SOAP基于双时间戳的安全性扩展

作     者：魏博 

作者单位：太原理工大学 

学位级别：硕士

导师姓名：彭新光

授予年度：2007年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：Web Services SOAP 双时间戳 不可否认性 抗重放攻击 

摘      要：Web Services作为下一代电子商务的核心技术，已经得到了广泛的应用，但随之而来的安全问题也日益突出。SOAP作为Web Services技术的核心协议，承载着Web Services安全的绝大部分责任，而SOAP标准在制定过程中，没有过多考虑安全方面的要求。 本文首先简要概述了SOAP相关知识，然后将研究集中在SOAP消息传递的安全框架上，这个框架中的PKI，SSL和XML安全技术在一定程度上已能满足SOAP传输的安全需求，然而，在某些具体环节中还不尽人意。其中，SSL保证了传输过程中的安全，但数据在经过不同的SOAP节点时会出现暂时的未加密的状况;XML-Encryption和XML-Signature在一定程度上可以保证数据完整性、保密性和不可否认性方面的安全需要，但仍存在数字证书的有效期，密钥管理等问题，而且也不能防止重放攻击。 数字时间戳是用来确定电子文档在何时创建和签署的一种技术，它能用来比较两个有争议的电子文档的相关时间的先后，这对于那些对时间敏感的技术专利、机密文件、网上交易来说非常重要。因此本文在SOAP消息中引入时间的概念，以此满足在电子商务中电子文档的时间确定性问题。时间戳除了用于对数据在某一特定时刻的存在性进行时间举证外，它还具有唯一性的特点，于是，本文又利用这一特点来防止重放攻击，从而提出了双时间戳的概念，并通过对SOAPHeader的扩展，将双时间戳应用到SOAP消息的交换过程中。 在后续章节中，本文按照所提的方案设计了一个双时间戳系统，在该系统中，消息的发送方首先向时间戳权威机构TSA发出一个时间戳请求，为该消息在某一特定时刻的存在提供证据，当获得TSA签发的时间戳后，发送方又给该消息加入了第二个时间戳，即消息发送时刻的时间，利用这个时间戳能有效防止重放攻击。该系统以网络服务的形式存在，整个服务体系采用MVC框架，并在Linux下用PerlTemplate Toolkit技术完成。本文最后对该系统进行了测试，测试结果表明，此双时间戳系统达到系统设计的预期目标，增强了SOAP消息传递安全框架抵御抵赖和重放攻击的能力。