【文章內(nèi)容簡介】 現(xiàn)在SOAP可以使用任意的模式定義方式來定義內(nèi)部傳輸內(nèi)容的結(jié)構(gòu)（編碼方式一般使用XML Schema），可以與任意的網(wǎng)絡(luò)傳輸協(xié)議聯(lián)合使用完成傳輸。SOAP提供復(fù)合的單向消息交換框架，以便在SOAP節(jié)點之間傳輸XML。這些SOAP節(jié)點表示SOAP消息路徑的實體，執(zhí)行消息路由或處理功能。在SOAP消息中，SOAP節(jié)點可以是SOAP發(fā)送方、SOAP接收方或者是SOAP中間方，三種其中的任何一種。在SOAP消息交換模型中，SOAP消息經(jīng)由發(fā)送方，途經(jīng)0或多個中間方，最終傳遞到其所指的目標(biāo)位置。：SOAP中間方SOAP接收方SOAP發(fā)送方 基本的SOAP消息交換模型 WSSecurity規(guī)范WSSecurity規(guī)范是有IBM、Microsoft和Versign三大公司共同提出的，目前WSSecurity規(guī)范已經(jīng)成為了保護Web服務(wù)安全以及應(yīng)用進程操作安全的標(biāo)準(zhǔn)。WSSecurity規(guī)范定義了如何利用XML簽名、XML加密以及安全令牌來對SOAP消息進行簽名和加密，并且提供了將安全令牌和SOAP消息進行緊密聯(lián)系的體系。WSSecurity規(guī)范的主要作用就是保護SOAP消息的傳輸安全，實際上其是對SOAP協(xié)議的擴展，它解釋了如何將安全信息包含在SOAP消息的報頭中。WSSecurity規(guī)范并沒有提供出新的簽名/加密算法或是安全模型，而是在利用現(xiàn)有安全規(guī)范的基礎(chǔ)上提供了一個可以進行擴展操作的框架，應(yīng)用程序開發(fā)人員可以根據(jù)實際情況將各種不同的加密解密技術(shù)以及相關(guān)的協(xié)議標(biāo)準(zhǔn)結(jié)合起來，以實現(xiàn)Web服務(wù)的完整性、保密性和訪問的控制WSSecurity規(guī)范在SOAP中引入現(xiàn)有的簽名和加密標(biāo)準(zhǔn)，根據(jù)這些標(biāo)準(zhǔn)，它定義了一系列的SOAP消息頭（Header Block）來包含數(shù)字簽名、加密信息和安全令牌等安全信息。下面是一個典型的SOAP消息的報頭：S:Envelope S:Headerwsse:Security S:actor=... S:mustUnderstand= 1 wsse:BinarySecuzityTokenxmlns:wsse=Id=myTokenValueType =wsse:X509v3EncodingType=wsse:Base64BinaryMIIEZzCCA9CgAwIBAgIQEmtJZcO. .. /wsse:BinarySecurityToken/wsse:Security.../S:HeaderS:Body.../S:Body/S: Envelope在上面的結(jié)構(gòu)中，Security報頭塊是由WSSecurity定義的。它除了封裝安全令牌外，還提供有關(guān)在SOAP消息中使用XML簽名和XML加密的信息。每個SOAP消息可以包含有多個Security報頭塊，每個報頭塊都可以通過S:actor屬性來指定哪個SOAP節(jié)點將對其進行處理。S:mustUnderstand屬性設(shè)置為1時說明，強制接收方處理Security報頭記錄項。如果接收方不能處理安全信息，處理將失敗。WSSecurity主要提供了三種機制：安全令牌傳輸、消息完整性和消息機密性。（1）安全令牌傳輸在SOAP消息頭中，WSSecurity定義了安全元素（Security Element）來傳遞各種安全令牌。消息的接收者通過發(fā)送者的安全令牌來驗證用戶的身份。安全元素包含三種子類型的元素，它們分別是UsernameToken，BinarySecurityToken和SecurityTokenReference。