Web服务安全风险评估研究.pdf

《Web服务安全风险评估研究.pdf》由会员分享，可在线阅读，更多相关《Web服务安全风险评估研究.pdf（72页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、太原理工大学硕士学位论文Web服务安全风险评估研究姓名：庞建京申请学位级别：硕士专业：计算机软件与理论指导教师：彭新光20090501太原理工大学硕士学位论文-I-Web服务安全风险评估研究 摘 要 Web服务是近年提出的一种新的面向Web的分布应用开发与集成框架，它基于面向服务的体系结构，采用Internet通信协议和XML编码传输消息，具有系统平台无关、开发语言无关、松散耦合以及可伸缩等优点，具有极大的发展与应用潜力。尽管Web服务有许多优点，但安全性比较差是其主要缺点，安全性问题已经逐渐引起人们的重视。然而单靠技术不可能从根本上解决Web服务的安全问题，Web服务安全更应从系统工程的角度

2、来看待。而在系统工程中，风险评估占有重要地位，它是Web服务安全的基础和前提，因此，对Web服务进行安全风险评估是十分必要的。本文分析了web服务的安全技术和web服务安全规范，在详细研究信息安全风险评估相关理论和技术的基础上，对Web服务安全风险评估进行了有益的探索，设计并实现了一个可信的Web服务安全风险评估系统。该评估系统主要从资产评估、脆弱性评估、威胁性评估三个模块展开，用户通过进行资产识别完成资产评估模块；通过完成问卷调查来实现威胁性评估模块；脆弱性评估模块则通过用户在Nessus Client设置扫描规则，由系统调用Nessus Server对目标主机进行扫描，然后将扫描结果进行分

3、析后放入数据库。最后评估系统根据各个模块评估结果算出最后的风险值，并给出建议和改进措施。最后本文介绍了实验的环境、过程和结果分析。实验结果表明，Web服务安全风险评估系统给出了目标系统的风险等级，实现了预期的设计目标。应用该工具进行风险评估较好地满足了风险评估工具发展的新要求，为用户下一步的Web服务安全风险管理工作提供了科学的有力支持。关键词：Web服务，Web服务安全，风险评估，Nessus 太原理工大学硕士学位论文-III-WEB SERVICES SECURITY RISK ASSESSMENT ABSTRACT Web service raised in recent years i

4、s a new integrated frame for the distribution,application and exploitation of the web.Orienting to its service system,web service adopts the Internet communication protocols and XML code transmission message,with the advantages of system platform independent,exploitation langrage independent,loosed

5、coupling and extensibility,etc.It has a great potential for development and application in future.Although there are many advantages in web service,its low security still came to be the main disadvantage,which has aroused peoples attention day and day.However,by technology alone,the security problem

6、 can not be solved from the root;much more,it should be treated as a problem of system project,in which risk assessment is of high importance.As the foundation and premise of web service security,it is essential to perform security risk assessment on web service.In this paper,a useful research on th

7、e security risk assessment of web service was done and a reliable web service security assessment system was realized,basing on a careful study of related theory and technology and a precise analysis of the security technology and criterion of web service.This assessment system has three modules,nam

8、ely,the asset evaluation module,the vulnerability evaluation module and the threaten evaluation module.Asset evaluation is done by user through asset recognition;threaten evaluation is achieved by questionnaire;vulnerability evaluation is performed in such a way that firstly,the user sets scanning f

9、ormula in the Nessus Client;secondly the system calls the Nessus Server to scan the target main frame and to analysis the scanning result before putting it into the database;finally,the evaluation system will work out the final risk value based on the evaluation value of each module,太原理工大学硕士学位论文-IV-

10、and give the user improvement advices.Finally the environment,process and result analysis of this experiment is introduced in this paper.The result indicates that this security risk evaluation system has provided the risk grades of the target system and has achieved the expected goal.Using this tool

