Web服务认证.PDF

2009 年 第 8 期 计 算 机 系 统 应 用 Web 服务认证① Web Service Authentication 冯 挺 (宁波大学 信息科学与技术学院 浙江 宁波 315211) 王 惠 (宁波中搜网络科技有限公司 浙江 宁波 315040) 摘 要： 随着 Web 服务的普及，Web 服务的安全性变得越来越重要。在总结了目前比较成熟的多种身份认证 方法后，对其优缺点和特性进行了总结。并且，对其中比较有实际应用价值的方案进行了具体的实现。 同时，还对目前网络上流行的几种 Web 服务的身份认证方法进行了分析。 关键词： Web 服务 身份认证 HTTP 验证 SOAP 头验证 令牌验证 Web 服务的认证，可以防止未经认证的用户随 服务是面向大众公开的，所以其安全问题显的尤其重 意使用公开的 Web 服务，使得用户必须要通过认证 要。安全的 Web 服务需要保证以下 5 项安全性要求； 后，获得相应权限，才能使用相应的 Web 服务。目 “①认证:提供某个实体(人或者系统)的身份的保证； 前比较成熟的 Web 服务认证方式有 HTTP 认证，自 ②授权:保护资源以免对其进行非法的使用和操纵； 定义认证以及采用现有工具包。本文详细分析了各 ③机密性:保护信息不被泄漏或暴露给未授权的实体: 种方式的特点，并实现了几种比较简单实用的认证 ④完整性:保护数据以防止未授权的改变、 删除或替 方式。 代；⑤不可否认性: 防止参与某次通信交换的一方事 后否认本次交换曾经发生过。”[1] 1 引言 但是，在实际应用中，完整的满足上述 5 项要 W3C 组织定义 Web 服务(Web Service)为“在网 求对于普通的 Web 服务应用太过复杂，同时也太浪 络上支持机器间的互操作的一种软件系统”。通常，它 费资源。目前 Internet 上的公共 Web 服务，对于 是以 Web API 的形式存在于 Internet 上，通过 HTTP 一般的安全性要求，只需满足上述 1、2 两项要求即 协议在服务器端和客户端进行通信。利用 Web 服务可 可。对于授权，也是通过认证后的用户身份，进行 以建立面向服务的架构(SOA ， Service-oriented 相应的权限分配。因此，Web 服务的认证显得尤为 architecture)，即不用改变应用，利用 Web 服务的消 重要。本文列举了目前可以比较成熟的几种认证的 息驱动机制，让分布式系统协同工作。Web 服务平台 方法，并对其优缺点进行了讨论。同时，也对目前 提供了一套标准的类型系统，用于沟通不同平台、编