面向Web服务的SAML路径验证协议及其性能分析

基于PKI的签名机制在保护SAMI、断言传递时存在增加SOAP消息长度、显著降低Wcb服务响应速度的 问题。为此,提出了基于身份聚合签名的SAML路径验证(相似文献   

IBC模型在Web安全体系中的应用研究

针对目前基于公钥证书的PKI体系所固有的网络开销大,证书往来过于频繁等缺点,提出并分析了基于身份加密体系(IBC体系)的认证架构和互动模型,说明了IBC模型相对于PKI体系结构的优缺点.针对XML签名和XML加密这两个Web-Security核心协议,比较了使用X.509公钥证书体系和IBC无证书方式在SOAP协议中的实现方式.证明了在保证信息安全的同时,使用IBC模型可以大幅降低网络传输内容,提高了SOA体系的效率和可扩展性.     

基于XKMS与SAML的Web服务安全模型

结合WS-Security提出了一个基于SAML和XKMS的web服务安全模型,并引入了SOAP安全工具包的概念。通过SAML实现跨域认证和授权,通过XKMS屏蔽PKI的复杂性,实现端到端消息级传输安全。文章详细描述了SOAP工具包的工作原理,并给出了一个SOAP扩展消息实例。     

基于属性的Web服务安全访问控制方案

本文基于Web服务的典型应用的安全需求,将Web服务安全规范协同使用设计了基于属性的Web服务安全访问控制方案.将安全应用于SOAP消息,为Web服务安全提供整体的解决方案,既满足端到端的消息安全要求,又提供访问控制.方案充分考虑Web服务跨组织、动态交互的特点,使用SAML断言传递安全信息以实现信任传递,针对PKI部署复杂以及不同PKI解决方案之间难于互操作的缺点,使用XKMS服务提供PKI功能.     

一种基于身份的聚合签名方案

基于身份的聚合签名方案的提出为验证人员对多个基于身份的签名(这些签名是多个用户分别用自己的身份对多个不同的消息进行签名所得)进行一次性验证提供了方便.基于椭圆曲线中的m-挠群给出一种基于身份的聚合签名方案,并证明该方案在随机预言模型下是安全的.该方案具有两大优点:一是聚合签名减少了签名验证的工作量,提高了工作效率;二是以签名人员的身份作为验证公钥,解决了公钥管理问题.     

一个Web服务消息级别的安全模型研究

分析了现有的Web服务体系结构中存在的安全问题。结合Web服务的基本组件和协议,说明了如何利用现有的安全规范和标准在消息级别上确保Web服务的安全,给出了一个综合使用WS-Security安全规范(包括XML数字签名、XML加密)、SAML标准和XML防火墙技术建立的安全模型以保证SOAP消息进行端对端安全传输。     

门限签名中的部分签名验证协议

在一般的签名验证协议中,通常可以利用公钥对由私钥和消息产生的签名结果进行验证,以判断消息是否被篡改以及确认签名者的身份。但在门限签名环境中,因为私钥片段没有对应的公钥,所以由这些私钥片段所产生的部分签名无法通过相应公钥进行验证以判断其真实性。为了在门限签名环境中鉴别欺诈者,该文提出了一种适合于门限签名环境下的、无须公钥的签名验证协议,并证明其安全性。     

一个强安全的无证书签名方案的分析和改进

无证书公钥密码体制结合了基于身份的密码体制和传统PKI公钥密码体制的优势,克服了基于身份的公钥密码体制的密钥托管问题及PKI系统的证书管理问题,具有明显的优势.对Hassouna等提出的一个强安全无证书签名方案进行安全分析.结果表明,该方案不能验证消息的完整性,存在消息篡改攻击,且方案未使用根据系统主密钥生成的私钥进行签名,所以不是无证书签名方案.在此基础上,提出了一个改进的无证书签名方案,在随机预言机模型下,基于椭圆曲线Diffie-Hellman问题假设,证明了该方案可以抵抗第一类强敌手和第二类敌手的攻击,满足存在性不可伪造的安全性.     