11、 in risk evaluation can preferably meet the requirement for the development of risk evaluation tools,and will provide the user with a scientific and strong support to his next work of web service security risk administration.With the maturity of Web services technology and the proliferation of the e

12、ntire network,Web services security issues have drawn increasing attention.The technology can not fundamentally solve the problem of the security of Web services alone.Web services security should be treated from the perspective of project,and risk assessment occupies an important position in this p

13、roject,which is the foundation and precondition of Web services security.Therefore,Web services security risk assessment study is very necessary.KEY WORDS:web services,web services security,risk assessment,Nessus 太原理工大学硕士学位论文-1-第一章 引言 1.1 课题背景 1.1.1 Web服务安全现状 目前，Web服务安全采用的是已有的Internet 和WWW的一些安全策略，例如

14、数字签名(digital signature)、XML加密(encryption)技术和标准、访问控制(access control)技术等，然而这些都是静态的措施，并且其本身和Web服务之间就存在技术上的鸿沟。因此，Web服务的安全问题没有得到根本的解决。Web服务是动态变化的，并且不同应用背景的服务所需要的安全措施可能完全不同。现有的一些安全技术只在一定程度上解决了特定系统的安全问题，在Web服务的集成中并不能发挥令人满意的作用 1。目前Web服务中采用的安全技术主要有以下几种：(1)在客户端建立用户信任机制，执行服务时将相应的认证信息导入服务器；(2)在SOAP消息头中加入针对特定应用的

15、安全标识(token)，则可从中提取认证、信任消息；(3)在某个特定的应用领域内，对服务提供者的内部敏感数据进行加密，当其收到服务请求后直接在加了密的数据上进行相应的计算和处理，计算结果解密后返回给服务请求者；(4)从服务请求者的角度看，请求者需要提交必要的输入数据。考虑到客户信息的安全性，客户将需要提交的服务请求信息进行分块，每次仅提交一个输入数据块，返回的结果对应于该请求，经过多次服务请求，在结果返回之后，由服务请求者进行各次服务执行结果的集成，从一定程度上保证了客户信息的安全。综上，Web服务安全架构的策略对Web服务系统的设计有较高的要求，并且，Web服务的执行面临着Web服务基本模块

16、与安全模块间的通信、安全模块中的服务信息随Web服务的一致更新等问题，适用于较大规模的Web服务应用，具有高可靠性，但通用性较差；服务加密的方法则侧重对服务本身的管理，可以利用或改进现有的数据加密算法，这种方法可应用到各种Web服务系统中，具有较好的适用性和较低的复杂度，但其可靠性较差1。1.1.2 国内外研究现状 针对Web服务的安全需求，国内外一些标准化组织公司和社会团体都在进行各自的太原理工大学硕士学位论文-2-研究。W3C（The World Wide Web Consortium）已经制定了一系列的安全规范和标准用于确保信息传递的安全性。其中最重要的有XML加密规范和XML签名规范,

17、前者定义了一种方法用来加密和解密XML文档的全部内容或者部分内容，后者实现了对文档特定部分的摘要和数字签名。另外W3C的另一个工作组还制定了一个密钥管理规范，用于让用户获取加密密钥信息（例如机密密钥证书等）并允许用户进行密钥管理，例如密钥的注册撤销等等。另一个致力于研究和制定安全规范的团体是结构化信息标准化促进组织OASIS（Organization for the Advancement of Structured Information Standards）。该组织制定SAML语言（Secutity Assertion Markup Language）,为交换身份信息提供了一个框架。另一个

18、著名的标准是XACML（OASIS Access Control MarkupLanguage）,为执行特定操作制定了一个权限集合。WS-I（Web Service Interaction Interoperability Organization）,是由微软IBM、VeriSign等Web服务投资公司创立，该组织于2002年4月推出了一个Web服务安全白皮书WS-Security。WS-Security描述了为解决Web服务环境中的安全性问题而提议的策略规范，提供了消息完整性和机密性功能。该架构定义了添加到Web服务中所必需的基本元素，并且提供了把安全性令牌关联到SOAP消息的方法。WS-S

