论文部分内容阅读
在电子商务应用中,Web服务的安全策略一直都涉及多种不同的技术、协议。这些技术、协议之间缺乏一个可靠的安全架构,存在着或多或少的安全漏洞和缺陷。如何构建一个安全、可靠的Web服务体系成为当前电子商务界备受关注的研究课题之一。
一、Web服务安全策略概述
1.Web服务安全策略的定义
Web服务安全策略是一个集部署、发现、事务、安全、认证等基本功能为一体的服务平台,并具有一系列相关的技术标准,这些标准使其具有作为一个服务平台的完整性和优越性。
2.Web服务安全策略相关协议与技术简介
(1)简单对象访问协议(SOAP)。SOAP规定了Web服务安全策略之间传输信息的规范,是消息传输的协议。
(2)可扩展标记语言(XML)。数据以可扩展标记语言(XML) 的格式在Web上传输,可以帮助Web服务安全策略实现在异构平台中的不同系统之间的互相通讯和数据共享。
(3)Web服务描述语言(WSDL)。作为描述Web服务的格式的描述性语言,WSDL定义了一套基于XML的语法。
(4)通用发现、描述与集成(UDDI)。UDDI是基于Web的发布式,为Web服务提供信息注册、实现的标准规范。
二、电子商务网站攻击、防护分析
1.电子商务网站的安全现状
自诞生以来,电子商务的有关安全的问题就备受关注,可以说绝大部分网站都存在安全漏洞。根据世界知名的Web安全研究组织OWASP提供的报告显示,注入漏洞和跨站脚本漏洞是当前对Web业务系统威胁最大的两种攻击方式。
2.常见Web应用安全防护措施
(1)服务端安全防护。针对Web服务器端的安全问题,可采取源代码审计机制或安装入侵防护系统,当然如果将两者相结合效果更好。
(2)客户端安全防护。客户端安全防护的重点在于远程恶意代码执行漏洞(一般为堆栈攻击),所以在客户端最好使用带堆栈保护的Web浏览器版本并开启相关防护功能。
(3)针对木马、病毒的防护。无论服务器还是客户端都应安装防病毒、防火墙软件并及时升级、更新,从而保证安全风险在一个可控的范围内。
三、关于构建Web服务安全体系的几点建议
1.确保服务器安全
建议构建一种能完全独立于各种不同平台的Web服务器,该种服务器可以XML与SOAP协议的通用性和可扩展性为支撑,保证不同平台的各种应用的实现。同时,使用一台或多台专用服务器专门承担安全职责,这些专用服务器不附带其他任务或功能,只用于保证其他应用层服务端的Web服务安全,实现在不同安全体系之中快捷、自由切换。为了实现以上功能,这些服务器需承担起整个系统安全体系中最核心的用户管理与鉴别任务,其中合法用户鉴别是重中之重,要在确保合法用户可以自由穿梭于整个电子商务系统的同时,又将非法用户挡在安全体系之外。
2.部署Web服务安全策略
这样做目的是确保在多信路环境中Web服务的系统安全。
(1)Web服务安全策略是一个用于基于XML标记语言的安全性元数据容器的规范。
(2)Web服务安全策略不仅能利用其他现有的消息身份验证、完整性和加密,还能指定一个通过UsernameToken令牌元素传输简单用户凭据的机制。
(3)Web服务安全策略定义了一个 BinarySecurityToken令牌以发送用于加密或签名的消息,这些消息可以存储关于调用方、消息的签名方法和加密方法等信息。
(4)Web服务安全策略将安全信息嵌入消息的SOAP 部分,为Web服务安全性提供了点到点的解决方案。
3.使用SAML安全断言标记语言
使用SAML安全断言标记语言可以在一定程度上保证电子商务的可信性。SAML标记语言依靠制定一批完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。SAML标记语言只允许少数经过客户选择的机构保留客户的信息,在得到客户的明确批准后这些团体才被允许与其他有关的机构共享客户信息。
以上措施实现后,可为Web 服务安全性提供有一定可行性的解决方案,从而为电子商务用户和企业提供更好的安全性和稳定性。
参考文献:
[1] Simson Garfinkel,Gene Spafford.Web
安全、隐私和商务(第二版)[M].吕俊辉译.北京:机械工业出版社,2004.
[2]方美琪.XML及其在电子商务中的应用[M].北京:清华大学出版社,2003.
