web 服務(wù)安全性分析與研究new

web 服務(wù)安全性分析與研究new

ID:34536182

大小:311.74 KB

頁數(shù):3頁

時間:2019-03-07

web 服務(wù)安全性分析與研究new_第1頁
web 服務(wù)安全性分析與研究new_第2頁
web 服務(wù)安全性分析與研究new_第3頁
資源描述:

《web 服務(wù)安全性分析與研究new》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、學(xué)術(shù).技術(shù)Web服務(wù)安全性分析與研究劉秋香(山東理工大學(xué)工程技術(shù)學(xué)院,山東淄博255012)摘要:該文分析了目前Web服務(wù)所存在的安全問題,重點探討了傳輸層和SOAP層的Web服務(wù)安全問題及安全技術(shù),提出了SOAP加密、SOAP簽名以及安全斷言的安全技術(shù),在一定程度上消除了Web服務(wù)所面臨的安全威脅。關(guān)鍵詞:Web服務(wù);安全;傳輸層;SOAP層AnalysisandResearchOfWebServicesSecurityLIUQiu-xiang(Co/e#eofEnG}zee?/}zdandTechnology,S

2、handondUnlYeAslZyofTechnology,Z/no255000,Ch/}za)Abstract:ThearticleanalyzesthesecurityproblemexistinginWebServices,anddiscussessecurityproblemsandsecuritytechnologyofWebServicesontransmittinglayerandSOAPlayerespecialy.thenputs、forwardthreesecuritytechnology——SO

3、APEncryption、SOAPSignatureandSAML,theneliminatessecuritythreatfacedwithWebServicestoacertaindegree.Keywords:WebServices;security;transmittinglayer;SOAPlayer面’:非授權(quán)訪問、信息遺漏丟失、并構(gòu)建在網(wǎng)絡(luò)上的,許多網(wǎng)絡(luò)攻擊都1引言破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊。與Web服務(wù)有關(guān)。Web服務(wù)進行消Web服務(wù)是基于組件的分布式2.2SOAP安全問題息交換,總是存在著消息被竊

4、聽、丟計算技術(shù)不斷發(fā)展的產(chǎn)物,是一種劃SOAP的主要設(shè)計目標(biāo)是簡單性失或修改的風(fēng)險。由于被交換信息的時代的軟件技術(shù),正逐漸被業(yè)界廣泛和可擴展性。SOAP標(biāo)準(zhǔn)未指定任何關(guān)鍵性,必須確保底層消息傳遞體系采納。該技術(shù)的主要目標(biāo)是在現(xiàn)有安全性機制,它將安全處理委派給傳結(jié)構(gòu)的安全可靠??偟恼f來,消息的的各種異構(gòu)平臺的基礎(chǔ)之上構(gòu)筑一個輸層。但僅依靠傳輸層的安全措施已傳輸存在5個基本安全要求“:機通用的平臺無關(guān)、語言無關(guān)的技術(shù)層,經(jīng)不能滿足安全需求,原因如下:密性、完整性、身份驗證,授權(quán)、不各種應(yīng)用依靠這個技術(shù)層來實施彼此(1)/

5、TI(安全套接字層/傳可否認(rèn)性。這幾個安全服務(wù)是相互聯(lián)的連接和集成。輸層安全性)不能保證端到端傳輸?shù)南档?,缺少其一則存在安全漏洞。Web服務(wù)具有完好的封裝性、安全性,只能保證點到點傳輸?shù)陌踩浴?.2Web服務(wù)安全性規(guī)范松散耦合,使用標(biāo)準(zhǔn)協(xié)議規(guī)范,高(2)即使在傳輸層中保證了端對Web服務(wù)的安全性規(guī)范是Web度可集成能力、可跨越防火墻等特端的安全要求,但如果傳輸?shù)南⑹欠?wù)安全層的實施標(biāo)準(zhǔn),是建立統(tǒng)一征,因而具有廣闊的應(yīng)用前景。它為原文,也極易受到黑客攻擊。的、可互操作的Web服務(wù)安全環(huán)境B2B通訊和系統(tǒng)整合提供了巨

6、大的(3)SOAP消息在傳輸時可以的基礎(chǔ)和保證。針對Web服務(wù)的安可能性,但因缺乏一個有效的安全解與不同的應(yīng)用層協(xié)議進行捆綁(如全問題,IBM、Microsoft等大公司和決方案,使得Web服務(wù)不能方便地HTTP、SMTP)。如果安全信息需0ASIS、W3C等標(biāo)準(zhǔn)化組織都在進行應(yīng)用于企業(yè)業(yè)務(wù)。要經(jīng)過兩個傳輸層協(xié)議,兩者之間的制定Web服務(wù)安全性規(guī)范的工作。轉(zhuǎn)換是繁瑣的、易出錯的?,F(xiàn)階段已經(jīng)取得了一些成果,提2Web服務(wù)面臨的安全挑戰(zhàn)(4)即使傳輸層可以保證安全傳輸,出了一系列的規(guī)范和草案。主要有:Web服務(wù)是采用S0

7、AP作為其但是不能保證信息駐留時也是安全的。XMLDigitalSignature(XML數(shù)傳輸協(xié)議的,因此下面分別考慮傳輸字簽名)、XMLEncryption(XML層和S0AP層的安全問題。3Web服務(wù)的安全性加密),SAML(安全聲明標(biāo)記語言)、2.1傳輸安全問題3.1Web服務(wù)安全性要求XACML(可擴展訪問控制標(biāo)記語目前,網(wǎng)絡(luò)在應(yīng)用層傳輸過程中Web服務(wù)技術(shù)是基于XML技術(shù)言),XrML(可擴展權(quán)利標(biāo)記語言)、存在的威脅主要表現(xiàn)在以下幾個方§童囂i慧。墓0_一0.—。秘。0:毫

8、?學(xué)術(shù)。技術(shù)XKMS(XML

9、密鑰管理規(guī)范)、WSSecurity)來保證。SSL/TLS提供實體設(shè)置密碼和用戶名是不合適的?!猄ecurity(Web服務(wù)安全)、WS了包括認(rèn)證、數(shù)據(jù)完整性和數(shù)據(jù)機密在這種情況下,為了解決認(rèn)證的問—SecureConversation(Web服務(wù)性的安全性功能。題,提出了一種叫做安全斷言的思想。安全會話)、WS—Trust(Web服3、3.

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。