基于SOAP信息通信加密传输机制研究论文.doc

学士学位论文基于SOAP信息通信加密传输机制研究摘 要论文在研究基于SOAP信息通信加密传输机制的基础上，充分研究了XML加密组件、XML签名组件和访问控制组件论文主要通过把XML加密组件在Python中集成实现，提高了Web服务通信的安全性本文首先对Web服务与其关键技术SOAP、WSDL、UDDI、XML和WS-Security规等进行了研究然后，结合二进制安全令牌对XML签名组件进行了研究，该组件为消息提供了完整性，由于安全令牌传输的数字证书代表了用户的身份，签名组件同时还能提供身份验证和不可否认性结合WS-Security规设计实现了XML加密组件，该组件满足了SOAP消息的性此外，为了适应Web服务动态性和开放性的要求，论文结合更加灵活的基于角色的访问控制模型，对基于角色授权的访问控制组件进行了研究，该组件能够为服务提供授权，它通过以角色为中介，实现了用户权限与资源访问的映射，降低了授权管理的复杂度最后，通过Python软件，结合RSA算法对XML加密传输进行了设计、实现以与测试，最后通过对经过安全处理后的消息进行分析，验证了论文所设计的安全组件的安全性和可行性。

关键词：Web服务；XML签名；XML加密；基于角色的访问控制AbstractWith the research of a mechanism for SOAP-based communication encrypted transport,XML Encryption component,XML Signature component and access control component are designed and implemented in this thesis.The security for Web Services communications is improved by integrating and implementing these separate security components by Python. Firstly,These theories are studied,including Web Services,SOAP,WSDL,UDDI,XML and WS-security standard in this thesis.Secondly,XML Signature component is designed and implemented combined with binary security token.Thecomponent provide integrity,and also authentication,non-repudiation,because the user’s identity is included in digital certifications of security token;Combined with WS-Security standard,XML Encryption component is designed which ensures the confidentiality of the SOAP messages;To meet the dynamic and open nature of Web Services,a role-based access control component is designed and implemented combined with the more flexible role-based access control model.The component provides authorization for services and realizeds the mapping of user’s permission and resources,so the complexity of authorized management is reduced,by making role as intermediaries.Thirdly,Through the Python software, combined with RSA algorithm on the XML encryption transmission was designed, implemented and tested, and finally through the analysis of the security after processing the message, verify the safety and feasibility of the design of the security component. Keywords:Web Services,XMLSignature,XML Encryption,Role-Based Access Control目 录1绪论11.1研究背景与意义11.2国外研究现状21.3 本文结构42 Web服务与安全传输机制特性分析62.1 Web服务概述62.1.1 Web服务的概念与特征62.1.2 Web服务协议栈82.2 SOAP协议分析92.3 WS-Security规112.4 XML技术132.5 XML签名以与XML加密技术142.6 WSDL技术142.7 UDDI技术152.8 本章小结153 基于SOAP信息传输加密机制分析研究163.1 密码学理论163.1.1 对称密码体制163.1.2 公开密码体制173.2 密码学技术183.2.1 完整性技术183.2.2 数字签名技术193.2.3 数字证书技术193.3 本章小结204 基于SOAP信息通信加密传输机制的详细设计214.1 基于SOAP的Web服务的安全性分析214.1.1 传统的安全传输机制的不足214.1.2 基于SOAP的Web服务的安全需求224.2 信息通信加密传输机制的设计224.2.1 基于SOAP的Web服务的安全性挑战224.2.2 基于SOAP信息通信加密传输机制研究的总体架构234.3 通信处理254.4 安全机制的分析264.5 本章小结275 SOAP信息通信加密组件的设计与实现285.1 XML加密组件的设计285.1.1 XML加密的基本结构285.1.2 XML加密组件的设计295.1.3系统实现环境Python的简介315.2加密组件在Python上的实现315.2.1 安全机制的验证系统325.2.2 相关程序的代码325.2.3 基于SOAP的加密传输的测试与结果分析365.2.4 使用Wireshark软件进行抓包测试375.3本章小结40结论41致43参考文献44附录A英文原文46附录B中文翻译53 / 1绪论1.1 研究背景与意义随着Internet的出现和发展，越来越多的企业开始利用互联网来进行商业活动。

