XML 技術與電子商務期末報告 WS-Security
13
XML 技技技技技技技技技技技 WS-Security 技技技技 技技技 技技 : 技技技: GI2.42 技技技
description
XML 技術與電子商務期末報告 WS-Security. 指導教授:葉慶隆 老師 報告人: GI2.42 林典蔚. 簡介. WS-Security (Web 服務安全 ) 是一種在 Web 服務上有關安全的網路傳輸協議 發展 2004 年 4 月 19 日, OASIS ( Organization for the Advancement of Structured Information Standards )組織發布了 WS-Security 標準的 1.0 版本 2006 年 2 月 17 日,發布了 1.1 版本. 構成. - PowerPoint PPT Presentation
Transcript of XML 技術與電子商務期末報告 WS-Security
XML 技術與電子商務期末報告WS-Security
指導教授:葉慶隆 老師報告人: GI2.42 林典蔚
簡介 WS-Security (Web 服務安全 ) 是一種在 We
b 服務上有關安全的網路傳輸協議 發展
2004 年 4 月 19 日, OASIS ( Organization for the Advancement of Structured Information Standards )組織發布了 WS-Security 標準的 1.0 版本
2006 年 2 月 17 日,發布了 1.1 版本
構成 SAML ( Security Assertion Markup Lang
uage ) Kerberos 認證格式( X.509 )
SAML 安全宣示標記語言 (SAML) 是 OASIS 所發展來提供
XML 架構下,商業交易的雙方透過 Web services交換授權( authorization )及認證( authentication )的機制
SAML 定義了多個安全確認的方式: (1) Authentication Assertion( 認證 ) (2) Attribute Assertion( 屬性 ) (3) Decision Assertion( 決策 ) (4) Authorization Assertion( 授權 )
利用這些方法來達到提高 XML 架構的安全性。
應用 SAML 可以使得 Web-based 的安全機制能
跨站台供多個公司使用,例如單一登入( single sign-on )
SAML 運用了以下的標準協定及訊息架構 XML 簽章 (XML Signature) XML 加密( XML Encryption ) SOAP 。
Kerberos
源自於美國麻省理工學院實驗室 KDC
核心為建立一個安全的、可信任的密鑰分發中心( Key Distribution Center , KDC ),每個用戶只要知道一個和 KDC 進行會話的密鑰就可以了,而不需要知道成百上千個不同的密鑰 (session ticket)
實例說明 A 想要和 B 進行秘密通信 1. A 先和 KDC 通信,用只有 A 和 KDC 知道的密鑰
進行加密 2. A 告訴 KDC 他想和 B 進行通信, KDC 會為 A 和
B 之間的會話隨機選擇一個對話密鑰,並生成一個標籤,這個標籤由 KDC 和 B 之間的密鑰進行加密
3. A 啟動和 B 對話時, A 會把這個標籤交給 B 。這個標籤的作用是讓 A 確信和他交談的是 B ,而不是冒充者 因為這個標籤是由只有 B 和 KDC 知道的密鑰進行加密的,
所以即使冒充者得到用戶甲發出的標籤也不可能進行解密,只有用戶乙收到後才能夠進行解密,從而確定了與用戶甲對話的人就是用戶乙
X.509
X.509 是一個被廣為應用的標準, S/MIME 、SET、與 IPSec等都使用了 X.509 標準
X.509 標準是由國際電信聯盟( ITU-T)制定的數位認證標準,使用 RSA演算法的公開金錀加密技術,數位簽章方面則是使用雜湊函數
組成要素 使用者的一對金鑰
每對鑰匙由私密金鑰( Private Key )與公開金鑰( Public Key )組成。公開金鑰可以發佈到網路或給其他使用者,私密金鑰通常只能存在於使用者的電腦,只有使用者可以存取
公開金鑰密碼學是使用在數學上相關連的一對金鑰,如果以其中一把金鑰用來加密訊息,那就只能用另一把金鑰解開訊息;這對金鑰的其中一支稱為 Public Key (公開金鑰);另一把鑰匙稱為 Private Key (私密金鑰)
數位憑證 由憑證機構發出,藉以向他人確認身分。數位憑證通常包含有持有者的公開金鑰、持有者的電子郵件地址、憑證發行單位、憑證有效期限…等等
憑證機構 (Certificate Authority : CA) 發行與驗證憑證的組織,是屬於公正的第三方,
要負責證明提出憑證發行的人身分的正確性,要保證包含在憑證裡資訊的正確性,並且需要對憑證作數位簽章
如何運作 公開金鑰驗證數位簽章:
1. A 先產生一對金鑰再向 CA 註冊申請, A 除了提供 CA 必要的證明文件外,也需要送上公開金鑰的副本
2. 當 A 的身份被驗證無誤之後, CA 將發佈結合 A 使用者公開金鑰的數位憑證, CA 會把此憑證擺在公用資料庫
3. 當 A 使用者想要與 B 使用者溝通時,他只需以自己的私密金鑰對文件作簽章, B 使用者這端只需透過 CA 的資料庫取得 A 使用者的公開金鑰即可驗證文件的確來自 A 使用者 A 利用雜湊函數產生一份要傳送文件的文摘,並用 A 的私密金鑰將之加密,連同文件一併傳給 B
B收到文件後用 A 的公開金鑰解開文摘內容,並且也用雜湊函數產生一份文件的文摘,比對兩者是否相同即可確認文件是由 A 所簽署
公開金鑰加密 上面例子是用在簽章,若 A 使用者希望也能傳送加密資料給 B 使用者,必須 B 使用者也使用 PKI A 必須先從 CA 取得包含 B 的公開金鑰的憑證,
而 B 的憑證是以 CA 的私密金鑰作數位簽章,因此 A 以 CA 的公開金鑰驗證此簽章以取得 B 的公開金鑰,接著用於傳送加密資料。
結論 良好的安全性是 Web Services功能發展與
應用的基礎,而 WS-Security 通訊協議主要運用了 SAML Kerberos X.509達到 Web Services 所要求的安全性
![profetieavertisment.roprofetieavertisment.ro/.../5891/cartea-adevarului-2010.docx[Content_Types].xml xml application/xml rels application/vnd.openxmlformats-package.relationships+xml](https://static.fdocument.pub/doc/165x107/5aea36fd7f8b9ae5318c2266/contenttypesxml-xml-applicationxml-rels-applicationvndopenxmlformats-packagerelationshipsxml.jpg)
![기존 마크업 언어와 XML XML 필요성과 적용 분야 XML 관련 표준 XML 사용 환경 XML 개발 환경 [ 실습 ] 간단한 XML 문서 작성](https://static.fdocument.pub/doc/165x107/56814021550346895dab7f4b/-xml-xml-xml-.jpg)
