随着Web服务的普及,构建解决其各种安全问题的安全体系结构研究变得非常有意义。在分析了Web服务的基本组件、协议以及Web服务所需要的安全保证之后,提出了一种分层的Web安全服务体系结构。该体系结构充分利用了现有的安全技术和设施,综合了传输层次和SOAP层次上的安全措施来保证Web服务的安全。另外还对各层次上应采取的措施和应达到的安全性要求做了详细的分析。
越来越多的企业采用Web服务技术进行应用开发。和Internet上其它的应用一样,Web服务也面临着安全性风险,因为信息有可能被盗、丢失和被篡改。安全的Web服务是应用成功的必要保证。因此,针对 Web安全服务体系结构研究具有非常现实的意义。 Web安全服务体系需要保证以下5项安全性要求:①认证:提供某个实体(人或者系统)的身份的保证;②授权:保护资源以免对其进行非法的使用和操纵;③机密性:保护信息不被泄漏或暴露给未授权的实体;④完整性:保护数据以防止未授权的改变、删除或替代;⑤不可否认性:防止参与某次通信交换的一方事后否认本次交换曾经发生过。
Web服务的协议栈为了实现上述Web服务模型中的发布、查找和绑定等操作,需要定义一系列分层的协议规范。Web服务的协议栈结构如图2所示:①服务发现:用来发现Web服务。由UDDI来处理的;②服务描述:对Web服务进行自我描述。使用WSDL来进行服务描述;③服务调用:这一层的实质是基于XML的消息传递。当前基于XML消息传递的行业标准是SOAP。SOAP是一种简单的轻量级的基于XML的机制,用来在应用程序之间进行结构化数据交换。SOAP可以和各种网络协议相结合使用;④传输层:用来传送客户端和服务器之间的消息。这一层使用的协议通常是HTTP协议。理论上,我们可以使用任何网络协议,如FTP、SMTP、IIOP等,但目前使
用最广泛的是HTTP协议。3Web服务安全体系结构一方面,由于Web服务采用SOAP进行数据交换,从理论上讲可以提供一组完整的SOAP安全特征,而不需要传输层的安全措施。但是这个方法将在某种程度上废除现有的安全体系结构,因此是不能被接受的。另一方面,由于SOAP通信可以包含中间节点,中间节点可能是由非服务请求者和非服务提供者所拥有,所有这些第3方的中间节点都能阅读消息,这就意味着只依靠传输层的安全措施是不够的。基于以上两点,我们必须结合传输层次和SOAP层次上的安全措施才能实现安全的Web服务。
