西南交通大學碩士研究生學位論文第1 頁 摘要 w e b 服務提供了一種完全建立在現(xiàn)有互聯(lián)網(wǎng)標準之上的面向服務的架構 ( s o a ) ，具有分布式、松散耦合性和平臺無關性。隨著w e b 服務的廣泛應用， 其安全問題已經(jīng)越來越受到人們的重視。 安全性問韙是一個非常復雜的問題，目前，與w e b 服務安全有關的規(guī)范 主要有w s s e c u r i t y 規(guī)范、w s p o l i c y 規(guī)范、x k m s 規(guī)范以及s a m l 規(guī)范等，雖 然這些規(guī)范在某些方面能實現(xiàn)消息安全，但不能提供一個完整的安全解決方 案。w e b 服務要求一種端對端的安全解決方案，包括加密機制、數(shù)字簽名機 制、安全管理、訪問控制等等方面。 本文首先分析了w e b 服務的安全性需求，研究了w e b 服務安全，包括 安全技術、安全性規(guī)范和最新發(fā)展。 然后，分析了w s e 3 0 的策略框架及工作過程，并對內置安全策略斷言 和自定義策略斷言的應用分別進行了詳細闡述。 其次，通過分析w s s e c u r i t y 安全模型及工作原理，針對w e b 服務的安 全性需求，設計了一種基于策略架構的w e b 服務安全解決方案。本文給出了 總體框架，并對安全消息交換的處理過程進行了描述，還指出了該方案的優(yōu) 點及不足。 最后，在n e t 環(huán)境下，使用w s e3 0 開發(fā)了一個w e b 服務安全應用系 統(tǒng)。本文介紹了該系統(tǒng)的體系結構和針對安全需求的實現(xiàn)方法，描述了基本 安全功能模塊的實現(xiàn)，并詳細闡述了高級安全功能模塊的實現(xiàn)。 關鍵詞：w e b 服務安全；w s - s e c u r i t y ；w s e3 0 ；策略 西南交通大學碩士研究生學位論文第| | 頁 a b s t r a c t w e bs e r v i c e sp r o v i d e sak i n do fs e r v i c e so r i e n t e da r c h i t e c t u r e s o a , w h i c h i se n t i r e l yb u i l tu p o nt h ec u r r e n ts t a n d a r d so fi n t e m e t i t sd i s t r i b u t e d , 1 0 0 s e c o u p l i n g ，a n di n d e p e n d e n to f p l a t f o r m s w i t hw e bs e r v i c e sb e i n gu s e dw i d e l y , i t s s e c u r i t yh a sa t t r a c t e dm o r ea n dm o l ea t t e n t i o n s e c u r i t yi sac o m p l e xp r o b l e m a tt h ep r e s e n tt i m e ，t h es p e c i f i c a t i o n sr e l a t e d t os e c u r i t yo f w e bs e r v i c e sm a i r d yh a v ew s s e c u r i t y , w s - p o l i 錫x k m s ，s a m l , e t c t h o u g ht h e s es p e c i f i c a t i o n sc a l li m p l e m e n ts e c u r i t yo f m e s s a g ei ns o m ew a y s ， t h e yc a l ln o tp r o v i d e 鋤i n t e g r a t e ds e c u r i t ys o l u t i o n w e bs e r v i c e sr e q u i r e sa s e c u r i t y s o l u t i o nf o re n d - t o - e n d a p p l i c a t i o n , i n c l u d i n ge n c r y p t i o n , d i g i t a l s i g n a t u r e s 洲r i t ym a n a g e m e n t , a c c e s sc o n t r o la n ds oo n f i r s t ，t h i st h e s i sa n a l y z e ss e c u r i t yr e q u i r e m e n t so fw e bs e r v i c e s ，a n d r e s e a r c h e ss e c u n t yo fw e bs e r v i c e s ，i n c l u d i n gs e c u r i t yt e c h n o l o g y , s e c u r i t y s p e c i f i c a t i o na n dt h el a t e s td e v e l o p m e n t t h e n , t h i st h e s i sa n a l y z e st h ep o l i c yf r a m e w