Web服务安全性问题综述概述现有的Web服务体系架构缺少有效的安全性支持，所以需要一个安全框架模型来解决Web服务中的各种安全问题。本文结合Web服务的基本组件和协议，说明了如何利用现有的安全技术和设施来确保Web服务的安全，并着重指出了如何在Web服务环境中添加一些基本的保护机制和安全信息。在此基础上，分析了在安全框架的指导下建立的各种应用和扩展规范，阐明了如何构建可互操作的安全的Web服务集成方案。Web服务概述Web服务(WebServices)是一种完全基于XML(eXtensibleMarkupLanguage)的软件技术。它提供了一个标准的方式，用于应用程序之间的通信和互操作，而不管这些应用程序运行在什么样的平台上和使用什么架构。W3C把Web服务定义为由一个URI(UniformResourceIdentifier)识别的软件系统，使用XML来定义和描述公共界面及其绑定。使用这种描述和定义，应用系统之间可以通过在互联网上传送基于XML的消息进行互操作。从使用者的角度而言，Web服务实际上是一种部署在Web上的对象/组件。通过Web服务，企业可以包装现有的业务处理过程，把它们作为服务来发布（publish）,查找和订阅其他的服务，以及在企业间交换信息和集成对方的服务。Web服务使得应用到应用的电子交易成为可能，免除了人的参与，极大的提高了效率。2.1．Web服务协议栈为了完成在松散耦合下的对象访问，Web服务定义了一系列的协议规范，如图1所示。5．服务发布/发现：UDDIManagement：管理界面4．服务描述:WSDL3．XML消息:SOAP2．传输协议:HTTP,SMTP1．Internet:ipv4,ipv6HTTP:HyperTextTransferProtocol，超文本传输协议SMTP:SimpleMailTransferProtocol，简单邮件传输协议SOAP:SimpleObjectAccessProtocol，简单对象访问协议WSDL：WebServicesDescriptionLanguage，Web服务描述语言UDDI：UniversalDescription,DiscoveryandIntegration，统一描述，发现和集成图1.Web服务协议层次其中，第1，2两层是已经定义好的并且广泛使用的传输层和网络层的标准：IP、HTTP、SMTP等。而第3，4，5三层是目前开发的Web服务的相关标准协议，包括服务调用协议SOAP、服务描述协议WSDL和服务发现/集成协议UDDI。图中右侧部分是各个协议层的公用机制，这些机制一般由外部的正交机制来完成。2.2.Web服务的调用过程利用Web服务可以建立面向服务的集成系统。这就是说，不用改变现有的各种应用，也不关心它们技术的不同(比如是java,还是.net),利用Web服务的消息驱动机制，让他们协同工作和交互。Web服务体系结构最基础的支柱是XML消息传递。目前XML消息传递的行业标准协议是SOAP，服务的调用者通过在传输层协议之上绑定SOAP消息来请求服务。图2Web服务的消息调用模式图2表示了Web服务的消息调用模型，图中省去了诸如Webserver,SOAPserver,Web服务模块的表示。他们也可能在一个中间节点上。假设SOAP绑定在http之上，那么它就会利用http的请求/响应消息模型，将SOAP请求的参数放在http请求里面，而将SOAP响应的结果放在http响应里面。Web服务的这种调用模式使得应用程序的集成更为方便，快捷，和廉价。部署的Web服务将可以随时在不同的环境下通过网络进行访问。Web服务的安全问题分析Web服务的关键能力是提供一种综合的，全方位的，交互的，容易集成的解决方案。目前，SSL(SecureSocketLayer)和TLS(TransportLayerSecurity)被用来提供传输层的Web服务安全，SSL/TLS在点对点（point-to-point）的会话中,可以完成包括审计，数据完整性，机密性这样的要求。网络层的IPSec对于Web服务安全来说，也是一个很重要的标准。同SSL/TLS一样，它也提供主机审计认证，数据完整性和数据机密性的功能。然而，仅有传输层和网络层的这些安全机制是远远不够的。Web服务的基本工作过程是通过发送SOAP消息到一个由URI来鉴别的服务点（由一个SOAPserver来接受消息），来请求特定的Web服务(操作)，接收到消息的响应结果或者错误提示。从图2种我们可以看到，在传输层之外，当消息数据被接受和中转的时候，数据的完整性以及其他的安全信息就可能泄漏或者丢失。这要求Web服务的请求者/提供者必须信任那些中间节点对消息的获得和处理（那些中间节点可能需要处理消息，生成新的消息）。