SOA应用集成中身份验证与权限管理的研究
VIP免费
摘要
Web 服务技术的发展很大程度上促进了异构系统跨平台集成技术的发展。由
于Web 服务技术基于一系列开放的标准技术,因此 Web 服务技术具有松耦合、
跨平台、互操作、语言中立等优点,所以 Web 服务技术在分布式应用系统中得到
了广泛应用。于是 Web 服务的安全问题就变得至关重要。
从Web 服务的基本过程来看,可以把 SOA 的安全分为对 SOAP 消息的安全和
服务提供者对合法的用户或消息中所声明的内容动态地做出响应。
但是 Web 服务交互者往往不止有两方的情况,可能会出现三方或者更多的情
况。而且这些服务的交互者使用的平台也可能互不相同。这就使得异构平台下的
多方安全交互变得非常困难。为了解决异构平台下的安全交互问题 OASIS 提出了
WS-Security 规范[1],WS-Security 规范的产生解决了:身份验证、SOAP 消息的机
密性和 SOAP 消息的完整性这三个安全问题。但是异构环境下各 Web 服务平台对
WS-Security 规范的支持存在不统一的地方,并且各个平台在 WS-Security 规范的
实现上也存在着一些差异,例如对支持的证书的格式上 JAVA 采用 JKS 格式的证
书库保存证书,而.NET 采用 PFX 格式的证书库保存证书;而且在安全策略的形式
上存在不同,WSE 的策略文件放在 policyCache.config 中,而 Rampart 则放在
axis2.xml、services.xml 中。
针对以上异构平台下 Web 服务的安全问题,本文分别研究了.NET 和Axis2 Web
服务平台对 WS-Security 规范的支持,建立了一个异构平台下三方安全交互的应用
场景模型,然后通过对应用场景模型的抽象,给出了一种异构平台下身份认证的
实现方法,证明了该模型的可行性。
关键词:Web 服务 身份验证 安全交互 异构平台
ABSTRACT
The platform-cross application integration has been greatly prompted by the
techniques of Web service. Web service is based on open standard technology, so it has
the advantages of loose coupling, plat-crossing, interoperation and language
independence and has been widely applied in distributive application system. For these
applications, the security problems of Web service become a critical factor for success.
SOA security is divided into two aspects from the basic process of Web service,
one is the SOAP message security, and another is the dynamic response from the service
provider to the legal user or the content asserted in message.
The interactions among Web services are always from two partners. And the
platform used by these interactions may be different from each other. So it’s difficult to
security the multiple securities interactive. In order to solve security problem, A Web
service security standard is proposed by OASIS. This standard can settle three security
problems, identity authentication, the confidentiality and integrality of SOAP message.
But the support to WS-Security standard and the implement of WS-Security of every
heterogeneous Web service platform are different, for example, it’s different in the
certificate formats, JAVA selects JKS repositories to store certificates, but .NET uses
PFX repositories. It’s also different in the security policy, the policy file of WSE is
stored in policyCache.config, but the file of Rampart is stored in axis2.xml and
services.xml.
Focusing on web service security problem of heterogeneous platforms, the article
studies the technique supports of WS-Security criterion of .NET and Axis2 Web service
platform. A security application scenario in which three sides are involved is built. And
a tripartite interaction security application model is abstracted on a heterogeneous
platform. An experiment is implemented on heterogeneous platforms in order to
validate the abstracted security model at last.
