基于规范的Web服务安全Secure Web Service Based on Specification
楚西岳,韩元杰
摘要(Abstract):
首先介绍了Web服务的简单模型及当前使用的安全机制中存在的安全性、性能及扩展性方面的问题,然后详细说明了WS Security规范及其开发Web服务的方法,结合Microsoft公司的WSE(Web Service Enhancement)2.0插件在dotnet环境下所生成的具体的SOAP消息示例,完全符合WS Security规范并实现了对消息完整性(Integrity)、消息机密性(Confidentiality)和消息凭据(Credential)的支持,消息事例使用用户名和密码凭据以及X.509证书2种方法;最后讨论了WS Security规范的优点与缺陷,并提出改进措施。
关键词(KeyWords): Web服务;WS-Security;信息安全;SOAP
基金项目(Foundation):
作者(Author): 楚西岳,韩元杰
参考文献(References):
- [1]Sam Thompson.实现WS Security[EB/OL].http://www.128.ibm.com/developerworks/cn/webservices/WSSecurity/index.html,2003.
- [2]James Snell.保护Web服务[EB/OL].http://www.128.ibm.com/developerworks/cn/webservices/ws securews/index.html,2002.
- [3]Chris Kaler.Web Services Security[EB/OL].http://www.ibm.com/developerworks/library/ws secure/,2002.
- [4]Martin Naedele.Standards for XML and Web Services Secu-rity.Computer,2003,36.
- [5]Ben Galbraith.Professional Web Services Security[M].Wroxdirect,2003.
- [6]梁志敏..net安全性与密码术[M].北京:清华大学出版社,2004.
- [7]吴旭超.Web服务安全性高级编程[M].北京:清华大学出版社,2003.
- [8]郑建标.用VFP开发基于Web服务构架的应用系统[J].现代电子技术,2003,26(16):11 13,16.