WEB应用程序安全设计及应用技术的研究

摘要

随着计算机网络技术的飞速发展，以及电子商务和电子政务应用的普及，WEB应用程序开发已经成为了软件系统开发的主要部分。目前针对网络安全技术的研究发展非常迅速，各种安全技术的应用也比较广泛。然而，针对软件设计者在设计WEB应用程序过程中如何提高WEB应用程序安全性的研究相对较少，在网络日益普及的今天对WEB应用程序安全设计的研究对网络的安全运行有着重要的意义。
　　 本文主要进行了以下工作：以微软的ASP.NET开发平台为例讨论了在WEB应用程序设计各个阶段所面临的各种风险和威胁以及解决办法。首先介绍了作为软件设计者设计出安全的WEB应用程序所需要了解网络安全相关知识；探讨WEB应用程序所面临的安全挑战，给出了WEB应用程序设计应当遵循的原则和设计步骤；然后分析了身份验证对WEB应用程序安全性的影响，研究了在WEB应用程序设计的不同阶段对身份验证所采用的不同技术及这些技术的优缺点；介绍了WEB应用程序运行过程中所使用的主要资源，以及在何保护WEB应用程序所使用的资源方面采用的主要安全技术；探讨了如何在WEB应用程序通信过程中保证信息的机密性和完整性，并对.NET平台下的加密和安全通信协议进行了介绍。最后本文构建了一个简单的WEB应用程序，通过对该系统的实际运行测试，从应用角度出发，阐述了在WEB应用程序安全设计方面的指导意见。
　　 本文的主要意义在于以一个软件设计者的思路探讨了在WEB开发过程中应该关注的安全问题，针对影响WEB应用程序安全性的主要问题进行了探讨，提出了在WEB应用程序设计过程中应当遵循的安全设计原则和可以采用的安全技术，并通过一个具体开发平台对安全技术的应用进行了实践，为软件设计者开发出安全的WEB应用程序提供了研究基础。

目录

文摘

英文文摘

声明

第一章前言

1.1研究背景

1.2研究现状及存在问题

1.2.1 WEB应用程序安全研究现状

1.2.2 WEB应用程序安全面临的问题

1.3主要工作和论文结构

第二章WEB应用程序安全性规划

2.1安全性概述

2.1.1身份验证

2.1.2授权

2.1.3审核

2.1.4保密

2.1.5完整性

2.1.6认可

2.1.7 Windows系统下的安全技术实现

2.2安全WEB应用程序的设计过程

2.2.1确定威胁

2.2.2识别受保护的资源

2.2.3计算风险和区分威胁优先次序

2.2.4使用安全性策略评估威胁

2.2.5选择安全性技术

2.2.6设计安全服务来减轻风险

第三章WEB应用程序的身份验证

3.1用户输入验证

3.1.1用户输入的类型

3.1.2验证用户输入的原因

3.1.3用户输入验证类型

3.1.4在ASP.NET中使用正则表达式验证

3.2 Internet信息服务身份验证

3.2.1模拟与委托

3.2.2受信任的子系统模型

3.2.3选择安全的客户端身份验证方法

第四章WEB应用程序资源安全性

4.1 WEB应用程序资源概述

4.2保护WEB页面安全

4.2.1 ASP.NET身份验证方法

4.2.2配置ASP.NET WEB应用程序

4.2.3保护WEB页面

4.3保护文件系统的安全

4.3.1保护文件安全概述

4.3.2 Windows访问控制

4.3.3保护ASP.NET WEB应用程序文件

4.4保护数据库资源安全

4.4.1 SQL Server安全性介绍

4.4.2 SQL注入攻击预防

第五章保证通信中信息的机密性和数据完整性

5.1使用数字证书

5.2使用安全套接层(SSL/TSL)

5.3使用Interact通讯协议安全

第六章实验部署、测试及分析

6.1部署实验环境

6.2网格环境下基于2PL的扩充分层封锁机制的实验方案

第七章总结与展望

参考文献

致 谢

在读期间发表的论文