Web服務(wù)內(nèi)幕，第9部分：研究問題－－安全性與保密性

申請免費(fèi)試用、咨詢電話：400-8352-114

Web服務(wù)內(nèi)幕，第9部分：研究問題

－－安全性與保密性

James Snell（jasnell@us.ibm.com），軟件工程師，IBM Software Group

Maryann Hondo（mhondo@us.ibm.com），Web 服務(wù)安全標(biāo)準(zhǔn)領(lǐng)導(dǎo)，IBM Software Group

2001 年 9 月

Web 服務(wù)架構(gòu)為創(chuàng)建基于 Web 的應(yīng)用的開發(fā)者們帶來了許多新的機(jī)遇和好處。而對于企業(yè)來說，它同時帶來了新的挑戰(zhàn)。在 Web 服務(wù)內(nèi)幕接下去的幾個部分中，我們將著重介紹這些挑戰(zhàn)究竟是什么、它們是如何影響整個架構(gòu)的，以及一些關(guān)于我們（我們中那些受命解決這些問題的人 — 包括許多在 IBM 的安全、研究以及標(biāo)準(zhǔn)化領(lǐng)域工作的人）如何對其進(jìn)行處理的內(nèi)容。我們從每個人都關(guān)心的問題開始：安全性與保密性。
Web 服務(wù)架構(gòu)的核心功能之一便是它允許一些公司在它們需要的時候僅采用該架構(gòu)中對它們最有價值的一小部分。我們稱其為漸增式實現(xiàn)，它將是（或許仍有爭議）有助于整個架構(gòu)的成功的最關(guān)鍵的組件之一。然而，一個重要的問題是：為了讓 Web 服務(wù)在企業(yè)環(huán)境中有用，Web 服務(wù)架構(gòu)就必須成熟，以便支持諸如安全性、事務(wù)、持久性等關(guān)鍵事項，以及更高級別上的業(yè)務(wù)流程和商業(yè)服務(wù)。技巧是用一種保留漸增式實現(xiàn)模型的方式提供這些功能的實現(xiàn)。用一句老話來說，那是說起來容易做起來難。我們以 Web 服務(wù)內(nèi)幕的這一部分作為起點(diǎn)，開始研究企業(yè) Web 服務(wù)所必須解決的各種要求。首先，我們將重點(diǎn)研究安全性。

應(yīng)用在 Web 服務(wù)里安全性中的漸增式實現(xiàn)原則意味著您 — 企業(yè)業(yè)務(wù)應(yīng)用程序的開發(fā)者 — 必須確定什么是專業(yè)技術(shù)領(lǐng)域里應(yīng)用程序的“安全性的適當(dāng)級別”。隨著您的要求隨時間而改變，您可以選擇在現(xiàn)有框架的頂層添加新級別的安全性，而無須重新構(gòu)建整個框架。

提出恰當(dāng)?shù)膯栴}

在企業(yè)環(huán)境中，保護(hù)進(jìn)行交換的信息的安全性和保密性對于 Web 服務(wù)架構(gòu)的成功來說是絕對關(guān)鍵的?？瓷先ヅc這一漸增式實現(xiàn)形成對比的是，安全性必須建立在企業(yè) Web 服務(wù)框架的基礎(chǔ)層中。隨著復(fù)雜的同種平臺（如 COM 和 CORBA）被推向開發(fā)者，先前這樣的嘗試定義全面的安全體系結(jié)構(gòu)的問題被緊密聯(lián)系起來了。因此，我們有了一個難題：我們?nèi)绾卧O(shè)計一個兼有以下特征的安全性框架呢：（1）簡單；（2）能夠傳遞 Web 服務(wù)所要求的不同環(huán)境？要回答這個問題，我們還必須做一些事。

