基于漏洞評估的Web服務安全性測評.pdf

1、Web服務(Web Service,WS)技術(shù)是獨立于平臺和編程語言的、具有自包含和松耦合的以互聯(lián)網(wǎng)為基礎(chǔ)的新型的分布式計算模型。由于其自身的開放性,Web服務的安全性問題日益嚴峻,成為制約其廣泛應用的瓶頸。對Web服務安全性的研究更多的是針對特定領(lǐng)域的Web服務來設計相應的安全模型來保證服務的安全性,或者是對安全的協(xié)議、策略的設計和實現(xiàn)進行深入的研究來增強安全性。近年來,對Web服務安全的評估逐漸成為一個研究重點,但在服務安全評估方面

2、,沒有專門的評估標準,大都是基于已有的信息安全的評估標準來研究,實現(xiàn)對Web服務安全進行評估。特別是用戶對服務安全屬性的偏好越來越重視,比如用戶根據(jù)自己對安全屬性的偏好來選擇服務。因此在Web服務安全評估中,考慮用戶對安全屬性的偏好,是Web服務安全評估的一個重要應用方面。
　　 本文基于SOA的Web服務架構(gòu),擴展出了一個新的安全評估模型,并詳細描述了安全評估模型的構(gòu)成組件和功能,建立了安全評估指標系統(tǒng),通過監(jiān)視器組件內(nèi)置的漏

3、洞掃描工具來收集服務漏洞數(shù)據(jù)以及使用請求處理組件來接受專家反饋、問卷調(diào)查等方式獲取的安全初始數(shù)據(jù),再使用層次分析法和EOWA方法分別獲得不同安全屬性指標的權(quán)重,計算得出安全屬性評估值,最后,對Web服務安全性進行評估。對Web服務安全評估很重要的一個目的就是為用戶的服務選擇提供參考依據(jù),在獲得單用戶對安全屬性的語言偏好信息后,使用語言模糊標度的方法對用戶偏好信息進行量化并計算出帶偏好的屬性權(quán)重,對若干功能相似或相同的Web服務進行安全性