基于程序切片的Web服务安全策略配置工具研究与实现

发布时间：2024-06-08 04:22

　　Web服务由于分布式、跨平台等特性，在电子商务、企业集成等领域得到了很多应用。随着Web服务的发展和普及，Web服务不仅需要防范传统攻击技术和方法的威胁，还要面临很多针对Web服务自身特点的攻击和挑战。为此，OASIS组织发布了WS-Security等协议为Web服务提供安全保障。但是，由于Web服务接口繁多，调用关系复杂，单纯的通过配置策略工具很难确保每个接口配置的安全性。因此，从Web服务源程序研究Web服务的安全性具有重要的意义。 程序切片技术通过对代码的分析，抽取出代码中各构件之间影响与被影响的关系，实现代码的精简，有助于研究人员理解代码。因此，本文提出了一种基于程序切片的Web安全策略配置的方法：利用动态程序切片分析Web服务源程序（主要以Java语言编写的），研究源代码中的安全问题与扩散情况，并通过安全策略配置对发现的安全问题进行修复，提高Web服务的安全性。 本文从Web服务源程序入手，通过动态程序切片生成关键信息语句集合。接着对关键信息语句集合进行分析，研究Web服务间由于接口调用而可能产生的安全问题扩散情况。针对与关键信息相关的接口，检测其在WSDL文档中的安全策略配...

【文章页数】：64 页

【学位级别】：硕士

【部分图文】：

图2.1Web服务架构体系如上图所示，对于利用Web服务的应用程序，在与Web服务交互的过程中，通常会发

Web服务的服务描述”。这一描述囊括了与服务交互的全部细节，包括消息格式、和位置。该接口隐藏了实现服务的具体细节，允许独立于实现服务所基于的硬件台和编写服务所用的编程语言使用服务，从而允许并支持基于Web服务的应用程散耦合、面向组件和跨平台的特性。eb服务体系结构基于服务....

图2.2Web服务协议栈XML[22]

电大学硕士研究生学位论文第二章相关技术介个行为，即发布服务描述、查询或查找服务描述，以及根据服务描述绑定些行为可以单次或反复出现，具体操作如下：是为了使服务可以访问，服务发布者通过规范的服务描述语言把服务发布服务注册中心。找操作中，服务请求者直接搜索服务描述或在服务注册中心中....

图2.3Web服务调用流程

<types>用于定义一个Web服务使用到的任意复杂数据类型<binding>特定端口类型的具体协议和数据格式规范的绑定<service>定义了一个端口集合，描述服务所处的网络位置DI[26][27]（UniversalDescription,Discovery,an....

图2.4Web服务攻击框架

图2.4Web服务攻击框架（1）信息收集技术信息收集和分析是所有网络攻击过程中的重要步骤，在Web服务攻击过程中同样必不。在传统的网络攻击中，信息收集主要是采用端口探测扫描技术，而在针对Web服务击中，主要是对WSDL文档的扫描攻击[30]。通过对WSDL文....

本文编号：3991446