基于Web Service的安全业务体系结构的设计

综合应用了Web Service安全标准，混合使用了浏览器到服务器和重写基本任务模块两种应用模式，利用插件服务方法设计了基于Web Services的安全业务体系结构原型，实现了加密、数字签名、授权和验证等方面的安全性。系统采用基于角色的访问控制RBAC实现访问控制策略，基于SAML标准实现认证和授权，利用XML加密和XML数字签名实现SOAP消息和XML文档的加密与签名。     

一种基于AXIS的Web服务安全模型设计及实现

本文讨论了Web服务安全模型和SOAP消息安全框架的核心技术,利用AXIS引擎的处理器可扩展性,按XML数字签名和加密规范建立了SOAP消息安全处理机制,设计了一套基于AXIS的SOAP消息级Web服务安全模型,并且进行了实现。     

一个Web服务消息级别的安全模型研究

分析了现有的Web服务体系结构中存在的安全问题。结合Web服务的基本组件和协议,说明了如何利用现有的安全规范和标准在消息级别上确保Web服务的安全,给出了一个综合使用WS-Security安全规范(包括XML数字签名、XML加密)、SAML标准和XML防火墙技术建立的安全模型以保证SOAP消息进行端对端安全传输。     

一个Web服务消息级别的安全模型研究

分析了现有的Web服务体系结构中存在的安全问题.结合Web服务的基本组件和协议,说明了如何利用现有的安全规范和标准在消息级别上确保Web服务的安全,给出了一个综合使用WS-Security安全规范(包括XML数字签名、XML加密)、SAML标准和XML防火墙技术建立的安全模型以保证SOAP消息进行端对端安全传输.     

基于SOAP消息扩展的服务访问权限控制

简单对象访问协议(SOAP)是面向服务架构(SOA)中实现远程服务调用的协议,但是它没有定义标准的服务访问控制规范。本文提出了一种符合SOAP消息中XML语法的服务访问控制结构,并以此结构为基础,构建了一个动态细粒度基于角色的服务访问控制模型DFG-RBAC(Dynamic Fine Grain Role-based Access Control)。同时,利用目录服务器设计了服务访问权限数据存储与查询机制,实现了精确、高效的服务访问控制。     

一种基于SOA的SOAP消息安全传输机制

随着SOA技术的发展与普及应用,基于SOA的Web服务安全问题日益突出,而SOAP消息传输的安全性是决定Web服务安全的重要因素。目前SOAP消息的传输主要依赖于WS安全标准,但由于WS安全标准存在种种缺陷,因此SOAP消息在传输过程中会受到XML注入攻击等Web攻击。提出了一种新的SOAP消息安全传输机制,即在现有的基于WS安全标准的安全传输机制基础上添加SOAP Validation节点。最后通过实验验证,该安全传输机制能检测出XML注入攻击,提高SOAP消息传输的安全性。     

一种简单的Web服务安全通信模型研究

介绍了Web服务通信安全需求以及目前常用的安全通信技术,并详细介绍了XML数字签名和XML加密机制,包括二者的基本结构及使用方法等,同时介绍了现有的几种安全通信机制如防火墙、SSL。针对Web服务的安全需求,包括数据机密性、完整性等,根据现有的安全通信机制以及WS-Security规范提出一种简单的安全通信模型。模型应用XML数字签名和XML加密技术,并对SOAP消息进行扩展,加入时间戳和随机安全序列号来唯一地标识用于通信的SOAP消息,基本保障Web服务通信的安全。     

基于SPKI的XML Web服务安全性分析

介绍了Web服务的安全性问题,分析了当前Web服务的安全模型和框架.特别对SOAP层的消息安全进行了重点介绍,包括XML加密和XML数字签名,阐述了SOAP安全扩展.介绍了WS-Security规范,在此基础上提议采用SPKI证书作为授权和身份验证的安全性令牌,具体阐述了SPKI安全令牌的结构和在Web服务中的使用优势.最后,形成了一个集XML安全、SOAP安全、UDDI安全和SPKI证书安全为一体的Web服务安全结构.     

