全面掌握Web服务安全性

目 录
第1章 Web服务安全性概述 1
1.1 Web服务概述 2
1.1.1 Web服务的特征 2
1.1.2 Web服务的体系结构 2
1.2 安全作为Web服务应用程序的启动程序 3
1.2.1 信息安全的目标：保障使用，禁止侵扰 4
1.2.2 Web服务解决方案创建新的安全责任 4
1.2.3 风险管理是关键 5
1.2.4 信息安全：一个被证实的关注 6
1.3 保障Web服务的安全 6
1.3.1 Web服务安全需求 6
1.3.2 为Web服务提供安全 7
1.4 统一Web服务安全 9
1.4.1 EASI的要求 10
1.4.2 EASI解决方案 11
1.4.3 EASI架构 12
1.4.4 EASI的优点 14
1.5 一个安全的Web服务体系结构示例 14
1.5.1 业务场景 14
1.5.2 Web服务接口 15
1.5.3 示例的安全要求 17
1.6 小结 17
第2章 Web服务 19
2.1 分布式计算 19
2.2 跨Web的分布式处理 20
2.3 Web服务的正面因素和负面因素 22
2.4 可扩展标记语言 23
2.5 SOAP 28
2.5.1 SOAP消息处理 29
2.5.2 消息格式 31
2.5.3 SOAP特性 35
2.5.4 HTTP绑定 36
2.5.5 SOAP使用方案 36
2.6 通用描述发现和集成 36
2.7 WSDL 38
2.8 其他活动 40
2.8.1 活跃的组织 40
2.8.2 其他标准 41
2.9 小结 42
第3章 Web服务安全性入门 43
3.1 安全基本原则 43
3.1.1 密码术 45
3.1.2 身份验证 46
3.1.3 授权 51
3.2 一个简单示例 52
3.2.1 示例描述 52
3.2.2 安全特性 53
3.2.3 局限性 54
3.3 小结 56
第4章 XML安全和WS-Security 58
4.1 公钥算法 58
4.1.1 加密 58
4.1.2 数字签名 61
4.2 公钥证书 63
4.2.1 证书格式 65
4.2.2 公钥基础结构 65
4.3 XML安全 67
4.3.1 XML加密 67
4.3.2 XML签名 69
4.4 WS-Security 75
4.4.1 功能 76
4.4.2 安全元素 77
4.4.3 结构 77
4.4.4 示例 77
4.5 小结 78


第5章 安全断言标记语言 79
5.1 OASIS 79
5.2 SAML的定义 80
5.3 理解SAML规范的基本原理 83
5.3.1 需要像SAML这样的开放标准的原因 83
5.3.2 SAML可以解决的安全问题 84
5.3.3 对SAML的初次介绍 85
5.4 SAML断言 86
5.4.1 断言的通用部分 87
5.4.2 语句 89
5.5 SAML协议 93
5.5.1 SAML请求/响应 94
5.5.2 SAML请求 94
5.5.3 SAML响应 97
5.5.4 绑定 98
5.5.5 配置文件 99
5.6 Shibboleth 102
5.6.1 隐私性 104
5.6.2 联盟 104
5.6.3 单点登录 104
5.6.4 信任关系 105
5.7 相关的标准 105
5.7.1 XACML 105
5.7.2 WS-Security 105
5.8 小结 106
第6章 保护Web服务安全的原则 107
6.1 Web服务示例 107
6.2 身份验证 108
6.2.1 身份验证要求 108
6.2.2 Web服务中的身份验证选项 110
6.2.3 系统特性 114
6.2.4 ePortal和eBusiness的身份验证 115
6.3 数据保护 116
6.3.1 数据保护要求 117
6.3.2 Web服务中的数据保护选项 118
6.3.3 系统特征 119
6.3.4 eBusiness数据保护 120
6.4 授权 121
6.4.1 授权要求 121
6.4.2 Web服务中的授权选项 123
6.4.3 系统特征 124
6.4.4 eBusiness授权 125
6.5 小结 125
第7章 Web服务基础结构的安全 127
7.1 分布式安全的基本原理 127
7.1.1 安全和客户／服务器范式 128
7.1.2 安全和对象范式 129
7.1.3 中间件安全的含义 130
7.1.4 CSS、TSS和安全信道的作用和职责 132
7.1.5 中间件系统实现安全的方法 132
7.1.6 分布式安全管理 140
7.1.7 实施细粒度安全 141
7.2 CORBA 142
7.2.1 CORBA的工作方式 142
7.2.2 CSS、TSS和安全信道的角色和责任 144
7.2.3 安全功能的实现 146
7.2.4 管理 149
7.2.5 实施细粒度安全 150
7.3 COM+ 151
7.3.1 COM+的工作方式 151
7.3.2 CSS、TSS和安全信道的角色和责任 154
7.3.3 安全功能的实现 155
7.3.4 管理 157
7.3.5 实施细粒度安全 158
7.4 .NET Framework 158
7.4.1 .NET的工作方式 160
7.4.2 .NET安全 163
7.5 J2EE 166
7.5.1 EJB的工作方式 167
7.5.2 CSS、TSS和安全信道的角色和责任 169
7.5.3 安全功能的实现 170
7.5.4 管理 171
7.5.5 实施细粒度安全 174
7.6 小结 174
