基于SOAP消息擴展的Web服務安全模型研究與實現(xiàn).pdf

1、Web服務(Web Services)是近年來蓬勃興起的一種分布式計算標準，它具有完全的平臺無關性和語言無關性，具有十分廣闊的市場和誘人的前景，己經成為新一代動態(tài)電子商務的核心，并且給企業(yè)集成應用帶來了新的曙光。但是，由于Web服務具有極大的開放性，更多的數(shù)據和信息將會暴露于互聯(lián)網之上。然而Web服務本身基于的SOAP協(xié)議在提出的時候，為了簡單性和易用性，沒有把安全性問題考慮在內。當前，Web服務的安全問題已經嚴重制約了Web服務的快速

2、發(fā)展和應用。因此，提出適當?shù)陌踩Ｐ停贫ㄓ行У陌踩鉀Q方案，對于 Web服務的更快發(fā)展和應用有著至關重要的意義。
　　本文首先分析了現(xiàn)有的Web服務安全技術的不足，然后通過對Web服務的相關安全規(guī)范進行深入研究，構造了一個基于SOAP消息擴展的Web服務安全模型，它由兩個子模型組成：消息安全處理模型和訪問控制處理模型，其中消息處理模型主要使用WS-Security中的XML加密和XML簽名機制對SOAP消息中需要保護的消息進行加

3、密和簽名。為了防止重放攻擊，在消息中加入了一些相關的安全屬性信息，如時間戳等。另外，該消息處理模型也支持在消息中添加SAML斷言，實現(xiàn)對用戶進行跨域的身份認證。訪問控制模型則是基于屬性的，使用XACML，利用從消息處理模型獲得的相關屬性信息以及當前環(huán)境和服務本身的屬性信息，按照服務的訪問控制策略進行授權決策，從而使Web服務訪問控制具有很好的擴展性和動態(tài)適應性。
　　然后，根據安全模型，在J2EE平臺上，設計了一個基于XFire

4、SOAP引擎的安全框架。安全框架中包含一系列的安全處理器，與 SOAP引擎無縫結合，通過可配置的方式提供加密和簽名以及跨域的身份認證等安全功能。除了安全處理器，還根據訪問控制模型設計了安全框架中的訪問控制機制。
　　最后，結合自適應訓練系統(tǒng)的安全場景，利用相關的技術對安全處理框架和訪問控制機制進行了實現(xiàn)和測試。之后，在不同數(shù)據量的情況下，比較了該處理框架與使用基于Axis SOAP引擎的安全處理框架的性能耗費程度，從實驗結果可以看