Web服务安全性高级编程

Web服务安全性高级编程
作 者: Ben Galbraith Whitney Hankison 吴旭超 王黎 吴旭超
出版社: 清华大学出版社
丛编项: 清华·乐思 NET和Oracle编程经典系列
版权说明: 本书为公共版权或经版权方授权,请支持正版图书
标 签: Server
ISBN 出版时间 包装 开本 页数 字数
未知 暂无 暂无 未知 0 暂无

作者简介

暂缺《Web服务安全性高级编程》作者简介

内容简介

随着越来越多的公司开始实现基于XML的信息交换技术(即Web服务),安全性已经成为一个至关重要的问题。这一点在电子商务领域中显得尤为突出。为此,人们开发了各种基于XML的标准来满足Web服务的安全性需求,比如XML加密(XML-ENC)、XML数字签名(XML-DSIG)和XML密钥管理规范(XKMS)。本书提供了有关这些标准和其他XML安全性标准的详细信息。此外,本书还通过J2EE和.NET平台演示了XML安全性标准的实际应用。通过阅读本书,开发人员能够了解Web服务的安全性以及实现安全性的具体方法。本书主要内容●Web服务中有关安全性的概念●已经过证明的安全性原理的基本概念●为满足安全性需求而制定的基于XML的标准●各个层中(包括传输层和应用层)安全性的概念●使用基于.NET和J2EE的系统时,要注意的Web服务的安全性问题●使用.NET和J2EE架构的安全的Web服务示例●在Web服务中实现安全性时可以使用的工具包和SDK本书读者对象本书适用于那些需要了解实用信息、以使其Web服务拥有足够的安全性的Web服务开发人员,同时,也适用于那些负责系统完整性的安全分析员。