o r ka n dt h ew o r kp r o c e s so f w e b s e r v i c e se n h a n c e m e n t s3 0 ，a n di l l u m i n a t e st h ea p p l i c a t i o no ft u r n k e ys e c u r i t y p o l i c ya s s e r t i o na n dc l l s t o mp o l i c ya s s e r t i o nr e s p e c t i v e l y n e x t , t h r o u g ha n a l y z i n gs e c u r i t ym o d e lo f w s s e c u r i t ys p e c i f i c a t i o na n di t s w o r kp r i n c i p l e , a i m i n ga ts o l v i n gt h es e c u r i t yr e q u i r e m e n t so fw e bs e r v i c e s ，a k i n do fw e bs e r v i c e ss e c u r i t ys o l u t i o nb a s lo np o l i c ya r c h i t e c t u r ei sd e s i g n e d t h i st h e s i sp r o v i d e st h ew h o l ef r a m e w o r k , d e s c r i b e st h ep r o c e s so fs e c u r i t y m e s s a g ee x c h a n g e , a n di n d i c a t e st h ea d v a n t a g e sa n dt h ed i s a d v a n t a g e so ft h e s o l u t i o n f i n a l l y , aw e bs e r v i c e ss o m d t ya p p l i c a t i o ns y s t e mi sd e v e l o p e do n n e t p l a t f o r m1 礬l hw s e 3 0 t h i st h e s i si n t r o d u c e st h ea r c h i t e c t u r eo ft h es y s t e ma n d t h er e a l i z a t i o nm e t h o d sa i m i n ga ts e c u r i t yr e q u i r e m e n t s , d e s c r i b e st h er e a l i z a t i o n o ft h eb a s i cs e c u r i t yf u n c t i o nm o d u l e s ，a n di l l u s t r a t e st h er e a l i z a t i o no ft h e a d v a n c o ds e c u r i t yf u n c t i o nm o d u l e s k e yw o r d s ：w e bs e r v i c e ss e c u r i t y ；w s - s e c u r i t y ；w e bs e r v i c e se n h a n c e m e n t s3 o ： p o l i c y 西南交通大學碩士研究生學位論文第1 頁 第1 章緒論 1 1w e b 服務安全的研究背景 w e b 服務技術基于許多不同軟件應用程序的互操作性，而這些應用程序 通過i n t e r n e t 在各地各種系統(tǒng)中運行，通過使用x m l 、s o a p 、u d d i 、w s d l 以及其他協(xié)議和機制，實現(xiàn)跨域且獨立于平臺的交互作用。正是由于w e b 服 務這種分布式、異構的本質“1 ，使得w e b 服務的安全變得很復雜。而w e b 服 務開發(fā)初始希望其簡單易用，最初設計者選擇了推遲定義解決安全問題的方 法。 目前安全技術已相當普及，各部門都會建立自己的特定安全解決方案， 但這些解決方案往往具有局部性。而在設計處理w e b 服務模型的新解決方案 時，由于系統(tǒng)實現(xiàn)者希望能充分利用現(xiàn)有的投資，并不取代現(xiàn)有的安全解決 方案，而是想將這些獨立的解決方案整合為一個完整的端對端安全解決方案。 因此，m i c r o s o f t 和其他業(yè)界企業(yè)( 例如i b m 、b e a ) 一起制定了一組為 實現(xiàn)豐富和可互操作的通訊協(xié)議和規(guī)范，通常稱作w s 一木規(guī)范。該規(guī)范及其 后續(xù)的工作就成為了w e b 服務技術領域的一次最重要的進步各軟件服務商 為其產品提供相應的接口和編程工具。w e b 服務開發(fā)者也將利用這些工具來 加強所開發(fā)的w e b 服務的安全性。 微軟使用w s s e c u r i t y 等規(guī)范實現(xiàn)s o a p 消息安全的工具包最初為w e b s e r v i c e se n h a n c e m e n t s1 0f o r n e t ( 簡稱為w s e1 o ) ，它作為一個類 庫用來實現(xiàn)高級w e b 服務協(xié)議，在保護w e b 服務安全中一個重要的內容就是 要保護其s o a p 消息傳遞的安全。