韓寶棟

(海軍駐廣州四二七廠軍事代表室 廣州 510715)

?

SOA平臺(tái)下Web服務(wù)的安全認(rèn)證協(xié)議綜述*

韓寶棟

(海軍駐廣州四二七廠軍事代表室 廣州 510715)

Web服務(wù)的安全作為近年來(lái)一個(gè)重要研究領(lǐng)域得到了越來(lái)越多的重視。論文分析了SOA平臺(tái)下Web服務(wù)的安全性問(wèn)題,并對(duì)解決這些安全問(wèn)題的Web服務(wù)安全規(guī)范做了系統(tǒng)的總結(jié)。著重描述WS-Security規(guī)范以及衍生的其他規(guī)范,并對(duì)實(shí)現(xiàn)跨域單點(diǎn)登陸的SAML規(guī)范以及描述安全策略的XACML進(jìn)行一定的分析和比較。

Web服務(wù); WS-Security; 安全聲明標(biāo)記語(yǔ)言; 可擴(kuò)展的訪問(wèn)控制標(biāo)記語(yǔ)言

Class Number TP393

1 引言

近年來(lái)隨著面向服務(wù)的體系結(jié)構(gòu)SOA(Service Oriented Architecture)的興起,作為實(shí)現(xiàn)SOA的Web服務(wù)技術(shù)也得到越來(lái)越多的青睞。SOA是通過(guò)不同功能模塊(服務(wù))之間的接口和協(xié)議將這些功能模塊(服務(wù))聯(lián)系起來(lái)的一個(gè)體系結(jié)構(gòu)。這些功能模塊獨(dú)立于不同的硬件平臺(tái)和操作系統(tǒng)中,通過(guò)SOA使得這些服務(wù)可以以一種通用和統(tǒng)一的方式實(shí)現(xiàn)聯(lián)系和交互。

Web服務(wù)在企業(yè)應(yīng)用領(lǐng)域得到迅速的發(fā)展,通過(guò)基于XML的服務(wù)描述語(yǔ)言WSDL描述的Web服務(wù)變得更加動(dòng)態(tài)和靈活。然而Web服務(wù)的動(dòng)態(tài),松耦合的特性則是影響Web服務(wù)安全的絆腳石。Web服務(wù)的動(dòng)態(tài)性使得服務(wù)的發(fā)布者不了解這個(gè)服務(wù)將會(huì)在何種系統(tǒng)環(huán)境中被使用,同時(shí)服務(wù)的消息安全也無(wú)法得到保障。而且企業(yè)之間的應(yīng)用讓W(xué)eb服務(wù)不僅僅局限在小型的局域網(wǎng)內(nèi),復(fù)雜的互聯(lián)網(wǎng)對(duì)Web服務(wù)的安全有著更高的要求。由于如今的Web服務(wù)是端到端的傳輸,傳統(tǒng)的基于SSL的點(diǎn)對(duì)點(diǎn)傳輸協(xié)議Https早已經(jīng)不能保證Web服務(wù)在大的網(wǎng)絡(luò)環(huán)境下的安全,同時(shí)僅僅在傳輸層保障安全的Https也無(wú)法保證消息在接收端不被攻擊和竊取,因此新的傳輸協(xié)議迫在眉睫。

Microsoft、IBM等公司聯(lián)合參與成立的標(biāo)準(zhǔn)化組織OASIS,致力于研究Web服務(wù)的安全傳輸和身份認(rèn)證,于2004年制定了WS-Security規(guī)范來(lái)保障Web服務(wù)在新的網(wǎng)絡(luò)背景下的安全,同時(shí)制定了XML Encryption、XML Digital Signature、SAML以及XACML標(biāo)準(zhǔn)確?；赟OAP的Web服務(wù)的消息可以安全地傳輸。本文綜述Web服務(wù)中的相應(yīng)規(guī)范以及近年來(lái)基于這些規(guī)范和標(biāo)準(zhǔn)研究出的技術(shù),綜合比較并給出了相應(yīng)的分析。