首先，我們必須提出，而您必須回答正確類型的問題（畢竟，對開發(fā)者們來說，需要投入到對該架構(gòu)的安全性和保密性要求的深入研究中去）。這些問題試圖確定我們所處理的問題的范圍。它們包括如下的內(nèi)容：“保護(hù)我的應(yīng)用程序意味著什么？”或者“怎樣才能證明我就是那個該去接收特定的簡單對象訪問協(xié)議（Simple Object Access Protocol，SOAP）消息的人？”要回答這些問題，我們得利用在其它架構(gòu)中實現(xiàn)安全性所獲得的經(jīng)驗，但有一點(diǎn)區(qū)別，那就是答案無法帶來與以前所開發(fā)的那樣緊密聯(lián)系的架構(gòu)相同的架構(gòu)。

那么問題是什么呢？我們需要回答的問題的類型包括一些明顯重要的，如“我怎樣才能向您證明我是誰？”以及“怎樣才能確保公司 XYZ 只能將我的電子郵件地址用于向我發(fā)送應(yīng)用軟件提醒通知，而不是新產(chǎn)品的銷售廣告呢？”我在下文中僅列出了一些我們試圖解決問題根源的普遍問題。

我是誰？這個問題直接涉及了如何管理一個私人身份，以及是哪種類型的信息定義了那個身份。和運(yùn)用于人一樣，這個問題也同樣適用于應(yīng)用程序和設(shè)備。在進(jìn)行在線貿(mào)易時，定義您是誰的信息非常關(guān)鍵。那個信息的安全性極為重要。并且您絕對需要有能力控制那個信息如何使用、誰被允許訪問那個信息以及該信息儲存在何處。還須指出的是，一個單獨(dú)的個人，事實上可能有多個反映其充當(dāng)?shù)牟煌巧臄?shù)字身份。例如，我既有 IBM 員工的身份也有 Visa 消費(fèi)者的身份。我將決定是否將這兩個身份聯(lián)系起來。

我如何證明我是誰？隨著使用數(shù)字身份的出現(xiàn)，身份被盜的潛在危險就增加了。而證明我就是我自稱的人的能力就變得十分關(guān)鍵。在“現(xiàn)實世界”中，我們通過出示證據(jù)來證明自己的身份，如由可信的第三方為我們發(fā)放的身份證、信用卡等。那些第三方驗證我們的憑證，并在此標(biāo)記的基礎(chǔ)上接受我們的身份。而在數(shù)字世界中，由可信的證書權(quán)威機(jī)構(gòu)發(fā)放的 PKI 證書可以被視為提供了一個所聲稱的身份的“證據(jù)”。

我如何才能控制您對我的了解？有些時候您會需要了解關(guān)于我的一些情況以便完成我要求您為我行使的任務(wù)。例如，如果我要您來我家粉刷房子，您就需要了解我的地址。但您不需要了解我的銀行賬戶里有多少存款。關(guān)鍵是：有些事您需要知道，而有些事您不需要知道。同時，我需要能準(zhǔn)確地控制允許您如何使用我所提供給您的信息。例如，我將地址給您的唯一目的就是讓您過來粉刷我的房子，而不是讓您每周一次地發(fā)廣告給我。

我是否有權(quán)訪問您所提供的服務(wù)？這只是因為您可能提供各種服務(wù)，但這并不意味著我得到使用它們的許可。

我們?nèi)绾螀f(xié)商我訪問您所提供的服務(wù)的能力？如果我當(dāng)前無法訪問您的服務(wù)，那么我如何作一些調(diào)整才能獲得訪問它們的許可，以及在何種條件下我才能獲得允許去訪問它們？

如何才能知道我們是否可以彼此信任？所幸的是，在線建立信任關(guān)系是一個已經(jīng)建立了良好基礎(chǔ)的問題，但仍有不少事需要做。開發(fā)者們（也就是像您那樣的本文的讀者）需要在設(shè)計應(yīng)用程序的安全性并協(xié)助擴(kuò)大在線交易中信任某人的范圍等方面充當(dāng)一個積極的角色。只有當(dāng)我們在為那種信任建立技術(shù)和業(yè)務(wù)框架的過程中協(xié)同工作，我才能夠信任您。

