（机械设计及理论专业论文）作业考试系统的优化及j2ee安全架构的应用研究.pdf

北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 摘要 现代远程教育作为一种崭新的教育模式，可以最大限度利用现有 教育资源，是实现高等教育大众化、现代化和国际化的新型教育形式 和必然途径。网络作业考试为现代网络教育提供了很大的便捷性，对 现代网络教育发展有十分重要的影响。然而外部安全攻击的存在使安 全性成了网络考试的关键问题之一，同时便捷高效的试题录入也是推 广应用的瓶颈之一。 “作业和考试系统”是国家“十五”重大科技攻关项目“网络教 育关键技术及示范工程”中的子课题。该课题是开发一个与课件联系 紧密和基于w e b 的多媒体作业管理工具和考试管理工具，将支持大规 模的在线作业和考试。 本文对网络作业考试系统的构成，运行环境进行了概述，并详细 介绍了系统中的作业部分和考试管理部分的系统功能。对于系统中需 要外在的物理媒介来保存的加密密钥，使用基于口令的加密技术对密 钥加密，将密钥保存在计算机文件系统中。充分考虑试题录入中公式 的快捷和经济性，完成对公式编辑器的修改和实现，并通过系统测试 以保证软件质量。同时又阐述了如何对系统的性能和表示层进行优 化。最后结合整个系统，分析了j 2 e e 安全架构在作业和考试系统中 的应用。 关键词：网络教育加密技术安全架构 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 o p t i m i z a t i o no fh o m e w o r ka n de x a m s y s t e ma n da p p l y i n gs t u d yo fj 2 e es e c u r i t y f r a m e w o r k a b s t r a c t m o d e mr e m o t ee d u c a f i o na c ta saw h o l en e wm o d eo fe d u c a t i o n ，c a nm a k eu s e o ft h ee d u c a t i o n a lr e s o u r c e sv e r ye f f i c i e n t l y i ti st h en e we d u c a t i o n a lf o r ma n dt h e n e c e s s a r i l ya p p r o a c h t or e a l i z et h e p o p u l a r i z a t i o n ， m o d e r n i z a t i o na n d i n t e m a t i o n a l i z a t i o no ft h ea d v a n c e de d u c a t i o n t h eo n l i n eh o m e w o r ka n de x a l t l p r o v i d eg r e a tc o n v e n i e n c ef o rd i s t a n c ee d u c a t i o na n dh a v ei m p o r t a n ti n f l u e n c eu p o n t h ed e v e l o p m e n to fm o d e md i s t a n c ee d u c a t i o n b u ts y s t e ms e c u r i t yh a sb e c o m eo n e o ft h ek e yp r o b l e m si nt h eo n l i n ee x a mb e c a u s eo fe x t e r i o rs e c u r i t ya t t a c k i n g a n d c o n v e n i e n ta n de f f i c i e n tq u e s t i o n sl o g g i n gc o m e st ob eo n eo f d i f f i c u l t i e si ns p r e a d i n g a p p l y ”o n l i n eh o m e w o r ka n de x a m s y s t e m ”i s o n eo ft h em o s t i m p o r t a n t t e c h n o l o g i c a lp r o j e c ti nt h en a t i o