19、ecurity为正在提议过程中的Web服务安全性模型打下了基础。随着时间的推移，除安全性以外，这个组织还将引入其它规范来解决安全性策略信任隐私权和授权。IBM Microsoft和VeriSign已经提议把WS-Security作为一种解决Web服务安全性缺陷的方法。国内对Web服务的安全性研究还处于研究和学习阶段，研究的成果主要是在安全标准的应用方面3。1.1.3 风险评估现状 风险评估（Risk Assessment）是指针对确立的风险管理对象所面临的风险进行识别、分析和评价，即根据风险管理对象的实际环境对它的脆弱性、威胁性进行识别，从而确认其安全风险及其大小2。风险评估最早应用于处于相对

20、独立且严密控制环境下的大型计算机和数据中心。随着个人计算机逐步替代终端系统，以及国际互联网的发展和普及，计算机安全问题日益增加。传统的硬件解决之道，如安装防火墙或自动审计日志对高级管理者来说存在判断困难的问题，并且某些配置并不能有效防止信息泄漏和安全事故的发生。科学、合理的太原理工大学硕士学位论文-3-风险评估为信息安全提供了一种比较根本、有效的解决途径。风险评估是一项费时、费力的工作，需要专业人员和专业知识的支持。为使风险评估能在各行各业中广泛开展，风险评估工具成为不可或缺的技术支持手段。风险评估工具不仅把技术人员从繁杂的资产统计、风险评估过程中解脱出来，还可以完成一些人力无法完成的工作，如

21、网络或主机中漏洞的搜寻、定位，在历史数据积累和专家知识提炼等方面具有巨大优势，可以极大减轻技术人员的负担，为各种形式的风险评估提供了有力支持。目前，许多组织根据安全管理指南和标准开发了风险评估工具，为风险评估工作的开展提供了便利条件，但风险评估工具的完善还需要很长一段时间。综观目前各风险评估工具的状况，还存在不少问题，如工具运用的结果如何能够比较准确地反映客观实质、如何有效度量、如何综合和协调工具的使用等。我国在风险评估工具的开发方面尚处于萌芽阶段，必须大力加强风险评估基础理论的研究力度，积极开发具有自主知识产权的风险评估工具5。1.1.4 风险评估发展趋势 纵观风险评估的发展历程，我们认为，

22、未来在风险评估方面需着重在以下方面展开工作：（1）风险评估制度与体系的建立与完善。通过以上对国内外风险评估分析可以看到，在宏观上，风险评估需要一定的依据与规范模式。（2）风险评估方法与技术手段的研究。风险评估的实施离不开具体的评估方法与技术手段的支持，正确、合理的方法和技术手段的设计与选择是风险评估准确性与合理性的基础保证。同时，评估过程离不开一定的技术和手段，为了准确、迅速地开展信息安全评估工作，需要开发高效、实用的评估工具。（3）风险评估与风险管理的针对性研究。风险评估的目的是为了进行风险的管理和控制，因此，对于评估结果进行管理决策是安全保障的重要内容。根据风险评估结果并采用折中原则建立安

23、全管理体系是风险评估研究工作的最终目的。太原理工大学硕士学位论文-4-1.2 课题的提出 本课题的研究目的就是用风险评估这个新兴的方法学、基础理论和技术来促进互联网上最主要的应用之一Web服务的安全问题的解决，它有着重要理论意义和实践意义。（1）对Web服务进行安全风险评估是风险评估的应用和扩展。风险评估的理论与方法在其他领域已逐渐发展成一套比较完整的手段和工具，但在信息安全领域，由于其特殊性，仍存在许多困扰管理者和研究人员的问题。我国信息系统的风险评估还处于起步阶段，因此需要从不同的方面和角度来完善风险评估。此课题的研究，可以从Web服务角度来进一步探索和完善风险评估的理论和工作。（2）对W

