西南交通大學(xué)碩士研究生學(xué)位論文第1 頁 摘要 w e b 服務(wù)提供了一種完全建立在現(xiàn)有互聯(lián)網(wǎng)標(biāo)準(zhǔn)之上的面向服務(wù)的架構(gòu) ( s o a ) ，具有分布式、松散耦合性和平臺無關(guān)性。隨著w e b 服務(wù)的廣泛應(yīng)用， 其安全問題已經(jīng)越來越受到人們的重視。 安全性問韙是一個非常復(fù)雜的問題，目前，與w e b 服務(wù)安全有關(guān)的規(guī)范 主要有w s s e c u r i t y 規(guī)范、w s p o l i c y 規(guī)范、x k m s 規(guī)范以及s a m l 規(guī)范等，雖 然這些規(guī)范在某些方面能實(shí)現(xiàn)消息安全，但不能提供一個完整的安全解決方 案。w e b 服務(wù)要求一種端對端的安全解決方案，包括加密機(jī)制、數(shù)字簽名機(jī) 制、安全管理、訪問控制等等方面。 本文首先分析了w e b 服務(wù)的安全性需求，研究了w e b 服務(wù)安全，包括 安全技術(shù)、安全性規(guī)范和最新發(fā)展。 然后，分析了w s e 3 0 的策略框架及工作過程，并對內(nèi)置安全策略斷言 和自定義策略斷言的應(yīng)用分別進(jìn)行了詳細(xì)闡述。 其次，通過分析w s s e c u r i t y 安全模型及工作原理，針對w e b 服務(wù)的安 全性需求，設(shè)計了一種基于策略架構(gòu)的w e b 服務(wù)安全解決方案。本文給出了 總體框架，并對安全消息交換的處理過程進(jìn)行了描述，還指出了該方案的優(yōu) 點(diǎn)及不足。 最后，在n e t 環(huán)境下，使用w s e3 0 開發(fā)了一個w e b 服務(wù)安全應(yīng)用系 統(tǒng)。本文介紹了該系統(tǒng)的體系結(jié)構(gòu)和針對安全需求的實(shí)現(xiàn)方法，描述了基本 安全功能模塊的實(shí)現(xiàn)，并詳細(xì)闡述了高級安全功能模塊的實(shí)現(xiàn)。 關(guān)鍵詞：w e b 服務(wù)安全；w s - s e c u r i t y ；w s e3 0 ；策略 西南交通大學(xué)碩士研究生學(xué)位論文第| | 頁 a b s t r a c t w e bs e r v i c e sp r o v i d e sak i n do fs e r v i c e so r i e n t e da r c h i t e c t u r e s o a , w h i c h i se n t i r e l yb u i l tu p o nt h ec u r r e n ts t a n d a r d so fi n t e m e t i t sd i s t r i b u t e d , 1 0 0 s e c o u p l i n g ，a n di n d e p e n d e n to f p l a t f o r m s w i t hw e bs e r v i c e sb e i n gu s e dw i d e l y , i t s s e c u r i t yh a sa t t r a c t e dm o r ea n dm o l ea t t e n t i o n s e c u r i t yi sac o m p l e xp r o b l e m a tt h ep r e s e n tt i m e ，t h es p e c i f i c a t i o n sr e l a t e d t os e c u r i t yo f w e bs e r v i c e sm a i r d yh a v ew s s e c u r i t y , w s - p o l i 錫x k m s ，s a m l , e t c t h o u g ht h e s es p e c i f i c a t i o n sc a l li m p l e m e n ts e c u r i t yo f m e s s a g ei ns o m ew a y s ， t h e yc a l ln o tp r o v i d e 鋤i n t e g r a t e ds e c u r i t ys o l u t i o n w e bs e r v i c e sr e q u i r e sa s e c u r i t y s o l u t i o nf o re n d - t o - e n d a p p l i c a t i o n , i n c l u d i n ge n c r y p t i o n , d i g i t a l s i g n a t u r e s 洲r(nóng) i t ym a n a g e m e n t , a c c e s sc o n t r o la n ds oo n f i r s t ，t h i st h e s i sa n a l y z e ss e c u r i t yr e q u i r e m e n t so fw e bs e r v i c e s ，a n d r e s e a r c h e ss e c u n t yo fw e bs e r v i c e s ，i n c l u d i n gs e c u r i t yt e c h n o l o g y , s e c u r i t y s p e c i f i c a t i o na n dt h el a t e s td e v e l o p m e n t t h e n , t h i st h e s i sa n a l y z e st h ep o l i c yf r a m e w o r ka n dt h ew o r kp r o c e s so f w e b s e r v i c e se n h a n c e m e n t s3 0 ，a n di l l u m i n a t e st h ea p p l i c a t i o no ft u r n k e ys e c u r i t y p o l i c ya s s e r t i o na n dc l l s t o mp o l i c