收藏本站
《湖南大学》 2010年
收藏 | 手机打开
二维码
手机客户端打开本文

一种基于STRIDE模型的Web服务安全评估方法研究

姜莉  
【摘要】:Web服务作为一种基于开放标准技术而构建的分布式计算模型,在电子商务和各类企业应用领域中正得以广泛应用。然而,由于Web服务具有网络化、开放性、自治性和互操作性等特性,使得它易成为黑客攻击的目标或被第三方提供商出于某种不正当的商业利益而欺骗性利用。Web服务安全问题如处理不当将可能造成数据泄露甚至引发安全事故并带来严重后果,Web服务安全问题正成为阻碍Web服务进一步推广应用的重要因素之一。如何对Web服务安全性进行有效评估是一个具有挑战性和良好应用价值的研究课题。 目前,Web服务的安全需求主要包括:机密性、身份验证、授权、完整性和不可否认性等。针对上述安全需求,国内外不少标准化组织、公司与研究机构展开了相关理论与应用研究。但当前研究主要关注Web服务的测试工作,相对较少涉及Web服务的安全性问题评估。 本文针对Web服务和SOA体系结构的特点,提出一种基于STRIDE模型的Web服务安全性评估方法。从Spoofing(假冒)、Tampering(篡改)、Repudiation(否认)、Information Disclosure(信息泄露)、Denial of Service(拒绝服务)以及Elevation of Privilege(提升特权)等多个视角对Web服务在安全方面所面临的威胁和挑战进行威胁建模和安全评估。根据Web服务自身的特点并结合STRIDE模型的威胁分类方法,设计了Web服务安全评估模型WS-SEM,从抗假冒、抗篡改、抗否认、抗信息泄露、抗拒绝服务以及抗特权提升六个方面,对安全能力属性的指标量化方法和实施步骤展开了分析,为用户提供Web服务安全性的参考评价和防护策略。 本文最后结合对某企业SOA应用系统展开实例分析,应用WS-SEM评估模型对该SOA应用系统进行威胁建模和安全风险分析。从服务消费者视角对威胁进行分析和评估,为管理员寻找安全防御薄弱环节、优化系统安全设计提供参考依据。实验结果表明该模型具有一定的通用性和参考价值。
【学位授予单位】:湖南大学
【学位级别】:硕士
【学位授予年份】:2010
【分类号】:TP393.09

