當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 上海OA系統(tǒng) > 上海OA快博
Web服務(wù)安全技術(shù)大比拼
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
AMTeam.orgWeb服務(wù)安全技術(shù)大比拼
本文是構(gòu)筑Web服務(wù)安全體系系列技術(shù)文章的最后一篇。我們?cè)诘谝黄恼轮刑摂M了兩家網(wǎng)絡(luò)公司,其中一家提供Web服務(wù),另一家采用前者提供的服務(wù),然后我們提出了最簡(jiǎn)單的Web服務(wù)安全技術(shù),這就是所謂的IP阻塞。第二篇文章則對(duì)另兩種安全技術(shù)進(jìn)行了討論:其一是用戶認(rèn)證,其二是數(shù)字證書(shū)。本文則對(duì)這三種技術(shù)進(jìn)行比較。
比較
表A對(duì)根據(jù)其開(kāi)發(fā)目標(biāo)對(duì)以上兩種安全技術(shù)各自的優(yōu)點(diǎn)和弱點(diǎn)進(jìn)行了總結(jié)(得分越低表現(xiàn)越好)。
表A
各種安全技術(shù)的優(yōu)點(diǎn)和缺點(diǎn)
正如你所看到的那樣,以上三種安全技術(shù)都有其各自的優(yōu)點(diǎn)和缺點(diǎn)。在通常的情況下,IP阻塞最易于開(kāi)發(fā),但卻帶來(lái)了靈活性的喪失問(wèn)題。IP阻塞既簡(jiǎn)單又易于實(shí)現(xiàn),而且最終用戶并不用付出什么精力。這種簡(jiǎn)單性所帶來(lái)的負(fù)面影響則是只有網(wǎng)站級(jí)的授權(quán)才能訪問(wèn)網(wǎng)站的整體,而被阻塞的用戶則無(wú)法訪問(wèn)整個(gè)網(wǎng)站。IP阻塞的易用性還帶來(lái)了另一個(gè)問(wèn)題,那就是對(duì)用戶很不友好的錯(cuò)誤消息。由于認(rèn)證/授權(quán)操作是在服務(wù)器端進(jìn)行的,所以不得訪問(wèn)Web服務(wù)的用戶將看見(jiàn)的是Web服務(wù)器發(fā)出的錯(cuò)誤消息(HTTP 403.6)而非定制的、對(duì)用戶友好的消息。對(duì)用戶和網(wǎng)站業(yè)務(wù)來(lái)說(shuō)是極其有害的。
另一方面,用戶認(rèn)證則更具靈活性,可以讓你創(chuàng)建基于方法的授權(quán)機(jī)制。該技術(shù)還能讓用戶從任何地點(diǎn)訪問(wèn)Web服務(wù)而不阻塞未授權(quán)用戶訪問(wèn)網(wǎng)站上的其他資源。進(jìn)而,被阻塞的用戶還能收到定制的錯(cuò)誤消息,這些消息則能比較詳盡地說(shuō)明為什么阻塞其訪問(wèn)的原因,比如“無(wú)效的用戶名”之類。由于認(rèn)證/授權(quán)操作發(fā)生在應(yīng)用程序的方法層次,所以這種技術(shù)可以包容更多的檢查跟蹤內(nèi)容。每一種Web方法都能存儲(chǔ)其被訪問(wèn)的時(shí)間和方式方法等信息。不過(guò),這種靈活性也伴隨著更大工作量的開(kāi)發(fā)成本和可能的最終用戶成本。認(rèn)證/授權(quán)機(jī)制的開(kāi)發(fā)人員不僅必須設(shè)計(jì)和實(shí)現(xiàn)存儲(chǔ)敏感的用戶名和口令的解決方案,而且還要絞盡腦汁地設(shè)法防范因?yàn)榇鎯?chǔ)這些敏感信息所帶來(lái)的安全問(wèn)題。與此同時(shí),用戶認(rèn)證對(duì)最終用戶也帶來(lái)了更大的負(fù)擔(dān),迫使開(kāi)發(fā)人員在其代碼重加入額外的參數(shù),結(jié)果可能導(dǎo)致用戶在訪問(wèn)Web服務(wù)的時(shí)候可能不得不多次輸入自己的用戶名和密碼。