ya s s e r t i o nr e s p e c t i v e l y n e x t , t h r o u g ha n a l y z i n gs e c u r i t ym o d e lo f w s s e c u r i t ys p e c i f i c a t i o na n di t s w o r kp r i n c i p l e , a i m i n ga ts o l v i n gt h es e c u r i t yr e q u i r e m e n t so fw e bs e r v i c e s ，a k i n do fw e bs e r v i c e ss e c u r i t ys o l u t i o nb a s lo np o l i c ya r c h i t e c t u r ei sd e s i g n e d t h i st h e s i sp r o v i d e st h ew h o l ef r a m e w o r k , d e s c r i b e st h ep r o c e s so fs e c u r i t y m e s s a g ee x c h a n g e , a n di n d i c a t e st h ea d v a n t a g e sa n dt h ed i s a d v a n t a g e so ft h e s o l u t i o n f i n a l l y , aw e bs e r v i c e ss o m d t ya p p l i c a t i o ns y s t e mi sd e v e l o p e do n n e t p l a t f o r m1 礬l hw s e 3 0 t h i st h e s i si n t r o d u c e st h ea r c h i t e c t u r eo ft h es y s t e ma n d t h er e a l i z a t i o nm e t h o d sa i m i n ga ts e c u r i t yr e q u i r e m e n t s , d e s c r i b e st h er e a l i z a t i o n o ft h eb a s i cs e c u r i t yf u n c t i o nm o d u l e s ，a n di l l u s t r a t e st h er e a l i z a t i o no ft h e a d v a n c o ds e c u r i t yf u n c t i o nm o d u l e s k e yw o r d s ：w e bs e r v i c e ss e c u r i t y ；w s - s e c u r i t y ；w e bs e r v i c e se n h a n c e m e n t s3 o ： p o l i c y 西南交通大學(xué)碩士研究生學(xué)位論文第1 頁 第1 章緒論 1 1w e b 服務(wù)安全的研究背景 w e b 服務(wù)技術(shù)基于許多不同軟件應(yīng)用程序的互操作性，而這些應(yīng)用程序 通過i n t e r n e t 在各地各種系統(tǒng)中運(yùn)行，通過使用x m l 、s o a p 、u d d i 、w s d l 以及其他協(xié)議和機(jī)制，實(shí)現(xiàn)跨域且獨(dú)立于平臺的交互作用。正是由于w e b 服 務(wù)這種分布式、異構(gòu)的本質(zhì)“1 ，使得w e b 服務(wù)的安全變得很復(fù)雜。而w e b 服 務(wù)開發(fā)初始希望其簡單易用，最初設(shè)計者選擇了推遲定義解決安全問題的方 法。 目前安全技術(shù)已相當(dāng)普及，各部門都會建立自己的特定安全解決方案， 但這些解決方案往往具有局部性。而在設(shè)計處理w e b 服務(wù)模型的新解決方案 時，由于系統(tǒng)實(shí)現(xiàn)者希望能充分利用現(xiàn)有的投資，并不取代現(xiàn)有的安全解決 方案，而是想將這些獨(dú)立的解決方案整合為一個完整的端對端安全解決方案。 因此，m i c r o s o f t 和其他業(yè)界企業(yè)( 例如i b m 、b e a ) 一起制定了一組為 實(shí)現(xiàn)豐富和可互操作的通訊協(xié)議和規(guī)范，通常稱作w s 一木規(guī)范。該規(guī)范及其 后續(xù)的工作就成為了w e b 服務(wù)技術(shù)領(lǐng)域的一次最重要的進(jìn)步各軟件服務(wù)商 為其產(chǎn)品提供相應(yīng)的接口和編程工具。w e b 服務(wù)開發(fā)者也將利用這些工具來 加強(qiáng)所開發(fā)的w e b 服務(wù)的安全性。 微軟使用w s s e c u r i t y 等規(guī)范實(shí)現(xiàn)s o a p 消息安全的工具包最初為w e b s e r v i c e se n h a n c e m e n t s1 0f o r n e t ( 簡稱為w s e1 o ) ，它作為一個類 庫用來實(shí)現(xiàn)高級w e b 服務(wù)協(xié)議，在保護(hù)w e b 服務(wù)安全中一個重要的內(nèi)容就是 要保護(hù)其s o a p 消息傳遞的安全。通過使用w s e ，使s o a p 消息可以自己驗(yàn)證 其完整性，并可利用規(guī)范中的機(jī)制進(jìn)行簽名和加密。 在2 0 0 5 年底微軟推出了v i s u a ls t u d i o2 0 0 5 版本，其中w s e 推出了3 0 版本嘲，并直接構(gòu)建到v i s u a ls t u d i o2 0 0 5 中，作為w e b 服務(wù)的安全性開 發(fā)工具，w s e ( 1 0 和2 o ) 推出的主要目的是提供一種實(shí)際可行的設(shè)計方法 o ”，來實(shí)現(xiàn)w s - * 安全性規(guī)范，而3 0 版本的目的不是去改變規(guī)范，而是因?yàn)?w e b 服務(wù)已應(yīng)用到許多開發(fā)領(lǐng)域，它必須擴(kuò)充v i s u a ls t u d i o 中現(xiàn)有的w e b 服務(wù)支持，解決、簡化開發(fā)人員所面臨的問題。