Web服務安全代理設計與實現(xiàn).pdf

1、現(xiàn)有的Web應用安全方案通常是建立在傳輸層安全之上,采用諸如SSL/TLS,IPSec等技術,在一個會話期間保障數(shù)據(jù)安全,提供點對點(point-to-point)的安全保護.傳輸層安全可以作為第一層保護,此外,Web服務還需要一些傳輸層不能提供的附加安全,如Web服務需要持續(xù)的,端對端(end-to-end)數(shù)據(jù)機密性和完整性,客戶授權和有效信任鏈,這種類型的安全被稱作消息層安全或應用層安全,它的主要優(yōu)勢體現(xiàn)在:·如果Web應用程序依

2、賴多步業(yè)務處理,或者在Internet和你的機器之間存在多臺機器(如交換機或路由器),在消息傳送的各個步驟之間,或從一臺機器到另一臺機器,消息層安全能夠保證數(shù)據(jù)的完整性和機密性.·消息層安全能夠根據(jù)客戶的授權信息,為客戶提供適當?shù)膽?·消息層安全提供一種機制,能夠確保消息在收取和處理過程中不被改變.·消息層安全提供了更好的控制粒度,可以有選擇的加密部分信息.·消息層安全更加靈活,可以運行在任何傳輸協(xié)議之上.通常Web服務應用會包含處理

3、消息安全的專用模塊.此時,安全模塊分散在多個協(xié)作的應用系統(tǒng)中,可能彼此并不兼容.當企業(yè)之間進行聯(lián)合時會增加安全系統(tǒng)的復雜性.論文工作力求提取企業(yè)系統(tǒng)需要考慮的Web服務安全問題,抽象成一個Web服務安全代理(Web Service Security Proxy,WSSP),以集中管理Web服務交互過程中與XML消息相關的安全工作,包括數(shù)字簽名、加密、驗證等.在實現(xiàn)手段上利用了現(xiàn)有的安全技術,如:XML簽名,XML加密解密,PKI等.論文

4、工作分為理論分析與實驗兩個部分.在傳統(tǒng)計算機安全理論的基礎上,重點研究了網(wǎng)絡環(huán)境中的安全問題,特別是HTTP協(xié)議之上的應用層安全.歸納總結了Web服務面臨的安全問題及采用XML之后產生的新的安全問題,并提出了一套技術上可行的解決方案.實驗工作選擇了多個企業(yè)通過Web服務合作的應用情景,研究了現(xiàn)有的安全機制,在此基礎上進行了改進.本人負責前期三個月的預研和設計工作,解決了多數(shù)技術難題,提出了完整的實現(xiàn)方案;在后期的3個月開發(fā)階段,本人負責