（计算机应用技术专业论文）数据集成平台中安全组件的设计与实现.pdf

中文摘要 为了满足对业务数据的访问需求，数据集成平台能够使用户以“透明”的方 式访问数据源，但是“透明”的访问方式无疑产生数据的安全问题。因此，为集 成平台增加安全组件是十分必要的。另外，集成平台以x 池作为公共数据模型， 并以w 曲服务形式发布给用户，对安全技术提出了新的要求。 本文通过分析数据集成平台架构和处理流程中存在的安全隐患，以i s o 提出 的五大安全服务为标准，设计出具体的解决方案。通过实现安全管理模块和安全 控制模块，在身份认证、访问控制、数据完整性和机密性等方面为集成平台提供 系统的安全支持。 安全管理模块对用户和数据服务进行双层的基于角色的访问控制 ( r d l e b a s e da c c e s sc o i l 仃0 1 ，i m a c ) 。管理员通过向导可以为用户配置数据服 务权限，管理数据服务层的权限。同时，通过获取相关数据源信息，可以方便的 配置数据服务在访问数据库时的用户名，保障数据源层的数据安全。另外，管理 模块通过实时更新数据服务的安全策略，完善数据服务“自描述”的特点。 安全控制模块针对) ( i l 和w 曲服务的特点，遵循w s s e c 谢t ) ，规范，在集 成平台与用户交互过程中进行必要的安全控制。其中包括对用户请求w 曲服务 时进行身份认证和访问控制，识别用户身份及权限，以及对返回结果数据进行 帆加密和x m l 签名，防止数据在传输过程中被恶意窃取或修改。 总之，通过上述工作，为数据集成平台构建了一个完整的安全体系，通过身 份认证、访问控制、数据加密和数字签名技术为数据集成平台及数据源提供全面 的安全保护，不但可以阻止非法请求，而且保证了数据的机密性、完整性和不可 否认性，在满足数据共享和交互需求的同时保证了数据安全。 关键词：数据集成安全身份认证r b a cw s s e c u r i t y 规范 a b s t r a c t i no r d e rt os a t i s 矽t l l er e q u i r e m e mo fb u s i i l e s sd a t a ，d a t ai n t e 肿t i o np l a t f o 肋 a l r e a d ym a d em eu s e ra c c e s s 也ed a t as o u r c e si nak i l l do fm m s p a r e mw a y b u tt m s 廿眦s p a r e n tw a yh a v ead a t as e c u r i t yp i o b l 锄u n d o u b t e d j y t 1 1 e r e f o r e ，i t sn e c e s s a 拶t 0 m c r e a s es e c u r i t ) ，c o m p o n e n tt ot l l ep l a t f o m h 1a d d i t i o i l ，t 1 1 ep l a t f o mu s e dx 儿a s p u b l i cd a t am o d e la n dp u b l i s h e dt ou s e ri i lw e bs e r v i c ef 0 衄，w m c hp r o d u c e dn e w d e m a n d so ns e c 嘶够t e c h n o l o 醪 i nt l l i sp 印e r ，b ya n a l y z et h ep o t e n t i a ls a f e t y p r o b i e m se x i s t e di nt h ep l a t f o n n s 纳m e w o r ka n dp r o c e s s ，w ed e s i 印c o n c r e t es o l u t i o n su s i n gm ef i v es e c 面t ) rs e r v i c e s m e n t i o n e di i li s 0a sc r i t e r i a 1 1 h r o u g hi i n p l e m e n to f s a f e t ym a n a g e m e mm o d u i ea n d s a f e t ) ，c o n t r o lm o d u l e ，w ep r o v i d et h ep l a t f o n nw i ms y s t e r n j cs e c 嘶够s u p p o r ti i l a s p e c to fi d e n t i t ) ，a u t l l e m i c a t i o n ，a c c e s sc o n n o l ，c o n f i d e m i a l i t ya n di n