文档介绍:学位论文版权使用授权书本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索, 提供阅览服务,并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。(保密的学位论文在解密后适用本授权说明) 学位论文作者签名:乃蕊导师签名:!兜叫良签字日期:沪fj年午月上日签字日期:p”年年月1日中图分类号: UDC: 学校代码:10004 密级:公开北京交通大学硕士学位论文 REST的安全性分析与策略研究 The SecurityAnalysis andStrategic Research of REST 作者姓名:程飞导师姓名:沈波学位类别:工学学科专业:信息网络与安全学号:1012021l 职称:副教授学位级别:硕士研究方向:信息安全北京交通大学 2013年4月致谢本论文的完成离不开我的导师沈波副教授给我的悉心指导。沈波老师在我研究生期间指导我学****了数据挖掘算法,并按时听取汇报情况,督促我的学****在帮我制定了论文的研究方向以后,沈波老师经常指出我研究中的偏差,为我指明论文研究侧重点。在我的论文完成后,沈波老师详细地指出了论文的不足之处。他对科研方面的严谨态度以及对设计方面深刻的见解,让我受益匪浅。在沈波老师的指导下,我在自主学****能力有了很大的进步。在此衷心感谢三年来沈波老师对我的关心和指导。衷心感谢刘云教授、张振江副教授把我带进了网络舆论安全研究中心这一优秀的团体。两位老师对我参与的实验室科研工作给予了很多指导,并在我找工作期间给了我很多建议,同时在学****上和生活上都给予了我很大的关心和帮助,在此向他们表示衷心的感谢。实验室的同学们对于我的科研工作和论文提供了许多的宝贵意见和资料,实验室的刘彦伟、张朝绪、刘超等同学对我论文的完成中给予了热情帮助,耐心帮我解决各方面的问题,在此向他们表达我由衷的感激之情。另外也感谢我的家人,你们永远是我坚强的后盾,在我读研期间若没有你们的理解和支持,我也不能够在学校专心完成我的学业,我会用加倍的努力来报答你们。中文摘要摘要:REST(表述性状态转移)作为一种当前主流的架构风格,具有简单、高效、无状态、可伸缩、互操作等特性,得到了越来越多的应用。但是由于REST的安全机制和技术还不够完善,REST应用会出现一些安全问题,对REST安全性的研究也成为当前的热点。本文在分析REST的特点、安全机制及其所面临的安全威胁基础上,对REST 常见安全问题及安全策略进行了深入分析与研究。设计了I冱ST安全模型,搭建 REST安全检测系统,测试结果表明,该系统能有效检测REST常见安全问题。论文主要研究内容包括: (1)在深入理解REST的相关概念和特点的基础上,重点分析了REST面临的主要安全问题,如注入式攻击、XSS攻击、CSRF攻击、会话固定攻击。对这些安全问题在REST中的起因,作用方式及产生危害做了深入研究。(2)通过分析REST主要安全问题的原理及特点,提出相应的安全策略对其加以防范,并指出安全策略的优缺点。同时本文提出了这些策略在REST中的具体应用方案。(3)针对REST的特点设计了REST安全模型,该模型可以保证REST系统中信息的机密性、完整性、不可抵赖性,并且能够实现访问控制,身份认证及授权等功能。通过白行设计开发的REST安全检测系统测试此模型对REST安全问题的检测能力。实验表明,系统能有效检测REST常见安全问题,该模型能有效防御REST 常见安全问题。关键词:REST安全;安全策略;注入式攻击;跨站脚本攻击分类号: ABSTRACT ABSTRACT:As one of the most mainstream architectural styles,REST (Representational State Transl.)has been more and more popular because of its simplicity,efficiency,stateless,scalability,interoperability and SO addition,there may appear some security vulnerabilities intheapplications based onREST,because thesecurity mechanisms andtechnology are notperfect,therefore,thefully researchof REST security hasbeen ahottopic atthe now days. TIlispaper