全面掌握Web服務(wù)安全性

目 錄
第1章 Web服務(wù)安全性概述 1
1.1 Web服務(wù)概述 2
1.1.1 Web服務(wù)的特征 2
1.1.2 Web服務(wù)的體系結(jié)構(gòu) 2
1.2 安全作為Web服務(wù)應(yīng)用程序的啟動(dòng)程序 3
1.2.1 信息安全的目標(biāo)：保障使用，禁止侵?jǐn)_ 4
1.2.2 Web服務(wù)解決方案創(chuàng)建新的安全責(zé)任 4
1.2.3 風(fēng)險(xiǎn)管理是關(guān)鍵 5
1.2.4 信息安全：一個(gè)被證實(shí)的關(guān)注 6
1.3 保障Web服務(wù)的安全 6
1.3.1 Web服務(wù)安全需求 6
1.3.2 為Web服務(wù)提供安全 7
1.4 統(tǒng)一Web服務(wù)安全 9
1.4.1 EASI的要求 10
1.4.2 EASI解決方案 11
1.4.3 EASI架構(gòu) 12
1.4.4 EASI的優(yōu)點(diǎn) 14
1.5 一個(gè)安全的Web服務(wù)體系結(jié)構(gòu)示例 14
1.5.1 業(yè)務(wù)場(chǎng)景 14
1.5.2 Web服務(wù)接口 15
1.5.3 示例的安全要求 17
1.6 小結(jié) 17
第2章 Web服務(wù) 19
2.1 分布式計(jì)算 19
2.2 跨Web的分布式處理 20
2.3 Web服務(wù)的正面因素和負(fù)面因素 22
2.4 可擴(kuò)展標(biāo)記語(yǔ)言 23
2.5 SOAP 28
2.5.1 SOAP消息處理 29
2.5.2 消息格式 31
2.5.3 SOAP特性 35
2.5.4 HTTP綁定 36
2.5.5 SOAP使用方案 36
2.6 通用描述發(fā)現(xiàn)和集成 36
2.7 WSDL 38
2.8 其他活動(dòng) 40
2.8.1 活躍的組織 40
2.8.2 其他標(biāo)準(zhǔn) 41
2.9 小結(jié) 42
第3章 Web服務(wù)安全性入門(mén) 43
3.1 安全基本原則 43
3.1.1 密碼術(shù) 45
3.1.2 身份驗(yàn)證 46
3.1.3 授權(quán) 51
3.2 一個(gè)簡(jiǎn)單示例 52
3.2.1 示例描述 52
3.2.2 安全特性 53
3.2.3 局限性 54
3.3 小結(jié) 56
第4章 XML安全和WS-Security 58
4.1 公鑰算法 58
4.1.1 加密 58
4.1.2 數(shù)字簽名 61
4.2 公鑰證書(shū) 63
4.2.1 證書(shū)格式 65
4.2.2 公鑰基礎(chǔ)結(jié)構(gòu) 65
4.3 XML安全 67
4.3.1 XML加密 67
4.3.2 XML簽名 69
4.4 WS-Security 75
4.4.1 功能 76
4.4.2 安全元素 77
4.4.3 結(jié)構(gòu) 77
4.4.4 示例 77
4.5 小結(jié) 78


第5章 安全斷言標(biāo)記語(yǔ)言 79
5.1 OASIS 79
5.2 SAML的定義 80
5.3 理解SAML規(guī)范的基本原理 83
5.3.1 需要像SAML這樣的開(kāi)放標(biāo)準(zhǔn)的原因 83
5.3.2 SAML可以解決的安全問(wèn)題 84
5.3.3 對(duì)SAML的初次介紹 85
5.4 SAML斷言 86
5.4.1 斷言的通用部分 87
5.4.2 語(yǔ)句 89
5.5 SAML協(xié)議 93
5.5.1 SAML請(qǐng)求/響應(yīng) 94
5.5.2 SAML請(qǐng)求 94
5.5.3 SAML響應(yīng) 97
5.5.4 綁定 98
5.5.5 配置文件 99
5.6 Shibboleth 102
5.6.1 隱私性 104
5.6.2 聯(lián)盟 104
5.6.3 單點(diǎn)登錄 104
5.6.4 信任關(guān)系 105
5.7 相關(guān)的標(biāo)準(zhǔn) 105
5.7.1 XACML 105
5.7.2 WS-Security 105
5.8 小結(jié) 106
第6章 保護(hù)Web服務(wù)安全的原則 107
6.1 Web服務(wù)示例 107
6.2 身份驗(yàn)證 108
6.2.1 身份驗(yàn)證要求 108
6.2.2 Web服務(wù)中的身份驗(yàn)證選項(xiàng) 110
6.2.3 系統(tǒng)特性 114
