Web Service Security --- Introduction

最新推荐文章于 2024-12-22 15:15:00 发布
最新推荐文章于 2024-12-22 15:15:00 发布
阅读量1.2k 收藏
点赞数
文章标签: service web security 加密 authentication 解密

Web service目前被SOA所广泛采用。从目前Web Service的应用来看,Web Service技术确实具有某些显著的优点,已成为当前分布式技术的重要代表。

Web Service的一个显著特点就是Loose Coupling。服务的可发现性,平台无关性,接口的自描述性构成了Web Service的这一重要特点。而正是由于这个特点,Web Service被广泛的用于企业信息集成,其中既包括了企业内部的信息集成(不同部门的信息集成,遗留系统与新系统的信息集成),也包括了企业与企业之间的信息集成。同样也是由于这个特点,使得通过服务与服务的组合而构成新的应用变得更加简单,也更加可行,这也是SOA中广泛使用Web Service的原因。

在考虑企业应用的时候,一个不得不关注的问题就是安全。而Web Service的诸多优点反而使得安全问题变得比以往任何时候都更具挑战性。由于Web Service被广泛的运用于企业间的交互,使得安全边界由Intranet扩大到了Internet,安全的风险也自然大大增加;SOA中服务组合的思想,使得Web Service应用更具动态性,服务的创建者往往无法预料到服务将在何种环境下(比如使用何种安全认证方式)被使用,在这种情况下要想实现服务的安全访问变的更加复杂;同时由于Web Service使用的是基于XML的,具有自描述能力的消息(在面向消息的方式中,消息甚至就是业务实体)进行通讯,那么如何保证消息的安全性也成为了Web Service安全中需要重视的问题。

在我们考虑安全问题的时候,有三个概念是最为基础的:Confidentiality(机密性), Integrity(完整性), Authentication(身份鉴别)

Confidentiality: 机密性。 除了特定的接受者,别人无法查看消息的内容。使用Key(对称,非对称)来加密消息,从而保证消息的confidentiality

Integrity: 完整性。 保证消息在传输的过程中没有被修改。即消息的接受者所持有的消息与消息的发送者完全一致。对消息做摘要(Digest)后,再使用Key(对称,非对称)来加密摘要,从而保证消息的Integrity

Authentication: 身份鉴别。确定消息的发送者的身份与消息中所声称的用户身份一致。最简单的做法就是让用户同时发送用户名和密码,接受方确认密码的有效性从而判断该用户身份是否与用户名所代表的一致。然而在实际的应用中通常没有这么简单,往往使用Key对一段信息加密,接受方解密此信息,从而确认身份。比如在Kerberos协议中,使用对称密钥加密用户身份信息,加密后的信息称为(Authenticator),服务方通过解密此消息将身份与Ticket中的身份相比较以确认发送方身份。同样经过私钥(非对称密钥)加密的消息摘要(数字签名)也可以用于消息发送方的身份鉴别。
  

     
   Note    从上面的描述我们可以看到对称,非对称密钥往往同时出现。比如在 Confidentiality 中,我们可以使用任何一个来加密消息。而在 Integrity 中,他们也都可以用于加密摘要。那么一个有趣的问题,我们怎么确定使用那个呢?

由于对称密钥的加密解密速度比非对称密钥快很多(大约有1000) 所以在加密消息的时候一般都是使用的对称密钥。但是有一个问题就是对称密钥又如何发布呢?网络上两个没有联系的用户如何建立起一个共享的密钥?这时就需要PKI来帮助我们将这个共享的密钥建立起来---即利用非对称密钥中的公钥来加密那个共享密钥,传递到私钥的拥有方。由此我们得到结论---对称密钥加密普通信息,非对称密钥加密对称密钥。

Integrity中,使用非对称密钥的私钥加密摘要,得到的东西是一个广为人知的东西—Digital Signature(数字签名). 而使用对称密钥加密摘要得到的是HMAC(Hash message authentication codes)。他们在保证消息完整性的同时,都具有身份鉴别的功能,不过前者还有一个功能---抗否认性,而这点在电子商务中往往是不可豁缺的,所以大家对前者更加熟悉。

最后提醒大家注意,在Confidentiality中,使用非对称密钥方法是用公钥加密,私钥解密,而在Integrity中使用非对称密钥的方法恰恰相反。


   

Web Service已经被广泛的采用,那么现在Web Service的安全问题是如何处理?在没有运用WS-Security之前,主要是通过Https提供的运输层的安全来确保的运行在此之上Web Service的安全的。

