组合Web服务访问控制技术研究综述

访问控制技术是保证Web服务组合增值应用安全性和可靠性的关键技术.主要论述了组合Web服务访问控制技术的研究现状及其问题.首先论述了组合Web服务安全面临的挑战;接着基于层的视角对组合Web服务安全问题进行了分析;然后从组合Web服务访问控制体系构架、原子安全策略的一致性协同和业务流程访问控制3个方面分析了组合Web服务访问控制核心技术研究的进展;最后,结合已有的研究成果,指出了目前研究的不足以及未来的发展趋势.     

组合Web服务访问控制技术研究综述

访问控制技术是保证Web服务组合增值应用安全性和可靠性的关键技术。主要论述了组合Web服务访问控制技术的研究现状及其问题。首先论述了组合Web服务安全面临的挑战;接着基于层的视角对组合Web服务安全问题进行了分析;然后从组合Web服务访问控制体系构架、原子安全策略的一致性协同和业务流程访问控制3个方面分析了组合W cb服务访问控制核心技术研究的进展;最后,结合已有的研究成果,指出了目前研究的不足以及未来的发展趋势。     

Web服务攻击技术研究

Web服务具有平台无关性、动态性、开放性和松散耦合等特征,这给基于异构平台的应用集成带来极大便利,使越来越多的企业使用Web服务。Web服务技术在得到快速发展和应用的同时,它的安全问题越来越重要,成为黑客或者攻击者选择的目标,Web服务提供者对于保证Web服务安全要面临着严峻的考验。文中分析了Web服务攻击技术的特点、原理,讨论了用于攻击基于XML的Web服务的各种技术和目前比较流行的防御措施。进一步讨论了Web服务攻击将来的研究方向以及面临的挑战。     

Web服务核心支撑技术:研究综述

随着电子商务的迅速崛起,基于Web的应用模式迅速发展,Web应用从局部化发展到全球化,从B2C(business-to-customer)发展到B2B(business-to-business),从集中式发展到分布式,Web服务成为电子商务的有效解决方案.Web服务是一个崭新的分布式计算模型,是Web上数据和信息集成的有效机制.Web服务的新型构架,Web服务的高效执行方式,Web服务与其他成熟技术的有机结合以及Web服务的集成是解决现实应用问题的重要技术.从Web服务研究的不同侧面对其进行了综述,阐述了Web服务的基本概念,分析了当前Web服务的主要研究问题及其核心支撑技术,概括了Web服务中的数据集成技术、Web服务的组合、语义Web服务、Web服务发现,Web服务安全,P2P(Peer-to-Peer)新型计算环境下的Web服务解决方案和网格服务等方面的研究内容,并对这些技术进行了总结,结合已有的研究成果,展望了Web服务未来的研究方向及其面临的挑战.     

语义Web服务安全研究

随着语义Web技术的出现和发展，在大规模、开放、异构的分布式环境中实现Web服务的自动发现、选择，组合、调用和监控成为可能。语义Web服务解决了Web服务的语义描述问题，但也面临着与Web服务一样的安全、隐私和信任等问题。本文分析了Web服务当前面临的主要安全威胁及现有业界安全标准存在的局限性，介绍了安全本体概念并给出了一个基于OWL表示的安全本体例子，最后阐述了语义Web服务应用安全框架中安全服务的语义描述问题，对OWL-S服务本体语言进行扩展，以实现语义安全本体和策略注释。     

Web服务攻击技术研究综述*

Web服务在给基于异构平台的应用集成带来极大便利的同时,其自身各核心组件也面临着恶意攻击的威胁。详细分析了针对单个Web服务以及Web服务组合过程的各种常见攻击技术的原理、特点,探讨了相应的检测和防御措施,结合已有研究成果,讨论了Web服务攻击防护将来的研究方向以及面临的挑战。     

基于Java EE应用程序的Web服务安全性分析

随着Web服务技术的不断发展与完善,越来越多的企业开始采用Web服务架构,其安全性问题也显得越发重要。Java EE是Oracle旗下SUN公司开发的Java开发平台,是实现Web服务的主要平台之一。本文首先简要介绍了Java EE的基本概念和一些主要的技术,然后分析了Web服务的安全性问题,重点从设备管理安全、网络设计安全、系统安全、数据安全和网络传输安全5个方面进行了论述。     

地理信息Web服务的研究进展综述

从地理信息Web服务研究的不同侧面对其进行了综述,阐述了Web服务的基本概念及其架构,概括了当前地理信息Web服务的标准规范、平台及应用研究情况,分析了地理信息Web服务组合及服务链的相关技术-工作流技术、地理信息语义技术、Agent技术等,网格技术与地理信息Web服务的结合以及最新提出的主动地理信息Web服务等研究内容,并对这些技术进行了总结,结合已有的成果,指出其存在的问题并展望其未来的研究方向。     

