Web服务安全风险评估

太原理工大学硕士学位论文Web服务安全风险评估姓名：武晓娟申请学位级别：硕士专业：计算机应用技术指导教师：彭新光20080501Web服务安全风险评估作者：武晓娟学位授予单位：太原理工大学相似文献(10条)1.期刊论文王继梅.金连甫Web服务安全问题研究和解决-计算机应用与软件2004,21(2)Web服务目前正受到广泛的关注,而安全问题是推广Web服务的一大障碍.本文首先描述了Web服务的架构,接着描述了Web服务中存在的安全问题,并提出了解决方法.最后介绍了IBM和Microsoft联合开发的Web服务安全规范和一个提供基本认证功能的安全方案.2.学位论文李建新基于Agent策略感知的Web服务安全框架研究2007Web服务是近年提出的一种新的面向Web的分布应用开发与集成框架，代表了一种更为松散耦合的分布应用结构，为应用程序在开放互联的Web环境下实现互操作提供了一种有效办法。Web服务的系统形态从面向封闭的、熟识用户群体和相对静态的形式向开放的、公共可访问的和动态协作的服务模式转变。新的软件应用形态打破了传统的安全技术假设，软件系统的开放性、分布性和协作性与系统安全的内在要求：封闭、集中和独立相抵触。对这些以服务形式分布在Web上的资源进行访问控制，是Web服务应用得以实施的必要保证，针对Web服务安全框架的研究具有非常重要的现实意义。本文的主要工作是以Web服务为应用背景，研究Web服务的安全框架。现行Internet平台下的Web服务安全模型主要存在以下三个方面的问题：一是灵活性和可扩充性欠缺，不具有良好的松耦合特性和可移植性，二是缺乏动态可调整的能力，无法满足在开放系统环境下环境的动态变化，三是Web服务自身缺乏一定的自主性，不能主动调整自身的状态和行为，不具有主动交互能力。针对上述现行Web安全存在的问题，本文研究了Web服务安全若干关键技术，提出了一种基于Agent策略感知的Web服务安全框架。具体工作主要包括以下几个方面：①Web服务安全框架本文提出了一个基于Agent策略感知的Web服务安全框架，采用定义高层次的策略规则在不中止Web服务运行的情况下动态控制用户的访问，通过对用户及Web服务的情境信息的收集和管理，使得访问控制在决策时能够动态的适应环境的变化，引入Agent技术，使得Web服务具有自主性和主动交互能力。②基于规则和本体的策略语言在上述的Web服务安全框架中，策略语言采用基于规则和本体的ReiT策略语言，ReiT是一种说明式的语言，能够同时表达结构化的知识和非结构化的知识，比单一的基于规则或本体的策略语言具有更强的表达能力；③基于规则和本体的混合推理框架针对上述策略语言的特点，本文提出了一个基于规则与本体的混合推理机制，通过这一机制，弥补了单一规则和本体描述在构建知识库方面能力的不足，并通过实例验证了该框架的有效性；④策略感知的BOIDAgent模型在上述的Web服务安全框架中，Web服务Agent的外部行为受其内部心智状态和外部策略的约束，本文提出了一个策略感知的．BOIDAgent模型，并在JADE平台的基础上提出了策略感知的BOIDAgent的管理框架；⑤原型系统的设计与实现本文提出了一个基于．Agent策略感知的Web服务安全框架的参考实现模型，通过JavaEE平台对原型系统做了部分实现，通过实例研究验证了该框架的合理性。3.期刊论文夏敏.陈平Web服务安全关键技术研究综述-网络安全技术与应用2009(3)Web服务是一个新的分布式计算模型,是Web上数据和信息集成的有效机制.Web服务安全是制约Web服务发展的关键问题之一.Web服务安全的实质就是运用WS-Security和其它规范结合XML安全技术保障SOAP通信的安全.本文介绍了Web服务的基本概念,阐述了传统Web安全技术并指出了它们的不足,重点分析了当前Web服务安全的核心技术,包括XML签名、XML加密、SAML、wS-Security等,指出存在的问题,总结了目前Web安全的现状及其面临的挑战.4.