（计算机软件与理论专业论文）p2p环境下soap消息传输安全机制的研究.pdf

西华大学硕士学位论文 a s e c u r i t y t r a n s f o r m a t i o nm e t h o do fs o a p m e s s a g e i np 2 pe n v i r o n m e n t s p e c i a l i t yc o m p u t e r s o f t w a r ea n d t h e o r y m a s t e rc a n d i d a t el i uz h o n g h u a s u p e r v i s o r l i ux i n g w e i nt r a d i t i o n a lw e bs e r v i c e s ，i t d e p e n d s o nc o m m u n i c a t i o nm o d do f c l i e n t s e r v e rt h a ta l lo ft h e t e c h n o l o g yr e l a t e dw i t hw e b s e r v i c e sa n dr e a l i z a t i o no f w e b s e r v i c e s t y p i c a ls o a pp r o t o c o li sb u i l tu p o nt h ef o u n d a t i o no fh r r pp r o t o c o l s o a pc l i e n tc a l lw e bs e r v i c e ss i t u a t e di ns o a ps e r v e rt h r o u g hs o a p r e p u e s f i n g m e s s a g e ，n a m e l y ，s o a pm e s s a g et h a ti si n d u d e di nh mr e q u e s tm e s s a g ei s t r a n s m i t e d t h r o u l g hx m l m e s s a g e t h ec o m m u n i c a t i o nm e c h a n i s mf u l l yp r o v e n o n - s y m m e t r yo f b o t hs i d e so fc o m m u n i c a t i o ni ns o a p s y s t e ms t r u c t u r e ，t h a ti st o s a y ，s o a p s e r v e ri sd i f f e r e n tf r o ms o a pc l i e n ti nf u n c t i o na n dd i s p o s a la b i h t y a sa n o t h e rr e s e a r c hf o c u si nd i s t r i b u t e d t e c h n o l o g y ，p 2 ps y s t e m i sc o m p o s e do f s e v e r a l c o m p u t e r sw h i c ha r el i n k e dt o g e t h e r ，a n da t l e a s tp o s s e s s e so n eo ft h e f o l l o w i n gc h a r a c t e r i s t i c s ：s y s t e md e p e n d s o ni n i t i a t i v ec o l l a b o r a t i o no f v e r g e e q u i p m e n t ；e a c hm e m b e rb e n e f i t sf r o mo t h e rm e m b e r sd i r e c t l yr a t h e rt h a nf r o m s e r v e r ；e a c hn o d ei ns y s t e ms e l v e st h er o l e so fb o t hc l i e n ta n ds e r v e r ；u s e r si n s y s t e ma p p l i c a t i o nc a nr e a l i z et h ee x i s t e n c eo fe a c ho t h e ra n df o r mav i r t u a lo r a c t u a lg r o u p i ti se a s yt of i n do u tt h a tp 2 pl e a d sc o m p u t a t i o nm o d ef r o mc e n t r a l i z e d f a s h i o nt od e c e n t r a l i z e d f a s h i o n p 2 f p r o v i d e s b e t t e rn