为什么Web服务使用WS-Security而不是使用传输层安全性?

时间:2013-06-14 20:44:19

标签: ssl ws-security

我能想到的唯一原因是需要额外的安全层,因为Web服务运行在应用层协议之上。这是否意味着需要额外的安全层?

1 个答案:

答案 0 :(得分:0)

许多Web服务新手将SOAP视为通过HTTP在两个端点之间交换消息的一种方式。通过HTTP,可以对呼叫者进行身份验证,对消息进行签名,并加密消息的内容。这使得消息在几个维度上是安全的:呼叫者是已知的,消息的接收者可以验证消息在传输中没有改变,并且观察有线业务的实体无法确定正在交换什么数据。然而,对于那些关注SOAP消息来解决更大问题的人来说,基于HTTP的安全性并不足够。许多更大的问题涉及沿着比请求/响应更复杂的路径或通过不涉及HTTP的传输发送消息。消息和调用者的身份,完整性和安全性需要在多跳上保留。沿路线可以使用多个加密密钥。信任域将被越过。 HTTP及其安全机制仅解决点对点安全问题。更复杂的解决方案需要端到端安全性.WS-Security解决了如何在多点消息路径上维护安全上下文。

摘自http://msdn.microsoft.com/en-us/library/ms977327.aspx