第8章 保护.NET Web服务 176
8.1 IIS安全机制 176
8.1.1 身份验证 176
8.1.2 保护传输数据 177
8.1.3 访问控制 178
8.1.4 日志纪录 179
8.1.5 错误隔离 179
8.2 利用Microsoft技术创建Web服务 180
8.2.1 由COM+组件创建Web服务 180
8.2.2 利用SOAP工具箱从COM组件创建Web服务 181
8.2.3 利用.NET远程创建Web服务 183
8.2.4 使用ASP.NET创建Web服务 184
8.3 利用ASP.NET Web服务实现对eBusiness的访问 187
8.4 ASP.NET Web服务安全 188
8.4.1 身份验证 189
8.4.2 数据保护 196
8.4.3 访问控制 197
8.4.4 审计 203
8.5 保护对eBusiness的访问 207
8.6 小结 208
第9章 保护Java Web服务 209
9.1 在Web服务中使用Java 210
9.2 Web服务安全与传统Java安全的比较 211
9.2.1 在Java中对客户进行身份验证 211
9.2.2 数据保护 212
9.2.3 访问控制 212
9.2.4 SAML如何和Java一起使用 212
9.3 为Web服务兼容性访问应用程序服务器 214
9.3.1 JSR遵从性 214
9.3.2 身份验证 215
9.3.3 授权 215
9.4 Web服务可以使用的Java工具 216
9.4.1 Sun的FORTE和JWSDP 216
9.4.2 IBM的WebSphere和Web服务工具包 217
9.4.3 Systinet的WASP 218
9.5 Java Web服务示例 219
9.5.1 使用WASP的示例 219
9.5.2 使用JWSDP的示例 227
9.6 小结 231
第10章 Web服务安全技术的互操作性 232
10.1 安全互操作性问题 232
10.2 层之间的安全互操作性 233
10.2.1 分层的安全 234
10.2.2 周边安全 235
10.2.3 中间层 237
10.2.4 后端层 239
10.3 可互操作的安全技术 239
10.3.1 身份验证 239
10.3.2 安全属性 240
10.3.3 授权 241
10.3.4 维护安全上下文 242
10.3.5 在Web服务中处理委托 243
10.4 使用安全架构 245
10.4.1 客户使用EASI 246
10.4.2 目标使用EASI 247
10.5 保护示例 247
10.5.1 架构身份验证 248
10.5.2 架构属性处理 249
10.5.3 架构授权 249
10.5.4 使用JWSDP的示例 250
10.5.5 EASI Framework应该解决的问题 255
10.5.6 Web服务对EASI的支持 256
10.5.7 使第三方安全产品共同工作 256
10.6 联盟 257
10.6.1 Liberty Alliance 257
10.6.2 Internet对Intranet和Extranet 259
10.7 小结 260
第11章 Web服务安全性管理 261
11.1 安全管理概述 261
11.1.1 安全管理问题 261
11.1.2 Web服务的安全管理 262
11.2 管理访问控制和相关策略 262
11.2.1 合理地使用属性 263
11.2.2 利用基于角色的访问控制 263
11.2.3 委托 272
11.2.4 审计管理 274
11.2.5 身份验证管理 274
11.2.6 安全策略该如何丰富 274
11.3 管理数据保护 275
11.4 使Web服务开发和安全管理良好协调 276
11.5 小结 277
第12章 计划和构建安全Web服务体系结构 279
12.1 Web服务安全性：挑战 279
12.1.1 安全是必需的 280
12.1.2 Web服务安全性棘手的原因 280
12.1.3 何为安全性 280
12.1.4 构建可信赖系统 281
12.1.5 安全性发展——失去控制 282
12.1.6 处理各种性能 283
12.2 Web服务的EASI原则 284
12.2.1 安全体系结构原则 284
12.2.2 安全策略原则 285
12.3 确定需求 286
12.3.1 功能性要求 287
12.3.2 ePortal安全性要求 287
12.3.3 eBusiness安全性要求 289
12.3.4 非功能性要求 291
12.4 ePortal和eBusiness安全体系结构概述 292
12.5 应用EASI 295
12.5.1 ePortal EASI Framework 295
12.5.2 处理ePortal要求 297
12.5.3 eBusiness EASI Framework 299
12.5.4 处理eBusiness要求 301
12.6 部署安全性 304
12.6.1 周边安全 304
12.6.2 中间层安全 307
12.6.3 后端安全 307
12.7 使用安全策略服务器 308
12.7.1 自我管理 308
12.7.2 大规模管理 309
12.7.3 安全策略数据的存储 309
12.7.4 保护UDDI和WSDL 312
12.8 系统体系结构级的安全性 312
12.8.1 伸缩 312
12.8.2 性能 313
12.9 小结 314
词汇表 315
参考文献 331