n a l ”t e n t hf i v ey e a r s ”，i ss u b p r o j e c t so fk e yt e c ha n d m o d e lp r o j e c to fi n t e r a c t - b a s e de d u c a t i o n h o m e w o r ka n de x a ms y s t e mi sa i m e da t d e v e l o p i n ga ni n s t r u m e n to fh o m e w o r ka n de x a mt h a tb a s e do nw e b h o m e w o r ka n d e x a ms y s t e ms h o u l ds u p p o r to n l i n es t u d ya n de x a mi nl a r g e s c a l e t h i sp a p e ro v e r v i e w e dt h es t r u c t u r ea n dt h er u n n i n gc o n d i t i o no fh o m e w o r ka n d e x a ms y s t e m ，a n di n t r o d u c e dt h es y s t e mf u n c t i o no fh o m e w o r kp a r ta n de x a m m a n a g e m e n tp a r ti nd e t a i l e n c r y p t e dc r y p t o g r a p h i ck e y ，w h i c hn e e dt ob es a v e di n t h ee x t e mm e d i a w a se n c r y p t e dw i t l lp a s s w o r d b a s e de n c r y p t i o nt e c h n o l o g ya n d w a ss a v e di nt h ec o m p u t e rf i l es y s t e m i nc o n s i d e r a t i o no fp r o m p t n e s sa n de c o n o m y o ff o r m u l a si nq u e s t i o n sl o g g i n g ，m o d i f i c a t i o na n di m p l e m e n t a t i o no ff o r m u l a se d i t o r w a s c o m p l e t e d ，a n ds y s t e mt e s tp a s s e dt og u a r a n t e es o f t w a r eq u a l i t y a n dt h et h e s i s e m p h a s i z e so nh o wt oo p t i m i z et h es y s t e mp e r f o r m a n c ea n ds h o wl a y e r w i t ha l l s y s t e m ，a p p l y i n go fj 2 e es e c u r i t yf r a m e w o r ki nh o m e w o r ka n de x a ms y s t e mw a s r e s e a r c h e dl a s t l y k e yw o r d s ：r e m o t ee d u c a t i o n ，e n e r y p t i o nt e c h n o l o g y ，s e c u r i t y f r a m e w o r k 2 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文皇资料若有不实之处，本人承担一切相关责任。 本人签名：豸塑园! 1日期：地：! ：! 垒 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围， 本人签名：堡至旦：j 适用本授权书。 日期：塑i ：三2 垒 导师签名：丝缑型络，日期：娅磊、：i2 i i 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 第1 章绪论 1 1 研究背景 发展网络教育在当前历史时期具有非常重要的意义。