楊宏宇，于巾博，謝麗霞

（中國民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300）

1 引言

XML作為數(shù)據(jù)表示和信息交換的通用標(biāo)準(zhǔn)格式，在Web服務(wù)協(xié)議棧（SOAP、WSDL、UDDI等）及其他通信協(xié)議中廣泛應(yīng)用，這類協(xié)議使用約定結(jié)構(gòu)的XML數(shù)據(jù)文件完成通信雙方的信息交換，具有易擴(kuò)展、跨平臺(tái)、異構(gòu)通信等特性。由于基于XML的通信協(xié)議在網(wǎng)絡(luò)通信中的基礎(chǔ)作用十分突出，一旦協(xié)議中的漏洞被利用，將直接影響Web服務(wù)應(yīng)用的安全性。因此，研究XML通信協(xié)議的安全評(píng)估方法已成為信息安全研究領(lǐng)域的一個(gè)熱點(diǎn)問題。

目前，國內(nèi)外已陸續(xù)開展針對(duì)XML通信協(xié)議的安全性評(píng)估研究。文獻(xiàn)[1]設(shè)計(jì)了一種威脅模型STRIDE（spoofing, tampering, repudiation, information disclosure elevation），從詐騙、篡改、否認(rèn)、信息泄露、拒絕服務(wù)和權(quán)限提升6個(gè)方面獲取Web協(xié)議消息的安全風(fēng)險(xiǎn)值，為查找Web服務(wù)安全漏洞提供了有價(jià)值的參考依據(jù)，但該方法不能評(píng)估由于組件的交互作用而導(dǎo)致的關(guān)聯(lián)性威脅，也缺少對(duì)協(xié)議整體的綜合評(píng)估。文獻(xiàn)[2]提出了一種面向服務(wù)的簡單對(duì)象訪問協(xié)議(SOAP, simple object access procotol)消息交互的安全機(jī)制，從加密、簽名、服務(wù)時(shí)間等角度對(duì)SOAP協(xié)議進(jìn)行安全評(píng)估。該方法可實(shí)現(xiàn)SOAP協(xié)議消息的完整性和機(jī)密性，但該機(jī)制評(píng)估對(duì)象單一，不適用于其他的XML通信協(xié)議。文獻(xiàn)[3]針對(duì) Web服務(wù)協(xié)議消息安全措施選擇問題，從用戶非對(duì)稱密鑰、安全證書、安全令牌等7項(xiàng)技術(shù)進(jìn)行實(shí)驗(yàn)評(píng)估，為Web服務(wù)安全措施的選擇提供依據(jù)。但該方法未建立完整的安全指標(biāo)評(píng)估體系，缺乏對(duì)Web服務(wù)協(xié)議的定性分析。文獻(xiàn)[4]使用SOAP擴(kuò)展對(duì)Web服務(wù)進(jìn)行壓縮和記錄日志，并將XML簽名和加密技術(shù)規(guī)范融入到SOAP協(xié)議中，優(yōu)化了Web服務(wù)的傳輸效率，但研究重點(diǎn)僅從完整性、不可否認(rèn)性和身份驗(yàn)證角度對(duì)SOAP協(xié)議進(jìn)行安全擴(kuò)展。文獻(xiàn)[5]主要針對(duì)XML通信協(xié)議中的UDDI協(xié)議存在的安全問題提供身份認(rèn)證、訪問控制、XML簽名等多項(xiàng)安全保障措施和負(fù)載，該方法僅提高了UDDI注冊(cè)庫及數(shù)據(jù)的訪問和傳輸?shù)陌踩阅埽狈τ行У陌踩u(píng)估，不能對(duì)協(xié)議漏洞引起的威脅進(jìn)行主動(dòng)防御。文獻(xiàn)[6]依據(jù)現(xiàn)有PKI的XML安全技術(shù)和驗(yàn)證機(jī)制，對(duì)SAML協(xié)議的機(jī)密性和完整性進(jìn)行評(píng)估，但評(píng)估的指標(biāo)和性能較低。