通過使用w s e ，使s o a p 消息可以自己驗證 其完整性，并可利用規(guī)范中的機制進行簽名和加密。 在2 0 0 5 年底微軟推出了v i s u a ls t u d i o2 0 0 5 版本，其中w s e 推出了3 0 版本嘲，并直接構建到v i s u a ls t u d i o2 0 0 5 中，作為w e b 服務的安全性開 發(fā)工具，w s e ( 1 0 和2 o ) 推出的主要目的是提供一種實際可行的設計方法 o ”，來實現(xiàn)w s - * 安全性規(guī)范，而3 0 版本的目的不是去改變規(guī)范，而是因為 w e b 服務已應用到許多開發(fā)領域，它必須擴充v i s u a ls t u d i o 中現(xiàn)有的w e b 服務支持，解決、簡化開發(fā)人員所面臨的問題。其主要提供的目標有：簡便 西南交通大學碩士研究生學位論文第2 頁 開發(fā)安全的w e b 服務、采用w e b 服務協(xié)議與n e t2 0 結合簡化面向服務的應 用開發(fā)以及實現(xiàn)與未來技術的兼容性。 目前，關于w e b 服務安全技術的理論研究已經(jīng)較多，而且也出現(xiàn)了用 w s e l 0 或2 0 設計實現(xiàn)w e b 服務安全體系，雖然各有側重點，但也為下一步 研究提供了理論和實踐的基礎。而微軟剛推出的w s e3 0 開發(fā)工具包，為 研究提供了很好的開發(fā)平臺以及開發(fā)工具。w e b 服務應用在現(xiàn)階段得到了大 力發(fā)展，這方面的新技術和新產品也在不斷涌現(xiàn)，不斷為研究提供新的素材。 1 2 本課題研究工作的意義 1 w s e3 0 是最新推出的w e b 服務安全開發(fā)工具包，以前的研究還只是 利用1 0 或2 0 進行開發(fā)，并未對3 0 的技術展開探討。 2 以往的研究主要是側重w e b 服務安全技術的理論探討，以及研究如何 基本實現(xiàn)w e b 服務的安全。而目前的研究應該再進一步，研究如何更加便利 的開發(fā)w e b 服務安全體系，如何提高w e b 服務安全實現(xiàn)的效能以及如何與未 來安全技術規(guī)范接軌問題等方面。 1 3w e b 服務安全的研究現(xiàn)狀 標準是維護w e b 服務應用程序可移植性和互操作性的最好方法。雖然產 品和技術在不斷變化，但其基礎安全服務所普遍采用的安全標準將很穩(wěn)定。 因此，對于采用了標準的安全應用程序編程接口的應用程序，就可在不重寫 應用程序的情況下，開發(fā)自己的安全產品。 目前，w s - s e c u r i t y 說明書已經(jīng)準備被批準，并有很多安全產品都在支 持它，然而，現(xiàn)在對配置安全還沒有標準。w s p o lj c y 和w s - t r u s t 這兩種w s * 說明書也已經(jīng)被提交到標準體系中，它們有助于解決安全配置問題。 現(xiàn)在已有廠商支持w s s 規(guī)范和w e b 服務安全功能。支持w s s 的產品必須 包含一個w s s 提供器( 能處理w s ss o a p 頭) 。一般可歸入如下幾類：w e b 服務 平臺、w s s 庫、w e b 服務管理( w e bs e r v i c e sm l a n a g e m e n t ，w s m ) 、x m l 安全網(wǎng) 關、x m l 虛擬專用網(wǎng)、w e b 服務欺騙探察以及w e b 服務單點登錄及聯(lián)邦洲。而 x 肌安全網(wǎng)關和w e b 服務管理產品提供了使安全性外部化，以使它能被集中 西南交通大學碩士研究生學位論文第3 頁 地管理和控制的方法，是目前最好的解決辦法，也是過渡期研究的主要方向。 1 4 本論文研究的主要內容 在本文中主要的研究目標是：針對目前w e b 服務的安全需求，依照w s - * 規(guī)范，利用n e t2 0 的開發(fā)平臺，采用w s e3 0 的開發(fā)工具，設計一種基 于策略架構的w e b 服務安全解決方案。并開發(fā)一個w e b 服務安全應用系統(tǒng)， 實現(xiàn)該方案。 因此，研究中的主要內容是： 1 對w s e3 0 中的策略體系架構及工作過程進行研究，尤其是自定義策 略斷言的應用。 2 利用w s e3 0 開發(fā)工具，針對w e b 服務的安全性需求，設計一種w e b 服務安全解決方案。主要考慮如何采用策略文件與代碼相結合的方式來設計 s o a p 消息處理模塊。 在設計解決方案時，一方面從端對端企業(yè)角度( 從上至下) 考慮，先對 框架的整體進行設計，再細化各實現(xiàn)模塊的功能；另一方面從身份認證、授 權、安全消息交換這些主要的安全技術的實現(xiàn)角度( 從下至上) 考慮，先設 計各模塊的實現(xiàn)功能，再考慮如何組合到策略中去。 3 建立并逐步實現(xiàn)適合自身需要的應用平臺的w e b 服務安全體系框架， 實現(xiàn)各種安全功能，滿足各種不同的安全需求。 擁有一個安全架構，不是要一次實現(xiàn)所有安全功能。這里也是從小規(guī)模 開始，先選擇基本的安全服務，然后再在需要的時候建立更加高級的安全功 能。而架構為建立整體安全體系提供了實現(xiàn)路線圖。 