构建教育信息系统安全互操作基础体系研究
- 作者:admin 来源:网络 日期:2009-3-20 21:52:50
从WSC这一方来看,找到一个可用的Web服务后,并不能从UDDI注册中心和WSDL文档中得出提供该Web服务的单位或个人究竟是谁,所能得到的一切仅是技术描述和联系细节。另一边的情况也一样,WSP把它们的一些内部应用以Web服务的形式发布。他们在UDDI注册中心中为自身的Web服务建立了必要的注册信息,构筑了WSDL文档来描述他们的Web服务是如何工作的,然后等待潜在用户的接入。但是潜在的用户中谁是可以信任的?因此,对身份的认证和对消息完整性、真实性、不可否认性以及必要时的秘密性保护,是教育信息系统互操作体系中必须考虑的重要内容。
Web服务的安全性问题主要是:SOAP安全令牌(SecurityToken)的传递以及如何确保Web服务的用户和Web服务之间传递的SOAP消息的安全。SOAP安全令牌包含用来证实SOAP消息发送者身份的信息,Web服务可以据此对用户进行认证和授权。SOAP消息的安全性包括消息的完整性和保密性。
3.1认证
认证的关键在于,消息的发送者将如何证明自己身份的安全令牌传递给接收者。WSSecurity定义了三种安全元素(SecurityElement)来传递各种安全令牌。
(1)UsernameToken,该元素用来传递简单的用户名和密码给接收者。
UsernameTokenId=″…″
Username…/Username
PasswordType=″…″…/Password
/UsernameToken
(2)BinarySecurityToken,该元素用来传递经过编码的二进制安全令牌。
BinarySecurityTokenId=…EncodingType=…ValueType=…/
由于XML文档并不能直接包含任意的二进制数据,所以二进制安全令牌必须经过编码才能包含在SOAP消息中。编码类型由属性“EncodingType”指定,标准预定义Base64和十六进制数两种编码类型。
安全令牌的类型由属性“ValueType”来指定,标准预定义X.509证书和Kerberos票据(Ticket)两种安全令牌。
(3)SecurityTokenReference,该元素用来传递一个外部的安全令牌。
SecurityTokenReferenceId=″…″
ReferenceURI=″…″/
/SecurityTokenReference
在前面两种传递方式中,安全令牌本身就包含在SOAP消息中。而这种方式则是指定一个外部URI,由接收者根据这个URI去获取相应的安全令牌。
3.2消息的完整性
消息的完整性包括:①消息在传送过程中不会被篡改;②消息的接收者可以确认消息是由授权用户发送的。由于SOAP消息常常跨越Internet进行传递,因此消息的完整性显得尤为重要。为了确保消息的完整性,WSSecurity采用了W3C的XMLSignature标准。与一般的数字签名不同的是,XMLSignature允许对整个SOAP消息或是其中的一部分进行数字签名。允许对SOAP消息的指定部分进行数字签名是非常重要的。一方面,由于只对必要的数据进行签名,减少了性能损失;另一方面,由于在SOAP消息的传送过程中,某些中间节点会对SOAP头部进行(合法的)修改。我们可以在进行数字签名时忽略掉那些允许修改的部分,这样当SOAP消息被修改时,就不会破坏原来的数字签名了。
3.3消息的保密性
数字签名只能确保消息的完整性,为了防止敏感数据的泄漏,还必须对消息进行加密。WSSecurity采用了W3C的XMLEncryption标准。XMLEncryption允许对整个SOAP消息或是其中的一部分进行加密。允许只对SOAP消息的指定部分进行加密可以减少因加密而导致的性能损失。
最后,为解决教育Web服务技术框架安全性问题,可采用在教务、图书、学生、财务等管理信息系统节点增加PCI加密卡,用于执行数字签名、加密等密码技术。至于如何将WebService协议、应用层协议与各种加密技术、安全模型结合起来,实现WebService环境下消息的完整性、保密性和消息的认证,IBM和微软联合Verisign公司于2002年4月发布的WSSecurity规范提供了一个标准的框架。它在SOAP中引入现有的XMLSignature和XMLEncryption标准。根据这些标准,它定义了一系列SOAP消息头块(HeaderBlock)以包含数字签名、加密信息和安全令牌等安全信息。下面是一个典型的消息头块。
S:Envelope
S:Header
…
SecurityS:actor=″…″S:mustUnderstand=″…″
…
/Security
…
/S:Header
…
/S:Envelope
其中XML元素“Security”是由WSSecurity定义的。其它安全信息都作为子元素包含在“Security”元素中。每个SOAP消息可以包含多个“Security”头块。每个头块都可以通过属性S:actor指定哪个SOAP节点将对其进行处理。属性S:mustUnderstand则规定该SOAP节点是否必须对其进行处理。
4总结
综上所述,教育信息系统安全互操作基础体系的构建是当前电子政务信息资源库建设中的当务之急,而安全和信任又是其中的重点和难点。本课题所研究的Web服务、数据安全交换、统一身份认证、访问控制等内容是计算机应用、网络信息安全等学科当今的前沿和热点问题,所采用的Webservices、WSSecurity、SAML等技术和标准代表着相关技术领域的国际先进水平和发展方向。本基础体系对于其它行业电子政务建设具有普适性。http://www.dxlww.net代写论文网
参考文献
[1]柴晓路等编著.WebServices技术、架构和应用.电子工业出版社.2003
[2]Seely著.SOAP:跨平台WebServices开发技术.机械工业出版社.2002
[3]柴小路.Web服务架构与开放互操作技术.清华大学出版社.2002
[4]FrankP.Coyle.XML,WebServices,andtheDataRevolution.清华大学出版社.2003
[5]MarkColan.面向服务的体系结构扩展WEB服务的前景[OL].2005年3月检索于http://www-128.ibm.com/developerworks/cn/WEBservices/ws-soaintro.html.
[6]杨涛,刘锦德,WEBService技术综述[J],计算机应用,2004年第8期
[7]余胜泉.城域教育网的设计与实施[OL].www.fw789.com,2005年3月检索于http://www.etc.edu.cn/blog/ysqetc/archives/cat_ioie.html
[8]黄勇,余胜泉.基于EMIF的城域教育网信息交换模型的设计与实现[J].中国电化教育,2005年第3期
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
