基于用户名令牌及数字签名的Web服务安全认证方法.pdfVIP

中国科技论文在线 基于用户名令牌及数字签名的Web 服务安 全认证方法 刘铭，杨正球** 5 （北京邮电大学计算机学院，北京100876 ） 摘要：对Web 服务规范（WS-Security ）中的用户名令牌方法进行了深入研究，由于该方法 存在一定的缺陷，因此提出了一种基于用户名令牌及数字签名的WEB 服务安全认证方法。 该方法通过运用 SHA-1 和MAC 算法，实现了客户端与服务器端的多重认证。分析表明此 10 方法可以免受多种攻击的威胁，从而使Web 服务更具有安全性。 关键词：Web 服务；Web 服务安全规范；用户名令牌； 中图分类号：TP393 Based on the username token and digital signature 15 authentication method of the Web Service security Liu Ming, Yang Zhengqiu (Computer School, Beijing University of Posts and Telecommunications, Beijing 100876) Abstract: After in-depth study of Web Service specifications (WS-Security) in the username token method, there are some shortcomings of the method. Therefore one method based on username 20 and digital signature authentication of the WEB service security is presented. The method through the use of SHA-1 and MAC algorithm to achieve the client and server multiple certification. Analysis shows that this method can avoid a variety of attacks, and make Web service more secure. Key words: Web Service; Web Service security specifications; username token 25 0 引言 今天，Web服务已经被广泛应用，它是一种分布式计算技术，是XML 的一个实际应用， 是Internet 环境中的分布式组件开发技术，正是因为有了Web Service 技术，当前的Internet 才从“可浏览 [1] Web ”发展为“可编程Web ” 。Web服务是由公司发起的履行其具体业务 30 的网上应用服务，其他公司或应用软件需要通过互联网访问和使用在线服务。它具有以下特 点：互操作性，多语言支持，诚信的封装，松散耦合和利用行业标准的支持，因此它被广泛 使用，从而它的安全性越来越值得关注，也显得越发的重要。因此Web服务安全应运而生。 由 IBM，Microsoft 和VeriSign 等公司共同提出的WS-Security规范主要描述了如何向 SOAP 消息附加签名和加密报头以及如何向SOAP 消息附加安全令牌。通过将安全信息保 35 存在SOAP 消息报头中，WS-Security 为Web Service 安全提供了端到端的解决方案。但 是WS-Security只