YD_T 2123.3-2010移动互联网开放Web服务引擎 第3部分：核心技术要求.pdf

ICS 33.030M 21中华人民共和国通信行业标准YD/T 2123.3-2010移动互联网开放Web服务引擎第3部分：核心技术要求Mobile internet open Web services enablerPart 3: Core technical requirements2010-12-29 发布2011-01-01 实施中华人民共和国工业和信息化部发布 YD/T 2123.3-2010目次前言范围·规范性引用文件3术语、定义·缩略语·45概述·6MWS 协议结构体系.··7常用支撑技术规范7.1XML7.2XML 命名空间7.3SOAP..7.4WSDL..7.5UDDI.:7.6HTTP7.7其他传输约束情况·7.8带有附件的 SOAP..·7.9WS-I 准则的使用8Web 服务常用功能规范8.1安全性·8.2隐私管理功能9服务管理功能·:159.1服务注册特性·..159.2Web 服务注册规范··16参考文献·18 YD/T 2123.3-20105）坚持其他的努力，包括W3CWeb服务体系结构工作组、OASIS WS-安全TC、WS-I基本安全准则和其他努力。1）创建一个威胁模型。2）建立安全政策以减缓威胁3）建立安全模型，获取安全策略。：4）了解Web服务框架结构中的安全模型。8.1.3节提供规范化的安全标准，用于执行8.1.2节描述的安全特性。8.1.2安全服务鉴定号发送者的身份。OWSER中所提供的鉴定服务应该包括设备、应用软件、服务需求者、对于服务需求者的身份鉴定以及数据源鉴定。对于交换数据的双方的相互鉴定是十分必要的，由此可以避免中间人的攻击；而使用例如挑战一应答系统可以避免复制攻击。SSL/TLS也允许服务器提出对客户身份认证的鉴定。在认证管理得当的前提下，这一机制允许任何组织对与其交互的其他组织进行身份鉴定。与鉴定有关的认证书的有效期可长可短。如果是长期的，接受者则需要确认认证书以便确定认证书没有被撤回。这可以通过使用OCSP、XKMS或者CRL解决。通过提供完整性和机密性服务，SSL/TLS可以保护HTTP基础或者分类，例如保护软件用户名和密码认证等的鉴定。由OASISWeb服务安全技术委员会提出的SOAP信息安全规范，规定在SOAP信息应与安全标志绑定且用安全标志表述。这就允许用户在发送SOAP请求的时候鉴定服务器的身份；同时，服务器在做出SOAP回应的时候也会鉴定用户的身份，在请求一回应信息交换范例中，我们会给出具体的案例。通过使用采用了公共密钥技术或者均衡密钥技术的XML签名，用安全标志所表述的认证信息将会与信息绑定。[WS-SEC]支持信息携带包括X.509、Kerberos、SAML和用户名类标志等多种标志。除了上述应用软件协议外，-个组织通过鉴定这一信息可能会在Web服务环境中发布，以便使例如单一登录等特性可以发挥作用。这类鉴定声明可以采用例如SAML鉴定声明等技术传达，并且可用于建立一个网络认证。对于与鉴定有关的认证书的管理，可以依赖于可信任的第三方，例如PKI，也可以只采用一个双边安排。无论如何，认证书的发布和有效期管理并不在有关鉴定的章节范围中。注意：例如PK的设计和管理、管理策略、密码管理等，对于提高安全性必要的额外事项并不在本文所讨论的范围内，但是对于一个全面的安全性设计来说是必不可少的。这些附加信息可能以与Web服务接口相关的附加的UDDI tModel的形式发布于UDDI注册处。数据完整性信息的完整性，是指接受者具有检测信息内容自建立信息起是否被有意或无意改动过的能力。由于信息可能被有意替换，所以笼统的检查是不够的。可以使用更为有效的机制来检测任意对信息内容的改动，例如数字签名和使用键控材料的MAC等。8 YD/T 2123.3-2010不同的协议层可以提供不同的数据完整性。一例如由SSL/TLS提供的传输完整性可以为连接提供暂时的完整性。一旦目的地TCP/IP节点接受完信息，SSL/TLS便不再提供完整性。此完整性存在于所有传达的信息中且不能用于安全规范外的任意部分的信息。一SOAP应用软件信息传递完整性采用XML数字签名[XML-SIG]，使全部或部分SOAP：包头和SAOP：文件体都具有完整性。这在SOAP节点间提供了端对端的完整性，并且当使用SOAP媒介时，也可以适当地提供完整性。当SOAP信息存储起来后，其完整性仍受到保护。一最后，有效负荷应用层完整性采用[XML-SIGI确定有效负荷或者部分XML有效负荷的完整性。通过采用合适地软件规格，这些签名将会同时应用于传输中和已存储数据的完整性，法。考虑到XML具体问题的规范，[XML-SIGI定义了数字签名如何应用于XML、其他非XML内容以及XML签名的确认方法。[XML-SIG]包含了有关包裹