Web服务安全架构
资料包括: 论文(10页4763字)
说明:
摘要:介绍了IBM和Microsoft 联合开发的Web 服务安全规范(WS-Security),讨论了Web Services 所面临的安全挑战,最终针对潜在的安全威胁给出了一个Web Services 防火墙模型及其防火墙架构。该架构采用独特的Adapter 设计,可以很方便的与现有的信息安全设施整合。
关键词:Web服务 防火墙 XML
1. 引言
Web Services 技术以其低耦合度、跨平台和语言无关的应用优点在彻底的改变着传统电子商务形态,Web Services 使用基于XML 的消息处理作为基本的数据通讯方式(SOAP 协议),消除使用不同组件模型、操作系统和编程语言的系统之间的差异,使异类系统能够作为单个计算网络协同运行,从而使开发人员可以用类似于组件的模式来搭建自己的分布式系统。然而所有这些要想在电子商务中取得成功,必须建立一个全面标准的安全方法来确保新型电子商务的完整性、机密性和安全性。
SOAP 消息一般是基于标准的Web 协议通过HTTP 发送的。在过去的若干年中,安全套接字层(secure sockets layer,SSL) 已经被广泛的用在基于HTTP 的安全技术。通过使用X.509 数字证书进行加密和身份验证,SSL 可以为HTTP 流量提供机密性。但是这种传输层加密的方式却影响了性能,尤其是当只有SOAP 报文的一部分需要加密时。此外,传输层加密不支持报文通过Web 服务的安全路由。尽管SOAP 经常绑定到HTTP,但是SOAP 一开始设计就用来独立于通信层。SOAP消息也可以基于SMTP(简单邮件传输协议)或FTP 进行发送。事实上,因为HTTP 是无状态的,并非完全可靠,越来越多的应用倾向于将SOAP 作为一种新型的EDI 媒介。在一个事务环境中,对一条简单的SOAP 消息可以使用多种不同的传输方式——例如对传输的第一段使用HTTP,然后对下一段使用SMTP、FTP 等。如图1 所示,SSL 为单个点到点HTTP会话提供机密性和身份验证,但它不提供用于保证会话发生的审核追踪。
1. 引言3
2. WS-SECURITY 安全规范4
3.针对Web Services 的攻击4
3.1 直接攻击Web Services4
3.2 Web Services 平台自身的脆弱性5
3.3 XML 安全机制本身的漏洞6
4. Web Services 的防火墙安全模型的设计6
4.1 身份认证/权限控制8
4.2 基于内容和格式的检查9
4.3 消息路由10
4.4 转换10
5. 结束语10
作者点评:
本文讨论了Web Services 安全技术以及一些已成为W3C成员的安全规范,分析了Web Services 的安全漏洞以及可能被实施的攻击,提出一个Web Services 的安全模型和与之对应的防火墙架构,该架构可搭配传统SSL 加密传输,支持现行的XML Security 相关标准,如:XML Digital Signature、WSSecurity、SAML;该架构还采用独特的Adapter 设计,可以很方便的与现有的信息安全设施整合。将安全控管与系统开发分离,可以让服务提供者不再担心网络攻击,而专心实现其所提供的服务,这样便减低了后台系统开发的难度。另外,这种防火墙设计对于以后安全规格的修订也很容易,只需修改安全防御系统的功能,而不用修改那些已经公布的Web Services,从而大大的降低系统开发和维护的成本。由此看来,Web Services防火墙技术一定会成为Web Services 安全技术研究的热点而受到人们的关注。