文档介绍:Web服务安全性研究摘要随着Web服务技术的发展,越来越多的企业使用Web服务。Web服务技术在得到快速发展和应用的同时,Web服务的安全问题越来越重要。为了保证Web服务的安全,IT界正在研究和开发许多基于XML的Web服务相关安全标准,来解决认证、授权、消息级数据安全等问题。然而目前的安全技术尚无法提供Web服务的足够安全性保证。如何构建一个完善的Web服务安全解决方案,成为Web服务技术领域中一个具有重要意义的研究课题。本文通过对Web服务相关安全规范的研究,提出了一种Web服务安全模型,并在该模型框架中实现SOAP消息的安全传输以及跨安全域的单点登录认证和授权。通过对XML加密、XML签名以及时间戳的使用,很好的保证了SOAP消息端到端的安全通信。为了简化每访问一个Web服务都要进行的身份验证,应用了基于SAML的Web服务单点登录技术,同时基于服务请求者访问需求的不确定性以及各个Web服务授权的灵活性,以用户一角色、角色一权限映射的方式,将对于服务请求者的认证和授权独立开,分别交由SAML服务器和各个Web服务端的访问控制器实现。该模型较好地保证了Web服务通信中信息的机密性、完整性、不可否认性,同时实现了用户的认证和授权。关键词:Web服务:认证;授权;角色ResearchonWebServiceSecurityAbStractAlongwiththedevelopmentofWebServices,,peopleinthefieldofITareresearchinganddevelopinglotsofXML-basedsecuritystandardsassociationwithWebServices,andhopetoresolveproblemsaboutidentification,authentication,message-,,prehensivBsolutionforWebServicesecurity,WiththeresearchonsecuritystandardsassociationwithWebServices,’Ssecuritytransportation,singlesign—,XMLsignatureandtimestamp,,weapplyWebServicesinglesign-’essingrequirementsandtheauthenticationflexibilityofeveryWebService,wedesignthemappingofuser-roleandrole-rights,’Sconfidentiality,integrity,non-repudiation,:WebService;identification;authentication;???????????????????????????????????????????????????????????????????????????????14图3。4数字签名验证过程???????????