Web服務(wù)安全性問(wèn)題綜述

1、Web服務(wù)安全性問(wèn)題綜述1. 概述現(xiàn)有的Web服務(wù)體系架構(gòu)缺少有效的安全性支持，所以需要一個(gè)安全框架模型來(lái)解決Web服務(wù)中的各種安全問(wèn)題。本文結(jié)合Web服務(wù)的基本組件和協(xié)議，說(shuō)明了如何利用現(xiàn)有的安全技術(shù)和設(shè)施來(lái)確保Web服務(wù)的安全，并著重指出了如何在Web服務(wù)環(huán)境中添加一些基本的保護(hù)機(jī)制和安全信息。在此基礎(chǔ)上，分析了在安全框架的指導(dǎo)下建立的各種應(yīng)用和擴(kuò)展規(guī)范，闡明了如何構(gòu)建可互操作的安全的Web服務(wù)集成方案。2. Web服務(wù)概述Web服務(wù)(Web Services)是一種完全基于XML(eXtensible Markup Language)的軟件技術(shù)。它提供了一個(gè)標(biāo)準(zhǔn)的方式，用于應(yīng)用程序之間的

2、通信和互操作，而不管這些應(yīng)用程序運(yùn)行在什么樣的平臺(tái)上和使用什么架構(gòu)。W3C把Web服務(wù)定義為由一個(gè)URI(Uniform Resource Identifier)識(shí)別的軟件系統(tǒng)，使用XML來(lái)定義和描述公共界面及其綁定。使用這種描述和定義，應(yīng)用系統(tǒng)之間可以通過(guò)在互聯(lián)網(wǎng)上傳送基于XML的消息進(jìn)行互操作。從使用者的角度而言，Web服務(wù)實(shí)際上是一種部署在Web上的對(duì)象/組件。通過(guò)Web服務(wù)，企業(yè)可以包裝現(xiàn)有的業(yè)務(wù)處理過(guò)程，把它們作為服務(wù)來(lái)發(fā)布（publish）,查找和訂閱其他的服務(wù)，以及在企業(yè)間交換信息和集成對(duì)方的服務(wù)。Web服務(wù)使得應(yīng)用到應(yīng)用的電子交易成為可能，免除了人的參與，極大的提高了效率。 2

3、.1Web服務(wù)協(xié)議棧 為了完成在松散耦合下的對(duì)象訪問(wèn)，Web服務(wù)定義了一系列的協(xié)議規(guī)范，如圖 1所示。5服務(wù)發(fā)布/發(fā)現(xiàn)：UDDIManagement：管理界面4服務(wù)描述 :WSDL3XML 消息: SOAP2傳輸協(xié)議: HTTP,SMTP1Internet :ipv4,ipv6HTTP: Hyper Text Transfer Protocol ，超文本傳輸協(xié)議SMTP: Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議SOAP: Simple Object Access Protocol ，簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議 WSDL：Web Services Descriptio

4、n Language，Web服務(wù)描述語(yǔ)言 UDDI：Universal Description,Discovery and Integration，統(tǒng)一描述，發(fā)現(xiàn)和集成  圖 1. Web 服務(wù)協(xié)議層次其中，第 1，2 兩層是已經(jīng)定義好的并且廣泛使用的傳輸層和網(wǎng)絡(luò)層的標(biāo)準(zhǔn)：IP、HTTP、SMTP等。而第3，4，5三層是目前開(kāi)發(fā)的Web服務(wù)的相關(guān)標(biāo)準(zhǔn)協(xié)議，包括服務(wù)調(diào)用協(xié)議SOAP、服務(wù)描述協(xié)議WSDL和服務(wù)發(fā)現(xiàn)/集成協(xié)議UDDI。圖中右側(cè)部分是各個(gè)協(xié)議層的公用機(jī)制，這些機(jī)制一般由外部的正交機(jī)制來(lái)完成。 2.2. Web服務(wù)的調(diào)用過(guò)程     利