但是，仅有网络是远远不够的，当今孤立的系统、应用程序和Web站点随处可见，彼此之间要进行交流面临着很大的困难如何轻松实现企业不同系统之间的集成和交互，一直业的一个热点问题传统EAI（企业应用集成）即利用中间件、应用程序接口和定制代码实现EAI，是一项艰巨的工作，但它的不灵活性和高昂的费用阻碍了它的发展最近几年来，一种新兴技术Web服务（Web Services）在成为业界、学术界研究的重点，这一技术正在加速推动着Intemet的发展，并逐渐成长为下一代Web应用的基石[1]与传统的EAI相比，Web服务具有简单、互操作性好、灵活、动态性好和成本低等优势，它的出现使上述问题可以得到很好的解决随着Web服务技术的飞速发展，新规的陆续出现以与原有规的不断完善，Web服务在电子商务、企业应用集成（EAI）、B2B应用与电子政务等多个领域正发挥着越来越重要的作用由于上述原因与应用的推动，具有松散藕合、基于国际标准、与平台和语言无关、跨越Internet、使用已有网络通讯协议等特性的Web服务技术应运而生Web服务的主要目标就是在现有的各种异构平台的基础上构筑一个通用的与平台无关，与语言无关的技术层，各种不同平台之上的应用依靠这个技术层实施彼此的连接和集成。

这将无疑极促进各种商务系统，企业系统的集成，降低成本，提高效益，从而为动态电子商务等Web服务的应用的发展奠定了坚实的基础Web服务的主要目标就是在目前现有的各种不同平台的基础上构建一个通用的、与平台无关、语言无关的技术层，各种不同平台上的应用依靠这个技术层来实施彼此间的交互和集成，以便为用户提供各种各样的服务[2]但是，随着Web服务技术应用的深入，出现了很多新的挑战与问题，尤其是Web服务的安全问题Web服务的安全性问题普遍存在着，但是首先要解决的是Web服务的通信安全问题Web服务使用SOAP作为它的消息传输协议，其最大的特点就是简单方便，与时可用它尽可能利用已有的标准和协议来实现相应的功能，但是其在设计之初并没有过多地考虑其所存在的安全性问题因此Web服务在途经网络来进行信息交换时不可避免地存在信息丢失、被窃听、被篡改等安全风险SOAP消息的安全极大程度上影响着Web服务的安全现在普遍使用的SSL/TLS以与 S是点到点的安全技术，它们在保护Web信息安全方面已经十分成熟，但是运用在Web服务上时只能为传输过程提供消息完整性和性，却无法保障Web服务有中介参与时端到端的安全。

要保证Web服务的通信安全，需要一种端到端的消息级安全解决方案另外，对Web服务实施访问控制也是必须的Web服务是一种部署在Web上的对象、组件，它在为用户提供服务的同时，极有可能会受到一些未授权用户的非法访问，因此可以通过访问控制技术来防止对任何资源的非授权访问目前Web服务的访问控制技术已经成为一个研究热点传统的面向数据对象的访问控制技术，很难满足Web服务的动态性、开放性的要求Web服务需要的是一种更加灵活有效的访问控制机制1.2 国外研究现状Web服务的安全性问题涉与的议题虽然相当广泛，但是首先要解决的基本问题是Web服务通信安全问题，即基于XML的SOAP消息的安全性问题Web服务的通信安全首先要保证通信中传输的数据的安全，抵抗窃听、篡改、假冒、重放、业务否认等安全攻击，确保数据的性、完整性、可用性、消息源认证性和不可否认性其中，性是指消息接收者能够识别消息容，而入侵者无法识别消息容；完整性是指消息接收者能够验证传输过程中消息没有被篡改；可用性是指消息接收者能够正确获取所需的消息容；消息源认证性是指消息接收者能够确认消息的确来源于消息发送者，且入侵者不可能伪装成消息发送者发送同样的消息；不可否认性是指消息发送者无法否认他已经发送过的消息，消息接收者也无法否认他已经接收到的消息。

这些功能自身并不提供完全的安全解决方案，但WS-Security规能用来和其他Web服务协议一起来满足多种类型的应用安全性的需要Web服务要被广大用户所接受，其安全问题的解决刻不容缓Web服务的安全需求与信息安全一样，主要包括性、身份验证、授权、完整性和不可否认性针对以上Web服务的安全需求，国外一些标准化组织、公司和社会团体都一直在进行相关的研究，致力于解决Web服务的安全问。