（计算机应用技术专业论文）基于soap扩展的web服务安全模型研究.pdf

摘要 w e b 服务作为新一代的平台独立的分布式计算方式，具有适合异构系统集成、易于 开发和部署、易于发现和调用等诸多优势，近年来逐渐流行，在很多领域得到了广泛应 用，但是w e b 服务仍然面临多方面的技术挑战，安全就是其中非常重要的一个方面。 作为典型的分布式应用，w e b 服务的安全性要求包括t 数据机密性、完整性、不可 否认性、身份认证、访问控制等多个方面，同时其自身的特点动态联合、多方参与 等又带来新的安全挑战。传统的安全通信机制如s s l r r l s 、i p s o c 等，不能满足w e b 服 务有中介参与时端到端的安全要求，w e b 服务需要消息级别的安全机制来保证端到端的 消息安全和提供认证、访问控制。w e b 服务的动态交互的特点增加了授权决策的难度， 服务用户和服务提供者之间没有预先建立的信任关系，传统访问控制机制还存在不足， w 曲服务需要一种更适合的访问控制方式。 本文分析了现有安全技术保护w e b 服务安全的不足，基于w e b 服务的典型应用的 安全需求，将w e b 服务安全规范协同使用设计了基于s o a p 扩展的w e b 服务安全模型， 将安全应用于s o a p 消息，为w e b 服务安全提供整体的解决方案，既满足端到端的消 息安全要求，又提供访问控制。模型充分考虑w e b 服务跨组织、动态交互的特点，使 用s a m l 断言传递安全信息以实现信任传递，针对p k i 部署复杂以及不同p k i 解决方 案之问难于互操作的缺点，使用x k m s 服务提供p k i 功能。模型依赖于一个消息安全 处理模型和一个访问控制模型。消息安全处理模型提供可扩展的安全处理层对s o a p 进行安全处理和传递身份验证、访问控制所需的安全信息，为w e b 服务提供透明的安 全服务。访问控制模型以x a c m l 通用模型为基础，采用基于属性的访问控制方式，根 据s a m l 断言以及w e b 服务参数进行授权决策，除可以提供跨域的访问控制，还具有 适应动态环境的高度灵活性和可伸缩性。访问控制模型中给出了使用x a c m l 表达的策 略结构。 在安全模型的基础上，本文对a x i s 消息处理框架的特点进行研究，结合供应链管 理应用的一个场景，设计了一个基于j 2 e e 平台和a x i ss o a p 引擎的安全框架。安全框 架中包含一系列的安全处理器，和s o a p 引擎无缝结合，通过可配置的方式提供安全功 能，用来保证w e b 服务的完整性和机密性，以及提供更高层次的身份验证，访问控制 和审计功能。除了安全处理器，本文还根据访问控制模型设计了安全框架中的访问控制 机制。 最后，根据安全框架的设计。本文实现了安全处理器及访问控制、审计所需的类， 并同w s s 4 j 处理器结合应用在供应链管理应用场景的程序当中。 关键词：w e b 服务安全安全框架基于属性的访问控制w s s e c u r i t yx a c m l a b s t r a c t w e bs e r v i c e s ，t h en e wg e n e r a t i o nm e t h o df o rp l a t f o r m - i n d e p e n d e n td i s t r i b u t e dc o m p u t i n g ， w h i c ha r ep o p u l a ra n dw i d e l yu s e di nm a n yf i e l d s , h a v et h ef o l l o w i n gb e n e f i t si n c l u d i n g s u i t a b l et oi n t e g r a t ec o m p l e t e l yd i f f e r e n tc o m p u t i n gs y s t e m s ，f a s ta n de h e a pt 0d e v e l o pa n d e a s yt od e p l o y h o w e v e r , 也e ys t i l lf a c et e c h n o l o g yc h a l l e n g e s 疗o mm a n ya s p e c t s ，a m o n g w h i c hs c c u l ei st h em o s ti m p o r t a n to n e a sat y p i c a ld i s t r i b u t e da p p l i c a f i o n w 曲s e r v i c e sh a v et h es e c u r i t yr c q u i r e m e n t si n c l u d i n g c o n f i d e n t i a l i t y , i n t e g r i t y , a u t h e n t i c a t i o n ，n o nr e p u d i a t i o na n da u t h o r i z a t i o n a