全面掌握Web服务安全性PDF电子书下载

2.5.2消息格式 3 1

9.6小结 23 1

第1章 Web服务安全性概述 1

1.1.1Web服务的特征 2

1.1.2Web服务的体系结构 2

1.1Web服务概述 2

1.2安全作为Web服务应用程序的启动程序 3

1.2.1信息安全的目标：保障使用，禁止侵扰 4

1.2.2Web服务解决方案创建新的安全责任 4

1.2.3风险管理是关键 5

1.2.4信息安全：一个被证实的关注 6

1.3.1Web服务安全需求 6

1.3保障Web服务的安全 6

1.3.2为Web服务提供安全 7

1.4统一Web服务安全 9

1.4.1EASI的要求 10

1.4.2EASI解决方案 11

1.4.3EASI架构 12

1.5.1业务场景 14

1.5一个安全的Web服务体系结构示例 14

1.4.4EASI的优点 14

1.5.2Web服务接口 15

1.6小结 17

1.5.3示例的安全要求 17

第2章 Web服务 19

2.1分布式计算 19

2.2跨Web的分布式处理 20

2.3Web服务的正面因素和负面因素 22

2.4可扩展标记语言 23

2.5SOAP 28

2.5.1SOAP消息处理 29

2.5.3SOAP特性 35

2.6通用描述发现和集成 36

2.5.5SOAP使用方案 36

2.5.4HTTP绑定 36

2.7WSDL 38

2.8其他活动 40

2.8.1活跃的组织 40

2.8.2其他标准 41

2.9小结 42

第3章 Web服务安全性入门 43

3.1安全基本原则 43

3.1.1密码术 45

3.1.2身份验证 46

3.1.3授权 51

3.2一个简单示例 52

3.2.1示例描述 52

3.2.2安全特性 53

3.2.3局限性 54

3.3小结 56

第4章 XML安全和WS-Security 58

4.1.1加密 58

4.1公钥算法 58

4.1.2数字签名 61

4.2公钥证书 63

4.2.1证书格式 65

4.2.2公钥基础结构 65

4.3XML安全 67

4.3.1XML加密 67

4.3.2XML签名 69

4.4WS-Security 75

4.4.1功能 76

4.4.2安全元素 77

4.4.3结构 77

4.4.4示例 77

4.5小结 78

5.1OASIS 79

第5章 安全断言标记语言 79

5.2SAML的定义 80

5.3理解SAML规范的基本原理 83

5.3.1需要像SAML这样的开放标准的原因 83

5.3.2SAML可以解决的安全问题 84

5.3.3对SAML的初次介绍 85

5.4SAML断言 86

5.4.1断言的通用部分 87

5.4.2语句 89

5.5SAML协议 93

5.5.1SAML请求／响应 94

5.5.2SAML请求 94

5.5.3SAML响应 97

5.5.4绑定 98

5.5.5配置文件 99

5.6Shibboleth 102

5.6.1隐私性 104

5.6.2联盟 104

5.6.3单点登录 104

5.6.4信任关系 105

5.7相关的标准 105

5.7.1XACML 105

5.7.2WS-Security 105

5.8小结 106

第6章 保护Web服务安全的原则 107

6.1Web服务示例 107

6.2身份验证 108

6.2.1身份验证要求 108

6.2.2Web服务中的身份验证选项 110

6.2.3系统特性 114

6.2.4ePortal和eBusiness的身份验证 115

6.3数据保护 116

6.3.1数据保护要求 117

6.3.2Web服务中的数据保护选项 118

6.3.3系统特征 119

6.3.4eBusiness数据保护 120

6.4授权 121

6.4.1授权要求 121

6.4.2Web服务中的授权选项 123

6.4.3系统特征 124

6.4.4eBusiness授权 125

6.5小结 125

第7章 Web服务基础结构的安全 127

7.1分布式安全的基本原理 127

7.1.1安全和客户／服务器范式 128

7.1.2安全和对象范式 129

7.1.3中间件安全的含义 130

7.1.4CSS、TSS和安全信道的作用和职责 132

7.1.5中间件系统实现安全的方法 132

7.1.6分布式安全管理 140

7.1.7实施细粒度安全 141

7.2CORBA 142

7.2.1CORBA的工作方式 142

7.2.2CSS、TSS和安全信道的角色和责任 144

7.2.3安全功能的实现 146

7.2.4管理 149

7.2.5实施细粒度安全 150

7.3COM+ 151

7.3.1COM+的工作方式 151

7.3.2CSS、TSS和安全信道的角色和责任 154

7.3.3安全功能的实现 155

7.3.4管理 157

7.3.5实施细粒度安全 158

7.4.NETFramework 158

7.4.1.NET的工作方式 160

7.4.2.NET安全 163

7.5J2EE 166

7.5.1EJB的工作方式 167

7.5.2CSS、TSS和安全信道的角色和责任 169

7.5.3安全功能的实现 170

7.5.4管理 171

