當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

選擇正確的Web服務(wù)器安全解決方案

http://www.yibo1263.com　2008/5/7 8:16:34 　來源:ccident 　編輯:張佳奇

簽名屬性文件outsecurity_sig.properties指定了密鑰存儲(chǔ)的位置、口令、和簽名者的別名：

org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin
org.apache.ws.security.crypto.merlin.keystore.type=jks
org.apache.ws.security.crypto.merlin.keystore.password=keystorePass
org.apache.ws.security.crypto.merlin.alias.password=client344Password
org.apache.ws.security.crypto.merlin.keystore.alias=client-344-839
org.apache.ws.security.crypto.merlin.file=com/dev/ws/client/driver/clientStore.jks

通過可用的簽名運(yùn)行計(jì)算器的例子會(huì)產(chǎn)生如下的SOAP消息：


＜soap:Envelope ...＞
＜soap:Header＞
＜wsse:Security ...＞
＜ds:Signature ...＞
...
＜ds:SignatureValue ...＞
Jx/wbsqjTsNZha+JDTCeCtNzUlaXAzWUOjyRCTQE6OQhiwQOpCt0gOd4mxsb5mI9Hrtr+0lSIZOJ
dOHBKTqcCQNmQneM8CI/oeo0RwLSaMXh2fIA+/mZt+EBcS9+WB9Vdv4AnCWYr4/feAxJkioZwzXt
9NquZMnC1nhRTMOoFpM=
＜/ds:SignatureValue＞
...
＜/ds:Signature＞
＜/wsse:Security＞
＜/soap:Header＞
＜soap:Body ...＞
...
＜/soap:Body＞
＜soap:Envelope＞

注意SOAP的頭部現(xiàn)在包括了一個(gè)SignatureValue成分，該成分包含著簽名。服務(wù)器使用這個(gè)簽名來驗(yàn)證SOAP消息的真實(shí)性。

基于簽名的身份驗(yàn)證是一種用于保障服務(wù)安全性的有效方法，這些服務(wù)的客戶是其它服務(wù)器和設(shè)備。簽名還滿足了應(yīng)用程序?qū)Π踩缘男枰@些應(yīng)用程序需要每一項(xiàng)服務(wù)處理身份驗(yàn)證的合法證據(jù)。管理客戶端和服務(wù)器證書的需要增加了總體的可維護(hù)性，而且必須在規(guī)劃階段就加以考慮。你應(yīng)該清楚，這種方案并沒有涉及到J2EE驗(yàn)證模式，因此它僅限于處理身份驗(yàn)證的需要。

影響你選擇安全方案的主要因素

本文討論了一些最流行的Web服務(wù)安全解決方案，并提供了一些例子用以具體展示其使用方法。本文根據(jù)影響你應(yīng)用程序安全問題的因素評估了每一種方案。下面我們給出在你需要做出決策時(shí)應(yīng)該考慮的主要因素：

保密性和完整性：你需要決定到底你的消息的哪些部分需要保密和完整。消息級的安全（MLS）支持精細(xì)的安全性，而SSL以增加性能上的負(fù)擔(dān)為代價(jià)可以保障整個(gè)消息的安全。

會(huì)話狀態(tài)：如果服務(wù)客戶不需要保持狀態(tài)，那么一種簡單的身份驗(yàn)證方案，如UsernameToken也就足夠了。如果需要保持狀態(tài)的話，就應(yīng)該考慮其它的方案，如Kerberos。

拓?fù)洌悍⻊?wù)通信可以是點(diǎn)到點(diǎn)的，也可以是涉及到網(wǎng)關(guān)等仲裁者的端到端的拓?fù)洹SL僅支持點(diǎn)到點(diǎn)的結(jié)構(gòu)，而MLS兩種都支持。

基礎(chǔ)結(jié)構(gòu)：應(yīng)用程序服務(wù)器提供了對WS-*安全性不同程度的支持。因此，你的應(yīng)用程序服務(wù)器支持會(huì)影響你對安全方案的選擇。

身份驗(yàn)證：應(yīng)用程序需要各種各樣的身份驗(yàn)證，其中包括基于用戶的驗(yàn)證、基于簽名的驗(yàn)證和聯(lián)合驗(yàn)證。你需要決定哪一種身份驗(yàn)證模式最適合你的安全性需要。

客戶端類型：互聯(lián)網(wǎng)（Internet）客戶端與Intranet(企業(yè)內(nèi)部網(wǎng))客戶端相比，一般都有不同的安全限制。在考慮一個(gè)安全方案時(shí)，你應(yīng)該考慮它對你的客戶端部署的影響。

性能：安全性往往對應(yīng)用程序的性能都有負(fù)面的影響。SSL比起基于MLS（消息級別的安全）的方案要容易實(shí)施，但它會(huì)導(dǎo)致更高的性能的損失。

復(fù)雜性：在選擇一個(gè)方案時(shí)，復(fù)雜性是一個(gè)容易被忽略的、可能會(huì)對項(xiàng)目有害的因素。MLS可比SSL提供更好的性能，不過，它要以增加開發(fā)的復(fù)雜性為代價(jià)。

本新聞共6頁,當(dāng)前在第6頁 1 2 3 4 5 6

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Web服務(wù)器訪問失敗故障處理技巧

·Web服務(wù)器維護(hù)和安全管理技巧3則

·十個(gè)步驟打造安全的個(gè)人Web服務(wù)器

·教你打好WEB服務(wù)器安全攻堅(jiān)戰(zhàn)

·緊急處理Web服務(wù)器訪問失敗故障

·Web服務(wù)器安裝和運(yùn)行FTP操作步驟

·Web服務(wù)器啟用并運(yùn)行FTP服務(wù)

·保護(hù)Web服務(wù)器從數(shù)據(jù)庫開始

·保障Web服務(wù)器安全的六個(gè)步驟

·Web服務(wù)器的啟用并運(yùn)行FTP服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费