（计算机应用技术专业论文）基于wssecurity的web服务安全框架的研究.pdf

基于w s s e c u r i t y 的w e b 服务安全框架的研究摘要w e b 服务是近年提出的一种新的面向w e b 的分布应用技术。它采用i n t e m e t通信协议和s o a p 传输消启、，代表了一种架构松散的分布应用结构。相比c o b r a 、d c o m 、r m l ，w e b 服务自身的特点决定了它是一种优秀的分柿式技术。然而，基于w e b 服务的应用对外需要公_ 丌接口，因而更容易受到来自内部和外部的安全威胁。为了保证w e b 服务的安全，人们正在开发许多基于x m l 的安全标准，来解决认证、访问控制、消息安全和数据安全等问题。本文首先介绍了w e b 服务面临的安全问题，研究了一些比较成熟的w e b 服务安全技术及相关开发工具。在此基础上，提出并实现了一种基于w s s e c u r i t y规范、可扩展的安全框架- - m a g i c b e m a ，保证了w e b 服务的消息级安全，提供了签名、加密、访问控制、攻击检测等安全机制。然后，本文围绕着研究与实现该安全框架来展开。第三章介绍m a g i c b e a n 的设计思想和体系结构，如何基于w s s e c u r i t y 规范实现消息级安全。第四章详细介绍了访问控制机制，研究了基于角色的访问控制模型，然后将w s s e c u r i t y 和n e t 安全模型相结合，实现了w e b 服务的访问控制模型。第五章对消息验证和重放检测机制进行了深入研究，在w s s e c u r i t y 规范的基础上提出了可行的解决方案，大大提高w e b 服务抵御外来攻击的能力。最后，通过对m a g i c b e a n 框架针对性的测试，给出w 出服务实现方案中选择w s s e c u r i t y 还是s s l 的建议。本文的研究工作对于保证w e b 服务的消息级安全、实现访问控制及攻击检测具有重要的实际价值和一定的理论意义。关键词：w e b 服务：w s s e c u ri t y ；安全；攻击检测r e s e ar c ho rw e bs e r vic e ss e o u ri t y r a m e w o r kb a s e do nw s 。s e c u rit ya b s t r a c tw e bs e r v i c e s ，w h i c hi si s s u e di nr e c e n ty e a r s ，i san e w l yw e b o r i e n t e dt e c h n o l o g yf o rd i s t r i b u t e da p p l i c a t i o n i tu s e st h ei n t e m e t sc o m m u n i c a t i o np r o t o c o l sa n ds o a pt ot r a n s p o r tm e s s a g e sa n dr e p r e s e n t sam o r el o o s e l y c o u p l e dd i s t r i b u t e da p p l i c a t i o na r c h i t e c t u r e c o m p a r e dw i t hc o b r a ，d c o m ，r m i ，t h eo w nc h a r a c t e r i s t i c so fw e bs e r v i c e sd e c i d ei ti so n ek i n do fe x c e l l e n td i s t r i b u t e dt e c h n o l o g i e s h o w e v e r , t h ea p p l i c a t i o n sb a s e do nw e bs e r v i c e sm u s tp u b l i s hi t si n t e r n a li n t e r f a c e w h i c hl e a d st om o r ei n t e r n a lo re x t e r n a l ss e c u r i t yt h r e a t e n a tf i r s t ，t h i sp a p e rp r e s e n t st h ec h a r a c t e r so fw e bs e r v i c e ss e c u r i t y , a n dd o e ss o m er e s e a r c hf o re x i s t e dw e bs e r v i c e ss e c u r i t yt e c h n o l o g i e sa n dr e l a t e dd e v e l o p m e n tt o o l s b a s e do nt h e s ep r e p a r a t i o n s ，t h ep a p e rb r i n g sf o r w a r