2 Web服務(wù)傳輸規(guī)范綜述

學(xué)術(shù)界從各個(gè)側(cè)面對(duì)Web服務(wù)安全中的核心問(wèn)題進(jìn)行了深入的探討,從理論和實(shí)際應(yīng)用中提出了一系列新穎的方法和改進(jìn)策略。

2.1 基于WS-Security規(guī)范的認(rèn)證

為了規(guī)范地解決Web服務(wù)的安全問(wèn)題,OASIS在2004年提出了WS-Security規(guī)范的1.0版本,并與2006年提出了WS-Security的改進(jìn)版。文獻(xiàn)[4]詳細(xì)分析了WS-Security規(guī)范,通過(guò)對(duì)利用WS-Security規(guī)范的SOAP消息的具體分析,得出WS-Security規(guī)范的具體安全認(rèn)證機(jī)理:在SOAP消息中,使用XML Signature技術(shù)保障消息的完整性,通過(guò)XML Encryption

保障消息的機(jī)密性以及利用安全令牌(X.509證書或Kerberos票據(jù))解決SOAP消息的身份認(rèn)證基于SAML規(guī)范的認(rèn)證。通過(guò)該文獻(xiàn)的分析可以得出WS-Security規(guī)范下SOAP消息的框架,如圖1所示。

圖1 WS-Security規(guī)范下SOAP消息框架圖

WS-Security解決了Web服務(wù)在安全方面的三大問(wèn)題:消息完整性,消息機(jī)密性以及身份認(rèn)證,從而實(shí)現(xiàn)SIAO消息的安全傳輸,利用WS-Security規(guī)范,可以提供更多的安全模型。在文獻(xiàn)[5]中作者使用WS-Security規(guī)范開(kāi)發(fā)了一個(gè)Web服務(wù)的安全系統(tǒng),并且研究發(fā)現(xiàn)出WS-Security規(guī)范可能需要注意的問(wèn)題,指出系統(tǒng)可能會(huì)受到消息的重傳攻擊:一個(gè)獲取正確SOAP消息的攻擊者不斷向服務(wù)器發(fā)送這個(gè)SOAP消息,導(dǎo)致服務(wù)不斷被調(diào)用。雖然可以用時(shí)間戳技術(shù)解決提出了一個(gè)更安全的解決方案:一個(gè)簡(jiǎn)化的挑戰(zhàn)響應(yīng)模型,如圖2所示。

圖2 簡(jiǎn)單挑戰(zhàn)-響應(yīng)模型

文獻(xiàn)[6]中提出了一種保障Web服務(wù)環(huán)境安全的框架,利用WS-Security規(guī)范設(shè)計(jì)基于角色的權(quán)限控制模型,通過(guò)網(wǎng)絡(luò)化學(xué)習(xí)的應(yīng)用軟件來(lái)分析系統(tǒng)所要求的Web服務(wù)安全環(huán)境,最后利用RBAC(Role Based Access Control)模型搭建這個(gè)安全系統(tǒng)的框架[7]。文獻(xiàn)[8]針對(duì)REST(Representational State Transfer)[9]風(fēng)格的Web服務(wù),首先分析了傳統(tǒng)Https認(rèn)證方式的不足,而后提出一種可擴(kuò)展的基于WS-Security中UsernameToken方式的安全驗(yàn)證方法。文獻(xiàn)[10]結(jié)合WS-Security規(guī)范,綜合運(yùn)用SOAP,DES和RSA技術(shù),給出了一種基于加密技術(shù)的Web服務(wù)安全模型,實(shí)現(xiàn)跨平臺(tái)的解決方案。

