[发明专利]建立基于程序切片的Web服务安全分析模型的方法

说明书

技术领域

本发明涉及软件构建技术、网络安全，特别是基于程序切片的Web服务安全分析模型的 软件架构，建立基于程序切片的Web服务安全分析模型的方法。

背景技术

Web服务(Web Service)是基于可扩展标记语言XML和HTTPS(全称：Hypertext Transfer Protocol over Secure Socket Layer，带安全进程通信机制层的超文本传输协议)的一种服务， 其通信协议主要基于简单对象访问协议SOAP，服务的描述通过web服务描述语言 WSDL，通过统一描述、发现和集成协议UDDI来发现和获得服务的元数据。

Web服务在屏蔽系统的复杂性、异构平台交换信息方面的独特优势，使之得到广泛应用， 同时Web服务中存在的安全漏洞也导致应用现状不能令人满意。Web服务的安全可以从两个 角度考虑：1)独立Web服务中的安全情况；2)Web服务网络中的安全情况。与独立Web 服务安全相关的研究课题主要包括：由标准制定机构及团体共同发布Web服务安全规范，保 证信息在网络传递过程中的安全；引入编程技巧，包括对开发小组的安全课程培训和代码复 查等；提出软件开发过程中，应该遵循的安全模型和过程。

通过实施安全规范和安全技术，对开发安全Web服务有积极的作用，但是各种安全规范 和过程在实施过程中对开发机构的安全预算、开发人员的安全知识都有较高要求，不利于在 所有Web服务开发中广泛实施。更重要的是，对SOAP消息经过加密、签名的措施，尽管可 以有效保护消息传输过程中的机密性和完整性，但是当一个web服务的实现本身已经具有潜 在的缺陷时，该缺陷被攻击者利用造成的信息泄露安全漏洞无法通过单一的外部安全措施进 行缓和。事实上，如果没有一个有效的机制来分析Web服务的实现中的安全缺陷，这种类型 的安全漏洞可能会一直存在，直至被攻击者攻破后给系统造成巨大的损害。从软件本身，研 究Web服务自身安全漏洞的发现和缓和，是提高产品安全性的有力措施。

程序切片是对程序的抽象，通过提取信息流的抽象，将切片理论应用于信息流获取过程。 通过对web服务被访问过程中所传递的信息流进行分析，查看需要保护的关键信息是否在此 信息流中从而泄露给外部用户，发现关键信息泄露的安全漏洞，保证关键信息不被非法访问， 提高对关键信息保护力度，提高单个web服务的安全性。

在Web服务网络中，安全漏洞扩散给系统和用户带来巨大的影响和损失。目前，服务网 络形成原因主要在于SOA(Service-Oriented Architecture，面向服务的架构)的流行。SOA将 业务处理过程建模成工作流，在工作流中通过BPEL(Business Process Execution Language， 业务处理执行语言)来处理多个Web服务交互过程，每一个Web服务完成一个独立的功能， 功能接口被WSDL(Web Service Description Language，web服务描述语言)描述，服务间的 消息传递过程通过SOAP来完成。也就是说，一个工作流中包含若干个Web服务节点，不同 的工作流通过交互而具有联系，使得所有的节点形成一个web服务网络。当其中一个节点(即 Web服务)存在安全漏洞时，该安全漏洞会通过网络中节点间交互被扩散，给系统带来更大 危害性。为了发现服务网络中当前漏洞扩散的情况，以独立web服务中的安全情况作为工作 基础，通过跟踪关键信息或敏感数据在多个Web服务间的传递过程，研究服务网络中的信息 泄露和漏洞扩散，提高网络安全性是急需解决的一个问题。

发明内容

为克服现有技术的不足，本发明的目的在于：提出一种建立基于程序切片的Web服务安 全分析模型的方法，以及如何将本模型的分析结果与在已有的Web服务安全规范和过程中提 出的安全措施相结合，从内部和外部对Web服务中关键信息和普通消息进行保护，提高Web 服务安全性。本发明采用的技术方案是：建立基于程序切片的Web服务安全分析模型的方法， 包括下列步骤：

建立切片器模块，用于：通过指定合理的切片配置属性，计算Java程序的切片，提供功 能接口供本模型中的Web服务分析模块调用，来获取与切片准则相关的程序抽象即程序的信 息流；

建立Web服务分析模块，用于：