基于SOAP安全扩展的Web服务研究

SOAP(Simple Object Access Protocol,简单对象访问协议)是一种基于XML的通信协议。本文在分析基于SOAP的Web服务结构以及SOAP消息构成后,提出了一种加强Web服务安全的SOAP数字签名技术,确保了Web服务完整性和安全性。     

用XML签名及SOAP信息头实现安全Web服务

针对Web服务领域在安全方面存在的问题，分析了Web服务安全解决方案的现状，描述了XML签名语法及其处理过程，结合实例阐述了XML签名语法在提高Web服务的安全性上的优越性，并探讨了SOAP(简单对象访问协议)信息头在创建安全Web服务中的作用。     

XML Web服务及其安全性分析

在电子商务安全性的研究中,Web服务遵循XML通信标准,Web服务的请求和响应是通过SOAP实现,这使得它们在传输时的安全变得更为重要。主要针对基于XML Web服务的电子商务系统中的安全性进行了分析,重点是对实现不同级别安全性的各种安全技术进行了剖析,并对各种与XML Web服务安全性相关的技术做了深入研究和对比。     

一种基于SOA的SOAP消息安全传输机制

随着SOA技术的发展与普及应用,基于SOA的Web服务安全问题日益突出,而SOAP消息传输的安全性是决定Web服务安全的重要因素。目前SOAP消息的传输主要依赖于WS安全标准,但由于WS安全标准存在种种缺陷,因此SOAP消息在传输过程中会受到XML注入攻击等Web攻击。提出了一种新的SOAP消息安全传输机制,即在现有的基于WS安全标准的安全传输机制基础上添加SOAP Validation节点。最后通过实验验证,该安全传输机制能检测出XML注入攻击,提高SOAP消息传输的安全性。     

一种简单的Web服务安全通信模型研究

介绍了Web服务通信安全需求以及目前常用的安全通信技术,并详细介绍了XML数字签名和XML加密机制,包括二者的基本结构及使用方法等,同时介绍了现有的几种安全通信机制如防火墙、SSL。针对Web服务的安全需求,包括数据机密性、完整性等,根据现有的安全通信机制以及WS-Security规范提出一种简单的安全通信模型。模型应用XML数字签名和XML加密技术,并对SOAP消息进行扩展,加入时间戳和随机安全序列号来唯一地标识用于通信的SOAP消息,基本保障Web服务通信的安全。     

Web服务安全关键技术研究综述

Web服务是一个新的分布式计算模型,是Web上数据和信息集成的有效机制。Web服务安全是制约Web曲服务发展的关键问题之一。Web服务安全的实质就是运用WS-Security和其它规范结合XML安全技术保障SOAP通信的安全。本文介绍了Web服务的基本概念,阐述了传统Web安全技术并指出了它们的不足,重点分析了当前Web服务安全的核心技术,包括XML签名、XML加密、SAML、WS-Security等,指出存在的问题,总结了目前Web安全的现状及其面临的挑战。     

一个Web服务消息级别的安全模型研究

分析了现有的Web服务体系结构中存在的安全问题.结合Web服务的基本组件和协议,说明了如何利用现有的安全规范和标准在消息级别上确保Web服务的安全,给出了一个综合使用WS-Security安全规范(包括XML数字签名、XML加密)、SAML标准和XML防火墙技术建立的安全模型以保证SOAP消息进行端对端安全传输.     

XML Web服务安全问题及其安全技术

详尽说明了XML Web服务的安全问题，介绍了几种相关的安全技术，着重示例阐述了基于SOAP协议的安全技术。     

基于SOAP协议的Web Services安全性研究

针对Web Services应用中日益出现的安全问题,论述了当前Web Services安全性现状.解决Web Services安全性问题的重点在于SOAP协议的安全性,分析传输层SSL协议和基于XML安全规范的SOAP安全性扩展技术各自特点,通过实例给出一种安全性问题改进方法.该方法在Web Services安全性方面具有实际应用价值.     

依据XML和SOAP扩展的Web安全服务

本文首先介绍了Web Services的体系结构,在此基础上分析当前使用的Web Services安全机制中存在的安全问题,然后根据Web Services Security规范及其开发Web服务的方法,重点研究了XML加密和SOAP的安全性拓展,并结合实例进行综合分析,最后对于Web Services的应用进行了展望。     

SOA架构下的强制访问控制模型研究与实现

采用Web Service技术,以TOMCAT为平台构建了一个包含服务提供者、服务使用者及服务注册中心的SOA原型系统。基于BLP模型提出了一种SOA架构下的强制访问控制模型,使用多级安全策略,结合XML加密/解密、SOAP扩展等安全技术,提出并设计了客户端安全代理和XML安全代理网关两个功能模块,将系统的控制点前移,对服务资源及使用者进行细粒度的访问控制,能够很好地满足SOA的安全特性。     

