（计算机应用技术专业论文）web服务安全的统一信任的研究.pdf

w e b 服务安全的统一信任的研究 摘要 w e b 服务( w e bs e r v i c e s ) 是近年来蓬勃兴起的一种分布式计算模型，能够 实现不同平台上，由不同程序语言编写的应用程序或者应用程序组件之间无缝的 互操作。w e b 服务提供将应用程序封装成单个实体并发布到网络上以供其它程序 使用的功能，可以使公司和个人迅速且廉价的向全世界提供它们的数字资产。w e b 服务具有十分广阔的市场和诱人的前景，已经成为新一代动态电子商务的核心， 并且给企业应用集成带来了新的曙光。 随着w e b 服务的不断发展，安全问题越来越受到人们的关注。基于此，各大 主要业界的厂商联合起来提出了w e b 服务的安全规范。 本文主要就安全领域的信任问题进行深入研究，结合了目前w e b 服务安全的 发展现状，提出了统一信任的模型，将统一信任作为服务来管理各个不同信任域 中的w e b 服务的信任策略。该模型主要包据两大功能模块：统一信任策略管理功 能和统一认证功能。 在本文提出的统一信任策略的模型的基础上，我们还实现了一个原形系统。 此系统是作为w e b 服务发布并部署的。针对该系统我们提出了一个统一信任中心 的实现方案。 希望随着w e b 服务技术革新的不断涌现，能进一步对统一信任模型进行完善。 关键字： w e b 服务，w e b 服务安全，策略，令牌，认证 复旦大学硕士学位论文 w e b 服务安仝的统一信任的研究 a b s t r a c t w e bs e r v i c o si sa n e w e m e r g e dc o n c e p t i nt h ea r e ao fd i s t r i b u t e d e o m p u ti n g 。i te n a b l e ds e a m l e s si n t e r o d e r a t i o na n dd y n a m i ci n t e g r a t i o no f a p p l i c a t i o n sb a s e d o nd i f f e r e n t o p e r a t i n gs y s t e m s a n dw r i t t e nw i t h v a r i o u s p r o g r a m m i n gl a n g u a g e s i th a s b e c o m et h ec o r e p a r t o f n e x t g e n e r a t i o n e - b u s i n e s sa n d b r o u g h t n e w o p p o r t u n i t i e s t oe a i ( e n t e r p r i s ea p p l i c a t i o ni n t e g r a t i o n ) w i t ht h ea i d o fw e bs e r v i c e s e n t e r p r i s e sw il lb ea b l et op u b l i s ht h e i rd i g i t a la s s e t sm o r eq u i c k l ya n d m o r ec h e a p l y w i t ht h ed e v e l o p m e n to fb u s i n e s sw e bs e r v i c e s 。t h es e c u r i t yb e c o m e s t h ep o i n to fw e bs e r v i c e s b a s e do nt h i s ，i b ma n dm i c r o s o f tp u b l i s h e dt h e s p e c i f i c a t i o na b o u tt h ew e bs e r v i c o ss e c u r i t y h a v i n gg o n et h r o u g he a c hd e t a i 1o ft h es e c u r i t yf o rw e bs e r v i c e s ，w e p r o p o s e da n e wa r c h i t e c t u r eo ft h et r u s ta b o u tw e bs e r v i c e s h o wt o e s t a b l i s ht h eg e n e r a lt r u s tr e l a t i o ni so u rk e y ，a n de a c ho n em a yb ei n d i f f e r e n tt r u s td o m i n a t i o n t h i sm o d e lm a i n l yc o m p o s e st w of u n c t i o n s ： g e n e r a li d e n t i t yf e d e r a t i o nm a n a g e m e n ta n dg