摘要：Web Service 在目前的電子商務(wù)中有著重要的應(yīng)用，但是由于Web Service利用多種不同的技術(shù)#65380;編程語(yǔ)言和SOAP在網(wǎng)絡(luò)中傳輸，可能會(huì)存在安全性問(wèn)題。本文分析了Web Service的工作原理以及目前主要針對(duì)電子商務(wù)網(wǎng)站的各種表現(xiàn)以及危害，提出了基于獨(dú)立安全服務(wù)和WS-Security策略以及使用SAML確保電子商務(wù)可信任的電子商務(wù)安全體系。

關(guān)鍵詞：Web Service； SOAP； 電子商務(wù)； WS-Security； SAML

中圖分類號(hào)：F49

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1004-0544(2007)05-0091-03

一、Web Service簡(jiǎn)介

1. Web Service的定義。對(duì)于Web Services，從技術(shù)開發(fā)和商業(yè)應(yīng)用的角度考慮，可有以下幾種表述 ：(1)Web Services 是一組應(yīng)用程序。在開發(fā)人員眼中，Web Services 是存在于Web 服務(wù)器上的一組程序，這組程序被封裝成一個(gè)暗箱，對(duì)外提供一個(gè)能通過(guò)Web 進(jìn)行調(diào)用的API 接口，當(dāng)需要時(shí)，可編程調(diào)用之，其執(zhí)行結(jié)果被回傳到客戶端。(2) Web Services 是一組服務(wù)。較完整的專安全#65380;認(rèn)證等基本功能為一體的服務(wù)平臺(tái)，并具有一系列相關(guān)的技術(shù)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)使其具有作為一個(gè)服務(wù)平臺(tái)的完整性和優(yōu)越性。(3)Web Services 是一個(gè)服務(wù)平臺(tái)。一種簡(jiǎn)單的理解為：Web Services 是一個(gè)集部署#65380;發(fā)現(xiàn)#65380;事務(wù)#65380;安全#65380;認(rèn)證等基本功能為一體的服務(wù)平臺(tái)，并具有一系列相關(guān)的技術(shù)標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)使其具有作為一個(gè)服務(wù)平臺(tái)的完整性和優(yōu)越性。(4)Web Services 將開辟一種嶄新的商業(yè)模式。從商業(yè)應(yīng)用的角度看來(lái)，任何一項(xiàng)先進(jìn)的技術(shù)都離不開商業(yè)應(yīng)用的催化。盡管不同的商業(yè)公司在戰(zhàn)略上開展Web Services 的出發(fā)點(diǎn)不盡相同，但都確立了軟件變服務(wù)的商業(yè)模式，并著力于解決服務(wù)的智能化以及個(gè)性化等問(wèn)題。

2. Web Service的體系結(jié)構(gòu)。Web Service的體系結(jié)構(gòu)是基于服務(wù)提供者(Service Provider)，服務(wù)請(qǐng)求者(Service Requestor) 和服務(wù)注冊(cè)中心(Service Registry)三個(gè)不同的角色來(lái)建立的。

服務(wù)提供者是Web服務(wù)的擁有者，創(chuàng)建Web服務(wù)并通過(guò)Web服務(wù)注冊(cè)將其發(fā)布到Internet上，響應(yīng)對(duì)其服務(wù)調(diào)用的請(qǐng)求。服務(wù)請(qǐng)求者是Web服務(wù)功能的使用者，通過(guò)Web服務(wù)注冊(cè)查找所需的服務(wù)，并向Web服務(wù)提供者發(fā)送請(qǐng)求以獲得服務(wù)。服務(wù)注冊(cè)中心的作用是把服務(wù)請(qǐng)求者與合適的服務(wù)提供者綁定在一起，維護(hù)已發(fā)表服務(wù)的注冊(cè)信息。