图书目录

第1章 Web服务

1. 1 Web服务概述

1. 1. 1 驻留和可订阅

1. 1. 2 Web编程的革命

1. 1. 3 相关的Web服务标准

1. 2 需要Web服务的原因

1. 2. 1 Internet商务的可靠性和完整性

1. 2. 2 事务和事务性组件的优点

1. 2. 3 发挥推动作用的委员会

1. 3 Web服务的业务推动因素

1. 3. 1 数据的可靠性

1. 3. 2 客户访问

1. 3. 3 本地商务与国际商务

1. 3. 4 流线型事务的完成

1. 3. 5 特定于业务的推动因素

1. 3. 6 Web服务请求者

1. 3. 7 业务的内部推动因素

1. 4 Web服务的开发. 支持和未来

1. 4. 1 Web服务标准

1. 4. 2 Web服务的业务领域

1. 5 业界领袖的参与

1. 5. 1 IBM

1. 5. 2 SUN

1. 5. 3 BEA

1. 5. 4 Microsoft

1. 6 Web服务的未来

1. 6. 1 成本/收益分析

1. 6. 2 全球Internet商务

1. 7 小结

第2章 安全

2. 1 安全简介

2. 1. 1 安全性的主要内容

2. 1. 2 需要安全的原因

2. 1. 3 实现安全性的注意事项

2. 1. 4 安全因素

2. 2 Web服务安全的含义

2. 2. 1 Web安全问题

2. 2. 2 特别针对Web服务的安全性开发

2. 2. 3 Web服务安全性应用

2. 3 安全术语和概念

2. 3. 1 DMZ--非军事区

2. 3. 2 传输层安全

2. 3. 3 身份验证层安全

2. 3. 4 应用层安全

2. 3. 5 安全标准示例

2. 3. 6 传输层安全示例

2. 3. 7 身份验证层安全示例

2. 3. 8 应用层安全示例

2. 3. 9 身份验证集成示例

2. 4 小结

第3章 身份验证机制

3. 1 身份验证机制概述

3. 1. 1 所需功能列表

3. 1. 2 方案简介

3. 2 基本身份验证

3. 3 基于SSL的基本身份验证

3. 3. 1 内部用户的体系结构

3. 3. 2 外部用户的体系结构

3. 3. 3 机制的优缺点

3. 4 摘要身份验证机制

3. 4. 1 内部用户的体系结构

3. 4. 2 外部用户的体系结构

3. 4. 3 机制的优缺点

3. 5 NTLM身份验证机制

3. 5. 1 内部用户的体系结构

3. 5. 2 NTLM机制的优缺点

3. 6 客户证书机制

3. 6. 1 内部用户的体系结构

3. 6. 2 外部用户的体系结构

3. 7 情景示例

3. 7. 1 环境描述

3. 7. 2 体系结构

3. 7. 3 用户请求流程图

3. 7. 4 最后的分析和决策

3. 8 Liberty项目

3. 8. 1 Web服务的安全

3. 8. 2 网络标识的含义

3. 9 LibertyAlliartec的含义

3. 9. 1 Liberty规范所提供的服务

3. 9. 2 规范

3. 9. 3 体系结构

3. 9. 4 身份验证上下文机制

3. 9. 5 Liberty工具包

3. 9. 6 构建Liberty应用程序

3. 9. 7 未来的方向

3. 10 小结

第4章 PKI

4. 1 PKI的含义

4. 1. 1 密码术

4. 1. 2 标识

4. 1. 3 快速回顾

4. 2 Web服务和PKI

4. 2. 1 客户证书

4. 2. 2 集成PKI的应用程序

4. 2. 3 内部和委托PKI

4. 2. 4 可替换的安全选项

4. 3 部署PKI

4. 3. 1 完全服务于内部的PKI

4. 3. 2 委托PKI

4. 3. 3 技术角度

4. 3. 4 企业角度

4. 4 PKI和Web服务:全面介绍

4. 5 小结

第5章 SSL

5. 1 SSL概述

5. 1. 1 起源

5. 1. 2 SSL提供的内容

5. 1. 3 SSL没有提供的内容

5. 2 需要SSL的原因

5. 2. 1 HTTP

5. 2. 2 SSL解决方案

5. 3 SSL的工作方式

5. 3. 1 概述

5. 3. 2 保持数据的安全性和完整性

5. 4 操作概述

5. 5 SSL--局限性. 警告和后继发展

5. 5. 1 安全

5. 5. 2 警告

5. 5. 3 后继发展

5. 6 Web服务如何使用SSL

5. 6. 1 SSL在体系结构上属于外部特性

5. 6. 2 安全和完整性的成本

5. 7 小结

第6章 XML签名

6. 1 使用XML签名的原因

6. 1. 1 多个签名

6. 1. 2 持久性签名

6. 2 Web服务和签名

6. 2. 1 XML

6. 2. 2 远程引用

6. 2. 3 多方参与

6. 3 XML签名概述

6. 3. 1 基本的XML签名结构

