摘??要: 分析了SOAP消息結構和基于SOAP的Web服務特征,提出了一種加強Web服務安全性的方法。

　　關鍵詞: Web服務? SOAP擴展? 公鑰? 私鑰

?

　　Web服務與現有的遠程過程調用相比擁有較多優勢:它是松散耦合的,與語言和平臺無關;能夠實現跨企業、跨因特網的遠程調用。過去,由于缺少標準的通信底層結構,因而造成各個組織之間數據交換存在障礙。而簡單對象訪問協議(SOAP)解決了這個問題。它通過網絡發送SOAP消息請求、調用并從一個應用程序返回SOAP消息結果。SOAP消息結構是用擴展標記語言(XML)表示的。XML已經發展成一種國際標準的網絡語言,可以用于任何平臺和系統。由于消除了基于RPC的系統之間數據交換的障礙,因而基于SOAP消息規范的Web服務得到廣泛應用,但SOAP消息規范本身并沒有直接提供任何機制去解決其安全性問題。本文將利用SOAP頭和SOAP擴展加強Web服務的安全性,以滿足企業對Web服務安全性的需求。

1? Web服務簡介

　　Web服務通過使用SOAP消息處理數據交換和應用程序邏輯遠程調用,使用基于XML的消息處理作為基本的數據通信方式。這樣消除了使用不同組件模型、操作系統和編程語言的系統之間所存在的差異。Web服務的核心特征之一是服務的實現與使用之間的高度抽象化,通過基于XML的消息處理去創建和訪問服務的機制。Web服務的使用者和提供者之間除輸入、輸出和位置之外無需互相了解其他信息。

2? SOAP消息規范

　　SOAP是一種基于XML消息結構的輕量級協議。SOAP的總體設計目標是使其盡可能地簡單,并提供最少的功能。SOAP定義了一個消息處理框架,但它沒有包含任何應用程序或傳輸語義,因此,SOAP是模塊化的并具有很強的擴展性。

2.1 Web服務中SOAP的請求/響應模式

　　SOAP消息的請求/響應模式如圖1所示。計算機A發送一個SOAP消息向計算機B請求某個服務,該消息表明了計算機A感興趣的服務。計算機B收到請求后,翻譯(反序列化)SOAP消息,并調用該服務請求。同時計算機B會創建一個SOAP響應,并把它發送回計算機A。計算機A收到消息后對其進行翻譯,然后在屏幕上顯示給用戶。

?

?

2.2 SOAP消息的結構

　　SOAP消息由以下3個主要部分組成:

　　(1)SOAP包封裝(envelope):它是SOAP頭和SOAP體的包容器,可以包含XML命名空間、屬性以及其他信息。

　　(2)SOAP頭(header):這部分包含可選信息。可選的header元素可以包含不與特定消息直接相關的附加消息。按照此方式,Web服務可以通過SOAP頭來提供某一類Web服務方法所需要的功能。例如,一個Web服務可能包含若干個Web服務方法,如果在調用每個Web服務方法之前需要驗證調用者的身份,則可以將這些身份信息加載在SOAP頭中。

　　(3)SOAP體(body):它包含實際的方法調用或響應數據。

2.3 SOAP的安全性

　　SOAP規范消息的加密/解密、認證和授權等安全機制一直受到人們的廣泛關注。因為SOAP的一個很重要的設計目標就在于它的簡單性,所以SOAP標準在制定規范時并沒有過多考慮SOAP的安全性要求。SOAP消息框架本身沒有直接提供任何機制去處理數據訪問控制、機密性和完整性等功能。下面是一個用戶信用卡查詢結果的SOAP響應消息的樣例(此處只顯示SOAP體這一部分)。由于該SOAP消息在傳輸前沒有經過加密,因此在傳輸過程中它很容易被非法用戶訪問到,必須采用一種機制對SOAP響應消息進行加密。

　　未加密的SOAP響應消息:

? 　　　

????????????? SomeBody

????????????? 98795.45

? 　　　