從上述研究可以看出，在目前針對(duì)XML通信協(xié)議的安全性研究中，大多局限于協(xié)議某一層面的安全評(píng)估，主要關(guān)注XML通信協(xié)議的安全實(shí)現(xiàn)機(jī)制，并未從綜合評(píng)估角度研究基于XML通信協(xié)議的安全性。本文針對(duì)XML通信協(xié)議的安全性評(píng)估問題，提出了一種基于三維球體模型的安全評(píng)估方法，設(shè)計(jì)了XML通信協(xié)議的安全評(píng)估指標(biāo)三維坐標(biāo)系，采用球體各坐標(biāo)投影面積作為評(píng)估指標(biāo)的權(quán)值和安全分量指標(biāo)取值的度量標(biāo)準(zhǔn)，有效地解決了指標(biāo)重合問題，彌補(bǔ)了國內(nèi)外在XML通信協(xié)議的相關(guān)評(píng)估指標(biāo)體系和評(píng)估方法上的不足。

2 基于三維球體模型的安全評(píng)估指標(biāo)體系

2.1 模型層次結(jié)構(gòu)

前蘇聯(lián)數(shù)學(xué)家馬庫雪維奇把人腦儲(chǔ)存的信息分為核與殼2類，提出信息構(gòu)建的球體模式[7]，本文將該思想引入到協(xié)議安全性評(píng)估的應(yīng)用之中，提出XML通信協(xié)議的三維球體模型。在該球體模型中，根據(jù)協(xié)議評(píng)估價(jià)值和發(fā)展成熟度，可將球體劃分為一定邏輯關(guān)系組成的層次化結(jié)構(gòu)。從內(nèi)向外依次為網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層協(xié)議（如圖1所示）。

圖1 三維球體模型層次結(jié)構(gòu)

2.2 評(píng)估指標(biāo)體系

XML通信協(xié)議隸屬應(yīng)用層，因此本文借助球體模型的外殼層構(gòu)建XML通信協(xié)議的安全評(píng)估指標(biāo)體系。首先，設(shè)計(jì)了針對(duì)XML通信協(xié)議安全性評(píng)估的一、二級(jí)評(píng)估指標(biāo)——三維坐標(biāo)系，設(shè)定一、二級(jí)評(píng)估指標(biāo)的坐落面（如圖 2所示）。該三維坐標(biāo)系由xOy、xOz和yOz 3個(gè)平面劃分為8個(gè)象限，設(shè) XML通信協(xié)議的安全性總目標(biāo)為 A，而后從XML協(xié)議內(nèi)容、通信載荷、安全隱患3個(gè)面確定一級(jí)評(píng)估指標(biāo)Bi、二級(jí)評(píng)估指標(biāo)Cij及其坐落面。

1) XML協(xié)議內(nèi)容的安全性B1。評(píng)估指標(biāo)B1位于第1、2、3、4象限，按XML內(nèi)容要素劃分為機(jī)密性C11、完整性C12、不可否認(rèn)性C13和可用性C14。

2) 通信載荷的安全性B2。評(píng)估指標(biāo)B2位于第1、4、5、8象限，按語義三要素劃分為可用性C21、完備性C22和可控性C23。

3) 安全隱患的安全性B3。評(píng)估指標(biāo)B3位于第6、7象限，按4種基本攻擊類型劃分為截獲C31、篡改C32、偽造C33和中斷C34。

需要說明的是，為加強(qiáng)對(duì)某方面的重點(diǎn)調(diào)查和評(píng)價(jià)，有時(shí)評(píng)估指標(biāo)之間會(huì)出現(xiàn)一定程度的重合[8]。三維球體模型與一般評(píng)估模型的區(qū)別在于解決評(píng)估指標(biāo)的重復(fù)問題，去除冗余值，從而保障了評(píng)估結(jié)果的合理性。

圖2 一、二級(jí)評(píng)估指標(biāo)坐落面設(shè)定

2.3 評(píng)估指標(biāo)權(quán)值的計(jì)算

依據(jù)所構(gòu)建的安全評(píng)估指標(biāo)體系，首先采用層次分析法[9]對(duì)一、二級(jí)評(píng)估指標(biāo)的權(quán)值進(jìn)行計(jì)算，根據(jù)球體模型的特點(diǎn)，以球體xOz坐標(biāo)平面的投影面積分配評(píng)估指標(biāo)的權(quán)值。利用球體半徑以及扇面的開合角度對(duì)一、二級(jí)評(píng)估指標(biāo)權(quán)重進(jìn)行直觀表示，保證了安全評(píng)估的全面性。評(píng)估指標(biāo)的權(quán)值計(jì)算過程設(shè)計(jì)如下。