24、eb服务进行安全风险评估可以科学、高效地解决Web服务不断涌现的安全问题。目前Web服务安全中有很多问题是传统的网络安全技术和安全产品无法解决的，通过对Web服务进行安全风险评估，可以了解Web服务目前与未来的风险所在,从而寻求到一个最佳平衡点,增强Web服务安全可信度。此课题的研究，运用风险评估的方法可以更好地解决Web服务安全问题。1.3 研究内容 风险评估现已被越来越多的人接受，认为这是一种实现和保证安全的有效且有价值的管理办法。从目前趋势来看，安全风险评估及其分析工具的开发研究将越来越多地从定性向定量转变。本文针对Web服务研究Web服务安全风险评估系统，主要研究工作如下：（1）研究建

25、立内容丰富的风险评估信息库，包括资产及资产影响库、脆弱点库，威胁性调查问卷库，涵盖多类风险要素属性。（2）研究Web服务安全风险评估总体方案,提出针对Web服务安全风险评估特点的风险评估流程和风险评估算法。（3）研究Web服务安全技术和Web服务安全规范，形成科学合理的调查问卷，通过问卷调查法对Web服务风险要素属性进行赋值，实现定性与定量两种方法的统一。（4）研究漏洞扫描工具Nessus，并对扫描结果进行进一步的分析和模糊处理，客观反映系统的安全状态。（5）根据研究方案编程，设计实现Web服务安全风险评估系统,并实验测试Web服务安全风险评估系统的可行性。太原理工大学硕士学位论文-5-1.4

26、 论文章节安排 本文的主要内容安排如下：第一章介绍了Web服务安全现状和国内外研究现状；讲述了风险评估现状和发展趋势；说明了Web服务安全风险评估研究的目的和意义。第二章介绍了Web服务的定义、Web服务协议栈及其关键技术；对Web服务的安全需求和安全技术进行了研究分析；介绍了Web服务安全规范；详细分析了Web服务主要安全规范和WS-Security规范。第三章介绍了风险评估的相关概念，风险评估的必要性和风险评估原则；从资产、脆弱点、威胁性三个方面对风险评估流程和算法进行研究分析；最后详细介绍了风险评估的常用方法并对各种方法进行了比较。第四章在前两章分析介绍Web服务安全和风险评估相关理论的

27、基础上，对 Web服务安全风险评估总体方案进行了设计。提出Web服务安全风险评估系统的设计目标、体系结构和评估流程；介绍了Web服务安全风险评估总体方案的数据库结构模型；最后阐述了风险值的算法。第五章主要是根据第四章对系统的分析和设计，依据前面的设计结果用软件的形式来实现Web服务安全风险评估系统。详细指出了此系统的开发环境和编程工具，并从风险评估系统各个模块详细叙述了其软件实现，最后通过实验分析实验结果并证明Web服务安全风险评估系统的有效性。第六章对本文的工作进行了总结，并对未来的研究发展进行了展望。太原理工大学硕士学位论文-7-第二章 Web服务安全机制 本章介绍了Web服务的定义、We

28、b服务协议栈及其关键技术；对Web服务的安全需求和安全技术进行了研究分析；介绍了Web服务安全规范；详细分析了Web服务主要安全规范和WS-Security规范。2.1 Web服务概述 2.1.1 Web服务的定义 以下是不同组织对Web服务的定义：定义一：Web服务是自包含的、模块化的应用程序，它可以在网络（通常为Web）中被描述、发布、查找和调用。定义二：Web服务是基于网络的分布式的模块化组件，它执行特定的任务，遵守具体的技术规范。这些规范使得Web服务能与其它兼容的组件进行互操作。定义三：所谓Web服务，它是指企业发布的完成其特别商务需求的在线应用服务，其它公司或应用软件能够通过Int