以開(kāi)發(fā)難度和靈活性作為比較的出發(fā)點(diǎn),數(shù)字簽名大致位于IP阻塞和用戶認(rèn)證兩種技術(shù)中間。由于檢查數(shù)字證書(shū)的代碼也是方法層次上的編程,所以這種技術(shù)提供了類同用戶認(rèn)證的靈活性,令開(kāi)發(fā)人員可以創(chuàng)建出復(fù)雜的授權(quán)方案和對(duì)用戶友好的錯(cuò)誤消息。同用戶認(rèn)證一樣,該技術(shù)還可以實(shí)現(xiàn)高級(jí)檢查跟蹤機(jī)制。證書(shū)中可以包含用戶信息,這樣一來(lái),由于消除了最終用戶針對(duì)各個(gè)方法輸入用戶名或者密碼的必要而令它們對(duì)用戶表現(xiàn)友好。但是,在帶來(lái)這些益處的同時(shí),它們的部署成本卻是三種方案中最高的,用戶端的安裝最為困難。數(shù)字證書(shū)必須安裝在每一部客戶機(jī)上,其安裝過(guò)程可不是點(diǎn)幾下鼠標(biāo)那么簡(jiǎn)單。這一缺點(diǎn)在一般公眾需要訪問(wèn)Web服務(wù)的情況下代價(jià)可太高了。
安全性的比拼
顯然,我們最關(guān)注以上三種技術(shù)的安全性。雖然IP阻塞乍看起來(lái)最為安全——阻塞對(duì)整個(gè)網(wǎng)站的訪問(wèn),但是對(duì)黑客來(lái)說(shuō)這種方法其實(shí)毫無(wú)什么安全可言。比方說(shuō),黑客完全可以采用假冒特定IP地址的方法攻擊網(wǎng)站,對(duì)這幫家伙而言,確定RegalResearch.com的IP地址簡(jiǎn)直是小菜一碟,隨后他們即可采用假冒的IP地址獲取Internet
Dictionary Company (TIDC)
Web服務(wù)的訪問(wèn)權(quán)限。而且,由于IP阻塞沒(méi)有提供詳細(xì)的檢查跟蹤記錄,所以很難確定黑客在什么時(shí)間、采用了什么方式非法訪問(wèn)TIDC服務(wù)。
用戶認(rèn)證從安全性角度來(lái)說(shuō)表現(xiàn)比得比IP阻塞方案更好一些,這主要是因?yàn)橛脩魰?huì)考慮自己的密碼設(shè)置以便難以被非法猜解。普通用戶經(jīng)常在各類系統(tǒng)上采用同樣的用戶名和密碼;如果某一系統(tǒng)被非法獲取了用戶信息,那么其他系統(tǒng)也就在劫難逃了。普通用戶還習(xí)慣于采用易于記憶的密碼,比如他們的生日或者配偶的姓名等。這些信息都太容易被黑客猜到了。還有,因?yàn)榇蠖鄶?shù)密碼都是長(zhǎng)度較短的字符串,所以黑客如果知道密碼的部分參數(shù)信息就能很容易地測(cè)試所有可能的密碼組合。
數(shù)字證書(shū)的安全性相對(duì)最高,原因在于它們是同用戶一一對(duì)應(yīng)的,而且采用了工業(yè)標(biāo)準(zhǔn)的加密技術(shù)很難被復(fù)制。對(duì)那些安全性要求特別高的網(wǎng)站,比如安全的內(nèi)聯(lián)網(wǎng)來(lái)說(shuō)采用數(shù)字證書(shū)是最佳的選擇。
小結(jié)
現(xiàn)在我們對(duì)Web服務(wù)通常采用的三種安全技術(shù)已經(jīng)有了一定的了解,那么我們不妨就兩家虛擬公司的業(yè)務(wù)討論下應(yīng)該選擇的技術(shù)。首先,TIDC需要獲得最高的安全性以防范未授權(quán)的用戶使用同時(shí)還必須跟蹤詳盡的使用記錄??蛻舭雌湎M(fèi)的Web服務(wù)方法付費(fèi),所以保證每一服務(wù)被調(diào)用的準(zhǔn)確記錄并據(jù)此計(jì)費(fèi)尤為重要。比較合理的安全策略是選擇數(shù)字證書(shū)或者IP阻塞,但是檢查跟蹤則需要采用用戶認(rèn)證或者數(shù)字證書(shū)機(jī)制。
綜合以上的分析我們選擇數(shù)字證書(shū)方案,這樣TIDC就必須考慮這一技術(shù)所產(chǎn)生的以下兩個(gè)問(wèn)題:
數(shù)字證書(shū)安裝困難。不過(guò),這對(duì)TIDC來(lái)說(shuō)不成問(wèn)題。TIDC計(jì)劃最初只有一個(gè)客戶(Regal
Research),預(yù)計(jì)每個(gè)月平均會(huì)增加兩個(gè)新客戶。這樣,TIDC可以派出必要的支持人員幫助客戶設(shè)置帶有數(shù)字證書(shū)的客戶機(jī)。
數(shù)字證書(shū)必須安裝在每一部有權(quán)訪問(wèn)Web服務(wù)的客戶機(jī)上。因?yàn)镽egal
Research公司只運(yùn)行一臺(tái)Web服務(wù)器,所以它只需要安裝一份證書(shū)。如果Regal
Research公司遷移到Web服務(wù)器集群環(huán)境才需要安裝更多的證書(shū)。RegalResearch.com的最終用戶則無(wú)須安裝證書(shū)。
綜合以上考慮,在權(quán)衡了利弊的情況下,TIDC決定采用數(shù)字證書(shū)作為自己保護(hù)公司W(wǎng)eb
服務(wù)的安全解決方案。
- 1上海OA:由說(shuō)到做,從知到行(by AMT 夏敬華 徐家?。?
- 2上海OA的四個(gè)層面
- 3數(shù)字資產(chǎn)管理:捕獲競(jìng)爭(zhēng)優(yōu)勢(shì)的新方式(by AMT 劉宇 編譯)
- 4泛普O辦公自動(dòng)化軟件系統(tǒng)培訓(xùn)管理模塊圖
- 5在.NET中建立Web service安全措施(第一部分)
- 6Web服務(wù)之路越走越亮
- 7昔日被拒門(mén)外 Sun現(xiàn)要進(jìn)入WS-I決策部門(mén)
- 8內(nèi)容體現(xiàn)價(jià)值
- 9上海OA軟件市場(chǎng)2006年將達(dá)20億歐元
- 10一個(gè)概念兩種平臺(tái) 微軟sun爭(zhēng)做規(guī)則制定者
- 11企業(yè)如何實(shí)施上海OA(唐志豪 蘇燕平 劉險(xiǎn)峰)
- 12五大Web服務(wù)神話
- 13跨越信息訪問(wèn)的鴻溝!(by AMT方厚政 )
- 14PayCircle公布Web服務(wù)移動(dòng)結(jié)算標(biāo)準(zhǔn)
- 15麥肯錫電子商務(wù)論叢-許網(wǎng)絡(luò)策略聯(lián)盟一個(gè)未來(lái)
- 16OA協(xié)同軟件系統(tǒng)之建筑施工行業(yè)租賃管理系統(tǒng),泛普軟件精心研制發(fā)布
- 17再論博客--對(duì)工業(yè)生產(chǎn)方式的挑戰(zhàn)
- 18上海OA--資本之上競(jìng)風(fēng)流
- 19WSDL適合你的B2B后端應(yīng)用軟件嗎?
- 20泛普OA軟件2014年-2018年在大上海重點(diǎn)發(fā)展100家代理商
- 21上海OA和信息管理之間的聯(lián)系和區(qū)別(By AMT 宋亮)
- 22怎樣建立一個(gè)合理的知識(shí)結(jié)構(gòu)
- 23中國(guó)企業(yè)距離知識(shí)經(jīng)濟(jì)有多遠(yuǎn)?(by 胡克)
- 24認(rèn)識(shí)上海OA(上)(by AMT 姚磊)
- 25IONA推出電子政務(wù)WEB服務(wù)方案
- 26e信 知識(shí)生產(chǎn)新生態(tài)
- 27選擇OA辦公系統(tǒng)時(shí)盡量少看方案,多看產(chǎn)品或試用
- 28KM vs. HRM
- 29IBM推出業(yè)界首款Web安全服務(wù)軟件
- 30RDF介紹
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
版權(quán)所有:泛普軟件 渝ICP備14008431號(hào)-2 渝公網(wǎng)安備50011202501700號(hào) 咨詢電話:400-8352-114