3. Web Service的技術(shù)特點(diǎn)。Web Service體系結(jié)構(gòu)允許在不同平臺(tái)上以不同語(yǔ)言編寫的各種程序以XML的方式相互通信，具有一些特性。(1)良好的封裝性。Web Service有良好的封裝性，它將服務(wù)提供者提供的功能封裝起來(lái)，用戶看不到內(nèi)部的代碼，只能看到該對(duì)象提供的功能列表。(2)松耦合性?？蛻艋蚍?wù)任何一方執(zhí)行機(jī)制的改變都不會(huì)影響應(yīng)用程序的正常運(yùn)行。(3)互操作性。任何Web服務(wù)都可以和其他Web服務(wù)進(jìn)行交互。(4)集成性和簡(jiǎn)單性。可以使用任何語(yǔ)言(如C#65380;C++#65380;VB#65380;VC等)來(lái)編寫Web服務(wù)，開發(fā)者無(wú)需更改他們的開發(fā)環(huán)境就可以生產(chǎn)和使用Web服務(wù)。(5)普遍性。Web服務(wù)使用HTTP和XML進(jìn)行通信。因此，任何支持這些技術(shù)的設(shè)備都可以擁有和訪問(wèn)Web服務(wù)。

4. Web Service相關(guān)協(xié)議與技術(shù)。(1)可擴(kuò)展標(biāo)記語(yǔ)言(XML)。XML(Extensible Markup Language)是平臺(tái)中表示數(shù)據(jù)的基本格式。除了易于建立和分析外，XML主要的優(yōu)點(diǎn)在于它與平臺(tái)無(wú)關(guān)#65380;與廠商無(wú)關(guān)。Web Service若要讓異構(gòu)平臺(tái)上不同系統(tǒng)可以互相通訊和共享數(shù)據(jù)，那么數(shù)據(jù)在Web上傳輸必須以一定的標(biāo)準(zhǔn)和格式進(jìn)行，這個(gè)表示數(shù)據(jù)的標(biāo)準(zhǔn)就是XML。(2)簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)。SOAP(Simple Object Access Protocol)是消息傳遞的協(xié)議，它規(guī)定了Web Service之間是怎樣傳遞信息的，包括傳遞信息的格式為XML，遠(yuǎn)程對(duì)象方法調(diào)用的格式，參數(shù)類型和XML格式之間的映射以及異常處理以及其他的相關(guān)信息。(3) Web服務(wù)描述語(yǔ)言(WSDL)。WSDL(Web Service Description Language)定義了一套基于XML的語(yǔ)法，是描述Web服務(wù)的格式，包括服務(wù)名稱，服務(wù)所在的機(jī)器名稱，監(jiān)聽端口號(hào)，傳遞參數(shù)的類型，個(gè)數(shù)和順序，返回結(jié)果的類型等。這樣使服務(wù)請(qǐng)求者才能調(diào)用提供的Web服務(wù)。(4)通用發(fā)現(xiàn)#65380;描述與集成(UDDI)。UDDI(Universal Description#65380;Discovery and Integration)是一套基于Web的#65380;發(fā)布式的#65380;為Web服務(wù)提供的信息注冊(cè)中心的實(shí)現(xiàn)標(biāo)準(zhǔn)規(guī)范。同時(shí)也包含一組使企業(yè)能將自身提供的Web服務(wù)注冊(cè)以使得別的企業(yè)能夠發(fā)現(xiàn)的訪問(wèn)協(xié)議的實(shí)現(xiàn)標(biāo)準(zhǔn)。用于集中存放和查找WSDL描述文件，起著目錄服務(wù)器的作用。

