当前位置:文档之家 › Web服务实现及安全性分析

Web服务实现及安全性分析

  • 格式:doc
  • 大小:2.11 MB
  • 文档页数:42

下载文档原格式

  / 42

合集下载

浅谈基于Web服务安全性的影像系统研究与实现

浅谈基于Web服务安全性的影像系统研究与实现
现 、图像信息与其 它信 息的集成等 五个方面 的问题 。P CS A
为 综 合 发 挥 各 类 影 像 检 查 手 段 的 功 能提 供 了广 阔 的 空 间 f, 1 ] 在 显 著 提 高 科 室 工 作 效 率 的 同 时 , 将 医 学 影 像 诊 断 带 入 全 数 字 化 、 胶 片化 管 理 的 时 代 , 为 远 程 医 学 的 发 展 奠 定 坚 无 也
分 中 最 重 要 的 医 学 图 像 数 据 是 由专 业 扫 描 仪 ( C MR 如 T、 J
非对 称加 密算法通 常被 用 于对少 量关键数据 的加 密 , 一
2 3 P I 公 共 密 钥 基 础 设 施 )] . K ( I s
般 不 用 于 对 大 量 数 据 的加 密 。 所 谓 P 公 共 密 钥 基 础 设 施 就 是 利 用 公 开 密 钥 理 论 和 KI 技 术 建 立 的提 供 安 全 服 务 的基 础 设 施 。 谓 基 础 设 施 是 指 适 所 用 于 某 种 指 定 环 境 下 被 广 泛 使 用 的 系 统 及 标 准 。 从 技 术 上 它 解 决 网络 身 份 验 证 、 子 信 息 的完 整性 和 不 可 抵 赖 性 等 安 全 电 问 题 , 网 络 数 据 的交 换 应 用 提 供 可 靠 的 安 全 服 务 。完 整 的 为
偷 听、 改等不 安全 的因素 , 修 以确 保 数 据 在 通 信 过 程 中 的 机 密性 、 整性 、 完 身份 验 证 、 可 否 认 和 授 权 。 不 传 统 上 的 远 程 医 学 诊 断 系 统 主 要 由人 机 交 互 界 面 、 医 学 图 像 数 据 处 理 和 数 据 库 系 统 三 部 分 组 成 。 而 作 为 这 三 部

Web服务安全性的研究与实现

Web服务安全性的研究与实现
K e r s we evc s we e ie eu i ; a te t ain e cy to ; sg a r ywo d : bsr ie ; bsr c s c r v s y t uh ni t ; n rpin i t e c o n u
0 引 言
随 着 向动 态 电子 商 务 转 变 的 势 头 越 来 越 强 , 散 耦 合 的 、 松
WS E进 行 了 实现 。
关 键 词 : b 务 : We 服 务 安 全 ; 认 证 ; 加 密 ; 签 名 We 服 b
中图法分 类号 :P 9 . T 3 30 8
文献标 识码 :0 7 1-360
Re e r ha dr aiai no b s r ie e u i s a c n e l t f z o we e v c ss c rt y
XI . Z EQi HAO i o g L— n h
( o ee fno t nE g er g hn zo nvri, h n zo 0 0 ,C ia C lg Ifr i n i e n ,Z egh uU ie t Z e gh u 5 0 1 hn) l o mao n i sy 4
We 服务安全性的研究与实现 b
谢 琦 , 赵 丽 红
( 州大 学 信 息工程 学 院 ,河 南 郑 州 4 0 0 ) 郑 50 1
摘 要 : 究 了We 研 b服 务 的安全性 , 介绍 了We b服务 的安全性 需求 , 分析 了现 有安 全技术保 护 We b服务 存在 的缺 点和不足 ,
与 语 言 和 平 台无 关 的 、 组 织 内跨 企 业 、 因 特 网连 接 应 用 程 在 跨
乏 一 个 统 一 的 标 准 。有 鉴 于 此 , b ev e 的 发 起 者 I M 和 We S ri s c B 微 软 联合 V ri 公司 于 20 年 4月发 布 了 WSScr 规 范0 eig s n 02 —eui y t 。