t e 酣够 s a f e t ) ，m a i l a g e m e mm o d u l ep r o c e s s e st w o d o u b l er o l e 书a s e da c c e s sc o m r 0 1 ( r b a c ) t ou s e r sa n dd a t a - s e r v i c e s a d m i n i s t r a t o rc a nc o n f i g u r et h ed a t a s e r v i c e s ， p e h i l i s s i o nb yw i z a r d sa 1 1 dm a n a g et h ep e h i l i s s i o ni i ld a t a - s e r v i c el a y e r m e a n w l l i l e ， b yo b t a i nt h ei n f o 肌a t i o no fd a t as o u r c e ，i tc a nc o i l f i g u i eu s e rn a m ew 1 1 i c hi su s e d w h e i ld a 协s e i c e sa c c e s sm ed a t a b a s e ，w 1 1 i c he n s u r et 1 1 ed a t as e c 嘶t yi 1 1d a t a s o u r c e l a y e r i na d d i t i o n ，m a n a g e m e n tm o d u l ei i n p r o v e sd a t as e r v i c e s s e l f - d e s c r i p t i o n ” c h a r a c t 嘶s t i c 1 r o u 曲r e 行e s h i l l gt i l es e c 谢t ys t r a t e g i co f d a t as e r v i c e s a f e t y c o m r o lm o d u l e p m c e s s e sn e c e s s a 巧 c o n 仃d lw h e nm e p l a t f o n n c o m m 嘶c a t e sw i t l lu s e r s ，f o l l o w i i l gt h ew s - s e c u d 够c r i t e r i o nf o rx m ea r l dw 曲 s e n ，i c e sf e a t u r e s i ti 1 1 c l u d e st h ei d e m i t ) ，a u t h e n t i c a t i o na 1 1 da c c e s sc o n 仃o lw h e nu s e r r e q u e s t sw e bs e r v i c e ，w 1 1 i c hr e c o g n i z eu s e r si d e n t 时a n dp e n i l i s s i o n 趟s op r e v e m n l er e s u l t 丘o mf i l c ha n dm o d i 匆m a l i c i o u s l yu s i l l gx m l e n c 聊t i o na 1 1 ds i g i l a t l i r e 1 1 1c o n c l u s i o 玛w eb u i l dac o i n p l e t es e c u r i 够s y s t e mf o rt 1 1 e p l a t f o n i lt h m u g h m e s ew o f i ( s i tp r 0 v i d e s c o m p r e h e l l s i v es e c u r i t yp r o t e c t i o nf o rb o t ht h ed a t a i n t e 舀a t i o np l a t f o ma n dt h ed a t as o u r c e s u s i l l gi d e n t i 够a u t l l e n t i c a t i 0 1 1 ，a c c e s s c o n 仃0 1 ，e n c 帅t i o na i l ds i g i l a n 鹏t e c l l i l o l o 鳜i tc a i lp r e v e n ti l l e g a lr e q u e s ta l l de 璐1 j r e d a t ac o n f i d e n t i a l i 劬血唧够柚dn or 印u d i a t i o n i tp r o t e c t sd a t as e c u 五t ) ，w 