您的位置:
混合消息
所有的Web Services安全技术都基于XML加密、XML签名和使用XML文档或消息嵌入加密数据和数字签名的W3C标准。由于XML加密不需要把整个消息都加密,它允许进行选择性加密:私有数据,例如信用卡号码等,进行加密;而不太敏感的数据或者SOA元数据则用明文传输。一个文档的不同部分也可以使用不同的密钥进行加密,只要目标收信人能够解析即可。
通过XML消息散射加密的数据可以导致协同工作问题,因为参与通信的双方必须事先协商好数据的哪部分被加密了,加密的密钥是如何变化的等。为了解决这个问题,Oasis建立了一个标准WS-Security,是一个在Web Services中应用XML安全和XML加密的标准。
WS-Security是WS-*系列标准中最成熟的一个,被所有的Web Services和SOA厂商所支持。但是这个标准的缺点是它必须配合SOAP使用。与此相比,使用REST(Representational State Transfer),一种描述XML Web Services的方式,则不用依赖SOAP。
使用REST而不使用SOAP的原因在于REST简单。所以,大多REST用户坚持使用SSL,由于REST需要使用HTTP协议进行端到端的通信,通常使用SSL管道即可。需要在消息层上实现REST的安全,则要创建自己的协议和数据格式。
所有的企业齐心协议设计一个方便、安全的XML格式用在REST中是一件困难的事情。因此,依赖于SOAP的WS-Security还有一定的市场。目前,像Amazon.com、Google等已经开发出自己的协议和数据格式,在消息层实现REST的安全。Amazon也提供SOAP接口,使用WS-Security协议。但是统计数据表明,使用REST的用户数量几乎是使用SOAP的5倍,大多数的用户只是访问Amazon的服务,并不是自己创建一个完整的SOA,所以不需要使用复杂的SOAP。
联合身份认证
尽管WS-Security对加密和签名SOAP消息起到很好的作用,但是它却没有涉及到AAA(authentication、authorization和accounting)和安全策略的问题。3A和安全策略是由其它标准确定的。
这些标准将来会被所有的厂商支持,但是目前它们还太新,以至于没有对用户产生什么影响。
联合认证是一个例外,相对较晚出现的WS-Federation、WS-Trust和SAML2.0在竞争。联合认证的目标就是实现“单点登录”,当用户登录一个系统,不用重复登录即可访问其它合作系统的资源。在SAML中称作“assertion”而在WS-Trust中称为“token”的信任状类似于数字证书,它担保了用户的身份。SAML覆盖了整个SSO过程,而WS-*协议栈则分成两个标准,WS-Trust负责认证的初始化并分配给用户一个“token”,WS-Federation则管理用户通过这个“token”去访问其它资源。
实质上,二者主要的区别在于SAML直接使用XML加密和XML签名,这意味着它可以和REST协同工作,而WS-Federation则需要SOAP。SAML也需要一些基础安装。微软已经公开声明将支持WS-Federation而不会支持SAML。
不像其它关于标准的争斗,这次不是简单的微软和其它厂商的争夺。微软联合了IBM一起开发WS-Federation,而IBM同时也是SAML的主要支持者。其它的SAML厂商承诺如果WS-Federation有市场,它们也会支持这个标准。从长远来看,这两个标准都将得到使用,WS-Federation会被微软和SOAP环境使用,而SAML会在REST Web Services里使用。
【相关文章】