Web服务安全性需求与实现机制

Web服务安全性需求与实现机制
图2 XL 名空 间 M命
2 1验 证 ,
已经 持久 化 的数据 的任 何 人都 将 需要 适 当的算 法 和安 全 性密 钥解 密数 据 才
能访 问实 际的信 息 。
验 证用 户身 份 时 ,用于 传递 调用 方 凭据 的最 常 见方法 之 一是 使用 用户 名 和 密 码 , 这 是 一 项 用 于 HT 基 本 身 份 验 证 和 简 共 身 份 验 证 的 技 术 。 TP Ue nm Tk n sr ae oe 元素 里包 含用 户 名和密 码 。如果 希 望以更 安 全的方 式 发送密 码 ,可 以发 送 它 的简要 散 列 。接 收方 通 过获 取其 中的密 码 并再 次创 建 散列 来验 证 此数 据 ,如 果 结果 一致 ,则表 明 密码 正确 。但这 种 保护 方 式不 能防 范 重 复攻 击 。 如 果使 用 这 种 保 护方 式 ,应 该包 括 一 个W U ie— ap S :Tm stm 标 头 ,其 中包 含 一个 足够 小 的时 间 ,用 以提 供 创建 时 间值 和过 期 时 间值 ;然
提交用户 I和密码来获 得身份证 明,还可 以使用 由信任的认证 机构 (etf D Cr ii ct uhrt ) ( aeA toiy 比如Yr sg )签 发的x59 eiin .0证书获得 身份证 明。 ( )为 了确认 业 务信 息 的数 据 完整 性 , 可 以使用 安 全性 密 钥对 数 据 2 进行数 字签 名 。 ( )安全 性 的三 个需 求 的第 三 个 是机 密性 。可 以利 用加 密 技术 来 使 3 Wb e 服务 请求和 响应 中交 换 的信息 不可读 , 确保访 问传 送 中的 、 内存 中 的或
Wb e 服务 安全 性规 范 ( S S c r t )X L W — e u i y M 加密 的细 节 :

网络安全Web的安全概述

网络安全Web的安全概述

8.CGI漏洞
通过CGI脚本存在的安全漏洞,比如暴露敏感 信息、缺省提供的某些正常服务未关闭、利 用某些服务漏洞执行命令、应用程序存在远 程溢出、非通用CGI程序的编程漏洞等。
7.2.2 Server下Web服务器的安全配置 (1)目录规划与安装
无论是什么漏洞,都体现着安全是一个整体, 考虑Web服务器的安全性,必须要考虑到与之相配 合的操作系统。
1.物理路径泄露
物理路径泄露一般是由于Web服务器处理用户请求出 错导致的,如通过提交一个超长的请求,或者是某 个精心构造的特殊请求,或是请求一个Web服务器上 不存在的文件。这些请求都有一个共同特点,那就 是被请求的文件肯定属于CGI脚本,而不是静态HTML 页面。
(5)Internet本身没有审计和记录功能,对发生的事情 没有记录,这本身也是一个安全隐患。
(6)Internet从技术上来讲是开放的,是基于可信、友 好的前提设计的,是为君子设计而不防小人的。
7.1.2 Web的安全问题
1.影响Web安全的因素 (1)由于Web服务器存在的安全漏洞和复杂性,
使得依赖这些服务器的系统经常面临一些无法预测的 风险。Web站点的安全问题可能涉及与它相连的内部 局域网,如果局域网和广域网相连,还可能影响到广 域网上其他的组织。另外,Web站点还经常成为黑客 攻击其他站点的跳板。随着Internet的发展,缺乏有 效安全机制的Web服务器正面临着成千上万种计算机 病毒的威胁。Web使得服务器的安全问题显得更加重 要。
正因为这些强大的优势,使Apache Server与其他的Web服 务器相比,充分展示了高效、稳定及功能丰富的特点。 Apache Server 已用于超过600万个Internet站点。
1.Windows2000 Server下Web服务器的安全配置

Java Web服务安全分析

Java Web服务安全分析

它需 求) 的方式获得这些 信息 。S M A L还详 细定义 了一 些常
会被认为是一种 不完 整 的应用 。但是 , 随 着企 业应 用 的 伴 We 整合架构所 引入 的优 点 , 也 给企业 系 统带 来 了 We b 它 b
固有 的安全性 缺失的弱点 。在包括从设 计到 部署 和管理 的
关键 词 : M S A ; I P J ; MS M X L; M L I ;E B J ;R I O
中图分类号 :P 9 T33
文献标识码 : A
文章编 号 :0 8— 7 5 20 )4— 16 3 10 3 1 (0 6 0 0 2 _0
企业解 决方案 如果没 有提供 通过 We 访 问的能 力 , b 就
服务 ) 。即保证 数据在传 输过 程中不被 篡改 , 使数 据接收者
能够确定 消息来源 的一项 服务。是数据发 送者 不能对 自己 已经发送 数据 的行 为进行 否认 的一 项 服务 。同时 , M X L签 名是完全基 于 X ML的 , 使得它 的应用 将 十分方 便。还有 这