Key Words:Web Service,Authentication,Security Interactive,
Heterogeneous Platform
目录
中文摘要
ABSTRACT
第一章 绪论.....................................................................................................................................1
§1.1 课题研究的目的和意义................................................................................................1
§1.2 国内外研究现状..............................................................................................................2
§1.3 论文研究的主要内容.................................................................................................... 4
§1.4 论文结构安排.................................................................................................................. 4
第二章 SOA 及相关标准...............................................................................................................6
§2.1 SOA 的概念................................................................................................................... 6
§2.2 SOA 的基本服务模型.................................................................................................7
§2.3 Web 服务平台................................................................................................................... 8
§2.3.1 Web 服务平台的要素........................................................................................10
§2.3.2 Web 服务平台的原则........................................................................................11
§2.4 核心的 Web 服务标准...............................................................................................12
§2.4.1 可扩展标记语言................................................................................................12
§2.4.2 简单对象访问协议........................................................................................... 12
§2.4.3 Web 服务描述语言............................................................................................ 13
§2.4.4 通用描述、发现、集成.................................................................................. 14
第三章 Web 服务的安全规范.................................................................................................... 15
§3.1 Web 服务安全问题分析...............................................................................................15
§3.1.1 Web 服务安全的核心........................................................................................15
§3.1.2 Web 服务安全的标准........................................................................................17
§3.1.3 Web 服务安全的认证模式...............................................................................18
§3.2 WS-Security 规范 ...........................................................................................................18
§3.2.1 WS-Security 规范的概述.............................................................................. 18
§3.2.2 WS-Security 规范的组成 ................................................................................. 19
§3.2.3 WS-Security 规范的实现 ................................................................................. 20
§3.3 .NET Web 服务安全模型......................................................................................... 22
§3.3.1 .NET 作为客户端的优点..............................................................................22
§3.3.2 .NET 的安全策略............................................................................................22
§3.3.3 WSE 安全策略的框架...................................................................................23
§3.3.4 WSE 安全策略断言........................................................................................24
