一多维度Web 服务安全性评估.docVIP

2013 年摇 第 37 卷摇 摇 摇 摇 摇 摇 中国石油大学学报( 自然科学版) 摇 摇 摇 摇 摇 摇 摇 摇 Vol. 37摇 No. 4 摇 摇 文章编号:1673鄄5005(2013)04鄄0181鄄05摇 摇 摇 doi:10. 3969 / j. issn. 1673鄄5005. 2013. 04. 031 一维度 Web 服务安全性评估 段友祥, 赵德明 ( 中国石油大学计算机与通信工程学院,山东 青岛 266580) 摘要:安全性已经成为 Web 服务质量的重要指标。 通过增加 Web 服务安全评估中心扩展现有基本 Web 服务架构提 出一个新的模型,并基于安全属性 SoS( security of service) 和用户偏好对 Web 服务进行安全性评估。 结果表明,该模 型能根据用户偏好修改安全属性的权重,并在提高服务选择的准确度和可用性方面都有较好的效果。 关键词:Web 服务; 安全属性; 多属性决策理论; 信息熵; 用户偏好 中图分类号:TP 393摇 摇 摇 文献标志码:A Multiple dimension security assessment of Web service DUAN You鄄xiang, ZHAO De鄄ming ( College of Computer and Communication Engineering in China University of Petroleum, Qingdao 266580, China) Abstract: Security of Web service is an important indicator in quality of service. A new model was developed by adding se鄄 curity evaluation center to expand the existing Web service model, and the security of Web services was evaluated based on security attributes and user謖s preferences. The results show that this model can set the security attributes according to user preference weights, and improve the accuracy and availability of service selection. Key words: Web service; security attribution; multiple鄄attribute decision making theory; information entropy; user prefer鄄 ences 摇 摇 随着 Web 服务发展的日新月异,其面临的安全 性威胁日益增大,应用特性造成的未知漏洞也在不 断增多,急需对其安全程度给出一个比较明确的定 义。 Web 服务安全涵盖的内容比较多,主要包括对 用户的认证、授权、事务的审计、服务的可用性、所交 换的消息的保密性和完整性、请求或消息的不可否 认性等方面。 当前国外对 Web 服务安全问题 的 研 究大部分集中在制定 Web 服务安全性规范及对应 规范的实现 [1鄄3] 。 国内对 Web 服务安全性的研究大 部分集中在对各种安全协议的使用、检测程序应用 漏洞 [4] 安全评估 [5鄄6] [7鄄8] 和安全令牌代理的 Web 服务安全模型,给出了一种 量化 SoS ( security of service ) 值 和 安 全 等 级 的 方 法 [8] 集中 在 如 何 制 定 和 实 现 Web 服 务 安 全 协 议、 开 发 Web 服务漏洞扫描工具以及分析和跟踪 Web 服务 安全性规范方面,而对如何客观、科学地评估安全的 研究比较缺乏,对 Web 服务安全性进行测试和评估 是非常重要和必要的。 笔者通过增加 Web 服 务 安 全评估中心扩展现有基本 Web 服务架构提出一个 新的模型,并基于安全属性 SoS 和用户偏好对 Web 服务进行安全性评估。 1摇 Web 服务安全评估总体架构 1郾 1摇 基于基本 Web 服务架构的安全评估模型 Web 服务基本架构中有三个服务角色:服务提 供者、服务客户和服务代理。 首先在合适的平台或 代理( Proxy) 上创建一个 Web 服务应用并生成对应 的 WSDL 文档,服务提供者基于这个平台发布一个 WS( Web Service,