当前位置:文档之家 › Web服务安全性的研究与分析

Web服务安全性的研究与分析

  • 格式:pdf
  • 大小:280.14 KB
  • 文档页数:7

下载文档原格式

  / 7

合集下载

Web服务可靠性与安全性研究

Web服务可靠性与安全性研究

Web服务可靠性与安全性研究近年来,随着互联网的快速发展,Web服务已成为人们生活中不可或缺的一部分。

然而,随着Web服务的普及和应用,其可靠性和安全性问题变得尤为关键。

保证Web服务的可靠性和安全性对于用户体验和信息保护至关重要。

本文将对Web服务的可靠性和安全性进行研究,探讨其相关问题和解决方案。

首先,我们来研究Web服务的可靠性。

可靠性是指在特定环境下Web服务正常运行的能力。

在实际应用中,Web服务的可靠性可能受到网络拥塞、服务器故障、安全漏洞等因素的影响。

为了提高Web服务的可靠性,可以采取以下措施:1. 高可用性架构设计:通过使用负载均衡器、冗余服务器和故障转移技术,确保即使在服务器故障或网络拥塞的情况下,Web 服务仍然可以持续提供服务。

2. 异地冗余备份:将服务器部署在不同的地理位置上,确保即使某个地点发生灾难性事件,其他地点的服务器仍能继续提供服务。

3. 监控和故障排除:使用监控工具实时监控Web服务的性能和状态,及时发现故障并采取相应的措施进行修复。

接下来,我们将探讨Web服务的安全性研究。

安全性是指Web服务在保护用户数据和防止恶意攻击方面的能力。

面对越来越复杂的网络威胁和日益增加的安全漏洞,提高Web服务的安全性成为一项重要任务。

以下是一些关键的安全性研究方向和解决方案:1. 加密技术:使用SSL/TLS等加密协议,确保Web服务传输的数据在传输过程中是安全的,防止数据在传输过程中被第三方窃取或篡改。

2. 身份验证和访问控制:实施有效的身份验证机制,如用户名密码、双因素认证等,限制只有经过验证的用户才能访问Web服务。

同时,采用适当的访问控制策略,限制用户的访问权限,防止未经授权的访问。

3. 安全漏洞扫描和漏洞修复:定期进行安全漏洞扫描,及时发现和修复潜在的安全威胁,确保Web服务的安全性。

4. 安全培训和意识提升:加强员工和用户的安全培训,提高他们对网络安全的认识和意识,减少人为因素对Web服务安全性的影响。

Web服务安全性的研究与实现

Web服务安全性的研究与实现
K e r s we evc s we e ie eu i ; a te t ain e cy to ; sg a r ywo d : bsr ie ; bsr c s c r v s y t uh ni t ; n rpin i t e c o n u
0 引 言
随 着 向动 态 电子 商 务 转 变 的 势 头 越 来 越 强 , 散 耦 合 的 、 松
WS E进 行 了 实现 。
关 键 词 : b 务 : We 服 务 安 全 ; 认 证 ; 加 密 ; 签 名 We 服 b
中图法分 类号 :P 9 . T 3 30 8
文献标 识码 :0 7 1-360
Re e r ha dr aiai no b s r ie e u i s a c n e l t f z o we e v c ss c rt y
XI . Z EQi HAO i o g L— n h
( o ee fno t nE g er g hn zo nvri, h n zo 0 0 ,C ia C lg Ifr i n i e n ,Z egh uU ie t Z e gh u 5 0 1 hn) l o mao n i sy 4
We 服务安全性的研究与实现 b
谢 琦 , 赵 丽 红
( 州大 学 信 息工程 学 院 ,河 南 郑 州 4 0 0 ) 郑 50 1
摘 要 : 究 了We 研 b服 务 的安全性 , 介绍 了We b服务 的安全性 需求 , 分析 了现 有安 全技术保 护 We b服务 存在 的缺 点和不足 ,
与 语 言 和 平 台无 关 的 、 组 织 内跨 企 业 、 因 特 网连 接 应 用 程 在 跨
乏 一 个 统 一 的 标 准 。有 鉴 于 此 , b ev e 的 发 起 者 I M 和 We S ri s c B 微 软 联合 V ri 公司 于 20 年 4月发 布 了 WSScr 规 范0 eig s n 02 —eui y t 。

