基于策略断言的SOAP消息签名包装攻击检测

SOAP Messages Based on Policy Assertions Signature Wrapping Attacks Detection

下载PDF

导出

摘要不合理的使用XML签名会使经过签名的SOAP消息文档的安全性下降,容易受到恶意者的攻击。人们通常使用XML签名来保护SOAP消息,然而恶意者有能力通过改变有效的SOAP消息,以到达其在未获得合法授权的条件下访问被保护的消息的目的。文章首先介绍签名包装攻击的含义,然后模拟出签名包装攻击场景,最后提出一个合理的自定义检测策略断言。实验证明基于可选元素的签名包装攻击的自定义检测策略断言是可行的。 Naive use of XML Signature may result in signed documents remaining vulnerable to undetected modification by an adversary.In the typical usage of XML Signature to protect SOAP messages,an adversary may be capable of modifying valid messages in order to gain unauthorized access to protected resources.In this paper,we first introduce the definition of signature wrapping attacks,then provide a possible scenario that enable these signature wrapping attacks,and last propose appropriate customized policy assertions.Our experiments show that the signature wrapping attacks detection based on customized policy assertions work very well.

作者李根来赵逢禹

机构地区上海理工大学光电信息与计算机工程学院

出处《微计算机信息》 2011年第10期129-131,共3页 Control & Automation

关键词 SOAP消息 XML签名包装攻击安全策略断言 SOAP Message XML Signature Wrapping Attacks Security Policy Assertion

分类号 TP311.133.1 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献11

1金键,张鸿,梁嘉华,钱华林.Web服务安全性分析[J].微电子学与计算机,2004,21(3):19-24. 被引量：13
2Nadalin, A., Kaler, C., Hallam-Baker, P., Monzillo, R. (editors) Web Services Security: SOAP Message Security1.0 (WS-Security 2004): OASIS Standard 200401, March2004.
3杨鲲鹏,李海峰.SOAP消息安全性分析及其加密、签名的实现[J].计算机与现代化,2005(6):123-126. 被引量：6
4Eastlake, D., Reagle, J., Solo, D. (editors): XML-Signature Syntax and Processing: W3C Recommendation: 12 February 2002.
5李兴国,娄小广,顾东晓.基于SOAP消息的Web服务安全模型研究[J].微计算机信息,2010,26(30):83-85. 被引量：5
6Nadalin, A., Kaler, C., Hallam-Baker, P., Monzillo, R. (editors) Web Services Security: SOAP Message Security1.0 (WS-Security 2004): OASIS Standard 200401,March2004.
7M. McIntosh and P. Austel. XML signature element wrapping attacks and countermeasures. In Workshop on Secure Web Services, 2005.
8Meika Jensen, Nils Grusehka and Ralph Herkenhoner. A Survey of Attacks on Web Services Classification and Countermeasures. Computer Science - Research and Development, 2009, Volume 24, Number 4, Pages 185-197.
9keytool-密钥和证书管理工具1.2008-06.http://blog.sina.com.cn/s/blog_55dd3fb3010080k4.html.
10Karthikeyan Bhargavan, Cedric Fournet, Andrew D. Gordon, and Greg O'Shea. An advisor for Web Services security policies. In SWS '05: Proceedings of the 2005 workshop on Secure web services, pages 1 - 9, New York, NY, USA, 2005. ACM Press.

