面向方面的WEB应用安全框架设计技术研究

面向方面的WEB应用安全框架设计技术研究作者：陈谔学位授予单位：浙江大学参考文献(28条)1.BLampsonProtection1974(01)2.DDenningAlatticemodelofsecureinformationflow1976(05)3.DClark.DWilsonAcomparisonofcommercialandmilitarycomputersecuritypolicies19874.MAbadi.MBurrows.BLarmpsonACalculusforAccessControlInDistributedSystems1993(06)5.McLeanJ.SecurityModels查看详情19946.HarrisonHA.WLRuzzo.JDUllmanProtectioninOperationSystems1976(08)7.SandhuRSLattice-BasedAccessContolModels1993(11)8.WBShim.SParkMplementingWebAccesscontrolfortheMultipleWebServersintheSameDomainUsingRBACConcept20019.DFFerraiolo.RSandhu.SGavrilaAProposedStandardforRole-BasedAccessControl200010.DFFerraiolo.RSandhu.SGavrila.D.RichardKuhn;R.ChandramouliProposedNISTStandardforRole-BasedAccessControl2001(03)11.RSandhu.ECoyne.HFeinstein.C.YoumanRole-basedaccesscontrolmodels1996(02)12.JSPark.RSandhu.GAhnRole-BasedAccessControlontheWeb2001(01)13.DWChadwick.AOtenkoRBACPoliciesinXMLforX.509BasedPrivilegeManagement200214.RHousley.WFord.WPolkInternetX.509PublicKeyInfrastructureCertificateandCRLProfile15.SiobhánClarkeElisaBaniassadAspect-OrientedAnalysisandDesign:TheThemeApproachAddisonWesleyProfessional200516.GKiczalesAnOverviewofAspectJ200117.XeroxCorpFrequentlyAskedQuestionsaboutAspectJ18.XeroxCorpTheAspectJProgrammingGuide19.RTAlexander.JMBiemanChallengesofAspect-orientedTechnology20.RamnivasLaddadAspectJinAction2003Manning.Part3:Authenticationandauthorization21.阎宏Java与模式200222.ErichGamma.RichardHelm.RalphJohnson.JohnVlissidesDesignpatterns-elementsofreusableobjectorientedsoftware199523.SecurityinaWebServicesWorld:AProposedArchitectureandRoadmap200224.HoltAdamsBestPracticesforWebservices,Part12:Webservicessecurity,Part2WS-Securityinreal-worldsolutions200425.VirenShah.FrankHillAnAspect-OrientedSecurityFramework200326.PhilipRobinson.MaartenRits.RogerKilian-KehrAnAspectofApplicationSecurityManagement200427.AOPBenchmark28.BDeWin.BVanhaute.BDeDeckerSecurityThroughAspect-OrientedProgramming2001相似文献(10条)1.学位论文程卫芳安全操作系统中的可信授权技术研究和实现2004随着Internet应用的广泛深入，计算机系统的安全问题引起了人们的高度重视。操作系统是连接计算机硬件、上层软件及用户的桥梁，是信息安全的重要基础。虽然安全操作系统的研究与开发已走过了三十多年的历程，取得了大量的关于安全模型、访问控制、身份认证等方面的成果，极大地提高了操作系统的安全保障能力，然而现有的安全技术还存在诸多不足：如不能有效预防互联网最常用的攻击方式—缓冲区溢出攻击；难以有效保护系统，使之免受病毒等恶意代码危害。缓冲区溢出攻击往往利用服务程序或者是suid程序的漏洞，改变程序的服务流程，进而控制系统。本文认为操作系统的用户授权存在缺陷是缓冲区溢出攻击成功的重要原因之一，它使得非法用户可以通过挖掘应用漏洞获取额外权限，因此本文提出了可信授权技术。主流操作系统的认证授权机制在应用层实现，用户只要通过认证后，内核就可以根据用户的uid确定相应的权限。用户权限是静态分配的，只要过了一道入口门槛，就能得到静态分配给用户的所有权限。入口门槛不仅仅是登录服务程序的认证机制，telnet服务、ftp服务等也都是系统的入口门槛，甚至所有对外提供的服务都可能成为入口门槛。因为攻击者可能通过利用服务程序漏洞进入系统。