其主要提供的目標(biāo)有：簡便 西南交通大學(xué)碩士研究生學(xué)位論文第2 頁 開發(fā)安全的w e b 服務(wù)、采用w e b 服務(wù)協(xié)議與n e t2 0 結(jié)合簡化面向服務(wù)的應(yīng) 用開發(fā)以及實(shí)現(xiàn)與未來技術(shù)的兼容性。 目前，關(guān)于w e b 服務(wù)安全技術(shù)的理論研究已經(jīng)較多，而且也出現(xiàn)了用 w s e l 0 或2 0 設(shè)計實(shí)現(xiàn)w e b 服務(wù)安全體系，雖然各有側(cè)重點(diǎn)，但也為下一步 研究提供了理論和實(shí)踐的基礎(chǔ)。而微軟剛推出的w s e3 0 開發(fā)工具包，為 研究提供了很好的開發(fā)平臺以及開發(fā)工具。w e b 服務(wù)應(yīng)用在現(xiàn)階段得到了大 力發(fā)展，這方面的新技術(shù)和新產(chǎn)品也在不斷涌現(xiàn)，不斷為研究提供新的素材。 1 2 本課題研究工作的意義 1 w s e3 0 是最新推出的w e b 服務(wù)安全開發(fā)工具包，以前的研究還只是 利用1 0 或2 0 進(jìn)行開發(fā)，并未對3 0 的技術(shù)展開探討。 2 以往的研究主要是側(cè)重w e b 服務(wù)安全技術(shù)的理論探討，以及研究如何 基本實(shí)現(xiàn)w e b 服務(wù)的安全。而目前的研究應(yīng)該再進(jìn)一步，研究如何更加便利 的開發(fā)w e b 服務(wù)安全體系，如何提高w e b 服務(wù)安全實(shí)現(xiàn)的效能以及如何與未 來安全技術(shù)規(guī)范接軌問題等方面。 1 3w e b 服務(wù)安全的研究現(xiàn)狀 標(biāo)準(zhǔn)是維護(hù)w e b 服務(wù)應(yīng)用程序可移植性和互操作性的最好方法。雖然產(chǎn) 品和技術(shù)在不斷變化，但其基礎(chǔ)安全服務(wù)所普遍采用的安全標(biāo)準(zhǔn)將很穩(wěn)定。 因此，對于采用了標(biāo)準(zhǔn)的安全應(yīng)用程序編程接口的應(yīng)用程序，就可在不重寫 應(yīng)用程序的情況下，開發(fā)自己的安全產(chǎn)品。 目前，w s - s e c u r i t y 說明書已經(jīng)準(zhǔn)備被批準(zhǔn)，并有很多安全產(chǎn)品都在支 持它，然而，現(xiàn)在對配置安全還沒有標(biāo)準(zhǔn)。w s p o lj c y 和w s - t r u s t 這兩種w s * 說明書也已經(jīng)被提交到標(biāo)準(zhǔn)體系中，它們有助于解決安全配置問題。 現(xiàn)在已有廠商支持w s s 規(guī)范和w e b 服務(wù)安全功能。支持w s s 的產(chǎn)品必須 包含一個w s s 提供器( 能處理w s ss o a p 頭) 。一般可歸入如下幾類：w e b 服務(wù) 平臺、w s s 庫、w e b 服務(wù)管理( w e bs e r v i c e sm l a n a g e m e n t ，w s m ) 、x m l 安全網(wǎng) 關(guān)、x m l 虛擬專用網(wǎng)、w e b 服務(wù)欺騙探察以及w e b 服務(wù)單點(diǎn)登錄及聯(lián)邦洲。而 x 肌安全網(wǎng)關(guān)和w e b 服務(wù)管理產(chǎn)品提供了使安全性外部化，以使它能被集中 西南交通大學(xué)碩士研究生學(xué)位論文第3 頁 地管理和控制的方法，是目前最好的解決辦法，也是過渡期研究的主要方向。 1 4 本論文研究的主要內(nèi)容 在本文中主要的研究目標(biāo)是：針對目前w e b 服務(wù)的安全需求，依照w s - * 規(guī)范，利用n e t2 0 的開發(fā)平臺，采用w s e3 0 的開發(fā)工具，設(shè)計一種基 于策略架構(gòu)的w e b 服務(wù)安全解決方案。并開發(fā)一個w e b 服務(wù)安全應(yīng)用系統(tǒng)， 實(shí)現(xiàn)該方案。 因此，研究中的主要內(nèi)容是： 1 對w s e3 0 中的策略體系架構(gòu)及工作過程進(jìn)行研究，尤其是自定義策 略斷言的應(yīng)用。 2 利用w s e3 0 開發(fā)工具，針對w e b 服務(wù)的安全性需求，設(shè)計一種w e b 服務(wù)安全解決方案。主要考慮如何采用策略文件與代碼相結(jié)合的方式來設(shè)計 s o a p 消息處理模塊。 在設(shè)計解決方案時，一方面從端對端企業(yè)角度( 從上至下) 考慮，先對 框架的整體進(jìn)行設(shè)計，再細(xì)化各實(shí)現(xiàn)模塊的功能；另一方面從身份認(rèn)證、授 權(quán)、安全消息交換這些主要的安全技術(shù)的實(shí)現(xiàn)角度( 從下至上) 考慮，先設(shè) 計各模塊的實(shí)現(xiàn)功能，再考慮如何組合到策略中去。 3 建立并逐步實(shí)現(xiàn)適合自身需要的應(yīng)用平臺的w e b 服務(wù)安全體系框架， 實(shí)現(xiàn)各種安全功能，滿足各種不同的安全需求。 擁有一個安全架構(gòu)，不是要一次實(shí)現(xiàn)所有安全功能。這里也是從小規(guī)模 開始，先選擇基本的安全服務(wù)，然后再在需要的時候建立更加高級的安全功 能。而架構(gòu)為建立整體安全體系提供了實(shí)現(xiàn)路線圖。 1 5 本章小結(jié) 在應(yīng)用程序內(nèi)自定義建立的安全是手工編碼，實(shí)現(xiàn)和維護(hù)起來費(fèi)用較高， 而且還可能存在更多的安全脆弱性，而一個單一的、采用了標(biāo)準(zhǔn)的應(yīng)用程序 編程接口的安全基本結(jié)構(gòu)則可以被所有應(yīng)用程序使用，可避免多次重復(fù)定義 用戶、安全屬性和其他策略，可以集中精力解決一些關(guān)鍵的可互操作的安全 技術(shù)。因此，建立一個跨企業(yè)共享的通用安全結(jié)構(gòu)是值得進(jìn)行探討的。 