e t w o r k s u p p o r t i n g e n v i r o n m e n t f o r d i s t r i b u t e ds e a r c ho fi n t e m e tr e s o u r c e w i t ht h e r a p i d d e v e l o p m e n to fw e bs e r v i c e sa n dp 2 p ，t h ec o m b i n a t i o no ft h et w od i s t r i b u t e d c o m p u t i n gt e c h n o l o g i e si sa v a i l a b l e ，t h e r e f o r e ，t h i sp 却e rr e s e a r c h e sam o d e lo f w e bs e r v i c e si np 2 pn e t w o r ka n dr e a l i z e st h ei n t e g r a t i o no fs e r v i c e sa n dt h e a u t o n o m y o fr e s o u r c e st h r o u 曲t h e a d v a n t a g e so f p 2 p ，s ot h ee n t e r p r s e sc o s to f b u i l d i n ga n dm a i n t a i n i n g i n f o r m a t i o ns y s t e m si sr e d u c e d 第3 页芡6 2 页 西华大学硕士学位论文 m e a n w h i l e ，w e ba p p l i c a t i o nr e q u e s t st h a tw e bs e r v i c e ss h o u l dp o s s e s st h e c a p a c i t yo fd i s t r i b u t e dt r a n s p a r e n c ya n da u t o m a t i ci n t e g r a t i o n ，i no r d e rt oa c h i e v e t h i s t a r g e t ，d i f f e r e n tp r o v i d e r so f w e bs e r v i c e sm u s t p r o v i d e i n f o r m a t i o na c c e s sf o r o t h e rm o d u l e so f p a r t i c i p a t i n gi n t e g r a t i o n ，w h a t sm o r e ，i ti st or e a l i z ee x o t e r i ca n d s t a n d a r db u s i n e s sl o g i ci nt h ed i s t r i b u t e de n v i r o n m e n t i no r d e rt o g u a r a n t e ed a t a s e c u r i t yo fs e r v i c ep r o v i d e r s ，s e c u d t yc o n t r o lo ri n f o r m a t i o ne n c r y p t i o ns h o u l db e r e a l i z e di n l a y e ro fs e r v i c ep r o v i d e r ，w h i c hm a k es e c u r i t ys a f e g u a r db e c o m ea a u t o m a t i cr e a l i z a t i o n p a r t o fw e bs e r v i c e s b e c a u s es o a pp r o t o c o l p l a y a n i m p o r t a n tr o l ei nw e bs e r v i c e s ，t r a n s m i s s i o ns e c u r i t yo fs o a p m e s s a g ei n v o l v e d s e c u r i t yo f w h o l e w e bs e r v i c e sa p p l i c a t i o n s y s t e m ，e s p e c i a l l y ，a st h ec o m b i n a t i o no f t h et w od i s t r i b u t e dc o m p u t i n g t e c h n o l o g i e si sa v a i l a b l e ，s e c u r i t yp r o b l e mo ft h i s n e ws y s t e mi se x i g e n tt os o l v e s o ，t h i s p a p e r r e s e a r c hs e c u r i t yo fs o a p m e s s a g e t r a n s m i s s i o ni np 2 pe n v i r o n m e n t n a m e l y 。