分析:如何实现SOA应用中的身份识别安全

安全一直被认为是SOA的弱点,特别是由于SOA日益超越企业的围墙成为云计算组成的基础。这是关键的,因为SOA和云计算都依靠信任。如果服务提供商和用户之间的信任背破坏,这个努力就将失败。

然而,现在有一些提供给SOA从业人员的强大的工具和战略。在最新的一期《SOA杂志》中,Tinny Ng介绍了与SOA安全有关的一些做法。

安全地在服务和应用程序之间传送交易的能力是以使用安全令牌为基础的。安全令牌作为一种通用的安全通行证或者身份证允许人们访问用户或者应用程序。这些令牌包括SAML(安全断言标记语言)令牌、RACF PassTickets、LPTA令牌和用户名令牌。Ng认为,可能是不同的中间件软件基础设施组件将支持不同的令牌类型。因此,在处理身份识别中介问题的基础设施中需要身份识别服务。所以,那个服务很容易相互连通,不同担心如何把用户身份从一个服务镜像和传送到另一项服务。

Ng补充说,WS-安全和WS-信任是在提供商-消费者交换服务中提供安全保障的两个Web服务标准。WS-安全是一个指定如何向Web服务消息提供完整性、保密性和安全性的通讯协议。它定义如何把一个安全令牌附加到消息中以保证端对端的安全。WS-信任为WS-安全提供扩展功能,指定如何验证、更新和发布安全令牌。WS-信任定义一个安全令牌服务概念。这是一种Web服务,对WS-信任请求做出回应和发布安全令牌。

安全令牌服务还与Web服务安全管理一起工作。Ng说,他们一起允许建立和管理应用程序之间的信任关系。安全令牌服务是一种对WS-信任请求做出回应的Web服务。它使用信任服务链验证、改变和发布安全令牌。安全令牌服务能够实现对整个信任边界内的安全令牌的管理。Web服务安全管理组件为服务请求提供一些功能以便使用令牌发射器创建出站的令牌,让服务提供商使用一个令牌处理设备处理入站的安全令牌。它增强了WS-安全支持并且向安全令牌服务支持的安全管理提供一种WS-信任方法。