一种高效的可证明安全的无证书数字签名方案

无证书公钥密码体制结合了基于身份和传统PKI公钥密码体制的优势,而且还克服了基于身份公钥密码体制的密钥托管问题以及PKI系统的证书管理问题,但是运算效率低。针对传统的无证书数字签名运算效率低的问题,提出一个在随机预言机模型下可证明安全的无证书数字签名方案。通过在系统初始化阶段预计算一次双线性对运算,该方案在签名阶段不需要对运算,而且在验证阶段仅仅需要一次双线性对预算,比以往的无证书数字签名方案具有高的运算效率和通信效率。     

一种灵活的SOAP签名加密方案

提出一种灵活的简单对象访问协议(SOAP)消息部分签名加密方案,该方案能够达到功能性逻辑设计与非功能性安全设计分离的目的,增强系统的可维护性和扩展性,实现SOAP消息部分签名加密功能。在.NET环境下使用WSE3.0实现了该方案,证明其具有较好的推广应用价值。     

基于Web Service的安全业务体系结构的设计

综合应用了Web Service安全标准，混合使用了浏览器到服务器和重写基本任务模块两种应用模式，利用插件服务方法设计了基于Web Services的安全业务体系结构原型，实现了加密、数字签名、授权和验证等方面的安全性。系统采用基于角色的访问控制RBAC实现访问控制策略，基于SAML标准实现认证和授权，利用XML加密和XML数字签名实现SOAP消息和XML文档的加密与签名。     

基于SAML与XKMS的安全单点登录认证模型的研究与实现*

针对Browser/Artifact方式进行单点登录时存在的安全性问题,设计出一种基于SAML与XKMS的安全单点登录认证模型。它采用一种结合传统PKI与XML密钥管理规范（XKMS）的统一密钥管理子层来提供密钥管理,使用XML数字签名和加密技术来保证SAML声明传递的安全性。通过在J2EE平台上实现,证明了该模型可以很好地解决Browser/Artifact方式传递SAML声明存在的安全性问题。     

电子商务标准cnXML中的消息服务策略研究

提出了cnxML消息服务的总体架构，从消息封装、消息传输、消息安全3个方面对cnXML的消息服务进行了深入细致的研究，主要包括基于SOAP的消息封装、消息传输中的错误处理、可靠传输和协议绑定，以及采用数字签名与传输安全相结合的cnXML消息安全方案。     

Web服务消息级安全模型的设计及评价

保证Web服务安全通信的机制有两种：传输级安全机制紧密耦合于下层平台,只能保证点到点的安全通信;而消息级安全机制能够提供异质环境的端到端安全保证.在WS-Security、SAML和XKMS等有关消息级安全的规范基础上,设计了一消息安全模型,并对其进行了安全性评价.该模型能够保证SOAP消息的机密性、完整性、不可否认性、认证和授权,能够保证Web服务的安全.     

一种新型SOAP消息附件安全保障模型

随着Web服务的广泛应用和发展，提供安全保障能力是Web服务在商业应用中获得成功的关键因素。然而，目前还没有一种有效的方法对SOAP消息附件提供安全性支持。针对这一问题，本文提出了一种新型的SOAP附件安全保障模型，它可以在不改变客户端和服务器端内部实现的情况下，对附件进行加密和数字签名。在多中间节点的场景中，附件可以不经过任何中间节点从客户端直接发送到服务器，在减少附件被攻击可能性的同时提高了服务的执行效率。本模型在Web应用服务器上进行了原型实现，实验结果表明，该模型具有普遍性，可以高效地为企业提供附件安全保障。     

Web服务安全模型的研究与实现

提出了一个基于XKMS与SAML的Web服务安全模型，完成了应用层SOAP消息的安全性传输，实现了安全的身份验证及单点登录，保证了所传输消息的机密性、完整性、抗抵赖性，并以一个应用实例来具体实现了此安全模型的功能。     

基于信任与授权的多方数据安全交换体系

针对目前日益增长的互联网环境下多应用协同工作的系统运行模式,基于SAML标准统一信任与授权平台,结合PKI以及XML安全加密技术的运用,设计了一种安全、灵活的数据交换体系,为多个业务应用系统协同工作提供了统一、安全的数据交换平台。