6. 3. 2 示例:分离签名

6. 3. 3 示例:封装签名

6. 3. 4 示例:被封装的签名

6. 3. 5 示例:分离签名和外部引用

6. 4 XML签名的处理步骤

6. 4. 1 生成XML签名

6. 4. 2 XML签名验证

6. 5 XML处理的限制

6. 5. 1 基本XML处理

6. 5. 2 DOM和SAX处理

6. 5. 3 XML命名空间处理

6. 5. 4 字符编码

6. 6 XML签名的语法

6. 6. 1 核心语法

6. 6. 2 可选的签名语法

6. 6. 3 处理指令和注释

6. 7 算法

6. 8 安全性注意事项

6. 8. 1 转换操作的注意事项

6. 8. 2 安全模型注意事项

6. 8. 3 其他注意事项

6. 9 实现方案

6. 9. 1 XML签名Web服务

6. 9. 2 XML签名工具包

6. 10 局限性

6. 11 小结

第7章 XML加密

7. 1 需要XML加密的原因

7. 1. 1 对文档的部分内容加密

7. 1. 2 多重加密

7. 1. 3 持续性存储

7. 1. 4 Web服务和XML加密

7. 2 XML加密概述

7. 3 XML加密示例

7. 3. 1 加密整个XML元素

7. 3. 2 加密XML元素的内容

7. 3. 3 加密XML字符

7. 3. 4 加密XML文档

7. 3. 5 加密任意内容

7. 3. 6 加密EncryptedDara元素

7. 3. 7 添加密钥信息

7. 3. 8 对密钥进行加密

7. 4 XML加密语法

7. 4. 1 EncryptedData元素

7. 4. 2 EncryptedKey元素

7. 4. 3 CipherReference元素

7. 4. 4 EncryptionProperties元素

7. 5 携带密钥信息

7. 5. 1 使用ds:Keylnfo携带密钥信息

7. 5. 2 使用EncryptedKey携带密钥信息

7. 5. 3 方法的选择

7. 6 XML文档的加密指导原则

7. 6. 1 XML片断串行化的指导原则

7. 6. 2 任意数据的加密指导原则

7. 7 算法

7. 7. 1 块式加密

7. 7. 2 密钥传输

7. 7. 3 密钥协议

7. 7. 4对称密钥包装

7. 7. 5 消息摘要

7. 7. 6 消息验证

7. 7. 7 规范化

7. 7. 8 编码

7. 8 与XML签名的关系

7. 9 安全性注意事项

7. 9. 1 明文推测攻击

7. 9. 2 签署所见内容

7. 9. 3 对称密钥

7. 9. 4 初始化向量

7. 9. 5 拒绝服务

7. 10 局限性

7. 11 发展趋势

7. 12 实现方案

7. 13 小结

第8章 XKMS

8. 1 密钥管理问题

8. 2 XKMS概述

8. 2. 1 XKMS服务

8. 2. 2 使用XKMS服务的示例

8. 2. 3 XKMS的优点

8. 2. 4 XKMS的命名空间

8. 2. 5 XKISS和XKRSS

8. 3 XMl密钥信息规范

8. 3. 1 XKISS服务

8. 3. 2 定位服务

8. 3. 3 验证服务

8. 3. 4 确保XKISS服务响应的有效性

8. 3. 5 XKISS消息规范

8. 4 XML密钥注册规范

8. 4. 1 密钥注册

8. 4. 2 重发密钥

8. 4. 3 取消密钥

8. 4. 4 密钥恢复

8. 4. 5 请求验证

8. 4. 6 XKRSS消息规范

8. 5 SOAP绑定

8. 6 批量操作

8. 6. 1 批量注册的用途

8. 6. 2 X-BULK规范

8. 7 安全注意事项

8. 7. 1 重发攻击

8. 7. 2 拒绝服务

8. 7. 3 恢复策略

8. 7. 4 受限使用的共享数据

8. 8 XKMS的未来

8. 9 实现

8. 9. 1 客户端的技术和选项

8. 9. 2 服务器端的选项

8. 9. 3 XKMS实现工具

8. 10 小结

第9章 SAML

9. 1 SAML简介

9. 1. 1 SAML的背景

9. 1. 2 使用SAML的根本原因

9. 1. 3 SAML规范

9. 1. 4 SAML的优势

9. 2 SAML规范文档

9. 2. 1 使用案例

9. 2. 2 会话管理

9. 2. 3 核心规范

9. 3 有关SAML的关键标准和规范

9. 4 产品和工具包

9. 5 LibertyAlliance. Microsoft Passport和SAML

9. 5. 1 LibertyAlliance概述

9. 5. 2 Liberty Alliance的目标

9. 5. 3 功能需求

9. 5. 4 LibertyAlliance规范文档

9. 6 SAML的前景

9. 7 小结

第10章 XACML

10. 1 XACML的背景

