面向电子政务的SOAP消息安全模型及应用

摘要

随着互联网技术在各个领域的应用,WEB服务的安全性问题成为网络信息交互的热点问题。目前WEB服务的实现是通过XML/SOAP协议与Internet协议完成信息的交互。而要确保WEB服务的安全性,其主要解决的问题是XML/SOAP消息在信息传递过程中的安全性问题。
　　 SOAP消息的传递的安全性是消息在交互的过程中实现机密性、完整性、不可否认性、身份认证和授权五项WEB服务的基本安全性要求。文中研究的目的是如何在WEB服务中安全使用SOAP消息,充分利用信息安全技术中的加密、签名等手段,确保SOAP消息在传输过程中的安全性,避免信息在传递的过程中被第三方窃取、监听以及对信息恶意的更改,从而保证信息安全、有效的实现端到端的传输。
　　 文中研究的具体内容是首先结合SOAP消息的传输机制和WEB服务五项安全性基本要求建立SOAP消息安全分析模型。模型中将XML加密技术与传统的加密技术相融合,确保SOAP消息的机密性,采用XML签名技术与W3C所提出的XML-Encryption加密技术相结合完成对SOAP消息的签名操作,确保SOAP消息在传递过程中的完整性问题以及对SOAP消息添加时间戳协议,进一步保障SOAP消息的不可否认性。其次将模型应用到政府电子投标竞标系统中。该模型在竞标系统中的作用是对竞标过程的信息施行时时的保密措施,保证竞标信息的机密性、完整性和不可否认性,不但验证了该模型的安全稳定及可应用性,同时也为竞标单位提供一个优质、安全、公平的竞争平台。