浅谈企业信息系统中的Web Service安全

◆周英夫

(国核自仪系统工程有限公司 上海 200241)

浅谈企业信息系统中的Web Service安全

◆周英夫

(国核自仪系统工程有限公司 上海 200241)

随着经济的发展，互联网技术和信息技术取得了巨大的进步。在当前互联网时代的背景下，企业信息系统中的Web Service安全十分重要，本文对Web Service技术的安全目标及具体安全技术进行分析，并结合现在企业信息系统提出一些增加安全性的应用手段。

企业信息系统；Web Service；信息安全

0 前言

互联网时代的到来，大数据的广泛应用，让资源查找变得更加方便，与此同时，企业也利用这种技术实现了自身的转型和发展，Web Service技术的应用就是促进企业发展的表现之一。它自身的完整性、机密性、身份验证性、授权性与不可否认性等安全目标的实现对于企业的未来发展具有十分重要的意义。

1 Web Service技术

Web Service技术，它是一种应用在程序集成商的新技术，是互操作分布式应用程序的新平台，其典型网络架构图可见图1。

图1 典型Web Service技术架构图

结合图1，可以看出该技术的主要构成，它能够通过这种架构为客户及管理者提供一系列的服务。一般情况下，Web Service技术都在Web服务器之后，其运行之中是三种角色的互相作用，分别为服务提供者、服务请求者与服务注册处。对此技术进行分析需要从安全目标和技术类型两方面进行。

1.1 安全目标

Web Service的安全目标包括了五个方面，即完整性、机密性、身份验证性、授权性与不可否认性。完整性指的是利用网络进行信息传输的过程中，信息不会受到损坏，可以保持信息具有统一性和完整性[1]。机密性指的是在当前的网络环境中，一些机密信息不会遭到泄露，不会让没有经过授权的人士看到。身份验证指的是通讯的双方能够凭借需要完成互相身份信息的验证，进而提供给对方相应的需要信息。授权性指的是根据用户拥有的权限可以进行不同层次、不同内容的访问。不可否认性指的是利用网络进行信息发送和接收的操作是不可否认的，这一动作是不能抵赖的。

1.2 Web Service安全技术类型

在过去，Web Service安全技术主要是SSL（安全套接字层）、VPN（虚拟专用网络）和 Firewall（防火墙）这几种技术，这些技术都能够对Web Service安全提供一定的保障，但对于信息管理要求高的情况并不能够满足，要想做到选择性的加密、端和端的安全与应用层的安全性等要求需要采用新的Web Service安全技术。新的 Web Service安全主要是 XML加密、XML签名、WS-Security与SAML、XACML、Liberty等。在企业信息管理中，应用这些技术可以对信息系统的网络安全服务起到很大的作用。

2 企业信息系统中的Web Service安全

目前，在 Web中的身份验证主要有利用超文本传输协议方法的基本身份验证、基于SSL的基本身份验证、摘要身份验证和客户端证书身份验证等。现在，很大部分的Web服务都是将HTTP作为传输层，比较依赖HTTP的现有安全机制，像SSL等。处于最低层的SOAP消息传递可以利用HTTPS，但仅仅如此也并不能够对特殊Web服务的要求达到满足。

SOAP（Simple Object Access Protocol，简单对象访问协议）消息的语法是利用XML格式，因此，它身上有着XML格式较为灵活的优点，可以在新节点中将语法特性嵌入，也可交易利用保密段替换掉XML节点[2]，进而让整个消息都符合要求。利用XML加密与XML数字签名的方法可以对消息安全性进行确认。

2.1 SOAP信息加密

SSL在实现传输消息安全性的同时，存在着一定的缺点，首先是SSL的加密对XML格式有所破坏，二是途经中间节点的时候存在解密问题。在企业信息系统中，对消息加密往往都只是要求一部分加密的，全部加密会影响效率。

XML-Encryption将通用XML加密方法进行了定义，它属于W3C规范草稿，现并不是标准。它采用了散列函数和对称密码体制，在协商好对称秘钥的条件下，能够把消息主题替换作密文，这些信息会被写到SOAP消息头部之中，用来和接收方进行对照，以此可以保证企业信息，防止篡改和窃听，进而实现企业信息的保密。当然，在密钥的协商过程中需要有密钥管理机制以配合使用。

2.2 安全断言标记语言

安全断言标记语言，也就是SAML，它是一套用在Web Service端点之间进行信息的安全交换标准。它同样是基于XML语法，在整体上可以保证安全措施标准与Web Service的统一解析。安全断言标记语言将角色定义为三种，分别为请求服务的实体对象、服务提供方与出具断言控制资源访问的鉴定方。

同时，利用XACML（XML Acess Control Markup Language,可扩展的访问控制标识语言）也可以对标识访问规则进行控制，它经常和SAML进行协同工作，如上文所说，安全断言标记语言对实体间的传递可以完成验证，对授权可以完成决策，而 XACML可以对这些传递授权决策的机制进行保障。它可以实现访问控制实体，并在机制中“拒绝”与“允许”之前进行一些操作，进而达到比简单拒绝访问或授权访问更加细致的控制访问。

2.3 统一身份认证的具体实现利用统一身份认证可以为企业信息系统的安全性有很大的作用，通过统一数据库里存储用户信息与各应用系统信息可以实现企业对应用系统的随时调用，可以实现统一的认证、管理与授权。在对其设计时需要注意 Web服务的四个功能模块，即用户注册、账号关联与用户认证和系统相关功能模块。

以J2EE架构的企业信息系统为例，可以对企业信息系统里的Web Service安全实现来进行具体陈述。这种架构包含了Web客户应用、数据库应用与 Web服务器端应用等多个方面，它能够提供给企业多种安全功能，即 SSL、HTTP基本鉴权等，为进一步提高安全新能，应该利用SOAP加密保证消息的机密性、利用 SOAP数字签名技术的不可否认性对消息进行签名[3]，利用SAML来实现登录的单点性，让服务有更加统一的权限控制，利用PKI来实现证书及密钥管理的自动化，利用对数据的加密技术来实现信息的存储安全等。

3 结论

综上所述，企业信息系统具有跨物联网、跨区域的性质，在信息存储及传输的过程中，它的可靠性与安全性十分重要。过去的Web Service安全技术现在已经不再适合当前的企业信息管理安全要求，因此，需要利用SOAP安全、数字签名以及安全断言标记语言等实现综合管理。

[1]许兴霖.企业信息系统安全体系设计浅谈[J].现代工业经济和信息化，2016.

[2]郭根.基于双向加密算法的WebService应用的设计和实现[J].宇航计测技术，2016.

[3]郑方平.基于 WebService中心网管系统的设计与实现[D].浙江工业大学，2014.