步驟1 一、二級(jí)評(píng)估指標(biāo)權(quán)值計(jì)算

1) 構(gòu)造一級(jí)評(píng)估指標(biāo)Bi的判斷矩陣P0，以及隸屬于XML內(nèi)容安全性、通信載荷安全性和隱患安全性的二級(jí)評(píng)估指標(biāo) Cij的判斷矩陣，分別記為P1、P2、P3。

2) 采用方根法計(jì)算權(quán)向量，設(shè)一級(jí)評(píng)估指標(biāo)權(quán)向量 W0=(W1,W2,W3)T，二級(jí)評(píng)估指標(biāo)權(quán)向量 W1=(W21,W22,W13,W14)T、W2= (W21,W22,W23)T、W3= (W31,W32,W33,W34)T，計(jì)算公式為

其中，mi為判斷矩陣各行元素乘積的n次方根，經(jīng)一致檢驗(yàn)，各矩陣的相對(duì)一致性指標(biāo)均小于0.10，故判斷結(jié)果合理。

3) 評(píng)估指標(biāo)的權(quán)值分配

采用坐標(biāo)xOz平面上的投影面積作為評(píng)估指標(biāo)的權(quán)值，設(shè)三維球體模型初始半徑r0為1，總面積S0為π。一、二級(jí)評(píng)估指標(biāo)的權(quán)值集合即投影面積集合為

步驟2 重合指標(biāo)的處理

在實(shí)際評(píng)估中，評(píng)估指標(biāo)需要從不同角度相互彌補(bǔ)和驗(yàn)證，因此不可避免地會(huì)發(fā)生重合。為保障評(píng)估的合理性，依據(jù)基本不等式原理，以縮減的方式去除重合指標(biāo)C14和C21的冗余值。

步驟3 計(jì)算半徑數(shù)據(jù)

重合指標(biāo)處理前，球體半徑ri可通過下式計(jì)算。

重合指標(biāo)處理后，對(duì)指標(biāo)坐落區(qū)域進(jìn)行重新劃分。其中，B1的非重合指標(biāo)C11、C12、C13置于第2、3象限， B1與B2的重合指標(biāo)C14、C21置于第1、4象限， B2的非重合指標(biāo)C22、C23置于第5、8象限，潛在隱患安全性B3仍位于第6、7象限，重新計(jì)算半徑數(shù)據(jù)R’，公式如下。

半徑數(shù)據(jù)直觀地反映了一級(jí)評(píng)估指標(biāo)權(quán)重，從所繪制的XML協(xié)議的三維球體模型Y軸正方向視圖及更新視圖（如圖3所示）可以看出，球體評(píng)估模型所帶來的優(yōu)勢(shì)之一就是能有效地解決評(píng)估指標(biāo)重復(fù)的問題。

圖3 y軸正方向半徑數(shù)據(jù)示意

步驟4 計(jì)算上下開合角度

開合角度是指在三維坐標(biāo)系中以球心為原點(diǎn)發(fā)出的射線沿 xOz平面的上下開合角，根據(jù)α= S扇S圓× 3 60°，可求得各二級(jí)評(píng)估指標(biāo)開合角度，并據(jù)此繪制球體模型y軸正方向上下開合角度示意（如圖 4所示）?？梢钥闯?，開合角度能夠直觀地反映二級(jí)評(píng)估指標(biāo)的權(quán)重。

圖4 y軸正方向上下開合角示意

3 安全評(píng)估

在XML協(xié)議的三維球體模型中，基于xOz坐標(biāo)平面的投影用于評(píng)估指標(biāo)的權(quán)值度量，其他各坐標(biāo)平面中的投影用于評(píng)估指標(biāo)取值度量。在此基礎(chǔ)上，本文提出了一種XML通信協(xié)議的安全性分量評(píng)估方法，通過對(duì)第二、三級(jí)評(píng)估指標(biāo)的定量計(jì)算和分析獲得安全評(píng)估量化值。

3.1 基于xOy坐標(biāo)的XML協(xié)議內(nèi)容安全分量評(píng)估

首先，建立安全評(píng)估指標(biāo)集B1(C11,C12,C13,C14)的XML內(nèi)容三級(jí)安全分量評(píng)估指標(biāo)，如表1所示。

表1 面向XML協(xié)議內(nèi)容的安全分量評(píng)估指標(biāo)

