基于dotnet環(huán)境下Web服務(wù)安全性研究與實(shí)現(xiàn).pdf

1、Web服務(wù)作為新一代分布式技術(shù),它的松散耦合性、跨平臺(tái)、跨語(yǔ)言、良好的互操作特性已為許多專家擁護(hù)并得到廣大 IT公司和組織的支持。Web服務(wù)技術(shù)的應(yīng)用是全球網(wǎng)絡(luò)化高速發(fā)展的需要,它的廣泛應(yīng)用將是大勢(shì)所趨。作為基于網(wǎng)絡(luò)的分布式系統(tǒng),安全性是不得不首先考慮的重要因素。
　　Web服務(wù)通信基于SOAP協(xié)議,SOAP通信安全涉及端到端的安全、應(yīng)用的獨(dú)立性、傳輸?shù)莫?dú)立性、存儲(chǔ)消息的安全性等特殊需求,目前常用的安全通信機(jī)制有 SSL、TLS、

2、IPSec等,雖然在一定程度上保證了消息的機(jī)密性,但并不能完全滿足上述SOAP通信安全的需求,而且這些方法缺乏良好的靈活性和可擴(kuò)展性,因此不適用應(yīng)用層SOAP消息的安全保護(hù)。
　　本文致力于解決Web服務(wù)通信過(guò)程中SOAP消息的安全問(wèn)題,實(shí)現(xiàn)適合Web服務(wù)特有的保護(hù)其消息機(jī)密性、消息完整性和不可否認(rèn)性的方法?；趯?duì)Web服務(wù)通信機(jī)制充分理解的基礎(chǔ)上,對(duì)其通信過(guò)程中的安全需求進(jìn)行分析,給出一套在dotNet平臺(tái)下實(shí)現(xiàn)安全Web服務(wù)的

3、技術(shù)與開發(fā)過(guò)程。
　　1. Web服務(wù)具有良好的兼容性和與平臺(tái)無(wú)關(guān)互操作性,它允許在不同平臺(tái)上、以不同語(yǔ)言編寫的各種 Web服務(wù)程序以基于標(biāo)準(zhǔn)的方式相互通信。文中分析了 Web服務(wù)技術(shù)的優(yōu)勢(shì)、幾個(gè)關(guān)鍵技術(shù)及其面臨的安全威脅;
　　2. Web服務(wù)通信過(guò)程中遇到各種安全問(wèn)題,主要問(wèn)題有消息被截取,泄露消息內(nèi)容,篡改消息及否認(rèn)消息發(fā)送動(dòng)作。本文針對(duì)這幾個(gè)方面的安全問(wèn)題,提出需求,指出使用針對(duì)SOAP消息的安全技術(shù)來(lái)保證Web服務(wù)

4、的通信安全的必要性;要確保 Web服務(wù)的安全,核心內(nèi)容就是確保傳輸消息的安全,即 SOAP的安全。保護(hù) SOAP本身的安全,可以對(duì)其進(jìn)行加密和數(shù)字簽名處理。本文給出了XML加解密過(guò)程,并提供一種針對(duì)SOAP消息通信中端到端的安全技術(shù);
　　3.基于對(duì)Web服務(wù)安全規(guī)范WS-Security的研究及對(duì)Web服務(wù)安全進(jìn)行多方面的需求分析,結(jié)合微軟開發(fā)工具VS.net2003和Web服務(wù)增強(qiáng)插件WSE,在此開發(fā)了符合WS-Securit