tt h es a l t l et i m e , t h e i r so w nc h a r a c t e r i s t i c s s u c ha sd y n a r a i ei n t e r a e t i o na n dm u l t i p i ep a r t i c i p a t o r sb r i n gn e w c h a l l e n g e st 0t h es e c u r i t yi s s u e s i nm a n yc a s e s e x i s t i n gs e c u r et r a n s p o r ts o l u t i o n ss u c ha s s s i _ f l sa n d 口8 e cg i v eag o o ds o l u t i o nf o rs g c ：l l i ct r a n s p o r to fs o a pm e s s a g e s h o w e v e r n o ta l w a y s s o a pm e s s a g i n gi ss p e c i a l l yd e s i g n e dw i t hi n t e r m e d i a r i e s s ow r 曲s e r v i c e s d e m a n de n d - t o - e n dm e s s a g el e v e ls e c u r i t y o nt h e o t h e rh a n d , i t si n h e r e n th e t e r o g e n e i t y , d y n a m i ca n dd i s t r i b u f i o nm a k ea u t h o r i z a t i o nc o n t r o lm o t d i f f i c u l t 0 f l e n , t h e r ei sn ot r u s t r e l a t i o n s h i pb e t w e e ni l q e ra n ds e r v i c e sp r o v i d e r s t r a d i t i o n a la c c e s sc o n t r o lm o d e lh a s s h o r t c o m i n g s s o 协s e r v i c e sd e m a n dam o f es u i t a b l ew a y f o ra c c e s sc o n t r 0 1 1 1 1 i sm e s i sp o i n t so u tt h ed i f f e r e n c e sa n dr e q u i r e m e n t so f w 曲s e r v i c e ss e 舢r i t y , a n da n a l y s e s s h o r t c o m i n g so fe x i s t i n gs e c u r i t yt e c h n o l o g i e s b a s e do nt h er e s e a r c ho fw e bs e c u r i t y s p e c i f i c a t i o m i tp u tf o r w a r d sam e s s a g el e v e ls e c l l r i t ym o d e lf o rt h et y p i c a lw 曲s e r v i c e s a p p l i c a t i o n t h em o d e li m p l e m e n t ss e c l ：l r i t ym e g h a n i s mi ns o a p i tp r o v i d e sb o t hs e c u r i t y t r a n s p o r to fs o a pm e s s a g 鹪a n da na c 嘶sc o n t r o ls e c u r i t y t h em o d e lt l s 鹤) e k m sa sa r e p l a c e m e n to fp k ia n ds a m la s s e r t i o nt oe x c h a n g ea u t h e n t i c a t i o na sw e l la sa u t h o r i z a t i o n i n f o r m a t i o no f u s e r s t h ei m p l e m e n to f t h em o d e ld e p e n d so n am e s s a g ep r o c e s s i n gs e c u r i t y m o d e la n da l la c c 4 e s sc o n t r o lr o o d e l m e s s a g ep r o c e s s i n gs e c u r i t ym o d e ls u p p l i e sm e s s a g e p r o c e s s i n gl a y e r st os e t u pas e c u r i t yc o n t e x ta n da d ds e c u r i t yi n f o r m a t i o nf o ra u t h e n t i c a t i o n a n da u t h o r i z a t i o n i tc a np r o v i d et r a n s p a r e n ts e c u r i t ys e r v i c e sf o rw 曲s e r v i c e s 。