e n e r a la u t h e n t i c a t i o n w eh a v ea ls ob u i1tap r o t o t y p eb a s e do nt h ec o n c e p to ft h eg e n e r a l t r u s tp o l i c y w er e g a r dt h es y s t e ma saw e bs e r v i c et op u b l i s h t ot h i s p o i n tw ed e s i g n e d a ni m p l e m e n tc a s ea b o u tt h eg e n e r a lt r u s tp o l i c yc e n t e r t h ea u t h o rw i l lb ep l e a s e dt os e ei ft h i sa r t i c l ew o u l db eh e l p f u l t ot h ed e v e l o p m e n to fw e bs e r v i c e ss e c u r i t y k e yw o r d s ： w e bs e r v i c e s ，w e bs e r v i c e ss e c u r i t y ，p o l i c y ，t o k e n ，a u t h e n t i c a t i o n v w e b 服务安全的统一信任的研究 论文简介 0 1 问题及本文的贡献 w e b 服务( w e bs e r v i c e s ) 是近年来蓬勃兴起的一种分布式计算模型，能够 实现不同平台上，由不同程序语言编写的应用程序或者应用程序组件之间无缝的 互操作。从技术角度来看，w e b 服务技术完全是基于标准的技术。w e b 服务可以 被认为是一种部署在w e b 上的对象( w e bo b j e c t ) ，因此具有对象技术所承诺的 所有优点；同时，w e b 服务的基石是以x m l 为主的、开放的w e b 规范技术，因此， 具有比任何现有对象技术更好的开放性。 随着w e b 技术的不断发展，w e b 服务的应用也在不断扩大，在这之间一个关 键问题也显现出来：安全性。我们知道安全机制对于松散耦合的对象环境的重要 性。因此，需要对诸如授权认证，数据完整性( 比如签名机制) ，消息源认证以 及事务的不可否认性等运用规范的方法来进行描述、传输和交换。 i b m 和m i c r o s o f t 已经联手制定了w e b 服务安全性计划和指南，用来开发 一组说明如何为在w e b 服务环境中交换的信息提供保护的w e b 服务安全性规 范。它们包含许多安全性技术，其中包括跨范围广泛的应用程序和企业拓扑的认 证、授权、隐私权、信任、完整性、机密性、安全通信通道、联合、委托和审核。 这些规范提供了一个框架，这个框架可扩展、灵活并且最大程度地利用安全性基 础架构中的现有投资。 正是由于有如此灵活一个框架，而基于这个安全框架，我们可以产生出很多 不同类型的模型。本文就安全信任这个领域展开来，讨论了不同信任域之间信任 策略部署的复杂性，从而提出了一个统一信任的模型。 这个模型将信任各方作为自己的注册用户，而策略作为该用户的属性，将被 注册于统一信任中心，实现了对分散在不同信任域中的信任策略，加以集中管理。 而这恰恰解决了不同信任域之间策略部署发布的复杂性，可以灵活的添加、删除 和创建新的信任策略。另外，在模型中我们由引入了了统一认证的服务，我们也 提出了该服务模型的设计雏形，借助于该项服务，我们可以方便快速的访问跨信 任域的w e b 服务。 最后，我们对统一信任策略模型做了测试，对身份的联合以及交换做了具体 的实现，进一步验证了该模型的可行性。同时我们分析了该模型的优缺点以及它 的可能应用范围，来说明它可以用于企业内部的不同应用系统，也可以用于不同 企业间的应用模型。我们还讨论了可以将统一信任策略作为一项w e b 服务注册在 u d d i 注册中心，使得i n t e r n e t 上的不同用户都可以享有这项服务。 售旦大学硕士学位论立 w e b 服务安全的统一信任的研究 o 2 论文的内容与组织 本文先从w e b 服务的概述入手，然后过渡到w e b 服务的安全性问题。在这之 间我们讨论了很多技术。接着，我们又讨论了信任安全的问题，借此我们提出了 自己的安全策略。最后，我们对统一信任模型做了初步的设计，并加以实现、测 试，证实该模型确实是切实可行的。 第一章主要介绍了w e b 服务的基本知识。 第二章主要介绍了w e b 服务安全性框架的知识和一些技术。 第三章详细讨论了不同信任域之间的信任策略，提到了身份联合的技术，从 而自然而然的提出了统一信任策略。 第四章主要是对统一信任策略模型的设计，另外介绍了模型实现的主要技术 和软件工具。 第五章主要是测试工作。在这里，我们将实现一个案例来说明我们的问题。 第六章主要是对模型的总结以及对未来发展的一些展望。 曹旦大学碗士学付论文 w e b 服务安全的统一信任的研究 第一章w e b 服务 1 1 什么是w e b 服务 w e b 服务是描述一些操作( 利用标准化的x m l 消息传递机制可以通过网络 访问这些操作) 的接口。