Web应用安全漏洞挖掘与分析技术研究

Web应用安全漏洞挖掘与分析技术研究

Web应用安全漏洞挖掘与分析技术研究随着互联网的快速发展,Web应用正成为人们日常生活和工作中不可或缺的一部分。

然而,由于Web应用的复杂性和广泛性,使得它们容易受到黑客攻击。

为确保Web应用的安全性和保护用户的隐私,安全工程师和研究人员不断致力于挖掘和分析Web应用中存在的安全漏洞。

本文将介绍Web应用安全漏洞挖掘与分析技术的研究现状和方法。

首先,对于Web应用安全漏洞的挖掘与分析,一项重要的研究内容是对Web应用进行渗透测试。

渗透测试是一种模拟黑客攻击的方法,通过对Web应用进行主动测试,发现它们的安全弱点和漏洞。

渗透测试可以分为黑盒测试和白盒测试两种方式。

黑盒测试是在没有任何应用源代码和内部架构信息的情况下进行的。

测试人员模拟攻击者,通过使用一系列不同的测试向量和攻击方法,尝试发现Web应用的漏洞。

黑盒测试的优点是可以模拟真实攻击者的行为,但它也有局限性,无法发现源代码中的漏洞。

相反,白盒测试是在测试人员拥有完全的应用源代码和内部架构信息的情况下进行的。

测试人员可以更深入地分析Web应用的内部结构,发现隐藏的漏洞。

与黑盒测试相比,白盒测试的优点在于它能更准确地定位漏洞所在,但其缺点在于它需要对源代码有较高的理解和技术知识。

除了渗透测试,还有一些其他的技术用于挖掘和分析Web 应用的安全漏洞。

例如,静态代码分析是一种通过分析源代码来发现潜在漏洞的方法。

在静态代码分析过程中,工具将对源代码进行扫描,检查是否存在可能导致安全漏洞的代码逻辑。

这种方法可以以一种较早的阶段发现和修复安全漏洞,但其准确性也受到工具本身的限制。

此外,动态代码分析也是一种常用的方法,它通过对应用程序在运行时的行为进行监控和分析,以发现潜在的安全漏洞。

动态代码分析可以提供比静态代码分析更准确的结果,因为它可以考虑到应用程序的实际执行环境。

然而,动态代码分析通常需要消耗大量的计算资源和时间。

值得一提的是,自动化工具在Web应用安全漏洞挖掘和分析中发挥了重要的作用。

移动应用程序与Web应用程序的安全比较研究

移动应用程序与Web应用程序的安全比较研究

移动应用程序与Web应用程序的安全比较研究在当今数字社会中,移动应用程序和Web应用程序越来越普及。

虽然它们的使用可以带来极大的便利和效率,但也存在着种种安全问题。

移动应用程序和Web应用程序的安全比较研究是一个值得探究的话题。

一、移动应用程序的安全性移动应用程序是由iOS、Android等移动操作系统支持的软件应用,可以直接在手机或平板电脑上运行。

虽然移动应用程序的出现为我们的生活带来了诸多便利,但是它们的安全问题也不能忽视。

移动应用程序往往涉及到大量的用户信息,如个人隐私、账号密码等,因此在安全问题上需要加以注意。

移动应用程序通常会使用网络通信,为应用的数据交换提供支持,因此网络安全也是移动应用程序需要考虑的问题。

同时,移动应用程序通常会集成地图、短信、电话等应用程序,因此也可能会存在恶意攻击的风险。

