欢迎来到天天文库
浏览记录
ID:13993649
大小:40.50 KB
页数:15页
时间:2018-07-25
《★★★web service的安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、★★★WebService的安全WebService的安全宁凯编译本部分我们将对安全和WebService予以介绍并加以评论。这个话题是有争议的,因为开发人员是第一次采用WebService技术,安全问题就成了它们经常提到的话题。首先,我们回顾一些基本的概念,然后再看一看一些公共安全技术,例如SSL(SecureSocketLayer)。然后,我们将分析鉴别和授权所涉及的过程,还有数据保密性。WebServices安全简介首先,我们将简要地介绍一些概念和体系结构,这些概念和体系结构是WebService安全的
2、基础。非对称密码技术——私钥和公钥第二次世界大战期间,美国海军发现无线传输加密的最好形式之一就是用NajavoIndian语言进行交流。这种语言和其他语言天生就没有关联。这一简单的技术从来没失败过,甚至胜过更复杂的代码书和计算机制。从那时起,现代密码技术就得到飞速发展。为了便于在此进行讨论,介绍两种基本的密码术算法:对称(常规)和非对称(也就是所熟知的公开-秘密密钥密码技术)。在对称密码技术中,对文件或者报文进行加密的密钥(或者编码)与对文件或者报文进行解密的密钥是完全相同的。而在非对称密码技术中,对文件或者
3、报文进行加密和解密所使用的密钥是不同的。从算术角度看,这两个密钥是相关联的,但是由其中的一个密钥导出另一个密钥却很难实现。一个用户可以将公开密钥分配给其他用户,并对这些用户发送给自己的报文进行加密。这个用户将对私钥严格保密并利用它对使用公钥发送的报文进行解密。从计算复杂性角度来看,使用对称加密技术传送报文比使用计算复杂性更强的非对称技术效率更高。由于可以自由分配公开密钥,非对称技术在大型团体中更具优势。身份认证身份认证是实现Webservice集中工作的关键。现在大多数WebService处于单独工作状态,但
4、是大家都在谈论将WebService聚集在一起,创建更加强大且更加复杂的业务服务。然而,WebService的集中要求服务能够共享信息,这一点在我们开始考虑在服务中添加安全时显得尤为重要。请考虑大多数WebService是如何实现安全的?提供安全WebService的每一种业务都维护有授权用户列表,其中每一位用户使用userid/password(用户ID/口令)来进行身份鉴别。但是这对于复杂的服务来说并没有太多意义。而且这也是我们之所以听到象微软这样的大公司宣布Passport(护照)将使用Kerberos
5、V5.0支持联合鉴别,还有Sun启动LibertyAlliance(自由联盟工程)的理由。对等的通信实体进行鉴别期间将使用身份特性。它将辨别、授权和审核等考虑在内。当前最常用的方法就是每一种安全身份特性将具有名称、私钥和X.509证书。X.509证书包含特定身份特性的公共特征(akacredentials),这其中包括公钥。数据签名数据签名只能校对数据来源。如果使用私钥对数据加密,那么能够正确解密的任何人都可以很容易的校对数据的来源:正确解密就是说数据是使用相应的私钥加密的。由于私钥总是需要保密,而且只有生成
6、私钥的主人唯一占有它,正确的数据解密当然就证明了它的来源。不幸的是,非对称算法速度太慢,因此要使用特定的散列函数(例如MD5或者SHA)。这些特定的散列函数首先将计算数据的手印(例如,MD5是16字节而SHA是20字节)加以符号表示。接收方使用相同的函数计算手印,使用公开密钥对采用符号表示的手印进行解密,最后将计算所得的手印和解密所得的手印进行比较。如果两者能够完全匹配,那么数据的来源就得到了证实。认证证书我们首先来看看证书是如何创建的。首先,生成密钥对(公钥和私钥)。接下来,创建一个所谓的证书签名请求Cer
7、tificateSigningRequest(CSR)。CSR只不过是一个数据集,其中包含了证书中所包括的全部信息(包括公开密钥)并且使用所生成的私钥对其进行签名。下一步,CSR将被发送到证明授权机构(CertificationAuthority)由其根据CSR创建证书并用私钥签署证书。通过签署证书,证明授权机构(CertificationAuthority)将核实证书包含的有效数据。信任这个证明授权机构的任何人都可以使用它的证书(更准确的公开密钥)并可以核实所签署的证书。将证书存储到一个专门的可信赖的存储之
8、处能够表明我们信任某一身份特性这一事实。证书核实可以扩展到更高的级别。因此,可以使用某一身份特性签署证书,而这一身份特性是由另一身份特性签署的。如果我们信任这一串中的所有证书,这就意味着我们也信任这一串中其它更高级别的证书。WebServices和安全API机制因特网上常用的传统安全技术对WebService来说是远远不够的。主要问题在它们的传输存在依赖性。例如,最广泛使用的安全技术SSL(Secu
此文档下载收益归作者所有