資源描述:
《web 服務(wù)安全性分析與研究new》由會員上傳分享�����,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�����、學(xué)術(shù).技術(shù)Web服務(wù)安全性分析與研究劉秋香(山東理工大學(xué)工程技術(shù)學(xué)院���,山東淄博255012)摘要:該文分析了目前Web服務(wù)所存在的安全問題,重點探討了傳輸層和SOAP層的Web服務(wù)安全問題及安全技術(shù)�,提出了SOAP加密、SOAP簽名以及安全斷言的安全技術(shù)����,在一定程度上消除了Web服務(wù)所面臨的安全威脅。關(guān)鍵詞:Web服務(wù)���;安全�;傳輸層���;SOAP層AnalysisandResearchOfWebServicesSecurityLIUQiu-xiang(Co/e#eofEnG}zee?/}zdandTechnology,S
2���、handondUnlYeAslZyofTechnology,Z/no255000,Ch/}za)Abstract:ThearticleanalyzesthesecurityproblemexistinginWebServices,anddiscussessecurityproblemsandsecuritytechnologyofWebServicesontransmittinglayerandSOAPlayerespecialy.thenputs����、forwardthreesecuritytechnology——SO
3�����、APEncryption��、SOAPSignatureandSAML����,theneliminatessecuritythreatfacedwithWebServicestoacertaindegree.Keywords:WebServices�����;security�����;transmittinglayer����;SOAPlayer面’:非授權(quán)訪問、信息遺漏丟失����、并構(gòu)建在網(wǎng)絡(luò)上的,許多網(wǎng)絡(luò)攻擊都1引言破壞數(shù)據(jù)完整性��、拒絕服務(wù)攻擊�����。與Web服務(wù)有關(guān)����。Web服務(wù)進(jìn)行消Web服務(wù)是基于組件的分布式2.2SOAP安全問題息交換,總是存在著消息被竊
4���、聽�����、丟計算技術(shù)不斷發(fā)展的產(chǎn)物����,是一種劃SOAP的主要設(shè)計目標(biāo)是簡單性失或修改的風(fēng)險�����。由于被交換信息的時代的軟件技術(shù)��,正逐漸被業(yè)界廣泛和可擴(kuò)展性。SOAP標(biāo)準(zhǔn)未指定任何關(guān)鍵性�,必須確保底層消息傳遞體系采納。該技術(shù)的主要目標(biāo)是在現(xiàn)有安全性機(jī)制�,它將安全處理委派給傳結(jié)構(gòu)的安全可靠??偟恼f來,消息的的各種異構(gòu)平臺的基礎(chǔ)之上構(gòu)筑一個輸層�。但僅依靠傳輸層的安全措施已傳輸存在5個基本安全要求“:機(jī)通用的平臺無關(guān)、語言無關(guān)的技術(shù)層�����,經(jīng)不能滿足安全需求����,原因如下:密性、完整性�����、身份驗證�����,授權(quán)、不各種應(yīng)用依靠這個技術(shù)層來實施彼此(1)/
5���、TI(安全套接字層/傳可否認(rèn)性。這幾個安全服務(wù)是相互聯(lián)的連接和集成�����。輸層安全性)不能保證端到端傳輸?shù)南档?,缺少其一則存在安全漏洞。Web服務(wù)具有完好的封裝性���、安全性�,只能保證點到點傳輸?shù)陌踩浴?.2Web服務(wù)安全性規(guī)范松散耦合����,使用標(biāo)準(zhǔn)協(xié)議規(guī)范,高(2)即使在傳輸層中保證了端對Web服務(wù)的安全性規(guī)范是Web度可集成能力���、可跨越防火墻等特端的安全要求����,但如果傳輸?shù)南⑹欠?wù)安全層的實施標(biāo)準(zhǔn)��,是建立統(tǒng)一征,因而具有廣闊的應(yīng)用前景���。它為原文����,也極易受到黑客攻擊����。的、可互操作的Web服務(wù)安全環(huán)境B2B通訊和系統(tǒng)整合提供了巨
6����、大的(3)SOAP消息在傳輸時可以的基礎(chǔ)和保證。針對Web服務(wù)的安可能性��,但因缺乏一個有效的安全解與不同的應(yīng)用層協(xié)議進(jìn)行捆綁(如全問題��,IBM�、Microsoft等大公司和決方案,使得Web服務(wù)不能方便地HTTP����、SMTP)。如果安全信息需0ASIS�、W3C等標(biāo)準(zhǔn)化組織都在進(jìn)行應(yīng)用于企業(yè)業(yè)務(wù)�����。要經(jīng)過兩個傳輸層協(xié)議�����,兩者之間的制定Web服務(wù)安全性規(guī)范的工作。轉(zhuǎn)換是繁瑣的��、易出錯的?���,F(xiàn)階段已經(jīng)取得了一些成果,提2Web服務(wù)面臨的安全挑戰(zhàn)(4)即使傳輸層可以保證安全傳輸�,出了一系列的規(guī)范和草案。主要有:Web服務(wù)是采用S0
7��、AP作為其但是不能保證信息駐留時也是安全的�。XMLDigitalSignature(XML數(shù)傳輸協(xié)議的,因此下面分別考慮傳輸字簽名)�、XMLEncryption(XML層和S0AP層的安全問題。3Web服務(wù)的安全性加密)�,SAML(安全聲明標(biāo)記語言)、2.1傳輸安全問題3.1Web服務(wù)安全性要求XACML(可擴(kuò)展訪問控制標(biāo)記語目前���,網(wǎng)絡(luò)在應(yīng)用層傳輸過程中Web服務(wù)技術(shù)是基于XML技術(shù)言)��,XrML(可擴(kuò)展權(quán)利標(biāo)記語言)���、存在的威脅主要表現(xiàn)在以下幾個方§童囂i慧�。墓0_一0.—���。秘�����。0:毫
8����、?學(xué)術(shù)����。技術(shù)XKMS(XML
9、密鑰管理規(guī)范)��、WSSecurity)來保證��。SSL/TLS提供實體設(shè)置密碼和用戶名是不合適的����?��!猄ecurity(Web服務(wù)安全)、WS了包括認(rèn)證�、數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密在這種情況下,為了解決認(rèn)證的問—SecureConversation(Web服務(wù)性的安全性功能��。題����,提出了一種叫做安全斷言的思想�。安全會話)、WS—Trust(Web服3�����、3.
