SOA 安全

当集成分布式系统时，安全问题迟早会凸显出来。因为许多人都能访问系统，

但不是所有人都被允许看到和操作所有数据，所以出现了问题。

安全需求

1、认证

2、授权

3、机密性

4、完整性

5、可用性

6、记账

7、审计

处理安全需求

1、互操作性对比安全

2、异质和安全

3、分布式过程和多层抽象

4、多客户端能力

-------------------------------------------------------------------------------

XML和Web Serices的安全

原则上，你可以使用如下不同类型的标准：

1、通用安全标准

2、XML安全标准

3、Web Services安全标准

      通用安全标准包括大家熟知的算法,比如RSA、AES和DES，

以及基本的、针对加密和安全会话的安全标准，如SSL、Kerberos,等等。

也有处理XML文件的特殊标准。它们的优点是可以读取和写入XML文件，这样的话，加密或签名的结果就

能用通常的XML处理链进行处理。

-------------------------------------------------------------------------------------------------------------------------------------------

SAML

      一个重要的通用标准是由OASIS维护的安全断言标记语言(SAML).

SAML是基于XML的语言，负责在不同系统间管理和交换安全信息。

XML和Web Services安全标准

      有几个特定的标准用语XML和Web Services。这些标准并没有引入新的安全技术或过程，

而是定义了再通过Web Services，用XML文件交换数据时，如何应用现有的技术和过程。

例如，对XML来说存在着如下标准

1、XML签名(XML DSig)

2、XML加密(XML Enc)

3、XML密钥管理

对Web Services来说，最重要的标准是

1、WS-安全

2、WS-安全政策

3、WS-信任

4、WS-安全对话

5、WS-联盟

XML 和 Web Services攻击

     在所有的分布式系统中都存在来自外部攻击的风险，比如洪水(DoS)攻击。

非常多的、合法的或非法的请求，能够是一个服务供应者崩溃。

1、XML炸弹

2、XPath注入

3、SOAP附件