da n di m p l e m e n t saw s - s e c u r i t yb a s e d ，e x t e n d a b l es e c u r i t yf r a m e w o r k ，n a m e dm a g i c b e a n ，w h i c he n s u r e sw e bs e r v i c e sm e s s a g e l e v e ls e c u r i t ya n dp r o v i d e ss o m em e c h a n i s m ss u c ha ss i g n a t u r e ，e n c r y p t i o n ，a c c e s sc o n t r o la n da t t a c kd e t e c t i o n t h e n ，t h ep a p e rd e s c r i b e sh o wt od e s i g na n di m p l e m e n t st h es e c u r i t yf r a m e w o r k c h a p t e r3g i v e sa ni n t r o d u c t i o nt om a g i c b e a n ，i n c l u d i n gt h ea r c h i t e c t u r ea n ds o m ed e s i g nc o n c e p t s ，a n di nd e t a i ld i s c u s s e st h em e c h a n i s mt h a te n s u r e sm e s s a g e - - l e v e ls e c u r i t yu s i n gw s - s e c u r i t y c h a p t e r s4e x p l a i n sa c c e s sc o n t r o lm e c h a n i s m r e s e a r c h e si n t or o l e b a s e da c c e s sc o n t r o l ，a n dw i t hc o m b i n i n gw s s e c u r i t ya n d n e tt e c h n o l o g y ，d e s i g n sa n di m p l e m e n t saw e bs e r v i c e s o r i e n t e dr b a cm o d e l c h a p t e r5u n i f i e sm i c r o s o f tc o r p o r a t i o nd e v e l o p m e n tk i tw s e ，p r o v i d e st h es e c u r i t yp o l i c yi nm a g i c b e a nw h i c hi se x t e n s i b l e ，a n di m p l e m e n t st h em e s s a g ev a l i d i t yp o l i c ya s s e r t i o na n dt h er e p l a ya t t a c ke x a m i n a t i o np o l i c ya s s e r t i o n ，w h i c he n h a n c et h ea b i l i t yo f r e s i s t i n ge x t e r n a la c t a c k a tl a s t ，w ed e s i g ns e v e r a lp e r f o r m a n c et e s tc a s e s t h r o u 曲a l la n a l y s i so ft e s tr e s u l t ，t h i sp a p e rg i v e ss o m es u g g e s t i o na b o u tw s s e c u r i t ya n ds s l “t h er e s e a r c hh a si m p o r t a n tv a l u ea n ds o m et h e o r e t i cm e a n i n g st og u a r a n t e ew e bs e r v i c e s m e s s a g e l e v e ls e c u r i t y , a c c e s sc o n t r o la n da t t a c kd e t e c t i o nk e y w o r d s ：w e bs e r v i c e s ；w s s e c u r i t y ；s e c u r i t ) ；a t t a c kd e t e c t i o n ；独创声明本人声明所呈交的学位论文是本人在导师指导下进行的研究：e 作及取得的研究成果。掘我所知，除了文中特别加眺标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包管未获得! 