由于移动应用程序具有接口开放、运行环境封闭等特点,黑客或者攻击者可能会在应用程序中加入恶意软件,从而获得用户的个人信息或者控制用户的设备。

因此,保障移动应用程序安全,除了编写安全性高的应用程序外,还需要从开发者、用户和平台三个方面来加强安全防范措施。

二、Web应用程序的安全性Web应用程序是指用户可以通过浏览器使用的应用程序,运行于服务器端的WEB应用程序,包含了Web页面和服务器端逻辑代码。

在Web应用程序中,由服务器进行数据交换,因此数据的安全性取决于服务器的安全性。

Web应用程序通常使用浏览器和服务器之间的HTTP协议进行通信,会涉及到浏览器上传数据、服务器对客户端发出响应、Cookie信息校验等问题。

因此,Web 应用程序在安全性方面面临的挑战很大。

Web应用程序的攻击方式多种多样,包括SQL注入、XSS攻击、CSRF攻击等,攻击者可能会利用这些漏洞,从而获取用户信息或者控制服务器。

因此,保障Web应用程序的安全性,开发者需要做足防范措施,包括数据加密、代码审查、控制用户权限等等。

同时,也需要定期进行安全审计和及时修复漏洞。

基于WEB服务数据传输通道的安全性分析

基于WEB服务数据传输通道的安全性分析

67 一
计算机光盘软件 与应用
工程技术 C m u e D S fw r n p l c t 0 s op tr C o t a e a d A p i a i n 2 1 年第 1 02 7期
的任 意的抓包工具 ,即使是新手,也都可能窃取大型 网站 使 用 一种 信息 验 证码 ,例 如 MD ,或者 S A 1算法 等 , 5 H . 的秘 密信 息。 以之来对所传输的数据进行签名 ,一般地 ,把验证码放在 特别是 ,ht t p协议往往对 内容是否被篡 改,不做出确 数 据 包 的后 部 ,并且 把验 证码 和 数据 一起 加 密 ,这样 在 数 认 ,它 只 是在报 文 前部 给 出传 输数 据 的长 度而 已, 中央 它 据被篡改时,会 由于 H S A H值 的改变而被发现 ,进而有效 在传输客户端的信息、请求和服务器响应的时候,就可以 处理。
让攻 击 者轻 易地 得 到重 要数 据 。例 如 管理 员 的登 陆过程 、 3 . 防止 重放 攻 击数 据包 。 了 防止 数 据包 被重 放攻 4 为 客户 使 用 密码 、 网页交 易支 付等 等 。攻 击者 可 以窃 取 管理 击 , S S L使用序列号来保护通信方, 这个序列号也要加密, 权 限,修 改客户端的数据,甚至在传输数据 中插入恶意代 并作为数据包的负载。在使用 S L来叩应对方时,那个唯 S 码 ,或植 入木 马等 等 ,客户 将遭 受 严重 损 失 。 这些 问题 , 而 的随机 字符 作 出标 记 ,这就 防止 了黑客 对客 户 登陆 过程 ht 议却感 觉 不 出来 ,这最 是让 人难 受 的 了。 t p协 的窥探 ,以及在得到加密数据之后 ,不解密而直接重传登 这些 缺 陷 ,都 是 hp协 议在 设计 的 时候 ,安全 性被 忽 陆数据包来进行攻击 。 u

