This posting is provided "AS IS" with no warranties, and confers no rights.
Web Service安全性
W3C Web Service架构需求(http://www.w3.org/TR/wsa-reqs/)中对于安全性的要求如下:
Web Service架构(WSA)必须为在线过程处理提供一个安全环境。
这个目标的临界成功因素和需求:
AC006 指明了跨分布域和平台的Web Service的安全指标
AC020为跨多个域和服务的Web Service的消费者提供了身份保护
Web Service安全协议:WS-Security(Web Services Security)
WS-Security描述了对SOAP消息的扩展,通过消息集成提供保护的质量,消息隐密性和单独消息身份审核。这些机制可以被用来适应大部分安全模型和加密技术。
Web Service安全规范(WS-Security)提供一个机制集合来帮助Web Service开发者保护SOAP消息交换。特别的,WS-Security描述了对现有SOAP消息的扩展来提供保护质量,这主要通过SOAP消息的消息集成、消息隐密性和单独消息身份审核应用程序来完成。这些基本机制可以集合成多种方法适用于使用一些加密技术来创建大部分安全模型。
WS-Security也提供一个进行安全标志和消息联合的公共目标机制。尽管如此,WS-Security要求不指定标志的类型。被设计来扩展认证和审核机制(例如,支持多种安全标志格式)。例如,一个请求者可以提供使用他们独有的业务证书和签名进行安全认证。一个Web Service接收到消息的时候可以对其可信任的程度进行检测,然后放到认证存储空间中。
还有,WS-Security描述了如何编码二进制标识和将他们添加到SOAP消息中。特别的,WS-Security身份协议描述了如何编码用户名标识,X.509标识,SAML标识,REL标识和Kerberos标识,同样也了解如何包含不同二进制标识类型所持有的加密的密钥。通过WS-Security,这些机制的域可以通过使用那些请求了WS-Security的Web Service运载的审核信息,也可以被扩展用来为更长远打算,在消息中提供身份验证的描述。WS-Security是一个构建块可以与其它Web Service一起使用满足现在和将来的安全需求。
消息集成是通过提供XML数字签名和安全标识来确保消息来自于指定的发送者并且在传输的过程中没有被修改过。相似的,消息的隐秘性是通过XML加密和安全标识保持SOAP消息的隐秘部分。
WS-Security规范(OASIS):http://www.oasis-open.org/specs/index.php#wssv1.0
通过使用SOAP的可扩展模型,基于SOAP的规范被设计用来与其它进行结合来提供一个通信环境。通过WS-Security自身,它并不知道是否提供了一个完整的安全解决方案。WS-Security是一个构建块用来和其它Web Service和应用程序指定的协议结合,满足大部分的安全模型和加密技术,但是这并不意味着Web Service不会遭到攻击或者代表安全性方面的承诺。
微软通过使用WSE来提供对大部分Web Service规范的支持,其中包括WS-Security。
WSE下载地址:
http://www.microsoft.com/downloads/details.aspx?familyid=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en