逵i 塑造直基丝益要挂型重盟笪：查拦亘窒! 或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。学位论文作者签名：雀窍良签字日期：猡回年当月2 7 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在解密后适用本授权书)学位论文作者签名：崔撅签字日期：幼四年5 月习r学位论文作者毕业后去向工作单位：通讯地址：导师签字签字蹶哆j 月矽日电话邮编单干w s s e c u r i t y 的w e b 胝务宜争框架的研究1 绪论1 1 研究背景w e b 应用与桌面应用系统的繁荣发展让人们若喜若狂。随着w e b 应用的不断发展，人们发现在w 曲应用和传统桌面应用之间存在着连接的鸿沟。企业与企业之间，存在着不同的应用系统，它们使用不同开发语言以及不同的部署平台。这样，解决不同开发语言的差异、不同部署平台的差异、以及传输协议、数据格式的之间的差异，从而实现最大范围内的跨企业实体、跨网络实体( 虚体) 的互通连接，成为广大开发人员面临的难题。有人认为x m l 的出现和发展有望解决上述难题，基于x m l 的w e b 服务技术( w e bs e r v i c e s t e c h n o l o g y ) 最应担此重任。相比c o b r a 、d c o m 、r m i ，w e b 服务的优越性决定了它是一种优秀的分布式组件技术。目酊，安全是困扰w e b 服务发展的主要因素之一。信息安全的风险可以被宽泛的归结为：数据机密性、数据完整性和数据可用性。w e b 服务使用的最主要协议是s o a p 协议，其使用x m l 编码。x m l 是一种自我描述的标记语言，有严格的格式要求。机器处理非常方便快捷，甚至可以直接人工阅读。w e b 服务的安全就是保护s o a p 消息的机密性、完整性和可用性。值得欣慰的是，s o a p 是一个轻量级的协议，本身没有任何安全方面的要求，s o a p协议的制定者希望使用当今普遍使用的安全模型保护w e b 服务的安全。2 0 0 2 年4 月1 0 日，璐m 公司和m i c r o s o f t 公司联合发布了一份关于w e b服务安全的白皮书w e b 服务世界的安全性：提议的体系架构和指南( 后简称指南) 。它描述了为解决w e b 服务环境中的安全性而提议的策略。它定义了一个全面的w e b 服务安全性模型，这个模型通过使各种系统能够安全地以一种与平台和语言无关地方式进行互操作定义、集成和统一几个流行的安全性模型、机制和技术( 包括对称和公用密钥技术) 。指南中描述的w e b 服务安全性体系架构是一个提供端到端安全性的机制，利用传输层和应用层的安全性机制提供了一套全面的安全性功能。萆于w s - s e c u d t y 的w e b 服务安争柜犍的研究1 2 研究内容及意义本文的研究内容包括：密码学基础理论( 对称和公用密钥技术) 、w e b 服务技术、常用安全通信机制( s s l 、t l s 、i p s e c ) 、x m l 相关的安全技术( x m l签名、x m l 加密、s o a p d s i g 规范、w s s e c u r i t y 规范) 、s o a p 应用模式和通信安全、访问控制技术、r b a c 理论、n e t 平台的安全模型【2 】 3 】和a s r n e t开发技术 4 】【5 1 等。在理论研究的基础上，本文实现一套可应用的w e b 服务安全框架m a g i c b e a n ，针对典型的应用环境，提出了从消息安全保护、访问控制到攻击检测的解决方案，实现n e t 平台中可直接复用的安全组件，将复杂的安全模型和安全协议整合成软件产品。m a g i c b e a n 框架使用w s - s e c u r i t y 规范实现消息的机密性、鉴别、完整性和不可否认性；在此基础上结合n e t 的安全模型，实现了基于角色的访问控制；结合w s e ，实现“消息格式验证”和“消息重放检测”策略，保证了w e b 服务的可用性。该框架简化了w e b 服务的开发，必将大大促进w e b 服务的应用发展。对基于其它平台的w e b 服务开发，具有实际价值和一定的理论意义。1 3 论文创新点本文的主要贡献和创新点在于：1 ) 在w e b 服务安全技术的研究中结合软件复用理论，将大部分开发人员陌生的安全技术封装在组件中，实现w e b 服务开发的高效性、经济性和安全性。由于框架中支持的是最新的w s s e c u r i t y 规范，对该规范的研究本身就很具有意义，必将推动w e b 服务安全的研究，及相关应用领域的研究与发展。2 ) 将w s s e c u r i t y 规范和n e t 技术的安全模型结合，在w e b 服务中实现了基于角色的访问控制。3 ) 本文设计实现了针对w e b 服务的安全策略：消息格式验证和消息重放检测，利用和丰富了w s s e c u r i t y 规范，大大提高了w 曲服务抵御外来攻击的能力，在实际应用中效果较好。