3? 實現原理

　　這里使用公鑰加密(public key encryption)的方法。這種加密機制中有2個不對稱的密鑰,即公鑰和私鑰。公鑰用于對數據進行加密;私鑰由用戶密存,用于對已被公鑰加密過的信息進行解密。在此應用中客戶端(Web服務的使用者)首先要生成一對密鑰(公鑰和私鑰)。由于服務端(Web服務的提供者)發送回客戶端的部分數據需要在傳輸時進行加密保護,因此客戶端將它的公鑰(還可以附上它的身份信息以便在服務端進行身份驗證)放在SOAP header中發送給Web服務端。Web服務端一旦得到公鑰,就可以利用公鑰對SOAP響應消息進行有選擇性地加密,然后將加密后的SOAP消息返回給客戶端;客戶端收到加密的SOAP消息后用它的私鑰來解密和讀取數據。數據加密和解密的過程如圖2所示。

?

?

　　在Web服務端發出SOAP響應消息之前要對敏感數據進行加密,可以利用SOAP擴展解決這個問題。SOAP擴展在客戶端或服務器上處理消息時可以在特定階段中檢查或修改消息。當Web服務的HTTP處理器收到某個SOAP請求消息時,將把SOAP消息反序列化為對象,傳遞到Web方法中。在完成Web方法調用之后,對象結果又被序列化為SOAP響應消息,傳給客戶端。由于SOAP擴展允許在特定階段訪問或修改消息,因此服務器端就可以在對象結果被序列化為SOAP響應消息之后利用客戶端傳來的公鑰進行選擇性地加密,然后再將加密的SOAP響應消息傳給客戶端。客戶端收到加密的SOAP響應消息后會把它反序列化為對象結果,然后利用私鑰對對象結果中那些加密的屬性或成員進行解密。

4?在.NET Framework下實現數據加密

　　在微軟的.NET框架中,ProcessMessage是大多數SOAP擴展的核心,它在SoapMessageStage中所定義的每個階段都會被調用。ChainStream為SOAP擴展提供訪問和修改各階段中SOAP消息的功能。在使用擴展時有4個階段:BeforeDeserialize(反序列化之前)、AfterDeserialize(反序列化之后)、BeforeSerialize(序列化之前)和AfterSerialize(序列化之后)。調用任何一個Web服務方法都要經歷這4個階段。在4個階段中,BeforeDeserialize階段最早發生,在此階段可以取得從客戶端傳來的公鑰;AfterSerialize階段最晚發生,在此階段利用已取得的公鑰對一些敏感數據進行加密。要實現對SOAP響應消息中的敏感數據進行加密,則需要訪問序列化之后的SOAP響應消息。而在ChainStream方法中,可以訪問包含SOAP請求或響應消息的內存緩沖區,這為修改SOAP響應消息的內存緩沖區提供了機會。

4.1 客戶端關鍵代碼

　　利用RSACryptoServiceProvider組件生成公鑰和私鑰,然后把公鑰放在SOAP頭中,其中PublicKeySoapHeader從SoapHeader類繼承而來,這樣便于擴展SOAP頭,如增加身份驗證信息和公鑰等。下面代碼僅列出了公鑰字段。

　　RSACryptoServiceProvider rsa=new RSACryptoService-Provider();

　　string xmlpublicKey=rsa.ToXmlString(false);　//生成公鑰

　　string xmlPrivKey=rsa.ToXmlString(true);　　　//生成私鑰

　　EncryptServices services=new EncryptServices();

　　　　　　　　　　　　　　　　　　　　　　　　　//創建代理服務對象

　　services.PublicKeySoapHeaderValue=new PublicKey-SoapHeader(); 　//創建SOAP頭對象

　　services.PublicKeySoapHeaderValue.PublicXmlKey=xmlpublicKey;　　//通過SOAP頭發送公鑰

　　調用Web服務中的方法后對返回的結果對象中已加密部分利用私鑰進行解密。下面是解密代碼:

　　RSACryptoServiceProvider rsa=new RSACryptoServiceProvider();

　　　　rsa.FromXmlString(xmlPrivKey);

　　　　　　　//根據私鑰重新構造RSA對象

　　byte[ ] decryptedBytes=rsa.Decrypt(Convert.From-Base64String(encrypttext),false);//解密

