SOA的安全及防御之道
SOA的安全问题
【计世独家】SOA的应用目前尚处于起始阶段,还存在许多安全问题需要解决。
面向服务的架构(SOA)是一种松耦合服务模式,通过标准化的接口来联系各种形式的服务,这对信息资源的二次利用和服务模式的二次重整具有极大的作用。但是,SOA的应用目前尚处于起始阶段,还存在许多安全问题有待解决。
SOA的安全问题
SOA是通过XML/SOAP等几种标准化技术来实现的。但是,SOA的安全存在以下几个难点。
1. 不同信任域的信任关系如何转移和认同
业务流程可能由不同厂商的基于异构平台的多种服务组合而成,每个服务都具有各自独立的安全域。这些安全域可能由企业的不同部门负责管理和维护,这要求必须在SOA的范围内建立统一的信任体系,然而实施起来难度极大。
2. 安全标准不统一
SOA具备来自异构系统的多样性特点,要求建立一个统一的安全基础设施和标准。但是目前情况是: 不同的应用系统有不同的认证、授权模式,协调和统一难度大。
3. 如何应对第三方服务交互请求带来的威胁
传统的安全防御对象主要是针对人,而SOA更多地强调了设备与设备的交互,即所谓服务的互操作性,如何应对来自合作伙伴或第三方服务交互请求的威胁(大多数情况下,这些请求可能被人恶意利用和操纵),将是SOA安全防御的一项重要课题。身份验证和授权在这个环境中变得更加富于挑战性。在未受保护的SOA中,想要阻止Web服务的未授权使用实际上是不可能的。未授权用户可以非常轻松地访问Web服务,而Web服务往往不具备跟踪谁在使用它们或者谁被允许使用它们的固有毛病。
4. 其他安全问题
SOA整套架构在应用层与表达层的隔离上做得不完美,这会导致未来阶段,新的代理程序很容易寻找和利用SOA的安全漏洞; 僵尸网络工具准确找到应用中的安全漏洞的概率很大,而且准确性比现在的工具高得多。
应对SOA安全性问题的相关标准
为了应对上述问题,OASIS制定了一系列技术标准,这些标准包括:
WS-Security。描述如何将XML加密和XML签名应用于SOAP文档或信息。
WS-SecurityPolicy。 对哪些人被允许访问某个服务以及访问方式做出规定,并对认证方式的类型和/或所需要的加密等级做出限制。这是Web服务策略(WS-Policy)的子集,以更为通用的方式对服务的能力和限制进行描述。此标准由IBM和微软公司共同开发,并于2007年7月正式确立。
WS-SecureConversation。 是按照WS-Security标准,实施WS-SecurityPolicy中所描述的策略的方法。此标准于2007年3月通过审批,Actional、BEA 、思科、CA公司、利基网络、Oracle、Reactivity、RSA等厂商都表示支持此标准。
WS-Trust。应用WS-Security标准传输密码、数字证书以及安全性断言标记语言(SAML)等安全标识。XML密钥管理规范 (XKMS)和SAML有部分相同之处。
WS-Federation。根据WS-SecurityPolicy中描述的服务规则,应用WS-Trust中提到的被传输的安全标识,通过Web服务的认证。相较SAML,主要优势在于Windows支持这一标准。
这些标准中需重点关注WS-Security。
- 1白炽灯厂家借机发飙 LED灯要胜出还任重道远
- 22008中国协同软件发展现状报告
- 3改善型买房置业建议 4妙招助您轻松搞定
- 4企业福州OA项目实施失败的双向分析
- 5低价SaaS遭质疑 “一元风暴”引争议
- 6知识管理系统同文档管理系统的区别
- 7新福克斯3个月提不上车 产销矛盾显现
- 8建材行业或将大洗牌 卫浴陶瓷商家最先“刹车”
- 9中小企业沼泽:勿把进销存当成福州OA
- 10企业在商业智能应用方面为何鲜有作为
- 11深度挖掘让ERP销售数据找到市场感觉
- 12四年耕耘 一汽丰田AAA保险续约仪式成功举行
- 13怎样配套实施福州OA与ISO9000
- 14呼叫中心员工作息减压技巧 充分利用假日放松
- 15市经信委及百度和世纪互联考察呼叫中心产业基地
- 16企业理念:流程和执行力可以等同吗
- 17商业智能技术系统企业应用重构思考
- 18村民买房15年后遭原房主驱逐 无家可归露宿街头
- 19简述电子商务对运输物流和供应链的影响
- 20中国电子商务亟待法制化游戏规则
- 21人力资源信息化管理之eHR技术策略
- 22危机当前老福州OA系统是改造还是按兵不动
- 23内地孕妇冲香港医院急症室分娩个案今年大幅下跌
- 24业界分析:CRM厂商缘何如此稀少
- 25家居家装行业服务规范11月完成 遏制乱象
- 26辨析企业网的营销功能
- 27SOA更多体现在理念指导的方面
- 28庞大集团三季度巨亏5.16亿 股价下跌约13%
- 29十种方法帮助中小企业战胜出口危机
- 30鼎捷软件携手安博培养ERP行业专业人才