二、針對(duì)電子商務(wù)網(wǎng)站的攻擊和危害

1. 針對(duì)電子商務(wù)網(wǎng)站的攻擊。電子商務(wù)作為一種新的經(jīng)濟(jì)形式誕生以來(lái)，伴隨著電子商務(wù)系統(tǒng)的安全問(wèn)題就一直沒(méi)有間斷過(guò)。大部分網(wǎng)站或多或少都存在一些安全漏洞，針對(duì)電子商務(wù)網(wǎng)站的攻擊可以歸納為：(1)緩沖區(qū)溢出。用戶提交大量數(shù)據(jù)到網(wǎng)站，以超越應(yīng)用程序的預(yù)料，從而讓攻擊者能以網(wǎng)站應(yīng)用程序的身份權(quán)限運(yùn)行系統(tǒng)命令。如果網(wǎng)站應(yīng)用程序是以超級(jí)用戶權(quán)限執(zhí)行的，攻擊者就可以獲取系統(tǒng)的超級(jí)權(quán)限，這是非常危險(xiǎn)的。(2)后門和調(diào)試選項(xiàng)。開發(fā)者在設(shè)計(jì)網(wǎng)站時(shí)，出于調(diào)試的目的在代碼中加入了一些測(cè)試函數(shù)以得到應(yīng)用程序#65380;服務(wù)器#65380;數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)的反饋信息，這些信息在網(wǎng)站的開發(fā)階段是非常有用的。但是如果網(wǎng)站正式投入使用后，這些功能還沒(méi)有被禁用，可能會(huì)被攻擊者用來(lái)獲取有價(jià)值的信息，從而攻擊具體的網(wǎng)站程序。(3)Cookie毒藥。攻擊者通過(guò)修改Cookie 躲過(guò)網(wǎng)站服務(wù)器的身份認(rèn)證。如攻擊者修改本地計(jì)算機(jī)中Cookie里保存的用戶名從而獲得服務(wù)器上用戶的記錄，或者繞過(guò)用戶認(rèn)證而進(jìn)入到網(wǎng)站的非授權(quán)區(qū)域。(4)強(qiáng)行瀏覽。攻擊者通過(guò)判斷網(wǎng)站的流程結(jié)構(gòu)，修改瀏覽的URL而躲過(guò)網(wǎng)站的認(rèn)證過(guò)程。(5)篡改表單隱藏內(nèi)容。攻擊者將提交頁(yè)面的表單保存下來(lái)，修改表單中隱藏內(nèi)容，在提交給網(wǎng)站。例如，攻擊者可以通過(guò)此方法改變?cè)诰€訂單中產(chǎn)品的價(jià)格。(6)系統(tǒng)和應(yīng)用程序漏洞。沒(méi)有絕對(duì)安全的系統(tǒng)和應(yīng)用程序，電子商務(wù)網(wǎng)站也是由服務(wù)器程序#65380;應(yīng)用程序構(gòu)建而成的并運(yùn)行在特定的操作系統(tǒng)之上的。許多電子商務(wù)網(wǎng)站并沒(méi)有對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行升級(jí)或打補(bǔ)丁。攻擊者可以利用系統(tǒng)或應(yīng)用程序現(xiàn)有的漏洞進(jìn)行攻擊。(7)篡改參數(shù)。攻擊者修改URL中的數(shù)據(jù)，并將其提交給網(wǎng)站，從而獲取他不應(yīng)看到的信息。(8)隱藏命令。通過(guò)修改提交給網(wǎng)站應(yīng)用程序的數(shù)據(jù)，達(dá)到運(yùn)行系統(tǒng)命令的目的。攻擊者可以借此遠(yuǎn)程運(yùn)行系統(tǒng)命令，如SQL注入就屬于這種類型的攻擊。