隨著近年來(lái)移動(dòng)設(shè)備的不斷興起,Web服務(wù)在移動(dòng)端的安全也受到了重視。文獻(xiàn)[11]利用WS-Security規(guī)范中XML加密和簽名技術(shù)并結(jié)合無(wú)線應(yīng)用協(xié)議WAP中的無(wú)限二進(jìn)制XML規(guī)范WBXML和無(wú)限會(huì)話協(xié)議WSP為移動(dòng)Web服務(wù)的消息提供安全解決方案。由于移動(dòng)Web服務(wù)處在發(fā)展的階段,技術(shù)成熟度有待提高,因此未來(lái)移動(dòng)Web服務(wù)的安全問(wèn)題也一定會(huì)有更深一步的討論和研究。

綜合近年來(lái)基于WS-Security規(guī)范的Web服務(wù)安全問(wèn)題,業(yè)界提出了很多安全模型,有些結(jié)合了其他的加密算法或框架,但是核心點(diǎn)依然在WS-Security規(guī)范中XML加密、簽名和身份認(rèn)證。它彌補(bǔ)了傳統(tǒng)Web服務(wù)認(rèn)證方式中消息端到端的安全缺陷并達(dá)到認(rèn)證靈活性的特點(diǎn)。然而,這種方式也有一定的缺點(diǎn),因?yàn)楦倪M(jìn)的消息SOAP頭需要人工添加加密和簽名等信息,導(dǎo)致開(kāi)發(fā)成本提高,而且這種方式要求服務(wù)器在每次調(diào)用的時(shí)候都必須進(jìn)行驗(yàn)證,大大增加了服務(wù)器的負(fù)荷。針對(duì)這些問(wèn)題,基于SAML的單點(diǎn)登錄認(rèn)證技術(shù)應(yīng)運(yùn)而生。

2.2 基于SAML規(guī)范的認(rèn)證

安全聲明標(biāo)記語(yǔ)言(Security Assertion Markup Language,SAML)[12]是由OASIS提出的一種基于XML的安全性標(biāo)準(zhǔn),用于Internet中不同的安全域中交換身份驗(yàn)證和授權(quán)憑證,現(xiàn)如今SAML已經(jīng)發(fā)展到2.0版本。在使用SAML的系統(tǒng)中,權(quán)限信息通過(guò)聲明傳遞,系統(tǒng)中有三個(gè)部分,分別為主體Subject即用戶,信任方Relying Party即服務(wù)提供方(Service Provider,SP),聲明方Asserting Party即身份提供方(Identity Provider,IP),其工作機(jī)理如圖3所示。

單點(diǎn)登錄(Signal Sign-on,SSO)技術(shù)是SAML最主要的應(yīng)用模式,在單點(diǎn)登錄模式中,用戶在Web源站點(diǎn)進(jìn)行了身份認(rèn)證,該站點(diǎn)即為該用戶生成SAML聲明,表明該用戶通過(guò)身份認(rèn)證,同時(shí)將該聲明相關(guān)聯(lián)的票據(jù)分配給用戶,用戶可以調(diào)用該站點(diǎn)的Web服務(wù);當(dāng)該用戶從該站點(diǎn)訪問(wèn)其目的站點(diǎn)的Web服務(wù)時(shí),目的站點(diǎn)通過(guò)用戶提供的票據(jù),與原站點(diǎn)進(jìn)行通信,確定用戶的身份,避免再次身份認(rèn)證的過(guò)程,從而實(shí)現(xiàn)了單點(diǎn)登錄。其示意圖如圖4所示。

圖3 SAML工作機(jī)理

圖4 SAML單點(diǎn)登錄示意圖

SAML的逐漸成熟使得基于SAML的跨平臺(tái),跨安全域的單點(diǎn)登錄技術(shù)不斷使用在不同的Web服務(wù)安全模型中。文獻(xiàn)[13]針對(duì)跨站點(diǎn)認(rèn)證的局限,提出了基于SAML的單點(diǎn)登錄方法,Web服務(wù)站點(diǎn)在提供服務(wù)的同時(shí)提供身份信息。這種方法由于Web服務(wù)的信任關(guān)系由服務(wù)提供者和請(qǐng)求者雙方直接建立,不存在第三方的身份提供者,因此存在一定的局限性。文獻(xiàn)[14]提出的方法避免了前者出現(xiàn)的局限性,通過(guò)共同信任的第三方建立間接的信任關(guān)系,并在第三方服務(wù)上實(shí)現(xiàn)登錄。文獻(xiàn)[15]提出了一種新的SSO機(jī)制,將SAML綁定到信令控制協(xié)議(Session Initiation Protocol,SIP)[16]協(xié)議中。通過(guò)集成SAML的服務(wù)(Relying Party)發(fā)送SAML請(qǐng)求到發(fā)行權(quán)威機(jī)構(gòu)(Issuing Authority),發(fā)行權(quán)威機(jī)構(gòu)返回有關(guān)該請(qǐng)求主體的SAML聲明指示它的安全認(rèn)證信息。