5、用Web服務(wù)可以建立面向服務(wù)的集成系統(tǒng)。這就是說(shuō)，不用改變現(xiàn)有的各種應(yīng)用，也不關(guān)心它們技術(shù)的不同(比如是java,還是.net),利用Web服務(wù)的消息驅(qū)動(dòng)機(jī)制，讓他們協(xié)同工作和交互。Web服務(wù)體系結(jié)構(gòu)最基礎(chǔ)的支柱是XML 消息傳遞。目前XML 消息傳遞的行業(yè)標(biāo)準(zhǔn)協(xié)議是SOAP，服務(wù)的調(diào)用者通過(guò)在傳輸層協(xié)議之上綁定SOAP消息來(lái)請(qǐng)求服務(wù)。 圖 2 Web 服務(wù)的消息調(diào)用模式圖2表示了Web服務(wù)的消息調(diào)用模型，圖中省去了諸如Web server , SOAP server, Web服務(wù)模塊的表示。他們也可能在一個(gè)中間節(jié)點(diǎn)上。 假設(shè)SOAP綁定在http之上，那么它就會(huì)利用http的請(qǐng)求/響應(yīng)消息模

6、型，將SOAP請(qǐng)求的參數(shù)放在http請(qǐng)求里面，而將SOAP響應(yīng)的結(jié)果放在http響應(yīng)里面。Web服務(wù)的這種調(diào)用模式使得應(yīng)用程序的集成更為方便，快捷，和廉價(jià)。部署的Web服務(wù)將可以隨時(shí)在不同的環(huán)境下通過(guò)網(wǎng)絡(luò)進(jìn)行訪問(wèn)。 3. Web服務(wù)的安全問(wèn)題分析 Web服務(wù)的關(guān)鍵能力是提供一種綜合的，全方位的，交互的，容易集成的解決方案。目前，SSL(Secure Socket Layer)和TLS(Transport Layer Security)被用來(lái)提供傳輸層的Web服務(wù)安全，SSL/TLS在點(diǎn)對(duì)點(diǎn)（point-to-point）的會(huì)話中,可以完成包括審計(jì)，數(shù)據(jù)完整性，機(jī)密性這樣的要求。網(wǎng)絡(luò)層的IPSe

7、c對(duì)于Web 服務(wù)安全來(lái)說(shuō)，也是一個(gè)很重要的標(biāo)準(zhǔn)。同SSL/TLS一樣，它也提供主機(jī)審計(jì)認(rèn)證，數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性的功能。 然而，僅有傳輸層和網(wǎng)絡(luò)層的這些安全機(jī)制是遠(yuǎn)遠(yuǎn)不夠的。Web服務(wù)的基本工作過(guò)程是通過(guò)發(fā)送SOAP消息到一個(gè)由URI來(lái)鑒別的服務(wù)點(diǎn)（由一個(gè)SOAP server來(lái)接受消息），來(lái)請(qǐng)求特定的Web服務(wù)(操作)，接收到消息的響應(yīng)結(jié)果或者錯(cuò)誤提示。從圖2種我們可以看到，在傳輸層之外，當(dāng)消息數(shù)據(jù)被接受和中轉(zhuǎn)的時(shí)候，數(shù)據(jù)的完整性以及其他的安全信息就可能泄漏或者丟失。這要求Web服務(wù)的請(qǐng)求者/提供者必須信任那些中間節(jié)點(diǎn)對(duì)消息的獲得和處理（那些中間節(jié)點(diǎn)可能需要處理消息，生成新的消息）。 除