a c c e s s c o n t r o lm o d e la d o p ta t t r i b u t e - b a s e da c c e s sc o n t r o la n dx a c m la sp o l i c yl a n g u a g e i tc a n p r o v i d e 孤嬲sc o n t r o la s t o s st r u s td o m a i nb a s e do ns a m l a s s e r t i o na n dt a k e sw j bs e r v i c e s p a r a m e t e r si n t oa c c o u n t a i s o ，t h et h e s i se s t a b l i s h e st h em a p p i n gb e t w e e nx a c m la n d a e o n sc o n t r o lr o o d e l t h ea c c e s sc o n t r o lm o d e li sf l e x i b l ea n ds c a l a b l e f u r t h e r m o r e ，o nt h eb a s i so fs e c a l r i t ym o d e l ，c o m b i n e dw i t has i m p l e 飘譬n a r i oo fs u p p l y c h a i nm a n a g e m e n ta p p l i c a f i o n t h i st h e s i sd e s c r i b e sas e c i l i v i t yf r a m e w o r ko r i e n t e dj 2 e e p l a t f o r ma n da x i ss o a ps e f v e f - as e r i e so fs e e u r i t yh a n d l e r sa r ed e s i 耐t oe r f l t s u r et h e c o n f i d e n t i a l i t ya n di n t e g r i t yo fw 曲s e r v i c e sa n dp r o v i d em e c h a n i s m ss u c ha sa u t h e n t i c a t e , a p e e s sc o n t r o la n da u d i t b e s i d e s i td e s c r i b e sa c c e s sc o n t r o lm e c h a n i s mi nt h ef 1 a n l e w o r k ， w h i c hi sd e s i g n e da c c o r d i n gt ot h ea c c 髂sc o n t r o lr o o d e l a tl a s t , t h er e a l i z a t i o nm e t h o do fs e c u r i t yh a n d l e r sa n dc o m p o n e n t sf o ra c c e s sc o n t r o la n d l i a u d i ti si n t r o d u c e di nd e t a i li nt h i st h e s i s a l o n gw i t hw s s 4 j h a n d l e r s ，t h e s eh n p l e m e n t sa l e a p p l i e dt ot h ea p p l i c a t i o no f s u p p l yc h a i nm a n a g e m e n t k e y w o r d s ：w e bs e r v i c e ss e c u r i t y , s e c u r i t yf r a m e w o r k , a b a c ，w s s e c u r i t y , x a c m l i i 阿海大学硕士研究生论文基于s o a p 扩展的w e b 服务安全模型研究 1 , 1 研究背景 1 1 1w e b 服务概述 第一章绪论 随着现代社会企业业务范围的不断扩大和不同组织、企业问的交互需求的增加，对 分布式计算体系结构提出了更高的要求，即实现异构系统之间的交互和集成。