二级参考文献12

1Sarah Evans, Olwyn Dowling. Is SSL enough security for first-generation Web services? At http://www.webservices.org.
2IBM, Microsoft. Specification: Web Services Security (WS-Security), Version 1.005 April, 2002. http://www-106.ibm.com/developerworks/library/ws-secure/#majorhead7.
3IBM Corporation and Microsoft Corporation. Security in a Web Services World: A Proposed Architecture and Roadmap--A joint security whitepaper from IBM Corporation and Microsoft Corporation. April, 7, 2002,Version 1.0. htt p://www - 106.ibm.com/developerworks/library/ws-secmap/.
4IBM Corporation and Microsoft Corporation. Web Services Security: Moving up the stack--New specifications improve the WS-Security model, http://www-106.ibm.com/developerworksflibrary/ws-secroad/#3.
5James Snell. 保护 Web服务器. IBM Internet Emerging Technologies, 2002 ,11. http://www-900.ibm.com/developerWorks/cnfwebservices/ws-securews/index.shtml.
6柴晓路.SOAP应用模式:基础与安全[EB/OL].http://www-900.ibm.com/developerWorks/cn/xml/x -SOAPapp/partl/index.shtml.,.
7ElliotteRustyHaroldWScottMeans著孙小玲商艳莉译.XML技术手册[M].中国电力出版社,..
8龚俭.计算机网络安全导论[M].南京:东南大学出版社,2002..
9Bob Atkinson,Giovanni Della-Libera,Satoshi Hada,et al. Web-Security[DB/OL]. http://www.ibm.com/developerworks/library/ws-secure/,2002-04-05.
10Donald Eastlake, Joseph Reagle. XML 加密[EB/OL].http://www.w3.org/TR/2002/REC-xmlenc-core-20021210,2002-12-10.

共引文献22

1王舜燕,甘罗,孙雄英.基于Web的信息安全服务解决方案探析[J].武汉理工大学学报,2005,27(2):72-75. 被引量：3
2张鸿.下一代网络智能认证、授权和计费问题研究[J].通信学报,2006,27(2):95-99. 被引量：1
3李帆,叶燕.基于.NET的Web服务应用层加密的分析和实现[J].湖北民族学院学报（自然科学版）,2006,24(1):58-61.
4崔建明,范黎林,王晓东.基于分布式系统的Web Services的数据安全性[J].河南科技大学学报（自然科学版）,2006,27(3):41-43. 被引量：5
5蒙应杰,张海波,杨西宁,庞博.基于角色授权的Web service访问控制模型[J].兰州大学学报（自然科学版）,2007,43(2):84-88. 被引量：1
6何山.WSE加密在Web服务中的应用[J].中国科技信息,2007(11):134-134.
7崔建明,王英.基于ASP的Web Services的数据安全性研究[J].河南理工大学学报（自然科学版）,2007,26(2):207-211. 被引量：1
8李双江,郝克刚,葛玮.一种基于Axis2的SOAP安全传输模型的研究[J].计算机技术与发展,2008,18(11):142-145. 被引量：3
9张横云,何海涛.SOA体系的安全研究与设计[J].四川理工学院学报（自然科学版）,2009,22(1):44-47. 被引量：10
10冯超,李梁.基于SOA的Web Services安全技术研究[J].计算机与数字工程,2009,37(5):112-114. 被引量：7

1郭怡,刘宝龙,陈桦.上下文关联敏感的XML数字签名实现[J].西安工业大学学报,2014,34(7):548-554.
2郭怡,刘宝龙,陈桦.上下文关联敏感的XML数字签名方案研究[J].西安工业大学学报,2014,34(3):199-204. 被引量：1
3黄一平,农丽萍,苏检德,罗晓曙.ARM微控制器代码防非法复制技术研究与应用[J].计算机工程与科学,2011,33(12):17-21. 被引量：6
4王磊,汪瑛,丁森华,王亚男,谢锦辉.数字电视版权管理系统研究[J].广播与电视技术,2009(12):91-94.
5邓冬明.数字版权应用研究[J].科技经济导刊,2016(27).
6刘宝华.数字水印技术在数字信息授权中的应用研究[J].黑龙江科技信息,2015(21):162-162.
7吴亦奇,何发智,李小霞,蔡贤涛.面向服务的云设计安全数据交换[J].华中科技大学学报（自然科学版）,2016,44(12):76-80. 被引量：2
8王崇东.让金山词霸自动验证形同虚设[J].电脑应用文萃,2005(6):98-98.
9康立,唐小虎,范佳.基于认证公钥的抗合谋攻击加密方案[J].武汉大学学报（理学版）,2008,54(5):598-602.
10付强,吴洁明.数字作品版权保护权利链的构建模型及算法研究[J].计算机时代,2015(4):9-12. 被引量：1

微计算机信息

2011年第10期

浏览历史

内容加载中请稍等...

基于策略断言的SOAP消息签名包装攻击检测

参考文献11

二级参考文献12

共引文献22

相关作者

相关机构

相关主题

浏览历史