资源描述:
《web服务安全性分析及研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Web服务安全性分析及研究学术研究Academ1c_纛雌0薯Web服务安全性分析及研究谢佳龙邱卫东(上海交通大学信息安全学院,上海200240)【摘要l目前Web服务体系架构存在标准限制且需要支持多种类型的客户端的问题,因而使得web服务的安全极具挑战.文章通Web服务的基本组件和协议的分析,说明了如何利用现有的技术来应对web服务安全所面Il缶的风险,并对一些基本的保护机制作了说明.在此基础上.提出了一种基于标准的,新的安全体系架构,满足企业的Web服务安全需要.【关键词lWeb服务XMLSOAP安全模型安全规范AnalysisandRese
2、archofWebServicesSecurityXieJialongQiuWeidong(SchooloflnformationSecurityEngineering,ShanghaiJi∞tongUniversity,Shanghai200240)[Abstract]ThecurrentWebservicesarchitecturehavestandardlimitsandmustsupplytothemulti-typeclientends.HowtoprotecttheWebsecurityservicesbecomeverydiffi
3、cult.Withthereferencetocore=componentsandprotocolsoftheWebservices.thisthesisexplainshowtousetheexistingsecuritytechnologytosolvethehazardoftheWebservicessecurityanditindicatestheWS-securitymechanismsthathowtoactintheWebservicesenvironment.Basedonthis,itanalyseshowtomeetente
4、rprise'SrequireunderthedirectionofthecurrentsecuI谢framework.[Keywords]WebservicesXMLSOAPsecuritymodelsecuritycriterion.1Web服.务的安全性问题我们知道,Web服务标准好的一面是它可以帮助第三方发现并执行一定的功能.但这一点完全可能会被黑客所利用.首先,UDDI将协助攻击者找到任意的Web服务,WSDL将提供执行服务所必需的细节,在SOAP的帮助下,Web服务可以在服务器上执行,Dos攻击也就开始了,通过大量的请求可以使服务器
5、疲于应付.并最终瘫痪….同时,Web服务安全机制严重依赖于数字证书的分发和支持使用它们的优先信任.企业Web服务部署间担保级信任的缺乏是Web服务在企业之外部署的重大障碍,这一问题的存在也一直阻碍着PKI被广泛地接受.此外,web服务是运行于现行的网络协议之上,因而它的安全机制也必须考虑到与其使用协议安全性的统一.艘麓日一l2oo5一口一童矗冀l}_≯每lll作赡耋I警泰磺士t学究方向i—II镶毫安辜蹲毫安耷擎哆博士..一.一》≯2基于WebServices协议栈的安全性分析2.1WebServices协议栈0l根据IBM发布的红皮书((Pat
6、terns:Service-Ori-entedArchitectureandWebServices)),可以将WebServices协议栈表示为如图l所示.IB∞i.pe口WSFLllsceDi.co岬UDDIIIseceD∞WSDLIlsencec咖unic耐.PI.IXML-RPC,SOAP,XMLlTro^图lWebServices协议栈(1)服务传输层(网络层WebServices协议栈的基础是网络层,该层负责在应用程序间传输消息.HTTP凭借其普遍性,成为WebServices当然的标准网络协议.(2)服务通信协议展服务通信协议是一种
7、经过协商的机制,通过这种机制,服务提供者和服务使用者可以就将要请求的内容和将要返回的内容进行沟通.服务通信协议信息安全与通信保密?2..6.}75学术研究ReSearch层是基于XML消息传递的,它表示使用XML作为服务通信协议的基础.(5)服务描述和服务发现,发布层:服务在使用之前应首先被正确地描述出来,WSDL语言完成了这个功能.一个完整的服务描述包括服务接口的描述,服务实现的定义以及端点描述.这些描述信息都需要通过UDDI规范来发布与查找.(4)业务流程层:业务流程是一个服务的集合.可以按照特定的顺序并使用一组特定的规则进行调用,以满足业
8、务要求.业务流程层的工作语言是WebServices流程语言(WebServiceFlowLanguage,WSFL),使用它可以与现有的服务合并,转