基于SOAP的Web安全性研究

基于SOAP的Web安全性研究

　　　　本文由ｔｙｕｉｏｕｉｏ贡献

　　　　ｐｄｆ１。

　　　　第　２５　卷　第　５　期　Ｖｏｌ　．　２５　Ｎｏ　．　５

　　　　周口师范学院学报

　　　　Ｊ　ｏ　ｕｒｎａｌ　ｏｆ　Ｚｈｏ　ｕｋｏ　ｕ　Ｎｏｒｍａｌ　Ｕ　ｎｉｖｅｒ　ｓｉｔ　ｙ

　　　　２００８　年　９　月　Ｓｅｐ　．　２００８

　　　　基于　ＳＯＡＰ　的　Ｗｅｂ　安全性研究

　　　　王迤冉１　，朱维军２

　　　　（　１．　周口师范学院　公共计算机教研部　，河南　周口　４６６００１　；２．　郑州大学　信息工程学院　，河南　郑州　４５００５２）

　　　　摘　　　：随着网络技术的应用与发展　，Ｗｅｂ　服务安全问题日益突出　．　文章讨论了　ＳＯＡ　Ｐ　消息在网络中传输的　要　安全性要求　，分析了产生这些要求的原因　，　并结合实例说明了满足这些安全性要求的方法　，　以保护　ＳＯＡ　Ｐ　消　息的安全　．　关键词　：　Ｗｅｂ　；　ＳＯＡ　Ｐ　；　数字签名　；　消息加密　中图分类号　：　ＴＰ３９３１　０８　　　文献标识码　：　　　　　　Ａ　文章编号　：　１６７１２９４７６　（　２００８）　０５２０１０５２０４

　　　　随着互联网的不断普及　，　Ｗｅｂ　应用也越来越　广泛　．　因为　Ｗｅｂ　具有开放性　、　跨平台和互操作性等　特点　，安全性就成为其发展必须要解决的重要问　题　．　Ｗｅｂ　服　务［　１　］　主　要　是　由　ＳＯＡ　Ｐ　（　Ｓｉｍｐｌｅ　Ｏｂｊｅｃｔ　Ａｃｃｅｓｓ　Ｐｒｏｔｏｃｏｌ　）　和网络协议构成　．　ＳＯＡ　Ｐ　消息是　通过网络层协议到达目的地的　，网络层目前主要使　用　ＩＰＳｅｃ　端口过滤　、　ＳＳＬ／　ＴＬ　Ｓ［　２　］　等传输级安全方　法　．　这虽然解决了对窃听者屏蔽消息的问题　，　但是　仅仅依靠　ＳＳＬ　的安全机制是不能满足信息的安全　性要求的　．　Ｗｅｂ　服务安全不但需要传输级安全　，　还　需要消息级安全　，而消息级安全主要是提供　ＳＯＡ　Ｐ　的安全　，因此对　ＳＯＡ　Ｐ　的安全性研究在　Ｗｅｂ　服务　安全中具有重要意义　．

　　　　１　　ＳＯＡＰ　消息和消息传递

　　　　ＳＯＡ　Ｐ　是由　Ｍｉｃｒｏ　ｓｏｆｔ　，　ＩＢＭ　等公司共同提出

　　　　的规范　，目的是为了实现大量的异构程序和平台之　间的互操作性　，从而使存在的应用程序能够被用户　所访问　．　ＳＯＡ　Ｐ　是基于文本的协议　，具有简单性　、　灵　活性和平台无关性的特性　．　ＳＯＡ　Ｐ　用　ＸＭＬ　语言表　示消息　，　一般用　Ｈ　Ｔ　ＴＰ　作为传输协议　．　ＳＯＡ　Ｐ　以　ＸＭＬ　形式提供了一个简单的　、　轻量的　、　用在分散或　分布环境中交换结构化和类型化信息的机制　．　１１　１　　　ＳＯＡＰ　消息　ＳＯＡ　Ｐ　规范主要定义了　４　个元　素　——　—　ＳＯＡ　Ｐ　信封规范　，传输和协议绑定　，编码规则和一个　ＲＰＣ　协定　，用于实现消息的网络传输　．　这　４　个部分组合

　　　　收稿日期　：２００８２０５２２０

　　　　基金项目　：　河南省教育厅自然科学研究项目　（　Ｎｏ　．　２００８Ｂ５２００４７）　；　周口师范学院青年基金项目　（　Ｎｏ　．　ＺＫＮＵＱＮ２００６１３）　作者简介　：　王迤冉　（１９７６　－　）　，男　，河南沈丘人　，讲师　，硕士　，研究方向　：　计算机网络　，企业信息化　．

