基于消息层的Web服务安全模型设计分析

2020-04-21 07:40徐春笙郭凤宇
数字技术与应用 2020年1期
关键词:WEB服务

徐春笙 郭凤宇

摘要:为了满足Web服务和访问控制方面的需求,在机密性,完整性和不能拒绝性别,身份认证,访问控制等方面,论文提出了一种具有安全规范的Web服务安全解决方案。

关键词:消息层;Web服务;安全模型设计

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2020)01-0186-01

0 引言

在Web服务应用过程中,安全问题首先要得到保障,否则会给使用者带来严重损失。在Web服务框架下,消息层主要负责处理信息收发和验证工作,需要合理设计Web服务安全模型,确保Web服务的完整性和机密性。因此,有必要对基于消息层的Web服务安全解决方案进行系统研究,构建有效的安全模型。

1 Web服务安全框架

Web服务安全框架具体由四大部分构成,包括断言服务器、发送端、接收端和密钥服务器。其中,断言服务器的功能主要包括认证申明、属性申明和授权申明。在断言服务器功能的支持下,可以为通信双方提供一个基于数据安全的相互信任服务。发送端主要负责处理数据发送过程中的安全问题,在需要发送信息时,发送端安全处理模块会通过断言服务器,为信息添加安全断言,并通过密钥服务器对重要信息数据进行加密。与其相对应的接收端服务器负责对数据接收过程中的安全问题进行处理,具备安全访问控制功能。在接收到信息后,首先通过断言服务器验证其安全属性,其次通过密钥服务器对加密数据进行解密。最后通过验证发送端身份,实现访问控制功能,为数据安全性提供保障。密钥服务器专门负责对信息收发过程中的数据加解密操作进行处理,为双方提供密钥信息,包括密钥注册、查询和数字证书等服务,在保证双方通信可靠的同时,提高通信效率。Web服务安全框架如图1所示。

2 基于消息层的Web服务安全模型设计

2.1 安全处理模块设计

基于消息层的Web服务安全处理模块主要由发送端安全处理模块和接收端安全处理模块组成。在发送端的安全处理过程中,首先为数据添加断言和属性集,其次进行公钥加密,最后进行私钥签名。接收端的安全处理过程与发送端内容一致、功能相反,即对数据断言进行处理、验证属性集、进行私钥解密和公钥验证签名。在发送端和接收端的安全处理模块设计过程中,需要按照其数据处理流程顺序,分别设计断言处理模块、属性处理模块、加解密处理模块和签名验证模块。采取这种模块化设计方式的主要目的是提高数据安全处理效率。

2.2 收发端处理模块设计

在具体设计过程中,信息发送端首先要向断言服务器发送断言申请,并在此过程中提供自身关键信息。断言服务器接收到发送端发送的申请,需要对其用户身份进行认证,添加属性、授权,将断言信息返回发送端。得到返回的断言信息后,根据WS-Security规范,发送端需要将断言信息加入到发送的信息头部,作为用户安全令牌。然后再添加需要发送的信息内容,利用数字加密技术对信息头部和重要信息部分进行加密。

2.3 加密模块设计

在Web服务过程中,加密技术是保障信息传输安全的主要技术手段,经过加密后,数据明文变为密文。为了提高加密和解密效率,可以只对部分重要信息进行加密,采用混合加密方法,将对称加密、非对称加密技术相结合,协调算法安全性及算法执行效率的关系。在发送信息时,同时将加密数据、加密密钥发送给接收端。最后在接收端的解密过程中,先利用自身私钥进行解密,得出发送端私有密钥,再利用其完成加密数据的解密工作,可以同时满足算法执行效率和安全性的要求。

2.4 数据验证模块设计

在数据验证模块的设计方面,数据验证主要是对信息完整性进行验证。需要确保接收端实际接收到的信息内容与发送端内容完全一致,防止数据在传输过程中遭到篡改。在Web服务机制下,发送端发送的信息是不可否认的,带有其特殊身份信息,不能被伪造,因此发送端发出信息后也不能否认。在数据验证模块设计过程中,主要根据数字签名和密钥服务器处理结果检验信息完整性。同时需要通过设计不可否认功能,确保信息发送者承担其发送后果及责任。

2.5 身份认证模块设计

Web服务中的身份认证模块主要判断通信双方物理身份与数字身份是否相符,具体可以采用多种身份认证方法。目前在Web服务安全框架下常用的身份认证技术包括智能卡识别、动态口令、静态密码、短信密码、USB Key等。在身份认证模块设计过程中,密钥加密与证书服务相结合的方式,通过注册证书和密钥,對身份进行认证。在发送信息时,首先利用私钥进行加密和数字签名处理,并在信息中公示其持有公钥信息。在接收方接收到信息后,可以根据证书和公钥信息,验证密钥信息,从而完成对信息发送者身份的认证。

2.6 访问权限控制模块设计

访问权限控制模块主要基于属性对通信访问权限进行控制,可以采用动态访问控制方法,确保访问权限控制的有效性。由于访问控制过程的授权决策主要根据Web服务请求者确定,并对服务提供者属性信息进行判断。在操作过程中,可以将服务请求者与服务提供者属性构成集合,由访问权限控制模块负责对不同属性进行识别,检测得到符合要求的属性,实现对访问者权限合法性的判断。

3 结语

综上所述,基于消息层设计Web服务安全模型,通过了解Web服务安全框架及通信机制,可以为安全模型设计提供方向。在此基础上,分别设计并实现各个安全模块,实现数据验证、身份认证和访问权限控制等功能,可以弥补Web服务自身安全性不足的缺陷,从而为Web服务下的信息数据安全提供保证。

参考文献

[1] 申普兵,薛保泽,陈树文.面向Web服务安全的SCIT改进模型的研究[J].计算机技术与发展,2019,29(09):92-96.

[2] 柳佳雨.Web服务组合中的访问控制方法[D].西安:西安电子科技大学,2018.

[3] 欧玛.Web服务安全风险评估及其辅助工具设计[J].电脑知识与技术,2017,13(25):39-41.

猜你喜欢
WEB服务
基于Proteus的嵌入式以太网Web服务虚拟实验的设计与实现