在当今的IT领域,Web服务技术正在日益受到关注。现在普遍认为Web服务是新一代应用程序的集成,通向新的商业模式的大门,是企业之间相互联系的前所未有的重要途径。但是,调查显示,Web服务安全性已经成为多数企业的最大关注点,同时Web服务安全机制非常复杂,这使得大多数Web服务不得不采用比较简单和保守的方式进行配置。由于Web服务使用的是Web技术,因此许多针对Web站点的潜在攻击都与Web服务有关。而且SOAP消息集中了许多事务数据,由于使用XML所获得的简洁性,所以指令和数据的数据结构就可以转换为可读形式。因为使用简单,而且任何人都可以篡改没有受到保护的数据,所以安全就变得极为重要。目前需要应用安全的Web服务的3个领域是:身份验证/授权、传输层和应用层安全。针对于Web服务的安全性,IBM 和 Microsoft 以及 VeriSign 等公司共同提出了WS-Security安全规范,WS-Security安全规范提供了多种安全性模型和加密技术来保护Web服务的安全。但是WS-Security规范在现阶段正处于发展成熟过程中,其中的很多内容还需要加强。同时,它过于复杂,相对于一般性的Web服务应用显得太繁琐。而且WS-Security层上的Web服务安全标准中有很多“超前”功能,比如自动化策略协议等。大多数企业近期内不需要这些功能。企业应布署适当满足其安全需要的安全机制。 <WP=2>因此本文在应用层上提出了Web服务的一个简单安全模型,模型定义为:通过构建一个独立于事务的模型,利用SOAP消息中的Handler技术的特点,对SOAP消息进行封装,进行身份验证和授权、使用数字签名,并对其中的敏感信息进行加密,从而在客户机和服务器之间建立一个安全代理。它的特点是配置简单,可以完全脱离事务处理,基本满足了安全的几个要求:机密性、授权、完整性、真实性、不可否认性。由于它可以完全独立于事务,且是一个完全基于开放源代码的系统,相对于基于WS-Security安全规范的复杂系统来说要简便得多,可以利用来为一些简单Web服务做安全保护。