淺談企業信息系統中的Web Service安全

◆周英夫

(國核自儀系統工程有限公司 上海 200241)

淺談企業信息系統中的Web Service安全

◆周英夫

(國核自儀系統工程有限公司 上海 200241)

隨著經濟的發展，互聯網技術和信息技術取得了巨大的進步。在當前互聯網時代的背景下，企業信息系統中的Web Service安全十分重要，本文對Web Service技術的安全目標及具體安全技術進行分析，并結合現在企業信息系統提出一些增加安全性的應用手段。

企業信息系統；Web Service；信息安全

0 前言

互聯網時代的到來，大數據的廣泛應用，讓資源查找變得更加方便，與此同時，企業也利用這種技術實現了自身的轉型和發展，Web Service技術的應用就是促進企業發展的表現之一。它自身的完整性、機密性、身份驗證性、授權性與不可否認性等安全目標的實現對于企業的未來發展具有十分重要的意義。

1 Web Service技術

Web Service技術，它是一種應用在程序集成商的新技術，是互操作分布式應用程序的新平臺，其典型網絡架構圖可見圖1。

圖1 典型Web Service技術架構圖

結合圖1，可以看出該技術的主要構成，它能夠通過這種架構為客戶及管理者提供一系列的服務。一般情況下，Web Service技術都在Web服務器之后，其運行之中是三種角色的互相作用，分別為服務提供者、服務請求者與服務注冊處。對此技術進行分析需要從安全目標和技術類型兩方面進行。

1.1 安全目標

Web Service的安全目標包括了五個方面，即完整性、機密性、身份驗證性、授權性與不可否認性。完整性指的是利用網絡進行信息傳輸的過程中，信息不會受到損壞，可以保持信息具有統一性和完整性[1]。機密性指的是在當前的網絡環境中，一些機密信息不會遭到泄露，不會讓沒有經過授權的人士看到。身份驗證指的是通訊的雙方能夠憑借需要完成互相身份信息的驗證，進而提供給對方相應的需要信息。授權性指的是根據用戶擁有的權限可以進行不同層次、不同內容的訪問。不可否認性指的是利用網絡進行信息發送和接收的操作是不可否認的，這一動作是不能抵賴的。

1.2 Web Service安全技術類型

在過去，Web Service安全技術主要是SSL（安全套接字層）、VPN（虛擬專用網絡）和 Firewall（防火墻）這幾種技術，這些技術都能夠對Web Service安全提供一定的保障，但對于信息管理要求高的情況并不能夠滿足，要想做到選擇性的加密、端和端的安全與應用層的安全性等要求需要采用新的Web Service安全技術。新的 Web Service安全主要是 XML加密、XML簽名、WS-Security與SAML、XACML、Liberty等。在企業信息管理中，應用這些技術可以對信息系統的網絡安全服務起到很大的作用。

2 企業信息系統中的Web Service安全

目前，在 Web中的身份驗證主要有利用超文本傳輸協議方法的基本身份驗證、基于SSL的基本身份驗證、摘要身份驗證和客戶端證書身份驗證等。現在，很大部分的Web服務都是將HTTP作為傳輸層，比較依賴HTTP的現有安全機制，像SSL等。處于最低層的SOAP消息傳遞可以利用HTTPS，但僅僅如此也并不能夠對特殊Web服務的要求達到滿足。

SOAP（Simple Object Access Protocol，簡單對象訪問協議）消息的語法是利用XML格式，因此，它身上有著XML格式較為靈活的優點，可以在新節點中將語法特性嵌入，也可交易利用保密段替換掉XML節點[2]，進而讓整個消息都符合要求。利用XML加密與XML數字簽名的方法可以對消息安全性進行確認。

2.1 SOAP信息加密

SSL在實現傳輸消息安全性的同時，存在著一定的缺點，首先是SSL的加密對XML格式有所破壞，二是途經中間節點的時候存在解密問題。在企業信息系統中，對消息加密往往都只是要求一部分加密的，全部加密會影響效率。

XML-Encryption將通用XML加密方法進行了定義，它屬于W3C規范草稿，現并不是標準。它采用了散列函數和對稱密碼體制，在協商好對稱秘鑰的條件下，能夠把消息主題替換作密文，這些信息會被寫到SOAP消息頭部之中，用來和接收方進行對照，以此可以保證企業信息，防止篡改和竊聽，進而實現企業信息的保密。當然，在密鑰的協商過程中需要有密鑰管理機制以配合使用。

2.2 安全斷言標記語言

安全斷言標記語言，也就是SAML，它是一套用在Web Service端點之間進行信息的安全交換標準。它同樣是基于XML語法，在整體上可以保證安全措施標準與Web Service的統一解析。安全斷言標記語言將角色定義為三種，分別為請求服務的實體對象、服務提供方與出具斷言控制資源訪問的鑒定方。

同時，利用XACML（XML Acess Control Markup Language,可擴展的訪問控制標識語言）也可以對標識訪問規則進行控制，它經常和SAML進行協同工作，如上文所說，安全斷言標記語言對實體間的傳遞可以完成驗證，對授權可以完成決策，而 XACML可以對這些傳遞授權決策的機制進行保障。它可以實現訪問控制實體，并在機制中“拒絕”與“允許”之前進行一些操作，進而達到比簡單拒絕訪問或授權訪問更加細致的控制訪問。

2.3 統一身份認證的具體實現利用統一身份認證可以為企業信息系統的安全性有很大的作用，通過統一數據庫里存儲用戶信息與各應用系統信息可以實現企業對應用系統的隨時調用，可以實現統一的認證、管理與授權。在對其設計時需要注意 Web服務的四個功能模塊，即用戶注冊、賬號關聯與用戶認證和系統相關功能模塊。

以J2EE架構的企業信息系統為例，可以對企業信息系統里的Web Service安全實現來進行具體陳述。這種架構包含了Web客戶應用、數據庫應用與 Web服務器端應用等多個方面，它能夠提供給企業多種安全功能，即 SSL、HTTP基本鑒權等，為進一步提高安全新能，應該利用SOAP加密保證消息的機密性、利用 SOAP數字簽名技術的不可否認性對消息進行簽名[3]，利用SAML來實現登錄的單點性，讓服務有更加統一的權限控制，利用PKI來實現證書及密鑰管理的自動化，利用對數據的加密技術來實現信息的存儲安全等。

3 結論

綜上所述，企業信息系統具有跨物聯網、跨區域的性質，在信息存儲及傳輸的過程中，它的可靠性與安全性十分重要。過去的Web Service安全技術現在已經不再適合當前的企業信息管理安全要求，因此，需要利用SOAP安全、數字簽名以及安全斷言標記語言等實現綜合管理。

[1]許興霖.企業信息系統安全體系設計淺談[J].現代工業經濟和信息化，2016.

[2]郭根.基于雙向加密算法的WebService應用的設計和實現[J].宇航計測技術，2016.

[3]鄭方平.基于 WebService中心網管系統的設計與實現[D].浙江工業大學，2014.