从之前对安全技术的介绍可以看出,要想实现Web Service的安全,最重要的就是让服务请求方和服务提供方能够共享一个秘密(对称密钥). 有了对称密钥就可以用它加密,从而保证消息的机密性(Confidentiality), 也可以利用它来加密摘要从而保证消息的Integrity,并用于身份鉴别,这点从KerberosSSL协议中都可以看出。在Kerberos协议中,我们通过引入一个第三方(KDC)来实现密钥的发布。初始时Service Requestor(R)KDC(K)之间享有一个密钥,KDC(K)Service Provider(P)之间享有一个密钥。而后K产生RP之间的session key, 分别通过它和RP的密钥加密后传给它们,这样RP各自解密后之间就安全的拥有了他们共同的密钥(K产生的session key)。而SSL则是利用PKI的公钥技术来实现密钥的传递,R先向P打声招呼,然后P把自己的证书(Certificate: 包含用户名和该用户的公钥,并由CA签名)发送给RR产生他们之间的密钥,然后用证书中P的公钥将密钥加密后传递给P,这样RP之间就安全的拥有了一个密钥。HttpsWeb Service安全的保障就是通过这个密钥来实现了(最常被用于加密的就是我们的密码)看上去SSL似乎显得比较简单,不过这是基于PKI才得以实现的,而PKI却是一个很复杂的安全基础设施。而Kerberos由于初始时的前提条件,使得它的应用往往局限于某个组织内部的网络。

 

虽然目前Web Service广泛采用Https来保障安全,但是该方法也有很多的缺点,尤其是应用于现在越来越复杂的Web Service安全需求。

1.                       Https提供的是点对点安全保护,而Web Service的特点就是消息往往就要经过多个中介才能到达最终的服务提供方,每个中介还有可能对消息做出些处理,也就是说它需要的是端到端的保护。这显然是Https所不能提供的。

2.                       Https是在传输层提供的安全,而不是在消息层面,也就是只有在传输的过程中才有消息才是安全的(加密的),而一旦到达了终点就是明文的了。比如可以从消息队列中将重要的信息窃取出来。

3.                       Https的建立完共享密钥后,传递消息的时候并没有使用数字签名技术,所以也就无法得到抗否认性的能力。而这又是在电子商务中不可豁缺的。

4.                       由于Https提供的是传输层的安全,当然也就不可能达到消息安全所需要的灵活性的要求。比如加密消息中的部分元素;用不同的密钥加密消息的不同部分,从而让不同的消息接受者查看与之对应的信息。

 

因此,为了适应Web Service对安全的特殊要求,IBMMS等公司共同制定了WS-Security规范。重新回顾安全问题的三个概念:Confidentiality(机密性), Integrity(完整性), Authentication(身份鉴别),在Web Service使用SOAPXML 格式)作为消息传输协议的背景下,分别产生了XML Digital SignatureXML EncryptionSAML(XML格式的Security Token), WS-Security则是如何将他们组合起来以满足Web Service安全需求的一套规范。

    相关内容留待以后介绍。

(原文请见博客源idior专栏)