晕于w s s e c u r i t y 的w e b 腰务安争框架的州饨4 ) w e b 服务的决策者通常要在传输层安全( s s l ) 和应用层安全技术( w s s e c u r i t y ) 之间做出抉择，本文通过对比测试，讨论了两种安全策略的差异，提出相关的选择建议。1 4 论文组织与结构本文的组织结构如下：第一章绪论。主要介绍本文的选题背景和选题依据，本文的研究内容、意义和组织结构。第二章w s s e c u r i t y 规范。介绍了w s s e c u r i t y 规范及相关规范，支持该规范的开发工具w s e 。第三章m a g i c b e a n 框架。介绍框架的软件环境、体系结构和设计思想，并详细讨论如何基于w s s e c u r i t y 保证w e b 服务消息安全。第四章基于角色的访问控制。详细讨论如何结合w s s e c u r i t y 和n e t 安全模型在m a g i t c b e a n 中实现r b a c 。第五章消息验证和重放检测。借助m i c r o s o f t 公司的w s e 支持，在m a 面c b e a n 中实现了消息合法性验证和消息重放检测，提高w e b 服务抵御外来攻击的能力，保证w e b 服务的可用性。第六章框架性能测试。通过对m a 垂c b e a n 特定方法进行针对性的测试给出了选择w s - s e c u r i t y 还是s s l 的建议。第七章总结和展望。对本文的工作做一个总结，提出可以进步展开的工作。早于w s s e c u r i t y 的w e b 服务安每框她的研究2 w s s e c u r i t y 规范2 1s s l ( h t t p s ) 的局限性目前在互联网上，s s l 6 已被证明是保护资源的可行方法。如果你曾经在线购物，那么你肯定是通过s s l 来保证其安全。由于w e b 服务大多是基于h t t p 实现的，因此完全可以使用s s l 来加密通信并用证书来验证客户端和服务器。在w s s e c u r i t y 规范发布之前，许多w e b 服务安全的解决方案就是基于s s l 实现的。但是在w e b 服务的环境下，s s l 确实有一些不足之处：s s l 仅适用于点对点( p o i n tt op o i n t ) 通信，而无法保障端到端( e n dt o e n d ) 的安全。s s l 是通过加密两点之间的传输通道起作用的，对w e b 服务调用来说，就是从客户端到服务器。如果要在多个点之间发送消息，那么使用s s l 就会带来一些问题。s s l 必须保证网络上所有节点之间的通信安全，这样就使确认消息被客户端签名这件事变得很困难。同时，消息仅在传输阶段是安全的，如果能够访问网络中某个节点( 例如，入侵了某个服务器) ，那么就可以明文读取消息的内容。s s l 受缚于t c p 。w e b 服务栈( w s ib a s i cp r o f i l e1 0 1 7 中定义) 没有明确把w e b 服务的使用绑定到h t t p 。因此随着w e b 服务实现方法的成熟，其他传输通道( 包括s m t p ，f t p ，i b mm q s e r i e s 和m s m q ) 也会获得支持。对于其它传输通道，有可能不能使用s s l 。因为对于非t c p 传输，通道的安全选项甚至可能不存在。在这些情形下，w s s e c u r i t y 在消息级上的安全性就能保证消息本身的安全，而不是依赖底层传输通道的安全模型。由于与使用的传输通道无关，w s s e c u r i t y 为保证消启安全提供了一种更灵活的方法。2 2w s s e c u r i t y微软、i b m 、v e r i s i g n 等，在s o a p d s i g 规范的基础上，联合推出了4苹于w s s e c u n i 3 , 的w e b 服务奠伞框架的硎究w s s e c u r i 一8 1 ( w e bs e r v i c e ss e c u r i t y ) 规范，其宗旨是使应用程序能够构建安全的s o a p 消息交换机制，保证s o a p 消息的机密性、完整性和不可否认性，其主要设计目标如下：支持用于认证或授权的多安全性令牌支持多信任域支持多加密技术支持端到端的消息级安全性( m e s s a g e l e v e ls e c u r i t y ) 而非仅仅传输级安全性w s s e c u r i t y 规范实际上是对s o a p 协议的扩展。规范本身并没有提出新的加密算法或安全模型，它只是提供了一个框架，用户可自由地将w e b 服务协议、应用层协议与各种加密技术、安全模型结合起来，以实现w e b 服务环境下的消息完整性、保密性和认证。w s s e c u r i t y 规范很灵活，是用来构建多种安全性模型( 包括p k i 、k e r b e r o s ) 的基础。w s s e c u r i t y 规范主要提供了三种机制，安全性令牌传播、消息完整性和消息机密性：安全性令牌传播机制：规范制定了两类基于x m l 的安全性令牌，并提供了相应的二进制安全性令牌编码规则。消息完整性机制：沿角s o a p d s i g 规范中对消息进行数字签名的语法和语义处理规则，实现s o a p 消息的数字签名，保证消息的完整性和不可否认性，支持多种签名算法、多种签名格式。