基于信息流分析的Web服务安全机制研究

摘要

近年来，Web服务技术飞速发展并日趋成熟，其应用领域的范围也不断扩大，涉及到的机密数据也日益增多，越来越突出服务安全的重要性。为了实现 Web服务的安全性，SSL/TLS协议被用来提供传输层中信息点到点的安全，WS-Security规范用来提供消息层端到端的安全，通过使用签名和加密技术保障信息满足机密性和完整性。但是，SSL/TLS协议中存在很多的安全缺陷，使用WS-Security规范需要复杂的配置和繁琐的管理，系统的性能开销比较大。并且，当Web服务自身存在潜在的安全隐患时，例如，服务发布前的源程序中对机密数据进行非法操作，使用上面的两个协议不能很好地保障服务的安全。
　　发布前的Web服务是普通的源代码，程序中存在着信息的流动，本文的研究对象是Web服务发布前的源代码。首先，给出使用信息流技术实现机密性和完整性安全分析的一般过程，并基于这个过程对一个程序实例进行了详细的安全分析。然后，基于这个程序实例的分析设计和开发了一个安全自动发布的工具。它通过分析Java源码找出需要保护的数据并对其指定主体，结合安全需求使用标签定义相应的机密性策略和完整性策略，对改写后的Jif代码程序进行编译，将所生成的class文件进行Web服务发布。最后，使用浏览器、测试工具和客户端程序测试模拟的受攻击服务和发布工具得到的服务并对结果加以比较分析。实验结果表明Jif实现的服务能提供良好的功能，其在源程序端阻止了攻击者对程序中的数据进行查看和修改操作，能更好地保证服务发布前源代码的安全。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪论

1.1 研究目的和意义

1.2 国内外研究现状

1.3 本文组织结构

第二章 Web 服务基本概念

2.1 Web 服务简介

2.2 Web 服务体系结构

2.3 Web 服务核心技术

2.4 本章小结

第三章 信息流分析的一般方法

3.1 基于格模型的信息流原理

3.2 信息流安全的形式化方法

3.3 Jif 的安全机制

3.4 本章小结

第四章 基于信息流的 Web 服务安全机制

4.1 Web 服务面临的安全问题与对策

4.2 基于信息流的机密性保护

4.3 基于信息流的完整性保护

4.3 本章小结

第五章 Web 服务安全的实现

5.1 发布工具的设计与实现

5.2 Web 服务实例发布

5.3 Web 服务测试与分析

5.4 本章小结

第六章 总结与展望

6.1 本文工作总结

6.2 未来的研究方向

致谢

攻读硕士学位期间发表的论文

缩略词

图表清单

参考文献