浅谈Web服务安全性分析

浅谈Web服务安全性分析

蒋虞(自贡市第一人民医院四川自贡643000)

【中图分类号】R393【文献标识码】A【文章编号】1550-1868(2014)10

【摘要】文章针对Web应用程序中的安全问题,分析了Web服务标准和Web服务系统结构,提出了Web服务中解决数据连接中安全问题的方案。尽管其体系是基于面向服务的体系结构,但是通过Windows服务直接访问核心数据,对提高Web应用程序的安全性具有重要作用。

【关键词】Web服务标准;Web服务系统结构;数据安全性随着网络技术发展和分布式应用程序的广泛应用,如何构建安全的分布式Web应用程序是信息安全中的一项重要内容。对于Web应用程序安全及安全中间件的设计,已经有很多研究成果,有的讨论大型分布式环境下访问控制的安全管理问题的授权策略;有的提出了通道对中间件的访问控制机制进行扩展来实现基于角色的访问控制,并对现实中的相关问题进行讨论。然而,这些研究重点是直式安全问题,即与Web服务器直接相关联的应用程序安全、授权及权限分配问题。当应用程序本身受到安全威胁、Web敏感数据泄漏时,如直接通过代码攻击、非法请求强制使程序出错,这些情况都有可能出现源代码泄漏的安全隐患。这种安全程序价值本身也随之大打折扣,相应的安全性也比较脆弱。而基于Windows服务的Web服务器的安全构件的设计,能够很好解决上述问题。Web无法计数的出现旨在消除这种孤立状态,不同组件模型通过基于MXL的SOPA进行直接沟通和交换数据,因而提高了应用系统的效率并降低了其复杂性和耦合性,从而提高Web应用程序的安全性。

一、Web服务标准关于Web服务的定义,各种服务基础机构的提供厂商都提出各自对Web的定义,尽管存在着差异,但这些定义却有着广泛的一致性,即Web服务室独立于平台和实现的软件构件,能够用服务描述语言来描述、能够在服务注册中心注册发布、能够通过标准的机制查找并发现、能够通过接口进行跨网络的调用、能够与其他服务进行组合。Web服务的体系通常由三种角色构成:服务提供者、服务请求者和服务注册中心。Web服务最基本的操作是服务请求者与服务提供者之间的交互,这种交互与服务提供者的对服务的实现技术无关,也与服务请求者如何发出调用与处理接收结果的技术无关,而只与所申明的结构与调用机制相关。这种软件构件间最低限度的共同理解体现了提供者与请求者之间交互的松耦合关系。服务注册中心实质上也是一种服务提供者,只是所有提供服务有些特别。服务注册中心一方面对原始的服务提供者提供服务的注册服务,这实际上又将服务提供者转到了请求者的角色;另一方面对服务消费者提供查找和发现所需服务的服务,这是Web服务最基本的有操作。通常情况下,服务请求者与服务提供者之间的交互需要借助服务注册中心来完成。

W3C将Web服务的体系结构分解为三个栈[4],线栈,描述栈和发现栈。

二、Web服务系统结构通常情况下,Web应用程序涉及认证安全的时候,是通过客户端用户填写表单,提交到Web服务器,Web服务器直接与Web数据库相连接,通过与数据库中指定用户信息进行比较来实现对用户的认证过程,由于是直接相连,因此当源程序泄露或核心数据库信息容易泄露而造成安全隐患。因此,我们最好将与数据库或敏感数据处理过程不直接放在Web应用程序中,而是放在安全构件中。

在Windows系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层程序。通过网络提供服务时,服务可以在ActiveDirectory(活动目录)中发布,从而促进了以服务为中心的管理和使用。服务应用程序通常可以在本地和通过网络为用户提供一些功能。由于Windows服务程序是一种无界面的应用程序,即使是系统管理员也没有办法了解Windows服务程序的处理方法和过程,这样就会使数据的安全性大大提高,从而提高Web应用程序的安全性。

三、结束语Web服务中与核心数据库相连接、容易受到安全威胁而导致Web敏感数据泄漏等涉及安全隐患的Web应用程序,通过Windows服务直接访问核心数据或敏感数据库,完成认证或安全处理,解决了直式认证中的安全隐患,提高Web应用程序的安全性。

参考文献[1]曹晟,杨洁,孟庆春.基于PMI的系统访问安全管理研究与设计[J]基于计算机工程,2007.[2]晏立,朱宏伟。访问权限实时更新的模型与实现[J]计算机应用,2007[3]冯中慧,张红梅,齐勇,沈钧毅等.基于中间什技术的分布式应用系统中访问控制的研究[J]微电子学与计算机,2005.[4]Microsoft关于安全的建议:对投入使用的XMLWebServices禁用HTTPGET和HTTP-POST协议.

标签:;  ;  ;  

浅谈Web服务安全性分析
下载Doc文档

猜你喜欢