4.2 服務端關鍵代碼

　　在服務端,先利用SOAP擴展在BeforeDeserialize階段從SOAP請求消息中取出客戶端傳來的公鑰,然后利用SOAP擴展在AfterSerialize階段對SOAP響應消息進行選擇性的加密。在此代碼中必須先繼承SoapExtension類,然后重寫它的ProcessMessage方法,具體代碼如下:

public override void ProcessMessage(SoapMessage message)

{? switch(message.Stage)

{

　? case SoapMessageStage.BeforeDeserialize:

　　　　　　　　　　　　　　　　　　　　　//反序列化之前階段

　? ProcessSoapHeader();　　　　　　　　　//處理SOAP頭方法,

　　　　　　　　　　　　　　　　　　　　　//取出客戶端傳來的公鑰

　? break;

? 　case SoapMessageStage.AfterSerialize:

　　　　　　　　　　　　　　　　　　　　　//序列化之后階段

　? EncryptSoapMessage();　　　　　　　　　//調用加密方法,此時已序列化

　　　　　　　　　　　　　　　　　　　　　//為XML格式,所以可選擇性地對某些節點進行加密

　? break;

? 　……

? 　}

}

　　此外還要重寫SoapExtension類的ChainStream方法,具體代碼如下:

public override Stream ChainStream(Stream stream)

　　{???? oldStream=stream;　　//讀取SOAP請求或響應消

　　　　　　　　　　　　　　　　//息的內存流

?????????? newStream=new MemoryStream();

?????????? return newStream;　　//返回新的SOAP請求或

　　　　　　　　　　　　　　　　//響應消息的內存流

　　}

　　在BeforeDeserialize階段,調用自定義的ProcessSoapHeader過程,通過對oldStream的訪問可以取得客戶端傳來的公鑰;在AfterSerialize階段,調用自定義的EncryptSoapMessage過程,訪問newStream并對敏感數據進行加密后把它重新寫到newStream中。由于二個階段內存流的格式都是SOAP消息格式,因此可以使用XmlDocument組件的Load方法加載內存流,這樣就很容易找到目標節點進行選擇性加密。最后使用XmlDocument組件的Save方法保存到內存流中。

????下面是加密后的SOAP響應消息(在此只對AccountAmount元素的內容進行加密):

　　SomeBody

　　tRMQkIjy8OzGJmj8VISgNH1VvLFJOCP5M/5IjQHtzP4PvP-

????????????? TnjhmbTOG0Y9qdYmVil2aKvih/7sHMLeLpMxlhjlyMQb+

　　　　　　　Uh/n0PB6vbysI+2K8NCiXxA40BiXuHvqLA5VWjY3-

　　　　　　　LBwHXGsyuMdV+cDW+wBsdH2PleijdO5pJFBDO8qk=

????　??

　　即使該SOAP消息在中途被截獲,由于沒有私鑰解密,得到的數據也是無效的。

5? 結束語

　　SOAP消息僅僅是簡單的文本,數據可能在經過網絡時被截獲、解讀甚至修改。而這些數據代表的可能是一條客戶記錄、一個信用卡號或社會保險號碼等敏感信息。本文就是先通過SOAP頭傳送公鑰給Web服務端,然后利用SOAP擴展對SOAP消息進行加密。這樣即使數據在網絡傳輸過程中被截取,但由于沒有私鑰也無法對密文進行解密,從而保證數據不會被非法用戶讀取。此外,利用SOAP擴展可以有選擇性地對某些數據進行加密,增強安全控制的靈活性并降低加密成本。本文只實現了對SOAP消息的加密。要確定SOAP消息是否在傳輸途中被惡意修改,可以將數字簽名與安全套接字層(Secure Sockets Layer,SSL)結合實現不可抵賴性并確保數據的完整性。

參考文獻

1?? Microsoft Corporation.MSDN Library Visual Studio.Net.2003

2?? Tabor R著,徐繼偉譯..NET XML WebServices.北京:機械工業出版社,2002

3?? Thai T,Lam H Q著,王敏子譯..NET框架精髓.北京:中國電力出版社,2001