w e b 服务是用标准的、规范的x m l 概念描述的，称为w e b 服务的服务描述。这一描述囊括了与服务交互需要的全部细节，包括消息格式( 详 细描述操作) 、传输协议和位置。该接口隐藏了实现服务的细节，允许独立于实 现服务基于的硬件或软件平台和编写服务所用的编程语言使用服务。这允许并支 持基于w e b 服务的应用程序成为松散耦合、面向组件和跨技术实现。w e b 服务 履行一项特定的任务或一组任务。w e b 服务可以单独或同其它w e b 服务一起用 于实现复杂的聚集或商业交易。 简单来说，w e b 服务是一种以与平台和语言无关的方式，通过定义的格式和 协议，从计算机到计算机提供的服务。 1 _ 2 w e b 服务的历史 随着w e b 应用的不断发展，人们发现在w e b 应用和传统桌面应用( 比如企业 内部管理系统，办公自动化等) 之间存在着连接的鸿沟，人们不得不重复的将数 据在w e b 应用和传统桌面应用之间迁移，这成为了阻碍w e b 应用进入主流工作流 的一个巨大障碍。计算机的应用是要满足人们的易操作，在计算机应用中的过多 人工干预会在不同程度上降低人们的积极性。 随着i n t e r n e t 的发展，基于i n t e r n e t 的b 2 b 电子商务也在不断发展。 i n t e r n e t 为各种类型的商业实体提供了发现新客户，供应流，新服务的各种机 会，使他们利用i n t e r n e t 获得了空前的安全的经济回报，体现了i n t e r n e t 的巨 大价值。各种组织和商业实体都已果断的将其业务模式转向i n t e r n e t ，并且已 得到了显著的商业与竞争回报，诸如，收益增加，成本降低，新的客户关系的建 立，品牌创新的机会，新的客户服务的创建等。然而，目前大多数电子商务的应 用和基于w e b 的商业服务在处理购买者，供应商，交易市场和服务提供者之间的 联系方式上各不相同。如何将这些应用低代价方便的连接在一起，从而实现大范 围的跨企业实体的商务应用系统对接，这是摆在开发人员面前的一大问题。不同 的应用( 尤其是不同企业的) 开发语言不同，部署平台不同，通信协议也可能不 同，对外交换的数据格式也有着很大差异。如何去解决语言差异，平台差异，协 议差异，数据差异所带来的高代价的系统集成是这个问题的关键。 从1 9 9 8 年开始发展的x m l 技术及其相关技术已经证明有可能解决这个问题。 而近期开始蓬勃发展的w e b 服务技术则正是基于x m l 技术的针对这一问题的最佳 篁旦太学硕士学俯论文 w e b 服务安全的统一信任的研究 解决方案。x m lw e bs e r v i c e s 是当今i t 业界的焦点所在。w e b 服务的主要目标 就是在现有的各种异构平台基础上构筑的一个通用的与平台无关，语言无关的技 术层，各种不同平台之上的应用依靠这个技术层来实现彼此的连接和集成。如果 需要用一句话来概括w e b 服务与传统w e b 应用技术的差异的话，那就是：传统 w e b 技术解决的问题是如何让人来使用w e b 应用所提供的服务，而w e b 服务则要 解决让计算机系统来使用w e b 应用所提供的服务。 目前，w e b 服务已经在全球启动了一波i t 业的浪潮，无论是平台供应商，解 决方案供应商，技术供应商，还是服务提供商都纷纷在自己的平台、解决方案以 及服务中加入w e b 服务。以m i c r o s o f t 、i b m 、o r a c l e 、h p 、b e a 、s a p 等为首的 计算机业巨头们无一例外的将自己的软件产品解决方案全面支持w e b 服务，同 时，他们共同成立了w s i ( w e bs e r v i c e si n t e r o p e r a b i l i t yo r g a n i z a t i o n ) ， 致力于推广w e b 服务的全面应用。 当前，w e b 服务技术的发展道路可概括如下：各大技术厂商从需求出发，合 作定义相关的w e b 服务标准，然后在各自的平台上实现该标准，从而达到这一标 准所赋予的互操作性；通过互操作性应用，引出不足，导出新的商业需求，从而 合作定义新的w e b 服务标准，然后是新的技术实现，周而复始，形成良性循环。 也就是说，w e b 服务是由商业需求驱动，以标准为中心的开放互操作技术。 薏旦大学碗士学何论文 图卜1 4 w e b 服务安全的统一信任的研究 1 3 w e b 服务的规范 w e b 服务技术完全是基于标准的技术，只有基于标准，所有的开放厂商才有 相同的准则，才能够在各自的平台上开发出具有跨平台操作能力的软件产品和解 决方案。标准是达成平台互操作能力的灵魂。 在标准的开发方面，各大技术厂商在标准化组织的组织和承诺下，积极开展 工作。目前介入w e b 服务标准开发的标准化组织如下。 w 3 c ( w w w w 3 c o r g ) 是由m i t ，i n r i a ，k e i o 共同创立的一个全球性非盈 利性技术组织。致力于开发和推广w e b 应用所涉及的各个领域的规范。