手机知网App
【参考文献】
中国期刊全文数据库 前10条
1 赵红丹;赵丽红;;基于Web服务的安全模型研究[J];电脑知识与技术;2010年02期
2 杨芙清,梅宏,吕建,金芝;浅论软件技术发展[J];电子学报;2002年S1期
3 李培松;刘觉夫;;基于Web Service的面向服务架构(SOA)的研究[J];华东交通大学学报;2007年02期
4 黄万艮;陈松乔;;基于安全威胁模型的分布式构件集成[J];计算机工程与应用;2006年15期
5 杨欣;沈建京;;语义Web服务安全研究[J];计算机科学;2007年02期
6 朱玉,邓晓艳,邵培南;基于XML的应用层安全解决方案[J];计算机工程;2003年02期
7 戴常英;张广志;;Web服务中的信任评估模型[J];计算机工程;2009年09期
8 施寅生;邓世伟;谷天阳;;Web服务安全性测试技术研究[J];计算机工程与科学;2007年10期
9 曹庆华;罗键;;基于XKMS与SAML的Web服务安全模型[J];计算机时代;2009年12期
10 李海华;杜小勇;田萱;;一种能力属性增强的Web服务信任评估模型[J];计算机学报;2008年08期
【共引文献】
中国期刊全文数据库 前10条
1 王博然;苏钢;;软件工程的历史与发展趋势[J];北京工业职业技术学院学报;2008年03期
2 单锦辉,姜瑛,孙萍;软件测试研究进展[J];北京大学学报(自然科学版);2005年01期
3 庞闻;吴班;;XML数字签名技术的研究及在Java中的实现[J];宝鸡文理学院学报(自然科学版);2006年04期
4 张萍;;人性化软件界面设计的历史和原则[J];包装工程;2011年20期
5 刘正红;;XML加密技术的研究与实现[J];长春大学学报;2007年12期
6 张恺;;电子商务中XML安全技术的应用研究[J];长春工程学院学报(自然科学版);2010年01期
7 孙志东;潘懋;吴自兴;张震伟;;基于XML的地理信息元数据及空间数据安全[J];测绘通报;2007年09期
8 王焱;吴青林;;Web应用软件质量评价测试研究[J];长江大学学报(自然科学版)理工卷;2010年03期
9 庄国强;费贤举;;基于MDA的农产品安全检测平台研究[J];重庆科技学院学报(自然科学版);2009年06期
10 王跟成;罗省贤;;一种基于AXIS的Web服务安全模型的设计[J];徐特立研究(长沙师范专科学校学报);2006年04期
中国重要会议论文全文数据库 前9条
1 游争光;刘建勋;唐明董;;分布式Web服务测试系统的设计与实现[A];CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集[C];2011年
2 郑伟;;联邦式图书馆资源计划[A];创新沈阳文集(D)[C];2009年
3 罗飞;邵堃;刘宗田;;基于混合分布的直接信任模型研究[A];2011中国仪器仪表与测控技术大会论文集[C];2011年
4 王聪;钟尚勤;徐国胜;;SOAP安全通信模型研究[A];第十三届中国科协年会第11分会场-中国智慧城市论坛论文集[C];2011年
5 王洪兰;俞涛;樊燮昌;蔡红霞;;XML数字签名技术及其在制造网格中的应用[A];先进制造技术论坛暨第三届制造业自动化与信息化技术交流会论文集[C];2004年
6 黄双喜;徐立宏;范玉顺;;基于体系结构的制造网格系统适应性研究[A];企业应用集成系统与技术学术研究会论文集[C];2006年
7 刘芳;杨兴林;戴俊;;并发模型构件的状态迁移派生图及等价判定[A];2006年全国开放式分布与并行计算学术会议论文集(一)[C];2006年
8 樊翀;徐光明;;浅析软件工程中软件设计的表现力和实现力[A];2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C];2009年
9 罗伟;蔡开裕;;基于SyncML协议的数据库同步安全传输技术[A];2013年中国信息通信研究新进展论文集[C];2014年
中国博士学位论文全文数据库 前10条
1 尹可挺;Internet环境中基于QoS的Web服务组合研究[D];浙江大学;2010年
2 石振国;资源网络的精化学习及应用研究[D];上海大学;2011年
3 董飚;Internet发布/订阅技术研究[D];南京理工大学;2011年
4 龙军;基于信任感知与演化的服务组合关键技术研究[D];中南大学;2011年
5 邹华;NGN业务跨域互操作访问控制研究[D];北京邮电大学;2010年
6 陈静;面向业务关联的多产业链协作网络和公共服务平台关键技术研究[D];西南交通大学;2011年
7 董孟高;基于Agent的自适应系统运行机制及其构造技术研究[D];国防科学技术大学;2011年
8 董宇欣;网构软件信任演化模型研究[D];哈尔滨工程大学;2011年
9 张帅;基于服务组合的跨企业协作关键技术研究[D];浙江大学;2011年
10 周永彬;PKI理论与应用技术研究[D];中国科学院研究生院(软件研究所);2004年
中国硕士学位论文全文数据库 前10条
1 王钰;基于有机计算的动漫渲染集群系统管理技术的研究与应用[D];山东科技大学;2010年
2 明汉;基于移动Agent的分布式入侵检测系统研究[D];浙江师范大学;2011年
3 李洋;基于Flex与Web服务的RIA系统集成的应用研究[D];辽宁工程技术大学;2009年
4 刘小飞;分布式软件动态调控策略研究[D];湖南工业大学;2010年
5 刘广宾;分布式系统中实体交互行为的可信研究[D];湖南工业大学;2010年
6 徐海峰;基于XML的移动艾滋病信息管理系统安全研究[D];哈尔滨理工大学;2010年
7 郑新坤;多变量公钥密码系统密钥管理中心的研究与实现[D];华南理工大学;2010年
8 邓志娟;江西理工大学信息系统应用集成研究[D];江西理工大学;2010年
9 李征;AOP应用程序中的结构冲突问题解决框架研究[D];武汉工程大学;2010年
10 周梁伟;基于SOA的网构软件动态配置系统设计与实现[D];浙江大学;2011年
【二级参考文献】
中国期刊全文数据库 前10条
1 潘颖,刘洋,谢冰,杨芙清;支持管理在线构件的基本构件描述模型[J];电子学报;2003年S1期
2 钟林辉,谢冰,邵维忠;扩充CDL支持基于构件的系统组装与演化[J];计算机研究与发展;2002年10期
3 黄宁,余莹,张大勇;Web服务软件测试技术的研究与实现[J];计算机工程与应用;2004年35期
4 孟伟;张璟;李军怀;刘海玲;;Web服务安全模型研究与实现[J];计算机工程与应用;2006年26期
5 杨欣;沈建京;;语义Web服务安全研究[J];计算机科学;2007年02期
6 朱玉,邓晓艳,邵培南;基于XML的应用层安全解决方案[J];计算机工程;2003年02期
7 应宏,鄢沛;基于Web Service的跨企业应用模型[J];计算机工程;2005年01期
8 王颖;吴荣泉;黄美锋;邵培南;;一个面向服务的EAI框架[J];计算机工程;2006年01期
9 韩涛;郭荷清;;Web服务安全模型的研究与实现[J];计算机工程;2006年10期
10 王建兴;吕晓华;;基于Web Services的面向服务信息集成研究[J];计算机时代;2006年02期
【相似文献】
中国期刊全文数据库 前10条
1 胡晨光;;基于Web Services数据抽取的研究与实践[J];现代电子技术;2010年24期
2 蒙应杰;张海波;杨西宁;庞博;;基于角色授权的Web service访问控制模型[J];兰州大学学报(自然科学版);2007年02期
3 邝艺光;;网络服务器的安全防范对策[J];科技风;2009年07期
4 王永钊;李明楚;;网格结点内部服务的安全分析[J];信息安全与通信保密;2006年09期
5 全立新;;Web服务安全策略与技术探讨[J];现代计算机(专业版);2010年09期
6 刘淼;郭荷清;苏锦钿;;Web服务安全的语义表达研究[J];计算机应用与软件;2008年07期
7 商瑞强;姜月秋;王光兴;;卫星综合信息网服务级管理的研究[J];小型微型计算机系统;2006年02期
8 ;[J];;年期
9 ;[J];;年期
10 ;[J];;年期
中国硕士学位论文全文数据库 前4条
1 刘鹏;论经营者的安全保障义务及责任承担[D];中国海洋大学;2008年
2 张慧;Web服务环境下单点登录与访问控制研究[D];中南大学;2008年
3 刘灿由;基于WCF的空间信息网络服务安全机制研究与实践[D];解放军信息工程大学;2010年
4 刘玲玲;基于信息流分析的Web服务安全机制研究[D];南京邮电大学;2012年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026