29、ernet来访问并使用这项应用服务。（UDDI规范2.0）从以上定义可以看出Web服务有两层含义：其一是指封装成单个实体并发布到网络上的功能实体；其二是指功能集合体被调用后所提供的服务。简单地讲，Web服务是一个URL（Uniform Resource Identifier）资源，客户端可以通过编程方式请求得到它的服务，而不需要知道所请求的服务是怎样实现的，这一点与传统的分布式组件对象模型不同6。Web服务的出现，解决了不同平台和异构环境交互的难题，为软件应用系统集成，网格计算等技术的发展注入了活力。2.1.2 Web服务的体系架构 文献12 13从面向应用的角度，描述了Web服务的基本架构。

30、该架构由3个参与者和3个基本操作构成。3个参与者分别是服务提供者（Service Provider）、服务请求者（Service Requestor）和服务代理（Service Agent），而3个基本操作分别为发布（Publish）、查找（Find）和绑定（Binding）。Web服务基本架构如图2-1所示。服务提供者将其服务发布到服务代理的一个目录上；当服务请求者需要调用该服务时，他首先利用服务代理提供的目录去搜索该服务，得到如何调用该服务的信息；然后根据这些信息去调用服务提供太原理工大学硕士学位论文-8-者发布的服务。当服务请求者从服务代理得到调用所需服务的信息之后，通信是在服务请求者和

31、提供者之间直接进行，而无须经过服务代理。Web服务体系使用一系列标准和协议实现相关的功能，例如：使用WSDL（Web Service Description Language，Web服务描述语言）来描述服务，使用UDDI（Universal Description Discovery and Integration，通用描述发现和集成）来发布、查找服务，而SOAP（Simple Object Access Protocol，简单对象访问协议）被用来执行服务调用14。在Web服务架构的各模块间以及模块内部，消息以XML格式传递。其原因在于，以XML格式表示的消息易于阅读和理解，并且XML文档具有

32、跨平台性和松散耦合的结构特点；从商务应用的角度看，从工作流到查询数据库，直到同贸易伙伴交换信息，XML格式表示的消息封装了词汇表，可以同时在行业组织内部和外部使用；它还有较好的弹性和可扩展性，允许使用附加的信息，并且XML标签提供了可访问的进程入口，从而可强化商业规则，并且增强了互操作性，为信息的自动处理提供了可能1。2.1.3 Web服务协议栈 Web服务技术核心的基础是一组基于XML的开放标准协议，这组协议之间具有一定的层次关系，可以用协议栈描述。图2-2描述了Web服务协议栈的层次结构：每一个横条表示协议栈的一个层次，上面的层次是建立在下面各层所提供功能的基础之上，垂直条表示协议栈的各层

33、都需实施的要求。左边的文字表示协议栈各层现有的技术标准。图 2-1 Web 服务体系架构 Figure 2-1 Architecture of Web services Service provider（服务）Service requester（客户）Service agent（描述）BindFind Publish 太原理工大学硕士学位论文-9-网络层提供传输功能，XML消息层提供远程调用标准，服务描述层提供接口描述标准，这三层是Web服务平台的基础。目前绝大多数Web服务，把HTTP作为基本的网络传输协议，SOAP作为XML消息机制和WSDL作为服务描述标准。服务发现和服务发布是紧密联系的

34、，UDDI提供了一个统一的服务描述、发布、发现和集成机制。组合Web服务可以生成新的更高层的Web服务，服务流可以组合商业过程中各个相当独立的Web服务实现商业流程。为了适用于现实的B2B电子商务环境，Web服务必须支持安全、管理和服务质量等要求8 34。2.1.4 Web服务关键技术 XML是所有Web服务标准的基础，它是W3C认可的可用于结构化数据和内容以及交换电子文档的标准数据格式。XML广泛用作标记语言的事实标准，通过Internet在应用、系统和设备之间交换信息。在Web服务架构模型中，XML起着至关重要的作用，它是各种通信的通用格式，表示复杂的数据结构。SOAP是在分布式环境中通过