6.2.4 ePortal和eBusiness的身份驗(yàn)證 115
6.3 數(shù)據(jù)保護(hù) 116
6.3.1 數(shù)據(jù)保護(hù)要求 117
6.3.2 Web服務(wù)中的數(shù)據(jù)保護(hù)選項(xiàng) 118
6.3.3 系統(tǒng)特征 119
6.3.4 eBusiness數(shù)據(jù)保護(hù) 120
6.4 授權(quán) 121
6.4.1 授權(quán)要求 121
6.4.2 Web服務(wù)中的授權(quán)選項(xiàng) 123
6.4.3 系統(tǒng)特征 124
6.4.4 eBusiness授權(quán) 125
6.5 小結(jié) 125
第7章 Web服務(wù)基礎(chǔ)結(jié)構(gòu)的安全 127
7.1 分布式安全的基本原理 127
7.1.1 安全和客戶(hù)／服務(wù)器范式 128
7.1.2 安全和對(duì)象范式 129
7.1.3 中間件安全的含義 130
7.1.4 CSS、TSS和安全信道的作用和職責(zé) 132
7.1.5 中間件系統(tǒng)實(shí)現(xiàn)安全的方法 132
7.1.6 分布式安全管理 140
7.1.7 實(shí)施細(xì)粒度安全 141
7.2 CORBA 142
7.2.1 CORBA的工作方式 142
7.2.2 CSS、TSS和安全信道的角色和責(zé)任 144
7.2.3 安全功能的實(shí)現(xiàn) 146
7.2.4 管理 149
7.2.5 實(shí)施細(xì)粒度安全 150
7.3 COM+ 151
7.3.1 COM+的工作方式 151
7.3.2 CSS、TSS和安全信道的角色和責(zé)任 154
7.3.3 安全功能的實(shí)現(xiàn) 155
7.3.4 管理 157
7.3.5 實(shí)施細(xì)粒度安全 158
7.4 .NET Framework 158
7.4.1 .NET的工作方式 160
7.4.2 .NET安全 163
7.5 J2EE 166
7.5.1 EJB的工作方式 167
7.5.2 CSS、TSS和安全信道的角色和責(zé)任 169
7.5.3 安全功能的實(shí)現(xiàn) 170
7.5.4 管理 171
7.5.5 實(shí)施細(xì)粒度安全 174
7.6 小結(jié) 174
第8章 保護(hù).NET Web服務(wù) 176
8.1 IIS安全機(jī)制 176
8.1.1 身份驗(yàn)證 176
8.1.2 保護(hù)傳輸數(shù)據(jù) 177
8.1.3 訪問(wèn)控制 178
8.1.4 日志紀(jì)錄 179
8.1.5 錯(cuò)誤隔離 179
8.2 利用Microsoft技術(shù)創(chuàng)建Web服務(wù) 180
8.2.1 由COM+組件創(chuàng)建Web服務(wù) 180
8.2.2 利用SOAP工具箱從COM組件創(chuàng)建Web服務(wù) 181
8.2.3 利用.NET遠(yuǎn)程創(chuàng)建Web服務(wù) 183
8.2.4 使用ASP.NET創(chuàng)建Web服務(wù) 184
8.3 利用ASP.NET Web服務(wù)實(shí)現(xiàn)對(duì)eBusiness的訪問(wèn) 187
8.4 ASP.NET Web服務(wù)安全 188
8.4.1 身份驗(yàn)證 189
8.4.2 數(shù)據(jù)保護(hù) 196
8.4.3 訪問(wèn)控制 197
8.4.4 審計(jì) 203
8.5 保護(hù)對(duì)eBusiness的訪問(wèn) 207
8.6 小結(jié) 208
第9章 保護(hù)Java Web服務(wù) 209
9.1 在Web服務(wù)中使用Java 210
9.2 Web服務(wù)安全與傳統(tǒng)Java安全的比較 211
9.2.1 在Java中對(duì)客戶(hù)進(jìn)行身份驗(yàn)證 211
9.2.2 數(shù)據(jù)保護(hù) 212
9.2.3 訪問(wèn)控制 212
9.2.4 SAML如何和Java一起使用 212
9.3 為Web服務(wù)兼容性訪問(wèn)應(yīng)用程序服務(wù)器 214
9.3.1 JSR遵從性 214
9.3.2 身份驗(yàn)證 215
9.3.3 授權(quán) 215
9.4 Web服務(wù)可以使用的Java工具 216
9.4.1 Sun的FORTE和JWSDP 216