消息机密性机制：采用x m l 加密技术，实现s o a p 消息的加密传输及安全的密钥传输，保证消息的机密性，支持多种加密算法、多种加密格式。w s s e c u r i t y 基于s o a p 扩展实现w e b 服务的消息安全，其定义了用于携带安全性相关数据的s o a p 标头元素。如使用x m l 签名，标头可以包含由x m l 签名定义的消息，其中包括信息的签名方法，使用的密钥以及得出的签名值。同样，如果消息中的某个元素被加密，则w s s e c u r i t y 标头中还可以包含加密信息( 例如由x m l 加密定义的加密信息) 。w s s e c u r i t y 并不指定签名或加密的格式，而是指定如何在s o a p 消息中嵌入其他规范定义的安全性信摹于w s s e c u n t y 的w e b 服务蜜争柜架的研饨息。w s s e c u r i t y 主要是一个用于基于x m l 的安全性元数据容器的规范。s o a p 消息由信封组成，这个信封定义了消息的总体结构。包含在信封中的是消息头信息( 可选) 和消息体信息( 必选) 。消息头和消息体格式没有在s o a p 规范中定义。w s s e c u r i t y 定义了向s o a p 添加安全性的基本技术。其宏伟目标是为s o a p 消息提供端对端的消息级安全性，但w s s e c u r i t y 规范并不十分冗长，核心内容细数起来只有2 0 多页。这是因为w s s e c u r i t y 几乎没有定义什么新技术，而是定义了一种使用s o a p 现有安全技术的方法。或许，w s s e c u r i t y 定义的最基本内容是位于s o a p 标头的 ：元素。包含该元素的s o a p 消息的结构下所示。 ? x m lv e r s i o n = ”1 0 ”e n c o d i n g = ”u f f - 8 ”? 图2 - 1 包含u s e r n a m e 令牌的s o a p 消息6莘于w s s e c u n “的w e b 脂务奠争丰匝架的研究2 2 1 安全性令牌消息接收方遇到得最基本的问题可能是：我正在和谁交谈? 问题虽然简单，但答案却非想象的那么简单。在网络中表明身份的方法有多种( 用户名、k e r b e r o s 票掘或x 5 0 9 证书等) ，进行身份验证的方法也不少。例如，通过用户名以及随附的密码，可以证明用户的真实身份。相反，k e r b e r o s 票据由发行方使用票扼接收方可验证其正确性的密钥进行加密。此外，还可以随x 5 0 9证书一起发送数字签名来验证用户身份【q 】。w s s e c u r i t y 的设计者选择了多种传输方法和身份验证方法。实际上，w s s e c u r i t y 根本没有定义如何进行身份验证。相反，该规范指定了如何在s o a p 标头的s e c u r i t y 元素中传输多种不同的安全令牌。令牌的接收方向可以根据偏好，以任何方式使用其中包含的信息。最常见的用法可能是验证令牌发送方的身份。尽管w s s e c u r i t y 规范允许任何类型的安全令牌，但它明确地定义了三种方案。1 ) u s e m a m e 令牌最简单的( 尽管不是最安全的) 方案是发送包含用户名和密码的安全令牌。要实现这个目标，w s s e c u r i t y 定义了一个包含用户名和密码的 元素。u s e m a m e 令牌是w s s e c u r i t y 定义的一种非签发的安全令牌。w s s e c u r i t y 的x s d 文档中对u s e m a m e 令牌的类型定义如下： x s d ：c o m p l e x t y p en a m e 2 ”u s e r n a m e t o k e n t y p e ” t h i st y p er e p r e s e n t sau s e r n a m et o k e n x s d ：e l e m e n tn a m e - - ”u s e m a m e ”t y p e 5 ”w s s e ：a t t r i b u t e d s t r i n g ”伊以下是一个 的简单示例： m a g i c b e a n 犟十w s s e c u r i t y 的w e b 服务霞争框架的研究 5 9 0 1 2 2 6 2 ) k e r b e r o s 票据w s s e c u r i t y 定义的第二种方案是包含k e r b e r o s 票据的安全令牌。像所有安全令牌一样，在s o a p 标头中发送的k e r b e r o s 票据是s e c u r i t y 元素的一部分，使用更一般的 元素发送的。下面是一个示例，其中元素的v a l u e t y p e 属性表明这是一个k e r b e r o sv e r s i o n5 服务票据。o m t c a m 3 ) x 5 0 9 安全令牌w s s e c u r i t y 定义的第三种方案用于表示基于x 5 0 9 证书的安全令牌，它也依赖于 素。