2. 網(wǎng)絡(luò)攻擊對(duì)電子商務(wù)網(wǎng)站的危害。網(wǎng)絡(luò)攻擊者對(duì)電子商務(wù)網(wǎng)站造成的危害主要表現(xiàn)在以下一些方面：(1)篡改網(wǎng)頁(yè)內(nèi)容。攻擊者非法進(jìn)入網(wǎng)站，刪除#65380;篡改網(wǎng)站頁(yè)面內(nèi)容，如將購(gòu)物網(wǎng)站內(nèi)商品資料內(nèi)容#65380;價(jià)格做降價(jià)等大幅度修改，使消費(fèi)者誤以為該公司的商品便宜而大量定購(gòu)，從而產(chǎn)生Internet訂貨糾紛。(2)竊取商業(yè)數(shù)據(jù)和個(gè)人帳戶資料。攻擊者入侵后，取得應(yīng)用程序的運(yùn)行權(quán)限，登入數(shù)據(jù)庫(kù)系統(tǒng)，竊取商家和客戶的機(jī)密資料。(3)惡意破壞網(wǎng)站。攻擊者非法進(jìn)入網(wǎng)站后，刪除網(wǎng)頁(yè)文件，破壞數(shù)據(jù)庫(kù)中的正常數(shù)據(jù)，從而使整個(gè)網(wǎng)站陷入癱瘓。(4)竊取程序文件。攻擊者入侵后，讀取#65380;分析#65380;仿制全部程序文件，以建立同類型的電子商務(wù)系統(tǒng)，侵犯知識(shí)產(chǎn)權(quán)。(5)打擊競(jìng)爭(zhēng)對(duì)手。攻擊者在入侵后，破壞對(duì)手的公眾形象#65380;降低商業(yè)信譽(yù)，使系統(tǒng)不能正常運(yùn)行，如使其客戶不敢在網(wǎng)站上下訂單#65380;輸入個(gè)人信息等，從而達(dá)到打擊競(jìng)爭(zhēng)對(duì)手的目的。

3. 保護(hù)主機(jī)免受非授權(quán)方的非法訪問(wèn)的方式。(1)使用公鑰加密算法對(duì)代理代碼進(jìn)行簽名。簽名需要代理編程者私鑰和代理所有者私鑰這兩把鑰匙，以便對(duì)兩者進(jìn)行識(shí)別。(2)使用公鑰加密算法進(jìn)行主機(jī)認(rèn)證。(3)使用安全通信信道進(jìn)行代理傳送。如SSL(Secure Socket Layer安全套接層)協(xié)議。(4)使用基于Hash 算法的加密時(shí)間戳，防止第三方偽裝成通信中用戶進(jìn)行應(yīng)答和攻擊。(5)建立公鑰分配目錄以便主機(jī)進(jìn)行查詢和驗(yàn)證。

4. 保護(hù)主機(jī)免受惡意代理的攻擊的方式。(1)使用安全的編程語(yǔ)言，使代理可以訪問(wèn)的系統(tǒng)資源和地址空間相分離。(2)使用proxy對(duì)代理請(qǐng)求的系統(tǒng)資源進(jìn)行封裝。通過(guò)接口參數(shù)使用系統(tǒng)資源。(3)使用ACL(Access Control Lists訪問(wèn)控制列表)對(duì)每個(gè)代理可以訪問(wèn)的系統(tǒng)資源進(jìn)行映射。

5. 保護(hù)代理免受惡意代理的攻擊的方式。(1)使用安全的編程語(yǔ)言(如Java)，對(duì)代理的數(shù)據(jù)#65380;方法進(jìn)行嚴(yán)格的訪問(wèn)控制。(2)使用數(shù)字簽名或其他加密算法對(duì)代理進(jìn)行認(rèn)證，防止惡意代理冒充其他代理進(jìn)行通信。(3)建立會(huì)計(jì)和契約制度，對(duì)訪問(wèn)資源進(jìn)行登記和約定。(4)使用資源控制機(jī)制，限制代理對(duì)資源的使用。(5)使用“忽略列表”(ignore list)機(jī)制，忽略某些代理發(fā)送的請(qǐng)求信息。

三、基于Web Service的電子商務(wù)安全解決方案

1. 構(gòu)建安全服務(wù)器。Web Service通過(guò)XML與SOAP協(xié)議的通用性和可擴(kuò)展性實(shí)現(xiàn)了不同平臺(tái)的不同應(yīng)用程序之間的相互通訊。這些不同平臺(tái)#65380;不同應(yīng)用之間的安全認(rèn)證技術(shù)是不同的。所以可以考慮構(gòu)建一種獨(dú)立于不同平臺(tái)的安全服務(wù)器。構(gòu)建安全服務(wù)器的基本思想就是使用一臺(tái)獨(dú)立的服務(wù)器作為系統(tǒng)安全層，該層承擔(dān)所有安全職責(zé)。安全服務(wù)層向其他應(yīng)用層提供Web Service，這樣可以使得系統(tǒng)中不同應(yīng)用系統(tǒng)可以很方便的進(jìn)行安全功能的集成。