（2）消息的完整性WSSecurity采用了W3C的XML簽名標(biāo)準(zhǔn)對SOAP消息進行數(shù)字簽名，保證SOAP消息在經(jīng)過中間節(jié)點時不被篡改。WSSecurity并沒有徹底改造已有的標(biāo)準(zhǔn)，而是簡單的利用它們，并就如何在SOAP消息中使用這些規(guī)范提出了一些具體細節(jié)。WSSecurity允許對SOAP消息其中的一部分進行數(shù)字簽名，允許為相同的消息創(chuàng)建多個簽名，這樣數(shù)據(jù)經(jīng)過的不同機構(gòu)或個人就可以獨立地對同一個XML文檔的不同部分進行添加、刪除或修改，并只對自己的處理結(jié)果簽名，而且所有簽名之間完全不會相互影響，從而能夠更好地分工協(xié)作，權(quán)責(zé)更明晰，效益也更顯著，從而擴大簽名的作用范圍。WSSecurity提供了對多種簽名算法和簽名格式的支持。（3）消息的機密性WSSecurity使用W3C的XML加密規(guī)范對SOAP消息進行加密，保證SOAP消息在傳遞過程中即使被監(jiān)聽，監(jiān)聽者也無法提取出有效信息。WSSecurity允許對SOAP消息進行選擇性的加密（可以部分加密或是全部加密），這樣就可以只對敏感信息加密，減少以往因?qū)φ麄€消息加密所導(dǎo)致的性能損失。WSSecurity也支持多種加密算法和加密格式。以上的三種WSSecurity機制既可以單獨使用，也可以組合起來使用，以實現(xiàn)不同要求的Web安全服務(wù)?？偟膩碚f，WSSecurity是一個可操作性強的、自由度高的、擴展性高的安全規(guī)范。論文所設(shè)計的信息通信加密傳輸機制就是基于WSSecurity規(guī)范的，通過WSSecurity規(guī)范的使用，使得應(yīng)用程序能夠形成安全穩(wěn)定的SOAP消息交換機制，保證了SOAP消息的機密性，完整性和不可否認性，并且能夠?qū)崿F(xiàn)支持端到端的消息級別的安全性，而不僅僅是傳輸級別的安全性。 XML技術(shù)XML即Extensible Markup Language，可擴展標(biāo)記語言的簡寫，他是所有Web服務(wù)標(biāo)準(zhǔn)的基石，是W3C認可的元標(biāo)記語言，這些標(biāo)記將文檔分為許多組件，并對這些組件加以標(biāo)記，其定義了和特定領(lǐng)域有關(guān)的、語義的、結(jié)構(gòu)化的標(biāo)記語言的句法語言。和HTML一樣，XML同樣基于標(biāo)準(zhǔn)通用標(biāo)記語言SGML（Standard Generalized Markup Language），但是與HTML不同的是，XML是一種能定義其他語言的語言。XML最初的設(shè)計目的是彌補HTML的不足，以其靈活多變以及擴展性強的特點來方便網(wǎng)絡(luò)信息的發(fā)布，而后來由于網(wǎng)絡(luò)需求的發(fā)展，其逐漸用于了網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)換和描述。XML是一種開放的語言，能夠?qū)?yīng)用程序的開發(fā)提供極大的方便，并且能夠在不同用戶和程序之間互相交換數(shù)據(jù)，且這些編輯與開發(fā)都和平臺無關(guān)。XML的另一個特征便是其可擴展性，用戶可以根據(jù)不同項目、不同產(chǎn)品的不同需要，自定義新的標(biāo)識以及屬性名稱，從而更好地從語義上表示數(shù)據(jù)，同時這也比較符合我們平常使用的自然語言的表達習(xí)慣。XML的以上特征使得其成為了構(gòu)建Web服務(wù)的基礎(chǔ)描述語言，并且它促進了更加標(biāo)準(zhǔn)化以及可讀性更強的消息的創(chuàng)建。 XML簽名以及XML加密技術(shù)XML數(shù)字簽名技術(shù)可以為所有類別的數(shù)據(jù)提供數(shù)據(jù)完整性、不可否認性和消息源的認證性，XML數(shù)字簽名規(guī)范包括描述簽字信息的語法規(guī)范和語義處理規(guī)則兩部分。