传统的分 布式技术采用固定的接口，对于环境或需求的改变，这种方式缺乏灵活性或适用性。因 此，人们开始将注意力转向一种新的分布式体系w 西服务。它通过将业务逻辑功能 封装成部署于i n t e r n e t 的软件组件服务、并发布该服务供其它用户使用，从而使得 w e b 不仅成为信息共享的平台，而且成为服务共享的平台。 关于w e b 服务，目前并没有一个统一的定义。m m 将其定义为“自包含的模块化应 用程序，它可以通过网络进行描述、发布、定位和调用m ”。w 3 cw e bs e r v i c e sa r c h i t e c t u r e 小组达成一致意见的w e b 服务的暂行定义如下：w e b 服务是由u 姒标识的软件应用程 序，其接口和绑定可以通过x m l 构件进行定义、描述和发现，w c b 服务支持通过基于 因特网的协议使用基于x m l 的消息与其他软件应用程序直接交互【2 】。 w e b 服务作为新一代分布式应用，具有松散耦合、语言中立、平台无关等优点，弥 补了传统的分布式对象模型的不足，在企业应用集成( e a i ) 、b 2 b 以及b 2 c 的电子商 务集成、代码和数据重用等领域得到了迅速推广。另外，移动计算、网格计算环境中也 应用了w e b 服务技术。目前，引领业界的许多公司( 如m m 、m i c r o s o f t 、s u n 等等) 都支持w e b 服务，他们不断在市场上推广w e b 服务，同时完善w e b 服务技术和推出 w e b 服务相关产品。 众多厂商和研究人员的参与，使w e b 服务的技术日趋成熟，但w e b 服务仍然面临 多方面的技术挑战，诸如性能评价、不同w e b 服务平台的互操作问题、安全性、事务 管理等，需要不断的研究和完善。 1 1 2w e b 服务安全 w e b 服务作为开放技术架构将是未来应用架构的一个极为重要的模式，它具有松散 耦合与分布式、使用标准协议规范、高度可集成等特性，从而确定了w 曲服务日益成为 主流的地位。但是，它的这些特点，诸如：分散的体系结构、分散的管理、不同种类的 实现方法，动态的联合、多企业的连接、对因特网的公开等都对安全性带来巨大的挑战。 河海大学硕士研究生论文 基于s o a p 扩展的w e b 服务安全模型研究 w c b 服务使用s o a p 经由i n t e r n e t 进行信息交换，而s o a p 作为轻量级协议在设计时没 有考虑到任何安全相关的问题，这就是说消息是以基于x m l 的明文形式传输的，存在着 信息丢失、被窃听、被篡改的安全风险。同时，w c b 服务作为一个开放的体系结构，向 外界提供应用接口，通过s o a p 消息就可以触发应用程序的内部活动，更容易受到非授 权的访问。 w c b 服务安全的信息交换可以通过五个方面来确保：机密性、完整性、不可否认性、 身份验证和授权口】，【4 】。传统的安全机制仍是保护w e b 服务比较常用的手段，但是面对w e b 服务一些新的安全特点，它们并不够用。 防火墙在监视端口和记录恶意攻击方面起到很好的作用，然而却不善于查看消息内 容以防止一些较隐蔽的安全问题。防火墙能够辨识s o a p 消息，但把其看成是封装的很 好的 r r r p 通信，常常是被设置成允许或者不允许s o a p 通信的方式。常用的传输层安 全通信机制( 如s s l ，t l s ，m s c c 等) 适用于传输层网络层的数据安全保护，但无法 为w e b 服务提供应用层的s o a p 消息安全保护，以$ s l 为例说明，传输层安全通信机 制的局限性主要表现为【4 j ： 点到点安全：尽管s s l 提供了传输数据的机密性、完整性及通信双方的双向鉴 别，但在多个实体参与的业务流程中，它只能确保相邻实体间点到点的消息安全，不能 保护涉及到中介时端到端的消息安全交换。在w e b 服务多跳拓扑中，如果使用s s l 作 为保密机制，当消息到达中介时，s s l 会将消息解密，在向下个节点传输时再加密，这 样在消息到达目标服务时，极有可能损害消息安全。 依赖于h 哪传输协议：s s l 目前仅和肌协议有绑定，不能为s m t p 等其 他传输协议提供安全保护，不具有传输独立性。而在进行协议转换时，也会造成安全信 息阻塞在h t t p s 端点之外。当w e b 服务需要消息来源认证和整个系统应用级别的消息 完整性时，s s l 不能提供这种机制。 不能对发送的消息进行审查：s s l 只负责保护在两个节点之间的消息安全通道， 但不对消息的安全性做任何审查，如果消息中包含攻击信息，它就无能为力了。 不能传递有关终端用户的安全信息； 无法选择粒度：s s l 提供的是面向数据流的安全信道，对发送的消息全部加密， 无法实现对传输数据的细粒度安全保护。w e b 服务环境下可能有很多参与者，每个参与 者被授权访问消息文档的特定部分，这就需要细粒度的保护，只允许特定接收者读取属 于他那部分的内容，s s l 无法做到这一点。s s l 对消息全部加密，当内容较多时，也会 对性能产生影响。 