10. 2 XACML的需求

10. 3 访问控制列表

10. 3. 1 AclEntry接口

10. 3. 2 ACL接口

10. 3. 3 Group接口

10. 4 SAML和角色数据库

10. 5 XACML规范文档

10. 5. 1 应用程序案例

10. 5. 2 委员会工作草案

10. 5. 3 XACML访问控制XML示例

10. 6 XACML的前景

10. 7 小结

第11章 WS-Security

11. 1 WS-Security简介

11. 2 Web服务的安全保护伞

11. 2. 1 设计准则

11. 2. 2 安全性的各个方面

11. 2. 3 消息完整性

11. 2. 4 利用元素避免重发攻击

11. 2. 5 安全性令牌传送

11. 2. 6 消息机密性

11. 3 WS-Security的优点

11. 4 缺陷

11. 5 小结

第12章 P3P

12. 1 了解隐私

12. 1. 1 隐私问题

12. 1. 2 Web站点的监控技术

12. 1. 3 保护隐私的解决方案

12. 2 P3P的历史

12. 3 了解P3P

12. 3. 1 P3P的工作原理

12. 3. 2 了解规范

12. 4 P3P工具

12. 4. 1 InternetExplorer6. 0

12. 4. 2 AT&TPrivacyBird

12. 4. 3 IBMP3P策略编辑器和解析器

12. 5 在站点中实现P3P

12. 5. 1 概述

12. 5. 2 规划和部署

12. 5. 3 部署

12. 6 P3P和Web服务

12. 7 P3P部署中的难点

12. 7. 1 缺乏保护用户隐私的兴趣

12. 7. 2 缺乏执行机制

12. 7. 3 EU的建议

12. 7. 4 维护和实现开销过高

12. 8 P3P的前景

12. 9 小结

第13章 J2EE Web服务:案例分析

13. 1 案例分析概述

13. 2 0. 1版本

13. 2. 1 应用程序概述

13. 2. 2 Java代码

13. 2. 3 运行应用程序

13. 3 0. 2版本

13. 3. 1 XML签名

13. 3. 2 运行应用程序

13. 4 0. 3版本

13. 4. 1 XML加密

13. 4. 2 运行应用程序

13. 5 小结

第14章 . NET Web服务:案例分析

14. 1 Web服务体系结构

14. 1. 1 Web服务架构的体系结构

14. 1. 2 Web服务安全性体系结构

14. 2 案例分析:WROX银行

14. 2. 1 身份验证和凭证

14. 2. 2 消息机密性

14. 2. 3 消息完整性

14. 3 OpenService Web服务

14. 3. 1 Web浏览器中的Web服务

14. 3. 2 用于Web服务的SOAP消息

14. 3. 3 创建客户应用程序

14. 3. 4 Web服务的缺陷

14. 4 在IIS中创建并配置启用BasicHTTPAuthentication的Web服务

14. 4. 1 IIS身份验证

14. 4. 2 创建Basic HTTP Authentication服务

14. 4. 3 创建启用Basic HTTP Authentication功能的客户程序

14. 4. 4 Basic HTTP Authentication的缺点

14. 5 创建并配置可启用SOAP头信息的Web服务

14. 6 密码术和Web服务

14. 6. 1 . NET中的加密算法

14. 6. 2 在消息加密中使用密码术

14. 6. 3 创建SOAP加密Web服务

14. 6. 4 创建SOAP加密客户程序代码

14. 6. 5 注意事项以及预防措施

14. 7 对SOAP消息进行数字签名

14. 8 WSDK服务

14. 8. 1 服务器上的证书存储配置

14. 8. 2 设置Web服务

14. 8. 3 设置WSDK客户程序

14. 9 小结

附录A 工具包

A. 1 资源

A. 2 标准图表

附录B Tomcat/Axis的安装

B. 1 Tomcat的Windpws安装程序

B. 1. 1 NT 服务

B. 1. 2 JSP Development Shell Extensions

B. 1. 3 Start Menu Group

B. 1. 4 Tomcat Documentation

B. 1. 5 Example Web Applications

B. 1. 6 Source Code

B. 1. 7 设置环境变量

B. 1. 8 特定于Windows9x和WindowsME操作系统的问题

B. 1. 9 使用ZIP文件在Windows中安装Tomcat

B. 2 在Linux中安装Tomcat

B. 3 安装Axis

附录C Tomcat SSL配置

C. 1 生成密钥存储和证书

C. 2 Tomcat配置