Web Service消息级安全研究
随着Web Service在电子商务和企业联盟中应用的日益广泛,安全性问题越来越重要,已经成为制约其进一步发展的关键因素之一。信息安全的主要目标包括机密性、完整性、认证、授权和不可抵赖性等。能够为Web Service提供完善可靠的安全性保护,是在电子商务中进一步推广应用该技术的必要条件。
SSL(Secure Socket Layer)、TLS(Transport Layer Security)等传输安全协议已经在网络传输中被广泛应用。SSL和TLS协议可以保证Web Service使用过程传输级的安全,即点到点的安全性,但是对SOAP消息的内容没有采取任何的安全措施。为了保证Web Service端到端的安全性,需要对SOAP消息内容进行加密和数字签名等安全操作,使SOAP消息具有良好的完整性、机密性和不可抵赖性。
目前,W3C、OASIS、WS-I等很多国际标准化组织已经在进行WebService安全问题的研究,并提出了相关的安全标准和规范。本文在认真研究了这些安全规范和标准,并分析了数据加密、数字签名和数字证书等安全技术的基础上,设计并在J2EE环境下初步实现了能保证SOAP消息端到端安全的Web Service消息级安全解决方案。为了充分利用对称加密算法的高效率和非对称加密算法双密钥的优点,本文使用AES对称加密算法对SOAP消息的内容加密,使用RSA非对称加密算法对AES密钥加密。本文采用X509数字证书对SOAP消息进行数字签名处理,保证SOAP消息的完整性和不可抵赖性。
本文使用J2EE架构分层的思想设计实现,具有安全性、可移植性、健壮性和灵活性等特点。该方案使用J2EE安全架构,将信息安全技术进行有机结合,实现了SOAP消息传输端到端的机密性、完整性和可验证性,为Web Service提供了比较完善可靠的安全保障。
Web Service;信息安全;电子商务;SOAP消息;消息级安全;传输安全协议
中国海洋大学
硕士
计算机应用技术
张春海
2008
中文
TP393.08
61
2008-12-08(万方平台首次上网日期,不代表论文的发表时间)