基于程序切片的Web服務安全策略配置工具研究與實現(xiàn).pdf

1、Web服務由于分布式、跨平臺等特性，在電子商務、企業(yè)集成等領域得到了很多應用。隨著Web服務的發(fā)展和普及，Web服務不僅需要防范傳統(tǒng)攻擊技術和方法的威脅，還要面臨很多針對Web服務自身特點的攻擊和挑戰(zhàn)。為此，OASIS組織發(fā)布了WS-Security等協(xié)議為Web服務提供安全保障。但是，由于Web服務接口繁多，調用關系復雜，單純的通過配置策略工具很難確保每個接口配置的安全性。因此，從Web服務源程序研究Web服務的安全性具有重要的意義。

2、
　　程序切片技術通過對代碼的分析，抽取出代碼中各構件之間影響與被影響的關系，實現(xiàn)代碼的精簡，有助于研究人員理解代碼。因此，本文提出了一種基于程序切片的Web安全策略配置的方法：利用動態(tài)程序切片分析Web服務源程序（主要以Java語言編寫的），研究源代碼中的安全問題與擴散情況，并通過安全策略配置對發(fā)現(xiàn)的安全問題進行修復，提高Web服務的安全性。
　　本文從Web服務源程序入手，通過動態(tài)程序切片生成關鍵信息語句集合。接著對關鍵

3、信息語句集合進行分析，研究Web服務間由于接口調用而可能產(chǎn)生的安全問題擴散情況。針對與關鍵信息相關的接口，檢測其在WSDL文檔中的安全策略配置，如若不存在安全策略信息，則判定存在安全漏洞。對于存在安全漏洞的接口，采用了基于WS-SecurityPolicy的安全策略，提供了消息完整性、保密性和用戶認證等方面的保護并通過自動測試驗證其可用性。
　　根據(jù)上述的設計思路，用Java語言開發(fā)實現(xiàn)了一個包括程序切片模塊、安全檢測和策略配置模