1 5 本章小結 在應用程序內自定義建立的安全是手工編碼，實現(xiàn)和維護起來費用較高， 而且還可能存在更多的安全脆弱性，而一個單一的、采用了標準的應用程序 編程接口的安全基本結構則可以被所有應用程序使用，可避免多次重復定義 用戶、安全屬性和其他策略，可以集中精力解決一些關鍵的可互操作的安全 技術。因此，建立一個跨企業(yè)共享的通用安全結構是值得進行探討的。 西南交通大學碩士研究生學位論文第4 頁 第2 章w e b 服務安全技術 本章討論w e b 服務安全的相關技術，為設計和實現(xiàn)本論文的w e b 服務安 全架構做好理論鋪墊。 2 1w e b 服務安全及目標 隨著w e b 服務在松散耦合的、與語言和平臺無關的應用中的采用越來越 廣泛，另一個潛在問題也日益引起人們的關注安全性。w e b 服務的安全性 對商業(yè)組織和它們的客戶來說都是至關重要。在向i n t e r n e t 開放重要業(yè)務功 能的過程中，w e b 服務也把企業(yè)內部數(shù)據(jù)、應用程序和系統(tǒng)暴露給了各種外 部威脅，如信息竊取、欺詐、破壞等行為。這給企業(yè)信息安全帶來了極大的 隱患。如果信息安全問題不能被妥善解決，w e b 服務的推廣應用將會大大延 緩。而w e b 服務的安全領域卻是有待開發(fā)的領域。 安全目標包括： ( 1 ) 端到端的消息傳遞：即消息級別的安全性，不僅在傳輸?shù)倪^程中要 保證消息是安全的，而且在到達終點之前的各個中介處也需要是安全的。 ( 2 ) 提供機密性和完整性的安全消息交換：機密性：加密消息，防止消 息在傳輸過程中被泄露。完整性：確保消息在傳輸?shù)倪^程中不被篡改。 ( 3 ) 身份認證和授權：身份認證：通過驗證用戶所擁有的可靠憑證來確 保其身份與消息中所聲稱的用戶身份一致，避免冒名者。憑證可以是口令、 x 5 0 9 數(shù)字證書或任何一種安全令牌。授權；用戶身份被驗證通過后，就可 根據(jù)訪問權限授予對資源的訪問權。 ( 4 ) 不可抵賴性：這在電子商務中是不可豁缺的1 。確保惡意發(fā)送方在 事后無法抵賴其創(chuàng)建并發(fā)送特定消息的事實，避免遭受惡意第三方如重放攻 擊等技術的襲擊。 ( 5 ) 消息安全中的靈活性：由于不同的用戶對w e b 服務有不同的訪問權 限，需要提供對s o a p 消息的細粒度保護，支持如部分加解密等特殊安全處 理。 這些問題雖然與國際標準化組織i s o 在網(wǎng)絡安全體系的設計標準中定義 的安全服務功能類似嘲，但在實質上還是有區(qū)別。 西南交通大學碩士研究生學位論文第5 頁 2 2w e b 服務所用的安全技術 w e b 服務是工作在應用層，而以前的安全技術和產品基本上是工作在網(wǎng) 絡層或傳輸層。w e b 服務經(jīng)常跨越不同系統(tǒng)和平臺，而以前安全問題的解決 基本是在一個平臺甚至一個系統(tǒng)上。現(xiàn)在已經(jīng)提出了一些技術，以使w e b 服 務更加安全。 2 2 1 傳統(tǒng)的w e b 安全技術 1 防火墻技術和i p 安全協(xié)議( i p s e c ) 屬于網(wǎng)絡級別的安全技術，根據(jù)策略和規(guī)則的設置，限制已知i p 訪問， 保護專用網(wǎng)絡不受外部網(wǎng)絡的入侵，但是w e b 服務結合使用 r r t p 協(xié)議與x m l ， 實現(xiàn)的是應用程序之間的相互通信，防火墻只能放行或濾掉所有的s o a p 消 息，其內容一般不會被檢查，因此w e b 服務能輕易穿越防火墻。防火墻技術 并不適用于應用級別的安全性。 2 安全套接字層( s e c u r i t ys o c k e tl a y e r 。s s l ) 屬于傳輸級別的安全技術，為目前業(yè)界現(xiàn)成的而且廣泛接受的傳輸層安 全機制。但只有在點對點的情況下才能在傳輸過程中提供消息完整性和機密 性；但w e b 服務所發(fā)送的s o a p 消息為端對端的消息傳遞，在到達最終目的 地或接收方之前一般要經(jīng)過一個或多個中介體( 如應用網(wǎng)關) 接收并處理， 而s s l 無法提供在中介體傳輸層以上的某一層之間的安全。因此，無法滿足 w e b 服務開發(fā)和使用的安全要求。 下面通過一個基本示例進行比較說明，當w e b 服務請求者通過w e b 客戶 端與w e b 服務器( 直接提供w e b 服務) 進行消息傳遞時，如圖2 一l 所示這 時為點對點的消息傳遞，w e b 客戶端與w e b 服務器之間可通過s s l 建立連接。 w e b 服務安全性可由s s l 提供。 圖2 - 1 點對點的消息傳遞 西南交通大學碩士研究生學位論文第6 頁 但當w e b 服務器本身不直接提供w e b 服務，而只作為一個中間層w e b 應 用程序，w e b 服務請求者所請求的w e b 服務是由其他應用程序提供時，由于 消息需要經(jīng)w e b 服務器( 中聞層w e b 應用程序) 處理后，才能再向目標w e b 服務傳遞，如圖2 2 所示，這時為端對端的消息傳遞，而s s l 僅能提供傳輸 層安全，因此，在中間層的應用層安全就無法提供。導致請求者與w e b 服務 提供者之間的秘密就可能在中間層w e b 應用程序中被泄漏。 ? w e b 客戶端fs s liw e b 服務器 s s l1 目標應用程序 i 請赭日囂日鼢服務l 圖2 - 2 端對端的消息傳遞 通常，將傳統(tǒng)安全技術作為w e b 服務的第一層保護，同時采用更高層的 安全技術來處理w e b 服務的安全需求。 