蛐ed a t a s h a 血ga i l d 缸e r a c t i l l ge x p e d i e n t l y k e yw o r d s ：妣a n e 伊a t i o 玛s e c 嘶劬a u t h e n t i c a t i o n ，r b a c ，w s s e c 研t ) r 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人己经发表 或撰写过的研究成果，也不包含为获得天津大学或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：珏签字日期：彦硝年多月岁日 学位论文版权使用授权书 本学位论文作者完全了解天津大学有关保留、使用学位论文的规定。 特授权天津大学可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：导师签名： 签字日期：抑辟莎月日 签字日期：年莎月，日 第一章绪论 1 1 研究背景 第一章绪论 近年来，随着企业、服务机构、政府部门等组织信息化程度的提高，对业务 数据的访问提出更高要求【1 】。如何有效地存储数据，快速安全地获取数据，成为 企业应用开发和应用集成的关键性问题 2 】。 数据集成正是在这样的背景下提出的，它将相关的分布式异构数据源集成到 一起，使用户能够以透明的方式访问这些数据源【3 】。数据集成为用户提供数据的 统一视图，为企业应用提供便利的数据访问【4 j 。 目前，数据集成平台主要包括三个功能模块： 1 数据服务开发工具，负责提供给开发人员构造数据服务的图形界面。 2 数据服务管理组件，管理数据服务的生命周期和发布数据服务的运行时 管理。 3 多数据源查询引擎，用于执行对多个异构数据源的查询。 通过这三个功能模块的作用，数据集成平台已经可以使用户“以透明的方式” 访问数据源。但是，这无疑产生破坏数据源安全的隐患，任何人都可以通过数据 服务获取数据源的数据显然是不明智的，而且在数据的交互过程中，需要防止数 据被恶意窃取或篡改。在这样的背景下，为数据集成平台增加安全组件是十分必 要的，它不但需要识别用户身份和权限，同时还要保证数据在传输过程中的机密 性和完整性。 1 2 国内外发展现状 自从数据诞生的一刻起，安全问题就受到人们的普遍关注。随着企业数据分 布化程度的提高和对数据的共享、交互需求的增加，数据的安全越来越受到企业 的重视。如何在共享、交换数据的同时保证数据的安全性成为人们关注的焦点。 在纷繁复杂的安全技术中，国家标准化组织( i s o ) 提出五大基本安全服务 5 】： 身份验证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务。 以传统数据库为例，它实现对登陆用户的身份认证和基于角色的访问控制。而加 密签名技术也趋于成熟，基本满足数据保密服务、完整性服务和不可否认服务。 第一章绪论 密码学成为独立的学科，研究的多种加密算法可以满足不同程度的安全需求。 但是，随着w 曲s e r v i c e s 技术得到业界的普遍接受，其s o a p 的数据格式基础 舭技术成为新的数据的存储格式逐渐被认可，传统的安全技术已经不能 满足新的需求 6 】，特别是传统加密签名技术对x m l 良构性的破坏是人们不能接受 的。另外，w 曲s e i c e s 技术通过服务提供者发布w s d l 接口供服务请求者调用， 这一方面为请求者提供了方便，却带来了新的安全隐患。因为w 曲s e r v i c e s 在 i m e m e t 上发布接口，接受普遍请求，无法获知调用者身份，为非法请求提供可乘 之机，进一步导致数据的窃取、更改和丢失。 于是，针对w 曲s e i c e s 技术的特点，i b m 、m i c r o s o r 和v e r i s i g n 在他们的 w 曲站点上提议建立w 曲s e i c e ss e c 面够( w s s e c 嘶t y 规范) 。2 0 0 6 年2 月1 5 日，o a s i s ( o 唱a n i z a t i o nf o r t h ea d v a n c e m e mo fs t m c t u r e di 幽m a t i o ns t a n d a r d s ) 通过了w s s e c 嘶t y1 1 安全规范。w e bs e n ，i c e s 安全规范建立在s o a p 标准规范 上，包括一个庞大w 曲s e i c e 安全性协议家族【7 1 。这些规范中的第一个w e b s e i c e s 安全性( w s s e c 嘶t v 文档) 提供了把消息完整性和机密性功能程序添加 到w e bs e r v i c e s 中所必需的基本元素，并且提供把安全性令牌如数字证书关联到 s o a p 消息的方法。