面向方面技术在Web服务安全组合中的应用研究

Web服务作为一种通过网络集成分布式异构应用的技术,它提供了一种松散耦合的软件开发模式,实现了粗粒度的软件重用。随着Web服务技术的深入应用,Web服务组合的概念应运而生,它通过将功能相对单一的多个Web服务按照一定粒度进行组合,可提供更为强大的服务功能。由于来自异构环境的不同Web服务实体间安全需求、安全能力、可信任程度间的差异,使得对Web服务组合安全性的研究成为了关注的重点。简述了Web服务组合的主要实现方式,指出了Web服务组合实现中面临的主要安全问题,重点分析了目前面向方面技术在Web服务安全组合实现中的应用,讨论了其实现上的不足及未来的研究动向。     

Web服务发现技术研究

Web服务近年来一直足学术界和工业界的研究热点,其中如何准确而高效地找到符合用户需求的Web服务,更是制约web服务应用发展的重要的问题.目前,为了提高Web服务发现的质量与效率,有很多新颖且有效方法被提出.文中根据Web服务发现技术的研究现状,主要从系统结构、服务描述、匹配方法方面对当前的Web服务发现技术进行归类和介绍,分析和比较了各种服务发现方法的优势和缺点,据此提出了Web服务发现技术面临的主要问题并指出了今后研究发展方向.     

一种基于云的 Web 应用安全服务

安全云服务的核心思想是借助云计算的高可靠性、弹性扩容、按需定制的特点,将传统硬件网络安全功能虚拟化,以服务的形式对外提供安全防护能力。目前该服务技术和研究处于初期发展阶段,在技术概念、实施架构以及拓展应用方面还没有统一的界定,因此开展安全云服务技术和应用研究具有重要的理论和实践意义。本文以中国科学院信息保障示范工程“Web应用安全云服务平台”为实践背景,首先明确阐述安全云服务的概念、特征、应用领域及国内外发展现状,然后针对Web应用的安全,提出基础架构设计及关键技术,并描述该架构下具体应用的实践效果。     

基于Web服务的扩展SSL协议的研究与应用

Web服务是一个崭新的分布式计算模型,是Web上数据和信息集成的有效机制[3]。随着Web服务应用的普及,安全问题日益突出。针对现有的SSL协议在保障Web服务安全中存在的不足,在该协议的基础上做出了改进,提出了ESSL,使其达到端到端的安全需求,从而能够保障Web服务的端到端的安全。     

基于Web服务的扩展SSL协议的研究与应用

Web服务是一个崭新的分布式计算模型,是Web上数据和信息集成的有效机制。随着web服务应用的普及,安全问题日益突出。针对现有的SSL协议在保障Web服务安全中存在的不足,在该协议的基础上做出了改进,提出了ESSL,使其达到端到端的安全需求．从而能够保障Web服务的端到端的安全。     

Ws-AC: A Fine Grained Access Control System for Web Services

The emerging Web service technology has enabled the development of Internet-based applications that integrate distributed and heterogeneous systems and processes which are owned by different organizations. However, while Web services are rapidly becoming a fundamental paradigm for the development of complex Web applications, several security issues still need to be addressed. Among the various open issues concerning security, an important issue is represented by the development of suitable access control models, able to restrict access to Web services to authorized users. In this paper we present an innovative access control model for Web services. The model is characterized by a number of key features, including identity attributes and service negotiation capabilities. We formally define the protocol for carrying on negotiations, by specifying the types of message to be exchanged and their contents, based on which requestor and provider can reach an agreement about security requirements and services. We also discuss the architecture of the prototype we are currently implementing. As part of the architecture we propose a mechanism for mapping our policies onto the WS-Policy standard which provides a standardized grammar for expressing Web services policies.     

Web Service的安全机制

Web Service采用松散的方式将计算服务整合在一起，在电子商务、企业应用系统集成等分布式计算环境中发挥着重要的作用，随着Web Service应用的普及，安全问题也受到了重视。针对利用SSL和防火墙技术实现Web Service安全的不足，本文从Web Service的体系结构入手，将Web Service的安全分为企业处理层安全、Web Service目录及注册层安全、通信层安全 3个层次，并阐明了Web Service不同层次的安全策略和实现方法。     

一种Web服务通信安全的优化方案

综合应用Web服务安全标准,混合采用目前Web服务中的主要安全技术来优化Web服务架构,可实现Web服务通信安全。优化的服务架构通过设置业务网关实现身份验证和授权功能;通过扩展的SOAP协议实现消息传递的机密性、完整性和不可否认性。与侧重应用服务架构扩展技术和侧重应用协议扩展技术实现Web服务安全的方法进行比较,得出本优化方案加强了通信安全性。结合现有的研究成果,展望了未来Web服务安全的研究方向。     

基于日志挖掘的Web service安全关联规则挖掘算法及应用

针对传统的Web service安全性测试方法存在的低效性和盲目性,提出了一种基于Web service日志挖掘的安全关联规则挖掘算法,并阐述了算法的应用环境。通过该算法挖掘出正常行为的关联规则,采用错误注入的方式对Web service注入预先设计的构造算子,并把执行后的日志与关联规则进行比较,进而发现Web service存在的安全性问题。实验结果表明,该算法较大地提高了日志挖掘的效率及覆盖率,同时应用该算法能较好地检测出Web service的安全性问题,进一步表明提出的算法是可行有效的。