基于漏洞評估的Web服務(wù)安全性測評.pdf

1、Web服務(wù)(Web Service,WS)技術(shù)是獨立于平臺和編程語言的、具有自包含和松耦合的以互聯(lián)網(wǎng)為基礎(chǔ)的新型的分布式計算模型。由于其自身的開放性,Web服務(wù)的安全性問題日益嚴(yán)峻,成為制約其廣泛應(yīng)用的瓶頸。對Web服務(wù)安全性的研究更多的是針對特定領(lǐng)域的Web服務(wù)來設(shè)計相應(yīng)的安全模型來保證服務(wù)的安全性,或者是對安全的協(xié)議、策略的設(shè)計和實現(xiàn)進(jìn)行深入的研究來增強(qiáng)安全性。近年來,對Web服務(wù)安全的評估逐漸成為一個研究重點,但在服務(wù)安全評估方面

2、,沒有專門的評估標(biāo)準(zhǔn),大都是基于已有的信息安全的評估標(biāo)準(zhǔn)來研究,實現(xiàn)對Web服務(wù)安全進(jìn)行評估。特別是用戶對服務(wù)安全屬性的偏好越來越重視,比如用戶根據(jù)自己對安全屬性的偏好來選擇服務(wù)。因此在Web服務(wù)安全評估中,考慮用戶對安全屬性的偏好,是Web服務(wù)安全評估的一個重要應(yīng)用方面。
　　 本文基于SOA的Web服務(wù)架構(gòu),擴(kuò)展出了一個新的安全評估模型,并詳細(xì)描述了安全評估模型的構(gòu)成組件和功能,建立了安全評估指標(biāo)系統(tǒng),通過監(jiān)視器組件內(nèi)置的漏

3、洞掃描工具來收集服務(wù)漏洞數(shù)據(jù)以及使用請求處理組件來接受專家反饋、問卷調(diào)查等方式獲取的安全初始數(shù)據(jù),再使用層次分析法和EOWA方法分別獲得不同安全屬性指標(biāo)的權(quán)重,計算得出安全屬性評估值,最后,對Web服務(wù)安全性進(jìn)行評估。對Web服務(wù)安全評估很重要的一個目的就是為用戶的服務(wù)選擇提供參考依據(jù),在獲得單用戶對安全屬性的語言偏好信息后,使用語言模糊標(biāo)度的方法對用戶偏好信息進(jìn)行量化并計算出帶偏好的屬性權(quán)重,對若干功能相似或相同的Web服務(wù)進(jìn)行安全性