XML加密技術(shù)可以為所有類別的數(shù)據(jù)提供保密性的服務(wù)。與XML數(shù)字簽名類似，XML加密規(guī)范也由語法規(guī)范和語義處理規(guī)則兩部分組成。 WSDL技術(shù)WSDL（Web Services Description Language，Web服務(wù)描述語言）是基于XML語言的規(guī)范，是Web服務(wù)的一種擴展性描述語言，它用于對Web服務(wù)的定義以及對其進行調(diào)用，還定義了用于查找Web服務(wù)的地址信息。因為其是基于XML語言而形成的，因此WSDL也是與平臺無關(guān)的?？捎糜诿枋鍪褂萌魏握Z言實現(xiàn)、部署在任何平臺上的服務(wù)。WSDL定義文檔的主要構(gòu)成元素如下：（1）definitions，它是WSDL文檔中的根元素，定義Web服務(wù)的名稱，并聲明WSDL其余部分使用的命名空間。（2）types，該元素描述了Web服務(wù)與服務(wù)用戶之間交換消息所使用的所有數(shù)據(jù)類型，它使用某種類型系統(tǒng)（默認的使用XML Schema中的類型系統(tǒng)）。（3）message，通信消息數(shù)據(jù)結(jié)構(gòu)的抽象類型化定義。描述單向消息，可表示發(fā)送到或來自Web服務(wù)的請求或響應(yīng)。（4）operation，對 Web服務(wù)所支持的操作的抽象描述，一般單個operation描述了一個訪問入口的請求/響應(yīng)消息對。（5）portType，定義了Web服務(wù)所支持的各項操作的抽象集合。這些操作可以由一個或多個服務(wù)訪問點來支持。（6） binding，指定用于表示通信中的特定元素portType定義的操作和消息的具體數(shù)據(jù)格式和協(xié)議。（7）port，定義為協(xié)議/數(shù)據(jù)格式綁定與具體Web訪問地址組合的單個服務(wù)訪問點。（8）service，該元素代表端口的集合和相關(guān)服務(wù)訪問點的集合。 UDDI技術(shù)通用描述、發(fā)現(xiàn)和集成協(xié)議UDDI（Universal Description，Discovery and Integration）是Web服務(wù)的另一項核心技術(shù)，它也是基于XML而構(gòu)建的獨立于現(xiàn)有的各種平臺以及開發(fā)工具的標(biāo)準(zhǔn)規(guī)范，它是為了解決Web服務(wù)的發(fā)布和發(fā)現(xiàn)問題而制訂的基于Internet的電子商務(wù)技術(shù)標(biāo)準(zhǔn)。UDDI提出了一種形成商業(yè)注冊中心的方法。該商業(yè)注冊中心記錄并且保存各個企業(yè)以及企業(yè)提供的Web服務(wù)的全球目錄，而由于UDDI協(xié)議是基于XML打造的，因此UDDI更像是一個儲存容量巨大的電話本。UDDI規(guī)范的核心組件是UDDI商業(yè)注冊中心，它使用一個XML文檔來描述與記錄企業(yè)的信息以及其所提供的所有Web服務(wù)。UDDI商業(yè)注冊中心所記錄的信息包括三個部分：（1）白頁：包含企業(yè)的基本信息，比如企業(yè)的名稱、地址以及聯(lián)系方式等信息；（2）黃頁：包含了企業(yè)所提供的Web服務(wù)的分類信息；（3）綠頁：包含了企業(yè)所提供的Web服務(wù)的技術(shù)信息。UDDI是一種特殊的，新興的Web服務(wù)，也是一種新興的技術(shù)手段，UDDI給電子商務(wù)的發(fā)展帶來了源動力，也因此推動了整個互聯(lián)網(wǎng)行業(yè)的發(fā)展。 本章小結(jié) 本章首先對Web服務(wù)進行了調(diào)查以及研究，主要是針對Web服務(wù)的概念以及特征的研究，然后對Web服務(wù)的一些基礎(chǔ)性協(xié)議、語言以及規(guī)范技術(shù)進行了研究，包括SOAP協(xié)議、WSSecurity規(guī)范、XML技術(shù)、WSDL技術(shù)以及UDDI技術(shù)，為后續(xù)的論文的實踐性研究提供了堅實的理論基礎(chǔ)。