根據(jù)三級(jí)評(píng)估指標(biāo)各自的特點(diǎn)，自底向上設(shè)計(jì)二級(jí)評(píng)估指標(biāo)評(píng)估函數(shù)。4個(gè)內(nèi)容安全分量的二級(jí)評(píng)估指標(biāo)計(jì)算式為

在式（5）中，機(jī)密性 V11反映加密強(qiáng)度 D111與信息重要度D112的博弈度量，其中，

通過密鑰位數(shù) key_bits、密鑰重復(fù)利用次數(shù)key_times以及密鑰保密性tsafe3方面數(shù)據(jù)獲取；V112按信息泄露的危害程度劃分為一般(0～0.3)、嚴(yán)重（0.3～0.8）和特別嚴(yán)重（0.8～1）。

在式（5）中，完整性V12采用以公鑰算法為基礎(chǔ)的數(shù)字簽名技術(shù)，其中，P12P21表示完整性發(fā)生時(shí)通信鏈路轉(zhuǎn)換的概率；取值V121按設(shè)施保護(hù)等級(jí)劃分為一級(jí)(0～0.2)、二級(jí)(0.2～0.4)、三級(jí)(0.4～0.6)、四級(jí)(0.6～0.8)和五級(jí)(0.8～1)；V122依據(jù)實(shí)際防護(hù)手段劃分為強(qiáng)(0.8～1)，中(0.4～0.8)和弱(0～0.4)。

在式(5)中，不可否認(rèn)性V13以是否使用某項(xiàng)技術(shù)Tech作為V131、V132的取值依據(jù)，其中，

在式(5)中，可用性評(píng)估V14以XML部分抵御拒絕服務(wù)攻擊作為主要考量因素。根據(jù)文獻(xiàn)[10]對(duì)XML拒絕服務(wù)攻擊的描述，將XML攻擊類型劃分為直接XML解析器攻擊、XML驗(yàn)證攻擊和XML文件引用攻擊，由此可設(shè)計(jì)評(píng)估指標(biāo) D141、D142的評(píng)分表，分別按 XML部分抵御拒絕服務(wù)攻擊能力和災(zāi)難恢復(fù)能力劃分為強(qiáng)(0.8～1)、較強(qiáng)(0.6～0.8)、中等(0.4～0.6)、較弱(0.2～0.4)和弱(0～0.2) 5類評(píng)估值。

3.2 基于yOz坐標(biāo)投影的通信載荷安全分量評(píng)估

首先，在安全評(píng)估指標(biāo)集 B2(C21,C22,C23)的基礎(chǔ)上建立通信載荷安全三級(jí)安全評(píng)估指標(biāo)，如表2所示。

根據(jù)協(xié)議三要素語義、語法和時(shí)序的特點(diǎn)，建立通信載荷安全分量的二級(jí)評(píng)估指標(biāo)函數(shù)。3個(gè)通信載荷的安全分量評(píng)估指標(biāo)公式為

在式(9)中，可用性V21函數(shù)以通信載荷部分的抵御拒絕服務(wù)攻擊能力為主要考量因素，其中，

其中，x表示關(guān)聯(lián)度值，field_num為協(xié)議首部字段的個(gè)數(shù)，vul_numi為協(xié)議首部第i字段已發(fā)現(xiàn)相關(guān)漏洞的個(gè)數(shù)；取值V212復(fù)用D142設(shè)定的評(píng)分規(guī)則。

在式(9)中，完備性V22面臨的安全威脅主要是對(duì)定界字符的惡意利用，其中，

式(11)和式(12)中，參數(shù) 2代表均分操作，deletion_num為去除相應(yīng)定界字符后對(duì)通信造成危害性影響的首部字段數(shù)目，injection_num為注入相應(yīng)定界字符后對(duì)通信造成危害性影響的首部字段數(shù)目。

在式(9)中，可控性V23評(píng)估以數(shù)據(jù)庫事務(wù)的弱化屬性集為參照，其中，

式(13)中的 sequece_num為完成交互事件所需交互次數(shù)，并且

其中，coefficient代表標(biāo)識(shí)生成的隨機(jī)度，具體取值為優(yōu)(0.8～1)、良(0.5～0.8)或一般(0～0.5)?？芍?，V232由協(xié)議數(shù)據(jù)標(biāo)識(shí)字段的位數(shù)identifier_bits決定。