8、了消息的安全性之外，對(duì)于合法的請(qǐng)求方按照消息的內(nèi)容作出適當(dāng)?shù)姆磻?yīng)和行為，也即權(quán)限策略控制都是現(xiàn)有的安全機(jī)制無(wú)法解決的?，F(xiàn)在SOAP通常都綁定在http上進(jìn)行傳送，而在常見(jiàn)的Web服務(wù)器(比如apache,IIS)上普遍使用的安全技術(shù)就是IP阻塞（IP blocking）。其實(shí)，它就是識(shí)別特定IP地址的過(guò)程，服務(wù)器通常保存一個(gè)禁止訪問(wèn)的IP地址列表。這樣的安全措施顯然是粗糙的，讓那些潛在的客戶無(wú)法訪問(wèn)，Web服務(wù)的接口描述(WSDL文件)他們也無(wú)法獲得，更為全面的安全策略也無(wú)法實(shí)現(xiàn)。尤其是現(xiàn)在很多公司提供的Web服務(wù)都和相應(yīng)的Web站點(diǎn)捆綁在一起，這也讓那些對(duì)Web服務(wù)無(wú)效的IP地址不能正確的訪

9、問(wèn)這個(gè)Web站點(diǎn)。 所以單一的傳輸解決方案或者是普通的防火墻（FireWall）是無(wú)法確保服務(wù)安全性的。它們?nèi)鄙傧铝刑卣鳎憾说蕉说谋Ｗo(hù)、不可抵賴性、選擇性保護(hù)（保護(hù)消息的一部分）、靈活的認(rèn)證機(jī)制以及消息層的保護(hù)。 一個(gè)可能的辦法是對(duì)于安全性要求不同的服務(wù)提供各種級(jí)別的SOAP server（對(duì)應(yīng)不同的URI）,那么不同的安全策略就可以被強(qiáng)迫執(zhí)行在不同級(jí)別上。然而Web服務(wù)并非是為那些基于瀏覽器的手工參與的客戶端準(zhǔn)備的，它真正的優(yōu)勢(shì)是要實(shí)現(xiàn)鏈?zhǔn)降氖挛锘姆?wù)之間的相互調(diào)用，通過(guò)眾多的SOAP server來(lái)解決這一問(wèn)題，不僅是昂貴的，也是復(fù)雜的，更為重要的是，也違背了可重用性的要求，通過(guò)Web服

10、務(wù)描述語(yǔ)言(WSDL)得到的Web服務(wù)接口應(yīng)該是統(tǒng)一的，這樣才能讓W(xué)eb服務(wù)的機(jī)制完整的實(shí)現(xiàn)。 概括來(lái)說(shuō)，一個(gè)完整的Web服務(wù)安全解決方案應(yīng)該通過(guò)利用Web 服務(wù)模型核心組件的可擴(kuò)展性，建立一整套的安全規(guī)范。這些規(guī)范建立在一些基礎(chǔ)技術(shù)如SOAP、WSDL、XML 數(shù)字簽名（XML Digital Signature）、XML 加密（XML Encryption）和SSL/TLS 的基礎(chǔ)之上。讓W(xué)eb 服務(wù)提供者和請(qǐng)求者在這個(gè)實(shí)用框架下，開(kāi)發(fā)滿足他們應(yīng)用程序的特殊安全性需求的解決方案。 這樣的解決方案應(yīng)該是把那些不兼容的安全技術(shù)，比如PKI、Kerberos 和其它安全性技術(shù)能放在一起，建立一個(gè)

11、安全模型，讓那些異構(gòu)的系統(tǒng)在改建為Web服務(wù)的時(shí)候，可以安全的互操作，同時(shí)又盡量利用已有的設(shè)施，同時(shí)這樣的安全模型也可以添加到傳輸級(jí)別的安全解決方案之中。 4. Web服務(wù)安全模型和安全規(guī)范分析 Web服務(wù)面向的是機(jī)器到機(jī)器的系統(tǒng)集成，那些異構(gòu)的系統(tǒng)可能會(huì)使用不同的安全機(jī)制和基礎(chǔ)結(jié)構(gòu)作為安全設(shè)施，為了以Web服務(wù)的形式對(duì)它們進(jìn)行集成進(jìn)而安全的互操作，這就需要一個(gè)實(shí)用的安全模型，針對(duì)實(shí)際情況允許用戶開(kāi)發(fā)和定制特殊的解決方案。這個(gè)模型實(shí)際上是一組原理和準(zhǔn)則的集合。通過(guò)一組相應(yīng)的規(guī)范來(lái)指導(dǎo)用戶如何實(shí)現(xiàn)這個(gè)目標(biāo)，比如怎么樣實(shí)現(xiàn)消息的加密，怎么樣進(jìn)行不同安全令牌的交換。 顯然，這個(gè)模型建立在XML SO