i tr e s e a r c h e st r a n s m i s s i o nm o d ea n d s e c u r i t yo f t r a n s m i s s i o np r o c e s s o fs o a p m e s s a g e i np 2 pe n v i r o n m e n t t h em a i nr e s e a r c hc o n t e n t sa n dc h a r a c t e r i s t i c si nt h i sp a p e ra r ea sf o l l o w s ： ( 1 ) a n e wm o d e lo fw e bs e r v i c e sb a s e do np 2 pi sp r e s e n t e d f u r t h e rm o r e ， s o a p m e s s a g e t r a n s m i s s i o ni sr e a i z c di np 2 p e n v i r o n m e n t ( 2 ) r e a l i z a t i o no fd i g i t a ls i g n a t u r e ( 3 ) r e a l i z a t i o no fe n c r y p t i o n ( 4 ) r e a l i z a t i o no fa u t h e n t i c a t i o n ( 5 ) r e a l i z a t i o no fa u t h o r i z a t i o n ( 6 ) f i n a l l y ，v a l i d a t es e c u r i t yo fs o a p m e s s a g e t r a n s m i s s i o nt h r o u 曲t e s t k e y w o r d s ：w e b s e r v i c e s ；p 2 p ；s i m p l eo b j e c t a c c e s sp r o t o c o l ；d i g i t a ls i g n a t u r e ； e n c r y p t i o n 第4 页共6 2 页 西华大学硕士学位论文 1 引言 1 ，1 基于p 2 p 的w e b 服务研究现状 1 1 1p 2 p p 2 p 是p e e r - t o p e e r 的缩写，郎“地位、能力同等者”、“同事”和“伙伴” 等意义。p 2 p 就是“伙伴对伙伴”的意思，技术上称为对等网。也有人认为p 2 p 中的p 是人( p e o p l e ) 的意思，事实上，我们所处的真实生活是p 2 p 的环境， 人们可以和其他人直接地交流。科学技术将我们带到了网络空间，在网络空间 我们也希望能够按照原来的p 2 p 方式交流沟通。所以p 2 p 在加强网络上人的交 流、文件交换、分布计算等方面是大有前途。 从某种意义上讲，p 2 p 体现了l u t e r n e t 的本质。在p 2 p 技术的推动下，因特 网的存储模式由现在的“内容位于中心”模式转变为“内容位于边缘”模式。 从这个角度看，p 2 p 带来了几个改变：首先，客户不再需要将文件上传至服务 器而只需要使用p 2 p 技术将共享信息发布出去；其次，运行p 2 p 的个人电脑 不再需要固定i p 地址和永久的因特网连接。用户可以随时随地加入到p 2 p 网络 中，其活动不再受固定i p 地址的限制。用户的身份也和i p 地址没有任何关系。 这使得那些通过动态i p 地址连接因特网的用户( 如拨号上网的用户) 也可以享 受p 2 p 带来的变革，而这部分用户在因特网甩户总数中占有极大的比重。最后， p 2 p 完全改变过去控制因特网的客户机，服务器模式，消除客户机和服务器二者 之间的差别。p 2 p 网络中任何一个对等点既是客户机又是服务器。 ( 1 ) p 2 p 现状。尽管p 2 p 还是一个新鲜事物，大家对p 2 p 还缺乏赢利的信 心，但是，已经有很多公司开始踏上了p 2 p 之路。英特尔公司一直是p 2 p 技术 的狂热鼓吹者。在过去的十年中，英特尔公司的芯片开发人员充分利用分布在 世界各地的工作站上的l 万台p c 的闲置硬盘空间和计算能力，从而省去了一大 笔购买高档计算机的费用。英特尔已经联合世界多家知名的高科技公司组成了 一个新的工作组，以便以更强大的实力构筑面向商务环境的p 2 p 体系。 i b m 、惠普等公司在2 0 0 0 年9 月共同推出了一种开放存储技术，这一存储 技术利用了p 2 p 技术，可1 2 上方便地从用户的硬盘向服务器上复制数据。惠普公 司还把p 2 p 的立足点放在打印技术上，该公司新推出的网络打印技术可使用户 通过p 2 p 网络共享打印机。 第7 页共6 2 页 西华大学硕士学位论文 ( 2 ) p 2 p 技术应用。