3.3 基于yOz坐標(biāo)負(fù)投影的安全隱患分量評(píng)估

首先，建立安全評(píng)估指標(biāo)集B3(C31,C32,C33,C34)的安全隱患三級(jí)安全評(píng)估指標(biāo)（如表3所示）。

表 3中的二級(jí)指標(biāo)截獲 C31、篡改 C32、偽造C33和中斷C34具有相同的三級(jí)評(píng)估指標(biāo)集。

表3 面向安全隱患的安全分量評(píng)估指標(biāo)

本文采用模糊論評(píng)估方法[11]，對(duì)XML通信協(xié)議的各安全分量進(jìn)行評(píng)估，所設(shè)計(jì)的評(píng)估過程如下。

1) 設(shè)定評(píng)估指標(biāo)因素集 U=[u1,u2,u3]=[可發(fā)現(xiàn)性，可重現(xiàn)性，可利用性]；

2) 設(shè)定評(píng)語集 L=[l1,l2,l3,l4,l5] =[低，較低，一般，較高，高]；

3) 確定評(píng)估指標(biāo)權(quán)重，構(gòu)造三級(jí)評(píng)估指標(biāo)判斷矩陣為

由此計(jì)算權(quán)重向量A=[a1,a2, a3]。

4) 根據(jù)各個(gè)元素在評(píng)語集中的隸屬關(guān)系，建立隸屬函數(shù)，確定模糊評(píng)價(jià)向量R及模糊綜合評(píng)估向量B。

5) 根據(jù)加權(quán)平均法，計(jì)算得出最終的安全分量綜合評(píng)價(jià)結(jié)果。

3.4 綜合評(píng)估

基于以上內(nèi)容，結(jié)合三維球體模型在xOz平面上的投影面積（作為評(píng)估指標(biāo)的權(quán)值）和以三級(jí)評(píng)估指標(biāo)為基礎(chǔ)計(jì)算得到的分量評(píng)估值（作為評(píng)估指標(biāo)的取值）計(jì)算安全性綜合評(píng)估結(jié)果。一、二級(jí)安全評(píng)估指標(biāo)的安全分量評(píng)估結(jié)果如表4所示。

表4 綜合評(píng)估結(jié)果計(jì)算

其中，一級(jí)評(píng)估指標(biāo) Ci的取值用 Vi表示，二級(jí)評(píng)估指標(biāo)Cij取值用Vij表示，且Vij由所屬評(píng)估函數(shù)計(jì)算所得，并且規(guī)定Vij∈[0,1]，可知評(píng)估結(jié)果Q的取值區(qū)間為 Q∈[0, π]。

最后，將最終評(píng)估結(jié)果Q的取值范圍劃分為7個(gè)區(qū)間，定義各區(qū)間的安全性評(píng)價(jià)，如表5所示。

表5 綜合評(píng)估結(jié)果評(píng)價(jià)

4 實(shí)驗(yàn)與分析

為了對(duì)基于三維球體模型評(píng)估方法的適用性和有效性進(jìn)行驗(yàn)證和比較，本文設(shè)計(jì)了2組實(shí)驗(yàn)，采用基于三維球體模型的評(píng)估方法分別對(duì)SOAP協(xié)議和SAML協(xié)議進(jìn)行安全性評(píng)估。

4.1 典型協(xié)議的安全性評(píng)估實(shí)驗(yàn)

4.1.1 基于XML的SOAP協(xié)議安全性評(píng)估

本實(shí)驗(yàn)的評(píng)估對(duì)象為安全電子銀行仿真系統(tǒng)[12]。該系統(tǒng)由 apache jakarta tomcat、apache axis、apache XML security等組件構(gòu)成并部署在真實(shí)網(wǎng)絡(luò)環(huán)境中，能完成電子銀行的余額查詢、資金轉(zhuǎn)賬等主要功能。系統(tǒng)Web架構(gòu)如圖5所示。

圖5 安全電子銀行仿真系統(tǒng)Web服務(wù)架構(gòu)

首先，利用 Soap Monitor分組抓捕工具截取SOAP協(xié)議數(shù)據(jù)分組[13,14]，然后參照協(xié)議數(shù)據(jù)、設(shè)計(jì)文檔，采用第3節(jié)所描述的量化算法計(jì)算SOAP協(xié)議的安全性指標(biāo)。仿真實(shí)驗(yàn)數(shù)據(jù)及計(jì)算結(jié)果如表6所示。