目 前，w 3 c 在w e b 服务领域成立了三个工作组：w e bs e r v i c ea r c h i t e c t u r e w o r k i n gg r o u p ，x m lp r o t o c o lw o r k i n gg r o u p 和w e bs e r v i c ed e s c r i p t i o n w o r k i n gg r o u p ，他们的工作分别围绕w e bs e r v i c e 的整体框架，w e b s e r v i c e 的访问协议和w e bs e r v i c e 界面的描述三个方面开展。 o a s i s ( w w w o a s i s - o p e n o r g ) 是一个全球性非盈利性组织，致力于电子 商务标准的开发，汇集和应用。目前，o a s i s 开发的主要规范包括：安全， w e bs e r v i c e ，x m l 构造，商务事务，电子出版等。其中，e b x m l 是由o a s i s 和u n c e f a c t 共同资助的全球电子商务规范。随着u d d i 的管理权被转移 给o a s i s ，目前o a s i s 在w e bs e r v i c e 方面的工作包括u d d i ，w s i a 和w s r p 等。 w s - i ( w w w w s - i o r g ) 是一个开放的行业技术组织，致力于推广跨平台操 作系统和编程语言的w e bs e r v i c e 架构的互操作性。w s i 是一个由 m i c r o s o f t 和i b m 发起的组织，其创立会员( f o u n d e r ) 组成了w s i 的董 事会，f o u n d e r 除i b m 和m i c r o s o f t 外，还包括b e a ，i n t e l 和o r a c l e 等。 由标准化组织或技术厂商所开发的w e b 服务技术规范包括： x m l ，e x t e n s i b l em a r k u pl a n g u a g e ( 可扩展置标语言) 是整个w e bs e r v i c e 技术架构的基石，x m l 规范目前的正式版本是e x t e n s i b l em a r k u pl a n g u a g e ( x m l ) i 0 ( s e c o n de d i t i o n ) ，同时，w 3 c 已经发布了x m l l 1 规范草案， 主要就u n i c o d e 的应用版本进行了更新。 x m ls c h e m a 是w e b 服务架构下的标准x m l 数据建模工具，x m ls c h e m a 规 范的当前版本是1 0 ，规范由x m ls c h e m ap a r t0 ：p r i m e r ，x m ls c h e m ap a r t 1 ：s t r u c t u r e s ，x m ls c h e m ap a r t2 ：d a t a t y p e s 组成。目前，正在征求 x m ls c h e m a1 1 的设计需求。 s o a p ，s i m p l eo b j e c ta c c e s sp r o t o c o l ( 简单对象访问协议) 是w e b 服 务技术的核心之一，用于w e b 服务调用的x m l 消息表示。目前，w 3 c 成立 了x m lp r o t o c o lw o r k i n gg r o u p ，专注于s o a p 规范的开发，目前的成果 薏旦大学硕士学俺诒文 w e b 服务安全的统一信任的研究 草案包括x m lp r o t o c o l ( x m l p ) r e q u i r e m e n t ，x m lp r o t o c o l u s a g e s c e n a r i o s ，x m lp r o t o c o la b s t r a c tm o d e l ，s o a pv e r s i o n1 2 p a r t0 ： p r i m e r ，s o a pv e r s i o n1 2p a r t1 ：m e s s a g ef r a m e w o r k 和s o a pv e r s i o n 1 2p a r t2 ：a d j u n c t s 。s o a p1 2 先前一个草案版本的中文版由w s c o r g 提供。 w s d l ，w e bs e r v i c e sd e s c r i p t i o nl a n g u a g e ( w e bs e r v i c e s 描述语言) 是w e b 服务技术的核心之一，用于描述w e b 服务的调用接口。w 3 c 相关的 工作组是w e bs e r v i c e sd e s c r i p t i o nw o r k i n gg r o u p ( w e b 服务描述工作 组) 。