鉴于这些不足，在w e b 服务的很多应用场景中，传输层网络层安全机制不能提供 足够的安全，w e b 服务需要的是端到端的消息安全解决方案，一方面持久化的保护消息 安全，另一方面将安全信息置于s o a p 消息中，借助对消息的保护措旌，安全信息也能 做到端到端的传递，从而对身份验证、访问控制及审计机制进行支持5 1 。 仅依靠消息的安全不足以保证w e b 服务应用的安全，w e b 服务需要进行访问控制， 2 河海大学硕士研究生论文基于s o a p 扩展的w e b 服务安全模型研究 对于合法的请求方按照消息的内容做出适当的反应和行为。w e b 服务不同于传统应用系 统的对象，它往往由软件模块组合而成，向外暴露一个服务端点，依赖于请求及相关输 入参数来执行，参数需要作为访问控制考虑的选项。同时，由于w e b 服务的动态交互 特点，应用中环境关联越来越松散，授权政策也越来越难于执行【6 】。服务请求者和服务 提供者往往跨组织边界，认证和授权需要跨安全域，而且w e b 服务可以以不可预知的 方式被来自各个安全域的大量成员调用。这些都对访问控制提出了新的要求，现有的访 问控制机制如m a c 、d a c 和r b a c 都建立在用户的身份基础上，没有考虑环境因素的 影响，在适应动态性需求以及灵活性、可伸缩性方面都还不够，只能解决部分应用中的 安全问题，因此w e b 服务多方参与、动态交互的环境需要更适合的访问控制方式。 另外，w e b 服务交互通常由服务使用者发起，他们和服务提供者之前通常没有关系， w e b 服务交互的分布式特征要求有一种标准的方式在应用程序域中传播身份和信任。 w e b 服务要取得成功，能否保证安全是关键。针对安全的现状，业界提出一系列的 安全规范。对这些规范和现有的安全技术加以研究，在w e b 服务实际的开发和部署中， 合适的选取并综合运用这些规范和技术，设计良好的安全模型，给w e b 服务足够的保 护，满足w e b 服务实施的安全需求是本文的目标。w e b 服务安全的基本原则就是要满 足机密性、完整性、不可否认性、身份验证和授权需求，本文中为便于研究和陈述，按 照这五个要求以及网络上信息存在的两种状态：存储或者传输，从两个方面来研究w e b 服务安全，即消息安全和访问控制安全。 1 2 国内外研究现状 1 2 1 国外研究 目前国外对w e b 服务安全性的研究集中体现在：结合概念性w e b 服务协议栈，研 究制定w e b 服务安全性规范及相应规范的实现。 1 规范研究 针对w e b 服务的安全问题，w 3 c 、o a s i s ( 结构化信息标准组织) 、w s - i ( w e b 服务互操作组织) 、j c p 等组织致力于w e b 服务安全规范、路线和工具的研究。j c p 、 w 3 c 和o a s i s 开发w e b 服务安全相关的规范，w s i 创建p r o f i l e s ，提供实现规范中哪 些部分以及如何实现规范的建议和指导。 w e b 服务的关键技术都是以x m l 为基础的，因此x m l 的安全技术对于保证w e b 服务 安全有重要意义。目前的安全规范中，与x m 嘲关的主要有：x m i a 签名【_ 7 l 和x m l j 阳密p j 。 由i e l 限和w 3 c 共同组建的x m ls i g n a t u r e - l 作组在2 0 0 1 年8 , q 2 0 t 了公布了x m l 数字签名 的推荐版本，作为数字签名的规范推出。w 3 c 在2 0 0 2 年行将结束时宣布通过了关于x m l 语言的两项加密规范，在w e b 服务安全建设道路上又迈出了一大步。x m l 签名和加密本 3 河海大学硕士研究生论文基于s o a p 扩展的w e b 服务安全模型研究 身并不是一项w e b 服务安全技术，但却是许多w e b 服务安全技术的基础构件。x m l 签名 用于确保“l 文件内容的完整性。x i v l l j j i 密为需要结构化数据安全交换的应用程序提 供了一种端到端安全性。使用x m l = ! j i i 密，可以加密交换数据的一部分，进行多方( 不止 两方) 之间的安全会话。 x m l 相关安全标准还有x k m s g j 、s a m l r l o 】、x a c m l 1 ”等。x k m s ( x m l 密钥管 理规范，x m lk e ym a n a g e m e n ts p e c i f i c a t i o n ) 是w 3 c 制定的一项标准，用来帮助分发及 管理在端点之问进行安全的通信所需的证书及密钥，目前最新版本是2 0 0 5 年6 月2 8 日发 布t 拘x k m s 2 0 。s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ) 和x a c m l ( e x t e n s i b l e a c c e s s c o n l r o lm a r k u pl a n g u a g e ) 都出自o a s i s 。s a m l 定义了一个交换认证和授权信息的x m l 框架，它定义x m l 断言和请求响应协议，并在标准传输和消息框架上使用断言，提供 了不同安全系统之间的互操作性。