在此服務(wù)器上應(yīng)該能夠找到盡可能多的安全算法，以便系統(tǒng)中的各個(gè)部分將安全職責(zé)方便的轉(zhuǎn)移到安全服務(wù)器上，并實(shí)現(xiàn)無(wú)障礙的在不同安全體系之中進(jìn)行轉(zhuǎn)換。同時(shí)，此服務(wù)器主要承擔(dān)用戶身份注冊(cè)與鑒別任務(wù)，并且是身份鑒別的唯一場(chǎng)所，從而使得用戶雖然在不同安全體系中使用電子商務(wù)系統(tǒng)，但也只需要一次登陸即可。

被鑒別方提供正確的資格信息，然后獲得這個(gè)身份ID，安全服務(wù)器使用安全層對(duì)用戶資格信息進(jìn)行驗(yàn)證，然后才賦予用戶一個(gè)身份ID。被鑒別方將身份ID發(fā)往應(yīng)用服務(wù)器，應(yīng)用服務(wù)器再將身份ID發(fā)往安全層進(jìn)行認(rèn)證，安全服務(wù)器返回認(rèn)證結(jié)果。

2.對(duì)Web Service應(yīng)用WS-Security策略。采用 SOAP 消息傳遞來(lái)解決某些復(fù)雜問(wèn)題，則僅僅基于 HTTP 的安全性是不夠的。這些復(fù)雜問(wèn)題通常涉及沿著比請(qǐng)求/響應(yīng)更為復(fù)雜的路徑發(fā)送消息，或者不使用 HTTP 進(jìn)行傳輸。調(diào)用方以及消息的標(biāo)識(shí)#65380;完整性和安全性需要在多個(gè)路由段中保留。沿路由可能需要多個(gè)加密密鑰。此外還要跨越信任域。HTTP 及其安全機(jī)制只面向點(diǎn)到點(diǎn)的安全性。而更復(fù)雜的解決方案則需要端到端的安全性。WS-Security 解決的是如何在多點(diǎn)消息路徑中維護(hù)一個(gè)安全的環(huán)境。

WS-Security 通過(guò)利用現(xiàn)有標(biāo)準(zhǔn)和規(guī)范來(lái)實(shí)現(xiàn)安全性，這樣就不必在 WS-Security 中定義一個(gè)完整的安全性解決方案。業(yè)界已經(jīng)解決了許多此類問(wèn)題。例如 Kerberos 和 X.509 用于身份驗(yàn)證；X.509 還使用現(xiàn)有的 PKI 進(jìn)行密鑰管理；XML 加密和 XML 簽名描述了 XML 消息內(nèi)容的加密和簽名方法；XML 標(biāo)準(zhǔn)描述了為簽名和加密而準(zhǔn)備 XML 的方法。WS-Security 在現(xiàn)有規(guī)范中添加了一個(gè)架構(gòu)，用于將這些機(jī)制嵌入到 SOAP 消息中。這是以一種與傳輸無(wú)關(guān)的方式完成的。

