SOA端到端安全问题

Daniel Foody， Actional公司 的CTO。作为Actional公司的首席技术总监，Dan Foody在通过Web服务把企业系统整合软件向轻松整合的方向转变方面的经验丰富。他是Web服务标准图队的积极参与者，该团队包括网络服务协同组织（WS-I）和结构信息标准化促进组织（OASIS），在这个团队中，他是Actional公司在OAISS管理协议技术委员会的带头人，致力于基于XML的Web服务管理标准。Dan在应用程序整合技术，包括中间设备、平台和Web服务方面的经验丰富，在SAP R/3、DCOM、CORBA 和Java等系统的复杂性方面的拥有渊博的知识。他是各种应用程序标准的作者，并对COM/CORBA交互作用的OMG标准作出了突出贡献。Dan拥有科内尔大学电机工程的理科硕士和博士学位。

 

 

 

 

 

问：在面向服务架构中有什么标准是针对端到端安全?

　　答：为了回答这一问题，首先让我详细说明我所用的端到端安全的含义。让我们举个例子——A传送一个消息给B，B传送一个消息给C。端到端的安全是指从A到C的整个链中所用到的安全。让我们关注一下SSL，SSL是一个传送级的安全协议，因此它能保证我们从A到B、从 B到C的安全，但是不能保证从A到C的。也就是说，从A到B的安全与B到C的安全是完全分离的。

　　按照端到端安全标准，安全难题有许多不同的部分需要考虑：

　　身份 (调用者是谁) 有很多端到端身份标准【代表性地如单点登录(简单说，就是通过用户的一次性鉴别登录，即可获得需访问系统和应用软件的授权)或身份管理】。最普遍的是SAML(“安全断言标识语言”)。很多大的供应商和客户都采用SAML。除了SAML外，还有Kerberos(这种机制中的Kerberos“令牌”将在一个WS-Security封套中进行传输)。Kerberos的使用变得重要而有价值，原因是Kerbero是Windows“土产”的安全机制。因此，如果你用Windows桌面，你可能已经在用Kerberos。注意积极地使用身份可用于批准“链”中哪个服务可以使用或者被动地追踪谁在为审核目标工作以及做了什么。

　　保密性 端到端的保密性使得A可以发送信息给C而不被B看到(即使B位于消息流的中间)。端到端保密的主要标准是XML加密和WS-Security。XML加密让你对一个消息有效负载的部分或者全部进行加密，并且只有持有正确密钥的人才能解码。因此，你可以选择只对消息最敏感的信息加密。然而，一个中间者(比如B)仍可操作消息中未加密的部分。 完整性。端到端的完整性确保消息不被A到C中间的任何人篡改。端到端完整性的主要标准是XML签名和WS-。

　　安全性 用XML加密，你可以选择对部分或者全部消息有效负载加以签名。持有发送者公钥的任何人均可验证消息未被篡改。

　　除了这三个主要领域，你还可以考虑如何 鉴定、授权、审核等。这些领域几乎没有标准。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/14780828/viewspace-406846/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/14780828/viewspace-406846/