现代社会对每个人来 说，包括大学在内的学校教育完成以后，仍不能满足现实生活和工作的需要，仍 然需要继续学习。对于我国来说，发展网络远程教育则更有必要，因为我国地域 宽广，人口众多，经济和文化发展不平衡，教育分布和学校分布不合理，教育资 源远不能满足教育需求。网络教育为建立学习化社会提供物质基础，同时为教育 相对平等提供了条件。 教育部在“面向2 1 世纪教育振兴行动计划”中决定，实施现代远程教育工 程，在未来的几年将集中投入相当数量的资金，并广泛吸取地方、企业、个人的 资金和力量共同完成现代远程教育框架的构建。现代通信网络的发展必将推动网 络教育的进一步发展，网络教育在2 1 世纪将成为教育的重要模式。 我国的网络教育的作业考试方式长期以来以纸介质形式为主，但随着网络教 育规模日益扩大、网络技术的发展，网络作业考试成为可能。网络作业考试可以 发挥网络优势来降低考试成本，建立一个高效的作业考试中心，并使对学习者的 测评更加客观。 在网上考试，首先由教师把考试卷传给教学中心，教学中心可将试卷作为加 密文件通过安全网页由专人负责进行下载；网上作业时，教师在网上出题或卷子， 对学生进行考核或测试，当答卷或作业传给教师时，教师对考试评分，评分结果 输入教学中心的学生信息数据库。网上作业考试比传统方式要操作简单、快捷。 1 2 课题来源 该课题来源于北京邮电大学所承担的作业与考试管理系统中的一个课题。作 业与考试管理工具是“十五”国家科技攻关计划一一网络教育关键技术及示范工 程项目组下的其中一个课题，该课题是开发一套与课件联系紧密和基于w e b 的 多媒体作业管理工具和考试管理工具，将支持大规模的在线学习和考试。要研究 和实现作业和考试管理工具课题中网络作业考试系统的优化，无疑是对整个网络 作业考试系统提出了更高的要求一一不仅在功能上实现其网络考试的基本功能 要求，更要在安全性上保证网络考试，使之提高可信度。 1 3 网络作业考试系统的研究现状 传统的考试方式越来越满足不了2 1 世纪高等教育发展的需要。随着信息技 术的发展，知识的传输越来越不受地区、国界的限制，高等教育走向社会、面向 世界是大势所趋。无论是上网学习或是远程授课，要求他们都到学校参加考试是 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安令架构的应用研究 不可能的，即使在异地考试也面临着人员、时间及地点等许多条件的制约，因此 充分利用发展迅速的网络，大力开展网络教学和网络考试，是提高办学效率、促 进高等教育现代化的有力途径。 现在远程网络教育成为传统教育最有力的补充，也成为了当今各大院校积极 建设推进的教育方式。互联网渗透到了人们生活的方方面面，计算机技术无论软 件还是硬件都具备相当实用的条件，如何在这样的条件下，设计开发更为实用和 安全的网络考试系统，这成了解决现代远程教育中的一个难题。随着教育网络应 用的扩大，其安全风险也变得更加严重和复杂，不安全的网络环境会给求知者带 来诸多烦恼和不便。由于考试的重要性和保密性，网络考试系统的安全性更是备 受关注。同时，试题录入的便捷高效，也是影响网络作业考试系统的推广和应用。 随着远程网络教育的发展，在线的作业考试系统的研发也成为很多公司追逐 的热点。但许多系统无一例外地提到了一些安全的基本问题，比如说进行用户分 级管理，权限设置等。而且目前的一些系统中还存在着试题录入难的问题。 北京邮电大学所承担的作业与考试管理系统在进行系统分析和设计的时候 充分考虑了安全性及大规模在线使用的需求，在系统中进行了实现，并且已通过 验收。 1 4 系统需要不断的优化改进 在项目研发的初期，由于开发团队经验不够丰富，研发时间比较紧迫，所以 就把大部分精力放在了系统整体架构和核心功能的研发上。目前主要工作基本完 成，我们把主要精力放在了系统的细节优化上，目的是使系统能够得到大规模的 实际应用。系统需要优化和改进的主要有以下几个方面： 1 ) 软件开发的比较匆忙，许多表面层的东西还不够细化，界面不够友好， 使用起来不方便，有的插件还不够好用，达不到要求。 2 ) 系统的性能需要优化。i a v a 代码需要进一步地优化，并且对于e j b 的运 行环境、应用服务器w e b l o g i c 的设置，都会对整个系统的运行效率产生很大的 影响。 3 ) 系统的安全性需要加强。因为涉及到考试，必然需要加强其安全性，而 系统的安全性需要很多的改进，如对称加密密钥的保存。 1 5 优化作业和考试系统的目的和意义 网络教育是计算机、互联网和多媒体技术相结合为代表的信息技术在现代教 育学思想的指导下对传统教育模式的革新。它是一种全新的教育模式，是教育的 革命。