12、AP的基礎(chǔ)之上，所以如何利用SOAP協(xié)議層來(lái)構(gòu)建這個(gè)模型就是一個(gè)關(guān)鍵問(wèn)題。 4.1 SOAP安全問(wèn)題分析 4.1.1 SOAP協(xié)議概覽 SOAP（Simple Object Access Protocol ）簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議是一個(gè)輕型的分布式計(jì)算協(xié)議，它允許在一個(gè)分散、分布式的環(huán)境中交換信息，是一個(gè)基于XML的協(xié)議。作為Web服務(wù)最主要的組件，它的設(shè)計(jì)目標(biāo)是簡(jiǎn)單性和可擴(kuò)展性。 SOAP是個(gè)跨平臺(tái)的協(xié)議，每一個(gè)通過(guò)網(wǎng)絡(luò)的遠(yuǎn)程調(diào)用都可以通過(guò)SOAP封裝起來(lái)，然后被綁定在傳輸層協(xié)議（HTTP,SMTP）上進(jìn)行傳送。在形式上，它是一個(gè)XML格式的結(jié)構(gòu)化封裝，圖3簡(jiǎn)單的表達(dá)了SOAP消息的組成。SOAP

13、封裝(envelop)定義了一個(gè)描述消息中的內(nèi)容是什么，是誰(shuí)發(fā)送的，誰(shuí)應(yīng)當(dāng)接受并處理它以及如何處理它們的框架,從而實(shí)現(xiàn)了Web服務(wù)的耦合調(diào)用。SOAP消息一般會(huì)和實(shí)現(xiàn)模式結(jié)合，例如請(qǐng)求/響應(yīng)的http模型。至于SOAP和傳輸層協(xié)議（比如HTTP）的綁定和映射不是本文關(guān)心的重點(diǎn)，但是SOAP協(xié)議的可擴(kuò)展機(jī)制為實(shí)現(xiàn)Web 服務(wù)安全提供了途徑。 圖3 SOAP協(xié)議消息結(jié)構(gòu)SOAP實(shí)現(xiàn)了跨平臺(tái)的，不依靠編程語(yǔ)言的，松散的Web服務(wù)調(diào)用，按照服務(wù)描述協(xié)議（WSDL）所提供的Web服務(wù)接口，封裝RPC調(diào)用的各個(gè)條目，最后把他們變成固定格式的XML消息。按照w3c 的SOAP xml schema規(guī)范，這個(gè)

14、消息頭部可以包含很多適當(dāng)?shù)臄U(kuò)展條目。圖4給出了一個(gè)簡(jiǎn)單的SOAP調(diào)用示意。     *Xml parser:xml解析器，比如apache SOAP. 圖4 典型的SOAP調(diào)用框架4.1.2 XML加密 XML加密主要是指對(duì)那些以XML格式存儲(chǔ)或者傳遞的數(shù)據(jù)進(jìn)行加密。SOAP消息本身是XML，所以它的安全問(wèn)題可以使用XML加密來(lái)解決。不必關(guān)心用什么具體的安全技術(shù)(比如數(shù)字簽名，對(duì)稱私鑰，非對(duì)稱加密等),對(duì)于XML文檔來(lái)說(shuō)，加密的方式可以是整篇文檔進(jìn)行加密，也可以是針對(duì)某個(gè)元素（tag）或者元素的內(nèi)容進(jìn)行加密。 W3C和OASIS以及IETF正在或者已經(jīng)發(fā)布了一系列