它作为一种构件，将专门针对w 曲s e r v i c e s 的身份认证技术同 x m i 安全机制中的加密规范【8 】( x m le n c 明) t i o ns ) ，n t a xa n dp r o c e s s i i l g ) 和签名 规范【9 】( x m ls i g l l a n 鹏s y n t a xa n dp r o c e s s i i 培) 整合起来，为实现w 曲s e i c e s 安全提供了通用性规范。 有了w s s e c 谢t y 规范，用户就拥有在w e bs e i c e 应用中实施完整性、机 密性和身份验证等安全需求的规范方法。 1 3 本文的主要工作 本文的工作是在天津市重点科技攻关项目面向企业信息集成的开发平台研 究的基础上，针对集成平台的架构模型和工作流程，设计实现了安全组件，为管 理员进行安全管理配置提供便利，并对用户请求进行安全控制。 主要工作是在数据集成平台的数据服务管理组件的基础上，增加安全管理模 块和安全控制模块。 安全管理模块在数据服务层和数据源层进行双层的访问控制。管理员通过向 导不仅可以为用户配置数据服务权限，管理数据服务层的权限，还可以配置查询 引擎访问数据库时的用户名，保障数据源层的数据安全。同时，通过更新数据服 务描述文件，完善数据服务“自描述”的特点。 安全控制模块则针对w 曲服务的运行时管理，遵循w s s e c 嘶t ) r 规范，对用 2 第一章绪论 户请求进行身份认证和访问控制、对返回结果数据提供数据机密性、数据完整性 和不可否认性服务。 可见，通过安全管理和安全控制两个模块的共同作用，功能已经覆盖i s o 提 出的五大安全服务，成为一个完整的安全系统，保障了数据集成平台和数据源的 安全。 1 4 全文安排 第一章绪论。介绍论文的项目背景、相关发展现状及本文的主要工作。 第二章安全体系综述。系统介绍安全体系架构的组成部分，并重点针对w e b s e r v i c e s 技术给出安全机制的新发展。 第三章总体设计。从总体上描述数据集成平台的设计和功能模块的划分，分 析数据集成平台处理流程存在的安全隐患，给出具体的解决方案及安全组件的功 能设计。 第四章安全组件的技术实现。对安全管理模块和安全控制模块的工作流程、 实现细节给出详细说明。 第五章应用案例。通过一个实际应用的例子，给出安全管理模块的工作界面 和安全控制模块的处理结果演示。 第六章总结和展望。总结本文工作成果及创新点，对未来安全方面的工作扩 展进行讨论。 第二章安全体系综述 2 1 传统安全体系架构 第二章安全体系综述 随着网络的迅速发展及在全球的广泛应用，安全问题越来越引起人们的注 意。为了保证安全，国际化标准组织i s o 提出了层次型的安全体系结构，其中定 义了五大安全服务功能【5 】：身份验证服务、访问控制服务、数据保密服务、数据 完整性服务和不可否认服务。 身份认证( i d e m 时a u t h e n t i c a t i o n ) ：对信息或数据的发送者、接收者进行 鉴别，保证信息交换过程的有效性和合法性【5 】。 访问控制( a c c e s sc o l l 订0 1 ) ：防止对资源的未授权使用【l o 】，分为自主访问控 制和强制访问控制。 数据机密性( d a t ac o 血d e m i a l 埘) ：保证没有经过授权的用户、实体或进程 无法窃取信息 5 】。要预防非法的信息存取和信息在传输过程中被非法窃取。 数据完整性( d a t ai n t e 酣t y ) ：保证没有经过授权的用户不能改变或者删除信 息，即信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一【5 】。 不可否认性( n o i l r 印u d i a t i o n ) ：保证信息的发送者不能抵赖或否认对信息的 发送【5 】o 随着w 曲s e i c e s 技术的快速普及，仅仅依靠传统s s l 层的安全机制不能解 决所有的问题 6 1 。因为s o a p 层处于传输层之上，需要对上述安全服务进行扩展， 把关于安全的五个基本服务应用到整个的s o a p 信息中。例如，s o a p 安全的解 决方案基于w 3 c ( w o r l dw i d ew e bc o l l s o r t i u m ) 的儿规范来实现。 针对集成平台，除了访问控制以外，其余各项安全服务都是关于w 曲s e i c e s 领域的，稍候会做系统说明，因此，在下一小节先对访问控制进行必要的说明。 2 1 1 访问控制 传统的访问控制主要有强制访问控制m a c ( m 锄d a t o ua c c e s sc o n 廿0 1 ) 和 自主访问控制d a c ( d i s c r e t i o n a r y a c c e s s c o n 仃0 1 ) 。但是m a c 管理要求过于严格， 而d a c 管理比较麻烦，而且不利于实现统一的全局访问控制。