目前，w 3 c 已经发布了w e bs e r v i c e 描述语言w s d l i 2 规范以及 w s d l i 2b i n d i n g 规范的公开工作草案版本。w s d l i 2 是一个基于x m l 的 描述w e b 服务的语言，描述内容包括w e b 服务所涉及的数据交换，使用的 协议以及在w e b 上的部署位置。 u d d i ，u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r ya n di n t e g r a t i o n ( 统一描述， 发现和集成协议) 是w e b 服务架构下核心的服务描述，发现和集成机制。 u d d i 是未来电子商务的基石，他使得商业实体能够使用他们首选的应用软 件，快速，方便，迅捷的发现现存的或潜在的商业伙伴，并与之交易。所 有这一切全部由自动化的应用程序来完成。目前，u d d l 3 0 规范正式发布， 其相对于先前版本的增强主要包括：多注册中心拓扑，增强的安全特性， 增强的w s d l 支持，新的订阅a p i 以及核心信息模型的升级。 w s s e c u r i t y ( w e bs e r v i c e ss e c u r i t y ) 为w e b 服务提供了一种保障服务 安全的语言。w s s e c u r i t y 通过消息完整性，消息机密性和简单的认证来 实现消息安全的目的。这些机制能够用来适应现有的大量安全模型以及加 密技术。w s s e c u r i t y 同对也提供了一个通用的机制用于将许可证( 签署 了信任声明，如x 5 0 9 信任状或者k e b e r o st i c k e t s 等) 与消息关联，而 不需要指定特殊的格式。另外，w s s e c u r i t y 还描述了如何编码二进制安 全令牌的方法，其中主要针对x 5 0 9 信任状以及k e b e r o st i c k e t s 。 w s s e c u r i t y 由m i c r o s o f t ，i b m 和v e r i s i g n 共同发布，目前版本1 0 。 w s f l ( w e bs e r v i c e sf l o wl a n g u a g e ) 1 0 通过建立一个框架来组合现有 的商业流程和w e b 服务，在此框架内，服务提供者和消费者可以共同合作 实现标准商业流程。该框架允许所有正确实现了合适的w e b 服务接口的实 体来承担商业流程中的各个角色，同时允许完整的商业流程作为活动被嵌 入到其他的工作流模型中。 w s c l ( w e bs e r v i c e sc o n v e r s a t i o nl a n g u a g e ) 1 0 由h p 提交给w 3 c ，成 为w 3 cn o t e 。w s c l 用于定义w e b 服务的一些抽象界面，这些界面主要包 肓旦大学硕士学位论文 w e b 服务安全的统一信任的研究 括由w e b 服务支持的商业实体级别的会话，公共流程等。w s c l 可用于描述 被交换的x m l 文档的交换序列。w s c l 可以和诸如w s d l 这样的w e b 服务描 述语言协同使用。 w s x l ( w e bs e r v i c e se x p e r i e n c el a n g u a g e ) 是针对面向用户交互式w e b 应用( i n t e r a c t i v ew e ba p p l i c a t i o n ，在i n t e r n e t 上提供用户界面的w e b 应用) 的一个以w e b 服务为中心的组建模型。w s x l 的两个主要目标是： 使得商业实体能够多种渠道将自己提供的交互式w e b 应用地交给使用者； 可以通过利用在w e b 上的其他交互式w e b 应用创建新的服务或应用。 目前，最新版本是2 0 。 w s i a ( w e bs e r v i c e sf o ri n t e r a c t i v ea p p l i c a t i o n ) 和w s r p ( w e bs e r v i c e s f o rr e m o t ep o r t a l s ) 是o a s i s 组织在w e b 服务领域的两项工作，前者的 目标是为包含人机交互的w e b 应用开发一个x m l w e bs e r v i c e s 的核心框 架，使得所有的w e b 应用都能架构在x m l 和w e b 服务的基础上统一开发部 署和管理。后者则试图为门户或者其他中介w e b 应用提供即插即用 ( p l u g & p l a y ) 的能力，而即插即用的对象是w e b 内容以及w e b 应用，在 这里，内容的提供是通过标准的w e bs e r v i c e s 界面，应用的界面同样也 是标准的w e b 服务界面。 1 4 w e b 服务( w e bs e r v i c e s ) 1 4 1w e b 服务概念 w e b 服务是一种以与平台和语言无关的方式，通过定义的格式和协议，计算 机之间的交互提供的服务。