15、的XML安全標(biāo)準(zhǔn)。W3C和IETF共同發(fā)布了XML數(shù)字簽名規(guī)范（XML Signature specification），旨在解決完整性和審計(jì)功能。W3C還發(fā)布了一個(gè)XML加密規(guī)范(XML Encryption)，規(guī)范了如何使用加密技術(shù)保證XML數(shù)據(jù)的機(jī)密性。使用的安全技術(shù)包括非隊(duì)稱加密(Asymmetric cryptography)，對(duì)稱加密(Symmetric cryptography)，消息摘要(Message digests)，數(shù)字簽名(Digital signatures)，以及證書(shū)(Certificates)。 4.1.3 SOAP消息中的安全集成 SOAP消息的這種XML 結(jié)構(gòu)

16、化封裝，可以很自然的利用XML的加密技術(shù)，結(jié)合SOAP的擴(kuò)展機(jī)制，把那些安全元素加入到SOAP消息中，以保證服務(wù)調(diào)用的安全（消息的機(jī)密性、完整性，用戶審計(jì)認(rèn)證權(quán)限策略等）。 利用上面提到的兩個(gè)XML安全標(biāo)準(zhǔn)，微軟，IBM等公司制訂了Ws-Security(Web服務(wù)安全規(guī)范說(shuō)明)，已經(jīng)提交給了OASIS,它針對(duì)SOAP提出了Web服務(wù)的安全實(shí)現(xiàn)方法，加密的數(shù)據(jù)被放進(jìn)SOAP的XML標(biāo)簽里面。這個(gè)規(guī)范主要是用于SOAP的安全實(shí)現(xiàn)問(wèn)題，包括在一個(gè)SOAP消息里面，如何實(shí)現(xiàn)數(shù)字簽名，消息摘要，加密數(shù)據(jù)和加密算法等。 這條SOAP消息經(jīng)過(guò)對(duì)其頭部(陰影部分)進(jìn)行擴(kuò)展，加入了數(shù)字簽名后的信息，那么消息的

17、完整性得到了保證，而且，可以確認(rèn)這條消息是來(lái)自于這個(gè)公鑰的持有者，也即完成了用戶的審計(jì)(authentication)。 除了數(shù)字簽名以外，還可以使用諸如x.509證書(shū)，或者消息摘要，對(duì)稱私鑰加密這樣的方法。 4.2 Web服務(wù)安全模型框架和規(guī)范 從Web服務(wù)工作的基本過(guò)程來(lái)看，我們可以把保護(hù)Web服務(wù)分成對(duì)SOAP消息的安全（機(jī)密性、完整性）保護(hù)和如何讓服務(wù)方對(duì)合法的消息中所聲明的內(nèi)容作出適當(dāng)?shù)捻憫?yīng)（審計(jì)，權(quán)限和角色控制策略）。 SOAP和鏈?zhǔn)降腤eb服務(wù)通常工作在一個(gè)多跳段（multi-hop）的拓?fù)溥壿嬛校?，我們把這個(gè)模型定義為一個(gè)提供端到端（end-to-end）安全解決辦法的機(jī)制

