中图分类：TP393.08

学科分类：520.30

成果类别：基础理论

成果水平：未评价

研究起止时间：2009-01～2011-12

评价形式：验收

随着互联网和电子商务和电子政务的快速发展,新技术不断出现。WEB服务技术由于其松散耦合、平台无关、语言无关、设备无关等特性,在企业应用集成和电子商务、电子政务等领域得到广泛应用,对基于WEB的应用程序设计、开发和部署带来了巨大的影响。目前,提供的安全方案是一个复杂的系统,这个方案更加多的考虑几家大公司的已有系统的兼容性,所以无法设计的比较小,很可能会有安全漏洞。另外,媒介行为之类的web服务部分还远没有得到很好的理解,策略发现之类的高级特性一段时期内还不能标准化。 另外,针对新出现的应用技术,会带来更加严重的安全问题,比如Ajax技术对XSS（跨站脚本攻击）的脆弱性。国外许多有名的Web 2.0 网站都不同程度地遭遇了类似的攻击。新的攻击完全可能在未知的范围内危及Web 服务的安全,黑客所想的方法并非我们已经想到的。目前针对具体应用协议的分析,尤其是针对具体协议和Web2.0技术结合后的研究非常缺乏。因此,本课题根据实际情况,提出的对典型应用环境下的安全协议分析和结合具体攻击技术分析的研究具有重要意义。 Web服务信息的安全问题得到广泛的关注,因为这是制约着Web服务技术进一步发展所必需解决的一个关键问题,也是电子商务和电子政务发展的瓶颈所在。 Web服务通讯协议中最常见的是认证协议,本课题组对NSL协议做了安全研究,安全形式化分析表明在一定工作模式下,该协议有安全问题,并对该协议提出改进方案。该成果具有针对性、开创性、前瞻性和可操作性,符合目前Web安全技术的发展趋势,对未来Web安全通讯具有重要的指导意义,可以在各种web应用中推广。 Web安全的通讯底层也是一个值得注意的重要领域。早期的TCP协议中,由于没有建立安全模型和缺乏安全设计分析,存在各种针对协议的攻击。重新设计一个安全地握手协议相对容易,但是要保持和原有协议的兼容性则很困难。本研究提出了一个新的解决方案,较好地解决了这个问题。研究成果可以应用在各种网络设备安全增强中。 按照预期目标,发表了多篇EI检索和全国科技核心期刊论文,完成研究和开发,达到预期目标。由于研究开发缺乏所需的资金,另外软件、硬件条件有限,未能对部分协议分析和安全威胁做进一步扩展分析。未来将增强协议自动分析系统研究。