我如何才能保護(hù)自己不受身份盜竊和欺騙？監(jiān)視并審查某個人的數(shù)字身份和個人信息的能力絕對重要。

我們?nèi)绾蝸肀Ｗo(hù)交易的誠實性？加密、可靠的消息傳遞和訪問控制都在保證你我在貿(mào)易過程中貿(mào)易能保持其機(jī)密性和誠實性方面起到了關(guān)鍵作用。我必須確信當(dāng)我預(yù)訂 10 箱小配件的時候，我最終不會因為我無法證明我僅預(yù)訂了 10 箱而被迫購買 100 箱小配件。這是電子商務(wù)中的一個經(jīng)典問題，也是許多技術(shù)和標(biāo)準(zhǔn)化措施的驅(qū)動力。

我該將這些問題的答案提供給哪個可以信任的一方？啊，這是個很重要的問題。Web 服務(wù)領(lǐng)域內(nèi)的情況是，定義您的數(shù)字身份的信息將儲存在某個（運(yùn)氣好的話）可信的第三方。例如，如果您選擇利用 Microsoft 的 Hailstorm 服務(wù)，Microsoft（不論你是否信任他們從事該工作）將定義您的個人信息將以何種方式儲存在哪里，以及定義哪種機(jī)制來保護(hù)并管理那些信息。在企業(yè)環(huán)境中，您要信任任何一個向您要求個人或業(yè)務(wù)信息的第三方都需作出巨大的努力。選擇已經(jīng)與您建立了關(guān)系的供應(yīng)商是個明智的選擇；但您必須小心不要陷入這樣一種境地，那就是服務(wù)供應(yīng)商對您的信息管理的控制比您更多。如果沒有要求的話，但我們?nèi)越ㄗh您將這一切集成到現(xiàn)有的策略和安全性基礎(chǔ)結(jié)構(gòu)中去。

找到正確的答案

正如以前曾提及的，正確地回答這些問題將對 Web 服務(wù)的成功起到重要作用。答案必須把我們引向一個圍繞漸增式實現(xiàn)原則的架構(gòu)，而非一個破壞該原則的架構(gòu)。那么如何實現(xiàn)這一點(diǎn)呢？

我們必須做的第一件事就是繼續(xù)開發(fā)各種推動 Web 服務(wù)架構(gòu)的獨(dú)立標(biāo)準(zhǔn)。SOAP、WSDL、UDDI、安全斷言標(biāo)記 語言（Security Assertions Markup Language，SAML），以及 XML 密鑰管理系統(tǒng)（XML Key Management System，XKMS）等技術(shù)都起了重要作用，并且無論應(yīng)用（您的應(yīng)用）的需要是什么，它們在能夠相互協(xié)同工作或彼此完全分離的情況下均各有特點(diǎn)。

我們所要做的第二件事是識別 Web 服務(wù)的安全性架構(gòu)所需要包含的核心組件。諸如身份管理、用戶檔案管理以及策略管理等組件都是顯而易見的。諸如建立信任、監(jiān)視、計量與記帳以及協(xié)商等組件也同樣重要，但并不那么直觀。每一個組件都需定義完整，這樣您就不必在使用其中一個的時候明確地需要使用另一個 — 或者至少，開發(fā)者會得到一個機(jī)會來選擇他或她使用哪種實現(xiàn)，以及這些實現(xiàn)如何融入現(xiàn)有的環(huán)境中去。企業(yè)的開發(fā)者們不應(yīng)被迫依賴此類服務(wù)的單一的供應(yīng)商。

帶出了第三件事的是：任何一種 Web 服務(wù)的安全性架構(gòu)都不應(yīng)要求您改變現(xiàn)有的安全性架構(gòu)。與 Microsoft Passport 等不與現(xiàn)有的企業(yè)安全基礎(chǔ)結(jié)構(gòu)結(jié)合的機(jī)制不同，企業(yè)用戶需要找出（所需求的）解決方案是一個能夠補(bǔ)充支持現(xiàn)有的投資、現(xiàn)有的關(guān)系以及現(xiàn)有的策略等的架構(gòu)，而非一個要替代那些現(xiàn)有的基礎(chǔ)結(jié)構(gòu)的架構(gòu)。

