基于SOA的Web服務安全交互的實現(xiàn)方法.pdf

1、面向服務的體系架構（Service Oriented Architec ture,SOA）作為近年來IT業(yè)界的焦點，已經(jīng)逐漸成為影響中國IT系統(tǒng)構建的主導思想。WebService通過一系列的標準技術，已成為企業(yè)實現(xiàn)SOA的首選，它實現(xiàn)了真正意義上的平臺無關性和語言獨立性。隨著WebService的廣泛應用，其安全交互也變得越來越難以實現(xiàn)，因此，針對WebService安全和互操作，制定了相關規(guī)范并不斷進行更新。由于WebService

2、安全規(guī)范涉及到消息的認證機制、機密性和完整性等方面，且可選擇的余地很大，因此不同應用服務器提供的對WebService安全機制的支持也不盡相同。于是，如何讓運行在不同應用服務器環(huán)境中的程序進行安全交互成了一大難題。
　　SOA雖然解決了異構平臺下Web服務的相互調用，且不同平臺間的安全信息交換也有相應安全標準(WS-Security)，但是異構環(huán)境下各Web服務平臺對WS-Security規(guī)范的支持存在不統(tǒng)一的地方，且各平臺在WS

3、-Security規(guī)范的實現(xiàn)上也存在著一些差異。例如WCF使用.pfx和.cer格式的證書，WAS將證書以.jks格式存放在Java密鑰倉庫（JKS）中；而且在安全策略的形式上也存在不同，WCF的策略配置放在.exe.config文件中，而WebSphere則放在policy.xml及policySet.xml中。
　　針對以上異構平臺下Web服務的安全問題，本文從SOAP消息的安全性角度出發(fā)，探討了異構平臺環(huán)境下Web服務交互的