Web服务中的信息安全：软肋 or 机会？

薛斐

Web服务将会在企业软件系统中增加3～4个新的层次，系统安全面临的挑战更多了，问题也更加复杂了。有人说：一旦引入Web服务，暴露给黑客实施攻击的地方就更多了，我们需要防护的地方也就更多了。然而，Web服务——

Web服务炙手可热，但Web服务的安全领域却是有待开发的“大西部”

Web服务引发安全危机的一个原因是：基于Web服务的软件开发太简单、太方便了，而信息处理手段的发展必将使得信息的泄漏更加难以控制。

Borland是重要的Web服务开发工具提供商之一，其首席战略官Shelton指出：“Web服务的不当使用可能给企业信息安全带来极大的隐患。Web服务必须拥有与生俱来的安全机制，否则用户和软件开发商都会为此付出代价。”而在McAfee.com公司担任CIO的Doug Cavit则认为:“今后员工可能随手就开发出几个Web服务部件。在这种情况下，信息安全管理政策与安全技术同样重要。”

如果Web服务的应用范围推广到Extranet甚至面向公众的Internet，企业信息安全面临的威胁将会显著增加。实际上，如果信息安全问题得不到妥善解决，Web服务的推广应用将会大大延缓。

现在已经提出了一些技术措施，以使Web服务更加安全。例如SSL (Secure Sockets Layer，安全插件层)就是一种必要的措施，但仅仅如此仍然是不够的。SOAP在安全方面已经有了不错的开端，因为它允许以类似于API的方式进行访问。西部UDDI主要是用来描述自身的功能特性，对于保证系统安全性也有一定作用。但是你应该注意到，这种描述本身就可能“撒谎”——被用来进行恶意的、歪曲的欺骗性描述。这样一来，基于Web服务的软件部件完全可能变成潜伏在企业信息系统之中的“特洛伊木马”。

出于安全方面的考虑，许多企业将会首先把Web服务的应用限制在企业内部。但是，Web服务的真正价值更多地体现在企业之间。从这个意义上讲，Web服务从理想走向现实的道路上还蹲着“信息安全”这个拦路虎。问题的关键在于一个企业应用系统之中可能引用许多分布式Web服务部件，他们的整体安全性问题很难解决。从目前的情况看，Web服务的安全性仍然是有待开发的“大西部”。

Web服务的安全机制怎样才能变成淘金者的乐园?

有人说，投资于Web服务安全技术是一本万利的买卖，因为你不仅可以通过Web服务业务挣钱，而且可以通过信息安全技术来挣钱，你将成为资本和技术市场的宠儿。原因很简单，Web服务正在成为软件市场的大金矿，而缺少了信息安全，它又将是死路一条。

在基于Web服务的架构之中，信息出自多个来源，同时又提供给多个目的地，数据必须在运行过程中随时打包。在以往的信息系统之中，信息处理的节奏从来没有像Web服务这样快。难怪有人说：在Web服务之中，信息是短命的。这样的环境将会使传统的信息安全技术人员束手无策、不寒而栗。

反过来，在这个充满复杂性的环境中，找到捷径的信息安全高手将会如鱼得水、游刃有余。捷径在哪里呢？想想看：不再受制于本地的、特定的操作系统和数据库的限制，甚至连具体的应用是什么都可以不管了，信息安全问题可以独立出来、形成自己的基础架构，以各种不同的形式提供统一的认证系统，解决信息的机密性、集成性以及各种信息传递的认证和回执问题。这就等于说：“你可以轻装上阵了。”

西部淘金的先头部队已经启程了。OASIS（Organization for the Advancement of Structured Information Standards，结构化信息标准推进组织）已经提出了SAML（Security Assertion Markup Language，安全认定标记语言），可以在网站、平台和企业之间共享用户信息，通过XML实现安全的电子商务交易（参见本版小资料）。Verisign公司在密钥管理的XML标准和伙伴信任度判定等方面做出了有建树的探索。

你也许已经感到，在Web服务信息安全领域，最大的赢家很可能仍然是永远都那么风光的PKI厂商以及由它们所支持的数字签名和加密技术。可以相信，PKI将会成为Web服务乃至未来软件世界的耀眼明星。

更进一步观察，你会发现在以下几个与Web服务密切相关的信息安全领域，软件厂商最有可能找到它们梦寐以求的金矿。

身份认证的需求将会一飞冲天，因为在软件部件铺天盖地的环境中，对于个人、设备和软件部件来源的确认将会成为广泛而重要的基本业务。

适用于XML的防火墙和加密装置将会盛行，也许某种与此类似的网关设备将会出现在市场上。

入侵监测传感器将会转变成为OCSP (Online Certificate Status Protocol，在线证书状态协议) 的应答器(Responser)，将“入侵”信号作为未经授权的证书予以处理。（参见第B8版小资料）

交易安全装置将会在Web服务环境中应运而生，而且由于摆脱了传统遗留系统的限制，它们完全有可能把其他的信息安全机制远远抛在后头。
在Web服务这项新技术面前，有的人感到惶恐，生怕自己被新技术所抛弃，也有人认为Web服务不值一提，因为它毫无安全性可言。但是，有远见的人总能从问题中发现机会。有专家说：“要么领先一步，要么永远退出历史舞台！Web服务是信息安全技术展示其价值的千载难逢的好时机。你最好及早着手介入这项技术并不失时机地宣布支持与Web服务相适应的业务模式，同时设计和实现Web服务的安全架构。这样不至于在别人收获的季节才后悔自己没有播种。”

小资料：SAML

SAML (Security Assertion Markup Language，安全认定标记语言) 是支持XML电子商务的第一个工业标准，它将S2ML和AuthXML结合起来，为企业之间进行B2B 和B2C业务交易提供共享安全服务的公用语言。

SAML允许企业及其供应商、客户与合作伙伴进行安全的授权、认证和基本信息交换，而与它们各自采用的软件及硬件平台无关。因此，SAML将会促进离散的安全系统之间的互操作性，可以跨越企业之间的界线，建立一个安全的电子商务交易框架。

XML信任中心（XML Trust Center）将会及时向开发者提供SAML的相关资源。更详细的资料可以从OASIS XML安全服务技术委员会（Security Services Technical Committee）的网站（S2ML.org和Authxml.org）获得。

小资料：OCSP

OCSP (Online Certificate Status Protocol，在线证书状态协议)是两个重要的服务器及网络资源安全框架之一。另一个是CRL(Certificate Revocation List，证书废除列表)，这是一种包含已撤消证书列表的签名数据表，曾经是最常用的证书撤销方式。CRL的完整性和可靠性由它本身的数字签名来保证，通常CRL的签名者就是证书的签发者。目前，CRL正逐渐被OCSP所取代。

OCSP旨在帮助应用软件判定某个证书的状态，可以为应用系统提供更及时的证书撤回信息，从而提高系统的安全性。在应用过程中，OCSP客户向OCSP应答器（Responser）发出状态申请，然后就把这个证书置于等待状态，直到应答器返回确认信号为止。

OCSP比CRL向前迈进了一大步。因为实际应用中证书的状态经常被更新，在CRL架构之中要求客户端频繁地下载最新的列表。而在OCSP框架之中，当客户端希望了解某个证书的状态时只要向服务器发出申请，就会从服务器上得到待查证书的状态。服务器发回的状态信息包括“可用”、“过期”和“未知”三种。OCSP协议规定了服务器和客户端进行通信的语法，而且在证书过期后、尚未更新之前允许存在一个特定的时限。

本文原载于计算机世界报