新书推介:《语义网技术体系》
作者:瞿裕忠,胡伟,程龚
   XML论坛     W3CHINA.ORG讨论区     计算机科学论坛     SOAChina论坛     Blog     开放翻译计划     新浪微博  
 
  • 首页
  • 登录
  • 注册
  • 软件下载
  • 资料下载
  • 核心成员
  • 帮助
    		•   Add to Google

    >> Web服务(Web Services,WS), 语义Web服务(Semantic Web Services, SWS)讨论区: WSDL, SOAP, UDDI, DAML-S, OWL-S, SWSF, SWSL, WSMO, WSML,BPEL, BPEL4WS, WSFL, WS-*,REST, PSL, Pi-calculus(Pi演算), Petri-net,WSRF,
    [返回] 中文XML论坛 - 专业的XML技术讨论区W3CHINA.ORG讨论区 - Web新技术讨论『 Web Services & Semantic Web Services 』 → Burton: WS-*说明书不足以解决SOA安全问题 查看新帖用户列表

      发表一个新主题  发表一个新投票  回复主题  (订阅本版) 您是本帖的第 3024 个阅读者浏览上一篇主题  刷新本主题   树形显示贴子 浏览下一篇主题
     * 贴子主题: Burton: WS-*说明书不足以解决SOA安全问题 举报  打印  推荐  IE收藏夹 
       本主题类别:     
     admin 帅哥哟,离线,有人找我吗?
      
      
      
      威望:9
      头衔:W3China站长
      等级:计算机硕士学位(管理员)
      文章:5255
      积分:18406
      门派:W3CHINA.ORG
      注册:2003/10/5

    姓名:(无权查看)
    城市:(无权查看)
    院校:(无权查看)
    给admin发送一个短消息 把admin加入好友 查看admin的个人资料 搜索admin在『 Web Services & Semantic Web Services 』的所有贴子 点击这里发送电邮给admin  访问admin的主页 引用回复这个贴子 回复这个贴子 查看admin的博客楼主
    发贴心情 Burton: WS-*说明书不足以解决SOA安全问题

    【2006-06-21 09:06】【Colleen Frye】【TechTarget】

      Web Services Framework (WSF)中的安全标准已经取得了显著的进展,越来越多的产品都支持WS-*安全架构的基础——Web Services Security (WS-S)。但Burton公司的高级分析师Diana Kelley认为仅有标准不代表我们已经解决了所有问题,组织仍然必须在这方面考虑很多。

      自从安全问题被越来越多的关注,原先在Web服务和SOA部署阶段采用的安全标准被寄予了更多的厚望。但Kelley强调,标准只是安全策略的一部分。

      她说:“我们很高兴看到安全问题在项目中考虑的更多,更早,但标准并不能做所有的事。公司必须在安全问题上更加用心。否则产品即使有丰富的安全性能,也没人愿意用。”

      在她以前的报告"Web Services Security Standards 2006: Where Are We Now?"中,她回顾了由IBM和Microsoft在2002年首次提出的WSF安全协议栈的历史。今天,包含WS-S, Web Services Secure Exchange (WS-SX) and WS-Policy的标准在标准体系中有着不同的进展,其中WS-S走的最远。OASIS 在二月批准了WS-S 1.1版,而WS-SX和WS-Policy将在四月的World Wide Web Consortium (W3C)会议上提交给OASIS。

      Kelley认为,WS-S提供了端到端的加密和消息安全的粒度控制。但是,她说尽管产品可以支持WS-S,但很多组织还没有实现这个级别的安全。她说,组织应该为保护SOAP消息传递使用HTTP认证、安全套接认证和SSL加密。

      她说:“对于很多只是测试或做原型和规划的公司,很多都用简单的方法实现,即使用纯SSL和点到点安全。我们还没有发现复杂的WS-S和更简单的解决方案一样被广泛使用,但这种状况看来已经在改变,因为部署已经变复杂了。”

      驱动力就是构建他们面向服务的架构,让它更令人满意,然后才增加其安全性。这种做法在IT部门非常普遍。即先编码,然后才考虑安全。在Web服务中这种做法并不多,但随着公司的部署,他们的安全性也越来越复杂。

      尽管WS-S得到了关注, 但其它说明书还没有太大进展。包括三份扩展安全功能的WS-SX说明书,WS-Trust、WS-SecureConversation和WS-SecurityPolicy。根据Burton公司的报告,最终版本要到2007年6月才能发布。

      Kelley 说,已经在W3C的手中WS-Polic更复杂更随意。它为描述和交换规则和策略方面信息提供了一个框架。但是,Kelley强调,企业依然需要确定自己的策略。

      “这些标准可以把它们自己该做的事做好,但我们需要理解它们做的事。WS-Policy和WS-SecurityPolicy并非说明要遵守的策略,它们不会说明这是正确,那是错误的。”Kelley说。

      她说:“当我们考虑组织内的策略时,我们总在围绕数据考虑粒度控制,问一些类似密钥得多长之类的问题。?WS-Policy 和 WS-SecurityPolicy被认为是一种表述和共享这种信息的方法。而最终策略决策依赖于组织自身实现的Web服务。”

      待发布的说明书

      两份安全说明书WS-Authorization 和 WS-Privacy还没有发布,Kelley说它们有可能停滞下来。WS-Federation用于跨信任域的身份认证、验证和授权共享,并不是一个标准。但是,她说:“有的人觉得Federation很重要,而有的人则觉得它会被淘汰。它已经被用在Microsoft Active Directory中,所以我觉得它不会被淘汰。”

      Kelley说,Web服务安全说明书已经取得重大进展,但她希望组织意识到这些说明书还是崭新的,还在工作中,所以不要期待所有问题都已解决。

      SOA安全的核心是整个应用安全的核心的一部分。Kelly说:“不管是Web应用还是一部分SOA,应用理解和数据保护和管理都变得更加关键,可见性也更高。”SOA会变得混杂,会出现访问后台数据的一层,你必须确保这种访问是非常安全的。

      她说,只实现WS-S和相关安全说明书是不够的。组织依然需要分层的安全。这不意味着当你把安全加入到SOA后,就可以不管周边的防火墙。你依然需要担心宿主的安全性。只使用标准或产品来实现标准并不能为你决定所有的安全问题。


       收藏   分享  
    顶(0)
      




    ----------------------------------------------

    -----------------------------------------------

    第十二章第一节《用ROR创建面向资源的服务》
    第十二章第二节《用Restlet创建面向资源的服务》
    第三章《REST式服务有什么不同》
    InfoQ SOA首席编辑胡键评《RESTful Web Services中文版》
    [InfoQ文章]解答有关REST的十点疑惑

    点击查看用户来源及管理<br>发贴IP:*.*.*.* 2006/6/21 13:35:00
     
     GoogleAdSense
      
      
      等级:大一新生
      文章:1
      积分:50
      门派:无门无派
      院校:未填写
      注册:2007-01-01
    给Google AdSense发送一个短消息 把Google AdSense加入好友 查看Google AdSense的个人资料 搜索Google AdSense在『 Web Services & Semantic Web Services 』的所有贴子 点击这里发送电邮给Google AdSense  访问Google AdSense的主页 引用回复这个贴子 回复这个贴子 查看Google AdSense的博客广告
    2024/4/27 18:29:03

    本主题贴数1,分页: [1]

    管理选项修改tag | 锁定 | 解锁 | 提升 | 删除 | 移动 | 固顶 | 总固顶 | 奖励 | 惩罚 | 发布公告
    W3C Contributing Supporter! W 3 C h i n a ( since 2003 ) 旗 下 站 点
    苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
    		 46.875ms