学位论文曾海赞Web服务安全会话管理服务器的研究与实现2004在该文中我们将提出一种集中式的Web服务安全会话管理服务器的架构及其实现.我们在分散的Web服务应用环境中建立一个集中式的Web服务安全会话管理服务器.服务器接收安全会话参与者的请求——在实际的实现中,由于我们将服务器提供的服务发布成Web服务的形式,服务器接收远程的Web服务调用.服务器集中管理安全会话的建立、撤销、加入、离开等操作,以及与会话有关的数据,使得会话的状态能保持一致,会话参与者通过服务器实现安全的会话密钥分发.加入到安全会话中的Web服务可以使用安全的会话密钥与会话内的参与者进行多次的、具有上下文状态的信息交换.Web服务安全会话服务器应具备以下的能力:实现会话密钥的安全分发;在WS-Security的基础上,实现对多次信息交换的支持;实现会话的集中管理.5.期刊论文毛承品.范冰冰.龙灿基于协同的web服务安全模型构建及实现-计算机系统应用2007(9)首先分析WebService安全性需求特点,当前针对Web服务的安全解决方案仅局限于局部解决方案,指出传统技术在解决SOAP消息传输中的缺陷以及WebService安全的关键技术;基于这些安全技术,提出了新的WebService体系安全模型,并实现web服务安全模型,最后将此模型用于互联网WebService协同应用系统.6.学位论文赵玲基于SOAP扩展的Web服务安全模型研究2007Web服务作为新一代的平台独立的分布式计算方式，具有适合异构系统集成、易于开发和部署、易于发现和调用等诸多优势，近年来逐渐流行，在很多领域得到了广泛应用，但是Web服务仍然面临多方面的技术挑战，安全就是其中非常重要的一个方面。作为典型的分布式应用，Web服务的安全性要求包括：数据机密性、完整性、不可否认性、身份认证、访问控制等多个方面，同时其自身的特点——动态联合、多方参与等又带来新的安全挑战。传统的安全通信机制如SSL/TLS、IPsec等，不能满足Web服务有中介参与时端到端的安全要求，Web服务需要消息级别的安全机制来保证端到端的消息安全和提供认证、访问控制。Web服务的动态交互的特点增加了授权决策的难度，服务用户和服务提供者之间没有预先建立的信任关系，传统访问控制机制还存在不足，Web服务需要一种更适合的访问控制方式。本文分析了现有安全技术保护Web服务安全的不足，基于Web服务的典型应用的安全需求，将Web服务安全规范协同使用设计了基于SOAP扩展的Web服务安全模型，将安全应用于SOAP消息，为Web服务安全提供整体的解决方案，既满足端到端的消息安全要求，又提供访问控制。模型充分考虑Web服务跨组织、动态交互的特点，使用SAML断言传递安全信息以实现信任传递，针对PKI部署复杂以及不同PKI解决方案之间难于互操作的缺点，使用XKMS服务提供PKI功能。模型依赖于一个消息安全处理模型和一个访问控制模型。消息安全处理模型提供可扩展的安全处理层对SOAP进行安全处理和传递身份验证、访问控制所需的安全信息，为Web服务提供透明的安全服务。访问控制模型以XACML通用模型为基础，采用基于属性的访问控制方式，根据SAML断言以及Web服务参数进行授权决策，除可以提供跨域的访问控制，还具有适应动态环境的高度灵活性和可伸缩性。访问控制模型中给出了使用XACML表达的策略结构。在安全模型的基础上，本文对Axis消息处理框架的特点进行研究，结合供应链管理应用的一个场景，设计了一个基于J2EE平台和AxisSOAP引擎的安全框架。安全框架中包含一系列的安全处理器，和SOAP引擎无缝结合，通过可配置的方式提供安全功能，用来保证Web服务的完整性和机密性，以及提供更高层次的身份验证、访问控制和审计功能。除了安全处理器，本文还根据访问控制模型设计了安全框架中的访问控制机制。