x a c m l 标准化访问控制权的表达，以x m l 的形式定 义了表达授权策略核心模式和名称空问的可扩展结构。 m m 、m i c r o s o f t 和v e r i s i g n 于2 0 0 2 年四月份联合发布了一个关于w e b 服务安全性 ( w e bs e r v i c e ss e c u r i t y ，w s s e c u r i t y ) 的规范【1 2 1 ，主要是规定如何将现有的x m l 安全 机制应用于s o a p 消息环境。以此为起点，同年九月，w e b 服务安全技术委员会( w e b s e r v i c e ss e c u r i t yt e c h n i c a lc o m m i t t e e ) 在o a s i s 宣告成立，其任务是将保护s o a p 消 息的机制标准化。2 0 0 4 年，规范通过o a s i s 的批准，成为正式标准【1 3 】。o a s i st c 对 原始的规范做了大量的修改，使之得到了全面的提高。规范提出了一套标准的s o a p 扩展，帮助w e b 服务开发者保护s o a p 消息交换，提供了三种主要的机制：安全性令 牌传播、消息完整性和消息机密性。w s s e c u r i t y 是一种构件，它可以与其它w e b 服务 扩展和更高级的特定于应用程序的协议联合使用，以适应多种安全性模型和加密技术。 为了加强w e b 服务的安全性，m m 和m i c r o s o f t 公司于2 0 0 2 年4 月发布了( s e c u r i t y i na w e bs e r v i e e sw o r l d ：ap m p o s c da r c h i t e c t u r ea n dr o a d m a p ) 的发展规划，描述了w 曲服 务环境的安全发展策略【1 4 1 。根据这个发展规划，将开发一系列的w e b 服务安全规范，包 括w s - s e c u r i t y 、w s - p o l i c y 、w s - t r u s t 、w s p r i v a c y 、w s s e c u r e c o n v c r s a t i o n 、 w s - f c d e r a t i o n 和w s a u t h o r i z a t i o n 。在这个发展规划中，同时提供了一个以这些安全规 范为基础的w e b 服务安全模型和一系列可以支持的案例。 随着w e b 服务的应用越来越广泛，对于安全的需求也日益强烈，新的标准将不断涌 现，为安全的实施和部署提供指导。但是，这些规范本身( 除w s s e c u r i t y ) 并没有提 供保证一致性和机密性的机制，并且只是提供了安全模型的框架，在很多实现细节上都 需要继续深入研究。 2 规范实现 随着与w e b 服务安全相关的各种规范的出台，诸如m m 、微软等大公司的产品中 对各种规范也有不同程度的支持。另外，开源组织也不断推出针对某个或某些规范进行 支持的开发包。现在，几乎每个子规范都已经有了相应的工具来进行开发。 m m 已经推出了基于w e b s p h e r es t u d i o 的x m l 数字签名和数字加密方法， 4 河海大学硕士研究生论文基于s o a p 扩展的w e b 服务安全模型研究 w e b s p h e r e 应用服务器提供传输层安全，同时支持w s s e e i r u t y 。w e b s p h e r e 的a p i 标 准使客户能够更方便地插入w c b s s o 或w e b 访问管理工具，强化其授权和认证功能 1 5 1 。 s u n 在其应用服务器中使用w e b 服务安全( w s s e c u r i t y ) 保护消息，j w s d pw e b 服务开发包中也加入了安全机制。同时，s u n 在j a v as e6 包含了一些支持w e bs e r v i c e s 的新a p i 。其中包含x m l 数字签名a p i ，允许开发者为基于j a v a 上的w e bs e r v i c e s 数 据提供签名。 微软的w s e 3 。0 1 1 6 】( w e bs e r v i c e se n h a n c e m e n t s ) 可以支持w s - a d d r e s s i n g 、 w s s e c u r i t y 、w s t r u s t 、w s s e e u r e c o n v e r s a t i o n 、w s p o l i c y 、w s - p o l i c y a s s e r t i o n s 和 w s - s e c u r i t y p o l i c y 等w e b 服务安全技术。它还提供了一个完整的基于角色的授权模型， 用来保护对服务的访问。微软的t r u s t b f i d g e 技术，可以通过k e r b e r o s 协议、w s s e c u r i t y 规范，在不同的企业和组织之间建立身份联盟。 