3 基于SOAP信息傳輸加密機制分析研究 密碼學(xué)理論密碼學(xué)是對信息進行編碼，實行信息隱藏的一門學(xué)科，它是安全技術(shù)的基礎(chǔ)。采用密碼學(xué)的方法可以隱藏和保護用戶需要進行保密的信息，使沒有得到授權(quán)的人不能得到信息，其中，被隱藏的消息被稱為明文（plaintext）。密碼可以將明文通過一定的變換，變成另一種隱藏、加密的形式，稱為密文（ciphertext）。以上所說的這種變換過程被稱為加密（Encryption），而其逆過程，即從密文通過類似的變換恢復(fù)出明文的過程被稱為解密（Decryption），對明文進行加密的一組規(guī)則被稱為加密算法（Encryption Algorithm），反之對密文進行解密的一組規(guī)則被稱為解密算法（Decryption Algorithm）。發(fā)送消息的一方稱為發(fā)送者（Sender），所傳輸消息的接收一方被稱為接收者（Receiver）。加密和解密通常是在一對密鑰（Key）的控制下進行的，分別被稱為加密密鑰以及解密密鑰。另外，用于加密與解密的數(shù)學(xué)函數(shù)別稱為密碼算法，其安全性是基于密鑰的安全性的，而不是基于對兩種算法的細節(jié)的保密。密碼學(xué)的主要目標(biāo)是保證消息通信的機密性，發(fā)送者將明文的消息進行加密，而接收者對密文的數(shù)據(jù)進行解密。但是密碼學(xué)發(fā)展至今，現(xiàn)代的密碼學(xué)已經(jīng)不僅僅是被用于保護消息以及數(shù)據(jù)的機密性，還能提供比如身份認證與數(shù)字簽名等一系列的功能。一個密碼系統(tǒng)采用的基本工作方式稱為密碼體制。密碼體制的基本要素是密碼算法與密鑰。密碼體制的數(shù)學(xué)表達如下：它是一個五元組（P，C，K，E，D）滿足條件：（1） P是可能明文的有限集；（明文空間）（2） C是可能密文的有限集；（密文空間）（3） K是一切可能密鑰構(gòu)成的有限集；（密鑰空間）（4） 任意kl，k2∈K，有一個加密算法ekl∈E和相應(yīng)的解密算法dk2∈D，使得ekl:P一C和dk2:C→P分別為加密解密函數(shù)，滿足dk2（ek1（x））=x，x€P。根據(jù)密鑰的特點，可以將密碼體制分為對稱密碼體制（（k1=k2）與公開密碼體制（k1≠k2）。 對稱密碼體制對稱密碼體制又稱為傳統(tǒng)密碼體制和私鑰密碼體制。在該體制下，加密密鑰與解密密鑰相同或者能從其中一個導(dǎo)出另外一個。因此，消息的發(fā)送者與接收者必須預(yù)先共享私鑰密鑰。： 加密算法解密算法 明文 密文 原始明文對稱密鑰對稱密鑰 安全信道對稱密碼體制按加密方式的不同又分為流密碼與分組密碼。在流密碼中，將明文消息按字節(jié)逐位加密。簡單的流密碼根據(jù)密鑰生成字節(jié)流，這個字節(jié)流與明文作異或，得到密文。在分組碼中，將明文消息分組，逐組加密。常見的流密碼有Vigenere，Vernam等，分組密碼有DES，3DES，IDEA，RC5，RC6等。 對稱密碼體制的優(yōu)點是效率高，算法簡單，系統(tǒng)開銷小，速度相對于非對稱密碼體制快得多，適合加密大量的數(shù)據(jù)。DES算法是目前世界上應(yīng)用最廣泛的加密算法。然而，隨著網(wǎng)絡(luò)用戶的增加，數(shù)據(jù)加密的密鑰數(shù)量會以將近幾何級數(shù)的速度增長，例如網(wǎng)絡(luò)上有n個用戶，眾多的密鑰的分配、共享和管理將會成為一個非常復(fù)雜和困難的問題，并容易帶來安全隱患。特別是，對稱密碼體制無法保證數(shù)據(jù)的完整性和不可否認性，難以抵抗偽裝、假冒、否認、篡改等攻擊。 公開密碼體制公開密碼體制又稱為非對稱密碼體制、雙鑰密碼體制。：加密算法解密算法 明文 密文 原始明文 公共信道