基于信息流分析的Web服務(wù)安全機(jī)制研究.pdf

1、近年來，Web服務(wù)技術(shù)飛速發(fā)展并日趨成熟，其應(yīng)用領(lǐng)域的范圍也不斷擴(kuò)大，涉及到的機(jī)密數(shù)據(jù)也日益增多，越來越突出服務(wù)安全的重要性。為了實(shí)現(xiàn) Web服務(wù)的安全性，SSL/TLS協(xié)議被用來提供傳輸層中信息點(diǎn)到點(diǎn)的安全，WS-Security規(guī)范用來提供消息層端到端的安全，通過使用簽名和加密技術(shù)保障信息滿足機(jī)密性和完整性。但是，SSL/TLS協(xié)議中存在很多的安全缺陷，使用WS-Security規(guī)范需要復(fù)雜的配置和繁瑣的管理，系統(tǒng)的性能開銷比較大。

2、并且，當(dāng)Web服務(wù)自身存在潛在的安全隱患時(shí)，例如，服務(wù)發(fā)布前的源程序中對機(jī)密數(shù)據(jù)進(jìn)行非法操作，使用上面的兩個(gè)協(xié)議不能很好地保障服務(wù)的安全。
　　發(fā)布前的Web服務(wù)是普通的源代碼，程序中存在著信息的流動(dòng)，本文的研究對象是Web服務(wù)發(fā)布前的源代碼。首先，給出使用信息流技術(shù)實(shí)現(xiàn)機(jī)密性和完整性安全分析的一般過程，并基于這個(gè)過程對一個(gè)程序?qū)嵗M(jìn)行了詳細(xì)的安全分析。然后，基于這個(gè)程序?qū)嵗姆治鲈O(shè)計(jì)和開發(fā)了一個(gè)安全自動(dòng)發(fā)布的工具。它通過分析Ja