首页> 正文

Web服务攻击分析与安全技术研究

2020-12-16阅读(779)

Web服务攻击分析与安全技术研究

论文摘要

Web服务作为SOA的一种实现方式,解决了分布式异构平台的互操作性和服务组件的松耦合性问题。安全是广泛实施Web服务的基础,包括消息完整性和机密性、访问控制、认证授权、审计等方面,本文主要关注消息完整性和服务可用性。在消息完整性方面,本文深入研究了XML签名封包攻击,在不致使签名验证失效的情况下,攻击者可以篡改SOAP消息中XML签名保护的内容,获取对受保护资源的未授权访问。在服务可用性方面,本文深入研究了XDoS(XML DoS)攻击,由于XML处理的复杂性,以及XML签名和加密过程中复杂的密码运算,造成系统大量内存和CPU资源开销。针对各种形式的攻击,本文给出了一些通用保护措施,包括传统Schema验证,Schema强化,针对启用WS-Security的SOAP消息的扩展验证。针对过载签名XDoS攻击,本文提出了可行的检测算法。最后,本文提出了一种基于事件机制的SOAP消息安全系统模型。

论文目录

  • 摘要
  • Abstract
  • 第1章 绪论
  • 1.1 Web 服务安全研究目的和意义
  • 1.2 研究现状和问题
  • 1.3 本文篇章结构
  • 第2章 Web 服务相关技术与标准
  • 2.1 SOAP
  • 2.2 WSDL
  • 2.3 传输级别安全技术SSL
  • 2.3.1 SSL 概述
  • 2.3.2 SSL 协议的缺陷
  • 2.4 消息级别安全技术与规范
  • 2.4.1 XML 签名
  • 2.4.2 XML 加密
  • 2.4.3 WS-Security
  • 2.4.4 WS-SecurityPolicy
  • 2.5 传输级别与消息级别安全技术对比
  • 2.6 相关技术与规范的关系
  • 第3章 XML 签名封包攻击
  • 3.1 XML 签名数据定位方式
  • 3.1.1 XPath
  • 3.1.2 XPointer
  • 3.2 XML 签名封包攻击机理概述
  • 3.3 XML 元素上下文语义及对应签名封包攻击
  • 3.3.1 简单父辈上下文
  • 3.3.2 可选元素上下文
  • 3.3.3 兄弟元素值上下文
  • 3.3.4 兄弟元素顺序上下文
  • 第4章 XDoS 攻击
  • 4.1 XML 解析类XDoS
  • 4.1.1 过度负载
  • 4.1.2 强制解析
  • 4.1.3 外部实体引用
  • 4.2 密码运算类XDoS
  • 4.2.1 密钥链
  • 4.2.2 嵌套加密块
  • 4.2.3 过载签名
  • 第5章 通用防御措施
  • 5.1 Schema 验证
  • 5.2 Schema 强化
  • 5.2.1 无用扩展点
  • 5.2.2 有用扩展点
  • 5.3 扩展验证
  • 5.4 过载签名XDoS 检测算法
  • 5.4.1 算法描述
  • 5.4.2 算法论证
  • 第6章 基于事件机制的SOAP 消息安全系统模型
  • 6.1 基于事件的XML 处理模型
  • 6.1.1 优点
  • 6.1.2 缺点
  • 6.2 基于事件的WS-Security 处理
  • 6.2.1 基于事件的XML 签名和XML 加密处理
  • 6.2.2 基于事件的扩展验证
  • 6.3 系统设计
  • 6.3.1 系统目标
  • 6.3.2 系统架构
  • 6.3.3 部署方式
  • 第7章 总结和展望
  • 7.1 主要工作总结
  • 7.2 展望
  • 参考文献
  • 致谢

    • 相关论文文献

    • [1].物流信息系统的信息安全技术研究及应用分析[J]. 中国物流与采购 2020(02)
    • [2].针对电力通信网的信息安全技术研究[J]. 数字技术与应用 2020(02)
    • [3].5G网络安全技术研究[J]. 网络安全技术与应用 2020(06)
    • [4].虚拟化安全技术研究[J]. 天津科技 2020(08)
    • [5].电子科技企业信息安全技术研究[J]. 电子制作 2017(04)
    • [6].电子科技安全技术研究[J]. 电子世界 2017(06)
    • [7].基于人工智能的网络安全技术研究[J]. 信息与电脑(理论版) 2017(06)
    • [8].云计算的安全技术研究[J]. 技术与市场 2017(06)
    • [9].大数据时代下的医院信息安全技术研究[J]. 科学技术创新 2020(07)
    • [10].新型基础设施建设发展中的内生安全技术研究[J]. 信息通信技术与政策 2020(10)
    • [11].家庭互联网安全技术研究[J]. 信息通信技术 2017(03)
    • [12].5G安全技术研究[J]. 通信技术 2020(08)
    • [13].云计算环境下网络安全技术研究[J]. 数字通信世界 2019(11)
    • [14].计算机云计算数据信息库安全技术研究[J]. 信息与电脑(理论版) 2017(08)
    • [15].石化工艺安全技术研究日趋深入[J]. 中国石化 2010(05)
    • [16].数据化时代的计算机网络安全技术研究[J]. 无线互联科技 2019(21)
    • [17].关于计算机网络安全技术的探讨[J]. 中国新通信 2020(10)
    • [18].基于移动通信技术的信息安全技术研究[J]. 通信电源技术 2020(11)
    • [19].基于逻辑程序的档案信息安全技术研究[J]. 科技与创新 2020(19)
    • [20].软件无线电安全技术研究[J]. 通信技术 2020(09)
    • [21].针对电力通信网的信息安全技术研究[J]. 中国新通信 2020(16)
    • [22].油田井下作业危害与安全技术研究[J]. 石化技术 2017(01)
    • [23].云计算环境下移动互联网安全技术研究[J]. 无线互联科技 2017(06)
    • [24].移动终端中的通信安全技术研究[J]. 建材与装饰 2017(42)
    • [25].期待标准能真正落地——访北京毕塞特安全技术研究所所长陈全[J]. 质量与认证 2020(07)
    • [26].广电网络信息安全技术研究[J]. 网络安全技术与应用 2020(09)
    • [27].信息系统管理与网络安全技术研究[J]. 科技创新与应用 2017(01)
    • [28].居民健康信息大数据在“互联网+”下的安全技术研究[J]. 网络安全技术与应用 2017(08)
    • [29].基于制丝线控制系统的工艺安全技术研究[J]. 设备管理与维修 2017(09)
    • [30].合肥公共安全技术研究院的职责定位和运作策略[J]. 安徽科技 2009(11)

    标签:;  ;  ;  ;  ;  ;  

    Web服务攻击分析与安全技术研究
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5