从技术角度来看，w e b 服务可以被认为是一种部署在 w e b 上的对象( w e bo b j e c t ) ，因此，具有对象技术所承诺的所有特点；同时， w e b 服务的基石是以 ( m l 为主的，开放的w e b 规范技术，因此，具有比任何现有 的对象技术更好的开放性。 1 4 2w e b 对象( w e bo b j e c t ) 从外部使用者的角度而言，w e b 服务是一种部署在w e b 上的对象组件，他具 备以下特征。 完好的封装性：w e b 服务既然是一种部署在w e b 上的对象，自然具有对象 的良好封装性。对于使用者来说，他能且仅能看到该对象提供的功能列表。 松散耦合：这一特征也是源于对象组件技术，当一个w e b 服务的实现发 生变更时候，调用者是不会感到这一点的。对于调用者来说，只要w e b 服 售旦大学硕士学位论文 w e b 服务安全的统一信任的研究 务的调用接口不变，w e b 服务实现的任何变更对他们来说都是透明的。 使用协议的规范性：这一特征从对象而来，但相比一般对象，其界面规范 更加规范化，并易于被机器理解。首先，作为w e b 服务，对象界面所提供 的功能应当使用标准的描述语言来描述( 比如w s d l ) 。其次，由标准描述 语言描述的服务界面应当是能够被发现的，因此，这一描述文档需要被存 储在私有的或公共的注册库中。同时，使用标准描述语言描述的使用协约 将不仅仅是服务界面，他将被延伸到w e b 服务的聚合，跨w e b 服务的事务， 工作流等等，而这些又都需要服务质量( q o s ) 的保障。 使用标准协议规范：作为w e b 服务，其所有公共的协约完全需要使用开放 的标准协议来进行描述、传输和交换。这些协议具有完全免费的规范，以 便由任意方进行实现。 高度可集成能力：由于w e b 服务采用简单的、易理解的标准w e b 协议作为 组件乔面描述和协同描述规范，完全屏蔽了不同软件平台的差异，因此， 无论是c o r b a ，d c o m 还是e j b ，都可以通过这一标准的协议进行互操作， 实现了在当前环境下最高的可集成性。 1 4 3w e b 服务体系架构 w e b 服务体系结构基于三种角色( 服务提供者，服务注册中心和服务请求者) 之间的交互。交互具体涉及到发布，查找和绑定操作。这些角色和操作一起作为 w e b 服务构件：w e b 服务软件模块及其描述。在典型情况下，服务提供者提供可 通过网络访问的软件模块( w e b 服务的一个实现) 。服务提供者定义w e b 服务的 服务描述，并把它发布到服务请求者或服务注册中心。服务请求者使用查找从本 地或服务注册中心搜索服务描述，然后使用服务描述与服务提供者进行绑定，并 调用相应的w e b 服务实现，与其交互。服务提供者和服务请求者角色是逻辑结构。 1 4 3 1 角色 服务提供者( s e r v i c ep r o v i d e r ) ：这是服务的所有者。从体系结构的角 度来看，这是托管被访问服务的平台。 服务请求者( s e r v i c er e q u e s t o r ) ：这是要求满足特定功能的用户。从体 系结构的角度来看，这是寻找并调用服务，或启动与服务交互的应用程序。 服务请求者角色可以由浏览器来担当，由人或无用户界面的程序( 例如， 另外一个w e b 服务) 来控制。 服务注册中心( s e r v i c er e g i s t r y ) ：这是可搜索的服务描述注册中心， 服务提供者在此发布他们的服务描述。在静态绑定开发或动态绑定执行期 复旦大学硕士学何诒文 w e b 服务安全的统一信任的研究 间，服务请求查找服务并获得服务的绑定信息( 在服务描述中) 。对于静 态绑定的服务请求者，服务注册中心是体系结构中的可选角色，因为服务 提供者可以把描述直接发给服务请求者。 图卜2 1 4 3 2 行为 对于利用w e b 服务的应用程序，必须发生以下三个行为：发布服务描述，查 询或查找服务描述以及根据服务描述绑定或调用服务。这些行为可以单次或反复 出现。w e b 服务体系架构中包含的这些具体操作如下。 发布( p u b l i s h ) ：为了使服务可访问，需要发布服务描述以使服务请求者 可以查找它。发布服务描述的位置可以根据应用程序的要求而变化。 查找( f i n d ) ：在查找操作中，服务请求者之间检索服务描述或在服务注 册中心中查询所要求的服务。 绑定( b i n d ) ：最后需要调用服务。在绑定操作中，服务请求者使用服务 描述中的绑定细节来定位、联系和调用服务。 服务( s e r v i c e ) ：在这里，w e b 服务是一个由服务描述语言描述的接口， 服务描述的实现就是该服务。 服务描述( s e r v i c ed e s c r i p t i o n ) ：服务描述包含服务的接口和实现的细 节。其中包括服务的数据类型、操作、绑定信息和网络位置。还可能包括 薏旦大学硕士学位论文 9 w e b 服务安全的统一信任的研究 可以方便服务请求者发现和利用的分类及其他元数据。服务描述可以被发 布给服务请求者或服务注册中心。 w e b 服务体系结构揭示了如何以一种可以互操作的方式实现这些操作。 