WS-Security 定義了一個(gè)用于攜帶安全性相關(guān)數(shù)據(jù)的 SOAP 標(biāo)頭元素。如果使用 XML 簽名，此標(biāo)頭可以包含由 XML 簽名定義的信息，其中包括消息的簽名方法#65380;使用的密鑰以及得出的簽名值。同樣，如果消息中的某個(gè)元素被加密，則 WS-Security 標(biāo)頭中還可以包含加密信息(例如由 XML 加密定義的加密信息)。WS-Security 并不指定簽名或加密的格式，而是指定如何在 SOAP 消息中嵌入由其他規(guī)范定義的安全性信息。WS-Security 主要是一個(gè)用于基于 XML 的安全性元數(shù)據(jù)容器的規(guī)范。除了利用其他現(xiàn)有的消息身份驗(yàn)證#65380;完整性和加密外，WS-Security 還提供了其他一些功能。它指定了一個(gè)通過(guò) UsernameToken 元素傳輸簡(jiǎn)單用戶憑據(jù)的機(jī)制。此外，為了發(fā)送用于加密或簽名消息的二進(jìn)制令牌，還定義了一個(gè) BinarySecurityToken。在此標(biāo)頭中，消息可以存儲(chǔ)關(guān)于調(diào)用方#65380;消息的簽名方法和加密方法的信息。WS-Security 將所有安全信息保存在消息的 SOAP 部分中，從而為 Web 服務(wù)安全性提供了端到端的解決方案。

3. 使用SAML確保電子商務(wù)可信任。SAML為SSO提供了一個(gè)安全的協(xié)議。是允許Web站點(diǎn)安全地共用身份信息的一個(gè)規(guī)范，它來(lái)自ebXML和其他XML標(biāo)準(zhǔn)背后的國(guó)際性聯(lián)盟OASIS。站點(diǎn)使用SAML的XML詞匯表和請(qǐng)求/應(yīng)答模式，通過(guò)HTTP交換身份信息。

SAML依靠一批制定完善的安全標(biāo)準(zhǔn)，包括SSL和X.509來(lái)保護(hù)SAML源站點(diǎn)和目標(biāo)站點(diǎn)之間通信的安全。源站點(diǎn)和目標(biāo)站點(diǎn)之間的所有通信都經(jīng)過(guò)了加密。為確保參與SAML交互的雙方站點(diǎn)都能驗(yàn)證對(duì)方的身份，還使用了證書。

在電子商務(wù)中，經(jīng)常需要提供個(gè)人信息。這樣就會(huì)導(dǎo)致不同的公司，可能都會(huì)有客戶的信息，對(duì)于這所有的站點(diǎn)都要考慮客戶的信息的安全。SAML可以被設(shè)計(jì)成解決這一問(wèn)題，它只允許少數(shù)經(jīng)過(guò)客戶選擇的團(tuán)體保留客戶的信息，在得到客戶的明確批準(zhǔn)后這些團(tuán)體可以與其他有關(guān)的團(tuán)體共享這些信息。這意味著客戶的信息安全掌握在客戶所信任的團(tuán)體的手中，并且可以訪問(wèn)一些供應(yīng)商通過(guò)組織多種底層次服務(wù)所提供的高級(jí)服務(wù)。

四、結(jié)束語(yǔ)

在構(gòu)建了基于Web Service的獨(dú)立服務(wù)器后，由于設(shè)置了唯一的身份鑒別場(chǎng)所，所以提高了整個(gè)系統(tǒng)的安全性。在傳輸方面，WS-Security策略將所有安全信息保存在消息的 SOAP 部分中，為 Web 服務(wù)安全性提供了端到端的解決方案。SAML是WS-Security最重要的補(bǔ)充之一，單點(diǎn)登陸能同時(shí)為客戶和企業(yè)提供安全性和便利性。

參考文獻(xiàn)：

[1]M.Jasnowski， Java， XML and Web Service Bible[M].北京：電子工業(yè)出版社，2002.

[2]Simson Garfinkel， Gene Spafford： Web安全#65380;隱私和商務(wù)(第二版)[M].機(jī)械工業(yè)出版社， 2004.

[3]方美琪.XML及其在電子商務(wù)中的應(yīng)用[M].北京： 清華大學(xué)出版社， 2003.

[4]林楓.電子商務(wù)安全技術(shù)及應(yīng)用[M].北京：北京航空航天大學(xué)出版社， 2001.

責(zé)任編輯 王友海