 加解密过程，并提供一 种针对 SOAP 消息通信中端到端的安全技术； 3． 基于对 Web 服务安全规范 WS-Security 的研究及对 Web 服务安全进行多方面 的需求分析，结合微软开发工具 VS.net2003 和 Web 服务增强插件 WSE，在此开发了 符合 WS-Security 规范的安全 Web 服务框架。分别给出了使用用户名和口令进行验证、 签名和加密及使用证书进行身份验证、签名和加密的开发方法及示例代码。通过上述 框架开发某情报系统的 Web 服务，实现了 Web 服务系统的机密性、完整性和不可否认 性需求。它们不是使用 SSL 来保障消息的安全性，而是采用一种全新的对 SOAP 消息 加密的方法来实现安全的 Web 服务。这种安全性是在应用层上实现的，在有效提高消 息安全性的前提下，更增强了系统的灵活性和可扩展性。 关键词：Web 服务 Web 服务安全 XML 安全 SOAP 安全 WS-Security 基于 do 基于 dotNet 环境下 Web 服务安全性研究与实现 Abstract Abstract Web serivces, as the new generation of distributed application technique, are welcomed by many consumers and enterprises for its interoperation, characteristic of loose coupling, cross-platform and cross-language. The application of web services technique is involved in the high-speed development of the global network and will be used widely. Although the web services have many advantages, they also have some disadvantages, such as the security problem. Web services communication based on the SOAP protocal, which has special security demands on the end to end security, independent application, independent transference and the security of storage data. However, though the frequ