五大预测Web服务中的安全机制

　　即使Web服务的基本安全标准已经出现，人们对Web服务安全问题的担心仍将在2003年继续存在。在大规模部署Web服务之前，绝大多数企业采取了谨慎作法，一方面继续进行内部教育，使企业上下员工对Web服务的安全机制进一步熟悉，另一方面继续观望Web服务安全标准的出台情况。有关专家称，这种保守作法有利于Web服务市场随着安全标准的稳定而成熟。对于Web服务的安全机制和应用推广在2003的进展，专家作了以下预测。

　　预测一：安全标准之争将会更加激烈，部分基本标准将会出台

　　到目前为止，Web服务市场的主要参与者已经显示出合作开发安全标准的意愿，因为他们已经意识到在缺少足够保护交易的隐私性、机密性和完整性机制的情况下，Web服务不会得到广泛使用。相关专家预测，随着业界注意力转向Web服务的一致性和复杂性，Web服务的安全标准之争将会变得更加激烈。

　　不过，一些Web服务的基本安全标准将会走向统一，这些标准包括：

　　a. 用于完整性的Web服务描述语言(WSDL);

　　b. 用于认证与授权的安全断言标记语言(ASAML);

　　c.用于信道保密性的安全套接层(SSL);

　　d. 用于颗粒度保密性的XML加密;

　　e. 用于颗粒度不可否认的XML数字签名。

　　其他几项关键安全标准也有望在近期发布，这些标准包括：

　　a. Web服务安全机制(包括XML加密和XML数字签名);

　　b. 用于管理密钥的XML密钥管理规范;

　　c. 用于认证的扩展访问控制标记语言(XACML)。

　　对2003年的影响：多数企业不会部署复杂的、大规模的Web服务。一直困扰PKI实施的安全成本问题也在通向全面实现Web服务的道路上投下一丝暗影。不能证明部署PKI的安全成本是合理的企业，将不能为复杂的Web服务部署所需要的同样成本提供理由，尤其是在目前低靡的市场条件下。

　　用户的反应：企业近期将只考虑内部的或低价值的外部Web服务部署。在2003年，对于大多数企业来说，在与合作伙伴连接的基础上实现更高价值的交易是不可能的。

　　预测二：安全和成本问题将把Web服务部署限制在一定范围之内

　　Web服务安全性和XML密钥管理规范要在2004年左右才能全部出台。可以说，安全和基础设施成本的问题将把Web服务部署限制在企业内部使用和企业之间低价值交易领域。

　　对2003年的影响：对Web服务安全的担心将由关注Web服务的安全标准转移到对Web服务的监测和控制方面。随着部分基本安全标准部署到位，Web服务的周边产品将开始成熟。大型开发商将进入市场或收购较小的新兴企业。到2004年时，准备跨企业周边部署Web服务的企业将能够从许多比较成熟的安全产品中进行选择。

　　用户的反应：到2003年底，企业将能够安全地部署精心设计的具有周边机制(而非内置机制)的Web服务，并会出现成功的商业案例。

　　预测三：已经部署Web服务的用户需要弥补内部应用的安全缺陷

　　企业内部开发人员将意识到Web服务的价值。Web服务技术对于试图解决应用集成和通信问题的开发人员极具吸引力，并被誉为是发挥企业内部协调作用的强大工具。与使用任何功能强大的通用工具一样，开发人员意识到这项技术的可能性之后，就会匆忙使用Web服务而没有充分考虑其安全和效率问题。考虑到这种情况，许多用户正在加紧弥补Web服务在企业内部应用中的安全缺陷。

　　对2003年的影响：多数Web服务是由希望解决特殊运营业务问题的机构和部门临时部署的，因而不可避免地带有“粗制滥造”之嫌，存在重大的安全缺陷或完全忽视了安全问题。

　　用户的反应：Web服务将成为未来应用集成和新应用部署的事实标准。企业越早开始了解这项技术，越早为Web服务在企业内和跨企业周边的应用制定监控政策，企业的处境就会越好，系统的脆弱性就会越小。

　　预测四：安全问题日益复杂，人们需要对Web服务中的传输进行应用级检查

　　人们开始认识到Web服务中安全问题的复杂性，并开始考虑采用复杂的解决方案。在Web服务变得越来越普遍时，用户就会担心利用超文本传输协议(HTTP)或安全超文本传输协议(S-HTTP)跨企业周边传输的数据安全。Gartner预测，由于Web服务可以绕过传统的周边保护，传输任何类型的有效载荷都会影响企业的资源，因此Web服务将重新打开70%在过去十年中被防火墙关闭的攻击通道。为保证企业的安全，人们将必须对Web服务中的传输进行应用级检查。

　　到2005年，高安全性的Web服务将要求未注册的HTTP和S-HTTP传输流必须在企业周边上接受检查，这将需要周边安全技术具有应用级检查功能，具体地说，扩展标记语言(XML)、简单对象访问协议(SOAP)将会得到广泛使用。

　　对2003年的影响：当更多应用使用XML和SOAP进行通信时，企业将经历HTTP和S-HTTP传输流高于平均值的增长。Microsoft的.NET服务器和利用Web服务功能的新版本的Windows操作系统与Office套件的发布，将对HTTP与S-HTTP传输流的增长起到推波助澜的作用。Web服务协议和产品中存在的安全缺陷将使人们对管理与控制系统(包括安全系统)产生兴趣。

　　用户的反应：企业开始为涉及到基础设施各个方面的未来的Web服务架构制定战略计划。大多数Web服务安全机制可以是基于周边的。因此，企业应当对安全工具进行调查，如安全网关、SSL集中器与加速器、线速度SOAP/XML检查硬件。战略规划将使企业能够决定最适合企业需要的Web服务架构的类型。

　　“保持简单”将主导Web服务的部署。由于Web服务技术和保证其安全的机制仍处于初级阶段，多数企业将会保守地采用Web服务，Web服务的安全机制在被证明是可靠之前，许多企业不会考虑在关键应用中采用。此外，复杂的由多方参与的Web服务需要多方对安全机制做出承诺，这会促使大多数企业首先考虑简单的、低价值的Web服务，并在短期内寻求简单、廉价的安全机制。

　　一直到2005年底，在部署费用、复杂性和缺少经验等因素的影响下，80%的跨防火墙Web服务将在只受SSL服务器证书保护的点到点架构中得到部署。

　　对2003年的影响：由于Web服务技术的不确定性，不会有太多企业尝试进行复杂的Web服务部署。大多数Web服务产品(甚至那些被认为是简单的Web服务)将要求服务提供商能够为最终用户提供连接配置支持。

　　用户的反应：还未部署PKI的企业近期不应当采用PKI，除非这部分企业拥有需要密钥管理的令人信服的应用。购买Web服务安全平台的企业应当确信它们能够充分发挥标准SSL服务器证书的能力，不仅将其用于信道加密，而且还用于双向认证和交易的数字扫描。考虑大量使用Web服务技术的企业应当准备投资SSL加速/集中机制。总之，企业应当小心谨慎地进行Web服务的部署。