基于PKI身份认证的WebServices安全系统的研究与设计.docxVIP

?

?

基于PKI身份认证的WebServices安全系统的研究与设计

?

?

论文导读：我们的WebServices身份认证流程是这样的:首先，我们的WebServices身份认证模型捕获客户端的SOAP请求消息M;接着，我们从PKI系统中获取服务器端的公钥Es，并用服务器端的公钥对SOAP消息进行加密，得到加密后的SOAP消息，Es(M);然后，我们使用客户端的私钥Dc，对SOAP消息进行签名，得到签名后的SOAP消息，Dc(Es(M));最后，我们将加密和签名的SOAP消息发送到Internet上。而在服务器端，我们的WebServices身份认证模型接收到客户短发送过来的加密、签名过的SOAP消息。同样地，如果需要的话，我们可以对WebServices处理过的SOAP应答消息做同样地安全处理。

关键词：PKI，身份认证，WebServices，安全

?

0引言

随着互联网的不断壮大，越来越多的企业将自身的应用搬上网络，它们为企业争取了更多的客户，把握了更多的商机，获取了更多的利润。然而由于现有的应用系统开发模式及结构存在很大差异，这就使得企业与企业之间，企业内部部门之间的交互和协作变得越来越复杂。随着WebServices[1]技术的发展和广泛应用，其高效集成性、松散松散耦合性和实现简单等特点使得互操作和集成问题从层次上被简化。

WebServices是一套标准协议，它规定了应用程序如何在Web上实现互操作性，你可以使用任何一种编程语言，在任何一种平台上编写WebServices。现在普遍应用的是通过HTTP请求发送SOAP[2]消息，然后接收HTTP应答中包含的消息。由于SOAP消息是通过HTTP方式进行，所以其可以穿越大多数的防火墙，进行数据交换。

对于SOAP消息的机密性和完整性，普遍的做法是使用加密和签名，采用非对称秘钥理论，通过加密来保障消息的机密性，通过签名来保障消息的完整性;对于完善的用户身份认证机制，PKI[3]系统提供了有力的保障，它能够为用户颁发公私钥证书，通过公钥来明确用户的身份，用户在发送了签名过的SOAP消息时，己经表明了自己的身份，也无法抵赖，而且PKI系统与非对称秘钥理论完美的结合，通过私钥来对消息进行加密，通过公钥来对消息进行签名。有效地保障WebServices的安全。

1WebServices的体系结构

WebServices体系结构是面向对象分析与设计的一种合理发展，同时也是电子商务解决方案中，面向体系结构、设计、实现与部署而采用的组件化的合理选择。这两种方式在复杂的大型系统中经受住了考验。和面向对象系统一样，封装、消息传递、动态绑定、服务描述和查询也是WebServices中的基本概念，而且，WebServices另外一个基本概念就是:所有东西都是服务，这些服务发布一个API供网络中的其他服务使用，并且封装了实现细节。

WebServices的体系结构是基于WebServices服务提供者、WebServices服务请求者、WebServices服务注册代理的不同操作来建立的。具体的WebServices体系结构模型如图1-1所示。

（1）Web服务提供者:Web服务的拥有者，它为其它服务和用户提供服务功能，服务提供者在实现服务之后可以发布服务，并且响应对于服务的调用请求；

（2）Web服务请求者:Web服务的使用者，它可以利用服务注册代理查找服务；

（3）Web服务注册代理:它的作用是将服务请求者与合适的服务提供者绑定在一起；

这三种不同的角色通过发布(publish)、查找(find)、绑定(bind)三种操作提供完整的WebServices功能。论文参考。WebServices是由服务描述所表达的接口，其接口的实现即为服务。服务和服务描述是支持Web服务的基本工件。服务在本质上是软件模块，它由服务提供者提供，部署在网络可访问的平台上。[4]

图1-1WebServices体系结构示意图

2基于PKI的WebServices安全模型设计

2.1整体框架图

WebServices在异构的分布式的环境下，对客户的身份认证就比较困难，当你去调用一个企业的WebServices时，这个企业WebServices可能又会去调用另一个企业WebServices如何在这种跨域的环境下实现WebServices的身份认证，

PKI公钥基础设施能够使计算机用户在无需事先协商的情况下，互相验证对方的身份[5]，这对于WebServices下的身份认证提供了解决方法。我们的WebServices身份认证模型就是基于PKI完成的，如图2-1所示。客户端和服务器端都通过PKI系统来获取对方的公钥证书，通过PKI系统来检验公