虽然登录服务等服务程序采用了认证机制，但整个认证授权体系是紊乱的：用户通过正常途径可以获得权限；通过认证机制的脆弱性也可以获得相同权限；通过挖掘应用漏洞也能获得相同权限。系统缺乏一致的认证授权体系，以判定用户身份的真实性，并动态决定用户能获得的权限。可信授权目的是解决用户的授权控制，只有真实的授权用户才能获取权限。可信授权的思想是将不同的认证机制对应不同的认证强度，用户通过不同认证机制后赋予不同的认证可信度；认证可信度代表对用户身份的相信程度。系统对用户授权时，要考察他是否具备行使某个权限的认证可信度，只有认证可信度也满足要求时，才会授予该权限。这样就可以防止攻击者攻破基于口令等相对较弱的认证机制获得较高的系统权限；或防止攻击者通过缓冲区溢出攻击等手段，绕过认证机制，获得合法用户的权限。结合基于角色的访问控制模型，本文提出了基于角色和能力的可信授权模型。该模型遵循可信授权思想，能较好地解决用户授权存在的上述缺陷。目前很多操作系统都基于PAM框架实现多种认证机制的灵活应用，但是PAM的应用使得管理员分权不彻底；因为PAM必须赋予某个管理员配置认证机制的权限，这样该管理员就可通过旁路认证机制，以任何身份登录系统，获取该身份的权限。同时，PAM没有区分对待不同强度的认证机制，使得弱的认证机制给系统带来很大危害。因此本文设计和实现了一个基于认证可信度的认证框架；并以此认证框架为基础，将可信授权技术成功地应用在Kylin角色定权的访问控制框架上。同Kylin的其他安全机制结合，使Kylin成为一个可信的操作系统。2.会议论文刘刚基于统一认证、授权平台的应用系统安全解决方案2004本文结合中国铁路应用与网络现状和安全需求,并结合统一认证授权模型,采用数字证书认证方式,通过基于角色和组的授权保证细颗粒度的访问控制.模型采用了集中式的认证、授权以及用户管理.统一认证授权平台的实现过程中与数据复制技术和分级授权技术进行有机结合,使平台具有进行跨域认证授权的效果和海量用户的授权管理能力.本文对安全平台针对不同用户的安全访问框架进行了研究,并提出了相应的解决办法.安全平台的建设极大的推动了铁路信息安全的发展.并填补了国内在大型认证授权平台方面的空白.3.学位论文危国洪认证授权模型的研究、实现及其应用2004该论文对目前具有代表性的认证授权模型进行了对比研究,结合中国铁路应用、网络现状与安全需求,提出了一种新型的单域认证授权模型:统一认证授权模型.模型通过数字证书认证方式,保证了主体的认证强度,通过基于角色和组的授权保证细颗粒度的访问控制.模型采用了集中式的认证、授权以及用户管理.统一认证授权平台是模型的具体实现,平台实现过程中与数据复制技术和分级授权技术有机结合,使平台具有跨域认证授权的效果和海量用户的授权管理能力.该论文对平台不同用户的安全访问框架进行了研究,对平台的用户管理和授权特性进行了研究,对平台的效率优化和可用性进行了研究.最后通过表决系统的设计与实现,对平台的安全功能进行了展示.模型的研究和平台的建设将极大的推动铁路信息安全的发展.并将为其它行业的安全平台建设提供借鉴与参考.4.期刊论文李宇.LiYu多认证域认证与授权技术的发展-图书馆理论与实践2007,(2)认证和授权技术的发展已经进入了联合身份认证的时代.文章介绍了认证与授权技术的概念及其发展,提出在数字图书馆的网络环境下,认证授权比较流行的做法是由资源方创建一个访问控制列表.访问控制的方法包括源IP地址过滤、代理和基于数字凭证的方式.作者较为详细地介绍了单点登陆相关技术系统和跨认证域的单点登陆系统.提出在开放环境下认证和授权的理想方式是通过信任协商机制来完成,并阐述了几种典型的信任协商系统及其实现的要求.5.学位论文章丽玲Java认证和授权服务技术的应用研究2006身份认证和授权服务是网络应用系统的一个重要组成部分，而JAAS（JavaAuthenticationandAuthorizationService）在身份认证和授权服务方面以其拥有的众多优越性，受到了人们的普遍认可，因此展开基于JAAS的应用研究具有十分重要的现实意义。在深入讨论J2EE（Java2EnterpriseEdition）已有安全服务体系的基础上，针对J2EE安全服务存在的不足，强调了引入JAAS技术的必要性和可能性。对JAAS技术的基本内容进行了全面的分析，包括JAAS的基本组成、JAAS认证和授权过程以及JAAS的核心类。在此基础上，结合一个特定的网络应用系统——网上阅卷系统的安全需求以及认证和授权机制，给出了基于JAAS的网上阅卷系统认证和授权机制的实现思想，设计出了网上阅卷系统的认证和授权服务的架构，并完成了认证和授权服务的架构中各组成部分的详细设计，包括会话管理器、身份认证器、访问控制器和安全服务管理控制台等。围绕认证和授权所需要的基本信息，完成了认证和授权服务数据库的设计。最后，依据JAAS在网上阅卷系统中的应用特征，讨论了实现客户端认证、会话管理器、身份认证器、访问控制器和安全管理控制台所用到的具体技术以及在实现中需关注的主要问题。采用JAAS技术实现网上阅卷系统的身份认证和授权机制，较好地解决了对身份认证和访问控制的统一管理问题，降低了后续开发的难度，增强了网上阅卷系统的安全性。6.期刊论文盛静.SHENGJing基于JAAS的认证授权系统的设计与实现-计算机技术与发展2009,19(7)在传统的面向对象程序设计方法中使用JAAS会导致认证和授权代码与业务逻辑的实现代码纠缠在一起,不利于重用和维护.而基于面向方面的软件开发技术--AOP,利用方面封装现有的认证授权逻辑,可以保证业务逻辑和认证授权的有效分离.以现代软件的发展趋势以及传统基于OOP的开发技术为背景研究了JASS认证和授权机制,分析了传统方法的优缺点.利用AOP设计了基于JASS的认证授权系统,并通过原型系统的构造,验证了AOP技术实现认证授权系统的可行性和有效性.7.学位论文王西龙基于GLOBUS的网格认证授权模型研究2006网格计算系统就是将地理分布、系统异