摘??要: 分析了SOAP消息結(jié)構(gòu)和基于SOAP的Web服務(wù)特征,提出了一種加強(qiáng)Web服務(wù)安全性的方法。
關(guān)鍵詞: Web服務(wù)? SOAP擴(kuò)展? 公鑰? 私鑰
?
Web服務(wù)與現(xiàn)有的遠(yuǎn)程過(guò)程調(diào)用相比擁有較多優(yōu)勢(shì):它是松散耦合的,與語(yǔ)言和平臺(tái)無(wú)關(guān);能夠?qū)崿F(xiàn)跨企業(yè)、跨因特網(wǎng)的遠(yuǎn)程調(diào)用。過(guò)去,由于缺少標(biāo)準(zhǔn)的通信底層結(jié)構(gòu),因而造成各個(gè)組織之間數(shù)據(jù)交換存在障礙。而簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)解決了這個(gè)問(wèn)題。它通過(guò)網(wǎng)絡(luò)發(fā)送SOAP消息請(qǐng)求、調(diào)用并從一個(gè)應(yīng)用程序返回SOAP消息結(jié)果。SOAP消息結(jié)構(gòu)是用擴(kuò)展標(biāo)記語(yǔ)言(XML)表示的。XML已經(jīng)發(fā)展成一種國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)語(yǔ)言,可以用于任何平臺(tái)和系統(tǒng)。由于消除了基于RPC的系統(tǒng)之間數(shù)據(jù)交換的障礙,因而基于SOAP消息規(guī)范的Web服務(wù)得到廣泛應(yīng)用,但SOAP消息規(guī)范本身并沒(méi)有直接提供任何機(jī)制去解決其安全性問(wèn)題。本文將利用SOAP頭和SOAP擴(kuò)展加強(qiáng)Web服務(wù)的安全性,以滿(mǎn)足企業(yè)對(duì)Web服務(wù)安全性的需求。
1? Web服務(wù)簡(jiǎn)介
Web服務(wù)通過(guò)使用SOAP消息處理數(shù)據(jù)交換和應(yīng)用程序邏輯遠(yuǎn)程調(diào)用,使用基于XML的消息處理作為基本的數(shù)據(jù)通信方式。這樣消除了使用不同組件模型、操作系統(tǒng)和編程語(yǔ)言的系統(tǒng)之間所存在的差異。Web服務(wù)的核心特征之一是服務(wù)的實(shí)現(xiàn)與使用之間的高度抽象化,通過(guò)基于XML的消息處理去創(chuàng)建和訪問(wèn)服務(wù)的機(jī)制。Web服務(wù)的使用者和提供者之間除輸入、輸出和位置之外無(wú)需互相了解其他信息。
2? SOAP消息規(guī)范
SOAP是一種基于XML消息結(jié)構(gòu)的輕量級(jí)協(xié)議。SOAP的總體設(shè)計(jì)目標(biāo)是使其盡可能地簡(jiǎn)單,并提供最少的功能。SOAP定義了一個(gè)消息處理框架,但它沒(méi)有包含任何應(yīng)用程序或傳輸語(yǔ)義,因此,SOAP是模塊化的并具有很強(qiáng)的擴(kuò)展性。
2.1 Web服務(wù)中SOAP的請(qǐng)求/響應(yīng)模式
SOAP消息的請(qǐng)求/響應(yīng)模式如圖1所示。計(jì)算機(jī)A發(fā)送一個(gè)SOAP消息向計(jì)算機(jī)B請(qǐng)求某個(gè)服務(wù),該消息表明了計(jì)算機(jī)A感興趣的服務(wù)。計(jì)算機(jī)B收到請(qǐng)求后,翻譯(反序列化)SOAP消息,并調(diào)用該服務(wù)請(qǐng)求。同時(shí)計(jì)算機(jī)B會(huì)創(chuàng)建一個(gè)SOAP響應(yīng),并把它發(fā)送回計(jì)算機(jī)A。計(jì)算機(jī)A收到消息后對(duì)其進(jìn)行翻譯,然后在屏幕上顯示給用戶(hù)。
?
?