有 S A 消息传送的增强描述, OP 以便提供保护的质量。我们 可以合并 这些 基本 机制 , 以便使用加 密技 术构 建更多不同 的
工具包提供了多种 来 自于基 本认证技 术的安全技术 , 以便 支 持 We b服务安全 。因为这些 安全技 术本 身 变成 了服务 , 又 因为工作流变成 了动态应用 程序整合 的基本应 用范例 , 以 所
Байду номын сангаас
X L加 密是非常灵活的。可以使用 它来加 密一个 完整 M 的 X L文档 , M 一个 XM L的要素包括其 子元 素或者文档 内部 的单独的元素。

Web应用系统的安全性设计

Web应用系统的安全性设计

(3)本备件管理系统中具有文件的上传和下载功能,在上传文件时为了防止有些用户上传恶意文件破坏系统,因此需要在上传时对文件类型进行判断。除非是指定的文件类型外,其他的文件均不予上传,尤其是以.asp,.aspx或.exe等结尾的文件。2.4 数据库中数据加密技术 由于系统应用程序的关键信息和数据都存储在数据库中,所以数据库的安全性就显得尤为重要。在信息系统的开发过程中,加密技术是一种很常用的安全技术。它把重要的数据通过技术手段变成乱码(加密)后再传送信息,即通过将信息编码为不易被非法入侵者阅读或理解的形式来保护数据的信息,到达目的地后再用相同或不同的手段还原(解密)信息。根据加密密钥和解密密钥在性质上的不同,在应用中提供了两种加密算法,即对称加密算法和非对称加密算法[6]。 (1)对称加密是加密和解密使用相同密钥的加密算法。它的优点是保密程度较高、计算开销小、处理速度快、使用方便快捷、密钥短且破译困难。由于持有密钥的任意一方都可以使用该密钥解密数据,因此必须保证密钥不被未经授权的非法用户得到。在对称加密技术中广泛使用的是DES加密算法。 (2)非对称加密是加密和解密使用不同密钥的加密算法。它使用了一对密钥:一个用于加密信息;另一个用于解密信息,通信双方无需事先交换密钥就可以进行保密通信。但是加密密钥不同于解密密钥,加密密钥是公之于众,谁都可以使用;而解密密钥只有解密人知道,这两个密钥之间存在着相互依存关系:即用其中任一个密钥加密的信息只能用另一密钥进行解密。它只可加密少量的数据。在非对称加密算法中普遍使用的是RSA加密算法。 基于上述分析,并结合徐工筑路备件信息网的特点,采用RSA与DES混合加密体制的方式实现数据信息的加密。可以用对称加密算法(DES加密算法)加密较长的明文;用非对称加密算法(RSA加密算法)加密数字签名等较短的数据,这样既保证了数据的保密强度,又加快了系统运算速度。 本文通过对信息系统安全威胁及系统安全的防护措施的分析[7],使用户能够最大限度地保障Web应用系统的安全,并通过必要的安全措施,将可能发生的风险控制在可接受的范围之内。