　　　　起来统称为一个　ＳＯＡ　Ｐ　消息　．　１１　２　　　ＳＯＡＰ　消息传递　Ｗｅｂ　采用　ＳＯＡ　Ｐ　协议标准来交换消息　．　由客　户端调用　Ｗｅｂ　服务开始　，　ＳＯＡ　Ｐ　消息的传送大致　经过　４　个步骤　：　首先客户端代理把请求调用信息序　列化为　ＳＯＡ　Ｐ　消息　（　ＸＭＬ　形式）　，然后经过　Ｗｅｂ　服　务器传送到承载该服务的应用服务器端　．　应用服务　器程序先反序列化传送过来的　ＳＯＡ　Ｐ　消息　，　接着　创建实现　Ｗｅｂ　服务的类的新实例并调用其方法　，　同时传入反序列化的参数　．　下一步执行实例方法　，　把得到的结果序列化为　ＳＯＡ　Ｐ　消息　（　ＸＭＬ　形式　）　，　返回给客户端　．　客户端接收该消息后将它反序列化　为返回值和输出　．　图　１　是　ＳＯＡ　Ｐ　消息传递总体构架图　．　这是一条

　　　　ＳＯＡ　Ｐ　请求消息　，ＳＯＡ　Ｐ　消息是单向传递的　．　在图　１

　　　　中增加了缓存处理器　，这是出于效率和实现的实际　情况考虑的　．　图中的　ＳＯＡ　Ｐ　处理器是对　ＳＯＡ　Ｐ　消　息进行处理的软件　，它主要负责　ＳＯＡ　Ｐ　消息与低层　协议的绑定　，是进行发送和接收的装置　．　在发送端　，　把要发送的数据组织成规范的　ＸＭＬ　文档储存在　缓存数据库中　，加密时通过缓存处理器把要处理的　ＸＭＬ　从数据库中查询出来　，然后进行加密　，再通过　ＳＯＡ　Ｐ　处理器将　ＳＯＡ　Ｐ　消息发送出去　．　ＳＯＡ　Ｐ　消息　经常用于实现请求　—　应答方式的消息交换　．　ＳＯＡ　Ｐ　的该种应用可以通过开发特定网络系统的特性来　优化　．　例如　，　Ｈ　Ｔ　ＴＰ　绑定使　ＳＯＡ　Ｐ　应答消息可以用

基于SOAP的Web安全性研究

　　　　１０６

　　　　周口师范学院学报

　　　　２００８　年　９　月

　　　　图１

　　　　ＳＯＡ　Ｐ　消息传递总体构架图

　　　　Ｈ　Ｔ　ＴＰ　应答的方式传输　，　并使用同一个连接返回　请求　．　无论　ＳＯＡ　Ｐ　被绑定到哪个协议　，　ＳＯＡ　Ｐ　消息　都采用消息路径发送　．　这使得在一个消息的发送路　径中　，除终节点之外的中间节点也可以处理该消　息．

　　　　要是提供　ＳＯＡ　Ｐ　级安全　．

　　　　３　　ＳＯＡＰ　消息传递安全性实现

　　　　Ｗｅｂ　服务安全主要与　ＳＯＡ　Ｐ　安全和　ＸＭＬ　信

　　　　２　　ＳＯＡＰ　安全性分析

　　　　Ｗｅｂ　服务的安全问题不在于服务传输的连　接　，而在于服务内容　，　即要确保数据完整性和保密　性　，这是通信安全中最重要的一个方面　．　普遍使用　的点到点安全技术　，例如　ＳＳＬ／　ＴＬ　Ｓ　及　Ｈ　Ｔ　ＴＰ　只能　保证　Ｗｅｂ　服务在传输层上数据的完整性和保密　性　，并且运用中会产生一系列问题　：　１　）　端　对　端　的　信　息　传　递　（　Ｅｎｄ２ｔｏ２Ｅｎｄ　ｍｅｓｓａ２　ｇｉｎｇ）　．　ＳＯＡ　Ｐ　消息可以与不同的运输层协议　（　如　Ｈ　Ｔ　ＴＰ　，ＳＭ　ＴＰ　等）　捆绑在一起进行传输　，传输的过　程中可能经过一系列中间设备或应用程序　．　假如应　用程序对　ＳＯＡ　Ｐ　消息进行恶意破坏　，可以在　ＳＯＡ　Ｐ　消息插入一系列相似的头元素　，再传给下一个中间　设备或程序　，从而破坏了信息的完整性　．　在这种情　况之下　，中间设备或应用程序是不值得完全信任　的　，它们　随　时　可　以　修　改　传　输　的　信　息　．　因　此　，　ＳＳＬ／　ＴＬ　Ｓ　并不能保证端到端传输的安全性　．　２　）　ＳＳＬ　对所有数据进行同等程度的加密　，　这　对　Ｗｅｂ　服务中的一些应用是不必要的　．　所以　，要解　决　Ｗｅｂ　 …… 此处隐藏：9012字，全部文档内容请下载后查看。喜欢就下载吧 ……