35、XML交换信息的一种简单协议。SOAP完全继承了XML 的 开 放 性 和 描 述 可 扩 展 性。SOAP 使 用 基 于 TCP/IP 的 应 用 层 协 议 如HTTP/SMTP/FTP等可以与现有的通信技术最大程度地兼容。SOAP为使用XML在松散分布的环境中对等地交换结构化信息提供了简单的机制。SOAP本身并不定义任何应用语义如编程模型或特定语义。一个完整的SOAP消息包括一个SOAP信封和零个或多个附件，其中SOAP信封包括报头项和SOAP主体，报头可以有一个或多个，可以在报头项中实现自定义的操作。Web服务安全操作是通过对报头项添加安全项实现的。SOAP主体是信息的载体，传输请求

36、的数据。HTTP,SMTP MQ,IIOP,etc.SOAP UDDI,WSDL UDDI UDDI WSFK,XLANG BPEL4WS,WSCI 服务流服务发现服务发布服务描述XML 消息网络安 全 管 理 服 务 质 量 图 2-2 Web 服务协议栈 Figure 2-2 Web services protocol stack 太原理工大学硕士学位论文-10-WSDL是描述Web服务的XML格式语言。WSDL把Web服务定义为网络端点的集合，它有一个根元素用类型、消息、端口类型、绑定、端口和服务等元素来定义Web服务。其中类型是消息的数据类型定义，通常用来描述交换消息；消息代表待传输数

37、据的抽象定义，由一个或多个部分组成；端口类型表示抽象操作的集合，绑定使操作和消息的具体协议与数据格式规范关联；端口指定一个用于绑定的地址，由此定义一个通信端点；服务则是相关端口的集合，在WSDL中端点和消息的抽象定义与具体的网络布置和数据格式绑定，是相互分离的，这样就可以抽象定义消息和端口类型实现它们的重用15。UDDI是一套面向Web服务的消息注册中心的实现标准和规范。创建UDDI注册中心的目的是实现Web服务的发布金额发现利用UDDI规范16。在Web上建立发现服务，这些发现服务为所有请求者提供了一致的接口使得已经发布的Web服务能通过编程被需要的请求者发现。UDDI规范文本定义了UDDI

38、操作入口能够支持的API接口。其中用XML描述的数据结构具体定义UDDI。注册中心是对所有提供公共UDDI注册服务站点的统称，在逻辑上它是一个统一体，但在物理上则以分布式系统架构实现，不同的站点之间采用对等网络结构实现，因此访问其中任意一个站点就等同于访问UDDI注册中心，一般情况下访问UDDI操作入口站点所获得的结果是整个UDDI注册中心所覆盖区域的信息。信息查询无需身份认证但必须通过UDDI操作入口站点，自身的用户才能在该站点上进行信息发布，同时以后的更新、删除都必须通过这个操作并使用初始发布时使用的用户名进行权限认证9。2.2 Web服务安全分析 2.2.1 Web服务安全需求 安全包括

39、以下七条安全性原则，这些原则作为一个良好安全性解决方案的基础已经被普遍接受。（1）认证。认证是指对实体所宣传的身份确定其有效性。那些请求访问某个受保护组件的请求发起者，或者是某个安全会话或事务处理的发起者，必须提供能够证实其身份的凭证信息。（2）授权。授权也称为访问控制，它是指根据属性、断言或相关环境来确定某个已被证实身份的实体是否被允许访问某个受保护的资源。属性是名称-值（name-value）对，它可以用来描述实体的细节。断言是基于受保太原理工大学硕士学位论文-11-护资源的环境的条件，这些条件必须有效才能够访问资源。相关环境则将被请求的事务处理放置到一个和系统相关的参照系中，该参照系可以