v e r i s i g n 公司的x m l 可信中心最近推出了t s i k l 1 0 ( t r u s ts e r v i c ei n t e g r a t i o nk i t ) ， 支持w s - s e c u r i t y 、x k m s 、s a m l 、x m le n c r y p t i o n 、x m ls i g n a t u r e t “j 。 开源实现方面，a p a c h e 的w s s 4 j 【博】，支持x m ls i g n a t u r e 、x m le n c r y p t i o n 和 w s - s c c i r u t y ，包含对s a m l 的部分支持，可与j a x - r p cw e b 服务实现以及a x i s 很好 的集成。i n t e n e t 2 的o p e n s a m l t l 9 1 开发包支持s a m l 规范，s u n 的s u n x a c m l t 2 0 】对x a c m l 规范进行了实现。 1 2 2 国内研究 w e b 服务安全性问题的解决涉及到安全规范和标准，这些主要是由国外的大企业及 组织提出，国内从事该课题研究有影响力的不多。目前国内研究主要集中在基于各种安 全协议，根据业务领域需求，构建安全的w e b 服务，并都取得了一定的成果。 文【2 1 】使用w s - s c c i l r i t y 和x 5 0 9 证书，在s o a p 消息中嵌入安全机制，并给出一个实 现方案，但只涉及了w e b 服务安全性的三个需求：机密性、完整性和验证，没有访问控 制部分，同时，只使用x 5 0 9 证书也不具有一般性。 文【2 2 】综合使用各种安全措施，建立了一个w 曲服务综合安全模型，该模型直观地 告诉开发人员所应用的技术、技术所在的位置和所需要的关键处理，可以满足安全性的 基本需求，但其使用用户名和密码进行认证和授权，安全级别较低。 文【2 3 】在x m l 安全技术的基础上，综合考虑x m l 数据交换的安全和服务器端x m l 数据库的安全等问题，将一个访问控制模型与m 珈密、签名等技术相结合构建了一种 基于x m l 的w e b 安全模型，既保证了安全又有一定的可扩展性。但是该模型仅考虑了 w e b 用户间x m l 数据的安全交换和服务器中x m l 文档的访问控制，不能完全适应w e b 服务的安全需求。同时，该模型仅给出了服务器端所进行的安全处理，没有涉及到客户 端，同时也没有指出访问控制所需的安全信息如何传输和获取。该模型采用的访问控制 模型是基于x a c l 的，x a c l 是特定厂商的标准，不具有普遍性。 5 河海大学硕士研究生论文 基于s o a p 扩展的w e b 服务安全模型研究 文 5 】在w s s e c u r i t y 规范所提出的基本安全机制的基础上，设计并实现了一种基于 会话的w 曲服务安全通信机制，在保障实体认证安全性的同时提高了效率，进而设计并 实现了s o a p 安全系统( s o a ps e e u r i 够，s o a p s e c ) ，保证了s o a p 消息的机密性、完整 性、可用性、真实性和不可否认性。但是通信效率的提高是以牺牲部分安全性为代价的， 即以速度较快的消息鉴别码代替p k i 认证，不能保证实体认证的长期确认性。 文 2 4 】针对w 曲服务安全要求的特点，给出了一个基于消息层的w e b j 艮务安全系统模 型，添加了消息处理层及安全所需的相应组件，具有安全性和可扩展性。但是模型中没 有指出消息处理所需的具体安全机制。 1 2 3 研究小结 w c b 服务的各种安全规范和实现满足了目前w e b 服务面临的一些安全需求，但它们 的局限性在于只面对特定的问题空间，只解决了某一方面的问题。安全问题的一个特点 是，任何一个环节出现漏洞，都会导致整个系统被攻破；无论单个组件如何出色，也不 能保证系统其他方面的安全。单独的安全规范不能解决全部的安全问题，因此，应该选 取合适的安全规范提供一个全面的解决方案，使各种安全技术和规范能够协同使用，全 面提高安全性。同时，安全规范只是为构建安全的w 曲服务提供了指南，但在具体的实 现还要结合已有的安全技术以及实现平台加以深入研究，在实际环境中满足安全需求。 现有的安全模型和应用方案，各有各的特点和应用背景，并没有统一的解决方案，且主 要集中在保障s o a p 消息端到端安全性的研究，缺乏整体的考虑，同时没有充分注意到 w e b 服务多方参与、动态交互的特点。 1 3 研究内容 安全是w e b 服务成功的保证，如果不能构建安全可靠的w e b 服务，势必影响其大 范围的使用。安全是相对的，没有哪一个系统可以保证绝对的安全。因此，为了给w e ；b 服务提供充分的保护，需要通过对w e b 服务安全问题进行研究实践，来获得更多的认 识，采用更好的安全策略步骤和支持技术等措施以达到更好的效果。 本文针对传统安全机制的不足，基于w 曲服务典型应用的安全需求，对w e b 服务 安全比较成熟的规范和技术进行研究，目的是根据这些规范设计基于s o a p 扩展的w e b 服务安全模型，将安全性应用给s o a p 消息本身，利用s o a p 的可扩展机制，把关于安 全的五个基本要求应用到整个的s o a p 信息中，提供一个适应跨组织动态联合需求的整 体安全解决方案。