SOA平台下Web服务的安全认证协议概述.docVIP

SOA平台下Web服务的安全认证协议概述 　　1　引言 　　近年来随着面向服务的体系结构SOA(Service　Oriented　Architecture)的兴起，作为实现SOA的Web服务技术也得到越来越多的青睐。SOA是通过不同功能模块(服务)之间的接口和协议将这些功能模块(服务)联系起来的一个体系结构。这些功能模块独立于不同的硬件平台和操作系统中，通过SOA使得这些服务可以以一种通用和统一的方式实现联系和交互。Web服务在企业应用领域得到迅速的发展，通过基于XML 的服务描述语言WSDL 描述的Web服务变得更加动态和灵活。然而Web服务的动态，松耦合的特性则是影响Web服务安全的绊脚石。Web服务的动态性使得服务的发布者不了解这个服务将会在何种系统环境中被使用，同时服务的消息安全也无法得到保障。而且企业之间的应用让Web服务不仅仅局限在小型的局域网内，复杂的互联网对Web服务的安全有着更高的要求。由于如今的Web服务是端到端的传输，传统的基于SSL的点对点传输协议Https早已经不能保证Web服务在大的网络环境下的安全，同时仅仅在传输层保障安全的Https也无法保证消息在接收端不被攻击和窃取，因此新的传输协议迫在眉睫。Microsoft、IBM 等公司联合参与成立的标准化组织OASIS，致力于研究Web服务的安全传输和身份认证，于2004年制定了WS-Security规范来保障Web服务在新的网络背景下的安全，同时制定了XML　Encryption、XML　Digital　Signature、SAML以及XACML标准确保基于SOAP的Web服务的消息可以安全地传输。本文综述Web服务中的相应规范以及近年来基于这些规范和标准研究出的技术，综合比较并给出了相应的分析。 　　2　Web服务传输规范综述 　　学术界从各个侧面对Web服务安全中的核心问题进行了深入的探讨，从理论和实际应用中提出了一系列新颖的方法和改进策略。 　　2.1　基于WS-Security规范的认证为了规范地解决Web服务的安全问题，OASIS在2004年提出了WS-Security规范的1.0版本，并与2006年提出了WS-Security的改进版。详细分析了WS-Security规范，通过对利用WS-Security规范的SOAP消息的具体分析，得出WS-Security 规范的具体安全认证机理：在SOAP消息中，使用XML　Signature技术保障消息的完整性，通过XML　Encryption保障消息的机密性以及利用安全令牌(X.509证书或Kerberos票据)解决SOAP消息的身份认证基于SAML规范的认证。通过该文献的分析可以得出WS-Security规范下SOAP消息的框架，如图1所示。图1　WS-Security规范下SOAP消息框架图WS-Security解决了Web服务在安全方面的三大问题：消息完整性，消息机密性以及身份认证，从而实现SIAO 消息的安全传输，利用WS-Security 规范，可以提供更多的安全模型。作者使用WS-Security规范开发了一个Web服务的安全系统，并且研究发现出WSSecurity规范可能需要注意的问题，指出系统可能会受到消息的重传攻击：一个获取正确SOAP消息的攻击者不断向服务器发送这个SOAP消息，导致服务不断被调用。虽然可以用时间戳技术解决提出了一个更安全的解决方案：一个简化的挑战响应模型简单挑战-响应模型中提出了一种保障Web服务环境安全的框架，利用WS-Security规范设计基于角色的权限控制模型，通过网络化学习的应用软件来分析系统所要求的Web 服务安全环境，最后利用RBAC(Role　Based　Access　Control)模型搭建这个安全系统的框架[7]。文献[8]针对REST(Representational　State　Transfer)风格的Web服务，首先分析了传统Https认证方式的不足，而后提出一种可扩展的基于WS-Security中UsernameToken方式的安全验证方法。结合WS-Security规范，综合运用SOAP，DES和RSA 技术，给出了一种基于加密技术的Web服务安全模型，实现跨平台的解决方案。随着近年来移动设备的不断兴起，Web服务在移动端的安全也受到了重视。利用WS-Security规范中XML加密和签名技术并结合无线应用协议WAP中的无限二进制XML规范WBXML和无限会话协议WSP为移动Web服务的消息提供安全解决方案。由于移动Web服务处在发展的阶段，技术成熟度有待提高，因此未来移动Web服务的安全问题也一定会有更深一步的讨论和研究。综合近年来基于WS-Security规范的Web服务安全问题，业界提出了很多安全模型，