根據(jù)安全評(píng)估指標(biāo)和一、二級(jí)安全評(píng)估指標(biāo)的安全分量評(píng)估結(jié)果（如表 4所示），可得到該電子銀行系統(tǒng)的綜合評(píng)估結(jié)果為Q=V·S'T= 0.712 1π，根據(jù)綜合評(píng)估結(jié)果的評(píng)價(jià)分區(qū)，如表 5所示，可得SOAP協(xié)議的安全性為“中上”。

從表6可知，在該仿真系統(tǒng)協(xié)議評(píng)估中，XML部分的不可否認(rèn)性指標(biāo)值點(diǎn)最低，可通過加入數(shù)字時(shí)間戳技術(shù)增強(qiáng)不可否認(rèn)性指標(biāo)的安全性。類似地，對(duì)于其他較低的安全指標(biāo)點(diǎn)，可通過相關(guān)安全技術(shù)提高其安全性。

表6 評(píng)估指標(biāo)取值結(jié)果匯總

4.1.2 基于XML的SAML協(xié)議安全性評(píng)估

由于SAML只提出了一個(gè)標(biāo)準(zhǔn)的、用于交換認(rèn)證和授權(quán)信息的、基于XML的架構(gòu)，并沒有提出如何確保這些信息安全的機(jī)制，所以SAML協(xié)議也面臨安全問題。

該實(shí)驗(yàn)以一個(gè)經(jīng)典的基于 SAML的單點(diǎn)登錄系統(tǒng)（SSSO, SAML-based single sign on）為評(píng)估對(duì)象。在該系統(tǒng)中，服務(wù)請(qǐng)求方（SP, service provider）通過向身份認(rèn)證服務(wù)器（IDP, identity provider）發(fā)送SAML請(qǐng)求，由IDP返回SAML響應(yīng)來獲得認(rèn)證信息。其SAML協(xié)議斷言獲取流程如圖6所示。

圖6 SAML協(xié)議斷言獲取流程

首先，使用 apache group發(fā)布的小程序 TCP tunnel/ monitor截獲該系統(tǒng)運(yùn)行過程中站點(diǎn)之間傳輸?shù)腟OAP消息，提取SAML請(qǐng)求數(shù)據(jù)后對(duì)其進(jìn)行安全評(píng)估，仿真實(shí)驗(yàn)數(shù)據(jù)及計(jì)算結(jié)果如表7所示。

表7 SAML評(píng)估指標(biāo)取值結(jié)果匯總

通過式（16）計(jì)算，可得該單點(diǎn)登錄系統(tǒng)的評(píng)估結(jié)果為 Q=V·S'T= 0.604 6π，該系統(tǒng)所使用的SAML協(xié)議的安全性為“中下”。

從表7可知，在SSSO系統(tǒng)中，SAML協(xié)議的機(jī)密性和安全漏洞分量指標(biāo)值較低，易被攻擊者截獲和篡改?？梢酝ㄟ^采用符合WS-Security規(guī)范的XML數(shù)字簽名和XML加密技術(shù)來滿足數(shù)據(jù)機(jī)密性和對(duì)消息發(fā)送方驗(yàn)證的需求，通過添加自定義的標(biāo)識(shí)元素（時(shí)間戳、隨機(jī)數(shù)等）防止惡意用戶截獲等方法提高SAML協(xié)議的安全性。

由于在XML通信協(xié)議的安全性問題的研究中尚無統(tǒng)一的安全評(píng)估標(biāo)準(zhǔn)，因此邀請(qǐng)了十位業(yè)內(nèi)專家依據(jù)經(jīng)驗(yàn)對(duì)SOAP協(xié)議、SAML協(xié)議進(jìn)行綜合評(píng)判。評(píng)判結(jié)果如表8所示，通過比較可知，基于三維球體模型的安全性綜合評(píng)估方法所得出的評(píng)價(jià)結(jié)果與多數(shù)專家的評(píng)判結(jié)果是一致的。

表8 專家經(jīng)驗(yàn)評(píng)判結(jié)果

4.2 對(duì)比評(píng)估實(shí)驗(yàn)

