基于Pi演算的SOAP安全性分析与验证

基于Pi演算的SOAP安全性分析与验证

论文摘要

基于XML技术的Web服务体系是一种新兴的分布式计算模型,其核心的消息交换协议为SOAP(Simple Object Access Protocol,简单对象访问协议)。在分布式环境中,Web服务之间通过传递SOAP消息进行通信。尽管WS-Security、WS-Policy等标准在理论上保证了端对端的消息层安全,但由于SOAP可扩展机制的灵活性,依然使Web服务容易受到一些特定攻击的威胁,如XML重写攻击等。通过对典型实例的分析得知,由于WS-Security缺少对SOAP拓扑结构的描述,XML重写攻击可以在不被数字签名技术侦测到的情况下,恶意修改SOAP消息的拓扑结构(例如插入含有有害代码的伪元素),然后重新发送出去。针对这个问题的解决方案为,由发送端向即将发出的SOAP消息中额外加入记录消息拓扑的信息,并由接收端在策略驱动验证之前进行验证。除此之外,有必要建立一个端对端的消息层安全模型,用于批量处理应用了上述解决方案的SOAP消息。此解决方案的性能分析结果是理想的。一方面,扩展的XML安全元素无论是在发送方还是在接收方,都没有占用更多的网络带宽和CPU资源;另一方面,借助Pi演算从理论上证明了该模型具有安全性和认证性。从而可知,由上述解决方案和安全模型相结合的安全体系将成为Web服务中防御XML重写攻击的有效手段。

论文目录

  • 摘要
  • Abstract
  • 第一章 绪论
  • 1.1 引言
  • 1.2 研究与发展现状
  • 1.3 论文主要研究内容
  • 1.4 论文的组织
  • 第二章 Web 服务及 SOAP 概述
  • 2.1 Web 服务
  • 2.1.1 Web 服务协议栈
  • 2.1.2 Web 服务的调用过程
  • 2.1.3 Web 服务的三个基本角色和操作
  • 2.2 SOAP
  • 2.2.1 SOAP 规范
  • 2.2.2 SOAP 的核心技术
  • 2.3 本章小结
  • 第三章 Web 服务及 SOAP 安全性分析
  • 3.1 网络安全技术概述
  • 3.1.1 网络安全需求
  • 3.1.2 防火墙
  • 3.1.3 SSL/TLS
  • 3.1.4 HTTP 身份验证
  • 3.1.5 加密技术
  • 3.1.6 数字签名技术
  • 3.2 Web 服务安全规范
  • 3.2.1 WS-Security
  • 3.2.2 XML 数字签名
  • 3.2.3 XML 加密
  • 3.3 SOAP 安全性
  • 3.3.1 SOAP 安全解决方案
  • 3.3.2 SOAP 安全性分析
  • 3.3.3 SOAP 安全缺陷
  • 3.4 本章小结
  • 第四章 XML 重写攻击分析与防御
  • 4.1 XML 重写攻击
  • 4.1.1 问题提出
  • 4.1.2 实例分析
  • 4.2 XML 重写攻击防御原理
  • 元素规范'>4.2.1 防御原理及元素规范
  • 元素的自我防御'>4.2.2元素的自我防御
  • 4.2.3 处理效率分析
  • 4.3 反XML 重写攻击模型
  • 4.4 本章小结
  • 第五章 基于Pi演算的安全模型验证
  • 5.1 Spi 演算
  • 5.1.1 Spi 演算语法
  • 5.1.2 自由与限制
  • 5.1.3 反应关系
  • 5.1.4 测试等价
  • 5.2 基于Spi 演算的模型分析
  • 5.3 HML、不动点理论与μ演算
  • 5.3.1 HML
  • 5.3.2 不动点理论
  • 5.3.3 μ演算
  • 5.4 移动工作台MWB(Mobility Workbench)
  • 5.4.1 MWB 简介
  • 5.4.2 MWB 的语法
  • 5.5 基于Spi 演算的反XML 重写攻击模型形式化验证
  • 5.5.1 CXMLRAM 模型的形式化
  • 5.5.2 CXMLRAM 模型有效性、认证性和安全性验证
  • 5.6 本章小结
  • 结论
  • 参考文献
  • 攻读硕士学位期间取得的学术成果
  • 致谢
  • 相关论文文献

    • [1].企业WEB服务安全实践[J]. 铝加工 2008(03)
    • [2].等值面快速生成方法的改进[J]. 计算机工程 2010(12)
    • [3].基于QoS的Web服务发现技术的研究(英文)[J]. 山东大学学报(理学版) 2009(07)
    • [4].Web服务的核心技术[J]. 硅谷 2008(01)
    • [5].基于Web服务的PACS系统研究[J]. 科技创新与应用 2016(01)
    • [6].基于用户经验反馈的Web Services可信度评测体系构建[J]. 计算机应用 2009(08)
    • [7].Web服务失败分类法[J]. 湖南工业大学学报 2009(02)
    • [8].Web服务安全性分析与研究[J]. 计算机安全 2008(03)
    • [9].NET中开发WEB Service的应用探讨[J]. 广西民族师范学院学报 2011(03)
    • [10].基于反射的WEB SERVICE的设计与实现[J]. 软件导刊 2010(01)
    • [11].基于SOAP安全扩展的Web服务研究[J]. 电脑知识与技术 2008(06)
    • [12].隐蔽通道在Web Service调用中的应用研究[J]. 信息技术 2010(09)
    • [13].基于Agent的Web服务自主、动态集成研究[J]. 计算机应用与软件 2008(11)
    • [14].基于P2P的Web Services的分析与研究[J]. 江汉大学学报(自然科学版) 2008(01)
    • [15].浅谈Web应用的网络安全[J]. 信息记录材料 2018(07)
    • [16].基于LDA和模糊C均值的Web服务多功能聚类[J]. 中南大学学报(自然科学版) 2018(12)
    • [17].如何部署Web Service(Web服务)[J]. 无线互联科技 2014(11)
    • [18].Web管理信息系统程序设计的优化[J]. 电脑编程技巧与维护 2013(17)
    • [19].基于PHP5和Axis实现四则运算的Web服务系统[J]. 电脑知识与技术 2010(07)
    • [20].Web服务可信评估要求[J]. 计算机系统应用 2009(04)
    • [21].一种基于Web Service的新型安全可靠通信结构的研究与实现[J]. 安徽冶金科技职业学院学报 2009(01)
    • [22].利用MapForce创建Web服务的应用研究[J]. 电脑知识与技术 2009(24)
    • [23].基于SOAP扩展的Web服务安全模型[J]. 广州航海高等专科学校学报 2008(02)
    • [24].基于WEB服务的电子商务管理系统的设计研究[J]. 科技资讯 2019(07)
    • [25].基于SOAP协议的XML跨平台WebService核心技术研究[J]. 湖北第二师范学院学报 2015(08)
    • [26].一种基于QoS的扩展语义Web服务发现方法[J]. 重庆师范大学学报(自然科学版) 2010(06)
    • [27].一种基于本体的语义匹配方法[J]. 电脑知识与技术 2008(10)
    • [28].基于SRP协议的Web服务移动agent访问控制研究[J]. 计算机应用研究 2008(06)
    • [29].用WSE构建安全可靠的Web Services[J]. 计算机技术与发展 2008(08)
    • [30].Web服务QoS与用户位置的相关性实证研究[J]. 计算机工程与科学 2013(09)

    标签:;  ;  ;  ;  

    基于Pi演算的SOAP安全性分析与验证
    下载Doc文档

    猜你喜欢