2.2 SOAP消息的結(jié)構(gòu)
SOAP消息由以下3個(gè)主要部分組成:
(1)SOAP包封裝(envelope):它是SOAP頭和SOAP體的包容器,可以包含XML命名空間、屬性以及其他信息。
(2)SOAP頭(header):這部分包含可選信息。可選的header元素可以包含不與特定消息直接相關(guān)的附加消息。按照此方式,Web服務(wù)可以通過(guò)SOAP頭來(lái)提供某一類(lèi)Web服務(wù)方法所需要的功能。例如,一個(gè)Web服務(wù)可能包含若干個(gè)Web服務(wù)方法,如果在調(diào)用每個(gè)Web服務(wù)方法之前需要驗(yàn)證調(diào)用者的身份,則可以將這些身份信息加載在SOAP頭中。
(3)SOAP體(body):它包含實(shí)際的方法調(diào)用或響應(yīng)數(shù)據(jù)。
2.3 SOAP的安全性
SOAP規(guī)范消息的加密/解密、認(rèn)證和授權(quán)等安全機(jī)制一直受到人們的廣泛關(guān)注。因?yàn)镾OAP的一個(gè)很重要的設(shè)計(jì)目標(biāo)就在于它的簡(jiǎn)單性,所以SOAP標(biāo)準(zhǔn)在制定規(guī)范時(shí)并沒(méi)有過(guò)多考慮SOAP的安全性要求。SOAP消息框架本身沒(méi)有直接提供任何機(jī)制去處理數(shù)據(jù)訪問(wèn)控制、機(jī)密性和完整性等功能。下面是一個(gè)用戶(hù)信用卡查詢(xún)結(jié)果的SOAP響應(yīng)消息的樣例(此處只顯示SOAP體這一部分)。由于該SOAP消息在傳輸前沒(méi)有經(jīng)過(guò)加密,因此在傳輸過(guò)程中它很容易被非法用戶(hù)訪問(wèn)到,必須采用一種機(jī)制對(duì)SOAP響應(yīng)消息進(jìn)行加密。
未加密的SOAP響應(yīng)消息:
?
?????????????
?????????????
?
3? 實(shí)現(xiàn)原理
這里使用公鑰加密(public key encryption)的方法。這種加密機(jī)制中有2個(gè)不對(duì)稱(chēng)的密鑰,即公鑰和私鑰。公鑰用于對(duì)數(shù)據(jù)進(jìn)行加密;私鑰由用戶(hù)密存,用于對(duì)已被公鑰加密過(guò)的信息進(jìn)行解密。在此應(yīng)用中客戶(hù)端(Web服務(wù)的使用者)首先要生成一對(duì)密鑰(公鑰和私鑰)。由于服務(wù)端(Web服務(wù)的提供者)發(fā)送回客戶(hù)端的部分?jǐn)?shù)據(jù)需要在傳輸時(shí)進(jìn)行加密保護(hù),因此客戶(hù)端將它的公鑰(還可以附上它的身份信息以便在服務(wù)端進(jìn)行身份驗(yàn)證)放在SOAP header中發(fā)送給Web服務(wù)端。Web服務(wù)端一旦得到公鑰,就可以利用公鑰對(duì)SOAP響應(yīng)消息進(jìn)行有選擇性地加密,然后將加密后的SOAP消息返回給客戶(hù)端;客戶(hù)端收到加密的SOAP消息后用它的私鑰來(lái)解密和讀取數(shù)據(jù)。數(shù)據(jù)加密和解密的過(guò)程如圖2所示。
?
?