基于WebServices的云服务安全方案分析与研究

基于WebServices的云服务安全方案分析与研究

等 , 些 安 全 问题 , 接 影 响 了 云 计算 的应 用 。因 这 直
此, 研究 云服务 环境 下 的安全 问题 就 成 了重 要 的课
题 之一 。
1 云计 算 与 云 服 务
1 1 云计算 概述 . 尽 管 云计 算 已经得 到 了 长足 的 发展 , 是 目前 但 尚没有统 一 的定义 , 同的 国际机构 、 不 网上百科 全书 以及谷 歌 、 亚马逊 等 公 司都 从 自己 理解 的角 度 给 出
加 密 、P S e隧 道 技 术 等 。 云 服 务 模 块 安 全 层 处 于 I e
Hale Waihona Puke 中间层 , 该层 又可 以分为两 部分 : 一部分 为安 全技 术 层 和非 安全技术 层 。安全技 术层 为整 个模 型架构 的 核心 , 括各类 安全技 术模 块和 服务交互 安 全模块 , 包 目的是 为 了保 护 各 类 云 服 务 安 全 功 能 的实 现 和 提 供, 涉及 的 主要 技 术 有 用 户 认 证 系 统 、 侵 检 测 系 入 统、 审计 系统 等 。非 安 全 技术 主要 包括 云安 全 的各
prn) o e t模型 的一种 分布 式计算 服务 模式 , 是通 过 t 它 各类 互联 网协议 或规 范 , 过 编程 方 式 来访 问应 用 通 程序 , 实现远 程调 用 的一 种新 机 制 。在 开 放式 网络
平 台环 境 下 , b S r i we evc 以提 供必 要 的 访 问组 e可
0 引言
随着互 联 网络技 术 的快 速 发展 和 应 用 , 尤其 是 基 于 We 2 0的应 用 系 统越 来 越 多 地 被 使 用 , 致 b. 导 网络用 户 和海 量 数据 不 断 涌 现 , 网络 资 源 的利用 率 和用户 的需求 矛盾 日益 突 出 , 因此 对 数 据 的 处理 能 力 提 出了更 高 的要 求 , 资源整合 、 网络优 化就成 为 网

基于Ajax技术的Web服务架构及其安全性研究

第2 8卷 பைடு நூலகம் 3期
21 0 1年 3月
计 算机应 用与软件
Co u e p ia in n ot r mp trAp lc t s a d S fwa e o
Vo . . 128 No 3 M a . Ol r2 l
基于 Aa jx技 术 的 W e b服 务 架 构 及 其 安 全 性 研 究
r e oka di r ue h d at s f f m wr ,n t d c eavnae bapi t ni tinwf m w r, ee p aii pt n or id f eui se jx a no t g o We pl ai s e a e okt m hs u u ns cryi us nAa c o n h r h ss of k os ts i
传 统 We 务 的 工 作 特 征如 下 : b服 1 )用 户 每 次 得 到 的 页 面 都是 全新 的 ;
是重新加载整个页面 , 减少了用户 的等待时间 , 更好地满足了用
户 需求 , 得 We 用 程 序 更 加 人 性 化 , 且 逐 步 得 到 广 泛 应 使 b应 并 用 。但 是 , 着 Aa 应 用 技 术 的 普 及 , 安 全 问 题 也 越 来 越 引 随 jx 其
服务 代理
0 引 言
随着网络化和信息化 的不 断发 展 , 互联 网已经成为人们 获
S r ieA n i e vc ge ce s
取信息的主要渠道。在传统 We b服务模 式下 , 用户 和服务器之
间是一种 同步关系 , 服务器在处理请求 的时候 , 用户多数时间只
能 等 待 。这 种 传 统 的 “ 求/ 应 ” 式 极 大地 限制 了 We 应 用 请 响 方 b

