XML Web Services的安全性研究.pdf

1、隨著互聯(lián)網(wǎng)和電子商務(wù)的迅速發(fā)展,Web已經(jīng)成為成熟的網(wǎng)絡(luò)平臺(tái).在Web平臺(tái)上提供的信息服務(wù)也多不勝數(shù).Web平臺(tái)因其開(kāi)放性和跨平臺(tái)等特性受到普遍歡迎.然而現(xiàn)時(shí)為止,在Web平臺(tái)上提供的信息服務(wù)大部份其最終消費(fèi)者都是用戶(人).用戶向Web服務(wù)器發(fā)出請(qǐng)求,然后收到Web服務(wù)器的響應(yīng),由標(biāo)準(zhǔn)瀏覽器根據(jù)返回的HTML進(jìn)行結(jié)果的描述,最終使用戶感知.在這種情況下,Web服務(wù)器返回的結(jié)果不利于機(jī)器的處理.Web Services的出現(xiàn)利用了Web

2、這個(gè)開(kāi)放平臺(tái),使服務(wù)器返回便于機(jī)器或程序處理的結(jié)果.在Web Services環(huán)境中,請(qǐng)求消息和響應(yīng)消息都是基于XML的.因XML自身的特性,便于機(jī)器處理,從而使傳統(tǒng)的Web服務(wù)器實(shí)現(xiàn)了對(duì)機(jī)器或程序提供服務(wù)的能力.同時(shí)XML的開(kāi)放性又使得在網(wǎng)絡(luò)上傳輸XML消息要承擔(dān)安全風(fēng)險(xiǎn).因此WebServices的安全性問(wèn)題成為了制約Web Services發(fā)展的一個(gè)重要問(wèn)題.既要實(shí)現(xiàn)Web Services安全的服務(wù),又必須保證Web Servi

3、ces的開(kāi)放性和跨平臺(tái)性,是解決Web Services安全問(wèn)題的一個(gè)根本目標(biāo).本論文主要根據(jù)這一目標(biāo)來(lái)考慮和實(shí)現(xiàn)Web Services環(huán)境安全性的問(wèn)題.首先概要介紹了XML的安全性規(guī)范(或草案),例如XML加密和XML簽名,認(rèn)識(shí)了它們的安全框架、語(yǔ)法和進(jìn)行操作的規(guī)則.XML安全性規(guī)范是普適的,可以應(yīng)用于XML的各種情景中.為了更好地滿足Web Services的要求,還介紹了專門(mén)為保證Web Services安全而開(kāi)發(fā)的WS-Sec

4、urity規(guī)范,此規(guī)范為Web Services中的SOAP消息添加了安全性擴(kuò)展,提供了表示安全性令牌的方法.接著對(duì)用于網(wǎng)絡(luò)應(yīng)用中傳遞安全信息(認(rèn)證與授權(quán))的安全聲明標(biāo)記語(yǔ)言SAML進(jìn)行了分析,利用其安全聲明實(shí)現(xiàn)多個(gè)Web Services的聯(lián)合認(rèn)證.在文章的最后,利用在WebServices環(huán)境下開(kāi)發(fā)的一個(gè)簡(jiǎn)單服務(wù),說(shuō)明了如何利用現(xiàn)有的各種安全技術(shù)、密碼操作、安全規(guī)范以及XML解析工具來(lái)保證Web Services通信的安全性,使We