Web Service安全机制探讨 - 编程入门网

另外，WS-Security还描述如何对二进制安全性令牌编码。此规范特别描述如何对X.509证书和Kerberos票据编码以及如何加入难于理解的加密密钥。它还包括可以用于进一步描述消息中包含的凭证特征的扩展性机制。

WS-Security很灵活，它被设计成用来构建多种安全性模型（包括PKI、Kerberos和SSL）的基础。WS-Security特别为多安全性令牌、多信任域、多签名格式和多加密技术提供支持。规范提供了三种主要的机制：安全性令牌传播、消息完整性和消息机密性。这些机制本身并不提供完整的安全性解决方案。相反，WS-Security是一种构件，它可以与其它Web服务扩展和更高级的特定于应用程序的协议联合使用，以适应多种安全性模型和加密技术。这些机制可以独立使用（例如传送安全性令牌），或以紧密集成的方式使用（例如，对消息签名和加密，并提供与用于签名和加密的密钥相关的安全性令牌层次结构）。

Web Service安全机制探讨(2)

1、WS-Security及有关的规范

下面介绍一个能够满足真实企业的Web服务安全性需要的基于标准的体系架构。IBM、Microsoft和Verisign联手制定了有关Web服务安全性的计划和指南，用来开发一组提供保护Web服务安全性的规范。这个安全性模型把不同的安全性技术，比如公用密钥基础架构、Kerberos等集中在一起，以保证能够在现有的系统环境中构建安全的Web服务。通过利用Web服务模型核心处的自然可扩展性，这些规范建立在一些基础技术的基础之上，如SOAP、WSDL、XML数字签名(XMLDigitalSignature)、XML加密(XMLEncryption)和SSL技术。这允许Web服务提供者和请求者开发满足他们应用程序的个别安全性需求的解决方案。这是一个由IBM、Microsoft和Verisign提议的WS-Security规范定义，用于保护消息完整性和机密性的核心工具，以及用于把有关安全性的声明与消息关联起来的机制。

目前，SSL、TransportLayerSecurity(TLS)和IPSec被用于为Web服务应用程序提供传输级别的安全性。它们的安全性功能包括认证、数据完整性和数据机密性，保证点对点Web服务安全性。Web服务应用程序是个多跳(Multi-Hop)拓扑，依赖于消息处理中介体转发消息。当传输层之外的中介体接收并转发数据时，数据的完整性和任何随数据流动的安全性信息都可能失去。所以，全面的Web服务安全性体系架构必须是一个提供端到端安全性的机制。

图1所示为提议的Web服务安全性规范组合。

图1WEB服务安全性规范组合

这组规范建立在SOAP标准规范上，包括一个WS-Security的消息安全性模型、一个描述Web服务端点策略的WS-Policy、一个WS-Trust信任模型和一个隐私权模型WS-Privacy。在这些规范的基础上，可以跨多个信任域创建安全的、可互操作的Web服务，还可以提供后继规范，例如安全会话WS-SecureConversation、联合信任WS-Federation和授权WS-Authorization。安全性规范、相关活动和互操作性概要文件组合在一起，将方便开发者建立可互操作的、安全的Web服务。下面简单描述被提议的各个规范：

WS-Security

描述如何向SOAP消息附加签名和加密报头，还描述如何向消息附加安全性令牌，比如二进制安全性令牌的X.509证书和Kerberos票据。提供了一个通用机制把可扩展的安全性令牌与消息关联起来。使用XML签名和安全性令牌可以确保消息的完整性，消息在传输过程中未被修改。同样地，使用XML加密和安全性令牌可以使SOAP消息的一部分保密，提供消息机密性。

WS-Policy

描述中介体和端点上的安全性策略的能力和限制，比如所需的安全性令牌、所支持的加密

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!