西南交通大學(xué)碩士研究生學(xué)位論文第4 頁 第2 章w e b 服務(wù)安全技術(shù) 本章討論w e b 服務(wù)安全的相關(guān)技術(shù)，為設(shè)計和實(shí)現(xiàn)本論文的w e b 服務(wù)安 全架構(gòu)做好理論鋪墊。 2 1w e b 服務(wù)安全及目標(biāo) 隨著w e b 服務(wù)在松散耦合的、與語言和平臺無關(guān)的應(yīng)用中的采用越來越 廣泛，另一個潛在問題也日益引起人們的關(guān)注安全性。w e b 服務(wù)的安全性 對商業(yè)組織和它們的客戶來說都是至關(guān)重要。在向i n t e r n e t 開放重要業(yè)務(wù)功 能的過程中，w e b 服務(wù)也把企業(yè)內(nèi)部數(shù)據(jù)、應(yīng)用程序和系統(tǒng)暴露給了各種外 部威脅，如信息竊取、欺詐、破壞等行為。這給企業(yè)信息安全帶來了極大的 隱患。如果信息安全問題不能被妥善解決，w e b 服務(wù)的推廣應(yīng)用將會大大延 緩。而w e b 服務(wù)的安全領(lǐng)域卻是有待開發(fā)的領(lǐng)域。 安全目標(biāo)包括： ( 1 ) 端到端的消息傳遞：即消息級別的安全性，不僅在傳輸?shù)倪^程中要 保證消息是安全的，而且在到達(dá)終點(diǎn)之前的各個中介處也需要是安全的。 ( 2 ) 提供機(jī)密性和完整性的安全消息交換：機(jī)密性：加密消息，防止消 息在傳輸過程中被泄露。完整性：確保消息在傳輸?shù)倪^程中不被篡改。 ( 3 ) 身份認(rèn)證和授權(quán)：身份認(rèn)證：通過驗(yàn)證用戶所擁有的可靠憑證來確 保其身份與消息中所聲稱的用戶身份一致，避免冒名者。憑證可以是口令、 x 5 0 9 數(shù)字證書或任何一種安全令牌。授權(quán)；用戶身份被驗(yàn)證通過后，就可 根據(jù)訪問權(quán)限授予對資源的訪問權(quán)。 ( 4 ) 不可抵賴性：這在電子商務(wù)中是不可豁缺的1 。確保惡意發(fā)送方在 事后無法抵賴其創(chuàng)建并發(fā)送特定消息的事實(shí)，避免遭受惡意第三方如重放攻 擊等技術(shù)的襲擊。 ( 5 ) 消息安全中的靈活性：由于不同的用戶對w e b 服務(wù)有不同的訪問權(quán) 限，需要提供對s o a p 消息的細(xì)粒度保護(hù)，支持如部分加解密等特殊安全處 理。 這些問題雖然與國際標(biāo)準(zhǔn)化組織i s o 在網(wǎng)絡(luò)安全體系的設(shè)計標(biāo)準(zhǔn)中定義 的安全服務(wù)功能類似嘲，但在實(shí)質(zhì)上還是有區(qū)別。 西南交通大學(xué)碩士研究生學(xué)位論文第5 頁 2 2w e b 服務(wù)所用的安全技術(shù) w e b 服務(wù)是工作在應(yīng)用層，而以前的安全技術(shù)和產(chǎn)品基本上是工作在網(wǎng) 絡(luò)層或傳輸層。w e b 服務(wù)經(jīng)常跨越不同系統(tǒng)和平臺，而以前安全問題的解決 基本是在一個平臺甚至一個系統(tǒng)上?，F(xiàn)在已經(jīng)提出了一些技術(shù)，以使w e b 服 務(wù)更加安全。 2 2 1 傳統(tǒng)的w e b 安全技術(shù) 1 防火墻技術(shù)和i p 安全協(xié)議( i p s e c ) 屬于網(wǎng)絡(luò)級別的安全技術(shù)，根據(jù)策略和規(guī)則的設(shè)置，限制已知i p 訪問， 保護(hù)專用網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的入侵，但是w e b 服務(wù)結(jié)合使用 r r t p 協(xié)議與x m l ， 實(shí)現(xiàn)的是應(yīng)用程序之間的相互通信，防火墻只能放行或?yàn)V掉所有的s o a p 消 息，其內(nèi)容一般不會被檢查，因此w e b 服務(wù)能輕易穿越防火墻。防火墻技術(shù) 并不適用于應(yīng)用級別的安全性。 2 安全套接字層( s e c u r i t ys o c k e tl a y e r 。s s l ) 屬于傳輸級別的安全技術(shù)，為目前業(yè)界現(xiàn)成的而且廣泛接受的傳輸層安 全機(jī)制。但只有在點(diǎn)對點(diǎn)的情況下才能在傳輸過程中提供消息完整性和機(jī)密 性；但w e b 服務(wù)所發(fā)送的s o a p 消息為端對端的消息傳遞，在到達(dá)最終目的 地或接收方之前一般要經(jīng)過一個或多個中介體( 如應(yīng)用網(wǎng)關(guān)) 接收并處理， 而s s l 無法提供在中介體傳輸層以上的某一層之間的安全。因此，無法滿足 w e b 服務(wù)開發(fā)和使用的安全要求。 下面通過一個基本示例進(jìn)行比較說明，當(dāng)w e b 服務(wù)請求者通過w e b 客戶 端與w e b 服務(wù)器( 直接提供w e b 服務(wù)) 進(jìn)行消息傳遞時，如圖2 一l 所示這 時為點(diǎn)對點(diǎn)的消息傳遞，w e b 客戶端與w e b 服務(wù)器之間可通過s s l 建立連接。 w e b 服務(wù)安全性可由s s l 提供。 圖2 - 1 點(diǎn)對點(diǎn)的消息傳遞 西南交通大學(xué)碩士研究生學(xué)位論文第6 頁 但當(dāng)w e b 服務(wù)器本身不直接提供w e b 服務(wù)，而只作為一個中間層w e b 應(yīng) 用程序，w e b 服務(wù)請求者所請求的w e b 服務(wù)是由其他應(yīng)用程序提供時，由于 消息需要經(jīng)w e b 服務(wù)器( 中聞層w e b 應(yīng)用程序) 處理后，才能再向目標(biāo)w e b 服務(wù)傳遞，如圖2 2 所示，這時為端對端的消息傳遞，而s s l 僅能提供傳輸 層安全，因此，在中間層的應(yīng)用層安全就無法提供。導(dǎo)致請求者與w e b 服務(wù) 提供者之間的秘密就可能在中間層w e b 應(yīng)用程序中被泄漏。 ? w e b 客戶端fs s liw e b 服務(wù)器 s s l1 目標(biāo)應(yīng)用程序 i 請赭日囂日鼢服務(wù)l 圖2 - 2 端對端的消息傳遞 通常，將傳統(tǒng)安全技術(shù)作為w e b 服務(wù)的第一層保護(hù)，同時采用更高層的 安全技術(shù)來處理w e b 服務(wù)的安全需求。 2 2 2 目前所用的安全技術(shù) w e b 服務(wù)所用的安全技術(shù)屬于應(yīng)用級別的安全技術(shù)，提供端對端的消息 級安全。 所涉及的安全技術(shù)有： 1 基本密碼術(shù) 密碼術(shù)是所有安全體系結(jié)構(gòu)的基礎(chǔ)，主要分兩類：對稱密碼術(shù)和非對稱 密碼術(shù)。對稱密碼術(shù)常用來加密批量消息數(shù)據(jù)f 2 】。由于非對稱密碼術(shù)在加解 密時需要進(jìn)行復(fù)雜的計算，速度比對稱密碼術(shù)慢很多。所以常只用來加密很 少數(shù)量的信息，如一個d e s 對稱密鑰。然后再用該對稱密鑰來加密消息。 為了能運(yùn)行非對稱算法，需要采用某種方法發(fā)布公鑰。般通過證書頒 發(fā)機(jī)構(gòu)提供c a 服務(wù)，建立公鑰基本結(jié)構(gòu)p k i ，為用戶提供數(shù)字證書用來證明 其身份。使用戶可以確信所使用的公鑰是與它的所有者相關(guān)聯(lián)的。證書可以 從可信的第三方獲得，也可以通過在公司內(nèi)部建立本地可信的c a 服務(wù)器來提 供。 2 數(shù)字簽名 就是先應(yīng)用密碼散列算法( 常用的有s i t a 算法和m d 5 算法) 對消息生成 西南交通大學(xué)碩士研究生學(xué)位論文第7 頁 散列值【6 】，再用數(shù)字簽名算法( 常用的有r s a 算法和d s a 算法) 對散列值實(shí) 現(xiàn)數(shù)字簽名。能有效地檢測消息是否被篡改。 3 x m l 加密技術(shù) 由w 3 c 規(guī)范清晰地、完整地定義了x m l 加密語法【1 9 1 ，并規(guī)定了加密整個 或部分x 札文檔的方法。 x m l 加密為加密數(shù)據(jù)和以標(biāo)準(zhǔn)瑚l 格式表示加密結(jié)果提供了一種標(biāo)準(zhǔn)的 方法。x m l 加密允許加密任何數(shù)據(jù)，可以是一個完整的x m l 文檔或一個x 札 文檔中的指定元素，也可以是從外部引用的任意非x m l 格式數(shù)據(jù)，或間接地 從外部引用加密的數(shù)據(jù)，并支持多重加密。 4 x 兒簽名技術(shù) 由w 3 c 定義，以x m l 模式的形式提供了x m l 簽名的語法和語義【5 8 】。用于 對以x m l 格式表示的數(shù)據(jù)進(jìn)行數(shù)字簽名。描述了數(shù)字簽名的x m l 表示及計算、 驗(yàn)證數(shù)字簽名的過程。 可以將x 虬簽名和) 。加密兩種技術(shù)結(jié)合在一起對一個) 。兒文檔進(jìn)行操 作“”。這時兩種操作的順序就要注意。應(yīng)用程序必須區(qū)別加密操作在簽名操 作前還是在簽名操作后完成。 2 3w e b 服務(wù)安全性規(guī)范 為解決w e b 服務(wù)在處理消息級別的安全問題，m i c r o s o f t 和其他業(yè)界企 業(yè)( 例如i b m 、b 隊(duì)) 一起制定了一組為實(shí)現(xiàn)豐富的和可互操作的通訊協(xié)議和 規(guī)范，通常稱作w s 一書規(guī)范【l 】，主要是在w e b 服務(wù)使用s o a p ( ) 0 札格式) 作 為消息傳輸協(xié)議的背景下，將x m l 簽名、x m l 加密和s a m l ( s e c u r i t y a s s e r t i o n m a r k u pl a n g u a g e ：安全聲明標(biāo)記語言) ，組合起來以滿足w e b 服務(wù)安全需求 的一套規(guī)范。該規(guī)范與傳輸層無關(guān)，可以使用h t t p ，t c p 等協(xié)議，并通過只 使用和應(yīng)用相關(guān)的協(xié)議和規(guī)范來實(shí)現(xiàn)可組合性。 這組規(guī)范主要包括消息安全性模型( w s - s e c u r i t y ) 、策略模型 ( w s p o l i c y ) 、信任模型( w s - t r u s t ) 和隱私權(quán)模型( w s - p r i v a c y ) 等。這 些初始規(guī)范結(jié)合在一起提供了一個基礎(chǔ)，在這個基礎(chǔ)上可以跨多個信任域來 建立安全的、可互操作的w e b 服務(wù)。如圖2 - 3 所示： 西南交通大學(xué)碩士研究生學(xué)位論文第8 頁 匿匿匿 圖2 - 3w s - * 規(guī)范層次結(jié)構(gòu) 1 消息安全性模型( w s - s e c u r i t y ) w s s e c u r i t y 規(guī)范實(shí)際上是對s o a p 協(xié)議的擴(kuò)展。規(guī)范利用了多種常見的、 現(xiàn)有的安全性標(biāo)準(zhǔn)和規(guī)范，本身并沒有提出新的加密算法或安全模型。通過 提供一個架構(gòu)，將這些現(xiàn)有的技術(shù)注入到s o a p 消息中。使用戶可自由地將 w e b 服務(wù)協(xié)議、應(yīng)用層協(xié)議與各種加密技術(shù)、安全模型結(jié)合起來，以實(shí)現(xiàn)w e b 服務(wù)環(huán)境下消息的完整性、保密性和消息驗(yàn)證。 s o a p 規(guī)范本身沒有指定安全性功能，而是由s o a p 頭提供可擴(kuò)展機(jī)制， 以擴(kuò)展s o a p 消息使其可以適用于多種用途。因此可以通過對s o a p 頭元素的 可擴(kuò)展性處理來實(shí)現(xiàn)安全性功能。在w s - s e c u r i t y 規(guī)范中據(jù)此定義了向s o a p 添加安全性的基本方法。通過定義一個用于攜帶安全性相關(guān)數(shù)據(jù)的s o a p 標(biāo) 頭 元素來實(shí)現(xiàn)。 w s s e c u r i t y 還提供了三種主要機(jī)制： ( 1 ) 安全性令牌 包含由現(xiàn)有安全機(jī)制定義的安全性信息，形成令牌是為了傳遞的一致性 規(guī)范，使之能在所有層之間傳遞并統(tǒng)一識別。