Web Service安全机制探讨

　1、WS-Security及有关的规范

　　下面介绍一个能够满足真实企业的Web服务安全性需要的基于标准的体系架构。IBM、Microsoft和Verisign联手制定了有关Web服务安全性的计划和指南，用来开发一组提供保护Web服务安全性的规范。这个安全性模型把不同的安全性技术，比如公用密钥基础架构、Kerberos等集中在一起，以保证能够在现有的系统环境中构建安全的Web服务。通过利用Web服务模型核心处的自然可扩展性，这些规范建立在一些基础技术的基础之上，如SOAP、WSDL、XML数字签名(XML Digital Signature)、XML加密(XML Encryption)和SSL技术。这允许Web服务提供者和请求者开发满足他们应用程序的个别安全性需求的解决方案。这是一个由IBM、Microsoft和Verisign提议的WS-Security规范定义，用于保护消息完整性和机密性的核心工具，以及用于把有关安全性的声明与消息关联起来的机制。

　　目前，SSL、Transport Layer Security(TLS)和IPSec被用于为Web服务应用程序提供传输级别的安全性。它们的安全性功能包括认证、数据完整性和数据机密性，保证点对点Web服务安全性。Web服务应用程序是个多跳(Multi-Hop)拓扑，依赖于消息处理中介体转发消息。当传输层之外的中介体接收并转发数据时，数据的完整性和任何随数据流动的安全性信息都可能失去。所以，全面的Web服务安全性体系架构必须是一个提供端到端安全性的机制。

　　图1所示为提议的Web服务安全性规范组合。


图1 WEB 服务安全性规范组合

　　这组规范建立在SOAP标准规范上，包括一个WS-Security的消息安全性模型、一个描述Web服务端点策略的WS-Policy、一个WS-Trust信任模型和一个隐私权模型WS-Privacy。在这些规范的基础上，可以跨多个信任域创建安全的、可互操作的Web服务，还可以提供后继规范，例如安全会话WS-SecureConversation、联合信任WS-Federation和授权WS-Authorization。安全性规范、相关活动和互操作性概要文件组合在一起，将方便开发者建立可互操作的、安全的Web服务。下面简单描述被提议的各个规范：

　　WS-Security

　　描述如何向SOAP消息附加签名和加密报头，还描述如何向消息附加安全性 令牌，比如二进制安全性令牌的X.509证书和Kerberos票据。提供了一个通用机制把可扩展的安全性令牌与消息关联起来。使用XML签名和安全性令牌可以确保消息的完整性，消息在传输过程中未被修改。同样地，使用XML加密和安全性令牌可以使SOAP消息的一部分保密，提供消息机密性。

　　WS-Policy

　　描述中介体和端点上的安全性策略的能力和限制，比如所需的安全性令牌、 所支持的加密算法和隐私权规则。这是可扩展的，并且不会对可以描述的要求和能力的类型做什么限制，此规范识别几个基本的服务属性，包括隐私权属性、编码格式、安全性令牌要求和支持的算法。

　　WS-Trust

　　描述使Web服务能够安全地进行互操作的信任模型的框架。此规范描述如何 通过创建安全性令牌保证服务把现有的直接信任关系用作代理信任的基础。

　　这些安全性令牌保证服务建立在WS-Security的基础上，用一种保证令牌的完整性和机密性的方式传送那些必需的安全性令牌。

　　WS-Privacy

　　描述Web服务提供者和请求者如何声明主题隐私权首选项和组织隐私权实践声明的模型。通过使用WS-Policy、WS-Security和WS-Trust的组合，商业机构可以声明并指出遵守声明的隐私权策略。此规范描述一个关于如何把隐私权语言嵌入到WS-Policy的描述，以及如何使用WS-Security把隐私权声明与消息关联起来的模型，它还描述如何使用WS-Trust机制，同时为用户首选项和组织实践声明评价这些隐私权声明。

　　WS-SecureConversation

　　描述如何管理和认证各方之间的消息交换，包括安全性上下文交换以及建立 和派生会话密钥。

　　WS-Federation

　　描述如何管理和代理异类联合的环境中的信任关系，包括支持联合身份。此 规范定义如何使用WS-Security、WS-Policy、WS-Trust和WS-SecureConversation 规范构建联合信任案例，例如如何把Kerberos和PKI基础架构联合起来。

　　WS-Authorization

　　描述如何管理授权数据和授权策略，如何在安全性令牌内指定声明，以及这 些声明在端点处将如何被解释。此规范在授权格式和授权语言上是灵活且可 扩展的。

　　由于这个Web服务安全性模型与现今普遍使用的用于认证、数据完整性和数据机密性的现有安全性模型兼容，所以它可以把基于Web服务的解决方案与现有的其他安全性模型集成起来。例如，现有技术如SSL为消息提供简单的点对点完整性和机密性，而Web服务安全性模型支持把这些现有的安全传输机制与WS-Security和其他规范集成来提供跨多个中介体和传输协议的端到端完整性和机密性。Public Key Infrastructure(PKI)模型涉及到签发带公用对称密钥的证书的证书机构和声明除密钥所有权之外属性的机构。这种证书的拥有者可以使用相关的密钥来表示多种声明。另外，Kerberos模型依靠与密钥分发中心(Key Distribution Center)通信，通过签发加密的对称密钥来代理各方之间的信任。Web服务安全性模型支持安全性令牌服务使用公用不对称密钥签发安全性令牌。现有的信任模型通常都是基于企业间的协定，例如UDDI商业注册中心的Web服务。UDDI有多个参与者，它的信任模型不是根据特定认证机制的要求为信任定义一个单独的模型，而是把认证的责任交给每个节点的信息管理员。每个UDDI中的Web服务可能有自己的认证机制并强制遵守自己的访问控制策略，而信任取决于服务请求者和管理其信息的操作员之间的信任。