Web服务安全性分析与研究

We b服 务 具 有 完 好 的 封 装 性 、 松 散 耦 合 , 使 用 标 准 协 议 规 范 , 高
密 性 、完整性 、身 份验证 ,授权 、不 可 否认性 。这 几个安 全服 务是 相互联
系的 ,缺 少其一 则存 在安全 漏洞 。
() / I ( 1 T 安全套接字层 / 传
B2 通 讯 和 系 统 整 合 提 供 了 巨 大 的 B 可 能 性 , 但 因 缺 乏 一 个 有 效 的 安 全 解
() 2 即使 在 传 输 层 中保 证 了端 对
端的安 全 要求 ,但如 果传输 的消 息是 原文 ,也极 易受 到黑 客攻 击。
的 、可 互操 作 的 W e b服 务 安 全环 境
的 基础 和 保 证 。针对 W e b服务 的 安
全 问题 ,I M 、Mir sf 等 大 公 司 和 B coo t
() OAP消 息 在 传 输 时 可 以 3S
与 不 同 的 应 用 层协 议 进 行 捆 绑 ( 如 H TTP M TP) 、S 。如 果安 全 信息 需
决方 案 ,使 得 W e b服 务 不能 方便 地
SA 加 密 、S A OP O P签名 以 及安 全断 言 的 安 全技 术 ,在 一 定 程度 上 消 除 了 W b 务所 面临 的 安 全威 胁 。 e服
关键 词 :Wb 务 ;安 全 ;传输 层 ;SA 层 e服 OP
An l i an Re e r h a ys s d s a c Of W e Se vi e Se rt b r c s cu i y
Ab ta t T e ril nlz s h scr y rbe e i ig i sr c : h a tc a ay e t e e ui po lm xs n n e t t We S rie , a d icse scrt polms ad scr y eh o g o We b evc s n dsuss euiy rbe n e ui tcn l y f t o b

Web服务安全的研究与模型实现


以很容 易地 获取 客 户使 用 服 务 的数据 信 息 , 同时 对 U D 信 息 恶意 修改 或 非法 读 取 ,从 而 带来很 大 的 DI 危害性 .因此 ,一 定要 保 证 We b服务 发 布 的安 全 .
SA O P消息在传 输 的时候可 以与不 同的传输 层协议进行捆绑 , 例如 H T 、M P有可能存在这 1 PS T . r 样 一种情况 , 所有的通讯连接都是安全的 , 中间应
恶意 的在 U D 中发布 了一 个虚 假 的 服务 , 就 可 D I 它
当 扩展 , 证 了 中间件 应 用 程 序 的 独 立性 , 保 不用 过 多 的考虑 加密算 法 细节 .
13 传 输 的独立 性(rnp r id p n ec) . T a sot n ee d n e
立 的 、 明的传 输 层 是 必 要 的 , S A 透 在 O P中进 行 适
We b服 务 的 安 全 可 以 从 两 方 面 考 虑 : b服 We
务 发 布 的 安 全 和 We b服 务 调 用 的安 全 . b服 务 We 发 布就 是 把 We b服 务 描 述 信 , D  ̄( L文 件 ) 照 WS 按 U D 规 范发 布 到 U I 册 库 中.如果 某 个 企 业 DI DD 注
加 密、 名的使 用 , 好 的保 证 了 S P消息 端到 端 的安 全通 信 . 签 很 OA 同时基 于服 务请 求者 访 问需求 的 不确定 性 以及 各 个 W e b服 务授 权 的灵 活性 , 以用 户 一角 色、 色 一权 限 映射 的方 式 , 对 于服 务请 求 者 的认证 和授 角 将 权独 立 开. 模 型较 好 地保 证 了 W e 该 b服务 通信 中信 息 的机 密性 、 完整性 、 不可 否认 性 , 同时 实现 了用户的认