Web服务的安全性设计与实现


从许 多 方 面 来 看 , b服 务 就 是扩 展 到 It t 的 we ne 上 me
组件 模型 。We b服务 是 一 种 以 与平 台和 语 言无 关 的 方式 , 过定 义 的格 式 和协 议 , 计 算 机 到计 算 机 提 通 从 供 的服务 。因此 , b服 务 具 备跨 平 台的 特 性 , 可 We 它
上 的 具 体 实现 过 程 。
关 键 词 : b 务 : 全 We 服 安
中图 分 类 号 : 9 .8 30
文献标识码 : A
De i n a a ia in o e e vc e u i sg nd Re l t fW b S r ie S c rt z o y
We b服务 的安全需求 随着技 术的推广 而 日益显 现 出来 。通过利 用 We b服务 模 型核 心 具备 的高 度 可扩
展性 , S A 、 D 、M 在 O PWS L X L数 字 签 名 ( M t i X Lt a S —  ̄ i g
ntr 、 M aue X L加 密法 ( E c po ) SI L ) X nr t n 和 S yi MT S这些 基础 技术之上 的新技 术规范 已经 建立 , 这使 得 we b服
以创 建适应 It t n me的可 伸缩性 的 应用 程序 。在 这 方 e 面 , 有别 于 C R A、 C M 等 紧 密耦 合 的组 件 技 是其 OB DO
术 的地 方 。 We b服务是 在 It t 础 上 实现 的技术 , I— ne 基 me 而 n t t 信 息安 全 的要求 一直 是 紧迫 的 。可 以预 见 的 e 对 me 是 , b服 务 的 出现 使 得 对 于 We we b的攻 击有 了新 的 目标 。而且 , 全 对 We 安 b服 务 的 推 广 与 应 用 起 到 关 键 的作 用 , 因为 只 有 安 全 的 We b服 务 才 能 避 免 受 到

Web服务安全性研究及应用


[ bta t Nto ag t wy ep lehv]cm t etp s8eod a enbt fl T p v en rao t e 揶 l - A s c] e rc ne h apol i,a  ̄ o e en r e cn m r tgal e .o r i iomtn/ e 岫 r w kh s e ev e h er ’ i s k i ti d e o d f i ch e ∞t
s e eeui dte bsreiic aig i ot t hs aedsuss e ytmntokscr tcnl yWe ri eui jcvsWe i t scry h We vrsnr s l mprn T ippr i set ss dh t e e ny a c h e e r ui eh o g, b ev escrto ete, b w e t y o s c yb l
止网络信息本身及其采集、 加工、 存储ห้องสมุดไป่ตู้ 传输的信息数据被故意
物理设备 的安 全威胁 : 物理设备是 We b服务 的基石 , 它包
或偶然的非授权泄露、 更改、 破坏或使信息被非法辨认、 控制, 括服务器的硬件设施、 计算机的外部设备、 网络互联设备和传 即保障信息的可用性、 机密性、 完整性、 可控性、 不可抵赖性” 。 输介质等 。对这些设备 的威胁和攻击 主要包括各种 自 然灾 害、
第 l 卷第 5 1 期
21年 l 01 O月
湖 南 工 业 职 业 技 术 学 院 学 报
J II I OF HU N Ⅱ U T Y 0 1 I C 0l l , NA 丁 NA S R P LY EC I NI

1 . 1 No 5
Oc.2 l t O1

Web网站的安全问题及防护策略

安全技术13Web 网站的安全问题及防护策略◆秦乐阳1 影响Web 网站安全的因素1.1 系统平台易受攻击如果是利用windows 的操作系统,在微软公司发现漏洞然后发布补丁的过程中,都会存在一个时间差,而在这个时间范围内,网站的数据库安全就有可能受到威胁。

一旦某些黑客在发现这些漏洞后,批量攻击许多网站,那些平时疏于管理,并对操作系统的补丁不注意修补的企业就会成为被攻击的目标。

而且现在很多政府和企业门户网站平台只注重系统的控件是否丰富,界面是否美观,价格是否便宜,而不注意网站的安全问题,这更是为黑客提供了可乘之机。

1.2 加密算法单一现在很多政府机关和企业的网站喜欢使用MD5这种算法对数据库进行加密,利用这种算法加密的网站数据库具有很好的加密性,MD5加密算法是一种使用很普遍的非对称加密算法,许多电子钱包、电子现金的业务也使用这种算法,这种算法使用的是哈希函数,利用相关的散列函数输入数据然后进行一定的计算,出现一个固定长度的值,这个值可以在知道密码的条件下被验证,但是无法利用这个值,反推出密码。

在原则上,这种方法很难被破译。

但是很多企业在设计密码上力求简单,很多时候只是设计一个例如生日密码这种格式相对固定的密码。

而黑客只需要进行暴力攻击,不断穷举就可以实现密码的破译。

1.3 验证系统不可靠政府和企业门户网站的开发为了加强开发的效率,往往会外部给网页设计企业,但是代码一般也会使用之前设计过的,只是显示页面稍作替换,在这种情况下,一旦当初设计的代码,没有全面的进行数据分析和用户输入的判断,就会使系统的安全受到很大的威胁。

