基于WS-Security的Web服务安全框架的研究
Web服务是近年提出的一种新的面向Web的分布应用技术。它采用Internet通信协议和SOAP传输消息,代表了一种架构松散的分布应用结构。相比COBRA、DCOM、RMI,Web服务自身的特点决定了它是一种优秀的分布式技术。然而,基于Web服务的应用对外需要公开接口,因而更容易受到来自内部和外部的安全威胁。为了保证Web服务的安全,人们正在开发许多基于XML的安全标准,来解决认证、访问控制、消息安全和数据安全等问题。
本文首先介绍了Web服务面临的安全问题,研究了一些比较成熟的Web服务安全技术及相关开发工具。在此基础上,提出并实现了一种基于WS-Security规范、可扩展的安全框架-MagicBean,保证了Web服务的消息级安全,提供了签名、加密、访问控制、攻击检测等安全机制。
然后,本文围绕着研究与实现该安全框架来展开。
第三章介绍MagicBean的设计思想和体系结构,如何基于WS-Security规范实现消息级安全。
第四章详细介绍了访问控制机制,研究了基于角色的访问控制模型,然后将WS-Securitv和NET安全模型相结合,实现了Web服务的访问控制模型。
第五章对消息验证和重放检测机制进行了深入研究,在WS-Security规范的基础上提出了可行的解决方案,大大提高Web服务抵御外来攻击的能力。
最后,通过对MagicBean框架针对性的测试,给出Web服务实现方案中选择WS-Securitv还是SSL的建议。
本文的研究工作对于保证Web服务的消息级安全、实现访问控制及攻击检测具有重要的实际价值和一定的理论意义。
Web服务;安全框架;攻击检测;安全标准;数据安全
中国海洋大学
硕士
计算机应用技术
魏振钢
2007
中文
TP393.08
60
2007-09-03(万方平台首次上网日期,不代表论文的发表时间)