當(dāng)對s o a p 消息進(jìn)行加密或簽名 時，必須傳遞安全性令牌給接收者，以便于接收者對消息進(jìn)行解密或驗(yàn)證簽 名。同時安全性令牌可以傳送關(guān)于發(fā)送者的身份信息。 在這個標(biāo)準(zhǔn)機(jī)制中，安全性令牌被包含在s o a p 消息頭 元素 中，并以明文形式存在，需要使用消息完整性和消息機(jī)密性來保證其安全性。 w s s e c u r i t y 非常靈活，并支持多種安全性令牌。如：用戶名n 令令牌、x 5 0 9 證書令牌和s a m l 令牌。 ( 2 ) 消息完整性 使用x m l 簽名規(guī)范來實(shí)現(xiàn)該功能。支持多種簽名算法、多種簽名格式。 ( 3 ) 消息機(jī)密性 通過同時使用x m l 加密和把安全性令牌作為s o a p 消息的一部分來實(shí)現(xiàn)。 西南交通大學(xué)碩士研究生學(xué)位論文第9 頁 加密機(jī)制支持多種加密算法、多種加密格式。加密也可以引用一個安全性令 牌。 上述三種機(jī)制可以單獨(dú)使用( 例如，傳輸安全性令牌) ，也可以組合使用， 以實(shí)現(xiàn)不同強(qiáng)度的安全性。( 例如，對消息進(jìn)行簽名和加密，并提供與簽名 加密密鑰相關(guān)的安全性令牌) 。 2 策略模型( w s p o l i c y ) 描述了中介體和端點(diǎn)必須滿足的安全策略。 3 信任模型( w s - t r u s t ) 描述了使w e b 服務(wù)能夠安全地進(jìn)行互操作的信任模型。 4 隱私權(quán)模型( w s p r i v a c y ) 描述了w e b 服務(wù)中如何定義個人隱私權(quán)策略。 5 安全對話模型( w s - s e c u r e c o n v e r a t i o n ) 描述如何管理和驗(yàn)證各方之間相互交換的消息。 6 聯(lián)合模型( w s f e d e r a t i o n ) 描述如何管理和協(xié)調(diào)異類環(huán)境中的信任關(guān)系。 7 授權(quán)模型( w s a u t h o r i z a t i o n ) 。 定義了w e b 服務(wù)管理驗(yàn)證數(shù)據(jù)和授權(quán)策略的方法，在授權(quán)格式和授權(quán)語 言上是靈活的且可擴(kuò)展的。 安全模型是在擴(kuò)展的s o a p 協(xié)議支持的傳輸層的基礎(chǔ)上引入w e b 服務(wù)安全 層。w e b 服務(wù)安全層中的w s - s e c u r i t y 協(xié)議已經(jīng)定稿，而上面的兩層協(xié)議至 今為止還未確定下來。w s s e c u r i t y 協(xié)議是構(gòu)成整個w e b 服務(wù)安全層的基礎(chǔ)。 滿足了w s - s e c u r i t y 協(xié)議也就構(gòu)成了最初的w e b 服務(wù)安全層。w s s e c u r i t y 協(xié)議與其上層的1 | s p o l i c y 、w s t r u s t 和w s p r i v a c y 協(xié)議構(gòu)成了可信環(huán)境 中的w e b 服務(wù)安全層。上述四個協(xié)議加上其上層的三個協(xié)議構(gòu)成了不可信環(huán) 境中的w e b 服務(wù)安全層，也就是整個w e b 服務(wù)安全層。 2 4 本章小結(jié) 本章討論了在w e b 服務(wù)安全架構(gòu)的設(shè)計中使用到的幾個關(guān)鍵技術(shù)及 w s 規(guī)范，為下一步的設(shè)計打下了理論基礎(chǔ)。 西南交通大學(xué)碩士研究生學(xué)位論文第10 頁 第3 章w s e 3 0 策略框架技術(shù)分析 本章對w s e 3 0 策略框架技術(shù)進(jìn)行分析，該技術(shù)是目前比較前沿的研究 技術(shù)，其中的概念、方法及處理流程為本論文中解決方案的設(shè)計和實(shí)現(xiàn)提供 了重要的參考價值。 3 1w s e 的發(fā)展 如果沒有良好的安全性，w e b 服務(wù)就不能發(fā)揮它的作用。m i c r o s o f t 和 i b m 以及其他公司共同制定了一組提供w e b 服務(wù)安全性的規(guī)范，其中最重要 的是w s - s e c u r i t y 。現(xiàn)在，w s - s e c u r i t y 規(guī)范系列在很大程度上已日臻完善 【2 5 】。m i c r o s o f t 發(fā)布w e b 服務(wù)安全性開發(fā)工具包的3 o 版( w e bs e r v i c e s e n h a n c e m e n t s 又名w s e ) ，主要目標(biāo)就是為開發(fā)人員提供w s 一宰規(guī)范的第一 個完整實(shí)現(xiàn)，用來開發(fā)符合w s s e c u r i t y 規(guī)范的消息級安全性解決方案。 作為一個用最新w e bs e r v i c e s 協(xié)議來建立w e bs e r v i c e s 的n e t 類庫。 其目的不是去改變規(guī)范，而是因?yàn)閣 e b 服務(wù)已應(yīng)用到許多開發(fā)領(lǐng)域，它必須 擴(kuò)充v i s u a ls t u d i o 中現(xiàn)有的w e b 服務(wù)支持，解決、簡化開發(fā)人員所面臨的 問題。 3 2w s e 所支持的安全特性 w s e 要保護(hù)w e b 服務(wù)安全，其中一個重要的內(nèi)容就是要使用w s - s e c u r i t y 等規(guī)范實(shí)現(xiàn)s o a p 消息安全。主要分為以下三個方面： 1 安全憑證 提供端對端的身份認(rèn)證。所使用的機(jī)制在w s s e c u r i t y 規(guī)范中定義，就 是在s o a p 消息內(nèi)放置安全憑證?？蛻舳藦目尚诺谌将@得安全憑證。