它的最终目标是构建我国的终身教育体系。因此发展网络教育迫切需要对 相关的新技术和关键技术进行攻关。 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 网络教育技术攻关的主要目的，是为了攻克目前制约我国网络教育发展的关 键性技术难点，探索符合我国国情的网络教育的模式、规范和标准，研究开发 批具有自主知识产权的网络教育软硬件支持系统，并建设不同层次的网络教育示 范工程和网络教育资源，为构建国家现代化教育框架提供坚实的基础。 与传统教育方式一样，作业、考试、练习、钡i 试是教育的重要环节。随着远 程教育的日益成熟和不断扩大规模，如何处理大量学员的作业、测试与考试，与 渐感匮乏的师资力量和管理人员之间的矛盾逐渐扩大。远程教育急需解决作业、 考试、测试的整套解决方案，包括作业、考试、测试的发布、提交、批改和统计 分析等功能。 作业的布置、提交与批改，在学习过程中是非常重要的一环，老师可以通过 它得到教学效果的反馈，既可以了解不同学生的学习情况，以便因材施教，又可 以发现教学过程或课件中存在的问题，并采取措施加以修改、完善。总之，“作 业”是沟通教师的“教”与学生的“学”的重要手段。 考试在教育中所起到的作用，包括测试学生的智力水平、检验知识的掌握程 度，是其他教育形式无法替代的。在远程教育中，远程考试系统也占有同样重要 的作用。由于借助了计算机和国际互联网，使得远程考试在许多方面优越于传统 考试。 此外，学生在日常学习过程中所需的练习习题库、作业库，也是网上考试系 统所急需解决的问题之一。各门课程经过积累都具有了容量庞大的试题库后，学 生就可以直接进行网上自测，对提高学习效果起到积极作用。 从教师方面来看，对于此系统的需求应该比学生更加急迫。首先，每次作业、 测试、考试的出题对于许多老师都是一项比较麻烦的工作，需翻阅大量的参考资 料，从茫茫题海中寻找出几十道题，要考虑考查的知识点范围要广泛，难易适中， 考查学生的多种能力和综合能力等等诸多相互关联的因素，因此出一份教师自己 满意的试卷。往往要耗费大量的时间和精力，并且要反复查找很多次。因此教师 需要个十分方便、快捷地组卷工具，来代替人工完成组卷工作。 目前，我国教育现状是师生比例远远超出了教师的工作负荷，在远程教育中 此现状将会更加明显。大量的学生作业和考卷的批改工作占用了教师的很大一部 分工作时间，而且这其中又有很大一部分是简单重复性的工作，例如对客观题目 的批改、计算分值、分数统计等，这些工作都用计算机完成，不紧准确而且快速。 因此使用网上考试系统代替教师完成一部分重复性很强的工作，将会是所有教师 对系统的另一重要需求。 此外，作业考试系统将满足众多教师对于大量试题、试卷的管理工作，使教 学资源得到进一步的充分共享利用。 北京邮电大学硕士论文作业考试系统的优化及j 2 e e 安全架构的应用研究 从学校或者培训机构的角度来看，对于组织考试、管理考试一直是一项繁琐 的工作。如何有效地进行考试的组织管理，对作业考试系统提出了很多不单是技 术上的问题，更重要的是种管理思路和管理方法的变革。对于考试环节中的许 多重要因素，比如考试的公平性、有效性、保密性和易于管理，考试结果的全面 分析，为以后的教学改进提出准确详实的指导性报告等，也都是校方的重要需求。 总之，作业与考试系统将主要面对使用者不同的需求，力争在提高远程教育 系统，提高学生的积极性，加快教学信息的反馈，推动教育质量的提高等方面发 挥重要的作用。 1 6 论文研究内容 安全问题是网络作业考试的关键问题之一，对于作业考试系统的发展有着非 常重要的影响，对于保证网络作业考试的可行性和可靠性也有非常重要的作用。 作业系统中试题录入方式的便捷性也是瓶颈问题之一，对影响整个作业考试 系统的推广，具有重要的意义。 论文在理论分析的基础上，对作业考试系统的架构进行全面的分析，并对作 业考试系统运行中出现的问题提出一系列的解决方案和实现方法。 论文介绍了网络作业考试系统安全的理论基础，对网络作业考试系统的构 成，运行环境进行了概述，并详细介绍了系统中的作业部分和考试管理部分，对 作业考试系统的系统功能等进行了概述：对于系统中需要外在的物理媒介来保存 的对称加密密钥，使用基于口令的加密技术对密钥加密，将密钥保存在计算机文 件系统中；充分考虑系统中试题录入的快捷和经济性，完成对公式编辑器的修改 和实现；通过对应用服务器w e b l o g i c 进行了比较深入的研究。详细得出了在各 种不同应用下的不同配置，通过配置来使系统的运行效率达到最优。阐述了如何 对表示层进行优化，通过这些优化，使系统的功能更加完善，性能更加稳定，更 加实用。最后结合整个系统，分析了j 2 e e 安全架构在作业和考试系统中的应用。 