2 2 2 目前所用的安全技術 w e b 服務所用的安全技術屬于應用級別的安全技術，提供端對端的消息 級安全。 所涉及的安全技術有： 1 基本密碼術 密碼術是所有安全體系結構的基礎，主要分兩類：對稱密碼術和非對稱 密碼術。對稱密碼術常用來加密批量消息數(shù)據(jù)f 2 】。由于非對稱密碼術在加解 密時需要進行復雜的計算，速度比對稱密碼術慢很多。所以常只用來加密很 少數(shù)量的信息，如一個d e s 對稱密鑰。然后再用該對稱密鑰來加密消息。 為了能運行非對稱算法，需要采用某種方法發(fā)布公鑰。般通過證書頒 發(fā)機構提供c a 服務，建立公鑰基本結構p k i ，為用戶提供數(shù)字證書用來證明 其身份。使用戶可以確信所使用的公鑰是與它的所有者相關聯(lián)的。證書可以 從可信的第三方獲得，也可以通過在公司內部建立本地可信的c a 服務器來提 供。 2 數(shù)字簽名 就是先應用密碼散列算法( 常用的有s i t a 算法和m d 5 算法) 對消息生成 西南交通大學碩士研究生學位論文第7 頁 散列值【6 】，再用數(shù)字簽名算法( 常用的有r s a 算法和d s a 算法) 對散列值實 現(xiàn)數(shù)字簽名。能有效地檢測消息是否被篡改。 3 x m l 加密技術 由w 3 c 規(guī)范清晰地、完整地定義了x m l 加密語法【1 9 1 ，并規(guī)定了加密整個 或部分x 札文檔的方法。 x m l 加密為加密數(shù)據(jù)和以標準瑚l 格式表示加密結果提供了一種標準的 方法。x m l 加密允許加密任何數(shù)據(jù)，可以是一個完整的x m l 文檔或一個x 札 文檔中的指定元素，也可以是從外部引用的任意非x m l 格式數(shù)據(jù)，或間接地 從外部引用加密的數(shù)據(jù)，并支持多重加密。 4 x 兒簽名技術 由w 3 c 定義，以x m l 模式的形式提供了x m l 簽名的語法和語義【5 8 】。用于 對以x m l 格式表示的數(shù)據(jù)進行數(shù)字簽名。描述了數(shù)字簽名的x m l 表示及計算、 驗證數(shù)字簽名的過程。 可以將x 虬簽名和) 。加密兩種技術結合在一起對一個) 。兒文檔進行操 作“”。這時兩種操作的順序就要注意。應用程序必須區(qū)別加密操作在簽名操 作前還是在簽名操作后完成。 2 3w e b 服務安全性規(guī)范 為解決w e b 服務在處理消息級別的安全問題，m i c r o s o f t 和其他業(yè)界企 業(yè)( 例如i b m 、b 隊) 一起制定了一組為實現(xiàn)豐富的和可互操作的通訊協(xié)議和 規(guī)范，通常稱作w s 一書規(guī)范【l 】，主要是在w e b 服務使用s o a p ( ) 0 札格式) 作 為消息傳輸協(xié)議的背景下，將x m l 簽名、x m l 加密和s a m l ( s e c u r i t y a s s e r t i o n m a r k u pl a n g u a g e ：安全聲明標記語言) ，組合起來以滿足w e b 服務安全需求 的一套規(guī)范。該規(guī)范與傳輸層無關，可以使用h t t p ，t c p 等協(xié)議，并通過只 使用和應用相關的協(xié)議和規(guī)范來實現(xiàn)可組合性。 這組規(guī)范主要包括消息安全性模型( w s - s e c u r i t y ) 、策略模型 ( w s p o l i c y ) 、信任模型( w s - t r u s t ) 和隱私權模型( w s - p r i v a c y ) 等。這 些初始規(guī)范結合在一起提供了一個基礎，在這個基礎上可以跨多個信任域來 建立安全的、可互操作的w e b 服務。如圖2 - 3 所示： 西南交通大學碩士研究生學位論文第8 頁 匿匿匿 圖2 - 3w s - * 規(guī)范層次結構 1 消息安全性模型( w s - s e c u r i t y ) w s s e c u r i t y 規(guī)范實際上是對s o a p 協(xié)議的擴展。規(guī)范利用了多種常見的、 現(xiàn)有的安全性標準和規(guī)范，本身并沒有提出新的加密算法或安全模型。通過 提供一個架構，將這些現(xiàn)有的技術注入到s o a p 消息中。使用戶可自由地將 w e b 服務協(xié)議、應用層協(xié)議與各種加密技術、安全模型結合起來，以實現(xiàn)w e b 服務環(huán)境下消息的完整性、保密性和消息驗證。 s o a p 規(guī)范本身沒有指定安全性功能，而是由s o a p 頭提供可擴展機制， 以擴展s o a p 消息使其可以適用于多種用途。因此可以通過對s o a p 頭元素的 可擴展性處理來實現(xiàn)安全性功能。在w s - s e c u r i t y 規(guī)范中據(jù)此定義了向s o a p 添加安全性的基本方法。通過定義一個用于攜帶安全性相關數(shù)據(jù)的s o a p 標 頭 元素來實現(xiàn)。 w s s e c u r i t y 還提供了三種主要機制： ( 1 ) 安全性令牌 包含由現(xiàn)有安全機制定義的安全性信息，形成令牌是為了傳遞的一致性 規(guī)范，使之能在所有層之間傳遞并統(tǒng)一識別。當對s o a p 消息進行加密或簽名 時，必須傳遞安全性令牌給接收者，以便于接收者對消息進行解密或驗證簽 名。