最后，根据安全框架的设计，本文实现了安全处理器及访问控制、审计所需的类，并同WSS4J处理器结合应用在供应链管理应用场景的程序当中。7.期刊论文刘淼.郭荷清.苏锦钿.LiuMiao.GuoHeqing.SuJindianWeb服务安全的语义表达研究-计算机应用与软件2008,25(7)指出了已有Web服务安全本体的局限性,研究了各种Web服务安全概念的语义及其内在联系,使用OWL-DL语言开发了Web服务安全本体SecOWS,用于表达Web服务的安全需求和安全能力.8.学位论文韩坤Web服务安全会话管理的研究与实现2007Web服务(WebServices)是近年来蓬勃兴起的一种分布式计算模型，它能够使不同程序语言编写的应用程序或者应用程序组件在不同的平台上进行无缝的互操作。Web服务提供将应用程序封装成单个实体并发布到网络上以供其它程序使用的功能，可以使公司和个人迅速且廉价的向全世界提供它们的数字资产。Web服务具有十分广阔的市场和诱人的前景，已经成为新一代动态电子商务的核心，并且给企业集成应用带来了新的曙光。随着Web服务的不断发展，传统的两个实体间的交互已经无法满足复杂业务的需求，事务需要在分布式环境中由多个Web服务采用会话模式协作完成，这势必会引入很多安全性隐患。基于此，各大业界巨头联合起来提出了Web服务的安全规范WS-Conversation，以达到Web服务会话的安全要求。本文首先研究了现有的XML、Web服务安全相关技术，然后介绍了基于这些安全技术的标准规范。论文随后重点研究了IBM、微软等公司在Web服务安全领域提出的一整套安全规范，详细探讨了其提出的WS-Conversation安全会话管理模型，分析了规范的流程和信息格式的定义。最后，围绕本人研究生期间参与的某省移动公司的远程个人化项目，详细介绍了Web服务安全会话模型的设计与实现，提出了一套高标准、高安全、松耦合的Web服务安全会话管理的解决方案，将理论与实际应用很好的结合在一起。9.期刊论文武晓娟.彭新光.李晓燕Web服务安全风险评估及其辅助工具设计-电脑开发与应用2008,21(5)在对Web服务安全、信息安全风险评估进行深入研究的基础上,提出了符合web服务安全特点的风险评估流程与算法,并介绍了Web服务安全风险评估辅助工具的设讦与实现.实验证明,评估结果给用户下一步的风险管理工作提供了科学高效的依据.10.学位论文付永军基于WSE3.0的Web服务安全的应用研究2007Web服务提供了一种完全建立在现有互联网标准之上的面向服务的架构(SOA)，具有分布式、松散耦合性和平台无关性。随着Web服务的广泛应用，其安全问题已经越来越受到人们的重视。安全性问题是一个非常复杂的问题，目前，与Web服务安全有关的规范主要有WS-Secllrity规范、WS-Policy规范、XKMS规范以及SAML规范等，虽然这些规范在某些方面能实现消息安全，但不能提供一个完整的安全解决方案。Web服务要求一种端对端的安全解决方案，包括加密机制、数字签名机制、安全管理、访问控制等等方面。本文首先分析了Web服务的安全性需求，研究了Web服务安全，包括安全技术、安全性规范和最新发展。然后，分析了WSE3.0的策略框架及工作过程，并对内置安全策略断言和自定义策略断言的应用分别进行了详细阐述。其次，通过分析WS-Security安全模型及工作原理，针对Web服务的安全性需求，设计了一种基于策略架构的Web服务安全解决方案。本文给出了总体框架，并对安全消息交换的处理过程进行了描述，还指出了该方案的优点及不足。最后，在NET环境下，使用WSE3.0开发了一个Web服务安全应用系统。本文介绍了该系统的体系结构和针对安全需求的实现方法，描述了基本安全功能模块的实现，并详细阐述了高级安全功能模块的实现。本文链接：授权使用：同济大学图书馆(tjdxtsg)，授权号：c9b16129-76b0-4e82-96d3-9