SOAP消息安全性分析及其加密、签名的实现

首先针对SOAP消息的安全性问题进行了分析，指出了利用SSL传输SOAP消息的局限性。此外，文章依据WS-Securry等规范，在．NET平台上结合实例给出了对SOAP消息进行加密、签名的一般步骤和方法，从而在不安全的信道中实现了SOAP消息的安全通信。     

一个Web服务访问控制模型

本文设计了一种Web服务的通信机制用来解决应用层SOAP消息的安全传输，通过扩展SAML的语法与XACML结合来实现其应用，以解决访问控制的问题，并在此基础上提出了一个完整的Web服务的访问控制模型，保证对Web服务安全的、细粒度的访问控制。最后，以一个应用的实例来具体地实现此访问控制模型。     

SOA架构下的强制访问控制模型研究与实现

采用Web Service技术,以TOMCAT为平台构建了一个包含服务提供者、服务使用者及服务注册中心的SOA原型系统。基于BLP模型提出了一种SOA架构下的强制访问控制模型,使用多级安全策略,结合XML加密/解密、SOAP扩展等安全技术,提出并设计了客户端安全代理和XML安全代理网关两个功能模块,将系统的控制点前移,对服务资源及使用者进行细粒度的访问控制,能够很好地满足SOA的安全特性。     

Securing SOAP e-services

Remote service invocation via HTTP and XML promises to become an important component of the Internet infrastructure. Work is ongoing in the W3C XML Protocol Working Group to define a common standard, and solutions like SOAP and XML-RPC are already used in a few situations, demonstrating the potential. However, no standard technique for access control security is currently defined for these protocols. In this paper, we propose an approach that relies on the XML structure of SOAP requests to support fine-grained authorizations at the level of individual XML elements and attributes that comprise a SOAP call. The result is a simple yet general technique to specify and enforce fine-grained access control for e-services. Published online: 13 November 2001     

基于SOAP安全技术的电子商务安全性研究

开发基于SOAP的Web服务和B2B应用时,仪依靠现有的传输层安全机制(如SSL)不能使不可否认性和端到端的安全性要求得到满足。同时使用SSL和SOAP数字签名以及XML加密是保护被传输SOAP消息的安全性的好方法。     

SOAP在在线交易系统中的应用

电子商务中的安全性问题是制约其能否得到普及应用的一个重要因素，简单对象访问协议(SOAP)是为连接在Internet上的不同应用程序之间使用XML格式相互交换信息的规范。由于其设计目标是简单性和可扩展性．因而对数据传输中的安全性考虑较少，这就使得它在安全性要求较高的应用场合中受到制约。文中对在线交易系统中的信息传递过程中的安全性问题进行了分析，提出了使用SOAP安全扩展——数字签名作为安全性问题的解决方案．并成功地应用在某服装在线交易系统中。     

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.     

A novel policy-driven reversible anonymisation scheme for XML-based services

This paper proposes a reversible anonymisation scheme for XML messages that supports fine-grained enforcement of XACML-based privacy policies. Reversible anonymisation means that information in XML messages is anonymised, however the information required to reverse the anonymisation is cryptographically protected in the messages. The policy can control access down to octet ranges of individual elements or attributes in XML messages. The reversible anonymisation protocol effectively implements a multi-level privacy and security based approach, so that only authorised stakeholders can disclose confidential information up to the privacy or security level they are authorised for. The approach furthermore supports a shared secret based scheme, where stakeholders need to agree to disclose confidential information. Last, it supports time limited access to private or confidential information. This opens up for improved control of access to private or confidential information in XML messages used by a service oriented architecture. The solution provides horizontally scalable confidentiality protection for certain types of big data applications, like XML databases, secure logging and data retention repositories.