简单对象访问协议SOAP(Simple Object Access Protocol)是一种轻量级协议,用于在分散型、分布式环境中交换结构化信息。SOAP利用XML技术定义了一种可扩展的消息处理框架,它提供了一种可通过多种底层协议进行交换的消息结构。SOAP提供了一种简单的、可扩展的并且功能丰富的XML消息处理框架,用于定义高级别的应用程序协议,从而在分布式异构环境中提供更高的互操作性。 SOAP协议是Web Service技术的核心。随着Web Service技术的不断成熟以及在电子商务等领域的不断发展,SOAP协议的安全性显得越来越重要。作为Web Service技术的核心,SOAP协议的安全性承载着Web Service技术安全性的绝大部分责任。 本文对SOAP协议进行了深入剖析,包括SOAP消息处理框架、扩展性、处理模型、协议绑定、RPC和编码以及SOAP类型等。通过对SOAP协议的应用环境WebService的全面理解和掌握以及对XML签名和XML加密技术的深入理解,将XML签名和XML加密技术规范融入到了SOAP协议当中,利用SOAP协议可扩展性强的特点,对SOAP协议进行了安全性方面的扩展,并从机密性、完整性、不可否认性、身份验证和授权等方面对SOAP协议的安全性扩展进行了论证。最后讨论了SOAP协议安全性的应用,设计实现了一个简单的以Windows窗体程序为客户端的基于WebService技术的采购系统原型,并将SOAP协议的安全性应用到了这个原型的银行资金转账Web Service模块上,实现了SOAP协议安全性的应用。 通过对SOAP协议进行安全性扩展,可以有效弥补SOAP协议本身安全性差的不足,同时也提高了以SOAP协议为基础的Web Service技术的安全性,增强了企业接受Web Service这个新兴的分布式计算的解决方案的信心,对于新技术的推广有重要意义。