北京邮电大学硕士论文作业考试系统的优化及j 2 e e 安全架构的应用研究 第2 章理论基础 2 1j a a 的安全结构 j a v a 的安全模型不同于传统的安全方法，传统的安全方法中，大多数操作 系统允许应用程序充分访问系统资源，在操作系统不提供安全保护的机器里，运 行环境不能被信任。为了弥补这个缺陷，安全策略经常要求在应用程序执行之前 对应用程序建立信任，例如要求程序员在执行从网上获得的应用程序前，先检查 病毒和源代码中不安全的代码。这种方法有2 个问题：( 1 ) 确定程序是否安全的 检查很复杂很浪费时间，很少有程序员愿意花时间读程序的源代码，然后再将它 编译成本地机器码以保证程序是安全的。( 2 ) 病毒检查要不断维护以保证有效性。 j a v a 的安全模型是不同的，为了防止用户系统受到通过网络下载的不安全 程序的破坏，j a v a 提供了个自定义的可以在里面运行j a 、，a 程序的“沙盒”。 j a v a 的安全模型使得j a v a 成为适合于网络环境的技术。j a v a 的安全性允许用 户从i n t e m e t 或i n t r a n e t 上引入或运行a p p l e t ，a p p l e t 的行动被限制于它的“沙盒”， a p p l e t 可以在沙盒里做任何事情，但不能读或修改沙盒外的任何数据，沙盒可以 禁止不安全程序的很多活动，如： 1 对硬盘进行读写。 2 和别的主机( 不包括程序所在的主机) 进行网络连接。 3 创建一个新过程。 4 载入一个新的动态库并直接调用本地方法。 “沙盒”模型的思想是在信任的环境中运行不信任的代码，这样即使用户不小 心引入了不安全的a p p l e t ，a p p l e t 也不会对系统造成破坏。 “沙盒”安全模型是内建于j a 、，a 结构的，它主要由以下几部分构成： 1 内建于j a v a 虚拟机和语言的安全特性。 2 类的载入结构。 3 类文件校验器。 4 安全管理器和j a v a a p i 。 2 1 。1内建于j a v a 虚拟机和语言的安全特性 j a v a 语言有一些机制使得j a v a 程序很稳健，这些机制也是j a v a 虚拟机 f m ) 的特点，它们是： 1 ，安全的类型转换。在c 、c + + 中，可以通过指针进行任意的类型转换，但 常常带来安全漏洞，而在j a v a 中，运行时系统对对象的处理要进行类型相容性 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安令架构的应用研究 检查，以防止不安全的转换。 2 没有指针。指针是c 和c + + 中最灵活、也最容易产生错误的数据类型。由 指针所进行的内存地址操作常会造成不可预知的错误，同时通过指针对某个内存 地址进行显示类型转换后，可以访问一个c + + 中的私有成员，从而破坏安全性， 造成系统的崩溃。而j a v a 对指针进行完全的控制，程序员不能直接进行任何指 针操作。 3 自动的垃圾收集。在c 中，程序员通过库函数m a l l o c 0 和f r e e ( ) 来分配和释 放内存，c + + 中则通过运算符n e w 和d e l e t e 来分配和释放内存。再次释放己释放 的内存块或未被分配的内存块，会造成系统的崩溃；同样，忘记释放不再使用的 内存块也会逐渐耗尽系统资源。而在j a 、，a 中，所有的数据结构都是对象，通过 运算符n e w 为它们分配内存堆。通过n e w 得到对象的处理权，而实际分配给对 象的内存可能随程序运行而改变，j a v a 对此自动进行管理并且进行垃圾收集， 有效地防止了由于程序员的误操作而导致的错误，并且更好地利用了系统资源。 4 擞组界限检查。若程序中有数组访问，j v m 就会检查数组访问是否越界， 从而防止了由数组越界引起的错误。 5 检查n u l l 引用。若使用的引用为n u l l ，j v m 就会抛出一个例外。 2 1 2 类载入器结构 类载入器结构在沙盒模型中起了重要作用。在虚拟机中，类载入器负责引入、 定义运行程序的类和接口的二进制数据。在虚拟机中可能有不止一个类载入器。 一个j a v a 程序能使用2 种类型的类载入器：原始的类载入器和类载入器对 象。原始的类载入器是m 实现的一部分，它通常从本地硬盘载入安全的类， 包括j a v a a l p i 的类。运行时，j a v a 应用程序安装类载入器对象，类载入器对象 使用j a v a 语言编写，编译成类文件后，载入到虚拟机，像其他的对象一样初始 化。类载入器对象用于以自定义的方式载入类，例如通过网络下载类文件。