§3.4 Axis2 Web 服务安全模型 .........................................................................................25
§3.4.1 Rampart 简介....................................................................................................25
§3.4.2 Rampart 的组成结构......................................................................................25
第四章 异构平台下 Web 服务安全交互模型的设计..........................................................28
§4.1 异构平台下安全机制的分析.................................................................................. 28
§4.1.1 两平台对 WS-Security 规范的支持的差异................................................28
§4.2 异构平台下应用场景的建立......................................................................................29
§4.2.1 应用场景模型的抽象........................................................................................30
§4.3 异构平台下安全交互模型的设计............................................................................ 31
第五章 异构平台下 Web 服务安全交互模型的验证..........................................................35
§5.1 应用场景安全交互的实现.......................................................................................35
§5.1.1 交互各方安全证书的准备..............................................................................35
§5.1.1.1 客户端安全令牌的准备.......................................................................35
§5.1.1.2 旅游公司代理服务器端证书的生成................................................35
§5.1.1.3 航空公司服务器端证书的生成.........................................................37
§5.1.1.4 旅游公司与航空公司双方交换公钥证书...................................... 37
§5.1.2 三方交互场景的实现........................................................................................38
§5.1.2.1 JAVA 服务器端创建 Web 服务....................................................... 38
§5.1.2.2 .NET 创建客户端................................................................................ 42
§5.1.2.3 .NET 创建代理服务器端.................................................................. 45
§5.1.3 客户端调用服务器端的 Web 服务.............................................................. 49
§5.2 权限管理的实现......................................................................................................... 50
§5.2.1 常用权限管理的方法........................................................................................50
§5.2.2 树型权限管理方法的实现..............................................................................51
§5.2.3 树型权限管理的编码码解析的代码实现..................................................52
第六章 总结与展望....................................................................................................................... 54
§ 6.1 总结.............................................................................................................................54
§ 6.2 展望.............................................................................................................................54
参考文献............................................................................................................................................56
在读期间公开发表的论文和承担科研项目及取得成果.................................................... 59
致 谢................................................................................................................................................ 60
第一章 绪论
1
第一章 绪论
§1.1 课题研究的目的和意义
在互连网应用中 Web Service 已经得到了广泛的认同,同时也是因为这种广泛
的应用,使得 Web Service 在规范化方面越来越成熟。企业和企业之间的信息交互,
考虑的最重要的一点就是信息的安全性问题,电子商务等互连网应用在这方面的
需求更为突出,如果没有安全的保证,那么没有客户或企业愿意在网上进行信息
的交互,同时也不会信任接受到的任何信息。然而,作为 SOA 的有效技术手段,
Web 服务的动态性很强,Web 服务可能在任何的平台下被使用,因此 Web 服务的
