论文部分内容阅读
随着软件结构复杂性的快速增长,传统的开发模式已经不能满足用户对处理速度以及易用性的要求,在这种情况下,面向服务的架构SOA(service-orientedarchitecture)应运而生。由于具有复用率高、扩展性强,松耦合等特点,SOA已逐渐成为了企业在开发软件时重点考虑的架构。然而,伴随着SOA在开发过程中的应用,其安全性问题却日益凸显,成为了约束SOA发展的一个重要原因。为了解决SOA的安全问题,必须为SOA系统制定合理的安全策略。对系统进行攻击效能评估是一种有效验证SOA系统安全性的方法。通过攻击测试,可以发现SOA系统中存在的薄弱环节,为其安全策略的制订提供指导。然而,当前的攻击效能评估中,存在以下明显问题:攻击测试方法缺乏针对性;评估指标选取多采用通用指标集;多采用主观赋权对评估指标进行权重确定等。为此,进行面向SOA系统的攻击效能评估研究意义重大。研究中,通过对SOA架构及其当前核心实现技术—Web Service进行了分析,立足Web Service攻击方法中具有代表性的拒绝服务攻击方式,引入SOAP泛洪攻击方法和XML嵌套攻击方法进行攻击实现,从而呈现SOA系统受到攻击时的状态与系统变化。在此基础上,通过分析系统受攻击时的性能与功能的改变,建立了具有针对性的效能评估指标集。同时,通过分析与对比主观赋权法、客观赋权法、主客观综合赋权法的特点和局限性,最终确立了基于层次分析法与熵权法相结合的综合赋权方式,实现对选定的评估指标的综合赋权,使赋权过程既能体现决策者的主观意见,又能反映指标数据所包含的客观信息。进一步,依据建立的SOA攻击效能测试系统,进行了相应评估指标的数据及信息采集,利用灰色综合评价法,对两种攻击实施下的面向SOA系统进行了效能评估。