论文部分内容阅读
伴随着Internet技术的飞速发展,基于XML的Web Services技术的应用也变得越来越广泛。在这种情况下出现了许多具有相同或者是相似业务功能的Web服务,但是它们所具有的QOS肯定不会相同,例如每个WEB服务的安全性就有很大差异,有的可能安全程度较高,有的可能风险性较大。在人们对信息安全如此重视的今天,Web服务安全技术方面的研究便显得越来越重要,但目前这个方面的研究还比较薄弱,特别是对Web服务安全的综合评估方面,研究更是少之又少。因此,研究基于用户偏好的Web服务安全综合评估实际上具有很大的理论意义和应用价值。如何从众多的候选Web服务里面找到一个最满足用户安全属性偏好的Web服务,实际上是一个多属性决策的问题。本文在对WEB服务及安全相关技术进行深入了解和学习的基础上,以Web服务安全的综合评估为研究目标,对WEB服务的协议、安全认证、访问控制等方面进行了深入的分析和研究。基于传统的Web Services体系架构,对Web服务体系架构进行了扩展,加入了服务安全评估中心模块。在此基础上,使用协议分析工具CASPER对安全协议的脆弱性进行分析,使用IBM的Rational AppScan漏洞扫描工具对Web服务进行漏洞分析,并结合用户反馈和问卷调查的方式收集相关数据。然后根据收集到的相关数据对候选Web服务进行筛选、过滤,将不同类型的数据进行量化处理,并根据用户的偏好需求计算偏好权重,从而得到对WEB服务安全的综合评估。其中,研究并提出了两种Web服务安全综合评估方法——使用标准值策略结合多属性决策Topsis算法的方法和使用排名机制策略结合多属性决策Topsis算法的方法。最后对评估模型和提出的评估方法进行了相应的实验验证,结果表明,这两种方法都可以比较好的选择出满足用户安全属性需求的Web服务,也说明了这两种综合评估方法的有效性和准确性。