在Web服务器通信中涉及2个实体,即Web服务器提供者(服务器)与用户(客户端)。客户端使用可用的Web服务信息来调用不同的Web服务。这意味着,未授权用户也可以使用Web服务。未授权用户可能非法访问资源,为了防止这些,需要Web服务安全:
1.消息完整性:确保消息不被篡改。
2.不可抵赖:确保参与通信的各方不会否认其签名的真实性,不会否认它们所发送过的消息。
3.认证/身份管理:判断客户的身份,以防止非法访问。
4.授权:身份确认后,决定是否给予访问权限。
5.保密:传输过程中白保护信息。
WS-Security是一种安全标准,解决数据作为Web服务的一部分时的安全问题。WS-Security是一系列的规范说明,由IBM、Microsoft、VeriSign等公司发起的,WS-Security规范说明是Web服务协同组织的工作成果,它是业界致力于Web服务安全标准化的一种组织。WS-Security描述了如下两个方面:
1.加强SOAP(Standard Object Access Protocol)以保护传输中的消息。
2.把安全令牌与SOAP消息关联,用于认证和授权。
WS-Security是关于数字签名、加密、XML加密、XML签名、安全令牌以及其他各种标准基础的规范说明。下图是安全标准的概览,其中清楚地显示了传输层安全与消息层安全的差别:
其中一些主要的安全规范说明如下:
1.XML签名:确保XML消息的完整性。它描述了如何计算、存储和验证整个XML文档或者部分XML文档的数字签名。
2.XML加密:确保一个XML消息的机密性。对整个或部分XML消息加密,维护XML语法。加密使得要阅读XML文档很困难。XML签名和XML加密可以同时用于XML上。
3.SAML:Security Assertion Markup Language的首字母缩写。它定义了交换身份的格式与协议,用于可相互操作和松耦合身份管理。
4.XACML:eXtensible Access Control Markup Language的首字母缩写,它定义了用于授权和访问管理的格式。
WS-Security规范说明使用不同的安全解决方案(如安全令牌),为多方签名技术、多种加密技术以及身份鉴别与访问管理提供支持。下面是WS-Security所支持的、用于授权和认证的一些安全令牌:
1.简单令牌:用户名与口令,或用户名与口令摘要。
2.二进制令牌:比如X.509证书和Kerberos。
3.XML令牌:SAML断言、XrML和XCBF。
下面来简要介绍一下WS-Security规范说明:
1.WS-SecureConversation:是在使用会话密钥的Web服务之间提供安全通信的规范说明。WS-SecureConversation定义并实现一个会话密钥(加密密钥),在通信会话的所有各方之间共享该密钥。会话密钥用于防止外来者进入正在进行中的通信。
2.WS-Trust:为诸如安全令牌创建、令牌管理与交换、在不同信任域内发布认证资格等任务定义标准接口。
3.WS-Federation:有助于是不同的身份认证与身份认证机制的标准化。该规范说明有助于身份共享、授权和认证等。
4.WS-Authorization:定义了有关授权的规范说明,可以与WS-SecureConversation和WS-Federation一起使用。
5.WS-Privacy:该规范说明描述了一种模型,用于定义保护Web服务的隐私策略,它可以嵌入到WS-Privacy中,WS-Trust可用于估计以后的喜好和Web服务的隐私声明,以便获得对恰当以后与系统的访问。