7.5.5实施细粒度安全 174

7.6小结 174

第8章 保护.NETWeb服务 176

8.1IIS安全机制 176

8.1.1身份验证 176

8.1.2保护传输数据 177

8.1.3访问控制 178

8.1.5错误隔离 179

8.1.4日志纪录 179

8.2.1由COM+组件创建Web服务 180

8.2利用Microsoft技术创建Web服务 180

8.2.2利用SOAP工具箱从COM组件创建Web服务 181

8.2.3利用.NET远程创建Web服务 183

8.2.4使用ASP.NET创建Web服务 184

8.3利用ASP.NETWeb服务实现对eBusiness的访问 187

8.4ASP.NETWeb服务安全 188

8.4.1身份验证 189

8.4.2数据保护 196

8.4.3访问控制 197

8.4.4审计 203

8.5保护对eBusiness的访问 207

8.6小结 208

第9章 保护JavaWeb服务 209

9.1在Web服务中使用Java 210

9.2Web服务安全与传统Java安全的比较 211

9.2.1在Java中对客户进行身份验证 211

9.2.3访问控制 212

9.2.4SAML如何和Java一起使用 212

9.2.2数据保护 212

9.3为Web服务兼容性访问应用程序服务器 214

9.3.1JSR遵从性 214

9.3.2身份验证 215

9.3.3授权 215

9.4Web服务可以使用的Java工具 216

9.4.1Sun的FORTE和JWSDP 216

9.4.2IBM的WebSphere和Web服务工具包 217

9.4.3Systinet的WASP 218

9.5JavaWeb服务示例 219

9.5.1使用WASP的示例 219

9.5.2使用JWSDP的示例 227

10.1安全互操作性问题 232

第10章 Web服务安全技术的互操作性 232

10.2层之间的安全互操作性 233

10.2.1分层的安全 234

10.2.2周边安全 235

10.2.3中间层 237

10.2.4后端层 239

10.3可互操作的安全技术 239

10.3.1身份验证 239

10.3.2安全属性 240

10.3.3授权 241

10.3.4维护安全上下文 242

10.3.5在Web服务中处理委托 243

10.4使用安全架构 245

10.4.1客户使用EASI 246

10.5保护示例 247

10.4.2目标使用EASI 247

10.5.1架构身份验证 248

10.5.2架构属性处理 249

10.5.3架构授权 249

10.5.4使用JWSDP的示例 250

10.5.5EASIFramework应该解决的问题 255

10.5.6Web服务对EASI的支持 256

10.5.7使第三方安全产品共同工作 256

10.6联盟 257

10.6.1LibertyAlliance 257

10.6.2Internet对Intranet和Extranet 259

10.7小结 260

第11章 Web服务安全性管理 261

11.1安全管理概述 261

11.1.1安全管理问题 261

11.2管理访问控制和相关策略 262

11.1.2Web服务的安全管理 262

11.2.1合理地使用属性 263

11.2.2利用基于角色的访问控制 263

11.2.3委托 272

11.2.4审计管理 274

11.2.5身份验证管理 274

11.2.6安全策略该如何丰富 274

11.3管理数据保护 275

11.4使Web服务开发和安全管理良好协调 276

11.5小结 277

第12章 计划和构建安全Web服务体系结构 279

12.1Web服务安全性：挑战 279

12.1.1安全是必需的 280

12.1.2Web服务安全性棘手的原因 280

12.1.3何为安全性 280

12.1.4构建可信赖系统 281

12.1.5安全性发展——失去控制 282

12.1.6处理各种性能 283

12.2Web服务的EASI原则 284

12.2.1安全体系结构原则 284

12.2.2安全策略原则 285

12.3确定需求 286

12.3.1功能性要求 287

12.3.2ePortal安全性要求 287

12.3.3eBusiness安全性要求 289

12.3.4非功能性要求 291

12.4ePortal和eBusiness安全体系结构概述 292

12.5应用EASI 295

12.5.1ePortalEASIFramework 295

12.5.2处理ePortal要求 297

12.5.3eBusinessEASIFramework 299

12.5.4处理eBusiness要求 301

12.6部署安全性 304

12.6.1周边安全 304

12.6.2中间层安全 307

12.6.3后端安全 307

12.7使用安全策略服务器 308

12.7.1自我管理 308

12.7.2大规模管理 309

12.7.3安全策略数据的存储 309

12.7.4保护UDDI和WSDL 312

12.8系统体系结构级的安全性 312

12.8.1伸缩 312

12.8.2性能 313

12.9小结 314

词汇表 315

参考文献 331