由于SAML在實(shí)現(xiàn)單點(diǎn)登錄后并未對(duì)用戶進(jìn)行一定的訪問(wèn)控制如服務(wù)訪問(wèn)時(shí)間和允許的范圍,這樣可能會(huì)造成用戶身份票據(jù)和訪問(wèn)令牌的重傳攻擊。文獻(xiàn)[17]針對(duì)SAML單點(diǎn)登錄過(guò)程存在的用戶安全風(fēng)險(xiǎn)擴(kuò)散問(wèn)題,提出了一種以用戶為中心的基于代理簽名的單點(diǎn)登錄協(xié)議。在建立安全會(huì)話時(shí)添加訪問(wèn)控制機(jī)理以限制用戶單點(diǎn)登錄訪問(wèn)服務(wù)的時(shí)間和范圍,達(dá)到抵抗重傳攻擊的目的。

針對(duì)SAML本身存在局限因素,因此在一些系統(tǒng)設(shè)計(jì)過(guò)程中需要與其他相應(yīng)技術(shù)相結(jié)合,從而彌補(bǔ)缺陷實(shí)現(xiàn)安全的Web服務(wù)認(rèn)證和訪問(wèn)。

2.3 基于XACML規(guī)范的認(rèn)證

可擴(kuò)展的訪問(wèn)控制標(biāo)記語(yǔ)言(eXtensible Access Control Markup Language,XACML)[18]是由OASIS發(fā)布的一種基于XML的開(kāi)放標(biāo)準(zhǔn)語(yǔ)言,被設(shè)計(jì)用于描述安全策略以及對(duì)Web服務(wù)以及企業(yè)安全應(yīng)用信息進(jìn)行訪問(wèn)的權(quán)限。XACML以其平臺(tái)無(wú)關(guān)性,通用性,可擴(kuò)展,可移植以及模塊化等特性,被廣泛用于Web服務(wù)訪問(wèn)控制策略的執(zhí)行。

XACML訪問(wèn)控制框架中包括策略執(zhí)行點(diǎn)PEP(Policy Enforcement Point),上下文管理器(Context Handler),策略信息點(diǎn)PIP(Policy Information Point),策略決策點(diǎn)PDP(Policy Decision Point),策略管理點(diǎn)PAP(Policy Administration Point)等功能模塊,其具體執(zhí)行的基本過(guò)程如圖5所示。

圖5 XACML訪問(wèn)控制框架執(zhí)行示意圖

策略執(zhí)行點(diǎn)PEP接收客戶端向服務(wù)器發(fā)送的請(qǐng)求,并將該請(qǐng)求轉(zhuǎn)發(fā)給上下文處理器,上下文處理器向策略信息點(diǎn)PIP提出屬性要求,PIP從主體、資源、環(huán)境等模塊中獲取屬性信息并返回給上下文處理器,上下文處理器處理這些信息并向策略決策點(diǎn)PDP發(fā)出決策請(qǐng)求,PDP根絕策略管理點(diǎn)PAP提供的策略對(duì)該請(qǐng)求做出決策,并返回決策結(jié)果給上下文處理器,上下文處理器將決策結(jié)果返回給PEP,PEP根據(jù)結(jié)果做出響應(yīng)用戶請(qǐng)求或拒絕用戶請(qǐng)求的決策。