在Web服務(wù)端發(fā)出SOAP響應(yīng)消息之前要對(duì)敏感數(shù)據(jù)進(jìn)行加密,可以利用SOAP擴(kuò)展解決這個(gè)問(wèn)題。SOAP擴(kuò)展在客戶(hù)端或服務(wù)器上處理消息時(shí)可以在特定階段中檢查或修改消息。當(dāng)Web服務(wù)的HTTP處理器收到某個(gè)SOAP請(qǐng)求消息時(shí),將把SOAP消息反序列化為對(duì)象,傳遞到Web方法中。在完成Web方法調(diào)用之后,對(duì)象結(jié)果又被序列化為SOAP響應(yīng)消息,傳給客戶(hù)端。由于SOAP擴(kuò)展允許在特定階段訪問(wèn)或修改消息,因此服務(wù)器端就可以在對(duì)象結(jié)果被序列化為SOAP響應(yīng)消息之后利用客戶(hù)端傳來(lái)的公鑰進(jìn)行選擇性地加密,然后再將加密的SOAP響應(yīng)消息傳給客戶(hù)端??蛻?hù)端收到加密的SOAP響應(yīng)消息后會(huì)把它反序列化為對(duì)象結(jié)果,然后利用私鑰對(duì)對(duì)象結(jié)果中那些加密的屬性或成員進(jìn)行解密。
4?在.NET Framework下實(shí)現(xiàn)數(shù)據(jù)加密
在微軟的.NET框架中,ProcessMessage是大多數(shù)SOAP擴(kuò)展的核心,它在SoapMessageStage中所定義的每個(gè)階段都會(huì)被調(diào)用。ChainStream為SOAP擴(kuò)展提供訪問(wèn)和修改各階段中SOAP消息的功能。在使用擴(kuò)展時(shí)有4個(gè)階段:BeforeDeserialize(反序列化之前)、AfterDeserialize(反序列化之后)、BeforeSerialize(序列化之前)和AfterSerialize(序列化之后)。調(diào)用任何一個(gè)Web服務(wù)方法都要經(jīng)歷這4個(gè)階段。在4個(gè)階段中,BeforeDeserialize階段最早發(fā)生,在此階段可以取得從客戶(hù)端傳來(lái)的公鑰;AfterSerialize階段最晚發(fā)生,在此階段利用已取得的公鑰對(duì)一些敏感數(shù)據(jù)進(jìn)行加密。要實(shí)現(xiàn)對(duì)SOAP響應(yīng)消息中的敏感數(shù)據(jù)進(jìn)行加密,則需要訪問(wèn)序列化之后的SOAP響應(yīng)消息。而在ChainStream方法中,可以訪問(wèn)包含SOAP請(qǐng)求或響應(yīng)消息的內(nèi)存緩沖區(qū),這為修改SOAP響應(yīng)消息的內(nèi)存緩沖區(qū)提供了機(jī)會(huì)。
4.1 客戶(hù)端關(guān)鍵代碼
利用RSACryptoServiceProvider組件生成公鑰和私鑰,然后把公鑰放在SOAP頭中,其中PublicKeySoapHeader從SoapHeader類(lèi)繼承而來(lái),這樣便于擴(kuò)展SOAP頭,如增加身份驗(yàn)證信息和公鑰等。下面代碼僅列出了公鑰字段。
RSACryptoServiceProvider rsa=new RSACryptoService-Provider();
string xmlpublicKey=rsa.ToXmlString(false); //生成公鑰
string xmlPrivKey=rsa.ToXmlString(true); //生成私鑰
EncryptServices services=new EncryptServices();
//創(chuàng)建代理服務(wù)對(duì)象
services.PublicKeySoapHeaderValue=new PublicKey-SoapHeader(); //創(chuàng)建SOAP頭對(duì)象
services.PublicKeySoapHeaderValue.PublicXmlKey=xmlpublicKey; //通過(guò)SOAP頭發(fā)送公鑰
調(diào)用Web服務(wù)中的方法后對(duì)返回的結(jié)果對(duì)象中已加密部分利用私鑰進(jìn)行解密。下面是解密代碼:
RSACryptoServiceProvider rsa=new RSACryptoServiceProvider();
rsa.FromXmlString(xmlPrivKey);
//根據(jù)私鑰重新構(gòu)造RSA對(duì)象
byte[ ] decryptedBytes=rsa.Decrypt(Convert.From-Base64String(encrypttext),false);//解密
4.2 服務(wù)端關(guān)鍵代碼
在服務(wù)端,先利用SOAP擴(kuò)展在BeforeDeserialize階段從SOAP請(qǐng)求消息中取出客戶(hù)端傳來(lái)的公鑰,然后利用SOAP擴(kuò)展在AfterSerialize階段對(duì)SOAP響應(yīng)消息進(jìn)行選擇性的加密。在此代碼中必須先繼承SoapExtension類(lèi),然后重寫(xiě)它的ProcessMessage方法,具體代碼如下:
public override void ProcessMessage(SoapMessage message)
{? switch(message.Stage)
{
? case SoapMessageStage.BeforeDeserialize:
//反序列化之前階段
? ProcessSoapHeader(); //處理SOAP頭方法,
//取出客戶(hù)端傳來(lái)的公鑰
? break;
? case SoapMessageStage.AfterSerialize:
//序列化之后階段
? EncryptSoapMessage(); //調(diào)用加密方法,此時(shí)已序列化
//為XML格式,所以可選擇性地對(duì)某些節(jié)點(diǎn)進(jìn)行加密
? break;
? ……
? }
}
此外還要重寫(xiě)SoapExtension類(lèi)的ChainStream方法,具體代碼如下:
public override Stream ChainStream(Stream stream)
{???? oldStream=stream; //讀取SOAP請(qǐng)求或響應(yīng)消
//息的內(nèi)存流
?????????? newStream=new MemoryStream();
?????????? return newStream; //返回新的SOAP請(qǐng)求或
//響應(yīng)消息的內(nèi)存流
}
在BeforeDeserialize階段,調(diào)用自定義的ProcessSoapHeader過(guò)程,通過(guò)對(duì)oldStream的訪問(wèn)可以取得客戶(hù)端傳來(lái)的公鑰;在AfterSerialize階段,調(diào)用自定義的EncryptSoapMessage過(guò)程,訪問(wèn)newStream并對(duì)敏感數(shù)據(jù)進(jìn)行加密后把它重新寫(xiě)到newStream中。由于二個(gè)階段內(nèi)存流的格式都是SOAP消息格式,因此可以使用XmlDocument組件的Load方法加載內(nèi)存流,這樣就很容易找到目標(biāo)節(jié)點(diǎn)進(jìn)行選擇性加密。最后使用XmlDocument組件的Save方法保存到內(nèi)存流中。
????下面是加密后的SOAP響應(yīng)消息(在此只對(duì)AccountAmount元素的內(nèi)容進(jìn)行加密):
tRMQkIjy8OzGJmj8VISgNH1VvLFJOCP5M/5IjQHtzP4PvP-
????????????? TnjhmbTOG0Y9qdYmVil2aKvih/7sHMLeLpMxlhjlyMQb+
Uh/n0PB6vbysI+2K8NCiXxA40BiXuHvqLA5VWjY3-
LBwHXGsyuMdV+cDW+wBsdH2PleijdO5pJFBDO8qk=
???? ??
即使該SOAP消息在中途被截獲,由于沒(méi)有私鑰解密,得到的數(shù)據(jù)也是無(wú)效的。
5? 結(jié)束語(yǔ)
SOAP消息僅僅是簡(jiǎn)單的文本,數(shù)據(jù)可能在經(jīng)過(guò)網(wǎng)絡(luò)時(shí)被截獲、解讀甚至修改。而這些數(shù)據(jù)代表的可能是一條客戶(hù)記錄、一個(gè)信用卡號(hào)或社會(huì)保險(xiǎn)號(hào)碼等敏感信息。本文就是先通過(guò)SOAP頭傳送公鑰給Web服務(wù)端,然后利用SOAP擴(kuò)展對(duì)SOAP消息進(jìn)行加密。這樣即使數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中被截取,但由于沒(méi)有私鑰也無(wú)法對(duì)密文進(jìn)行解密,從而保證數(shù)據(jù)不會(huì)被非法用戶(hù)讀取。此外,利用SOAP擴(kuò)展可以有選擇性地對(duì)某些數(shù)據(jù)進(jìn)行加密,增強(qiáng)安全控制的靈活性并降低加密成本。本文只實(shí)現(xiàn)了對(duì)SOAP消息的加密。要確定SOAP消息是否在傳輸途中被惡意修改,可以將數(shù)字簽名與安全套接字層(Secure Sockets Layer,SSL)結(jié)合實(shí)現(xiàn)不可抵賴(lài)性并確保數(shù)據(jù)的完整性。
參考文獻(xiàn)
1?? Microsoft Corporation.MSDN Library Visual Studio.Net.2003
2?? Tabor R著,徐繼偉譯..NET XML WebServices.北京:機(jī)械工業(yè)出版社,2002
3?? Thai T,Lam H Q著,王敏子譯..NET框架精髓.北京:中國(guó)電力出版社,2001