由于每个规范都满足了某一方面的安全需求，模型利用w e b 服务核 心组件的可扩展性，将它们进行组合协同使用，既提供消息安全，又有对访问控制的支 持，满足w e b 服务通信中的机密性、完整性、不可否认性、验证、授权五个基本的安 全需求，同时能够提供联合信任，支持跨信任域的验证和授权。本文中这些目标通过两 6 河海大学硕士研究生论文 基于s o a p 扩展的w e b 服务安全模型研究 个模型实现，消息安全处理模型通过可扩展、可管理的消息处理层对消息进行安全处理， 保护s o a p 消息本身在多个安全上下文中传输端到端的安全，同时使用s o a p 消息携带 安全信息对身份验证、访问控制提供支持；访问控制模型w s - a b a 是依据x a c m l 通用 模型设计的，基于属性进行访问控制，根据s o a p 消息中包含的关于用户的s a m l 断 言和请求中包含的操作、参数信息，作出访问控制决策。访问控制建立在主客体的属性 基础上进行细粒度的访问控制，具有高度的灵活性和可伸缩性，能够支持跨域的授权处 理。访问控制模型中还给出了使用x a c m l 表达的策略结构。 在安全模型的基础上，本文研究规范的实现，对a x i ss o a p 引擎的的消息处理机制 进行分析，结合具体的应用场景，设计了一个基于j 2 e e 平台和a x i s 引擎的安全框架。 框架中将安全功能与处理器机制结合应用，定义一系列安全性相关的处理器，实现对 s o a p 消息的签名、加密和验证以及对用户的身份验证和访问控制，使得其和s o a p 引 擎能无缝结合，实现安全的可配置，提供透明的安全服务。同时，基于访问控制模型设 计访问控制机制，结合到框架中。安全框架屏蔽了安全系统的复杂性，以一种简化灵活 的方式为保护w e b 服务安全提供一个应用框架。框架中充分利用开源实现，既提供安 全又符合经济性原则。 最后，根据安全框架的设计，对安全处理器及访问控制机制进行实现，并结合具体 的w e b 服务应用程序环境，对安全组件的安全性效果进行了验证。 1 4 本文组织结构 第二章对w e b 服务的关键技术和安全性进行分析。首先分析了w e b 服务的体系结 构及构建w e b 服务的核心规范s o a p 、w s d l 和u d d i 。然后引出w e b 服务的安全问 题，详细分析了w e b 服务安全通信所遇到的安全威胁、传输层安全机制及其不足，指 出w e b 服务的安全层次和安全目标。 第三章对信息安全的基础理论和现有的各种保障w e b 服务的安全规范进行研究。 信息安全基础理论包括加密和数字签名、p k i 技术以及w e b 应用中常用的身份验证方 法。安全规范包括x m l 签名和加密、x k m s 、s a m l 和x a c m l ，涵盖了w e b 服务安 全的各个方面。 第四章给出了基于s o a p 扩展的安全模型的整体设计，整体安全模型依赖于一个消 息安全处理模型和一个访问控制模型，本文分别进行了详细描述。安全模型基于第三章 提到的安全规范，能满足身份认证、授权、机密性、完整性、不可否认性的安全要求。 第五章在模型的基础上完成安全框架的设计。框架基于j 2 e e 平台和a x i ss o a p 引 擎，利用a x i s 的特点，设计了一系列安全处理器实现安全功能。除此之外，还对访问 控制机制进行了设计。最后，根据框架的设计进行了实现。 第六章是对所做的研究进行总结，以及对进一步工作的展望。 7 河海大学硕士研究生论文基于s o a p 扩展的w e b 服务安全模型研究 第二章w e b 服务及其安全分析 2 1w e b 服务体系结构 w e b 服务提供了一种基于面向服务的结构将离散的、异构的应用程序集成在一起的 办法。应用程序提供的服务通过像s o a p ( s i m p l eo b j e c t a c c e s sp r o t o c 0 1 ) 、w s d l ( w e b s e r v i c ed e s c r i p t i o nl a n g u a g e ) 以及u d d i ( u n i v e r s a ld e s c r i p t i o n , d i s c o v e r ya n d i n t e g r a t i o n ) 等一系列业内标准协议提供。 w e b 服务的分布式体系结构主要包含下列实体【2 5 】： 服务提供者瓶务者创建w e b 服务，对其所有的资源对象进行抽象和封装，以 服务的形式展示其应用程序，并生成描述组件接口的w s d l 文件。 服务注册表洒常是u d d i 中心。服务提供者用其来注册并发布w e b 服务，将 w s d l 文件提供给注册中心。服务请求者通过它来查找需要的服务，获取w s d l 文件。 服务请求者从注册表中查找服务以及发送请求给w e b 服务提供者的客户应用 程序。客户应用可能是一般的客户端、w e b 应用程序或者其它的w e b 服务。客户通过 w s d l 文件生成与服务通信必须的构