XACML標(biāo)準(zhǔn)以其嚴(yán)格的策略管理保障Web服務(wù)的訪問(wèn)控制,業(yè)界基于XACML研究出相應(yīng)的Web服務(wù)訪問(wèn)控制模型,實(shí)現(xiàn)Web服務(wù)的安全訪問(wèn)。文獻(xiàn)[19]通過(guò)對(duì)XACML特點(diǎn)的分析提供了一種結(jié)合XACML的基于屬性的Web服務(wù)訪問(wèn)控制模型(Attribute-Based Access Control,ABAC),區(qū)別于傳統(tǒng)的基于用戶身份的授權(quán)機(jī)制,而采用基于用戶、環(huán)境等屬性從而實(shí)現(xiàn)動(dòng)態(tài)評(píng)估訪問(wèn)請(qǐng)求,對(duì)Web服務(wù)的動(dòng)態(tài)性和異構(gòu)性有著良好的契合。文獻(xiàn)[20]針對(duì)Web服務(wù)訪問(wèn)控制的成本較高的缺陷,提出了一種統(tǒng)一的訪問(wèn)控制模型,綜合了XACML的優(yōu)點(diǎn),采用通用的策略描述規(guī)范,減少因策略算法的復(fù)雜造成實(shí)現(xiàn)起來(lái)的困難和成本。文獻(xiàn)[21]提出了一種地基于信任的Web服務(wù)訪問(wèn)控制模型CD-WSTBAC,該模型基于XACML和WS-Security規(guī)范,綜合運(yùn)用了身份認(rèn)證以及訪問(wèn)控制策略,使得Web服務(wù)可以在不同安全域內(nèi)被請(qǐng)求和調(diào)用。

XACML標(biāo)準(zhǔn)提供了統(tǒng)一的策略描述語(yǔ)言,因其豐富的規(guī)則和策略執(zhí)行算法,使得XACML可以在異構(gòu)平臺(tái)上得到充分應(yīng)用,滿足更復(fù)雜的控制安全需求。但是,由于XACML繁瑣的標(biāo)簽定義和復(fù)雜的訪問(wèn)控制策略算法,使得基于XACML的系統(tǒng)在實(shí)現(xiàn)的時(shí)候比較困難,成本較高,適用面不夠廣泛。

2.4 基于SAML+XACML規(guī)范的認(rèn)證

由于XACML只涉及認(rèn)證和授權(quán)過(guò)程[22],不保障各個(gè)實(shí)體之間信息交流的安全,同時(shí)沒(méi)有定義策略執(zhí)行點(diǎn)和策略決策點(diǎn)之間的通信協(xié)議,而SAML正是在不同實(shí)體間進(jìn)行交流的一種標(biāo)準(zhǔn)。將兩者結(jié)合起來(lái),策略執(zhí)行點(diǎn)PEP接收到SAML格式的帶有認(rèn)證聲明和屬性聲明的請(qǐng)求,并將它發(fā)給上下文處理器,上下文處理器將SAML映射成XACML交與策略決策點(diǎn)PDP做出決策。文獻(xiàn)[23]提出了基于SAML和XACML的Web服務(wù)訪問(wèn)控制模型,結(jié)合了兩者的優(yōu)點(diǎn),利用SAML實(shí)現(xiàn)了單點(diǎn)登錄,多次訪問(wèn),方便用戶,同時(shí)結(jié)合XACML完成訪問(wèn)授權(quán)控制。

2.5 其他安全認(rèn)證

隨著Web服務(wù)的不斷發(fā)展,OASIS相繼提出了一些新的標(biāo)準(zhǔn)和協(xié)議來(lái)保障在新的網(wǎng)絡(luò)環(huán)境下的安全,如WS-Federation,WS-Authorization,WS-Policy,WS-Trust以及WS-Privacy。其中WS-Federation規(guī)范定義了一種聯(lián)合不同信任領(lǐng)域間的身份,身份驗(yàn)證和授權(quán)的集成模型,解釋了如何將聯(lián)合模型應(yīng)用于活動(dòng)的請(qǐng)求方如SOAP應(yīng)用程序。文獻(xiàn)[24]對(duì)WS-Federation協(xié)議做了具體的分析,并對(duì)基于WS-Federation的跨域單點(diǎn)登錄過(guò)程進(jìn)行了詳細(xì)的解釋,發(fā)現(xiàn)協(xié)議存在的問(wèn)題并提出相應(yīng)的解決辦法。