[3] M.Jasnowski.Java,XML,and Web Se-
rvices Bible[M].盖江南译.北京:电子工业出版社,2002.
(作者单位:九江职业大学)
一、Web服务安全策略概述
1.Web服务安全策略的定义
Web服务安全策略是一个集部署、发现、事务、安全、认证等基本功能为一体的服务平台,并具有一系列相关的技术标准,这些标准使其具有作为一个服务平台的完整性和优越性。
2.Web服务安全策略相关协议与技术简介
(1)简单对象访问协议(SOAP)。SOAP规定了Web服务安全策略之间传输信息的规范,是消息传输的协议。
(2)可扩展标记语言(XML)。数据以可扩展标记语言(XML) 的格式在Web上传输,可以帮助Web服务安全策略实现在异构平台中的不同系统之间的互相通讯和数据共享。
(3)Web服务描述语言(WSDL)。作为描述Web服务的格式的描述性语言,WSDL定义了一套基于XML的语法。
(4)通用发现、描述与集成(UDDI)。UDDI是基于Web的发布式,为Web服务提供信息注册、实现的标准规范。
二、电子商务网站攻击、防护分析
1.电子商务网站的安全现状
自诞生以来,电子商务的有关安全的问题就备受关注,可以说绝大部分网站都存在安全漏洞。根据世界知名的Web安全研究组织OWASP提供的报告显示,注入漏洞和跨站脚本漏洞是当前对Web业务系统威胁最大的两种攻击方式。
2.常见Web应用安全防护措施
(1)服务端安全防护。针对Web服务器端的安全问题,可采取源代码审计机制或安装入侵防护系统,当然如果将两者相结合效果更好。
(2)客户端安全防护。客户端安全防护的重点在于远程恶意代码执行漏洞(一般为堆栈攻击),所以在客户端最好使用带堆栈保护的Web浏览器版本并开启相关防护功能。
(3)针对木马、病毒的防护。无论服务器还是客户端都应安装防病毒、防火墙软件并及时升级、更新,从而保证安全风险在一个可控的范围内。
三、关于构建Web服务安全体系的几点建议
1.确保服务器安全
建议构建一种能完全独立于各种不同平台的Web服务器,该种服务器可以XML与SOAP协议的通用性和可扩展性为支撑,保证不同平台的各种应用的实现。同时,使用一台或多台专用服务器专门承担安全职责,这些专用服务器不附带其他任务或功能,只用于保证其他应用层服务端的Web服务安全,实现在不同安全体系之中快捷、自由切换。为了实现以上功能,这些服务器需承担起整个系统安全体系中最核心的用户管理与鉴别任务,其中合法用户鉴别是重中之重,要在确保合法用户可以自由穿梭于整个电子商务系统的同时,又将非法用户挡在安全体系之外。
2.部署Web服务安全策略
这样做目的是确保在多信路环境中Web服务的系统安全。
(1)Web服务安全策略是一个用于基于XML标记语言的安全性元数据容器的规范。
(2)Web服务安全策略不仅能利用其他现有的消息身份验证、完整性和加密,还能指定一个通过UsernameToken令牌元素传输简单用户凭据的机制。
(3)Web服务安全策略定义了一个 BinarySecurityToken令牌以发送用于加密或签名的消息,这些消息可以存储关于调用方、消息的签名方法和加密方法等信息。
(4)Web服务安全策略将安全信息嵌入消息的SOAP 部分,为Web服务安全性提供了点到点的解决方案。
3.使用SAML安全断言标记语言
使用SAML安全断言标记语言可以在一定程度上保证电子商务的可信性。SAML标记语言依靠制定一批完善的安全标准,包括SSL和X.509,来保护SAML源站点和目标站点之间通信的安全。SAML标记语言只允许少数经过客户选择的机构保留客户的信息,在得到客户的明确批准后这些团体才被允许与其他有关的机构共享客户信息。
以上措施实现后,可为Web 服务安全性提供有一定可行性的解决方案,从而为电子商务用户和企业提供更好的安全性和稳定性。
参考文献:
[1] Simson Garfinkel,Gene Spafford.Web
安全、隐私和商务(第二版)[M].吕俊辉译.北京:机械工业出版社,2004.
[2]方美琪.XML及其在电子商务中的应用[M].北京:清华大学出版社,2003.
[3] M.Jasnowski.Java,XML,and Web Se-
rvices Bible[M].盖江南译.北京:电子工业出版社,2002.
(作者单位:九江职业大学)