i 4 3 3 开发生命周期 w e b 服务开发生命周期包括了设计和部署以及在运行时对服务注册中心，服 务提供者和服务请求者每一个角色的要求。每个角色对开发生命周期的每一元素 都有特定要求。 开发生命周期由以下四个阶段。 构建：生命周期的构建阶段包括开发和测试w e b 服务实现，定义服务描述 接口和定义服务实现描述。可以通过创建新的w e b 服务，把现有的应用程序变成 w e b 服务，由其他w e b 服务和应用程序组成新的w e b 服务，从而提供w e b 服务的 实现。 部署：部署阶段包括服务请求者或服务注册中心发布服务接口和服务实现 的定义，以及把w e b 服务的可执行文件部署到执行环境( 典型情况下，被部署到 w e b 应用服务器) 中。 运行：在运行阶段，可以调用w e b 服务。在此，w e b 服务完全部署，可操 作，并且服务提供者可以通过网络访问服务。现在，服务请求者可以进行查找和 绑定操作。 管理：管理阶段包括管理和经营w e b 服务应用程序。安全性，可用性，性 能，服务质量和业务流程问题都必须解决。 i 4 4 w e b 服务协议栈 实现一个完整的w e b 服务体系需要有一系列的协议规范支撑。 图i 一3 展示了当前投入使用的w e b 服务协议栈：w e bs e r v i c e ss t a c k 。 舞旦大学硕士学何论文 0 w e b 服务安全的统一信任的研究 s o a px m l b a s e dm e s s a g i n g x m ls c h e m a d a t am o d e l i n g x m ld a t ap r e s e n t a t i o n h t t p ，p t p ，s m t pt r a n s p o r t 图1 3 自底向上分别是： 网络传输层：w e b 服务协议栈的基础是网络传输层。w e b 服务要被服务请 求者调用，就必须是可以通过网络访问的。i n t e r n e t 上可以访问的w e b 服务使 用已普遍部署的网络协议。h t t p 凭借其普遍性，成为了i n t e r n e t 环境下w e b 服 务使用的标准网络协议。同时在某些扩展应用领域，也支持s m t p 协议( 用于电 子邮件) 和f t p 协议( 用于文件传输) 。而对于i n t r a n e t 环境中，w e b 服务还可 以使用中间件作为传输交互的基础架构，比如i b m 的m qs e r i e s ( 目前已经改名 为w e b s p h e r em q ) 和c o r b a ( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ) 。 w e b 服务的好处之一在于它能够为i n t r a n e t 和i n t e r n e t 服务开发和使用提供了 统一的编程模型。所以，网络协议和技术的选择对于服务开发者来说是透明的。 数据表示层：该层的x m l 为整个w e b 服务上层协议提供了数据信息描述 手段，x m l 是目前全球范围内用于描述数据和交换数据的一种标准方式。可扩展 标注语言x m l 作为i n t e r n e t 上的一种新的数据交换语言，其应用范围从早期w e b 信息描述，发展到后来的数据交换开放标准，乃至目前的服务集成和服务交互的 开放技术，x m l 已经成为开放环境下描述数据描述信息的标准技术。在w e b 服务 的时代，全部的规范、技术同样都是以x m l 为底层核心和构架基础的。对于w e b 服务而言，无论是w e b 服务的调用( s o a p 技术) 、w e b 服务界面的描述( w s d l 技 术) ，还是w e b 服务的发现( u d d i 技术) ，都是使用x m l 作为信息描述和交换的 标准手段。 数据模型层：在数据表现层上是数据模型层，描述数据结构和数据模型( 也 称元数据) 。它同样也是一种数据，因此，描述数据结构的方式也是使用基础的 数据表现方式：x m l 。x m ls c h e m a 已经成为x m l 世界中的标准数据建模语言，s o a p ， w s d l ，u d d i 的x m l 语法都是采用x m ls c h e m a 进行定义和描述的。x m ls c h e m a 已经成为x m l 世界中的标准交流语言，这有些类似于u m l 在软件设计中的地位。 基于x m l 的消息层：这一层次，使用的是基于x m l 的消息协议s o a p 。消息 层是构筑在更低的传输层之上的，这意味着s o a p 可以单独使用，也可以在任何 传输协议联合使用。所有的s o a p 消息都支持我们先前提到过的w e b 服务架构中 的发布( p u b l i s h ) 、绑定( b i n d ) 和查找( f i n d ) 等操作。s o a p 由三部分组成： 一个使用x m l 信封来描述消息内容的机制；一组编序规则，用于编码各种类型的 复旦大学硕士学何论文 w e b 服务安全的统一信任的研究 数据；一个提供远程过程调用( r p c ：r e m o t ep r o c e d u r ec a l l ) 和相应的机制。 