Web服务安全技术(二)

日期: 2008-12-14 作者:William Brogden翻译:杨君 来源:TechTarget中国 英文

信息摘要   也可以被叫做密码学hash函数或者数码指纹,文摘算法会提取大量数据,从中得到一个固定长度或者散列值。这个算法会对原始数据进行运算,任何有意或者无意的改变都有可能改变散列值。现在我们可以经常看到带有一个或者多个信息摘要标记的开放源软件。这样可以确保得到一个没有变化的复件。

  这种方法会生成一个变更的信息,这个信息会产生同样的指纹,这样会产生一个不断扩张的安全洞,几年以后MD5和SHA-1这样的信息摘要算法是合适的,但是二者都有其自身的弱点,(美国)国家标准与技术局和国家安全局,正在大力筹备建立一个更为先进的摘要法则。   对称加密   对称加密的密码可以对数据块加密,也可以对其解……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

信息摘要

  也可以被叫做密码学hash函数或者数码指纹,文摘算法会提取大量数据,从中得到一个固定长度或者散列值。这个算法会对原始数据进行运算,任何有意或者无意的改变都有可能改变散列值。现在我们可以经常看到带有一个或者多个信息摘要标记的开放源软件。这样可以确保得到一个没有变化的复件。

  这种方法会生成一个变更的信息,这个信息会产生同样的指纹,这样会产生一个不断扩张的安全洞,几年以后MD5和SHA-1这样的信息摘要算法是合适的,但是二者都有其自身的弱点,(美国)国家标准与技术局和国家安全局,正在大力筹备建立一个更为先进的摘要法则。

  对称加密

  对称加密的密码可以对数据块加密,也可以对其解密。这两个方向的计算方法比公有密码术更快捷。这里有许多对称算法,所以WS-Security标准只为描述这个。

  WS-Security标准

  WS-Security安全性(Web服务安全性或者WSS)协议标准化源于许多业内名家,现在由Oasis-Open标准协会主持。单靠单一的标准无法解决如此复杂的Web安全性问题,所以真正的标准分布众多的文档中,包括以下几个:

  ·WSS SOAP信息安全(WSS-Sec),从2006年2月到现在一直是1.1版本,这个版本描述了一个加强SOAP安全性的通用机制这和一般所说的某个特定技术不太一样。

  ·带有附件的WSS SOAP信息(SwA),这个文档描述了如何将WSS-Sec应用于带有附件的SOAP信息。我们通常用附件传递大型的数据,而不用为了在SOAP信息内部传递数据而费力分析XML。

  WS-I安全概要

  WS-I安全概要是Web服务协同组织出台的一项规范,从2007年至今一直都是1.1版本。它融合了Oasis WS-Security1.1版本规范以及扩展建议,以确保WS-Security实施的互操作性。另外它还主张其它的密码算法,或者这些建议也可以被看做是密码术的一大进步。

  Web服务安全性的实施

  Apache Software Foundation(ASF),基于Java语言的SOAP工具包,AXIS2包括一个可选择的模块,该模块可以实施WS-Security功能。该模块建立在一个叫做WSS4J的独立ASF模块项目上。目前的1.5.4版本一直在实施2004年三月颁布的WS-Security1.0版本。和最新的版本相比,似乎有些过时了。

  进一步的发展

  密码员将自己的时间分为两部分,第一个部分是在现有的技术中发现问题,另一部分则是创建新的算法。不管任何加密算法,一旦变为公有后一段时间,人们肯定会发现其中的问题。经过改良后的方法包含更大的密钥和更为复杂的操作,这就意味着更多的处理能力。如果认识到了这些必然发生的变化,创建标准的这些机构就要考虑再建立一个通用的安全框架,这个框架会融入许多最新的算法。

相关推荐