下面是一个示例：p p m e k e 该示例与先前的k e r b e r o s 票据示例没有多大区别。元素的v a l u e t y p e 属性表明正在发送的是x 5 0 9 证书。w s s e c u r i t y 采用一种非常灵活的方法进行传输和身份验证，然而这里还有一个重要含义：虽然两个系统都符合w s - s e c u r i t y 规范，但二者仍然不能进行相互验证。例如，其中一个系统可能只支持k e r b e r o s ，而另一个系统只支持使用x 5 0 9 证书进行基于数字签名的身份验证。仅仅允许使用w s s e c u r i t y 是不够的。有关确切地使用何种类型的安全令牌，还需要有其它一些协议。8摹十w s s e c u r i t y 的w e b 服务宣争框架的研究2 2 2 数据完整性l 签名【把】是w 3 c 标准，它为数字签名x m l 文档提供了详细的机制。w s s e c u r i t y 没有彻底改造已有标准，而是简单地利用现有规范，并就如何在s o a p 消息中使用这些规范提出了一些具体细节。x m l 签名规范定义的主要内容是 元素，该元素的内容包括数字签名本身以及有关如何生成该签名的信息。 元素描述正在进行签名的信息。该元素本身包含多个子元素，每个子元素都指定了一些有关已签名信息的内容。其中最重要的子元素包括以下元素：标识用于在生成签名之前将此x m l 文档转换为标准形式的算法标识用于创建数字签名的算法 标识正在进行签名的信息以及对其进行的任何转换 包含构成数字签名的字节 指示验证签名时应使用的密钥对于许多w e b 服务应用程序，确保数据完整性至关重要。具有一种经过良好定义并被广泛接受、可为s o a p 提供这种服务的方法也非常有用。由于提供有效的签名和受信任的证书证明了专用私钥的知识，对于身份验证，使用公钥技术创建的数字签名也非常有用，验证某人的身份亦是如此。然而，在实际应用中创建x m l 文档的数字签名并不是最简单的事情。准确地说，必须首先标识要进行签名的内容，然后进行标准化，再进行实际签名。由于w s s e c u r i t y 允许为相同的消息创建多个签名，每个签名可能由消息途径中不同的接收方所创建，并且每个签名可能传输消息的不同部分或存在重叠的部分，因此，实际情况可能要复杂得多。根据w 3 cx m l 签名标准来构建所有这些内容非常有意义，但是使用这种w s s e c u r i t y 的s o a p 标头一定会比那些不需要特定安全服务的要大得多、复杂得多。2 2 3 数据保密性w s s e c u r i t y 定义的第三个服务是保密性，它提供了一种在s o a p 消息传输之前对其进行部分加密或全部加密的方法。w s s e c u r i t y 的设计者以同样的方式解决了完整性问题，他们选择了在现有保密标准的基础上构建保密性，摹于w s s e c u h w 的w e b 服务誊辛柜架的研究而不是创建全新的标准。他们再一次从w 3 c 的现有标准中选择了一个称为x m l 加密的规范。通过该标准，w s s e c u r i t y 允许对s o a p 消息的标头信息、正文以及任何附件进行部分加密或全部加密。x m l 加密规范并不是一种十分复杂的文档。w s s e c u r i t y 仅使用了由该标准定义的三个x m l 元素： 、 $ 1 1 。其中最重要的自然是包含在 子元素中称为 的实际加密数据。该元素也可包含指示所使用的加密算法的子元素、加密所使用的密钥以及其他内容。按照w s s e c u r i t y 定义，对s o a p 消息使用x m l 加密的方式有多种。您可以对整个正文、正文和某些标头元素、仅正文的某些部分或者随消息一道发送的附件进行加密。s o a p 消息的不同接收方可以添加自己的加密标头，或解密并处理他们预期的部分。由于w e b 服务中对保密性的要求是多样化的，因此定义如何实现保密性的标准必须是完全通用的。2 2 ，4 更多的规范w s s e c u r i t y 只是w s 一+ 协议的基础，单纯使用一种协议是无法保证w e b服务安全的，下面是一些现有w e b 服务规范，也称w s 协议族，主要是技术厂商( 如m i c r o s o f t 、s u n 、b e a 、i b m 和s a p ) 协同工作的结果，还有一些规范( 包括w s a d d r e s s i n g ) 是在w o r l dw i d ew e bc o n s o r t i u m ( w 3 c ) 的监督下制定的，w s a d d r e s s i n g 规范在2 0 0 4 年8 月被w 3 c 接受为成员，它提供了一种在w e b 服务消息和服务描述中表示消息寻址信息的标准。图2 2w e b 服务安全规范路线图w s a d d r e s s i n g 14 】规范定义了一种将消息寻址信息综合到w e b 服务消息中的标准。j 0苹十w s s e c u l y 的w e b 服务安争 匣架的研究w s a d d r e s s i n g 为以同步和或异步方式传输的s o a p 消息提供了一种统一的寻址方法。