当前位置:首页 >悦读时光>

SOA平台下Web服务的安全认证协议概述

来源:www.timetimetime.net 时间:2019-10-01 编辑:成长

1简介

近年来,随着面向服务架构(soa)的兴起,实现soa的web服务技术也越来越流行。soa是通过不同功能模块(服务)之间的接口和协议来连接这些功能模块(服务)的体系结构。这些功能模块独立于不同的硬件平台和操作系统,这些服务使这些服务能够通过soa以一种共同和统一的方式连接和交互。web服务在企业应用中发展迅速,基于xml的服务描述语言wsdl描述的web服务变得更加动态和灵活。然而,web服务的动态性和松散耦合性是web服务安全的绊脚石。web服务的动态特性使服务的发布者不知道将在其中使用服务的系统环境,并且无法保证服务消息的安全性。而企业间的应用使得web服务不仅局限于小型局域网,而且复杂的internet对web服务的安全性也有了更高的要求。由于目前web服务是端到端的,传统的基于ssl的对等传输协议https不能保证web服务在大型网络环境下的安全性。同时,只有保证传输层安全的https不能保证消息的接收。终端没有被攻击和窃取,因此新的传输协议迫在眉睫。oasis是微软和ibm共同成立的一个标准化组织,致力于研究web服务的安全传输和身份认证。2004年,为了保证web服务在新的网络环境下的安全性,建立了ws-security规范。xml加密、xml数字签名、saml和xacml标准确保基于soap的web服务的消息可以安全地传输。本文回顾了近年来Web服务中的相关规范以及基于这些规范和标准的技术,并进行了全面的比较和分析。

2 Web服务传输规范概述

学术界从各个方面对Web服务安全的核心问题进行了深入的讨论,并从理论和实际应用中提出了一系列新颖的方法和改进策略。

2.1基于WS-Security规范的认证。为了解决Web服务的安全性问题,OASIS在2004年提出了WS-Security Specification的1.0版,在2006年提出了WS-Security的改进版。详细分析了WS-Security规范。通过使用WS-Security规范对SOAP消息的特定分析,可以获得WS-Security规范的特定安全认证机制。在SOAP消息中,使用XML签名技术保证消息的完整性,通过XML加密保证消息的机密性,并使用安全令牌(X.509)。证书或Kerberos票证)可根据SAML规范解决SOAP消息的身份验证。通过对本文的分析,我们可以得到WS-Security规范下的SOAP消息框架,如图1所示。图1 WS-Security,WS-Security规范下的SOAP消息框架图,解决了三个主要的安全问题Web服务的功能:消息完整性,消息机密性和身份验证,从而实现SIAO消息的安全传输。通过使用WS-Security规范,可以提供更多的安全模型。作者使用WS-Security规范开发了用于Web服务的安全系统,并发现了WS-Security规范可能需要注意的一些问题。作者指出,该系统可能受到消息重传的攻击:获得正确SOAP消息的攻击者会将SOAP消息连续发送到服务器,从而导致服务被连续调用。尽管可以使用时间戳技术解决更安全的解决方案:简化的质询响应模型简单的质询响应模型提出了一个框架,以确保Web服务环境的安全,并使用WS-Security规范设计基于角色的权限。控制模型分析了网络学习应用软件所需的Web服务的安全环境,最后使用RBAC(基于角色的访问控制)模型构建了安全系统的框架[7]。在[8]中,REST(表示状态转移)样式的Web服务首先分析了传统Https身份验证方法的缺点,然后在WS-Security中基于UsernameToken方法提出了一种可扩展的安全性验证方法。结合WS-Security规范,使用SOAP,DES和RSA技术,提出了一种基于加密技术的Web服务安全模型,以实现跨平台解决方案。近年来,随着移动设备的兴起,移动端Web服务的安全性也受到关注。 WS-Security规范中的XML加密和签名技术与无限二进制XML规范WBXML和无线应用协议WAP中的无限会话协议WSP相结合,为移动Web服务消息提供了安全解决方案。由于移动Web服务正处于发展阶段,技术成熟度有待提高,因此未来对移动Web服务的安全性将有进一步的讨论和研究。近年来,基于Web服务安全问题的WS-Security规范,业界提出了许多安全模型,其中一些模型与其他加密算法或框架结合使用,但是核心点仍然是XML加密,签名和身份验证。 WSSecurity规范。

2.2基于SAML的身份验证

安全声明标记语言(SAML)[是OASIS提出的一种基于XML的安全标准,用于在Internet上的不同安全域中交换身份验证和授权凭证。现在SAML已发展到2.0。版。在使用SAML的系统中,权限信息通过声明传递。系统中包含三个部分,即主题“主体”是用户,“依赖方”依赖方是“服务提供者”(SP),而“主张方” AssertingParty是身份提供者(Identity Provider,IP)单点登录(SSO) )技术是SAML的主要应用模式。在单点登录模式下,用户在Web源站点上进行身份验证,然后该站点为用户生成SAML语句。表示用户已通过身份验证,并且与声明相关联的票证已分配给该用户,并且该用户可以调用该站点的Web服务。

2.3基于XACML规范的认证

可扩展的访问控制标记语言(XACML)[18]是由OASIS发布的一种基于XML的开放标准语言,旨在描述安全策略以及有关Web服务和企业安全应用程序的信息。访问权限。 XACML由于其平台独立性,多功能性,可伸缩性,可移植性和模块化性,被广泛用于执行Web服务访问控制策略。 XACML访问控制框架包括策略执行点(PEP),上下文处理程序,策略信息点(PIP),策略决策点(PDP)和策略管理点(PAP)。 )和其他功能模块。 XACML访问控制框架执行逻辑示意图策略实施点。 PEP接收客户端发送给服务器的请求,并将请求转发给上下文处理器。上下文处理器向策略信息点PIP提出属性请求,并且PIP来自主体,资源,环境等。获取属性信息并将其返回给上下文处理器,上下文处理器处理该信息并将决策请求发布到策略决策点PDP,并且PDP根策略管理点PAP提供用于对请求做出决策的策略,并且将决策结果返回到上下文处理。上下文处理器将决策结果返回给PEP,PEP根据该结果做出响应用户请求或拒绝用户请求的决定。 XACML标准通过其严格的策略管理来保证Web服务的访问控制。基于XACML的行业研究了相应的Web服务访问控制模型,以实现对Web服务的安全访问。文献[19]提供了一种基于属性的web服务访问控制模型(abac),它结合了xacml和xacml的特性,不同于传统的基于用户身份的授权机制。属性,如环境等,以启用对访问请求的动态评估。

3结论

由于Web服务技术的不断创新和发展,Internet中Web服务的安全性要求不断提高。正是由于各种规范,安全性才得到了相对保证。但是,对网络未来的需求在不断增加,因此需要更加关注服务的安全性。当前,许多规范已经提出了相应的改进版本。面对更加复杂和多样化的网络环境和安全要求,全面使用多种规范技术来实现Web服务的安全传输身份验证是未来发展的重要方向。

Next:信用卡系统中的SOA研究

相关文章
热门标签
日期归档

版权所有© 阅读时间 | 备案: 鄂ICP备12015973号-1 | www.timetimetime.net . All Rights Reserved | 网站地图