于是出现了基于 角色的访问控制( r o l e b a s e da c c e s sc o n 仃0 1 ，r b a c ) ，它将访问控制逻辑与企 业的业务逻辑自然的结合，较好地解决了安全管理的复杂性问题。 4 第二章安全体系综述 一、l 也a c 的基本概念 基于角色的访问控制模型并没有一个明确的概念。研究较为深入的美国 g e o 唱em a s o n 大学的r a v i 等人和n i s t 的j o h l lb a 删e y 等为首的d a c 研究组提出了 i m a c 9 6 和r b a c 9 7 的概念模型【l l 】。r b a c 的基本思想是将权限同角色关联起来， 而用户则通过赋予角色来获得相应的权限，用户拥有的全部权限由授予该用户所 有角色的权限的并集决定，如图2 1 所示。 用户角色资源权限 图2 1 访问控制模型 二、i 出a c 9 6 模型 s a n d l l u 在1 9 9 6 年提出的i 强a c 9 6 模型是i 也a c 模型的基础，该模型包括4 个部 分：r b a c 0 、i 也a c l 、i m a c 2 和r b a c 3 【1 2 】。i m a c o 是基本模型，定义了i m a c 系统所需的最小需求；i m a c l 和i 也a c 2 在a c o 的基础上分别添加了角色层次 和约束的概念；r b a c 3 包含了i 也a c l 和r b a c 2 ，通过传递，也包含了i 强a c o 。 1 r b a c o 模型 r b a c o 包含3 个最基本的元素：用户( u s e r ) ，角色( r d l e ) 和权限( p e m i s s i o n ) 。 用户和角色、权限和角色都是多对多的关系。将用户和角色联系起来，称为 用户指派( u s e ra s s i g i l l l l e n t ) ，即用户u 拥有角色r 的权限。将权限和角色联系起 来，称为权限指派( p e n l l i s s i o na s s i 鄹m e n t ) ，表示角色r 拥有权限p 。 用户通过会话( s e s s i o n ) 激活所分配的角色，从而进行访问资源的活动。一 次会话中可以激活不同的角色，一个会话的权限是所有激活角色的权限的总和。 2 1 也a c l 模型 r b a c l 在r b a c 0 的基础上添加了角色层次的概念。 角色之间存在着继承关系。角色r 1 继承角色r 2 说明角色r l 拥有角色r 2 所有的 权限，称角色r l 为子角色，角色r 2 为父角色。当一个用户激活角色r 时，同时也隐 式的激活了所有角色r 所继承的父角色l l 2 1 。 3 i 强a c 2 模型 r b a c 2 在r b a c o 的基础上添加了约束的概念。约束就是对角色、权限、周 围环境的限制【1 2 】。约束不仅真实的反映了客观世界中的责权制约和环境条件， 第二章安全体系综述 也简化了i 强a c 系统的管理。例如，一旦将某些角色定义为互斥角色，在将用户 指派为角色时就不需要考虑这些问题，而由系统判断。 4 i 也a c 3 模型 i m a c 3 包含了i m a c l 和r b a c 2 ，通过传递也包含了i m a c 0 。这里省略了对 它的说明。 总之，i m a c 根据用户的角色进行授权和访问控制，使对用户的授权转变为 对角色的授权，实现了用户与访问权限的逻辑分离，降低了授权管理的复杂度， 减少了管理的开销。 2 2w 曲s e r v i c e s 及其安全机制介绍 广义上讲，w 曲s e i c e s 就是一种可以通过i n t e m e t 标准协议或规范来访问的 应用程序，通过编程方式向客户返回必要的信息。整个网络是一个开放式的平台， 通过组合所需要的w 曲组件，能使得应用程序进一步扩展，突破了计算机环境的 限制，能够无缝地进行通讯和数据共享。这是因为l 和s o a p 等标准规范和协 议给w 曲s e i c e s 提供了强有力的支持。安全问题是w 曲s e r v i c e s 的焦点问题，也 是目前w 曲s e i c e s 面临的迫切需要解决的问题，随着x 池签名、舭加密等标 准的制定，w 曲s e i c e s 安全机制将进一步完善。 w 曲s e i c e s 安全需要考虑的因素包括以下几个方面 1 3 】： 身份验证：标识w 曲服务用户并对其进行验证。 授权：通过验证的用户按级别授予访问权限，限制操作权限。 机密性：发送者确保正确的接受者才能够读到所发送的信息，任何第三者都 无法窃取此信息，可用加密手段实现。 完整性：确保信息没有被篡改，发送者发送信息和接受者接收的信息相一致， 通常用数字签名来完成。 下面详细介绍目前在这几个方面的实现方案。 