40、基于时间、操作历史或者基于某个规则库中的规则。（3）完整性。完整性是指防止某个未授权用户或实体对某个资产进行修改或破坏。它通常与数据完整性同义，数据完整性确保数据未被恶意或偶然修改或破坏。（4）可用性。可用性是指保护资产免受可能影响系统有效性的拒绝服务攻击的威胁。从非安全性观点来看（这种观点认为导致系统中断运转的来源是系统本身的缺陷而不是恶意攻击），可用性也是一个关键性的系统属性。但是，针对故障防范、检测、容错、预测和恢复的那些基于软件可靠性理论的策略，却通常在保护系统免受主动且有蓄谋的攻击这方面派不上大用场。在恶意攻击条件下进行可用性建模，和在一般的组件故障条件下进行可用性建模截然不同，因为

41、标准的概率模型不再有效。（5）机密性。机密性是指数据对于未授权的用户、实体或过程不可泄露。（6）审计。审计是指将所有系统活动已足以再现事件的程度来进行记录。审计通常结合警报同时使用，后者是将触发器与事件进行链接的过程。（7）不可否认性。不可否认性是指在某个通信或事务处理过程结束之后，防止其中的任何参与者否认其在该过程中所充当的角色。安全需求是驱动Web服务安全框架的主要动力。它们在最初的设计和实现阶段中将安全的关注点与Web服务技术的不同领域关联起来。在具体场景中考虑这些需求以获得合适的观点将是非常有用的10。2.2.2 Web服务安全技术 Web服务安全性的保障是通过一系列的安全标准来实现的

42、。这些标准各有特点，互为补充，共同为Web服务提供一个全面、健壮和可伸缩的安全平台。这些安全技术具体总结如表2-1所示11。太原理工大学硕士学位论文-12-技术标准 作用 安全特性 HTTP 验证授权 提供验证功能，限制对保护资源的访问 摘要 完整性 对通信数据进行散列运算，保证完整性 SSL/TSL HTTPS 验证授权、授权、完整性 验证通信双方，加密数据以保证客户与服务器之间的端对端的安全性 XML签名 验证授权、完整性 验证文档完整性和发送者身份，多方可以签署同一文档或者文档的局部 XML加密 机密性、完整性 用公用密钥或私用密钥保护传输数据，多方可以加密同一文档或文档的局部 2.2.

43、3 现有安全技术保护Web服务的不足 目前，Web服务安全采用的是已有的Internet和WWW的一些安全标准，这些标准都是静态的措施，并且其本身和Web服务之间就存在技术上的鸿沟，因此，Web服务的安全问题没有得到根本的解决。Web服务是动态变化的，并且不同应用背景的服务所需要的安全措施可能完全不同。现有的一些安全技术只在一定程度上解决了特定系统的安全问题，在Web服务的集成中并不能发挥令人满意的作用7。Web服务的基本工作过程是通过发送SOAP消息到一个由URL来鉴别的服务点（由一个SOAP Server来接受消息），来请求特定的Web服务（操作），接收到消息的响应结果或者错误提示。在传输

44、层之外，当消息数据被接受和中转的时候，数据的完整性以及其他的安全信息就可能泄露或者丢失。这要求Web服务的请求者或提供者必须信任那些中间节点对消息的获得和处理（那些中间节点可能需要处理消息，生成新的消息）。除了消息的安全性之外，对于合法的请求方按照消息的内容做出适当的反应和行为，也即权限策略控制都是现有的安全机制无法解决的。现在SOAP通常都绑定在HTTP上进行传送，服务器通常保存一个禁止访问的IP地址列表。这样的安全措施显然是粗糙的，让那些潜在的客户无法访问，Web服务的接口描述文件他们也无法获得，更为全面的安全策略也无法实现。总之，现有的Web服务安全技术无法完全满足Web服务新的安全需要

