第27卷 第 5期
2006年 5月
湖南科技学院学报
Journal of Hunan University of Science and Engineering
VO1.27 No.5
M ay.2006
Web Serv i ces及ASP.NET应用程序的安全策略和方法
杨艺清
(湖南师范大学,湖南 长沙 410081)
摘 要:Web Services的出现及 ASENET应用程序的普及已经完全改变了管理信息系统领域的格局,但在 Web Services
技术领域仍然存在着一些缺陷,特别是安全性问题,本文将针对这--f--I题介绍其应对的策略和方法。
关键词;Web Services;ASRNET;安全
中图分类号:TP182 文献标识码:A 文章编号:1673—2219(2006)05—0173—02
Web Services的出现标志着人类 已经迈入应用程序开发技
术的新纪元,Web Services被称为 IT技术继 Pc和 Intemet之
后的第三次革命,特别是 SOAP和 XMLweb Services在交互
操作和标准上已经完全改变了管理信息系统领域的格局。
但是到目前为止,在 web服务技术领域仍然存在着一些
缺陷,如处理消息级别的安全、认证、加密、数字签名、路由
和附件等问题的能力e
一
安全问题是管理信息系统的普遍而重要的问题
计算机系统的安全治理是一项庞大、复杂、面广的系统工
程,不可能在局部或个别系统的基础上去根本解决安全问题
安全的核心是人,必须以人为核心进行安全管理,采用各种先
进的安全技术,使系统免受非法攻击,排除没有访问权限的使
用者窃取系统机密信息,确保系统安全可靠地运行。
在管理信息系统中,除了防火墙技术等 “硬”措施外,常
用的安全策略有访问权限控制、13令加密和数据加密等。
二 web服务安全与WS.Security
为了实现 Web服务在企业中的互操作性,XML Web
Services的主要供应商提出了新的规范,用以改进关键 Web
服务领域的互操作性。为了支持这些新提出的标准,Microsoft
发布了 Web Services Enhancements 1,0,它包括一组用于实现
这些新协议的类和一组由Microsoft ASP.NET 提供的过滤器 ,
这些过滤器用来截取传入和传出的SOAP消息,以及解释或生
成SOAP标头以支持所需的功能。
随着WS.Security规范的定稿 ,各大软件厂商开始认真地
考虑为其产品提供使用相同 Web服务安全语言的接13和编程
工具箱,Web服务开发者也将能够使用这些厂商提供的工具加
强他们所开发的web服务的安全性。
收稿日期:2006-03-01
基金项目:湖南省教改项日 基于 B/S结构的教学教务管
理系统的研究与开发 (立项文号:湘教发[2003]98号,项目
编号 :121—0160)
作者介绍:杨艺清 (1973--),湖南韶山人 ,工程师 ,硕
士研究生。
三 WSE安全性能简介
Microsoft推出了 web Services Enhancements 1.0 for.NET
(以下简称 WSE),它是一个类库,用于实现高级 web服务
协议,这也是该公司的第一个使用 WS—Secudty等规范实现
SOAP消息安全的工具套件。
保护 Web服务安全的一个很重要的环节就是保护其SOAP
消息传递的安全。使用WSE后,SOAP 消息可以自己验证其完
整性,并可使用定义在 WS—Security规范中的机制加密。
WSE!.0支持的所有 WS—Security特性都是通过实现
securityInputFilter和 SecurityOutputFilter对象的安全性输入输
出过滤器实现的,它支持的安全特性有:
1.数字签名
2.加密
3.使用用户名令牌签名并加密
4.使用X.509证书签名并加密
5.使用自定义二进制令牌签名并加密
WSEI。0 不 支 持 Security Assertion Markup Language
(SAML,安全声明标注语言),但 Microsoft公司正积极在
其.NET Server中实现SAML体系结构。当然,开发者自己可
以自由的实现 SAML。唯一的不足是还不能使用 WSDL描述
遵循 WS—Security规范的 Web服务的 WS—Security接13。
WSE的体系结构模型基于处理入站和出站 SOAP消息的
过滤器管道。它是建立在已有的 SOAPExtension类的基础上
的,有使用过SOAPExtension类行进压缩、加密、记录和其它
操作经验的开发者会发现他们对WSE其实很熟悉。
WSE提供了一个Microsoft.Web.Services,SoapContext类,
让我们可以处理WS—Security SOAP头和其它入站的 SOAP消
息头,同时可为出站的SOAP消息添加WS—Security头。WSE
还有一个包装类为 SOAP请求和响应添加 SOAPContext(与
HttpContext类似)。同时服务器使用一个 SOAPExtension类,
让我们可以验证入站的SOAP消息,还提供了我们可从我们的
WebMethod中访问的请求和响应 SoapContext。
四 确保Web Services和ASP.NET应用程序的安全
安全的ASENET Web应用程序依赖于完全安全的网络、
主机和平自基础结构 当上述条件满足后,攻击者将尝试利用
173
维普资讯 http://www.cqvip.com