【TechTarget中国原创】信息摘要
也可以被叫做密码学hash函数或者数码指纹,文摘算法会提取大量数据,从中得到一个固定长度或者散列值。这个算法会对原始数据进行运算,任何有意或者无意的改变都有可能改变散列值。现在我们可以经常看到带有一个或者多个信息摘要标记的开放源软件。这样可以确保得到一个没有变化的复件。
这种方法会生成一个变更的信息,这个信息会产生同样的指纹,这样会产生一个不断扩张的安全洞,几年以后MD5和SHA-1这样的信息摘要算法是合适的,但是二者都有其自身的弱点,(美国)国家标准与技术局和国家安全局,正在大力筹备建立一个更为先进的摘要法则。
对称加密
对称加密的密码可以对数据块加密,也可以对其解密。这两个方向的计算方法比公有密码术更快捷。这里有许多对称算法,所以WS-Security标准只为描述这个。
WS-Security标准
WS-Security安全性(Web服务安全性或者WSS)协议标准化源于许多业内名家,现在由Oasis-Open标准协会主持。单靠单一的标准无法解决如此复杂的Web安全性问题,所以真正的标准分布众多的文档中,包括以下几个:
·WSS SOAP信息安全(WSS-Sec),从2006年2月到现在一直是1.1版本,这个版本描述了一个加强SOAP安全性的通用机制这和一般所说的某个特定技术不太一样。
·带有附件的WSS SOAP信息(SwA),这个文档描述了如何将WSS-Sec应用于带有附件的SOAP信息。我们通常用附件传递大型的数据,而不用为了在SOAP信息内部传递数据而费力分析XML。
WS-I安全概要
WS-I安全概要是Web服务协同组织出台的一项规范,从2007年至今一直都是1.1版本。它融合了Oasis WS-Security1.1版本规范以及扩展建议,以确保WS-Security实施的互操作性。另外它还主张其它的密码算法,或者这些建议也可以被看做是密码术的一大进步。
Web服务安全性的实施
Apache Software Foundation(ASF),基于Java语言的SOAP工具包,AXIS2包括一个可选择的模块,该模块可以实施WS-Security功能。该模块建立在一个叫做WSS4J的独立ASF模块项目上。目前的1.5.4版本一直在实施2004年三月颁布的WS-Security1.0版本。和最新的版本相比,似乎有些过时了。
进一步的发展
密码员将自己的时间分为两部分,第一个部分是在现有的技术中发现问题,另一部分则是创建新的算法。不管任何加密算法,一旦变为公有后一段时间,人们肯定会发现其中的问题。经过改良后的方法包含更大的密钥和更为复杂的操作,这就意味着更多的处理能力。如果认识到了这些必然发生的变化,创建标准的这些机构就要考虑再建立一个通用的安全框架,这个框架会融入许多最新的算法。