18、，它同時(shí)能夠利用傳輸層和應(yīng)用層的安全機(jī)制來(lái)實(shí)現(xiàn)全面的安全能力。顯然，這樣可以保證和實(shí)現(xiàn)Web服務(wù)調(diào)用或者異構(gòu)系統(tǒng)集成的安全。 為了說(shuō)明這個(gè)相對(duì)抽象的模型，安全模型定義了兩個(gè)概念術(shù)語(yǔ)：安全令牌（Security Token），這是指一組與安全相關(guān)的信息集合，比如x.509證書(shū)，或者移動(dòng)終端設(shè)備中的sim卡的安全編碼；Web服務(wù)端點(diǎn)策略(Endpoint Policy)，這是指服務(wù)一方對(duì)自己的或者被要求的聲明（Claims）和對(duì)這個(gè)聲明必須的相關(guān)信息，比如說(shuō)明自己有某種執(zhí)行權(quán)限同時(shí)給出證據(jù)（給出身份）。 這樣，我們把Web服務(wù)的安全模型建立在三個(gè)層次上：傳輸層（以下）的點(diǎn)對(duì)點(diǎn)安全，應(yīng)用服務(wù)級(jí)（自定

19、義）的安全和策略，和端對(duì)端的安全性。下面的過(guò)程描述了Web服務(wù)安全模型是如何達(dá)到目的的： 1. 服務(wù)方可以要求請(qǐng)求者的消息證明一組聲明（例如，名稱、密鑰、許可、性能等等）。這一組聲明和相關(guān)的信息就是端點(diǎn)策略。 2. 請(qǐng)求方可以通過(guò)把安全令牌與消息關(guān)聯(lián)起來(lái)發(fā)送。這樣，消息既可以要求特定的操作又證明了發(fā)送者具有要求該操作的聲明。 3. 如果請(qǐng)求者無(wú)法給出必需的聲明，那么請(qǐng)求者或它們的代表可以通過(guò)與其它Web服務(wù)聯(lián)系設(shè)法獲得必需的聲明。這些其它的Web 服務(wù)，稱為安全性令牌服務(wù)（security token service），可以接下來(lái)要求它們自己的一組聲明。安全性令牌服務(wù)通過(guò)簽發(fā)安全性令牌代理不同

20、信任域之間的信任。圖5說(shuō)明了這種情況。 圖5 Web服務(wù)安全令牌模型這個(gè)模型允許使用如X.509 公用密鑰證書(shū)、Kerberos 這樣已有的技術(shù)，還利用了傳輸層和網(wǎng)絡(luò)層的安全措施，建立更高層次的密鑰交換，認(rèn)證，授權(quán)，審計(jì)和信任機(jī)制。 對(duì)于一些不兼容的技術(shù)，需要集成的時(shí)候，可以利用這個(gè)框架來(lái)實(shí)現(xiàn)不同安全技術(shù)之間的橋梁。因?yàn)楦鶕?jù)前面提到的安全集成過(guò)程，建立在不同的安全基礎(chǔ)架構(gòu)上的系統(tǒng)是可以通過(guò)安全令牌交換服務(wù)得到需要訪問(wèn)的服務(wù)的安全令牌的。 實(shí)際上，Web服務(wù)的安全問(wèn)題最終依靠的是按照上述模型制訂的一系列安全規(guī)范。安全模型只是一定意義上的問(wèn)題劃分和實(shí)現(xiàn)準(zhǔn)則。它為這些安全規(guī)范提供了方向和目標(biāo)。IBM

21、和Microsoft在Web服務(wù)安全白皮書(shū)里面給出了一整套安全性規(guī)范，用于針對(duì)不同的情況，如何開(kāi)發(fā)和實(shí)現(xiàn)安全機(jī)制。圖6是由IBM, Microsoft, Versign共同發(fā)布的最新安全規(guī)范情況。     注：Ws-Policy Attachments,Web服務(wù)策略附件；Policy Assertions:通用策略斷言。圖6 Web服務(wù)安全規(guī)范框架圖這些規(guī)范描述了如何實(shí)施和實(shí)現(xiàn)安全機(jī)制，也就是如何把安全功能放到Web服務(wù)的環(huán)境中去。這些規(guī)范是靈活的，可以任意匹配使用。但是可能還存在一些通用性的問(wèn)題，這包括一些通用的算法和適配程序。其中Ws-security是這些規(guī)范的基礎(chǔ)規(guī)范，提供了把消息完整性