比如说:无孔不入的SQL 注入攻击。

而且由于是代管的,网页设计企业的一个员工可能要负责维护很多个网站,造成力不从心,无法认真注意某个网站被攻击的情况,许多政府机关或者企业在设计网站的过程中就发现有这种问题。

2 Web 网站安全问题2.1 SQL 注入攻击SQL 注入攻击的首要条件是服务器端代码自身有漏洞,在服务器和Web 端口相互连接之后,绕开很多防护措施,直接对没有授权的数据进行访问,这就是对数据库后端进行攻击的攻击方式。

Web服务安全性分析与研究

We b服 务 具 有 完 好 的 封 装 性 、 松 散 耦 合 , 使 用 标 准 协 议 规 范 , 高
密 性 、完整性 、身 份验证 ,授权 、不 可 否认性 。这 几个安 全服 务是 相互联
系的 ,缺 少其一 则存 在安全 漏洞 。
() / I ( 1 T 安全套接字层 / 传
B2 通 讯 和 系 统 整 合 提 供 了 巨 大 的 B 可 能 性 , 但 因 缺 乏 一 个 有 效 的 安 全 解
() 2 即使 在 传 输 层 中保 证 了端 对
端的安 全 要求 ,但如 果传输 的消 息是 原文 ,也极 易受 到黑 客攻 击。
的 、可 互操 作 的 W e b服 务 安 全环 境
的 基础 和 保 证 。针对 W e b服务 的 安
全 问题 ,I M 、Mir sf 等 大 公 司 和 B coo t
() OAP消 息 在 传 输 时 可 以 3S
与 不 同 的 应 用 层协 议 进 行 捆 绑 ( 如 H TTP M TP) 、S 。如 果安 全 信息 需
决方 案 ,使 得 W e b服 务 不能 方便 地
SA 加 密 、S A OP O P签名 以 及安 全断 言 的 安 全技 术 ,在 一 定 程度 上 消 除 了 W b 务所 面临 的 安 全威 胁 。 e服
关键 词 :Wb 务 ;安 全 ;传输 层 ;SA 层 e服 OP
An l i an Re e r h a ys s d s a c Of W e Se vi e Se rt b r c s cu i y
Ab ta t T e ril nlz s h scr y rbe e i ig i sr c : h a tc a ay e t e e ui po lm xs n n e t t We S rie , a d icse scrt polms ad scr y eh o g o We b evc s n dsuss euiy rbe n e ui tcn l y f t o b
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

新疆大学硕士学位论文Web服务实现及安全性分析硕士研究生:陈**学号:1***********导师:张文东学科:2014级计算机技术所在学院:信息科学与工程学院选题过程随着互联网技术的进步以及商业企业对互联网依赖性的增强,软件越来越需要集成到Internet上来,需要和Internet上的其他软件(而不光是人)进行交互。

Web服务是基于网络的软件开发模式,通过规范性的设计、发布和实现,以及调用,可以由多个Web服务构建一个完整的商业企业应用。

Web服务是互联网应用,特别是网上商业事务处理对软件业提出的需求。

因此,我考虑以Web服务为话题选择论文内容。

在对Web服务存在的问题进行搜索后,我发现其中最突出的问题是安全问题。

从而我基本确定研究方向为Web服务的实现及安全性分析。

为确定论文研究内容,对Web服务有个大框架的概念,以保证研究的全面性,专业性,找到切入点,我对Web服务进行搜索。

考虑到Web服务的实现,必不可少要从技术方面切入,通过对其使用技术的了解,确定其主要技术有XML|、SOAP、WSDL、UDDI 四个方面,即为论文第一部分需详细说明研究的内容。