p 2 p 引导网络计算模式从集中式向分布式偏移，也就 是说网络应用的核心从中央服务器向网络边缘的终端设备扩散：服务器到服务 器、服务器到p c 机、p c 机到p c 机、p c 机到w a p 手机所有网络节点上 的设备都可以建立p 2 p 对话。这使人们在i n t e r n e t 上的共享行为被提到了个 更高的层次，使人们以更主动深刻的方式参与到网络中去，下一代互联网网民 们将真正参与到网络中来，每个人都能为网络的资源和功能扩展作出自己的贡 献。p 2 p 给互联网的分布、共享精神带来了无限的暇想，从目前的应用来看， p 2 p 的应用主要有：对等计算，分布式计算。文件交换和文件共享等。 p 2 p 技术将实现互联网的大部分潜力，将互联网从一个基于文件的网页和电 子邮件网络转变成一个动态的、均匀、颗粒状的网络在这个网络中特定的信 息组件可被有效地放置和分布，网络与计算机将不再有什么差别了网络就 是计算机。这技术可以使个人电脑用户不依赖于中心服务器，就可以共享软 件、文件或相互通讯。p 2 p 在未来有几种用途：( a ) 项目的合作者通过p 2 p 技 术可以相互沟通并一起工作；( b ) p 2 p 还可以提供边缘服务：使用客户机将数 据库移到或储存在距离因特网更近的地方；( c ) p 2 p 允许在计算机之间共享文 档、多媒体以及其他文件；( d ) p 2 p 允许用户使用位于世界上任何地点的闲置 客户机上的资源进行计算工作，而不是通过服务器来进行，因此这项技术可以 提供条途径，用于分散并削减项目成本与管理。 全球各种与p 2 p 有关的研究项目层出不穷而应用热潮也是一浪高过一浪。 在可以预见的未来，随着对p 2 p 研究的进一步深入和关注p 2 p 企业的逐渐增多， p 2 p 必将进入一个飞速发展的新时期。 1 1 2w e b 服务 在计算机编程人员及其他人员看来，w e b 服务就是套编程标准，用来让 不同类型的软件可以通过网络彼此自动联系，不用人去干预。在商界人士看来， w e b 服务就是通过网络把服务提供给消费者或者公司。这通常由把软件作为现 付现购的按月讨费服务实给顾客的软件公司来完成，而不是把软件磁盘发给顾 客，让他们自己去安装。实际上，w e bs e r v i c e s 也可以看作是下一代的w w w ， 它允许各个不问的公司在w e b 站点上布署和自己公司的业务相关应用程序和 第8 页共6 2 页 西华大学硕士学位论文 系统，这些各个不同的公司所提供的应用程序和系统通过一些标准的协议( 如 h t r p ) 和数据传输的形式( 如x m l ) 进行基于h a t e r n e t 的分布式通讯和处理， 从而完成某个具体的商业流程。并且要求这些布署的应用程序和系统、各个公 司以及组织内部所使用的技术和系统无关。 具体来说，w e bs e r v i c e s 技术能够使未来的企业在复杂的商业环境中，通过 企业之间基于w e b 的合作和业务流程整合，更好的满足客户的需求，从而取得 双赢的效果。例如，在基于w e bs e r v i c e s 的环境中，可以把玩具厂商、物流厂 商以及零售商各自的不同业务流程整合成一个完整的供应链为客户提供满意的 服务。商务模式从单一的接触点( 客户 零售商) 到多个接亮虫点( 客户一 整个 供应链中的任何一个点) 的变化，也给各个企业带来了更多的销售机会和利润。 ( 1 ) w e bs e r v i c e s 的架构和技术实现。一般而言，在过去几年中，一个众 所周知的事实是：互操作性是软件工程中一个非常重要的领域。然而，不幸的 是，直到今天，应用程序互操作性无缝集成的希望仍然只是一个梦想。目前， 所有不同结构的应用程序的脆弱性阻碍了这些不同的软件实现这梦想。各种 不同架构的应用程序的脆弱性来自于应用程序和底层系统的紧密结合，这种结 合导致了应用程序在任何方面都必须依赖于其底层系统。而系统如果具备在必 要的、无需人为控制的情况下就能动态地发现资源的能力，这将会极大的提高 工作效率。因此除了考虑更多的其他技术之外。作为吸引企业的主要优势之一， 不需花费额外投资就能实现应用程序间的无缝集成的概念是促进w e b 技术发 展的主要动力之一。换句话说，要求应用程序之间实时集成的时代已经来临。 在技术方面，作为对企业需求的响应，业界已经开始通过使用开放且获得 广泛接受的标准，来提高应用程序的灵活性和互操作性。关于应用程序互操作 性的第一个重要发展，很久以前作为一个用于网络连接的开放式平台的t c p m 的出现。这个重要的发展促进了客户端，服务器应用程序架构的出现。t c p i p 导致了应用程序操作第二个重要的发展w e b 的出现，通过使用h t m l 和 盯r p ， w e b 提供了第一个真正意义上的全球开放和可移植的用户接口。在应用程序互 操作的下一个主要发展阶段中，j a v a 为我们提供了真正实现了开放性的可移植 的编程语言平台。最后，x m l 将应用程序的互操作推向了开放性的可移植的数 据交换阶段。 第9 页共6 2 页 西华大学硕士学位论文 w e b 服务属于一套被称为s o a ( s s r v i c e - 0 f i e n t e d a r c h i t e c t u r e ，面向服务的 结构) 的结构。