下一步是什么？

為 Web 服務(wù)定義一個異質(zhì)的、漸增式實現(xiàn)安全架構(gòu)所需的核心是標(biāo)準(zhǔn)。開放標(biāo)準(zhǔn)是用開放式處理開發(fā)的。SAML 和 XKMS 創(chuàng)立就是這種企業(yè)需要采納的措施的示例，這些措施正是整個更大的問題的關(guān)鍵組件。和 Verisign、Entrust 以及許多其它企業(yè)和安全性技術(shù)領(lǐng)域的主要對手一樣，IBM 也積極投入到了與這些措施有關(guān)的工作中去。下一步您所要做的是加速這些措施所集合起來的工作。另外，考慮到商家們將很快作出決定是否希望支持基于 Web 服務(wù)的身份和安全性管理（Windows XP 將伴隨嵌入的 Microsoft Passport 發(fā)行），我建議您開始分析該服務(wù)需要提供些什么才能滿足您的需要，以及那些現(xiàn)有的服務(wù)就它們現(xiàn)在存在的狀況來說是否真正實現(xiàn)了您需要它們完成的任務(wù)。我們在下面列出的參考資料應(yīng)該能協(xié)助您向正確方向發(fā)展。

參考資料

SAML 是 Oasis 的一種用于定義與基于安全性的斷言進(jìn)行通信的方法的措施。

XKMS 是一種用于為提供和管理基于 PKI 的 Web 服務(wù)定義框架的措施。

XACML 是一種為 XML 數(shù)據(jù)定義訪問控制框架的措施。

XML Trust Center 是一個有關(guān) Web 服務(wù)安全性標(biāo)準(zhǔn)工作信息的 vendor-neutual 的來源。

Userland 的 Dave Winer 在開放源代碼團(tuán)體中開展了一個涵蓋 分布式成員與參數(shù)選擇的討論。

Microsoft Passport 是旨在成為其 Hailstorm 行動的基礎(chǔ)的身份管理服務(wù)。

Passport 實現(xiàn)保密性的方法收到了某些批評，在以下的文章中有詳細(xì)說明：#1 和 #2

AOL 宣布了其發(fā)布自己的身份驗證注冊表，名為“AOL ScreenName”（魔毯）的意向。

關(guān)于作者

James Snell 既是個作家又是個開發(fā)者，并且是 IBM Web 服務(wù)開發(fā)小組的最新成員之一。他帶著在定制企業(yè)應(yīng)用開發(fā)和商家對商家的集成領(lǐng)域的豐富經(jīng)驗和對 Web 技術(shù)前沿的巨大熱情來到了 IBM。您能通過 jasnell@us.ibm.com 與他聯(lián)系。

Maryann Hondo 于 1996 年加入 Lotus。她目前是 IBM Web Services Security Standards Lead。以前，她曾是新興技術(shù)的安全性設(shè)計師，以及提供 IETF PKIX 參考實現(xiàn)的 IBM/Iris Jonah 小組的成員。她在 Lotus 是 Lotus Java e-Suite 產(chǎn)品的安全性設(shè)計師。在加入 Lotus/IBM 之前，她的工作背景包括在 HP 研究基于 DCE 和 PKI 的 Single SignOn、在 Digital 研究 B1/CMW 操作系統(tǒng)，以及在 AT&T Bell Labs 研究 B2 Unix?？梢酝ㄟ^ mhondo@us.ibm.com 與她聯(lián)系。

瀏覽：Web服務(wù)內(nèi)幕，第1部分

Web服務(wù)內(nèi)幕，第2部分

Web服務(wù)內(nèi)幕，第3部分

Web服務(wù)內(nèi)幕，第4部分

Web服務(wù)內(nèi)幕，第5部分

Web服務(wù)內(nèi)幕，第6部分

Web服務(wù)內(nèi)幕，第7部分

 Web服務(wù)內(nèi)幕，第8部分

 Web服務(wù)內(nèi)幕，第10部分