技术层面的问题解决后,主要分为两大部分内容:Web服务的实现和其安全问题。

参考文献较多,多从书籍和知网上查找相关资料。

目录1绪论 (1)1.1 论文背景 (1)1.2论文工作及其章节安排 (2)2 Web服务相关的概念与技术概要 (3)2.1 Web服务及其操作模型 (3)2.2 可扩展标记语言(XML) (4)2.2.1 XML 基础知识 (5)2.2.2 XML 的应用 (7)2.2.3 XML 数字签名 (8)2.2.4 XML 数字签名模型 (8)2.2.5 XML 数字签名的签署 (10)2.2.6 XML 加密规范及粒度 (11)2.2.7 XML 加密方式 (11)2.2.8 XML 加密 (11)2.3 SOAP (12)2.3.1 SOAP 规范 (12)2.3.2 SOAP 消息 (12)2.3.3 SOAP 编码 (13)2.3.4 SOAP 绑定 (14)2.3.5 SOAP的安全性 (14)2.3.6 WS—Security规范 (15)2.4 WSDL (17)2.5 UDDI (17)2.5.1 UDDI 信息模型 (18)2.5.2 UDDI 交互框架 (18)3基于C#的Web服务实现 (19)3.1需求分析 (19)3.1.1 系统的需求分析 (19)3.1.2 系统的物理架构需求 (19)3.2系统的性能指标 (20)3.3数据库的设计 (20)3.4系统的开发与实现 (21)3.4.1 系统开发平台的建立 (21)3.4.2 系统的实现 (21)4 构建安全的Web服务 (25)4.1 Web服务存在的安全问题 (25)4.2 Web Services Enhancements 简介 (27)4.3 WSE的管道机制 (27)4.4 SOAP消息签名与加密的实现 (28)5总结与展望 (34)参考文献 (35)致谢 .................................................................................................................. 错误!未定义书签。

1绪论在计算机科学和Internet技术飞速发展的基础上,电子商务以前所未有的速度迅速普及,已经渗透到商业的各个领域,成为企业发展的新的增长点。

Internet 环境下异构应用系统问的交互问题一直制约着电子商务的发展。

为了实现跨平台、语言独立、松散藕合的动态商务,一种分布式计算体系结构Web服务应运而生。

它允许Web站点放置可编程的元素以实现基于Web的分布式计算和处理。

Web服务是对象/组件技术在Internet中的延伸,是封装成单个实体并且发布到网络上以供其它程序使用的功能集合。

Web服务技术的发展解决了Web应用和传统桌面应用之间的连接鸿沟,使得企业与企业在现有的各自异构平台的基础上,实现了无缝的集成。

1.1 论文背景随着互联网技术的进步以及商业企业对互联网依赖性的增强,软件越来越需要集成到Internet上来,需要和Internet上的其他软件(而不光是人)进行交互。

Web服务是基于网络的软件开发模式,通过规范性的设计、发布和实现,以及调用,可以由多个Web服务构建一个完整的商业企业应用。

Web服务是互联网应用,特别是网上商业事务处理对软件业提出的需求。

在当今社会,任何一个企业要得以生存、要有更强的竞争力,就必须与更多的商业伙伴合作,更及时地了解商业信息,更快速地进行事务处理。

效率、机遇成为企业成功的重要因素。

可是传统的或已有的互联网商业事务处理模式并不能满足企业对效率和及时抓住机遇的要求。

在现有条件下,企业无法动态地去发现自己潜在的商业伙伴,也不能把自己推销给潜在的合作需求者。

即使有了合作伙伴,由于各自使用的系统和平台的差异,网上事务处理也不顺畅,常常需要人为干预,不但花费了金钱和时间,也丧失了很多良好的机会[1]。

这就给软件业提出了如何实现企业之间快速无缝交易的要求。

新的商业处理模式应该独立于系统、平台和程序语言。

不同的系统应该可以顺畅地进行通信。

这是一个难度极大的要求。

在过去已经有很多尝试着达到这个目标。

但因存在局限性,没有得到推广应用。

要让不同的系统和平台无缝的进行通信,需要定义一系列标准化的规范。

如果没有XML,这一切似乎不能成为可能。

XML的系统独立性和可扩展性是定义标准化规范的基础。

正是有了XML以及XML相关规范,才促使了Web服务的诞生。

Web服务是互联网应用需求和技术发展的双重产物。

使用Web服务,商业企业可以把自己提供的服务以Web服务的形式在Internet 上发布,需要查询潜在合作伙伴的商业企业可以检索UDDI注册中心,发现自己需求的商业企业、服务,并与之进行交互。

这一切都是在软件级发生并自动完成的。

有了Web服务,企业之间不需要中介就能相识,不需要协商就能交易,这无疑会给企业的发展带来更多的机遇,也为企业的运作大幅度提高效率。

随着Web服务在网络中应用的普及化,基于Web的数据交互在Internet上传输时可能会遭受窃取、伪装、恶意欺骗、篡改及各种扰乱破坏等安全威胁,因而如何有效地防御各种安全威胁、保证培养计划数据的安全性就成为一个需要解决的实际问题。