一个s o a 结构将扮演三种简单的角色：服务请求者、服务提供 者和服务注册薄，并执行三种简单的操作：发布服务、检索服务和绑定服务。 服务提供者是服务的所有者，它把服务发布到u d d i 注册薄以便需要此服务的 用户查找定位：服务请求者通过查询u d d i 注册薄查找需要的服务然后通过相 应信息定位到该服务上：服务注册库是存储服务描述信息的信息库，它在服务 提供者和服务请求者之间充当桥梁的作用。 上述三种实体之间主耍通过发布，查找和绑定操作进行交互。服务提供者 在通过身份验证后，对服务描述信息进行发布或修改。为了使服务能够被发现， 注册中心要提供规范的查询接口。查找一般包含两种模式：浏览和直接获取。 前者是请求方根据一定分类标准来浏览，逐步缩小查找的范围，直到找到满足 需要的服务，查我结果一般是服务集合：后者则根据关键字直接得至特定服务 的描述信息，其查找结果是唯一的。请求方分析得到的服务信息，可以知道调 用该服务的具体细节，如访问路径、服务调用的参数、返回结果、传输协议等， 请求方据此进行绑定，实现对服务的远程调用。 ( 2 ) w e b 服务涉及的主要技术。w e b 服务功能栈使用了几种不同的技术， 这些技术包括x m l 、s o a p 、w s d l 和u d d i 。 x m l 是一种描述数据结构的标记语言。x m l 的好处是提供了一种既具有 h t m l 的灵活性也具有s g m l 的复杂性和精确性的标记语言，具有形式与内容 分离的特点。同时x m l 所拥有的良好扩展性、互操作性、开放性、灵活性、 自描述性等优点，又使得它非常适于w e b 上的数据交换与发布。目前x m l 已 成为开放环境下描述数据信息的标准技术，也是w e bs e r v i c e s 中信息描述和交 换的标准手段。x m l 使用x m ls c h e m a 作为建模语言。它具有丰富的数据类 型，支持类型继承，能对x m l 文件进行严格的合法性检查；使用与x m l 完全 一致的文法，统一了分析和处理方式；引入了命名空间的概念，解决了可能的 名称重复问题。x m l s c h e m a 是w e bs e r v i c e s 中协议制订的标准语言，它和x m l 共同构成w e bs e r v i c e s 的基石。 s o a p 简单对象访问协议是在分散或分布式的环境中交换信息的简单的协 议，是一个基于x m l 的协议。它包括四个部分：s o a p 封装定义了一个描述 第1 0 页共6 2 页 西华大学硕士学位论文 消息中的内容是什么，是谁发送的，谁应当接受并处理它以及如何处理它们的 框架；s o a p 编码规则用于表示应用程序需要使用的数据类型的实例；s o a p r p c 表示远程过程调用和应答的协定；s o a p 绑定使用底层协议交换信息。虽 然这四个部分都作为s o a p 的一个整体定义的，但他们在功能上是相交的、彼 此独立的。特别的，信封和编码规则是被定义在不同的x m l 命名空间中，这 样使得定义更加简单。 w s d l 是描述w e b 服务的标准x m l 格式，w s d l 由a r i b a 、i n t e | 、i b m 和 微软等开发商提出。它用种和具体语言无关的抽象方式定义了给定w e b 服务 收发的有关操作和消息。就其定义来说，还不能把w s d l 当作一种对象接口定 义语言，例如，c 0 r b a 或c o m 等应用程序体系结构就会用到对象接口定义语 言。w s d l 保持协议中立，但它确实内建了绑定s o a p 的支持，从而同s o a p 建立了不可分割的联系。 为了使服务申请者能够查找需要的服务，业界制订了注册和查找w e b 服务 的u d d i 技术规范。u d d i 注册中心是对所有提供公共u d d i 注册服务站点的 统称，凡是实现u d d i 规范的站点都可被称为u d d 操作入口站点，站点之间 通过复制机制保持彼此间的内容同步。服务提供者可以在服务注册中心发布自 己提供的服务，服务请求者贝q 在注册中心查找期望的服务。 1 1 3p 2 p 环境中的w e b 服务 p 2 p 是一种新兴的基于对等网络的架构，是计算机系统的结构从传统的集中 式发展为分布式的新模式p 2 p 在充分幂用现有的i t 设各，并进行资源的按需 配置方面以及p 2 p 这种具有分布式结构的应用系统在开放式环境下提供高质量 的服务、缩短w e b 服务的响应时间、提高系统的健壮性方面具有明显优势。同 时，w 曲服务和p 2 p 计算环境本身具有较多的相似之处和若同特征，所以，在 p 2 p 计算平台上建立w e b 服务是一种较理想的w e b 服务实现方案，可以有效利 用p 2 p 本身的优势高效地实现服务的集成及资源的自治。 原型系统a x m l 是p 2 p 平台上w e b 服务应用的一个实例，它采用的是“轻 量级”的p 2 p 架构，即系统的实现中对单个p e e r 之间的交互作了大量的简化， 并采用了相应的等价策略。