作为一种新型的松散耦合的分布式计算模型,Web服务提供了应用软件之间独立于操作平台和编程语言的互操作。但是,Web服务也带来了新的安全风险:XML应用程序层的新威胁、关键应用的暴露及对企业边界的跨越等等。这些新的安全风险在一定程度上阻碍了Web服务的推广。 为了保证Web服务的安全,人们正在开发许多基于XML的安全标准,来解决认证、访问控制、消息级安全和数据安全等问题。然而目前的安全技术尚无法提供Web服务的足够安全性保证。如何构建一个完善的Web服务安全解决方案,成为Web服务技术领域中一个具有重要意义的研究课题。 本文围绕Web服务的安全性问题,从理论、技术、设计和程序实现上对如何实现Web服务的安全进行了分析和研究,主要完成了以下几个方面的工作: 1.查阅了国内外Web服务技术的相关资料,对Web服务技术的特点、模型、技术架构进行了分析研究;并对作为Web服务重要组成部分的SOAP,WSDL,XML,UDDI等关键技术的概念、特点和作用进行了简要的探讨。 2.对XML签名规范(XML Signature Syntax and Processing),XML加密规范(XML Encryption Syntax and Processing)以及Web服务安全规范(WS-Security)分别进行分析和研究。在此基础上,本文试图对WS-Security在安全或效率上提出几点优化。 3.本文着重对Web服务的消息层的安全进行研究,结合现有安全模型,本文提出了基于消息层的安全Web服务架构,该架构提供了签名、加密、访问控制、审计等安全机制以保证Web服务的消息级安全,并讨论了其中部分关键技术的实现。 4.最后,通过将前期查阅和研究的资料作为理论基础,结合各种方式采用C#编写程序,在Window平台上的.Net环境中,实现了一个端到端安全的Web服务。