2 2 1 身份认证 w e bs e n ，i c e s 身份认证就是验证客户端凭据的过程，身份认证要求客户端提 供能标识其身份的凭据( 如用户名密码对，客户端数字证书等) ，服务器端通过 验证客户端提供凭据的有效性来确认客户端请求的合法性，然后根据客户身份授 权资源的访问。在w e bs e r v i c e s 中，实现客户身份认证与授权主要有以下几种模 式可供选择14 】： 6 第二章安全体系综述 1 利用信息交换所使用协议的身份认证功能 s o a p 消息一般通过h 1 v r p 协议传输，因此可以直接简单的利用h t t p 的身份 认证功能实现w e bs e r v i c e s 身份认证与授权。这种模式的优点在于实施简单，无 需要改w e bs e i c e s 代码，但它把身份凭据与s o a p 消息的传输协议绑定在一起， 存在很大的局限性。 2 使用s s l 客户端证书 这种身份认证模式的缺点是实施比较繁琐，它要求每一个客户端都要安装自 己的客户端证书，同时要求在服务器端为每一个客户端证书建立与用户账号的映 射关系，因此实际操作起来非常麻烦。 3 使用s o a p 标头解析模块 客户端凭据是与w e bs e r v i c e s 语义无关的信息，使用s o a p 标头( s o a p h e a d e r ) 对它进行传递是一种很好的方式 1 5 】。实际应用中，将s o a p 标头解析模 块部署在w e bs e i c e s 组件的前端，过滤所有s o a p 请求消息【1 6 】。采用s o a p 标头 解析模块实现w e bs e r v i c e s 认证与授权的软件结构如图2 2 所示。 图2 2 使用s o a p 标头解析模块实现身份认证模式软件结构图 这种方式的优点在于将客户端凭据的传递与s o a p 消息的传输协议分离，提 高通用性。而且，解析s o a ph e a d e r 由认证模块来完成，而解析s o a pb o d y 由具 体应用模块来实现，这种架构使软件的开发和部署非常清晰【l 6 1 。 现在，w e bs e i c e s 的身份认证主要采用第三种方式，为此，o a s i s 1 7 1 提出 w s s e c 证t y 规范，为定义身份认证的s 0 a ph e a d e r 提供标准化参考，在以后的章 节会做详细介绍。 2 2 2x m 巴签名 x m l 发展至今，已经逐渐成为标准的数据描述技术，广泛用于数据交换。 由于x 池数据本身的特殊性和分布式应用的特点，在对x 文档的特定部分 第二章安全体系综述 签名、多方签名以及签名后保持x 池文档的良构性等方面，传统的数字签名技 术都无法很好地实现。 基于这样的问题，w 3 c 组织制订了x 数字签名规范【刿( x 池s i 印栅e s y n t a 】【a n dp m c e s s i n g ) ，规定了标准的x m i 数字签名语法和处理规则，成为解 决s o a 开发中消息级别安全方案的基础。被普遍接受的o a s i s 标准w s s e c u r i t ) ， 正是构建在这一技术以及帆数据加密技术的基础之上的。 同传统意义的数字签名相比，x m l 数字签名能够对舭文档进行细粒度 地分析，支持多种方式的文档数据转换，只对文档的特定部分进行签名和验证， 并且能够保持x m l 文档的良构性。此外，x m l 数字签名提供的密钥信息表示 方法清晰易读，更加便于签名的自动验证处理。x ，数字签名支持文档数据的 完整性、不可否认性，能够促进w e b 服务中数据的可信交换。 2 2 3x m i 加密 l 加密是利用现有的加密算法，定义了一套x m l 标准格式的语法和处理 规则 8 】( x m le n c 聊t i o ns y m a xa n dp r o c e s s i i l g ) ，以便保护儿文档的机密性， 具有良好的互操作性。x m i ，加密带给w e b 服务新的安全机制。 首先，可对文档的部分内容加密，儿加密打破了先前无标准机制可对文 档部分内容加密的先例，允许只对文档中部分敏感数据加密，将其他的数据仍处 在非加密的状态，缩短了密文的长度，提高了传输效率。 其次，可对整篇文档多重加密，当x 文档发送给多个接收者时，能够保 证各个接收者只能读取相应的数据信息，而对其余的数据是不可见的。 再次，可对持续性存储的文档加密，后端数据库中的重要信息经加密后，安 全性将大大提高。 儿文档的加密原理是先将) ( m l 数据抽象成为d o m 【l8 】文档对象模型，并提 取被加密对象信息，按通信双方约定的某种加密密钥和加密算法对其进行加密， 然后将加密的结果按照w 3 c 规定的x m l 标记格式替换原有的信息，形成加密后 的x i l 数据，加密后的文档依然保持) ( 】l 文件的数据格式。 根据加密对象粒度的不同，基于x m l 数据的加密分成3 种类型，加密整个文 档、加密文档中的某些元素和加密元素的内容。加密元素时，元素的标记也同时 被加密，而加密元素内容时，加密后的数据仅仅替换该标记中元素的内容【l 9 1 。 