在a x m l 中一系列x m l 文档是w e b 服务的数据源； 第1 l 页共6 2 页 西华大学硕士学位论文 而作为分布在各p e e r 上的服务提供者，这些x m l 文档中嵌入了w e b 服务的调 用请求，这些请求以特殊的x m l 标签标明，服务请求中给出了该服务提供者 的p e e r 标识：每个服务提供者对应一个p e e r ，这些p e e r 之间通过x m l 格式的 s o a p 消息进行通信，实现了嵌入在x m l 文档中的w e b 服务请求的执行。文 献【8 】提出了p 2 p 环境下一种w e b 服务社区化管理的基本框架。将整个p 2 p 环 境中的节点按逻辑划分为若干个小区，每个小区配置个服务代理协调者，此 协调者在小区中起注册中心和服务代理的作用，它维持小区中p e e r s 的状态( 在 线，i p 地址等) 以及服务的信息。不同的小区通过各自的协调者进行通信。如 果问题能够在小区内部解决，就没有必要访问其它小区。如果小区内没有相应 服务，再通过协调者在其它小区内寻找相应的服务。此外有文献提出了在j x t a 上进行s o a p 消息通信的模型，通过j x t a 通信管道实现s o a p 消息的传输。 j x t a 对等节点通过一个管道服务连接到j x t a 网络中，j x t a 管道能接受任何 类型的数掘消息。对于s o a p 请求消息，这个管道将用于传输x m l 的消息元 素。s o a p 客户端负责与s o a p 服务器进行交互，因此既不需要使用h r r pu r l 也不需要使用静态i p 地址。有文章提出一个在p 2 p 环境下的w e b 服务框架， 它是由许多服务代理、服务提供者和服务请求者组成，支持在p 2 p 环境下共享 w e b 服务。服务提供者提供服务，服务请求者请求服务，而服务代理负责维护 节点的状态信息和服务的有关信息。每个服务节点包括一些服务提供者和服务 请求者，这组成了一个社区，各社区之间通过服务代理进行交互。 针对在面向服务韵架构中，服务的自动发现是难点和关键，有文章【9 】提出 了一种基于p 2 p 技术和语义网技术的服务发现机制，将服务的部署与服务的发 布无缝地绑定在一起，在处理用户查询的时候，提出了二阶段查询方法和两层 搜索机制。该机制由于采用了p 2 p 技术，使得服务提供者可以自由的随时加入、 变更和退出，不会影响最终用户的查询效果。f a m o u s hb a n a e i k a s h a n i 等人在 论文w s p d s ：w e bs e r v i c e sp e e r - t o - p e e rd i s c o v e r ys e r v i c e 中分析传统w e b 服务 中采用集中化发现服务的缺点，提出了w s p d s 结构，它的含义是指一个具有 无组织的p 2 p 体系结构的完全分散和协作的发现服务。文章指出w s p d s 是一 个执行协作服务的分布式发现服务，网络中的由p e e r s 组成的w s p d s 服务者协 作解决发现服务查询。每个服务者有两个引擎组成：通讯引擎和本地查询引擎。 第1 2 页共6 2 页 西华大学硕士学位论文 通讯引擎负责两个功能：( 1 ) 收集来自用户的服务请求，并把它分解成小的任 务由本地查询和全局查询执行实际操作，最后把查询结果组合反馈给用户：( 2 ) 接收来自p 2 p 环境下邻居查询节点的查询。本地查询：本地搜索引擎收集来自 通讯引擎的查询，查询本地站点匹配的服务。并把结果反馈给通讯引擎。 论文s e l 2 s e r v ：ap l a t f o r mf o rr a p i dc o m p o s i t i o no fw e bs e r v i c e si n a p e e r - t o p e e re n v i r o n m e n t 提出了快速组合w 曲服务的s e l f s e r v 平台，在 s e l b s e r v 中，单个的w e b 服务被发布，在p 2 p 和动态环境下，根据需要把 单个服务进行组合来执行。s e l f - s e r v 包括三种类型的服务：基本服务。合成 服务和服务社区。基本服务是一个能够独立执行的实体，合成服务包括许多 w e b 服务，而服务社区则是为了能够组合潜在的大数量的动态服务而提出的。 该方案有效利用了p 2 p 计算平台的优点，提出组合服务的执行、基本服务的合 理调度、协调通信和消息传递机制以及动态w e b 服务的增量式注册和发布策 略。也有作者指出语义w e b 服务是最有可能组合语义w e b 和w e b 服务技术， 它鼹在动态执行、发现和在语义组合w c b 服务。文章还分析p 2 p 的一些缺点， 为语义w e b 服务提出一个可扩展的、基于本体的p 2 p 基础架构。 总结上述几种解决方案，其模型均存在一定的缺陷，比如服务代理机制过 于松散、缺乏有效管理控制以及查询效率较低。除此之外这些系统大都使用独 立的p 2 p 平台，缺乏统一标准。因此我们认为一个实用的、分布化的w e b 服务 模型应该建立在通用或者标准的p 2 p 平台基础之上，充分利用p 2 p 的优点使得 服务的发布与发现分散化以解决传统w e b 服务的网络瓶颈和单接点错误等问 题。 