為了進(jìn)一步驗(yàn)證基于三維球體模型的評(píng)估方法的有效性，采用可靠性模型評(píng)估方法[15]、STRIDE模型評(píng)估方法[1]、信息熵評(píng)估方法[16]對(duì)SOAP協(xié)議和SAML協(xié)議進(jìn)行安全性評(píng)估的對(duì)比實(shí)驗(yàn)。

采用文獻(xiàn)[15]的可靠性模型評(píng)估，對(duì)4.1節(jié)的2個(gè)仿真系統(tǒng)的XML通信協(xié)議進(jìn)行攻擊測(cè)試，通過計(jì)算每個(gè)攻擊的可能性權(quán)值、后果權(quán)值、抵御難度權(quán)值獲取各攻擊的危險(xiǎn)度量，通過綜合計(jì)算得到協(xié)議內(nèi)容層面的安全度量值，評(píng)估結(jié)果如表9所示。

表9 可靠性模型評(píng)估指標(biāo)值

采用文獻(xiàn)[1]的STRIDE威脅模型，獲取4.1節(jié)2個(gè)仿真系統(tǒng)的 XML通信協(xié)議的抗假冒能力、抗篡改能力、抗否認(rèn)能力、抗信息泄露能力、抗拒絕服務(wù)能力、抗提升特權(quán)能力6個(gè)屬性的風(fēng)險(xiǎn)值及協(xié)議漏洞層面的安全度，評(píng)估結(jié)果如表10所示。

表10 STRIDE模型評(píng)估指標(biāo)值

采用文獻(xiàn)[16]的多屬性決策理論，將 4.1節(jié) 2個(gè)仿真系統(tǒng)的XML通信協(xié)議的安全屬性值組成決策矩陣，利用信息熵的方法計(jì)算各屬性的客觀權(quán)重，最后以風(fēng)險(xiǎn)值的形式給出其安全程度，評(píng)估結(jié)果如表11所示。

表11 信息熵評(píng)估指標(biāo)值

通過評(píng)估對(duì)比實(shí)驗(yàn)可以得出以下結(jié)論。

1) 基于三維球體模型的評(píng)估方法與 STRIDE威脅模型得到的評(píng)估結(jié)果一致，均符合多數(shù)專家的評(píng)判，因此，可以有效地評(píng)估XML通信協(xié)議。

2) 可靠性模型評(píng)估、STRIDE威脅模型雖然都能對(duì)協(xié)議的安全性進(jìn)行建模與分析，但都局限于某個(gè)維度，而基于三維球體模型的評(píng)估方法的評(píng)估角度相對(duì)全面，并在分量評(píng)估的基礎(chǔ)上能進(jìn)行安全性的綜合評(píng)判。

3) 信息熵評(píng)估方法中的各安全屬性都是簡單模糊化值，并沒用對(duì)安全屬性進(jìn)行量化，而本文的綜合評(píng)估方法量化到三級(jí)指標(biāo)，為XML通信協(xié)議評(píng)估提供了更準(zhǔn)確的數(shù)據(jù)。

4) 基于三維球體模型的評(píng)估方法在指標(biāo)體系建立、重合指標(biāo)處理及評(píng)估結(jié)果的直觀反映等具有更大的優(yōu)勢(shì)，使得其對(duì)XML通信協(xié)議的安全評(píng)估更具客觀性。

5 結(jié)束語

本文結(jié)合XML通信協(xié)議特點(diǎn)，提出了一種面向XML通信協(xié)議的三維球體模型，提出基于三維球體模型的協(xié)議安全性綜合評(píng)估方法。通過對(duì)SOAP協(xié)議、SAML協(xié)議的安全評(píng)估實(shí)驗(yàn)和3種評(píng)估方法的評(píng)估對(duì)比實(shí)驗(yàn)，驗(yàn)證了本文提出的安全評(píng)估方法對(duì)XML通信協(xié)議的適用性和有效性。

未來研究工作的重點(diǎn)是進(jìn)一步實(shí)現(xiàn)XML通信協(xié)議評(píng)估的自動(dòng)化，包括協(xié)議數(shù)據(jù)的自動(dòng)采集、評(píng)估指標(biāo)數(shù)據(jù)的自動(dòng)識(shí)別等內(nèi)容。

[1] LI J, CHEN H, DENG F, et al. A security evaluation method based on threat classification for Web service[J]. Journal of Software, 2011, 6(4)：595-603.