w s p o l i c y l l 5 】w s p o l i c y 用于发布w e b 服务的组织为其w e b 服务指定安全需求。这些安全需求包括所支持的加密和数字签名的算法、保密性属性以及将这些信息绑定到w e b 服务上的方式。绑定到w e b 服务很可能采用w s d l 绑定的形式，从而将策略信息附加到w e b 服务的定义上。w s - t r u s t l l6 jw s t r u s t 用于建立直接和代理信任关系( 包括第三方和中介体) 的模型。模型描述如何通过创建安全性令牌，保证服务把现有的直接信任关系用作代理信任的基础。这些安全性令牌保证服务建立在w s s e c u r i t y 的基础上，用一种保证令牌的完整性和机密性的方式传送那些必需的安全性令牌。然后模型描述如何把几个现有的信任机制与这个信任模型一起使用。最后，这个信任模型将明确允许，但不强求主体进行授权委托和模仿。w s p r i v a c v l l 7 】创建、管理和使用w e b 服务的组织将经常需要声明它们的隐私权策略，并要求进来的请求声明发送者是否遵守这些策略。通过使用w s p o l i c y , w s s e c u r i t y 和w s - t r u s t 的组合，组织可以声明并指出遵守声明的隐私权策略。这个规范将描述一个关于如何把隐私权语言嵌入到w s p o l i c y 描述以及如何使用w s s e c u r i t y 把隐私权声明与消息关联起来的模型。最后，这个规范将描述如何使用w s t r u s t 机制同时为用户首选项和组织实践声明评价这些隐私权声明。w s s e c u r e c o n v e r s a t i o n t l8 】w s s e c u r e c o n v e r s a t i o n 描述w e b 服务如何认证请求者消息、请求者如何认证服务以及如何互相建立认证的安全性上下文，以及描述如何建立会话密钥、派生密钥和消息令牌密钥。这个规范将描述服务如何安全地交换上下文( 关于安全住属性和相关数据的声明的集合) 。为完成这个工作，该规范将描述w s s e c u r i t y 和w s t r t t s t 中定义的安全性令牌签发和交换机制概念，并以它们为基础。例如，使用这些机制，服务可以支持使用弱对称密钥技术的安幕于w s s e c u n t y 的w e b 服务曩争框架的研究全性令牌，还可以签发使用非共享( 不对称) 密钥的更强壮些的安全性令牌。w s s e c u r e c o n v e r s a t i o n 被设计为在s o a _ p 消息层运作，这样消息就可以通过多种传送器和中介体传送。这并不排除在其它消息传递框架中使用它。为进一步增加系统的安全性，可以跨选中的多个链接把传输级安全性与w s s e c u r i t y 和w s s e c u r e c o n v e r s a t i o n 一起使用。w s f e d e r a t i o n 这个规范定义如何使用w s s e c u r i t y ，w s p o l i c y ，w s t r u s t 和w s s e c u r e c o n v e r s a t i o n 规范构建联合信任案例。例如，它将描述如何把k e r b e r o s 和p k i 基础架构联台起来。同时还引入一个信任策略来指出并限制和确定被代理的信任类型。这个规范还将定义用于管理信任关系的机制。w s a u t h o r i z a t i o n这个规范将描述如何指定和管理w e b 服务的访问策略。它将特别描述如何在安全性令牌内指定声明，以及这些声明在端点处将如何被解释。该规范与x a c m l 2 0 有相互重叠之处。2 3 开发支持工具2 3 1w s e 简介随着w s s e c u r i t y 规范的推出与不断完善，一些公司开始推出了基于w s s e c u r i t y 规范的开发工具。w s e ( w e bs e r v i c e se n h a n c e m e n t s 2 1 】【，2 】) 是微软公司推出的基于n e t 环境、供v i s u a ls t u d i o 使用的开发工具，其最新版本为3 0 ，支持和v i s u a ls t u d i o2 0 0 5 的集成，运行环境是n e tf r a m e w o r k2 0 。通过应用安全策略在运行于n e t 环境的w e b 服务之上，w s e3 0 简化了开发和部署安全的w e b 服务。通过应用w s e ，与w e b 服务的通讯可使用多种安全令牌进行签名和加密，w s e 为安全的w e b 服务跨信任域提供了一个策略驱动的增强安全模型，而且w s e 支持建立获取和检验安全牌的信任服务和通过安全对话建立长久高效的安全通讯。通过和w e b 服务的异步通讯，w s e 支持面向消息的程序设计，包括长耗时操作、批处理、点对点程序，甚至设计事件驱动的应用程序模型。