同時安全性令牌可以傳送關于發(fā)送者的身份信息。 在這個標準機制中，安全性令牌被包含在s o a p 消息頭 元素 中，并以明文形式存在，需要使用消息完整性和消息機密性來保證其安全性。 w s s e c u r i t y 非常靈活，并支持多種安全性令牌。如：用戶名n 令令牌、x 5 0 9 證書令牌和s a m l 令牌。 ( 2 ) 消息完整性 使用x m l 簽名規(guī)范來實現(xiàn)該功能。支持多種簽名算法、多種簽名格式。 ( 3 ) 消息機密性 通過同時使用x m l 加密和把安全性令牌作為s o a p 消息的一部分來實現(xiàn)。 西南交通大學碩士研究生學位論文第9 頁 加密機制支持多種加密算法、多種加密格式。加密也可以引用一個安全性令 牌。 上述三種機制可以單獨使用( 例如，傳輸安全性令牌) ，也可以組合使用， 以實現(xiàn)不同強度的安全性。( 例如，對消息進行簽名和加密，并提供與簽名 加密密鑰相關的安全性令牌) 。 2 策略模型( w s p o l i c y ) 描述了中介體和端點必須滿足的安全策略。 3 信任模型( w s - t r u s t ) 描述了使w e b 服務能夠安全地進行互操作的信任模型。 4 隱私權模型( w s p r i v a c y ) 描述了w e b 服務中如何定義個人隱私權策略。 5 安全對話模型( w s - s e c u r e c o n v e r a t i o n ) 描述如何管理和驗證各方之間相互交換的消息。 6 聯(lián)合模型( w s f e d e r a t i o n ) 描述如何管理和協(xié)調異類環(huán)境中的信任關系。 7 授權模型( w s a u t h o r i z a t i o n ) 。 定義了w e b 服務管理驗證數(shù)據(jù)和授權策略的方法，在授權格式和授權語 言上是靈活的且可擴展的。 安全模型是在擴展的s o a p 協(xié)議支持的傳輸層的基礎上引入w e b 服務安全 層。w e b 服務安全層中的w s - s e c u r i t y 協(xié)議已經(jīng)定稿，而上面的兩層協(xié)議至 今為止還未確定下來。w s s e c u r i t y 協(xié)議是構成整個w e b 服務安全層的基礎。 滿足了w s - s e c u r i t y 協(xié)議也就構成了最初的w e b 服務安全層。w s s e c u r i t y 協(xié)議與其上層的1 | s p o l i c y 、w s t r u s t 和w s p r i v a c y 協(xié)議構成了可信環(huán)境 中的w e b 服務安全層。上述四個協(xié)議加上其上層的三個協(xié)議構成了不可信環(huán) 境中的w e b 服務安全層，也就是整個w e b 服務安全層。 2 4 本章小結 本章討論了在w e b 服務安全架構的設計中使用到的幾個關鍵技術及 w s 規(guī)范，為下一步的設計打下了理論基礎。 西南交通大學碩士研究生學位論文第10 頁 第3 章w s e 3 0 策略框架技術分析 本章對w s e 3 0 策略框架技術進行分析，該技術是目前比較前沿的研究 技術，其中的概念、方法及處理流程為本論文中解決方案的設計和實現(xiàn)提供 了重要的參考價值。 3 1w s e 的發(fā)展 如果沒有良好的安全性，w e b 服務就不能發(fā)揮它的作用。m i c r o s o f t 和 i b m 以及其他公司共同制定了一組提供w e b 服務安全性的規(guī)范，其中最重要 的是w s - s e c u r i t y 。現(xiàn)在，w s - s e c u r i t y 規(guī)范系列在很大程度上已日臻完善 【2 5 】。m i c r o s o f t 發(fā)布w e b 服務安全性開發(fā)工具包的3 o 版( w e bs e r v i c e s e n h a n c e m e n t s 又名w s e ) ，主要目標就是為開發(fā)人員提供w s 一宰規(guī)范的第一 個完整實現(xiàn)，用來開發(fā)符合w s s e c u r i t y 規(guī)范的消息級安全性解決方案。 作為一個用最新w e bs e r v i c e s 協(xié)議來建立w e bs e r v i c e s 的n e t 類庫。 其目的不是去改變規(guī)范，而是因為w e b 服務已應用到許多開發(fā)領域，它必須 擴充v i s u a ls t u d i o 中現(xiàn)有的w e b 服務支持，解決、簡化開發(fā)人員所面臨的 問題。 3 2w s e 所支持的安全特性 w s e 要保護w e b 服務安全，其中一個重要的內容就是要使用w s - s e c u r i t y 等規(guī)范實現(xiàn)s o a p 消息安全。主要分為以下三個方面： 1 安全憑證 提供端對端的身份認證。所使用的機制在w s s e c u r i t y 規(guī)范中定義，就 是在s o a p 消息內放置安全憑證?？蛻舳藦目尚诺谌将@得安全憑證。通過支 持w s - t r u s t ，w s - s e c u r e c o n v e r s a t i o n ，和基于x 札令牌的w s s e c u r i t y p r o f i l e 規(guī)范，w s e3 0 擴展了給s o a p 消息添加安全憑證的概念。 