比較WS-Federation協(xié)議和SAML協(xié)議,發(fā)現(xiàn)兩者都能實(shí)現(xiàn)單點(diǎn)登錄,但兩者之間是存在一定的差別: 1) 兩者在認(rèn)證方式上不同,前者基于WS-Trust,后者使用X.509證書或者Kerberos票據(jù); 2) WS-Federation得到WS-Policy以及WS-Trust支持,能更好地應(yīng)對(duì)分布式Web服務(wù)環(huán)境的消息可靠性和安全,而SAML沒(méi)有可靠的消息或交易支持。

另外針對(duì)Web服務(wù)的安全問(wèn)題,業(yè)界也提出了一些基于其他平臺(tái)或算法的模型,例如文獻(xiàn)[25]設(shè)計(jì)了一種基于DCE的可信Web服務(wù)度量模型,結(jié)合WS-Security規(guī)范和動(dòng)態(tài)信用評(píng)價(jià)DEC提出了新的服務(wù)可信度量算法,建立了一個(gè)新的Web服務(wù)安全框架。文獻(xiàn)[26]在RBAC(基于角色的訪問(wèn)控制)的基礎(chǔ)上提出了基于使用控制支持動(dòng)態(tài)Web服務(wù)訪問(wèn)控制模型WS-DAUCON,通過(guò)在RBAC模型中添加授權(quán),義務(wù)和條件模塊實(shí)現(xiàn)權(quán)限動(dòng)態(tài)管理。

3 結(jié)語(yǔ)

由于Web服務(wù)技術(shù)的不斷革新和發(fā)展,互聯(lián)網(wǎng)中Web服務(wù)的安全性要求也不斷地提高,正是由于各種規(guī)范的提出,安全性得到了相對(duì)的保障。然而,未來(lái)的發(fā)展對(duì)網(wǎng)絡(luò)的要求不斷提高,因此服務(wù)的安全性也需要得到更高的重視。目前很多規(guī)范已經(jīng)提出了相應(yīng)的改進(jìn)版本,在面對(duì)更加復(fù)雜多樣的網(wǎng)絡(luò)環(huán)境和安全要求的時(shí)候,綜合運(yùn)用多種規(guī)范技術(shù)實(shí)現(xiàn)Web服務(wù)的安全傳輸認(rèn)證則是未來(lái)發(fā)展的重要方向。

[1] 吳文明,瞿裕忠,等.Web服務(wù)及相關(guān)技術(shù)[J].計(jì)算機(jī)應(yīng)用與軟件,2004,21(3):14-15,104.

[2] 盧曉霞,韓堅(jiān)華.Web服務(wù)中基于信任的跨域安全認(rèn)證模型[J].微型機(jī)與應(yīng)用,2012,31(3):50-52.

[3] 馮超,李梁.基于SOA的Web Services安全技術(shù)研究[J].計(jì)算機(jī)與數(shù)字工程,2009,37(5).

[4] 石偉鵬,楊小虎.基于SOAP協(xié)議的Web Service安全基礎(chǔ)規(guī)范WS-Security[J].計(jì)算機(jī)應(yīng)用研究,2003(2).

[5] 王凡,李勇,等.基于WS-Security規(guī)范構(gòu)筑安全的SOAP消息調(diào)用[J].計(jì)算機(jī)應(yīng)用,2004,24(4).

[6] Feng He, Jia Jinle. Apply the technology of RBAC and WS-Security for secure web services environment in campus[C]//ICMLC,2006.1.1.