使用w s e皋于w s s e c u n b 的w e b 服务爰争框架的研究设计的w e b 服务可以运行于多种环境，包括a s p n e t 、独立可执行程序或w i n d o w s 操作系统的系统服务，也可以选择不同的通讯如h t t p 或t c p 。w s e 为设计基于多种w e b 服务规范的应用程序提供了一个基础，这些规范包括：w s s e c u r i t y1 0 ( o a s i s ，2 0 0 4 3 ) 及w s - s e c u r i t y1 1 ( o a s i s ，2 0 0 6 2 ) 、w s p o l i c y 、w s s e c u f i t y p o l i c y 、w s t r u s t 、w s s e c u r e c o n v e r s a t i o n 和w s a d d r e s s i n g 。随着各个规范的修订，w s e 将跟踪和实现最新的规范。2 3 2s o a p 筛选器w s e 的原子运行时组件被称作s o a p 筛选器，它们在单个s o a p 信封级别运行。它们主要负责检查或转换s o a p 信封。例如，发送方的s o a p 筛选器可能会对消息进行数字签名并为其添加一个s e c u r i t y 标头，像w s s e c u r i t y规范中定义的那样。同样，接收方的s o a p 筛选器可以从s o a p 信封中提取s e c u r i t y 标头，并要求在将消息分配到应用程序代码之前成功验证它包含的数字签名。策略是一个宏观的概念，由一组s o a p 筛选器共同完成一项任务。在策略编译过程中，每个策略断言最多可以生成四个s o a p 筛选器。每个s o a p筛选器在不同的请求响应消息交换阶段执行。两个不同的s o a p 筛选器处理客户端上的输入消息和输出消息，两个筛选器处理服务端上的输入消息和输出消息。它们对应于w s e 中四个独立的管道，以下排列顺序遵循的是请求响应消息对发送者流向接收者再返回发送者这样一个自然流动顺序：发送者的输出管道- - - - - - c r e a t e c l i e n t o u t p u t f i l t e r接收者的输入管道- - - - c r e a t e s e r v i c e l n p u t f i l t e r接收者的输出管- - - - c r e a t e s e r v i c e o u t p u t f i l t e r发送者的输入管道- - - - - - - c r e a t e c l i e n t l n p u t f i l t e r摹十w s s e c u r i t y 的w e b 服务瘩牟 匣北的研究r 一一一一一一一一一一一一一一一一一一一一一ii策麟断甍iiir 一一一一一卜一一一一一一一ir 一一一一一+ 一一一一一一一一辩笆= 静臀嚼篱球潮喜 - - 到二：二1魁应管麓謦 鲋一一一一一一一一一_ | - - - - - 一一一一_ = = 二二= 二二= 一一一一一一一一二嚣户旃w e b 暇努2 3 3 可扩展的策略框架图2 - 3 策略断言w s e 使用一套可扩展的策略机制，实现w e b 服务安全的约束和要求。策略是一个部署时概念。策略的一个实例转化成运行时组件，这些组件在发送方应用这些要求，或者在接收方执行这些要求。在客户端和服务端之间交换任何消息之前，发生此转换过程( 称为策略编译) 。策略既可以编写在程序代码中，也可以使用配置文件管理，w s e 同时支持服务端和客户端的策略。大部分w e b 服务的安全需求是在部署阶段决定的，使用配置文件管理策略是推荐的方法。一个策略包含一个有序的策略断言列表。每个策略断言定义一个对w e b服务的要求。策略内策略断言的声明顺序控制了运行时应用或执行有关要求的顺序，w s e 运行时保证在客户端和服务端按照正确的顺序执行s o a p 筛选器。使用w s e 开发安全w e b 服务的过程，就是实现策略断言的过程。自定义策略断言可以实现最多四个s o a p 筛选器，分别在客户端和服务端处理s o a p信封。本文第五章介绍如何使用自定义策略断言实现消息验证和消息重放检测。1 4摹于w s s e c u r i t y 的w e b 服务安争框弛的硎究3 m a g i c b e a n 框架3 1 框架简介3 1 1 示例介绍本文使用一个简单的日程服务作为示例，详细介绍框架的设计思想和体系结构。，日程安排是我们生活中常见的事务，日程服务的主要功能包括：曰程制定、日程完成、日程取消等基本功能。图3 1 图示了使用浏览器访问w e b 服务得到的帮助界面，包括w e b 方法的描述和开发支持工具的下载链接。本章第三小节会详细介绍w e b 服务服务端的设计。图3 2 展示了一个w i n d o w s 应用程序，它基于n e tf r a m e w o r k 开发，作为使用日程服务的客户端程序，其核心功能调用日程服务接口来实现的。图3 1 使用浏览器访问日科服貉的界面苹于w s s e e u r i w 的w e b 服务安牟框架的研究3 1 ，2 软件环境图3 - 2 日程服务客户端1 ) n e t f r a m e w o r k 平台【2 3 】