  
xxqq0824
关注
27、Types of Security Attacks in Cyber-Physical Systems
ik678901的博客
06-17 22
This blog explores the various types of security attacks targeting Cyber-Physical Systems (CPS), including malicious attacks, insider threats, and external threats. It discusses key attack mechanisms such as command injection, buffer overflow, SQL injectio
纯java调用ws-security+CXF实现的webservice安全接口
08-31
纯java调用ws-security+CXF实现的webservice安全接口
Web Service修炼之三WS-Security
开源技术
10-17 244
XFire在1.1中已经支持ws-security了。XFire通过wss4j提供ws-security支持。 1.环境准备     前提条件要安装Unlimited Strength Jurisdiction Policy(可以在http://java.sun.com/j2se/1.5.0/download.jsp 或http://java.sun.com/j2se/1.4.2/down...
webservice 安全性 对外_WebService安全性的几种实现方法【身份识别】
weixin_40008033的博客
12-19 422
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了.首先我们来介绍webservice下的两种验证方式,一.通过集成windows身份验证通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然因为与win...
Web Service Security
hmh1985
03-20 108
http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss
tryhackme-Pre Security-Windows Fundamentals 3(Windows基础知识3)
2301_79096184的博客
12-22 1136
我们将继续探索 Windows 操作系统。本模块将尝试提供 Windows 操作系统中安全功能的概述。按下面的按钮启动附加的虚拟机。如果您希望通过远程桌面访问虚拟机,请使用下面的凭据。
CRC Press - Investigating Computer-Related Crime.7z
08-21
Web. The designers of the Internet never envisioned that it would become the hub of international commerce. As a result, security was not built into the original design of the Internet. The wide ...
C# Web Service & Interface Introduction
DanielChen的博客
08-31 262
一  Web Service的创建 1.在WebApplication下创建WebService 2.创建Request类与Response类,用于传参和返回参数。 Request是接口参数,在对方调接口函数时填写的参数。 Response是接口函数的返回值,一般返回接口执行状态和对应的信息。 using System; using System.Collections.Generic...
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
C#WebService-Soap扩展实现安全认证
11-24
分高但绝对值-简介: 1、利用SoapExtension,SoapExtensionAttribute,实现Soap自定义Attribute(标签)扩展类。 2、利用SoapHeader应用Soap扩展。 3、在写WebService时只需加认证标签,客户端调用时传入SoapHeader,即可完成认证。 4、当然你还可以发挥,比如压缩消息,日志记录,Trace之类,网上也有很多文章讲。
实现 Web Service Security
lwsolos的专栏
07-04 2667
WS-Security 标准显然,需要有一个保护 Web 服务的业界标准方法,2002 年 4 月,IBM、Microsoft 和 Verisign 对这种需求作出了反应。WS-Security 规范(另请参阅参考资料)中描述到:“WS-Security 描述通过消息完整性、消息机密性和单独消息认证提供保护质量的 SOAP 消息传递增强。这些机制可以用于提供多种安全模型和加密技术。WS-S
Webservice 安全性访问
manjianghong86的专栏
04-01 557
1.访问安全性     WebService对于我们来说并不陌生,在很多地方我们都会使用到它,它为我们带来了很多方便,同时解决了多平台之间的通讯协议问题等等,因为WebService是以一种Http请求和Xml响应的方式来达成多平台之间的接入。这种方式我们一般称之为‘接口’。这里需要说明的是:所谓平台是指开发平台(例如ASP.NET和Java等开发平台)和站点平台(例如淘宝网站和支付宝网站)
第 30 章 Web Service Security
weixin_33721427的博客
12-18 123
<?php /* * ===================================== * Website: http://netkiller.github.com * Author: neo <netkiller@msn.com> * Email: netkiller@msn.com * ===============...
WebService的安全性讨论【身份识别】
weixin_34344403的博客
03-23 322
相信很多开发者都用过WebService来实现程序的面向服务,本文主要介绍WebService的身份识别实现方式,当然本文会提供一个不是很完善的例子,权当抱砖引玉了. 首先我们来介绍webservice下的两种验证方式, 一.通过集成windows身份验证 通过集成windows方式解决webservice的安全问题是一个很简洁,并且行之有效的解决方案,该方案的优点是比较安全,性能较好,当然...
webservice 安全性 对外_webservice安全性
weixin_39542889的博客
12-19 160
一.使用soaphead方法可以在webservice的请求中增加头部信息,当有人调用我们的webservice时,可以通过查询这个请求的头部信息并验证来防止该软件以外的程序调用webservice服务器部分using System;using System.Web.Services;using System.Web.Services.Protocols;// 请注意此命名空间必须...
webservice 安全性 对外_webservice安全性浅谈 | 学步园
weixin_39614322的博客
01-30 240
做项目时,经常会用到WebService来通讯,但WebService发布后为了能调用,一般都通过发布到IIS后调用的。在IIS里可以通过匿名访问,但这样大家都可能访问,不安全,因此可以提供操作系统分配一个帐号来登录到IIS。这只是对访问服务器上的文件进行了限制,以前我也是采用这种方式,上次看到另 一种方法来防止别人调用WebService,就是对方面进行加密,总结下来,对于WebService可...
jax-ws之webservice security(安全)教程第三天
fulerbakesi
01-20 397
前言: 在今天的学习中,我们讲开始过渡到一个真正的websecurity例子。 第二天中我们知道了如何使用handler来处理客户端提交上来的用户名与密码,而在今天的学习中,我们将会使用服务端预先配置的用户名与密码来authenticate客户端提交上来的值。 相对于第二天的学习,如果客户端提交的用户名与密码输错,但还是能够与服务端建立http连接来说,第三天中的例子的安全性则更高,当客户端...
isd-history
最新发布
03-02
### ISD History in IT Context Information Systems Development (ISD) has evolved significantly over time within the Information Technology domain. Initially, ISD focused on developing transaction processing systems to automate manual processes and improve efficiency[^1]. As organizations grew more complex, so did their requirements for information systems. In the early stages, mainframe computers were central to ISD efforts, supporting batch processing applications critical for business operations. With advancements in technology, client-server architectures emerged, enabling distributed computing environments where data could be processed closer to its source. This shift marked a significant change in how businesses approached system design and implementation. The introduction of object-oriented programming languages further transformed ISD practices by promoting modularity and reuse of code components. These developments facilitated faster development cycles while reducing errors through better structuring principles applied during software construction phases. During this period, there was also increasing recognition that successful ISD projects required not only technical expertise but also understanding organizational needs and strategic alignment with business goals. Management involvement became crucial as they provided direction regarding priorities and resource allocation necessary for effective project execution. Technology continued advancing rapidly into web-based services and cloud computing platforms which introduced new challenges related to security, scalability, interoperability between heterogeneous systems – all impacting modern-day approaches towards managing enterprise-wide resources efficiently via integrated solutions designed around service-oriented architecture(SOA). With big data analytics becoming prevalent across industries today, contemporary ISD focuses heavily on leveraging insights derived from vast datasets using machine learning algorithms alongside traditional methods like statistical modeling techniques; thereby enhancing decision-making capabilities at various levels within enterprises. ```python # Example Python Code Demonstrating Data Analysis import pandas as pd data = {'year': [2017, 2018, 2019], 'value': [100, 150, 200]} df = pd.DataFrame(data) print(df.describe()) ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值