基于Web服务EAMS的性能及安全研究

针对使用Web服务构建EAMS(企业资产管理系统)时的实时交互性能差以及服务通信安全无法保证等问题,提出了基于序列化、数据压缩、数据加密和数字签名等技术的有效解决方案.该系统采用.NET框架的RemotingFormat序列化Web服务传递的数据集并对其压缩传输的方式,解决了实时性交互问题.通过对SOAP消息头的扩展,对SOAP消息进行加密、签名、添加令牌等操作,实现了Web服务通信的端到端的消息级安全.测试结果表明,基于Web服务的EAMS的实时交互性能和服务通信安全得到了有效保障.     

基于Web服务的房地产短信平台的设计与实现

Web服务这一当前最有价值且较新的分布式应用技术越来越受到广泛的关注.分析介绍了Web服务的含义、特点、体系结构以及安全性,并对其核心技术SOAP、WSDL和UDDI进行了探讨与研究.利用Web服务的跨平台可互操作性构建了一个分布式的房地产短信平台,该平台服务器通过XML技术和通讯运营商这种异构平台之间进行频繁地数据交换.最后给出了该短信平台的具体设计和实现方法.     

Validating a web service security abstraction by typing

An XML web service is, to a first approximation, an RPC service in which requests and responses are encoded in XML as SOAP envelopes, and transported over HTTP. We consider the problem of authenticating requests and responses at the SOAP-level, rather than relying on transport-level security. We propose a security abstraction, inspired by earlier work on secure RPC, in which the methods exported by a web service are annotated with one of three security levels: none, authenticated, or both authenticated and encrypted. We model our abstraction as an object calculus with primitives for defining and calling web services. We describe the semantics of our object calculus by translating to a lower level language with primitives for message passing and cryptography. To validate our semantics, we embed correspondence assertions that specify the correct authentication of requests and responses. By appeal to the type theory for cryptographic protocols of Gordon and Jeffrey's Cryptyc, we verify the correspondence assertions simply by typing. Finally, we describe an implementation of our semantics via custom SOAP headers. Received December 2003 Revised November 2004 Accepted December 2004 by A. E. Abdallah, P. Y. A. Ryan, S. A. Schneider and D. J. Cooke     

移动电子政务平台中安全Web服务的研究

在移动电子政务平台中,使用Webservice是常见的部署方案,web服务是自包含、自描述、模块化的应用,可以通过Web调用它部署的服务,但要求慎重考虑安全性,Web服务使用SOAP协议进行消息传送,SOAP以XML格式在信道中传输,存在信息泄露的风险,传送敏感数据时一定要加密。为解决安全性问题提出一种基于．NET平台的解决方案,使用Web服务时,通过授权的用户经过身份验证可以访问网络信息,客户端在登录时,先获取服务端的公钥,再与服务端协商出用于SOAP消息加密用的非对称密钥与对称密钥,并获取加密后的SessionID,利用SOAP头实现身份验证,利用SOAP扩展实现SOAP消息的选择性加密,使移动电子政务安全性得到保障。     

基于Web服务自动摘要系统的安全实现方案

在基于Web服务自动摘要系统的开发过程中,如何保障Web服务的安全是一个必须解决的难题。该文设计了一种利用SOAP消息头传递验证信息、基于会话的高效Web服务安全通信机制。实验证明,该安全通信方案满足了系统的安全需求。     

Securing SOAP e-services

Remote service invocation via HTTP and XML promises to become an important component of the Internet infrastructure. Work is ongoing in the W3C XML Protocol Working Group to define a common standard, and solutions like SOAP and XML-RPC are already used in a few situations, demonstrating the potential. However, no standard technique for access control security is currently defined for these protocols. In this paper, we propose an approach that relies on the XML structure of SOAP requests to support fine-grained authorizations at the level of individual XML elements and attributes that comprise a SOAP call. The result is a simple yet general technique to specify and enforce fine-grained access control for e-services. Published online: 13 November 2001     

基于Axis2的web服务安全框架设计与实现

web服务的广泛应用和网络技术多元化的发展迫切需求一个既能实现web服务安全,又能兼容各种客户端的安全框架.在Axis2的基础上,设计并实现了一个完整的、符合WS-Security规范的web服务框架.框架以文件配置、消息加密和程序控制实现web服务安全,采用SOAP通信协议解决了与各种客户端通信的问题.测试结果表明,此框架可以实现数字签名、消息加密和基于角色的访问控制,能够接收各种基于SOAP协议的客户端请求,具有很好的安全性和兼容性,为企业的web服务安全提供了一个有效的解决方案.