论文导读:我们的WebServices身份认证流程是这样的:首先,我们的WebServices身份认证模型捕获客户端的SOAP请求消息M;接着,我们从PKI系统中获取服务器端的公钥Es,并用服务器端的公钥对SOAP消息进行加密,得到加密后的SOAP消息,Es(M);然后,我们使用客户端的私钥Dc,对SOAP消息进行签名,得到签名后的SOAP消息,Dc(Es(M));最后,我们将加密和签名的SOAP消息发送到Internet上。而在服务器端,我们的WebServices身份认证模型接收到客户短发送过来的加密、签名过的SOAP消息。同样地,如果需要的话,我们可以对WebServices处理过的SOAP应答消息做同样地安全处理。
关键词:PKI,身份认证,WebServices,安全
0 引 言
随着互联网的不断壮大,越来越多的企业将自身的应用搬上网络,它们为企业争取了更多的客户,把握了更多的商机,获取了更多的利润。然而由于现有的应用系统开发模式及结构存在很大差异,这就使得企业与企业之间,企业内部部门之间的交互和协作变得越来越复杂。随着Web Services[1]技术的发展和广泛应用,其高效集成性、松散松散耦合性和实现简单等特点使得互操作和集成问题从层次上被简化。
Web Services是一套标准协议,它规定了应用程序如何在Web上实现互操作性,你可以使用任何一种编程语言,在任何一种平台上编写 Web Services。现在普遍应用的是通过HTTP请求发送SOAP[2] 消息,然后接收HTTP应答中包含的消息。由于SOAP消息是通过HTTP方式进行,所以其可以穿越大多数的防火墙,进行数据交换。
对于SOAP消息的机密性和完整性,普遍的做法是使用加密和签名,采用非对称秘钥理论,通过加密来保障消息的机密性,通过签名来保障消息的完整性;对于完善的用户身份认证机制,PKI[3]系统提供了有力的保障,它能够为用户颁发公私钥证书,通过公钥来明确用户的身份,用户在发送了签名过的SOAP消息时,己经表明了自己的身份,也无法抵赖,而且PKI系统与非对称秘钥理论完美的结合,通过私钥来对消息进行加密,通过公钥来对消息进行签名。有效地保障Web Services的安全。
1 WebServices的体系结构
Web Services体系结构是面向对象分析与设计的一种合理发展,同时也是电子商务解决方案中,面向体系结构、设计、实现与部署而采用的组件化的合理选择。这两种方式在复杂的大型系统中经受住了考验。和面向对象系统一样,封装、消息传递、动态绑定、服务描述和查询也是Web Services中的基本概念,而且, Web Services另外一个基本概念就是:所有东西都是服务,这些服务发布一个API供网络中的其他服务使用,并且封装了实现细节。
Web Services的体系结构是基于Web Services服务提供者、Web Services服务请求者、Web Services服务注册代理的不同操作来建立的。具体的Web Services体系结构模型如图1-1所示。
(1) Web服务提供者:Web服务的拥有者,它为其它服务和用户提供服务功能,服务提供者在实现服务之后可以发布服务,并且响应对于服务的调用请求;
(2) Web服务请求者:Web服务的使用者,它可以利用服务注册代理查找服务;
(3) Web服务注册代理:它的作用是将服务请求者与合适的服务提供者绑定在一起;
这三种不同的角色通过发布(publish )、查找(find )、绑定( bind )三种操作提供完整的Web Services功能。论文参考。Web Services是由服务描述所表达的接口,其接口的实现即为服务。服务和服务描述是支持Web服务的基本工件。服务在本质上是软件模块,它由服务提供者提供,部署在网络可访问的平台上。[4]
图1-1 Web Services体系结构示意图
2基于PKI的Web Services安全模型设计
2.1 整体框架图
Web Services在异构的分布式的环境下,对客户的身份认证就比较困难,当你去调用一个企业的Web Services时,这个企业Web Services可能又会去调用另一个企业Web Services如何在这种跨域的环境下实现Web Services的身份认证,
PKI公钥基础设施能够使计算机用户在无需事先协商的情况下,互相验证对方的身份[5],这对于Web Services下的身份认证提供了解决方法。我们的Web Services身份认证模型就是基于PKI完成的,如图2-1所示。客户端和服务器端都通过PKI系统来获取对方的公钥证书,通过PKI系统来检验公钥证书的有效性,并通过公钥证书来验证对方的身份。
图2-1基于PKI的Web Services身份认证模型
2.2系统设计
下面我们来具体介绍一下基于PKI的Web Services身份认证模型的运行流程。首先,我们做一些假设:
符号C表示Web Services的客户端;符号S表示Web Services的服务器端;符号M表示明文的SOAP消息;符号Dx(M)表示使用用户x的私钥对SOAP消息进行签名后的结果;符号Ex(M)表示使用用户x的公钥对SOAP消息进行加密后的结果。我们的Web Services身份认证流程是这样的:首先,我们的Web Services身份认证模型捕获客户端的SOAP请求消息M;接着,我们从PKI系统中获取服务器端的公钥Es,并用服务器端的公钥对SOAP消息进行加密,得到加密后的SOAP消息,Es(M);然后,我们使用客户端的私钥Dc,对SOAP消息进行签名,得到签名后的SOAP消息,Dc(Es(M));最后,我们将加密和签名的SOAP消息发送到Internet上。如图2-2所示。
图2-2发送SOAP请求消息
而在服务器端,我们的Web Services身份认证模型接收到客户短发送过来的加密、签名过的SOAP消息。首先,我们去PKI系统获取客户端的公钥Ec,并用客户端的公钥对SOAP消息进行签名验证,确认这个SOAP消息确实是这个客户发送过来的,并得到SOAP消息Ec(Dc(Es(M))) =Es(M);接着,我们使用服务器端的私钥Ds,对SOAP消息进行解密,得到明文SOAP消息Ds(Es(M))=M,最后,我们把这个明文SOAP消息发送给Web Services服务器,由Web Services服务器进行处理。如图2-3所示。同样地,如果需要的话,我们可以对Web Services处理过的SOAP应答消息做同样地安全处理。论文参考。
图2-3接收SOAP请求消息
3 结束语
随着Web Services的广泛使用,其明文传输消息的缺点制约了Web Services在企业级应用中的发展。论文参考。作为企业应用,必须保证的安全性有:消息的机密性,完整性,身份认证和权限控制,企业级的Web Services应用也必须要满足以上四点安全保障。而PKI是目前公认的解决大规模、分布式开放网络环境下信息安全问题最可行、有效的方法, 利用PKI技术可以方便地建立和维护一个可信的网络计算环境,保证Web Services有效、安全地进行。
参考文献:
[1] 胡方霞,曾一,高旻.Web Services 技术应用与探讨[J].计算机科学,2007,43(3):75-77.
[2] Pullen M J, Bruntlon R.Using Web services to integrate heterogeneous simulations in a gridenvironment[J]. Future Generation Computer Systems, 2004(9):98一99.
[3] Stefanos GritzalisPublic key infrastructure research and applications[ J].International Journal of Information Security Archive, 2006,5(1):1-2
[4] Bret Hartman,Donald J.Filnn.杨硕译.全面掌握Web服务安全性.清华大学出版社.2004
[5J Zhang Mu, ZhangShunyi On the optin almulti-rate throughput formulticast withnetwork coding[J]. Journal of Electronics, 2006,23( 4): 584-589
|