Web服务器的安全及负载平衡的研究与实现

v st u t y a e ic e sn , t a et ers f a k r t c s u e e r n o e e p cal eu i W _ e v c s i t en e o r ii q a i r r a i g i f c h i o c e t k f r d mo ea dm r , s e il t n t e s r ie , s h e d f r n t n k h aa s yh b mo e
sc rt. owesu ytec mp trs se n t r n eWe ev rsc rt n ul e uea drl bep oe t es s m r tc e u i S td o ue y tm. ewo ka dt b sre e u i a db i asc r n ei l rtci y t t poe t y h h y d a v e o
在服务器 方面 , 由于 互 联 网 用 户 访 问 量 的 增 大 , 得 单 一 W e 使 b
平 台 上 , 客 户 提 供 更 为 方 便 、 捷 的 服 务 支 持 。这 些 应 为 快 用 在 功 能 和 性 能 上 都 在 不 断 的 完善 和 提 高 , 而在 非 常 重 要 的 然 安 全 与 稳 定 性 上 , 没 有得 到 足 够 的 重 视 。一 旦 出现 其 中 的 问 却
站 攻 击 为 主 , 且 攻 击 手 法 也 层 出 不 穷 。 因 此 如 何 保 证 W e 而 b S re ev r的 安 全 性 并 及 时 找 出这 些 隐 藏 着 的 破 坏 者 并 且 能 阻 止 其 对服 务器 的破 坏 活 动 是 保 障 W e ev r 常应 用 的 前 提 。 b Sr e 正
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Web服务安全性的研究与分析徐丽丽,袁景凌,苗连超武汉理工大学计算机应用专业,武汉(430070)Email: xulili1402043@摘要:Web服务技术是建立在开放的Internet基础上的新的分布式计算模型。

对于服务消费者来说,必须确保发布的基于Web服务的业务事务和处理是安全的、可靠的和可用的,因此Web服务要被广泛接受并取得成功,其安全性是一个很重要的因素。

本文先是对Web 服务安全性的四个主要问题进行分析,然后列举并比较了三种Web服务安全性问题的解决方案,并对其中的XML加密技术进行了详细分析。

关键词:Web服务,SSL,XML加密,XML数字签名中图分类号:TP309文献标识码:A1. Web服务的意义和概念1.1 为什么需要Web服务近些年来,Internet的发展突飞猛进,电子商务水平也在逐渐的提高,越来越多的组织机构将其业务模式转向Internet,不仅仅是各种组织和商业实体发生了巨大的变化,人们的日常生活也变得丰富多彩。

现在人们不仅可以通过Internet发布和共享各种信息而且还可以在Internet上提供和获得各种应用,例如网上购物、聊天、网络教育、电子商务、IP电话等等,伴随而来的是对网络提供服务能力的新要求。

Web服务主要是为了使原来各孤立的站点之间的信息能够相互通信、共享而提出的一种接口,通过借鉴和利用现有的Internet开发互联标准在现有的各种一个平台基础上构建一个通用的、与平台无关与语言无关的技术层规范,来实现不同平台应用的互联和操作,为进一步信息共享、推广和开发各类Internet应用提供了最佳手段,也为网格计算等技术注入了新的活力。

Web服务使得电子交易成为可能,免除了人的参与,极大的提高了效率。

因此现代社会需要Web服务,并且其已经变成是必不可少的,可以说Web服务标志着继PC、Internet之后的第三代计算机技术革命的到来。

1.2 Web服务的概念Web服务技术是建立在开放的Internet基础上的新的分布式计算模型。

目前开发的Web 服务所使用的是Internet上统一、开放的标准,包括:HTTP(超文本传输协议)、简单对象访问协议SOAP(Simple Object Access Protocal)、服务描述协议WSDL(Web Services Description Language)和服务发现/集成协议UDDI(Universal Description Discovery and Integration)等,它们共同的特点是简单、易于实现并且可以在任何支持这些标准的环境(Windows,Linux)中使用。

Web服务协议层次如图1所示:[1](5)服务发布/发现:UDDI (4)服务描述:WSDL (3)XML消息:SOAP (2)传输协议:HTTP,SMTP (1)InternetManagement:管理界面图1 Web服务协议层次图然而,对于什么是Web服务目前还没有一个公认的确切定义。

从表面上看,Web服务就是一个应用程序,它向外界暴露出一个能够通过Web进行调用的API,就是说,你能够用编程的方法通过Web调用来实现某个功能的应用程序。

从技术开发和商业应用的角度考虑,Web服务有以下几种表述:(1)Web服务是一组应用程序W3C将Web服务定义为:Web服务是由URI标识的软件应用程序,其接口和绑定可以通过XML构件进行定义、描述和发现,Web服务通过基于Internet的协议与其他软件直接交互。

