Web+Services安全和企业应用

《Web+Services安全和企业应用》由会员分享，可在线阅读，更多相关《Web+Services安全和企业应用（78页珍藏版）》请在金锄头文库上搜索。

1、 Web Service 的安全和企业应用 I W e b S e r v i c e s 的安全和企业应用 摘 要 本文主要在一些规范和协议的基础上 研究了如何在企业中安全应用Web Services 首先简要介绍了 Web Services 的起源发展以及在目前软件工业中的地位包括Web Services 的产生缘由,Web Services 在软件工业中能起到的作用相关技术规范和技术平台 接着详细分析和描述了 Web Services安全现状一些企业和组织为了 Web Services的安全到目前为止所得到的工作成果包括 1网络安全介绍可以增强 Web Services 的网络安全方法分

2、析了这些方法对于Web Services 而言由于 Web Services 支持多种传输协议而存在的优缺点由于网络安全方法存在的一些缺点决定网络安全方法仅仅能在特定环境中使用或作为一个辅助手段 2XML安全包括 XML签名和 XML加密详细介绍了签名和加密过程XML加密中存在的困难和已有的解决方案 以一个详细的例子介绍了 XML加密和解密过程XML安全是 SOAP 安全扩展的基础 3SOAP 安全扩展定义了用数字方式签名 SOAP 消息及确认签名的句法和处理规则通过 SOAP 头Header携带 SOAP 签名信息的句法和处理规则在不改变SOAP 主要结构的基础上SOAP 数字签名工作组在

3、SOAP 头元素的扩展命名空间中加入安全特征通过扩展在方案中加入一个新的元素这个元素在 schema 中可以不用改变通过 XML安全对 SOAP 结构进行扩展并把扩展规范和 SSL做了比较 4WS-SECURITY目前主要企业和组织针对 Web Services 安全制定的一个安全规范这个规范是多个安全规范的综合吸取了多个安全规范的成果而成WS-SECURITY被设计成用来构建多种安全性模型的基础特别为多安全性令牌多信任域多签名格式和多加密技术提供支持该规范提供了三种主要的机制安全性令牌传播消息完整性和消息机密性 Web Service 的安全和企业应用 II 然后以三个示范项目给出如何在企业

4、级应用中如何根据不同的需要安全使用Web Services同时也给出了升级已有 Web Services 安全性的方法第一个项目是一个最普通的 Web Services无任何安全性第二个项目在第一个项目的基础上增加相应的密码回调程序 并修改相关配置文件 使第一个Services升级为一个UserNameToken安全校验的具有一定安全性的 Web Services第三个项目在第一个项目的基础上同第二个项目增加密码回调函数配置密码和证书并修改配置使之支持WS-SECURITY并给出运行中得到的实际消息结构以这三个项目获得开发和升级现有 Servcie 安全性的一般方法具有普适性 在示范项目的基础

5、上给出了一个解决方案说明企业中安全 Web Services 的可能应用方法并给出了二个应用案例包括解决方案及结果 最后在前面的分析的基础上并通过实际项目及应用得出结论在目前阶段开发满足企业应用级别的安全 Web Services还是比较容易的掌握了方法之后不需要太多的额外工作量 关键词 Web ServicesWS-SECURITYXMLSOAP加密签名 Web Service 的安全和企业应用 III SECURITY AND ENTERPRISE APPLICATION OF WEB SERVICES ABSTRACT In this paper, we study how to use

6、 security web services in enterprise based on some specification and protocol. At first, we briefly introduce technical origins of Web Services, which includes the description of inevitability of its emergence. Also this section indicates rapid development and current situation of web services withi

7、n software industry. Then analyzes the security situation of web services, and represents the achievements and progress that companies and organizations have made by now for web services security improvements, which are shown as below: 1. Network security: the protocols that web services supports ha

8、ve both advantages and disadvantages. The network security approaches can only reduce the possibility of security problems as an accessorial solution. 2. XML security: it includes XML signature and XML encryption. Also describes how to implement signature and encryption, obstacles of implementation

9、and their known solutions with an detailed example. Furthermore, XML security is the footstone of SOAP security extension. 3. SOAP security extension: it defines the grammar and process rules of sending and receiving SOAP message with digital signature confirmation. Security features can be added in

10、to extended namespace of SOAP header without changing structure of SOAP message. Compared with SSL, new immutable elements can be added into XML scheme by extending SOAP structure. 4. WS-SECURITY: Recently many companies and organizations establish a specification named WS-SECURITY for web services

11、security issues. This specification Web Service 的安全和企业应用 IV adopts results of many other relative specifications, which is considered as foundation to build secure web models especially supports for multi-secure tokens, multi-realms, multi-signature formats and multi-encryption. It provides 3 main s

12、ecurity mechanisms: security of token propagation, integrality of message and encryption of message. Based on the analysis of upper, we indicate how to use security web services and upgrade legacy web services in enterprise application by given examples. The first example is quite simple and has no

13、security feature. The second example shows us how to upgrade the first example to a security-verified web services by modifying configuration file. Finally, the last example shows us how to upgrade the first example to a WS-security supported web services by modifying configuration file. Based on th

14、e demo projects, we give out a solution and two cases to indicator where and how to use web services as integration method in enterprise. At last we get the conclusion is that use security web services at enterprise application level is easy by now, just need a little extra effort. Keywords web serv

15、ices, WS-SECURITY, XML, SOAP, encryption, signature Web Service 的安全和企业应用 上海交通大学 学位论文原创性声明 本人郑重声明所呈交的学位论文 是本人在导师的指导下 独立进行研究工作所取得的成果 除文中已经注明引用的内容外 本论文不包含任何其他个人或集体已经发表或撰写过的作品成果 对本文的研究做出重要贡献的个人和集体 均已在文中以明确方式标明 本人完全意识到本声明的法律结果由本人承担 学位论文作者签名陈大林 日期 2009 年 5 月 30 日 Web Service 的安全和企业应用 上海交通大学 学位论文版权使用授权书 本学

16、位论文作者完全了解学校有关保留使用学位论文的规定同意学校保留并向国家有关部门或机构送交论文的复印件和电子版 允许论文被查阅和借阅 本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索 可以采用影印 缩印或扫描等复制手段保存和汇编本学位论文 保密在 年解密后适用本授权书 本学位论文属于 不保密 请在以上方框内打 学位论文作者签名陈大林 指导教师签名来学嘉 日期2 0 0 9 年 5 月 3 0 日 日期2 0 0 9 年 5 月 3 0 日 Web Services 的安全和企业应用 1 1 前言 如今在软件技术界SOAService-Oriented Architecture是一个炙手可热的话题2005 年就有人预言到 2008 年80%的公司会使用 SOA现在已经是 2008 年虽然不知道有没有 80%的公司使用 SOA但一个事实是许多公司已经在使用其中包括我们公司虽然 Web Services 不是实现 SOA 的唯一方式但却是目前的最佳方式这决定了 Web