Web服务安全技术的研究与实现

Web服务是近年提出的一种新的面向Web的分布应用开发与集成框架,它基于面向服务的体系结构,采用Internet通信协议和XML编码传输消息,代表了一种更为松散耦合的分布应用结构。然而,用Web服务构建起来的应用暴露了其内部的工作流、业务流程和架构,因此需要对它们进行保护以免受来自内部和外部的攻击。为了保证Web服务的安全,人们正在开发许多基于XML的安全标准,来解决认证、访问控制、消息级安全和数据安全等问题。 本文首先分析了Web服务中安全问题的特点,然后研究了一些比较成熟的Web服务安全技术。在此基础上,提出并实现了一种基于Web服务系统平台的、可扩展的安全框架,保证了Web服务的消息级安全,提供了签名、加密、访问控制、审计等安全机制。 随后,本文围绕着研究与实现该安全框架来展开,首先对其中的截获器机制进行深入的研究与验证;然后详细介绍了访问控制机制,研究了基于角色的访问控制模型,并且与系统平台相结合,设计了一种面向Web服务的访问控制模型(WS-RBAC)、策略及其管理工具,并给出了系统实现。 最后,设计了几个性能测试的用例,测试表明:增加安全机制后,系统的性能开销明显增加;可以对安全机制的进行改进,来降低性能开销。 以上成果已在国家863和973计划成果“构件化应用服务器StarAppserver”中得到成功应用,对于保证Web服务的消息级安全和访问控制具有重要的实际价值和一定的理论意义。