当采取了有效的措施后,Web服务才能安全有效地运行。

1.2论文工作及其章节安排本文研究了此论文的研究背景、研究意义,进而介绍了XML 和Web服务的基础知识,并在此基础上描述了基于XML的Web服务体系,对现在的基于XML的Web服务安全标准规范WS-SECURITY进行了研究。

利用XML数字签名、XML加密,实现了SOAP消息的签名、加密,与此同时,对Web服务也提供了很好的安全性。

最后,以C#.net为平台,实现了一个简单的Web服务,并对产生的SOAP消息进行分析。

本文的章节安排如下:第一章绪论部分主要介绍了本论文的目的、意义、论文中所做的工作以及论文的章节安排。

第二章主要介绍了Web服务的概念,对Web服务的操作模型也做了相关介绍。

对SOAP、XML、WSDL、UDDI也做了相关研究,进一步讲述了其相关技术概要。

第三章基于VS2008平台使用C#实现了中国邮政编码查询的Web服务。

第四章提出了Web服务存在的安全问题,基于前一章实现的Web服务所产生的SOAP消息,在WSE3.0的协助下,对其进行签名和加密,并对其进行分析研究。

第五章对本文所做的工作进行了总结,对它的发展前景进行了展望。

2Web服务相关的概念与技术概要本章主要研究了Web服务的概念、其操作模型。

讲述了XML、SOAP、WSDL、UDDI的基础知识,阐述了XML的签名和加密技术。

2.1 Web服务及其操作模型从表面来看,Web服务就是一个应用程序,它向外界显现出一个能够通过Web进行调用的API。

也就是说,开发人员可以利用编程的方法通过Web调用去实现应用程序某个特定的功能。

从深层次来看,Web服务就是一种新型的Web 应用程序分支,它们是模块化、自描述、自包含的应用,能够在网络中进行描述、发布、查找或通过Web来调用。

Web服务具有下列特征:1.完好的封装性:Web服务是一种部署在Web上的对象,因此它必定具备有对象的良好封装性,那么对于用户来讲,仅能够看到该对象所提供的功能列表。

2.松散耦合性Web服务的消息交互协议采用XML/SOAP,任何Web服务都能够和与其他的Web服务进行交互,Web服务的变更实现对用户是透明的,只要服务调用的接口不发生改变,即使让Web服务的实现平台从.NET转变到J2EE或者是相反的转变流程,用户都会对此一无所知。

3.互操作性Web服务可以通过可扩展的标记语言来实现业务功能,因而提供了真正的互操作功能。

4.平台无关性可以访问Internet平台的任何应用都能访问Web服务;可以和Internet建立连接的任何应用程序都能够对Internet上的任何一个Web服务发送SOAP消息,同时也能够接收Web服务返回的SOAP消息。

Web服务所属的服务器能够运行Linux、Windows或其它系统平台。

Web服务后台功能实现的代码能用C语言、PHP、Java或其它编程语言编写的。

用于调用Web服务的客户端同样也能够是不同平台上的客户端。

Web服务的操作模型主要包括三个主体:服务请求者、服务提供者和服务注册中心,它们对应的三个主要操作为服务查找、服务绑定和服务发布。

目前围绕着Web 服务发布、查找、绑定过程,各大标准化组织和著名厂商不断在制定相关的规范,其中主要包括三个规范:简单对象访问协议(SOAP)、服务描述语言(WSDL)、通用描述、发现和集成(UDDI)[2]。

图2-1 Web服务操作模型Web服务通常包括下面三种操作功能:1.发布(Publish)为了使服务能够被访问,需要发布服务描述让服务请求者能够去查找它。

发布服务描述的位置能够依据应用程序的要求而改变。

2.查找(Find)查找操作的过程中,服务请求者可以直接搜索服务描述或在服务注册中心查询所要的服务。

若是服务请求者,则可能会在两个不同的生命周期中涉及到查找操作:一个是在设计程序检索服务的接口描述,另一个就是在运行时检索服务的绑定与位置描述。

3.绑定(Bind)绑定操作过程中,服务请求者用服务描述中的绑定细节来定位、联系以及调用服务,从而在运行时调用或启动与服务的交互。

2.2 可扩展标记语言(XML)Web服务的基础之一是XML,XML渗透了Web服务的各个层次,可以这么说,没有XML就没有Web服务,XML一种将Web文件的数据内容和数据的表示形式分开的语言,它更关注的是内容而非显示。