i b m ，m i c r o s o f t 以及其它的一些公司将s o a p 提交给w 3 c ，目前作为x m l 协议工 作组( x m lp r o t o c o lw o r k i n gg r o u p ) 的基础。当w 3 c 发布x m lp r o t o c o l 标准 规范的时候，w e b 服务协议栈将升级，s o a p 将被x m lp r o t o c o l 所替代。 服务描述层：服务描述为调用w e b 服务提供了具体的方法。w s d l 是一个基 于x m l 格式的定义服务的实现和接口的基础标准。这意味着w s d l 将服务的描述 分为两部分：服务实现和服务接口。在按照w s d l 进行服务实现之前，我们必须 先定义服务接口。w s d l 仅是一个基本的服务描述手段，要指定业务环境、服务 质量和服务之间的关系，我们还需要另外的手段。 服务发布层：w s d l 文档可以由其它服务描述文档来补充，从而描述w e b 服务更高级的方面。例如，我们可以使用u d d i 数据结构来描述商业上下文。在 服务客户生命周期的任一阶段，都可以将w s d l 文档提供给服务客户端。当这一 操作被涉及到后，我们就需要从服务描述层更进一步到达下一个层次服务发布 层。在这一层次，服务提供者能够直接向服务客户端发送w s d l 文档，一个可能 的例子是通过e - m a i l 形式。这一动作被称为直接发布。同时，服务提供者也可 以选择将w s d l 文档发布到本地的w s d l 注册库，或是公共私有的u d d i 注册中心。 服务客户端可以通过这些注册库来或的w s d l 文档。 服务发现层：服务发现是基于服务发布的。如果w e b 服务没有或不能被发 布，那么它就不能被发现。服务客户端可以在运行时获取服务描述。例如，服务 客户端可以获取一个以本地文件形式存在的w s d l 文档，这个w s d l 文当是通过直 接发布手段发布的。这一操作被称为静态发布。同时，这个服务客户端也可以选 择在设计阶段或运行时，通过一个本地w s d l 注册库或公共私有的u d d i 注册中 新发现w s d l 文档。 服务工作流层：w e b 服务工作流语言( w s f l ) 是协议栈顶层的服务工作流 层的标准。域协议栈中的其他标准不同，w s f l 针对的式商务流程建模和工作流。 w s f l 用于描苏w e b 服务在工作流中如何互相作用，以及它们如何处理服务到服 务的通信和协同。这意味着w e b 服务可以时工作流的一部分，也可以动态的被编 入工作流，特别时，这个工作流可能发生在买家、卖家以及承运方之间。 1 4 5w e b 服务类别 综合当今的w e b 应用以及w e b 服务的特点，我们认为通过以上阐述的w e b 服 务协议栈，w e b 服务实施的领域可以分为四类。 面向商务的w e b 服务( b u s i n e s s - o r i e n t e dw e bs e r v i c e ) ：该类服务针对 的是那些面向企业应用服务，包括企业内部的e r p 系统，企业间的s c m c r m 茸旦大学硕士学何诒立 w e b 服务安全的统一信任的研究 ( s u p p l yc h a i nm a n a g e r c u s t o mr e l a t i o nm a n a g e r ) 等系统。当这些系 统以w e b 服务形式在网络( i n t e r n e t 和i n t r a n e t ) 中出现时，企业内的 应用集成将更为容易，而在企业间的众多合作伙伴的系统对接也将不再是 无法完成的任务。目前，现有的解决方案和产品的提供者有b o w s t r e e t ， e p i c e n t r i e 等。 面向消费者的w e b 服务( c o n s u m e r o r i e n t e dw e bs e r v i c e ) ：此类服务针 对那些原先的b 2 c 的网站的改造，为这些b r o w s e r o r i e n t e d 的w e b 应用 增加了w e b 服务的应用界面，使得第三方的桌面工具或其自身提供的增值 的桌面工具能够利用更优秀的用户界面，提供跨越多个b 2 c 服务的桌面程 序。这将使得用户使用i n t e r n e t 更为方便，能够获得更加便捷的服务。 面向设备的w e b 服务( d e v i c e o r i e n t e dw e bs e r v i c e ) ：此类服务的使用 终端一般是手持设备和日用家电。对于前者而言，可以在不用修改网络服 务的体系架构的前提下，令先前的网络服务支持除p c 以外的各种终端， 比如p a l m ，p o c k e t p c ，手机等。如此，那些天气预报服务，e - m a i l 服务， 主动信息服务等将更为有效和便捷。而后者对于日用家电则可能是一个市 场的启动期，有了w e b 服务作为基础框架，智能型的日用家电将真正获得 标准的支持，从而有了广泛使用的可能。 面向系统的w e b 服务( s y s t e m o r i e n t e dw e