[发明专利]一种基于消息组合变异的服务脆弱性测试方法

说明书

技术领域

本发明给出了一种基于SOAP消息组合变异的Web服务(Web Service，简称WS)脆弱性测试方法，解决了因WS本身存在的脆弱性而制约了其发展空间的问题，用测试的方法寻找服务中的安全漏洞和受到威胁的安全策略，属于信息安全领域。

背景技术

面向服务的架构(SOA)框架成为实现基于Web的分布式系统[1]的主导技术。通常情况下，Web服务是实现基于SOA的软件系统的一个必要技术。在Web服务中使用的一些关键技术包括：可扩展标记语言(XML)，简单对象访问协议(SOAP)，Web服务描述语言(WSDL)和统一描述，发现和集成(UDDI)，所有这些都有助于确保Web服务具有良好的灵活性和强大的整合能力.Web服务支持的开放性和动态互操作性进行建模，并且可以大大降低系统的复杂性当与其他软件组件集成费用[2]。然而，与常见的Web应用程序相比，由于(1)操作(客户端)的环境未得到充分的信任和(2)Web服务的运行状态通常是开放的。Web服务的体系结构和操作特性也比较容易出现漏洞的故障。

随着SOAP、UDDI及WSDL等相关技术的迅猛发展，Web服务的应用领域愈加广泛，使得对Web服务的性能要求也逐渐提高，尤其是在安全攸关的经济、金融、军事、航天等领域，Web服务的安全成为重中只重.正因如此为确保Web服务的服务质量，Web服务的的安全测试成为不可缺失的部分。当前Web服务的安全性测试主要涉及以下几个方面：(1)SOAP消息测试；(2)WSDL文档测试；(3)SOA系统发布服务和绑定服务的能力的测试；(4)Web服务的异步通信功能以及它们的同步远程调用过程(RPC)的能力测试；(5)SOAP消息中介功能，监控SLA(服务水平协议)和服务质量(QoS)水平的质量测试，以及(6)Web服务性能测试[3]。

增加网络服务测试复杂度的主要因素包括：(1)开发和应用的环境的差异，这增加了在Web服务实际运行部署之前测试的困难；(2)使用自动测试方法和技术，该技术需要一个服务接口的设计和实施；(3)被测Web服务的性能和可扩展性，这需要考虑大量用户通过不同的环境的并发访问服务；4)Web服务与常规的测试对象不同的特征，如分布性，动态发现，动态绑定，隐形过程调用；(5)该服务方法和接口发布后安全风险增加，这增加了系统被攻击的可能；(6)Web服务的应用程序通常涉及服务供应商，发布者和用户，所有这些在测试的不同阶段都必须涉及。这些和其他分布式特点可能会使如测试安排与组织，缺陷管理和结果评估等活动非常困难[1]。

目前大多数测试是基于传统的Web服务测试框架进进行，其中包括：合约测试[4]；使用多个服务等级，如基础架构，单元和整合，以验证正确性[1]；数据扰动技术来测试Web服务的基于XML模式的质量。当前大部分研究SOAP消息规则变异一次仅注入一个变异体，因此组合变异是非常有前途的，用以测试Web服务漏洞与组合突变。此外，已经确定的是，在某些情况下，高达约98％失效的可能是由对参数之间的相互作用引起的。

参考文献：

[1].Samer H,Malcolm M(2007)An approach for specification-based test case generation for Web services.In:Proceeding of computer systems and applications,IEEE/ACS international conference,pp16–23

[2].Shaban MJ,Gillian D,Jing S(2009)Towards specification based testing for semantic Web services.In:Proceeding of2009Australian software engineering conference,pp54–63

[3].Bloomberg J(2002)Testing web services today and tomorrow.Ration Edge E-zine for the Rational Community

[4].Jinfu Chen.(2013)A Web services vulnerability testing approach based on combinatorial mutation and SOAP message mutation.Springer2013

发明内容