[2] 程睿. 基于SOA的SOAP消息交互安全機(jī)制的研究與實(shí)現(xiàn)[D]. 西安： 西安電子科技大學(xué), 2008.CHENG R. Research and Implementation on Security Mechanism of SOAP Message Exchange Based on SOA[D]. Xian： Xidian University,2008.

[3] ALROUH B, GHINEA G. A performance evaluation of security mechanisms for Web services[A]. Proc of the 2009 Fifth International Conference on Information Assurance and Security[C]. Piscataway,USA, 2009. 715-718.

[4] 孫丁丁. 通過SOAP擴(kuò)展優(yōu)化Web服務(wù)性能的研究[D]. 烏魯木齊：新疆大學(xué), 2007.SUN D D. Research on Optimizing Web Service via SOAP Extension[D]. Urumqi：Xinjiang University, 2007.

[5] 陳曉蘇, 周晴, 肖道舉. Web服務(wù)中UDDI安全機(jī)制研究[J].華中科技大學(xué)學(xué)報(bào),2005,30(8)：58-60.CHEN X S, ZHOU Q, XIAO D J. Study of security mechanisms of UDDI in Web service[J]. Journal of Huazhong University of Science and Technology(Nature Science),2005,30(8)：58-60.

[6] 尹星. 基于 SAML的單點(diǎn)登錄模型及其安全的研究與實(shí)現(xiàn)[D]. 鎮(zhèn)江： 江蘇大學(xué),2005.YIN X. Research and Implementation of SAML-Based SSO Model and it's Security [D]. Zhenjiang： Jiangsu University, 2005.

[7] 宓洽群.大學(xué)教學(xué)原理[M]. 上海： 上海交通大學(xué)出版社, 1989.97-100.MI Q Q. University Teaching Principles[M]. Shanghai： Shanghai Jiaotong University Press, 1989. 97-100.

[8] 徐耀玲, 唐五湘, 吳秉堅(jiān). 科技評(píng)估指標(biāo)體系設(shè)計(jì)的原則及其應(yīng)用研究[J]. 中國軟科學(xué), 2010, 30(2)：48-51.XU Y L, TANG W X, WU B J. Design principle and application of S&T evaluation index system[J]. China Soft Science, 2010, 30(2)：48-51.

[9] 楊宏宇, 謝麗霞, 朱丹. 漏洞嚴(yán)重性的灰色層次分析評(píng)估模型[J].電子科技大學(xué)學(xué)報(bào), 2010, 39(5)：778-782.YANG H Y, XIE L X, ZHU D. A vulnerability severity grey hierarchy analytic evaluation model[J]. Journal of University of Electronic Science and Technology of China, 2010, 39(5)：778-782.

[10] PANG J, PENG X. Trustworthy Web service security risk assessment research[A]. Proc of the 2009 International Forum on Information Technology and Applications[C]. Piscataway, USA, 2009. 417-420.

[11] 周曉潔.基于模糊綜合評(píng)價(jià)法的船舶熱源系統(tǒng)優(yōu)選研究[D]. 上海：上海交通大學(xué), 2010.ZHOU X J. Study on The Selection of Marine Heat Source System Based on Fuzzy Comprehensive Evaluation Method[D]. Shanghai：Shanghai Jiaotong University, 2010.

[12] 加爾布雷斯. Web服務(wù)安全性高級(jí)編程[M]. 北京： 清華大學(xué)出版社, 2003. 400-444.GALBRAITH B. Professional Web Services Security[M]. Beijing：Tsinghua University Press, 2003.400-444.

[13] FLY R. Detecting fraud on websites[J]. IEEE Security & Privacy, 2011,9(6)：80-85.

[14] ANTUNES N, VIEIRA M. Defending against Web application vulnerabilities[J]. IEEE Computer, 2012, 45(2)：66-72.

[15] 陳偉琳. 協(xié)議安全測(cè)試?yán)韨惡头椒ǖ难芯縖D]. 北京： 中國科學(xué)技術(shù)大學(xué), 2008.CHEN W L. Research on Testing Theory and Methods of Protocol Security[D]. Beijing： University of Science and Technology of China,2008.

[16] 趙德明. 多維度 Web服務(wù)安全性評(píng)估[D]. 北京： 中國石油大學(xué),2011.ZHAO D M. Multiple Dimension Security Assessment of Web Service[D]. Beijing： China University of Petroleum, 2011.