基于Web Services的数据共享平台安全机制的研究与应用

摘要

Web Services是以XML为基础的一组协议体系,是一种分布式的应用集成技术,它的主要特点是松散耦合、易于扩展、方便部署、跨平台及与编程语言无关；目前被应用在很多领域,特别是在解决跨区域的数据交换中被采用的越来越多。但是WebServices还是一个需要不断完善的体系,特别是安全方面存在一定的缺陷,不能很好的保证Web服务和异步通信的安全。为了解决这些安全问题,本文采用WS-Security规范、XML加密、XML签名、SAML、XKMS和XACML等安全技术设计了一套数据共享平台的安全方案,并提出一个基于SOAP扩展的安全系统模型。
　　 本文首先介绍了数据交换平台主要使用的技术XML、Web Services和加密技术、数字签名、身份认证、授权和访问控制等系统安全基础,分析了Web Services的安全特点,Web服务面临的安全威胁和安全需求,并深入研究和分析了XML加密、XML签名、SOAP、XKMS、SAML、XACML协议和WS-Security规范的安全性。然后结合数据共享平台的安全需求和这些安全协议及规范的特点,设计了一套共享平台安全方案,本方案是以保障Web服务资源安全和SOAP消息传的安全传输为主要目的而设计的；利用XML签名、XML加密技术实现数据的机密性、完整性和不可否认性,保证数据在交换传输过程中的安全；采用SAML和XACML实现单点登录、身份验证和授权,保证系统安全和方便用户登录,为共享平台和系统用户所共享的数据信息、Web服务等资源提供安全访问控制,使资源访问者只能访问被授权的相关资源,从策略上保证平台各种信息和资源的安全；使用XKMS密钥管理系统和PKI技术相结合为整个平台系统提供密钥管理服务,这种结合形式不但能够避免开发一套新的PKI系统,还能对不同的PKI技术进行兼容,增加系统灵活性,使平台整合采用不同PKI技术的业务系统的难度降低,并使应用程序调用PKI变得简单和容易,降低了平台开发难度；XKMS是整个平台安全的支撑系统,它为交换共享信息的通信双方颁发证书和分配密钥,为其它安全组件实施安全处理提供必要的基础。最后,本文对方案中的各模块进行详细的设计和实现,包括XKMS密钥管理系统,SOAP消息安全处理,SAML单点登录和Web服务访问控制的设计和实现。