(2)Web服务是一组服务Web服务是一个集自包含、自描述、模块化的应用,可以发布、定位,通过Web调用,可以执行从简单请求到复杂商务处理的任何功能。

一旦部署以后,用户或者其他应用程序可以发现并调用它部署的服务。

(3)Web服务是一个服务平台这里的Web服务是指架构Web服务的整体技术框架,Web服务就是一个集部署、发现、事务、安全、认证等基本功能为一体的服务平台,并具有一系列相关的技术标准,这些标准使其具有作为一个服务平台的完整性和优越性。

(4)Web服务将开辟一种崭新的商业模式从商业应用的角度来看,任何一项先进的技术都离不开商业应用的催化。

尽管不同的商业公司在战略上开展Web服务的出发点不尽相同,但都确立了软件变服务的商业模式,并着力于解决服务的智能化及个性化等问题。

可以预见,随着Web服务机器系列技术逐步由构想走向实用,微软通过Web服务所描绘的未来数字生活中“软件变服务”的模式,无疑将给人类的未来生活带来全新的感受和前所未有的巨变。

根据Web服务的定义,我们可以看出:与其他分布式计算模型相比较,Web服务计算模型对最小体系架构的要求很低,Web服务使用普遍存在的网络协议(如HTTP)和数据格式(如XML)进行通信,支持这些通用的网络标准的任何系统都可以支持Web服务,使得Web服务的来源异常广泛。

同时Web服务的强自治、松耦合、粗粒度、开放性与可集成的特点使得Web服务不仅屏蔽了编程语言的差距也消除了构件标准之间的竞争,在使用任何操作系统、编程语言和对象模型的平台上都得以实现。

不仅屏蔽了编程语言之间的差距,也消除了构件标准之间的竞争。

另一方面又可以确保Web服务在使用任何操作系统、编程语言和对象模型的平台上都得以实现。

1.3 Web服务的架构模型Web服务是独立的、模块化的应用,能够通过Internet来描述、发布、定位以及调用。

与之相对应,Web服务架构模型是一个概念性框架,其中包括了三种角色:服务提供者、服务注册中心和服务请求者。

相应角色之间的交互主要通过发布、查找和绑定三个操作完成。

这些角色和操作一起作用于两个Web服务构件实体:Web服务及其描述。

在典型情况下,服务提供者可通过网络访问的软件模块,定义Web服务的服务描述,并把它发布到服务使用者或服务注册中心。

服务使用者使用查找操作从本地或服务注册中心搜索服务描述,然后使用服务描述与服务提供者绑定,并调用相应的Web服务软件模块,同它交互。

2. Web服务安全性然而,对于服务消费者来说,必须确保发布的基于Web服务的业务事务和处理是安全的、可靠的和可用的,试想在如今开放的互联网上,如果不能保障Web的安全,那么Web 服务的应用将会受到很大的限制,因此Web服务要被广泛接受并取得成功,其安全性是一个很重要的因素。

2.1 Web服务安全性的主要问题目前保证Web服务安全性要解决的主要问题有:[2](1)数据的机密性数据的机密性是指数据在传输过程中,确保重要的、私有的信息不会泄漏,即任何未经授权的第三方都不能获取数据。

例如:通过信用卡网上购物,需要保证在浏览器和商家的Web服务器之间传输的用户数据不会被第三方所获取。

(2)数据的完整性数据的完整性是指数据在传输的过程中不能被未经授权的第三方修改、破坏,要保证数据内容的真实性和可靠性,只能给有权利的用户进行操作。

例如,在网上购买商品时,购买的数目、品种等信息不能被任何未经授权的第三方修改。

(3)身份的验证身份的验证是指对通信双方身份的确认,不让冒名顶替者获取双方的数据。

身份验证包括对用户身份的授权、管理和审查,即需要知道用户是谁,这些用户在系统中的权限等等。

例如,当卖方收到订单要求购买货物时,一定要能验证该订单一定来自于那个客户而不是一个伪造的订单,不然就会损失惨重。

(4)不可抵赖性交易的不可抵赖性是通过对历史记录的跟踪来实现,一旦买方下了订单付了钱,卖方也如期的交货,则该交易已经完整的实施,买卖双方对于该交易有不可抵赖性,从而确定和保护了买卖双方的的利益。