2 2 4w s s e c 埘t y 规范 上面介绍了w e bs e i c e s 的几种安全机制，为了适应当前w 曲s e n ，i c e s 环境下 对安全的特殊需求，2 0 0 2 年4 月，i b m 、m i c r o s o r 和v e r i s i g l l 在他们的w 曲站点上 第二章安全体系综述 提议建立w 曲s e i c e ss e c 面锣( w s s e c 埘t ) ，) 规范。同年6 月，o a s i s 接收到提 议的w s s e c 证t y 安全性规范。2 0 0 6 年2 月1 5 日，o a s i s 通过了w s s e c 血够1 1 安 全规范l7 1 。它建立在s o a p 规范的扩展性机制之上，提供w e bs e i c e s 结构中的增 强型安全保护功能。 w e bs e i c e s 安全规范包括w s s e c 嘶t ) ，的消息安全性模型、描述w e b s e r v i c e s 端点策略的w s p o l i c y 、w s t m s t 信任模型和隐私权模型w s p r i v a c y 。在 这些规范的基础上，还可以提供后继规范。例如安全会话w s s e c u r e c o n v e r s a t i o n 、 联合信任w s f e d e r a t i o n 和授权w s a u t h o r i z a t i o n ，从而形成了一个庞大w 曲 s e r v i c e 安全性协议家族口o 】。该安全规范的核心是v 几w e bs e i c e s 安全语言 ( w s s e c 谢t y 文档) 。 w s s e c 嘶t ) ，定义了一个用于携带安全性相关数据的s o a p 标头元素【5 】。 w s s e c 嘶t y 将安全性交互过程封装到一组s o a p 标头中，解决了如何在多点消息 路径中维护一个安全环境的问题。它提供了三种主要的机制：安全性令牌传播、 消息完整性和消息机密性【7 】。 w s s e c 谢t y 并不指定签名或加密的格式，而是指定如何在s o a p 消息中嵌 入由其他规范定义的安全性信息。例如由) ( 1 儿加密规范定义的加密信息和皿 签名规范定义的信息。 1 安全性令牌传播- ij s e m a m e t o k e n 元素 规范引入 作为验证用户名和可选密码信息的方式，这是一 种允许根据模式向报头添加其它属性的扩展性机制，下面说明该元素的句法。 下面将描述上面示例中列出的属性和元素 7 】： s 锄锄e t o k e n ：该元素用于发送基本认证信息。 m s e m 锄e t o k e i d ：该安全性令牌的一个字符串标记。 m s 锄锄e t o k e n 舢s e m a m e ：指定认证方的用户名。 肘s 锄锄e t o k e n p a s s w o r d ：这个可选元素提供密码信息。 m s e n l a m e t o k e n p a s s w o 删 t y p e ：这个可选属性将指定所提供的密码的类 型。预定义类型包括： ( 1 ) w s s e ：p a s s w o r d t e x t ( 缺省) ：用户名的实际密码。 ( 2 ) w s s e ：p a s s w o r d d 适e s t ：用户名密码摘要。值为u t f 8 编码的密码的b a s e 6 4 编码的s h a l 散列值。 9 第二章安全体系综述 2 消息完整性消息签名 安全性元素lj二二 黼 一 删 删 帆 触穹删刎酬 一l一一一一 第三章总体设计 各种数据源定义不同的格式保存其访问信息。 6 数据源相关的目录( 眦m p ) 一些数据源需要将它们的数据、元数据或者访问信息放在数据服务内部。在 数据服务项目中为每个数据源建立独立的目录存储这些信息。 3 3 数据集成平台中安全组件的设计 3 3 1 安全组件设计 在上一节已经介绍了数据集成平台的整体架构，也对三个主要功能模块：数 据服务开发工具、多数据源查询引擎和数据服务管理组件进行了简要介绍，下面 介绍为数据集成平台增加的安全组件的作用，它包括安全管理和安全控制两个模 块，在数据集成平台架构中的位置如图3 3 所示。 扣脓多数翻 i ( 注册管理x 发布管理) ( 安全管理) 1w e b 服务发布接口l 数据服务牛命周期管理 仁二) l o 黼脑隙 c o i 打包 i 数据服务开发工具 图3 3 安全组件在数据集成平台架构中的位置 从图3 3 可以看出，安全管理模块和安全控制模块分别在数据服务生命周期 管理和数据服务发布管理两方面对数据服务和数据源安全进行保护。下面通过分 1 4 第三章总体设计 析该平台架构及工作流程，明确平台中存在的安全隐患，并逐一给出解决方案， 同时对这两个模块的功能进行详细的说明。 3 3 2 安全隐