Web Service是一种新的分布式计算模型,具有简单、跨平台,松散藕合等特点,能够方便地实现异构平台上的应用集成。近年来,Web Service在电子商务领域,尤其是在B2B的电子商务应用中得到了广泛的应用。然而,作为一种新兴的技术,Web Service在安全方面还不够完善,不能完全满足电子商务的安全需求。本文主要研究Web Service的安全机制,以便在Web Service架构下构建安全的电子商务。 本文介绍了Web Service的实现模型,说明了Web Service的协议层次,重点阐述了Web Service的主要技术规范:简单对象访问协议(SOAP),Web Service描述语言(WSDL)和统一发现、描述、集成协议(UDDI)。SOAP定义了Web Service与请求者之间消息传送的机制;WSDL描述Web Service的接口和调用方法;而UDDI提供了注册服务信息的设施,以便Internet上的其他用户能够方便地发现这些服务。本文分析了现有的Web Service安全技术的不足,介绍了Web Service安全的特点,如端到端安全、传输独立性、元素级别的安全控制。针对这些特点,业界开发了WS-Security规范。本文对WS-Security规范作了详细的阐述。WS-Security定义了一个用于携带安全性相关数据的SOAP消息头元素。如果使用XML签名。此消息头可以包含由XML签名定义的信息,其中包括消息的签名方法、使用的密钥以及得出的签名值。同样,如果消息中的某个元素被加密,则WS-Security消息头中还可以包含加密信息(例如由XML加密定义的加密信息)。WS-Security并不指定签名或加密的格式,而是指定如何在SOAP消息中嵌入其他规范定义的安全性信息。WS-Security主要是一个用于基于XML的安全性元数据容器的规范。在此消息头中,消息可以存储关于调用方、消息的签名方法和加密方法的信息。WS-Security将所有安全信息保存在消息的SOAP部分中,从而为Web服务安全性提供了端到端的解决方案。 在本文中,我们将了解如何使用WS-Security和其他配合工具在SOAP消息中嵌入安全机制。我们将了解WS-Security所涉及的三个方面:身份验证、签名、加密。另外,我们还将了解WS-SecurityPolicy规范在Web Service安全的应用。同时,本文对Web Service安全模块的设计作了分析论述,提出了基于安全策略的设计思<WP=5>想,给出了安全模块的具体设计方案。在此基础上,通过一个应用实例实现了Web Service的安全机制。 最后,对全文内容进行了总结并对Web Service安全应用作了简单的分析与展望。