例如:买方向卖方下了订单,卖方按照订单将货如期的交给买方,买方不能否认曾发送过此订单。

2.2 Web服务安全性问题的解决方案(1)SSL(Secure Socket Layer)SSL主要是用来解决Web浏览器和服务器之间数据传输的加密问题,对于一些敏感数据,如用户信用卡信息等建立一个安全的传输通道,用数字证书的方式提供了浏览器和服务器之间的透明认证。

SSL采用了RSA公开密钥加密算法在浏览器和服务器之间建立安全的通道,用于保护浏览器和服务器之间重要数据的传输。

为应用层将数据通信提供安全的途径,位于可靠的传输层上,为高层的应用提供透明的服务,保证传输信息的私密性、可靠性和不可抵赖性,是Web上具有真正意义上的安全通讯标准。

SSL对于保证Web环境的安全性和可靠性非常重要,但是SSL也具有一定的缺点,具体表现如下:①SSL只是保证了HTTP会话的安全,也就是说只是保证了浏览器和Web服务器之间的传输通道的安全性,但是不能确认某一个特定的会话是否已经真正建立,或者数据是否已经真的接收到,也就是说SSL只能保证点对点的安全技术,而Web服务需要的是端到端的安全技术。

②SSL在数据加密的方法上也不够灵活,即不能根据不同的服务来对不同的内容进行加密,而这一点在Web服务集成的环境中显得尤为重要。

在使用SSL的时候,将会对所有通信信息进行加密,不能实现选择性保护。

对于一些敏感的信息,比如用户银行卡卡号、密码等需要进行加密处理而其他大量非敏感信息不需要进行加密处理,SSL不能满足实施选择性保护的要求。

因此,有必要采取其他的方法来弥补SSL的不足。

(2)认证技术现有的安全认证机制种类很多,有基于HTTP的基本认证、集成Windows认证、表单认证、SSL证书认证,这么多的认证机制位于不同的协议层,如传输层、应用层或者操作系统中,采用的形式包括用户名、密码方式、数字证书等,应用这些机制往往需要复杂的配置,而且不同的软件环境的情况更为复杂。

Web服务的安全性要求一个集成的可扩展的认证机制,现有的认证机制是不能满足这个要求的。

(3)XML加密XML加密的主要目的是为了对需要加密的数据进行加密,在保证数据私有的同时,也满足了系统灵活性的要求。

不但可以对XML文件加密,也可以对任何数据进行加密,从而满足了对于不同服务的不同加密要求。

例如,在使用信用卡网上购物时,商家只需要知道用户的订货信息,如产品名称、数量、送货地址、姓名等信息,而用户的信用卡号对于商家应该是加密的,不可见的,对于银行才可见;相反,对于商家可见的一些信息,如产品名称、数量、送货地址、姓名等,对于银行是加密的,不可见的。

灵活地对数据进行加密在基于Web服务的应用中也是非常重要的。

XML加密最大的作用就是为了保护传输数据的私有性,不被任何未经授权的第三方获取,为数据交换提供了一种端到端的安全性,Web服务需要的正是端到端的安全技术。

使用XML加密技术生成的文件是格式正规的XML文件,文件中使用<EncryptedData>元素构建加密数据,该元素包含与加密或解密相关的数据,在生成的加密数据文件中<EncryptedData>元素用来代替加密的数据。