1 2w e b 服务安全研究现状 w e b 应用要求w e b 服务具有分布透明性和自动集成的能力。为了达到这一 目的，不同的w e b 服务提供者必须为其他参与集成的模块或组件提供可进彳亍信 息存取的接口，并且基于分布式环境实现开放的、标准的商务逻辑。为了保证 各服务提供者的数据安全，必须在服务提供者的层次进行安全控制或者信息加 密，从而使“安全保证”成为w e b 服务中一个自动完成的部分。因为s o a p 协议比较简单，因此也带来了安全的问题，尤其是当整个企业的内部资源和信 第1 3 页共6 2 页 西华大学硕士学位论文 息通过w e bs e r v i c e s 在i n t e m e t 和其他的应用系统进行交互时，安全性就显得 尤为重要了。目前对w e b 服务安全的研究很多，主要列出了下面几项： 文献 1 1 】介绍了w e b s e c u r i t y 框架以及w e b s e r v i c e 安全体系，通过个简 化的电子商务场景，详细展示了如何使用w s s e c u r i t y 规范，实现安全的s o a p 消息调用。指出了使用w s s e c u r i t y 时，防范重传攻击的各种措施，并提出了 一个简化的挑战响应模型。文献【1 2 】通过对现有的w e bs e r v i c e s 服务中存在的 包括数掘保密性、完整性、用户身份的认证和交易的不可抵赖性的4 个涉及安 全性问题的分析和研究，提出了用s s l 和x m l 加密、x m l 数字签名、s a m l c 以及x k m s 来解决相应的安全方面的问题。文献 1 3 提出了c 1 t x m l 安全平 台，并详细介绍了c 1 t 数字签名，c r 加密模型，c i t 智能卡加密和s p k i 接口 安全模型的语义和处理，提供了对在各种服务器交换的x m l 文档以及非x m l 文档的安全服务。文献1 1 4 针对s o a p 规范本身缺少安全处理机制的问题，通 过研究w 3 c 的相关x m l 规范和分析比较业界现有的s o a p 安全策略，设计和 实现了一种在s o a p 层进行安全扩展的方法。文献【1 5 】通过分析基于s o a p 协 议的信息传输模式在安全方面的不足，提出了s o a p 安全扩展的理论，并建立 了s o a p 安全扩展模型s x s o a p ，而s x s o a p 安全扩展模型的核心机制是在 s o a p 模型基础之上增加了s o a p 签名、s o a p 加密、s o a p 授权和s o a p 密 钥管理。文献i t 6 设计和实现了x m l 数字签名和x m l 加密系统，该系统能够 对x m l 文档、x m l 元素以及任意二进制数据加密、签名，保证了x m l 数据 的安全。文献【1 7 则在w e bs e r v i c e 中实现了身份验证的一个理想方法，并基于 该方法，提出了具有身份验证的w c bs e r v i c e 的客户端实现。文献【1 8 】利用s o a p 和w e b 服务开发分布式应用过程中使用s o a p 头部来实现身份验证。在文献 1 9 1 中，被业界认为是i t 技术第三次革命的w e bs e r v i c e s 技术正在逐步得到广泛应 用，其s o a p x m l 信息描述和交换的架构广受欢迎，但安全性一直是其薄弱 环节本文从应用层面，利用标准对称和非对称密码算法通过消息级别的加 密来增强w e bs e r v i c e s 的安全性。文献【2 0 】利用第三方a p i 在a x i s 上实现s o a p 数字签名来保证了其安全性。文献【2 1 】认为传统的s o a p 协议将安全定性为传 输问题，这制约了其进一步的发展。该文通过对x m l w e bs e r v i c e 自定义安全 实现的研究，将身份验证和授权等安全机制与传输分离，从而使得x m lw e b 第1 4 页共6 2 页 西华大学硕士学位论文 s e r v i c e 的应用范围得以进一步扩大，并可以根据自己的需要定制x m lw c b s e r v i c e 的安全特性。 综上所述，为了保证i n t e r a c t 上w e b 应用的安全，防止信息被非法访问和 修改，需要采用安全控制或信息加密等手段。现有的安全技术如数字签名、x m l 加密标准、访问控制技术等，一定程度上解决了特定的安全问题，但如何能够 有效地保证不同粒度级别的数据机密性、完整性和可用性是一个重要的研究问 题，瑚盯p 和s o a p 为w e b 服务提供了定级别的安全性，w s s e c u r i t y ， w s t r u s t 等规范提供了一个框架级别的安全标准，还需要在应用中进一步验 证。另外，m i c r o s o f tp a s s p o r t 和l i b e r t ya l l i a n c e 在统一安全认证服务的提供与 协议的制订方面做出了大量的工作，但在企业级别的集成应用还很不够。 1 3 课题背景及特色 1 3 i 课题背景和研究的意义 w e b 服务使用w s d l 和s o a p 协议进行服务的描述和调用。