2 完整性 通過對s o a p 消息進行數(shù)字簽名以及接收方驗證該簽名，讓s o a p 消息的 西南交通大學碩士研究生學位論文第11 頁 接收方可以檢查s o a p 消息在傳遞過程中是否被修改。w s - s e c u r i t y 標準要求 數(shù)字簽名遵循x m l 數(shù)字簽名標準。該標準支持對s o a p 消息的選定部分進行 簽名。 3 機密性 通過加密s o a p 消息，使消息發(fā)送方可以確保s o a p 消息內容僅對預定的 接收方可見。w s s e c u r i t y 要求對s o a p 消息的加密遵循x 虬加密標準，該 標準支持對x m l 文檔的選定元素進行加密。 3 3w s e 3 0 的策略框架 在w s e 3 0 中，實現(xiàn)所支持的安全特性是基于可擴展的w s e3 0 策略框 架。w s e 策略框架提供了一種機制，以描述w e b 服務需要執(zhí)行的約束和要求 【3 0 】。 w s e3 0 使用策略來創(chuàng)建整個管道。如圖3 - 1 所示，一個策略包含了一 個有序的策略斷言列表【5 5 1 。每個策略斷言定義一個對w e b 服務的要求f 2 3 l 。 并在策略編譯過程中，由每個策略斷言生成的篩選器負責對進入和離開終結 點的s o a p 消息進行截獲和處理，來執(zhí)行對w e b 服務的要求。策略斷言生成 篩選器遵循策略中斷言的順序。而管道表示這個輸入篩選器和輸出篩選器的 集合 圖3 一lw s e 3 0 輸出管道中的策略 該框架通過使策略斷言和管道篩選器成為一體，提供了一個用于配置和 擴展w s e 行為的統(tǒng)一模型。 西南交通大學碩士研究生學位論文第1 2 頁 3 3 1 相關概念 1 策略 開發(fā)者通過在一個x m l 格式的配置文件內對請求和響應s o a p 消息公開聲 明需求，這些需求被共同看作為一個策略，所有策略組成一組被命名的策略 集，來對應包括s o a p 消息交換所需的安全需求，以及其他需求，如跟蹤。 該配置文件被稱為策略文件。在應用中，可由w e b 服務提供方統(tǒng)- g ；j 建 對應w e b 服務端和客戶端的策略文件，并分別提供給兩端使用，從而建立統(tǒng) 一的安全通道。 2 ，策略斷言 每個被命名策略包含了一個有序的策略斷言集合。策略斷言描述了為在 客戶端和w e b 服務端之間的s o a p 消息交換所定義的一組需求。例如，個策 略斷言可指定一種加密s o a p 消息的安全令牌類型。在初始化服務或服務代理 時，w s e3 0 會檢查提供的策略，并實例化各策略斷言。 3 篩選器 由策略斷言遵循在策略中的順序生成，負責對進入和離開端點的s o a p 消息進行截獲和處理，來執(zhí)行對w e b 服務的需求。 在策略編譯過程中，每個策略斷言最多可以生成四個篩選器。每個篩選 器在不同的請求響應消息交換階段執(zhí)行。兩個不同的篩選器處理客戶端上的 請求消息和響應消息，兩個不同的篩選器處理服務端上的請求消息和響應消 息該簡單體系結構如圖3 - 2 所示： l 輸出篩選器 客礦 0 l 輸入篩選器 圖3 - 2w s e 篩選器簡單體系結構 通常，篩選器只對發(fā)送和接收的s o a p 消息的頭部進行處理。根據(jù)功能的 不同，篩選器分為兩種：輸出篩選器和輸入篩選器。輸出篩選器負責根據(jù)需 求對客戶端發(fā)送的請求消息或服務端發(fā)送的響應消息，寫入相應的s o a p 消息 頭；而輸入篩選器負責對服務端接收的請求消息或客戶端接收的響應消息讀 西南交通大學碩士研究生學位論文第13 頁 取s o a p 消息頭并檢查其有效性。此外，篩選器還可以根據(jù)需要對消息體進行 處理。例如，加密發(fā)送的s o a p 消息體和解密接收的s o a p 消息體消息。 4 管道 篩選器的集合則表示為管道。如果策略沒有被提供，則創(chuàng)建一個默認管 道。策略和策略斷言作為部署時概念分別對應管道和篩選器運行時概念。 由于策略由一個或多個有序策略斷言組成，并且每個斷言都會在管道中 插入對在客戶端和w e b 服務端之間交換的s o a p 消息執(zhí)行處理的一套輸出和輸 入篩選器。因此，通過策略內策略斷言的順序，可以控制管道中篩選器在運 行時的構建順序，從而控制運行時應用或執(zhí)行有關要求的順序。 在消息實際到達w e b 服務方法之前，在管道中執(zhí)行安全功能，使應用程 序開發(fā)人員能方便地實現(xiàn)安全。這有助于在所有w e b 服務方法中應用一致的 安全策略。 3 3 2 策略對象模型 通過闡述策略框架背后的對象模型有助于加深對上述概念的了解。 1 策略斷言相關類 主要有以下一些： p o li c y a s s e r t i o n ：是策略斷言相關類的抽象基類。 m u t u a l c e r t i f i c a t e l i a s s e r t i o n ：為內置安全斷言類的一種。 s e c u r i t y p o l i c y a s s e r t i o n ：為自定義安全斷言類。 每個策略斷言類中，除了構造函數(shù)和4 個用于創(chuàng)建s o a p f i l t e r 對象的 方法外，主要包括r e a d x m l 方法和g e t e x t e n s i o n s 方法。 r e a d x m l 方法：主要用于讀取策略文件中與該策略斷言相關的x m l 元素。 