安全性问题变得更加复杂。
现有的安全技术主要有:SSL (安全套接字层)、VPN (虚拟专用网)、防火墙技
术和 HTTP 认证等。SSL(Security Socket Layer)是目前 Web 上具有真正意义上的
安全通讯标准。Web 服务作为一项新技术,有其特殊的安全需求,其中选择性加
密与端对端的安全是它主要的安全要求。在 Web 服务安全性方面,有以下三个最
为基础的概念[2]:
机密性(Confidentiality);完整性(Integrity);身份鉴别(Authentication)。
机密性:除了指定的信息接受者,其它人无法看到所发送信息的内容。一般
使用密钥(对称或非对称)对消息进行加密,从而保证消息的机密性。
完整性:确保消息在传输的过程中没有被修改,即保证消息的接收者接收到
的消息与消息发送者最初发送的消息完全一致。通常会对消息做摘要(Digest),
再使用密钥(对称,非对称)加密摘要,从而保证消息的完整性。
身份鉴别:确保消息发送者的身份与消息中所声称的用户身份一致。最简单
的做法就是让用户同时发送自己的用户名和密码,服务方确认密码的有效性从而
判断该用户身份是否与用户名所代表的一致。然而在实际的应用中的做法通常不
会如此简单,此时往往会使用密钥对一段信息加密,服务方通过解密此信息确认
用户的身份。
从上面的描述我们可以看到对称,非对称密钥往往同时出现。比如在机密性
中,我们可以使用任何一个来加密消息。而在完整性中,它们也都可以用于加密
摘要。
但是对称密钥的加密、解密速度比非对称密钥加密、解密速度快大约 1000 倍
左右, 所以可以用对称密钥加密普通信息,用非对称密钥加密对称密钥。
在完整性中,使用非对称密钥的私钥加密摘要,得到的是一个叫作 Digital
Signature (数字签名); 而使用对称密钥加密摘要得到的是 HMAC(Hash message
SOA 应用集成中身份验证与权限管理的研究
2
authentication codes)。它们在保证消息完整性的同时,都具有身份鉴别的功能,不
过数字签名还有一个功能那就是抗否认性,而这一点在电子商务应用中尤为重要。
值得注意的是,在机密性中,使用非对称密钥方法是用公钥加密,私钥解密,
而在完整性中使用非对称密钥的方法恰恰相反,它是使用私钥加密,用公钥解密。
PKI 技术是大多数安全解决方案的基础。它通过证书管理公钥,通过第三方的
可信任机构—认证中心 CA(Certificate Authority),把用户的公钥和其它标识信息(比
如名字,电子邮件和身份证号码等)捆绑在一起,在 Internet 网上验证用户的身份。
LDAP 服务器在 PKI 中具有重要地位,它是一种特殊类型的数据库,通过使用不
同的索引、缓冲存储和磁盘访问技术来优化读访问,其中的信息采用层次信息模
型来表示。服务器中主要存储的数据有证书、公钥、CRL(证书吊销列表)、用户信
息等 PKI 敏感信息,有必要采取充分的安全手段防止对 LDAP 服务器的不当存取。
LDAP 的最初设计并不是主要用于支持 PKI 技术的,但因为 LDAP 提供了证书颁
发以及证书撤销列表(CRL)的目录访问服务,反而成为支持 PKI 技术的主流协议。
虽然现有的安全技术在一般的点对点安全交互上取得一定的成果,但是在性
能、中间节点和选择性保护等问题上存在着一些的缺点;例如使用虚拟专用网虽
然可以很好地保护 Web 服务,但对于 B2C 这样的应用场合,它却显得无能为力,
试想如果使用虚拟专用网来给每个客户端开通一个专用通道来进行安全通信,那
么所花费的成本是很高的,这显然是不现实的。尤其是对于在异构平台下的安全
交互,目前国内外对于异构平台下的安全交互的实现还很不成熟,虽然 WS-Security
规范的产生基本解决了异构平台下的安全交互问题。但是异构环境下各 Web 服务
平 台 对 WS-Security 规 范 的 支 持 存 在 一 些 不 统 一 的 地 方 , 并 且 各 个 平 台 在
WS-Security 规范的实现上也存在着一些差异,例如对支持的证书的格式上 JAVA
采用 JKS 格式的证书库保存证书,而.NET 采用 PFX 格式的证书库保存证书。而
且如果交互者不止两方的情况,那么参与安全交互的各方实现起来就更加复杂了。
针对上述问题,本文提出了异构平台下三方安全交互的应用场景,在 SOA 基
础上,采用对 SOAP 消息的签名技术实现了异构平台下身份的验证。并提出了一
种树型权限管理的方法,很好的解决权限之间的依赖关系。
§1.2 国内外研究现状
目前,在Web服务安全方面国内外已有许多比较成熟的方法与策略,例如数字
签名(digital signature)、XML加密(encryption)技术和标准[3]、访问控制(access control)
技术等。为了保证Web服务的安全性和互操作性,实施身份认证和权限管理变得日
益迫切。
摘要:
展开>>
收起<<
摘要Web服务技术的发展很大程度上促进了异构系统跨平台集成技术的发展。由于Web服务技术基于一系列开放的标准技术,因此Web服务技术具有松耦合、跨平台、互操作、语言中立等优点,所以Web服务技术在分布式应用系统中得到了广泛应用。于是Web服务的安全问题就变得至关重要。从Web服务的基本过程来看,可以把SOA的安全分为对SOAP消息的安全和服务提供者对合法的用户或消息中所声明的内容动态地做出响应。但是Web服务交互者往往不止有两方的情况,可能会出现三方或者更多的情况。而且这些服务的交互者使用的平台也可能互不相同。这就使得异构平台下的多方安全交互变得非常困难。为了解决异构平台下的安全交互问题OAS...
相关推荐
-
七年级数学下册(易错30题专练)(沪教版)-第13章 相交线 平行线(原卷版)VIP免费
2024-10-14 25 -
七年级数学下册(易错30题专练)(沪教版)-第13章 相交线 平行线(解析版)VIP免费
2024-10-14 28 -
七年级数学下册(易错30题专练)(沪教版)-第12章 实数(原卷版)VIP免费
2024-10-14 27 -
七年级数学下册(易错30题专练)(沪教版)-第12章 实数(解析版)VIP免费
2024-10-14 19 -
七年级数学下册(压轴30题专练)(沪教版)-第15章平面直角坐标系(原卷版)VIP免费
2024-10-14 19 -
七年级数学下册(压轴30题专练)(沪教版)-第15章平面直角坐标系(解析版)VIP免费
2024-10-14 27 -
七年级数学下册(压轴30题专练)(沪教版)-第14章三角形(原卷版)VIP免费
2024-10-14 19 -
七年级数学下册(压轴30题专练)(沪教版)-第14章三角形(解析版)VIP免费
2024-10-14 30 -
七年级数学下册(压轴30题专练)(沪教版)-第13章 相交线 平行线(原卷版)VIP免费
2024-10-14 26 -
七年级数学下册(压轴30题专练)(沪教版)-第13章 相交线 平行线(解析版)VIP免费
2024-10-14 22
作者:侯斌
分类:高等教育资料
价格:15积分
属性:62 页
大小:837.51KB
格式:PDF
时间:2024-11-19
相关内容
-
七年级数学下册(压轴30题专练)(沪教版)-第15章平面直角坐标系(解析版)
分类:中小学教育资料
时间:2024-10-14
标签:无
格式:DOCX
价格:15 积分
-
七年级数学下册(压轴30题专练)(沪教版)-第14章三角形(原卷版)
分类:中小学教育资料
时间:2024-10-14
标签:无
格式:DOCX
价格:15 积分
-
七年级数学下册(压轴30题专练)(沪教版)-第14章三角形(解析版)
分类:中小学教育资料
时间:2024-10-14
标签:无
格式:DOCX
价格:15 积分
-
七年级数学下册(压轴30题专练)(沪教版)-第13章 相交线 平行线(原卷版)
分类:中小学教育资料
时间:2024-10-14
标签:无
格式:DOCX
价格:15 积分
-
七年级数学下册(压轴30题专练)(沪教版)-第13章 相交线 平行线(解析版)
分类:中小学教育资料
时间:2024-10-14
标签:无
格式:DOCX
价格:15 积分
