SOA的安全及防御之道

申請免費試用、咨詢電話：400-8352-114

SOA的安全問題

【計世獨家】SOA的應用目前尚處于起始階段，還存在許多安全問題需要解決。

面向服務(wù)的架構(gòu)（SOA）是一種松耦合服務(wù)模式，通過標準化的接口來聯(lián)系各種形式的服務(wù)，這對信息資源的二次利用和服務(wù)模式的二次重整具有極大的作用。但是，SOA的應用目前尚處于起始階段，還存在許多安全問題有待解決。

SOA的安全問題

SOA是通過XML/SOAP等幾種標準化技術(shù)來實現(xiàn)的。但是，SOA的安全存在以下幾個難點。

1. 不同信任域的信任關(guān)系如何轉(zhuǎn)移和認同

業(yè)務(wù)流程可能由不同廠商的基于異構(gòu)平臺的多種服務(wù)組合而成，每個服務(wù)都具有各自獨立的安全域。這些安全域可能由企業(yè)的不同部門負責管理和維護，這要求必須在SOA的范圍內(nèi)建立統(tǒng)一的信任體系，然而實施起來難度極大。

2. 安全標準不統(tǒng)一

SOA具備來自異構(gòu)系統(tǒng)的多樣性特點，要求建立一個統(tǒng)一的安全基礎(chǔ)設(shè)施和標準。但是目前情況是: 不同的應用系統(tǒng)有不同的認證、授權(quán)模式，協(xié)調(diào)和統(tǒng)一難度大。

3. 如何應對第三方服務(wù)交互請求帶來的威脅

傳統(tǒng)的安全防御對象主要是針對人，而SOA更多地強調(diào)了設(shè)備與設(shè)備的交互，即所謂服務(wù)的互操作性，如何應對來自合作伙伴或第三方服務(wù)交互請求的威脅（大多數(shù)情況下，這些請求可能被人惡意利用和操縱），將是SOA安全防御的一項重要課題。身份驗證和授權(quán)在這個環(huán)境中變得更加富于挑戰(zhàn)性。在未受保護的SOA中，想要阻止Web服務(wù)的未授權(quán)使用實際上是不可能的。未授權(quán)用戶可以非常輕松地訪問Web服務(wù)，而Web服務(wù)往往不具備跟蹤誰在使用它們或者誰被允許使用它們的固有毛病。

4. 其他安全問題

SOA整套架構(gòu)在應用層與表達層的隔離上做得不完美，這會導致未來階段，新的代理程序很容易尋找和利用SOA的安全漏洞; 僵尸網(wǎng)絡(luò)工具準確找到應用中的安全漏洞的概率很大，而且準確性比現(xiàn)在的工具高得多。

應對SOA安全性問題的相關(guān)標準

為了應對上述問題，OASIS制定了一系列技術(shù)標準，這些標準包括:

WS-Security。描述如何將XML加密和XML簽名應用于SOAP文檔或信息。

WS-SecurityPolicy。 對哪些人被允許訪問某個服務(wù)以及訪問方式做出規(guī)定，并對認證方式的類型和/或所需要的加密等級做出限制。這是Web服務(wù)策略（WS-Policy）的子集，以更為通用的方式對服務(wù)的能力和限制進行描述。此標準由IBM和微軟公司共同開發(fā)，并于2007年7月正式確立。

WS-SecureConversation。 是按照WS-Security標準，實施WS-SecurityPolicy中所描述的策略的方法。此標準于2007年3月通過審批，Actional、BEA 、思科、CA公司、利基網(wǎng)絡(luò)、Oracle、Reactivity、RSA等廠商都表示支持此標準。

WS-Trust。應用WS-Security標準傳輸密碼、數(shù)字證書以及安全性斷言標記語言（SAML）等安全標識。XML密鑰管理規(guī)范 (XKMS)和SAML有部分相同之處。

WS-Federation。根據(jù)WS-SecurityPolicy中描述的服務(wù)規(guī)則，應用WS-Trust中提到的被傳輸?shù)陌踩珮俗R，通過Web服務(wù)的認證。相較SAML，主要優(yōu)勢在于Windows支持這一標準。

這些標準中需重點關(guān)注WS-Security。