45、，因此可将现有的安全技术作为Web服务的第一层保护，同时采用更高层的安全技术来处理Web服务的新的安全问题。表 2-1 Web 服务安全技术表 Table 2-1 security technology of Web 太原理工大学硕士学位论文-13-2.3 Web服务安全性规范 2.3.1 Web服务安全主要安全规范 Web服务除了微软和IBM发布的Web服务安全规范WS-Security外，主要有如下的安全规范17 18：（1）XML加密 XML加密（XML Encryption）是W3C提出的一个规范，它不仅提供了加密XML文档的一部分的方法，而且还提供了加密任何数据和用XML表示加密数据

46、的方法。XML加密使加密功能更容易部署。XML加密语法和处理标准定义了加密数字数据的一个过程和在XML中表示加密的数据的方式。虽然被加密的数据试图比XML更加通用，但是XML数据自然适合于XML加密。（2）XML签名 XML签名（XML Signature）是由W3C和IETF共同提出的一个规范。它除了解释如何签名XML文档的一部分之外，还解释了如何将任何数据的数字签名表示为XML格式。XML签名技术与其他签名技术的不同之处在于：通过将签名当作原始文档的一部分，XML签名规范消除了在管理和保存数字签名时所需的专用方法，并且提供了一个灵活、标准化的构架，以使多个代理能够签署和保存文档的多个部分。

47、（3）SAML SAML（Secure Assertion Markup Language）是OASIS组织提出的一个安全规范。它提供了用XML格式表示有关终端用户的身份验证、授权以及属性信息的方法。SAML不提供身份验证，但是可以表示关于过去发生的身份验证或者授权行为的信息。Web服务要获取长久的成功，其最大的困难在于安全性问题。其中最重要的安全性问题之一就是一些联合系统之间的用户身份验证问题和单节点登录。通过单节点登录，用户可以基于一次身份验证就可以使用多项Web服务或由多个Web服务构成的单个服务，SAML便于人们实现分布式身份验证。（4）XACML XACML（XML Access C

48、ontrol Markup Language）是OASIS开发的一个安全规范，它可以用XML格式表示访问控制的规则。SAML断言表示的授权策略可以基于XACML表示的规则之上。当前大多数访问控制和授权系统通常如下实现：处于特定环境中的实体向系统发出请求，系统检索其访问规则或策略，然后对该请求授权或拒绝，这些系统都是专用的、简化的模型。太原理工大学硕士学位论文-14-（5）XKMS XKMS（XML Key Management Specification）是W3C提出的一项规范，它为Web服务公钥基础设施PKI中密钥的注册和分发而建立的一个规范。通过支持这种Web服务的创建，XKMS能够消除使

49、用PKI的复杂性，使Web服务在设计应用程序时结合安全机制时变得更加容易。应用程序可以简单地将所有PKI处理任务委托给某第三方信任服务，而不是自己来对PKI函数进行编码，这就可以将精力集中在业务逻辑上，同时应用程序将缩小，便于在内存有限的设备上使用。2.3.2 WS-Security规范 WS-Security主要是一个用于基于XML的安全性元数据容器的规范。它定义了一个具有安全可扩展性的SOAP消息头元素，以这种形式在现有安全标准和规范中添加了一个架构，用于将现有安全机制嵌入到SOAP消息中4。但是，WS-Security并不指定其中安全性信息的格式，而是指定如何在SOAP消息中嵌入现有安全

50、机制定义的安全性信息。例如，如果使用XML签名，则可将由XML签名定义的信息包含到SOAP消息头中，其中包括消息的签名方法、使用的密钥以及得出的签名值。同样，如果使用XML加密，则可将加密信息添加到WS-Security消息头中。将WS-Security与XML数字签名、XML加密、安全令牌等技术结合使用，可提供SOAP消息级的完整性、机密性、用户验证、授权、不可否认性等方面的安全特性。例如，消息完整性是通过同时利用XML签名和安全性令牌来确保消息在传输过程中不被修改而实现的。消息机密性同时利用XML加密和安全性令牌来保持部分SOAP消息是机密的19。微软和IBM在发布了第一个Web服务安全规