對于內置安全斷言或從中繼承的自定義斷言，由于本身會自行進行讀取，所 以不需要重載該方法，對于沒有子元素的自定義斷言因為沒有內容，也不需 要重載，而對于不能自動讀取，又有子元素的自定義斷言就需要重載該方法 來分析處理自定義的斷言元素及其中內容 g e t e x t e n s i o n s 方法：實現(xiàn)獲取在策略文件中被注冊的策略擴展集。 2 篩選器相關類 篩選器的行為由策略斷言定義，并且是有序的。每個斷言對應兩組篩選 器，四個篩選過程。主要有以下一些： 西南交通大學碩士研究生學位論文第1 4 頁 s o a p f i l t e r ：是一個般類，為運行時類。負責處理客戶端或w e b 服務 端上的請求或響應s o a p 消息。 r e c e i v e s e c u r i t y f i l t e r ：輸入安全篩選器類，專門負責接收時對s o a p 消息的安全處理。 s e n d s e c u r i t y f i l t e r ：輸出安全篩選器類，專門負責發(fā)送時對s 0 a p 消息 的安全處理。 s o a p f i l t e r r e s u l t ：保存一個篩選器處理后的s o a p 消息的數(shù)據(jù)，并提供 給下一個篩選器處理。 3 p o l i c y 類 包含p o l i c y a s s e r t i o n 類，充當創(chuàng)建客戶端管道或服務管道的工廠。 4 p i p e l i n e 類 代表已排序的s o a p f i l t e r 對象集合。 3 3 3w s e 篩選器的處理過程 w s e 篩選器處理鏈已經(jīng)集成到帶w s e 的s o a p 通信中，并且是a s p n e t w e b 服務的基本結構。其處理過程描述如下： 1 與w e bs e r v i c e 代理的集成( 客戶端一方) w s e 輸入和輸出篩選器通過一個名為w e b s e r v i c e s c l i e n t p r o t o c o l 的代 理基類提供給w e bs e r v i c e s 客戶端口】。 ( 1 ) 輸出篩選器的處理過程 通過w e b r e q u e s t 類完成，w e b r e q u e s t 實例對每一個準備發(fā)送的s o a p 請 求信息進行分析，生成s o a p e n v e l o p e 類的一個實例，w e b r e q u e s t 類有一個 屬性類s o a p c o n t e x t ，負責存放對s o a p 消息的特定處理需求( 如：加密、簽 名、數(shù)字證書與時問戳等) 。通過策略中的策略斷言的控制，輸出篩選器的處 理鏈依次傳遞s o a p e n v e l o p e ，并由各個輸出篩選器按順序根據(jù)s o a p c o n t e x t 類實例對請求信息進行處理，形成特定的s o a p 消息頭，最終形成符合需求的 s o a p 消息并發(fā)送。如圖3 3 所示： 西南交通大學碩士研究生學位論文第15 頁 閣圜書 黲一巍 。n e t w o 倀 卜。嘏；凜 女警赫 圖3 - 3 輸出篩選器的處理過程 ( 2 ) 輸入篩選器的處理過程 通過w e b r e s p o n s e 類完成，w e b r e s p o n s e 類對s o a p 消息的處理與 w e b r e q u e s t 類相反。它將客戶端收到的s o a p 響應消息進行解析，形成 s o a p e n v e l o p e 類的一個實例，然后通過輸入篩選器處理鏈依次傳遞。由每個 輸入篩選器有序進行消息頭的有效性驗證和消息體的處理( 例如解密) 。與 w e b r e q u e s t 一樣，這套篩選器也由與s o a p 請求相關聯(lián)的策略定義。 w e b r e s p o n s e 類也有一個屬性類s o a p c o n t e x t ，在處理特定的s o a p 消息頭時， 相應地會將特定設置( 加密、簽名、數(shù)字證書與時間戳等) 存放在s o a p c o n t e x t 里。最終一個基本的s o a p 消息將傳送給客戶端。如圖3 4 所示： 一”4 rt ”一“飛 r 卜 用 蓬閽 l s o a p s a 一 戶 矧理篩選 一義篩 代 埝l 主生j 唑黜 悟 碼 圖3 q 輸入篩選器的處理過程 2 與w e bs e r v i c e s 的集成( 服務端一邊) 在服務端也有一套和客戶端功能相似的輸入輸出篩選器，通過服務器一 邊的s o a p 協(xié)議工廠類w s e p r o t o c o l f a c t o r y 提供給a s p n e tw e b 服務。 w s e p r o t o c o l f a c t o r y 類負責截獲發(fā)送給w e b 應用程序中w e b 服務的s o a p 消 息，處理符合w s 一 規(guī)范的s o a p 消息頭。確保w e b 服務的方法被調用時，w s e 篩選器能處理與服務端交互的s o a p 消息。 西南交通大學碩士研究生學位論文第16 頁 3 3 4 安全會話 當客戶端需要與w e b 服務端傳遞大量的s o a p 消息時，則在兩者之間建立 安全會話是非常有用的。首先由客戶端向w e b 服務端請求安全會話令牌 ( s e c u r ec o n v e r s a t i o nt o k e n ，s c t ) ，而由w e b 服務