在w e b 服务 中。所有与w e b 服务相关的技术和w e b 服务的主要实现都依赖于传统的客户 端朋艮务器通信模型，s o a p 协议就是建立在h t r p 协议基础上。s o a p 客户端 通过编辑s o a p 请求消息来调用位于s o a p 服务器上的w e b 服务，即s o a p 消息是封装在h 唧请求中通过x m l 消息进行传送的。另一方面，s o a p 服 务器将调用w e b 服务并编辑w e b 响应消息，该消息将被返回给发送该请求消 息的s o a p 客户端。这种通信机制充分证明了s o a p 体系结构中通信双方的非 对称性，即参与通信的s o a p 服务器和s o a p 客户端在功能以及由此产生的处 理能力上都存在差别。这种通信模式非常类似于w c b 服务器和w e b 浏览器之 间的客户朋日务通信模式，因此我们需要研究在特定环境下或者不用h t r p 、 s m t p 等集中化协议的前提下，s q 心消息的传输方式以及传输过程的安全性。 另外，w e b 服务在发现和定位服务时一般采用u d d i 协议。本质上，u d d i 也采用了客户服务的通信模式，在这种通信模式下，u d d i 服务器扮演注册库 操作员的角色，而u d d i 客户端则扮演w e b 服务的发布者或者希望在网络上发 布、检索w e b 服务的客户端的角色。随着接入节点的增多，u d d i 注册库处理 的数据量将非常惊人，其大小会量指数级增长，因此我们需要研究在u d d i 注 第】5 页共6 2 页 西华大学硕士学位论文 册库的分布式化，即如何将集中化的单一u d d i 注册库转变为特定网络支撑环 境下的、遵循u d d i 规范的注册库网络。 作为分布式技术的另一个热点，p 2 p 技术以其分散性、低费用、高效率和适 用于分布式计算而得到广泛应用。p 2 p 系统由若干互联协作的计算机组成，且 至少具有如下特征之一：系统依赖于边缘化设备的主动协作，每个成员直接从 其它成员而不是从服务器的参与中受益，系统中成员同时扮演服务器与客户机 的角色，系统应用的用户能够意识到彼此的存在，构成一个虚拟或实际的群体。 不难看出，p 2 p 把网络计算模式从集中式引向分布式，也就是说：网络应用的 核心从中央服务器向网络的边缘终端扩散，服务器，p c 机，w a p 等所有网络 节点设备都可以建立p 2 p 会话。p 2 p 为i n t e r a c t 上资源的分布式搜索( 特别是 w e b 服务) 提供了良好的网络支撑环境。 因此，本文提出在p 2 p 环境下研究w e b 服务的工作机制，特别是s o a p 消 息传输安全机制的研究，对于分布式技术、w e b 服务自身的发展及应用都二具有 十分重要的意义。本文的理论和技术的研究作为“基于p 2 p 的w c bs e r v i c e s 新 模型的研究”项目的重要组成部分，受到省教育厅自然科学膏年基金( 编号 2 0 0 4 8 0 1 2 ) 的资助。 1 3 2 技术路线 本文的研究主要由两部分组成：首先在分析w e b 服务和p 2 p 技术工作原理 的基础上提出一种p 2 p 环境下的w e b 服务计算模型；然后在此基础上重点研究 s o a p 消息传输的安全性。 1 3 3 本文主要工作 本文研究的内容主要包括； ( 1 ) 分析国内外相关文献资料，分别对p 2 p 和w e b 服务进行深入细致的 研究，提出一种基于p 2 p 的w e b 服务模型，并实现s o a p 消息在p 2 p 网络中 的传输。 ( 2 ) 针对p 2 p 架构是一种松散的分布式环境，为了保证w e b 服务在p 2 p 下传输的安全性，通过对有关网络安全知识的研究，并参考p 2 p 、w c b 服务有 关安全的文献资料，提出采用数字签名、加密、认证和授权来实现s o a p 消息 第1 6 页共6 2 页 西华大学硕士学位论文 在p 2 p 环境下的安全传输。 ( 3 ) 最后采用实验的方式对p 2 p 环境下的s o a p 消息传输安全机制进行验 证并指出进一步研究的方向。 第1 7 页共6 2 页 西华大学硕士学位论文 2 一种基于p 2 p 的w e b 服务计算模型 2 1w e b 服务协议模型和p 2 p 技术 w e b 服务模型提供了三种用于实现互操作性的功能栈：网络通信功能栈、 描述功能栈和资源检索功能栈。下面透过实例来说明三个功能栈的作用，即假 设需要某个产品或服务时，将采取怎样的步骤： 首先，需要知道谁能为我们提供需要的产品或服务。获得这信息的过程 是一个搜索或检索操作，这个操作的执行结果将会产生一个由服务提供商组成 的列衰，通用描述、检索和集成u d d i ( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r y ，a n d i n t e g r a t i o n ) i e 是为实现这一功能栈而提供的技术；其次，当找到了需要的服务 的提供商之后，需要理解如何与服务提供商进行通信，这正是描述功能栈服务 需要实现的功能，对所有电子商务应用程序而畜，这个功能栈都是必须的。如 果一个软件部件在与其他软件部件进行通信时不