[7] Nassr, Nezar Steegmans. A parameterized RBAC access model for WS-BPEL orchestrated composite[C]//ICITST,2011.1.1.

[8] Dunlu Peng, Chen Li. An Extended Username Token-Based Approach for Rest-Style Web Services Environment[C]//CCSIT,2009.

[9] Chen-Da Hou, Dong Li. Sea Http: A Resource-Oriented Protocol to Extend REST Style for Web of Things[J].計(jì)算機(jī)科學(xué)與技術(shù)學(xué)報(bào)(英文版),2014(2).

[10] 全立新.一種基于加密技術(shù)的Web服務(wù)安全方法[J].制造業(yè)自動(dòng)化,2011(4).

[11] 蘇偉,孫磊,徐開(kāi)勇.基于XML安全的移動(dòng)Web Service的高效實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2009,35(3).

[12] Stephen Farrell. Irving Reid: Security Assertion Markup Language(SAML) OASIS Standard, 5 November 2002.

[13] Jafary P, Lobov A, Lastra J L M. Enhancement of Security in the hierarchy model of control and automation by applying single sign-on for google apps[C]//Proceedings of the 6thACM Workshop on Formal Methods in Security Engineering,2008:1-10.

[15] 于繼萬(wàn),朱華飛.一種新的SIP SSO機(jī)制[J].計(jì)算機(jī)應(yīng)用,2004(5).

[16] Rosenberg J, Schulzrinne H. SIP: Session Initiation Protocol. RFC 3261.

[17] 王曦,張斌.基于代理簽名的SAML單點(diǎn)登錄協(xié)議[J].計(jì)算機(jī)工程,2012,38(16).

[18] Godiks, Mosest. OASIS: eXtensible access control markup language(XACML) version 2.02004, committee draft 01[EB/OL].

[19] 沈海波,洪帆.Web服務(wù)中結(jié)合XACML的基于屬性的訪問(wèn)控制模型[J].計(jì)算機(jī)應(yīng)用,2006,25(12):2765-2767.

[20] 王尚平,馬宏亮,等.基于XACML的服務(wù)信任協(xié)商方案[J].計(jì)算機(jī)工程,2008(11).

[21] 馬曉寧,馮志勇.Web服務(wù)中基于信任的訪問(wèn)控制模型[J].計(jì)算機(jī)工程,2010(3).

[22] 陳英勇,辛明君,吳紹睿.面向Web服務(wù)的交互訪問(wèn)控制[J].計(jì)算機(jī)工程,2009,35(14).

[23] 陶宇偉,封紅旗.網(wǎng)格服務(wù)中基于SAML和XACML的Web服務(wù)的安全訪問(wèn)控制[J].電子技術(shù)應(yīng)用,2011(10).

[24] 沈海波.基于WS-Federation的Web服務(wù)跨域單點(diǎn)登錄認(rèn)證分析[J].計(jì)算機(jī)應(yīng)用研究,2006(2).

[25] 李曉麗.基于DCE的可信Web服務(wù)度量模型的分析與研究[J].科技通報(bào),2013,29(8).

[26] 上超望,楊宗凱,等.使用控制支持俄動(dòng)態(tài)Web服務(wù)訪問(wèn)控制模型研究[J].計(jì)算機(jī)應(yīng)用研究,2009,26(8).

Summary of Security Authenticated Protocol for Web Service on the Platform of SOA

HAN Baodong

(Navy Military Representative Office at No. 427 Factory in Guangzhou, Guangzhou 510715)

As an important research field, the security of web service gets more attention recently. By analyzing the security problems of web service on the SOA, the security specification of web service for those security issues is sumarized in this paper. The content focuses on the WS-Security and some other standards relative to it, additionally describes and compares the SAML protocol for SSO with XACML, which is used for representing the security policy.

Web service, WS-Security, SAML, XACML

2014年12月11日,

2015年1月20日

韓寶棟,男,助理工程師,研究方向:電子信息系統(tǒng)。

TP393

10.3969/j.issn1672-9730.2015.06.027