9.4.2 IBM的WebSphere和Web服務(wù)工具包 217
9.4.3 Systinet的WASP 218
9.5 Java Web服務(wù)示例 219
9.5.1 使用WASP的示例 219
9.5.2 使用JWSDP的示例 227
9.6 小結(jié) 231
第10章 Web服務(wù)安全技術(shù)的互操作性 232
10.1 安全互操作性問(wèn)題 232
10.2 層之間的安全互操作性 233
10.2.1 分層的安全 234
10.2.2 周邊安全 235
10.2.3 中間層 237
10.2.4 后端層 239
10.3 可互操作的安全技術(shù) 239
10.3.1 身份驗(yàn)證 239
10.3.2 安全屬性 240
10.3.3 授權(quán) 241
10.3.4 維護(hù)安全上下文 242
10.3.5 在Web服務(wù)中處理委托 243
10.4 使用安全架構(gòu) 245
10.4.1 客戶(hù)使用EASI 246
10.4.2 目標(biāo)使用EASI 247
10.5 保護(hù)示例 247
10.5.1 架構(gòu)身份驗(yàn)證 248
10.5.2 架構(gòu)屬性處理 249
10.5.3 架構(gòu)授權(quán) 249
10.5.4 使用JWSDP的示例 250
10.5.5 EASI Framework應(yīng)該解決的問(wèn)題 255
10.5.6 Web服務(wù)對(duì)EASI的支持 256
10.5.7 使第三方安全產(chǎn)品共同工作 256
10.6 聯(lián)盟 257
10.6.1 Liberty Alliance 257
10.6.2 Internet對(duì)Intranet和Extranet 259
10.7 小結(jié) 260
第11章 Web服務(wù)安全性管理 261
11.1 安全管理概述 261
11.1.1 安全管理問(wèn)題 261
11.1.2 Web服務(wù)的安全管理 262
11.2 管理訪問(wèn)控制和相關(guān)策略 262
11.2.1 合理地使用屬性 263
11.2.2 利用基于角色的訪問(wèn)控制 263
11.2.3 委托 272
11.2.4 審計(jì)管理 274
11.2.5 身份驗(yàn)證管理 274
11.2.6 安全策略該如何豐富 274
11.3 管理數(shù)據(jù)保護(hù) 275
11.4 使Web服務(wù)開(kāi)發(fā)和安全管理良好協(xié)調(diào) 276
11.5 小結(jié) 277
第12章 計(jì)劃和構(gòu)建安全Web服務(wù)體系結(jié)構(gòu) 279
12.1 Web服務(wù)安全性：挑戰(zhàn) 279
12.1.1 安全是必需的 280
12.1.2 Web服務(wù)安全性棘手的原因 280
12.1.3 何為安全性 280
12.1.4 構(gòu)建可信賴(lài)系統(tǒng) 281
12.1.5 安全性發(fā)展——失去控制 282
12.1.6 處理各種性能 283
12.2 Web服務(wù)的EASI原則 284
12.2.1 安全體系結(jié)構(gòu)原則 284
12.2.2 安全策略原則 285
12.3 確定需求 286
12.3.1 功能性要求 287
12.3.2 ePortal安全性要求 287
12.3.3 eBusiness安全性要求 289
12.3.4 非功能性要求 291
12.4 ePortal和eBusiness安全體系結(jié)構(gòu)概述 292
12.5 應(yīng)用EASI 295
12.5.1 ePortal EASI Framework 295
12.5.2 處理ePortal要求 297
12.5.3 eBusiness EASI Framework 299
12.5.4 處理eBusiness要求 301
12.6 部署安全性 304
12.6.1 周邊安全 304
12.6.2 中間層安全 307
12.6.3 后端安全 307
12.7 使用安全策略服務(wù)器 308
12.7.1 自我管理 308
12.7.2 大規(guī)模管理 309
12.7.3 安全策略數(shù)據(jù)的存儲(chǔ) 309
12.7.4 保護(hù)UDDI和WSDL 312
12.8 系統(tǒng)體系結(jié)構(gòu)級(jí)的安全性 312
12.8.1 伸縮 312
12.8.2 性能 313
12.9 小結(jié) 314
詞匯表 315
參考文獻(xiàn) 331