返回
构建安全的webservices

构建安全的webservices

ID:30817361

大小:415.03 KB

页数:28页

时间:2019-01-03

构建安全的webservices_第1页
构建安全的webservices_第2页
构建安全的webservices_第3页
构建安全的webservices_第4页
构建安全的webservices_第5页
资源描述:

《构建安全的webservices》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、构建安全的WebServices来源:MicrosoftTchNet本模块内容越來越多的公司和组织开始创建和部署WebServices,通常,这些工作是在还未完全了解安全含义的悄况下进行的。本模块解释了如何安全地设计、配置和部署WebServices.对于任何接受外部请求的应川程序來说,输入验证十分重要,为此人们开发了儿种技术來确保只接受格式正确的请求。本模块还详细解释了各种身份验证方法,这些方法可以用來将WebServices访问权仅限于授权用户,并确保记录和审核这些用户的行为。本模块还讨论了Microsoft的WebServicesEnhancements1.0forMicroso

2、ft®.NET(WSE),它支持WS-Security(WebServices安全)和一组相关的最新标准。••返冋页首目标使用木模块可以实现:•设计和部署安全的WebServiceso•使用强类型参数和XSD架构验证WebServices输入。•对WebServices客户端进行身份验证。•WebServices访问授权。•保护WebServices消息的保密性和完整性。•按照部署方案(Intranet、Extranet和Internet)选择要实施的安全选项。•学习WebServicesEnhancements1.0forMicrosoft.NET(WSE)。•学习如何使用代码访问安

3、全來确保.NETFramework客户代码的安全。3了解采取哪些措施來解决常见的WebServices威胁,这些威胁包括•未授权访问、参数操纵、网络窃听、泄露配置数据以及消息觅播。••返回贝忤适用范围本模块适用于下列产品和技术:•MicrosoftWindows®2000Server和MicrosoftWindowsServer™2003•Microsoft.NETFramework1.1和ASP.NET1.1•返N贞如何使用本模块为了充分理解本模块内容,请:•参阅模块19确保ASP.NET应用程序和Web服务的安全。该模块适合帮助管理员配置ASP.NETWeb应用程序或WebServ

4、ices,使不太安全的应用程序变得安全。•参阅模块17确保应用程序服务器的安全。参阅模块17,以便熟悉远程应用程序服务器的注意事项。•使用本指南屮的“检杳表"部分的检杳表:保护web服务的安全。该检杳农总结了构建和配置安全的WebServices所需的安全措施。•使用本模块可以了解消息级别的威胁以及如何防御这些威胁。•并将应川程序类别作为一种解决常见问题的方法。木节将使用这些类别给出相关的信息。••返M页首概述越来越多的公司使用WebServices通过Internet和企业Extranet向客户和商业伙伴提供产品和服务。这些服务提供商所需的安全要求非常高。在某些情况下(主要是在Int

5、ranet或Extranet情况下,在这两种情况下,您对两个终结点都有一定程度的控制权),可以使用操作系统和Internet信息服务(IIS)所提供的基于平台的安全服务來提供点对点的安全解决方案。然而,基于消息的WebServices体系结构和日益增加的跨信任边界的界构环境带来了新的挑战。这些悄况需要在消息级别上解决安全问题,以支持跨平台的互操作性和通过多个中间节点进行路由。WebServices安全(WS-Security)是用来解决这些问题的最新安全标准。Microsoft已经发布了WebServicesEnhancements1.0forMicrosoft.NET(WSE),以支

6、持WS-Security和一组相关的最新标准。WSE允许实施消息级别的安全解决方案,包括身份验证、加密和数字签名。注意:WSE支持的规范和标准是不断变化的,因此当前的WSE并不保证与该产品将來的版本兼容。在写本文时,互操作性测试正在进行,使用的是由包WIBM和VeriSign在内的供应商所提供的非Microsoft工具包。••返回贝忤威胁与对策耍构建安全的WebServices,需耍了解相关的威胁。WebServices面对的主要威胁是:•未授权的访问•参数操纵•网络窃听•配置数据的泄漏•消息重播图12.1显示了WebServices面对的主要威胁和攻击。未授权的羽问参数操作配置数据的

7、汹阎客户h网络窃听——WebService4防火墻消息回災图12.1主耍的WebServices威胁未授权的访问提供敏感或限制性信息的WebServices应对其调用者进行身份验证和授权。攻击者可以利用弱的身份验证和授权机制,对敏感信息和操作进行未授权的访问。漏洞可导致通过WebServices进行未授权的访问的漏洞包括:•未使用身份验证•密码在SOAP头信息中以明文形式传递•在未加密的通信通道屮使用基本身份验证对策可以使用下列对策防止未授权的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。