Web服務安全要求Top 10

申請免費試用、咨詢電話：400-8352-114

Web服務安全要求Top 10

不管你的公司規(guī)模有多大也不管它從事何種業(yè)務，在為所有的應用程序選擇Web服務時安全都是需要考慮的頭等大事。我們將在后續(xù)的3篇文章中專門討論安全方面的問題。作為這一系列開篇的本文對實現(xiàn)Web服務時決定安全級別和要求最重要的10因素進行了闡述。第2文章將討論在J2EE平臺上如何實現(xiàn)以下目標：(a) 領先的J2EE應用服務器的安全需求， (b) J2EE平臺達到目前領先的J2EE應用服務器的Web服務安全需求。第3篇文章專門討論微軟.Net平臺上的同類措施。

安全要求

在我們深入討論安全要求的10個最關鍵因素以前，首先讓我們簡短地概述下Web服務的安全要求問題。關鍵的Web服務安全要求不外乎以下幾個方面：認證、授權、數(shù)據(jù)保護和認可。

認證

認證保證使用某種Web服務的每一實體——也就是所謂的請求者（requestor）、供應商（provider）和經(jīng)紀人（broker，如果有的話）——正是實際上宣稱其身份的實體。認證涉及到從實體接受憑證以及通過權威認證機構對其進行檢查等。

授權

授權決定服務供應商是否同意向請求者授予訪問Web服務的權限。從本質上說，授權證實了服務請求者的憑證。它還確定服務請求者是否有權執(zhí)行操作，其范圍從調用Web服務到執(zhí)行其功能不等。

數(shù)據(jù)保護

數(shù)據(jù)保護的作用是保證Web服務請求和響應沒有在它們的“旅途”中被截獲乃至受到損害。它要求保護數(shù)據(jù)的完整性和私密性。值得注意的是數(shù)據(jù)保護并不保證消息發(fā)送者的身份。

認可

認可保證消息發(fā)送者與消息的創(chuàng)造者是一樣的。到目前為止，既然我們已經(jīng)了解了Web服務安全組成要素，接下來我們就看看影響Web服務實現(xiàn)最重要的10個安全因素到底有哪些。

最重要的10個決定性因素

確定Web服務安全要求的10個必要因素如下：

1. Web服務正被用于EAI或B2Bi嗎？

Web服務可以用在以下兩個領域：企業(yè)應用集成（EAI）和B2B集成（B2Bi）。EAI領域的安全要求是B2Bi安全要求的子集，因為在企業(yè)內(nèi)聯(lián)網(wǎng)中Web服務的控制、管理、發(fā)現(xiàn)和維護都比在穿越企業(yè)防火墻的Internet上應用要容易得多。用于EAI的Web服務只有一級認證，而且?guī)缀醪徊捎眉用芗夹g，而用于B2Bi的Web服務則會采用多級認證并且總是采用加密技術。此外，在B2Bi領域，對應Web服務請求和響應的消息都可能需要加密，采用的技術有密碼系統(tǒng)、數(shù)字簽名和SSL等。不過，只要可能的話都盡量不要針對企業(yè)網(wǎng)絡內(nèi)的EAI項目為Web服務采用SSL。最后，認可對B2Bi領域的Web服務是非常有用的，因為它防止了惡意的發(fā)送方否認自己創(chuàng)建和發(fā)送了特定的消息。

2. Web服務的目的是什么？

如果Web服務僅僅是暴露面向公共信息的業(yè)務進程或數(shù)據(jù)（例如某個城市內(nèi)今天的天氣或者某公司的股票信息），那么其安全要求比暴露私有業(yè)務信息的Web服務可就低多了。

3. Web服務的用戶是誰？

知道Web服務的用戶是誰對確定Web服務的授權和認證特性是非常重要的。

4. 服務能在因特網(wǎng)上調用嗎？

Web服務只能供信任的貿(mào)易伙伴使用還是供因特網(wǎng)上的任何公司調用？這一問題對Web服務的授權和認證當然很要緊了。

5. 內(nèi)部應用程序安全嗎？

Web服務為其內(nèi)部應用程序提供怎樣的訪問級別呢？訪問權限的根據(jù)是建立在授權和權利基礎上的嗎？訪問內(nèi)部應用程序的權限越大，授權和認證安全要求就越高。

6. Web服務是面向交易的嗎？

如果在多個實體之間分布交易則安全威脅將更高。

7. 采用什么協(xié)議？

哪些網(wǎng)絡協(xié)議在處理服務請求者和供應商之間的認證和數(shù)據(jù)傳輸？因為任何人都能嗅探Web服務的請求和響應，而這些請求和響應都是作為XML文本在網(wǎng)絡上傳輸?shù)?，所以是否需要采取?shù)據(jù)安全保證措施就變得非常重要了。如果網(wǎng)絡協(xié)議采用的是HTTPS，那么就不必再附加其他加密/解密算法了，因為HTTPS就提供了相應的功能。

8. 有必要檢查發(fā)送者/接受者嗎？

有必要保證Web服務請求和響應消息的發(fā)送者與消息的創(chuàng)造者的一致性嗎？出于審計的目的或者為了保證發(fā)送者和創(chuàng)造者是同一實體就需要這一信息。如果Web服務用于B2Bi，則認可的安全要求通常都是必要的。

9. 服務涉及到誰？

在Web服務的使用中涉及到了多少實體？也就是說，Web服務具有實體鏈特性嗎？如果實體的數(shù)量超過一個，那么就需要更高的安全性。

10. 采用了組件鏈嗎？

Web服務的實現(xiàn)代碼中具有應用程序和組件鏈的特性嗎？如果應用程序鏈擴展大量企業(yè)防火墻之外，則安全要求就會變得更嚴格。

必須指出，在Web服務這個舞臺上，有關安全問題的技術標準，比如對Web服務數(shù)字簽名的所用的工業(yè)標準和支持仍然處于正在研究和討論中。因此，我們將在后續(xù)的文章中繼續(xù)討論有關的標準開發(fā)問題。

為實現(xiàn)Web服務打基礎

安全的互操作性從長遠來說是Web服務成功的關鍵所在。一定要警惕Web服務可能的安全漏洞因為它們正是各種安全威脅（比如拒絕服務工具和假冒地址等）的攻擊之地，Web服務技術的任何實現(xiàn)都應該首先回答上面的問題，同時考慮到公司內(nèi)的現(xiàn)有安全策略和解決方案。