通過支 持w s - t r u s t ，w s - s e c u r e c o n v e r s a t i o n ，和基于x 札令牌的w s s e c u r i t y p r o f i l e 規(guī)范，w s e3 0 擴(kuò)展了給s o a p 消息添加安全憑證的概念。 2 完整性 通過對s o a p 消息進(jìn)行數(shù)字簽名以及接收方驗(yàn)證該簽名，讓s o a p 消息的 西南交通大學(xué)碩士研究生學(xué)位論文第11 頁 接收方可以檢查s o a p 消息在傳遞過程中是否被修改。w s - s e c u r i t y 標(biāo)準(zhǔn)要求 數(shù)字簽名遵循x m l 數(shù)字簽名標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)支持對s o a p 消息的選定部分進(jìn)行 簽名。 3 機(jī)密性 通過加密s o a p 消息，使消息發(fā)送方可以確保s o a p 消息內(nèi)容僅對預(yù)定的 接收方可見。w s s e c u r i t y 要求對s o a p 消息的加密遵循x 虬加密標(biāo)準(zhǔn)，該 標(biāo)準(zhǔn)支持對x m l 文檔的選定元素進(jìn)行加密。 3 3w s e 3 0 的策略框架 在w s e 3 0 中，實(shí)現(xiàn)所支持的安全特性是基于可擴(kuò)展的w s e3 0 策略框 架。w s e 策略框架提供了一種機(jī)制，以描述w e b 服務(wù)需要執(zhí)行的約束和要求 【3 0 】。 w s e3 0 使用策略來創(chuàng)建整個管道。如圖3 - 1 所示，一個策略包含了一 個有序的策略斷言列表【5 5 1 。每個策略斷言定義一個對w e b 服務(wù)的要求f 2 3 l 。 并在策略編譯過程中，由每個策略斷言生成的篩選器負(fù)責(zé)對進(jìn)入和離開終結(jié) 點(diǎn)的s o a p 消息進(jìn)行截獲和處理，來執(zhí)行對w e b 服務(wù)的要求。策略斷言生成 篩選器遵循策略中斷言的順序。而管道表示這個輸入篩選器和輸出篩選器的 集合 圖3 一lw s e 3 0 輸出管道中的策略 該框架通過使策略斷言和管道篩選器成為一體，提供了一個用于配置和 擴(kuò)展w s e 行為的統(tǒng)一模型。 西南交通大學(xué)碩士研究生學(xué)位論文第1 2 頁 3 3 1 相關(guān)概念 1 策略 開發(fā)者通過在一個x m l 格式的配置文件內(nèi)對請求和響應(yīng)s o a p 消息公開聲 明需求，這些需求被共同看作為一個策略，所有策略組成一組被命名的策略 集，來對應(yīng)包括s o a p 消息交換所需的安全需求，以及其他需求，如跟蹤。 該配置文件被稱為策略文件。在應(yīng)用中，可由w e b 服務(wù)提供方統(tǒng)- g ；j 建 對應(yīng)w e b 服務(wù)端和客戶端的策略文件，并分別提供給兩端使用，從而建立統(tǒng) 一的安全通道。 2 ，策略斷言 每個被命名策略包含了一個有序的策略斷言集合。策略斷言描述了為在 客戶端和w e b 服務(wù)端之間的s o a p 消息交換所定義的一組需求。例如，個策 略斷言可指定一種加密s o a p 消息的安全令牌類型。在初始化服務(wù)或服務(wù)代理 時，w s e3 0 會檢查提供的策略，并實(shí)例化各策略斷言。 3 篩選器 由策略斷言遵循在策略中的順序生成，負(fù)責(zé)對進(jìn)入和離開端點(diǎn)的s o a p 消息進(jìn)行截獲和處理，來執(zhí)行對w e b 服務(wù)的需求。 在策略編譯過程中，每個策略斷言最多可以生成四個篩選器。每個篩選 器在不同的請求響應(yīng)消息交換階段執(zhí)行。兩個不同的篩選器處理客戶端上的 請求消息和響應(yīng)消息，兩個不同的篩選器處理服務(wù)端上的請求消息和響應(yīng)消 息該簡單體系結(jié)構(gòu)如圖3 - 2 所示： l 輸出篩選器 客礦 0 l 輸入篩選器 圖3 - 2w s e 篩選器簡單體系結(jié)構(gòu) 通常，篩選器只對發(fā)送和接收的s o a p 消息的頭部進(jìn)行處理。根據(jù)功能的 不同，篩選器分為兩種：輸出篩選器和輸入篩選器。輸出篩選器負(fù)責(zé)根據(jù)需 求對客戶端發(fā)送的請求消息或服務(wù)端發(fā)送的響應(yīng)消息，寫入相應(yīng)的s o a p 消息 頭；而輸入篩選器負(fù)責(zé)對服務(wù)端接收的請求消息或客戶端接收的響應(yīng)消息讀 西南交通大學(xué)碩士研究生學(xué)位論文第13 頁 取s o a p 消息頭并檢查其有效性。此外，篩選器還可以根據(jù)需要對消息體進(jìn)行 處理。例如，加密發(fā)送的s o a p 消息體和解密接收的s o a p 消息體消息。 4 管道 篩選器的集合則表示為管道。如果策略沒有被提供，則創(chuàng)建一個默認(rèn)管 道。策略和策略斷言作為部署時概念分別對應(yīng)管道和篩選器運(yùn)行時概念。 由于策略由一個或多個有序策略斷言組成，并且每個斷言都會在管道中 插入對在客戶端和w e b 服務(wù)端之間交換的s o a p 消息執(zhí)行處理的一套輸出和輸 入篩選器。因此，通過策略內(nèi)策略斷言的順序，可以控制管道中篩選器在運(yùn) 行時的構(gòu)建順序，從而控制運(yùn)行時應(yīng)用或執(zhí)行有關(guān)要求的順序。 在消息實(shí)際到達(dá)w e b 服務(wù)方法之前，在管道中執(zhí)行安全功能，使應(yīng)用程 序開發(fā)人員能方便地實(shí)現(xiàn)安全。這有助于在所有w e b 服務(wù)方法中應(yīng)用一致的 安全策略。 3 3 2 策略對象模型 通過闡述策略框架背后的對象模型有助于加深對上述概念的了解。 1 策略斷言相關(guān)類 主要有以下一些： p o li c y a s s e r t i o n ：是策略斷言相關(guān)類的抽象基類。 m u t u a l c e r t i f i c a t e l i a s s e r t i o n ：為內(nèi)置安全斷言類的一種。 s e c u r i t y p o l i c y a s s e r t i o n ：為自定義安全斷言類。 