基于SOA的可控消息交互安全機制研究與實現(xiàn).pdf

1、目前，SOA(Service Oriented Architecture，面向服務的構架)和Web服務技術已經(jīng)被廣泛應用于企業(yè)級商業(yè)開發(fā)中。而服務間通信的安全性問題已經(jīng)成為制約SOA技術及Web服務繼續(xù)發(fā)展和推廣的一個亟待解決的關鍵問題。它提供選擇從而可以通過不同的渠道提供服務，并可以把企業(yè)現(xiàn)有的應用作為服務，增強了企業(yè)業(yè)務的敏捷性，提高系統(tǒng)的重用性，降低了企業(yè)信息系統(tǒng)的開發(fā)成本，保護了現(xiàn)有的IT基礎建設投資。具體到SOA體系結構中，實

2、際系統(tǒng)之間的交互過程包括服務請求的提出和得到滿足的過程，這樣就需要在安全和效率間做個均衡的選擇，在安全保證方面既要考慮到安全性，同時也要考慮到效率。傳統(tǒng)的面向域內計算環(huán)境的安全技術難以適應面向服務體系架構的新特點，如何保證面向服務體系架構的安全性，特別是SOA框架和研究如何保證SOAP消息在傳輸過程中的安全性成為迫切需要解決且具有挑戰(zhàn)性的研究課題。網(wǎng)絡上的攻擊者主要是利用SOAP消息所基于的XML規(guī)范的層次化結構對SOAP消息進行攻擊。

3、消息的簽名和認證等部分保持不變，但是攻擊者卻通過在SOAP消息的首部或實體刪除或者添加一些元素來試圖修改SOAP消息，這樣改變了原SOAP消息元素的層次結構。這種攻擊非常隱蔽，雖然消息的結構已經(jīng)被改變，但是由于簽名仍然有效，所以如果沒有一個完善的安全檢測機制，最終的消息接收者可能認定這個錯誤的SOAP消息為安全的而接收。目前的安全機制很少考慮有效地利用SOAP消息本身的結構信息來檢測這類篡改攻擊，這嚴重影響了檢測的準確度和效率。實際上，

4、使用SOAP消息的結構信息可以便捷地檢測出針對SOAP消息的篡改攻擊。
　　 本文提出了一個利用SOAP Further結構化信息來識別XML篡改攻擊的機制。采用SOAP Further的結構信息我們可以很容易地檢測出XML篡改攻擊。我們先計算出該節(jié)點消息的SOAP Further信息，然后再傳送SOAP消息，并將該信息添加到在SOAP消息的首部或實體中一個作為SOAP信封元素形式存在的首部下面，然后在首部對它進行簽名。SOAP