2012-03-26 67 views
1

我想在REST Web服務中實現兩級安全性。消息級別其他Web服務中的安全性

  1. 傳輸層 對於我已決定使用HTTPS點至點的安全(傳輸層)。

  2. 消息層(端到端) 我需要json數據(非常敏感)爲加密形式,只能由目標用戶解密。

我需要一些建議,我可以如何實現這一點?是否有任何Web標準,比如我們可以使用的SOAP中的WS-Security。我遇到了JSON Web Encryption(JWE),但不確定這是否足夠我的目標。

+0

爲什麼HTTPS不能滿足這兩種需求? – 2012-03-26 12:56:41

+0

使用HTTPS,消息僅在傳輸過程中受到保護。我們的目標是對於每個使用該應用程序的用戶來說,消息加密都會有所不同,並且只能通過預期的用途進行解密。 – shashankaholic 2012-03-27 05:41:00

+0

如果您正在尋找圖書館建議,您需要說明您正在使用的平臺以及您的客戶使用的平臺。顯然你需要讓你的客戶變得容易,所以你需要說出他們將使用什麼來達到你的服務 - 只是一個網絡瀏覽器? – 2012-03-27 06:54:40

回答

1

一種好的方法是亞馬遜網絡服務使用它們的客戶端數據加密。 documentation很好地概述了它的工作方式,性能特點,客戶端要求和密鑰管理等含義。

AWS客戶端加密使用信封加密。他們的數據使用對稱密碼進行快速加密,對稱密鑰和有效載荷細節等元數據使用較慢但更安全的不對稱密鑰進行加密。

希望有所幫助。

+0

謝謝。爲了領先。關鍵管理將是這方面的主要挑戰。另一個挑戰是不同的平臺(iOS,Android,HTML5),REST Web服務將從其調用不同於aws的JAVA SDK。有任何想法嗎。 – shashankaholic 2012-03-28 19:08:31

+0

嗨shashankaholic,我沒有任何關於在一系列平臺和語言上進行客戶端加密的建議,但並不意味着這將是一項重大任務。如果你可以堅持一些東西(比如HTML5)作爲你的客戶端選項,那麼你已經大大簡化了你的問題。 – 2012-03-29 08:30:46