当集成分布式系统时,安全问题迟早会凸显出来。因为许多人都能访问系统,
但不是所有人都被允许看到和操作所有数据,所以出现了问题。
安全需求
1、认证
2、授权
3、机密性
4、完整性
5、可用性
6、记账
7、审计
处理安全需求
1、互操作性对比安全
2、异质和安全
3、分布式过程和多层抽象
4、多客户端能力
-------------------------------------------------------------------------------
XML和Web Serices的安全
原则上,你可以使用如下不同类型的标准:
1、通用安全标准
2、XML安全标准
3、Web Services安全标准
通用安全标准包括大家熟知的算法,比如RSA、AES和DES,
以及基本的、针对加密和安全会话的安全标准,如SSL、Kerberos,等等。
也有处理XML文件的特殊标准。它们的优点是可以读取和写入XML文件,这样的话,加密或签名的结果就
能用通常的XML处理链进行处理。-------------------------------------------------------------------------------------------------------------------------------------------
SAML
一个重要的通用标准是由OASIS维护的安全断言标记语言(SAML).
SAML是基于XML的语言,负责在不同系统间管理和交换安全信息。
XML和Web Services安全标准
有几个特定的标准用语XML和Web Services。这些标准并没有引入新的安全技术或过程,
而是定义了再通过Web Services,用XML文件交换数据时,如何应用现有的技术和过程。
例如,对XML来说存在着如下标准
1、XML签名(XML DSig)
2、XML加密(XML Enc)
3、XML密钥管理
对Web Services来说,最重要的标准是
1、WS-安全
2、WS-安全政策
3、WS-信任
4、WS-安全对话
5、WS-联盟
XML 和 Web Services攻击
在所有的分布式系统中都存在来自外部攻击的风险,比如洪水(DoS)攻击。
非常多的、合法的或非法的请求,能够是一个服务供应者崩溃。
1、XML炸弹
2、XPath注入
3、SOAP附件