每個策略斷言類中，除了構(gòu)造函數(shù)和4 個用于創(chuàng)建s o a p f i l t e r 對象的 方法外，主要包括r e a d x m l 方法和g e t e x t e n s i o n s 方法。 r e a d x m l 方法：主要用于讀取策略文件中與該策略斷言相關(guān)的x m l 元素。 對于內(nèi)置安全斷言或從中繼承的自定義斷言，由于本身會自行進(jìn)行讀取，所 以不需要重載該方法，對于沒有子元素的自定義斷言因?yàn)闆]有內(nèi)容，也不需 要重載，而對于不能自動讀取，又有子元素的自定義斷言就需要重載該方法 來分析處理自定義的斷言元素及其中內(nèi)容 g e t e x t e n s i o n s 方法：實(shí)現(xiàn)獲取在策略文件中被注冊的策略擴(kuò)展集。 2 篩選器相關(guān)類 篩選器的行為由策略斷言定義，并且是有序的。每個斷言對應(yīng)兩組篩選 器，四個篩選過程。主要有以下一些： 西南交通大學(xué)碩士研究生學(xué)位論文第1 4 頁 s o a p f i l t e r ：是一個般類，為運(yùn)行時類。負(fù)責(zé)處理客戶端或w e b 服務(wù) 端上的請求或響應(yīng)s o a p 消息。 r e c e i v e s e c u r i t y f i l t e r ：輸入安全篩選器類，專門負(fù)責(zé)接收時對s o a p 消息的安全處理。 s e n d s e c u r i t y f i l t e r ：輸出安全篩選器類，專門負(fù)責(zé)發(fā)送時對s 0 a p 消息 的安全處理。 s o a p f i l t e r r e s u l t ：保存一個篩選器處理后的s o a p 消息的數(shù)據(jù)，并提供 給下一個篩選器處理。 3 p o l i c y 類 包含p o l i c y a s s e r t i o n 類，充當(dāng)創(chuàng)建客戶端管道或服務(wù)管道的工廠。 4 p i p e l i n e 類 代表已排序的s o a p f i l t e r 對象集合。 3 3 3w s e 篩選器的處理過程 w s e 篩選器處理鏈已經(jīng)集成到帶w s e 的s o a p 通信中，并且是a s p n e t w e b 服務(wù)的基本結(jié)構(gòu)。其處理過程描述如下： 1 與w e bs e r v i c e 代理的集成( 客戶端一方) w s e 輸入和輸出篩選器通過一個名為w e b s e r v i c e s c l i e n t p r o t o c o l 的代 理基類提供給w e bs e r v i c e s 客戶端口】。 ( 1 ) 輸出篩選器的處理過程 通過w e b r e q u e s t 類完成，w e b r e q u e s t 實(shí)例對每一個準(zhǔn)備發(fā)送的s o a p 請 求信息進(jìn)行分析，生成s o a p e n v e l o p e 類的一個實(shí)例，w e b r e q u e s t 類有一個 屬性類s o a p c o n t e x t ，負(fù)責(zé)存放對s o a p 消息的特定處理需求( 如：加密、簽 名、數(shù)字證書與時問戳等) 。通過策略中的策略斷言的控制，輸出篩選器的處 理鏈依次傳遞s o a p e n v e l o p e ，并由各個輸出篩選器按順序根據(jù)s o a p c o n t e x t 類實(shí)例對請求信息進(jìn)行處理，形成特定的s o a p 消息頭，最終形成符合需求的 s o a p 消息并發(fā)送。如圖3 3 所示： 西南交通大學(xué)碩士研究生學(xué)位論文第15 頁 閣圜書 黲一巍 。n e t w o 倀 卜。嘏；凜 女警赫 圖3 - 3 輸出篩選器的處理過程 ( 2 ) 輸入篩選器的處理過程 通過w e b r e s p o n s e 類完成，w e b r e s p o n s e 類對s o a p 消息的處理與 w e b r e q u e s t 類相反。它將客戶端收到的s o a p 響應(yīng)消息進(jìn)行解析，形成 s o a p e n v e l o p e 類的一個實(shí)例，然后通過輸入篩選器處理鏈依次傳遞。由每個 輸入篩選器有序進(jìn)行消息頭的有效性驗(yàn)證和消息體的處理( 例如解密) 。與 w e b r e q u e s t 一樣，這套篩選器也由與s o a p 請求相關(guān)聯(lián)的策略定義。 w e b r e s p o n s e 類也有一個屬性類s o a p c o n t e x t ，在處理特定的s o a p 消息頭時， 相應(yīng)地會將特定設(shè)置( 加密、簽名、數(shù)字證書與時間戳等) 存放在s o a p c o n t e x t 里。最終一個基本的s o a p 消息將傳送給客戶端。如圖3 4 所示： 一”4 rt ”一“飛 r 卜 用 蓬閽 l s o a p s a 一 戶 矧理篩選 一義篩 代 埝l 主生j 唑黜 悟 碼 圖3 q 輸入篩選器的處理過程 2 與w e bs e r v i c e s 的集成( 服務(wù)端一邊) 在服務(wù)端也有一套和客戶端功能相似的輸入輸出篩選器，通過服務(wù)器一 邊的s o a p 協(xié)議工廠類w s e p r o t o c o l f a c t o r y 提供給a s p n e tw e b 服務(wù)。 w s e p r o t o c o l f a c t o r y 類負(fù)責(zé)截獲發(fā)送給w e b 應(yīng)用程序中w e b 服務(wù)的s o a p 消 息，處理符合w s 一 規(guī)范的s o a p 消息頭。確保w e b 服務(wù)的方法被調(diào)用時，w s e 篩選器能處理與服務(wù)端交互的s o a p 消息。 西南交通大學(xué)碩士研究生學(xué)位論文第16 頁 3 3 4 安全會話 當(dāng)客戶端需要與w e b 服務(wù)端傳遞大量的s o a p 消息時，則在兩者之間建立 安全會話是非常有用的。首先由客戶端向w e b 服務(wù)端請求安全會話令牌 ( s e c u r ec o n v e r s a t i o nt o k e n ，s c t ) ，而由w e b 服務(wù)