m 把通过原始的类载入器载入的任何类都视为安全的，无论这个类是否是j a 、，a a p i 的一部分。而将通过类载入器对象载入的类视为可怀疑的，缺省情况下视为 不安全的。 j a v a 的结构可以在一个应用程序中创建多个命名空间，命名空间是由一个 特定的类载入器载入的类名的集合。j v m 为每一个类载入器维持一个命名空间， 这个命名空间里有由那个类载入器载入的所有类的名字。由不同类载入器载入的 类在不同的命名空间里，没有程序的直接允许，这些类不能彼此访问。编写程序 时，可以将来源不同的类放在不同的命名空间里，用这种方式，就可以使用j a v a 的类载入器结构控制来源不同的代码间的相互作用，就可以防止不安全代码访 问、破坏安全代码。对于a p p l e t ，也是同样的道理，通过将来源不同的a p p l e t 6 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 类文件放在不同的命名空间，防止不安全代码破坏安全代码。 在“沙盒”结构中，类载入器结构是防止不安全代码的第一道围墙，它的作用 主要有2 方面： 1 防止不安全代码访问、破坏安全代码。 2 防止不安全代码冒充安全的类。 这2 方面作用是通过下述方法实现的： 1 将代码分放在多个命名空间中，并在不同命名空间的代码之间设置“屏 障”。类载入器结构是通过命名空间来防止不安全代码访问、破坏安全代码。 命名空间在载入到不同命名空间中的类之间设置了一个“屏障”。在m 中， 同一命名空间中的类可以直接相互作用，不同命名空间中的类甚至不能检测 到对方的存在，除非程序允许它们相互作用。 2 保护可信任类库( 像j a v aa p i ) 的边界。如果类载入器载入一个类，这个 类用它的名字来冒充是j a v a a p i 的一部分( 例如，类名为j a v a 1 a n g v i r u s ) ，类 载入器就传递请求给原始类载入器，如果原始类载入器不能载入这个类，类 载入器就抛出安全例外，并拒绝载入这个类。 2 1 3 类文件校验器 每一个m 都有一个类文件校验器，用来保证载入的类文件具有正确的内 部结构。如果类文件校验器发现类文件有错误，它就抛出一个异常。 类文件校验器能帮助检查出类使用起来是否安全。因为类文件是由二进制数 据构成的，m 不知道这个类文件是否是由黑客产生的，是否有可能破坏虚拟 机的完整性，所以虚拟机对引入的字节码进行校验是很重要的。类文件校验器校 验的过程可以分为2 个阶段：阶段一发生在类刚载入以后，类文件校验器检查类 文件的内部结构，包括校验所含的字节码的完整性；阶段二发生在字节码执行的 时候，字节码校验器确定符号引用的类、域和方法是否存在。 2 1 4 安全管理器和j a v a a p | 安全管理器定义了“沙盒”的外部边界。安全管理器是类 j a v a 1 a n g s e c u r i t y m a n a g e r 的子类，它是自定义的。 j a v aa p i 类在采取一些动作时，通常需要安全管理器检查这个动作是否安 全，这些动作包括： 1 接受来自于特定主机的s o c k e t 连接。 2 修改线程( 改变线程优先级，结束线程等) 。 3 ，开放对于特定主机的s o c k e t 连接。 4 ，创建一个新的类载入器。 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 5 删除特定的文件。 6 创建新的过程。 7 程序退出。 8 调用含有本地方法的动态库。 9 等待连接。 1 0 从特定的包载入类。 1 1 给特定的包中添加1 个新类。 1 2 访问或修改系统特性。 1 3 访问特定的系统特性。 1 4 读文件。 1 5 写文件。 由于在执行上述动作前需要安全管理器进行检查，j a v aa p i 不执行安全管 理器建立的安全措施所禁止的任何动作。 j a v a a p i 执行一个可能不安全活动的过程，通常分为2 步：首先，j a v a a p i 代码检查安全管理器是否已安装。如果没有安装，就无法进行第2 步的检查，则 直接执行可能不安全的代码：如果安装了，就继续执行第2 步的检查，调用安全 管理器中合适的检查方法对动作进行检查，如果动作被禁止，检查方法就抛出一 个安全例外，不再执行不安全的活动；如果动作被允许，检查方法返回，j a v a a p i 方法继续执行动作。 2 1 5j a v a2 平台的安全模型 j a v a2 平台的安全模型由沙箱模型演化而来，j a 、，a2 平台运行时的安全由 安全策略规定，如图2 1 所示。 一个安全策略由代码特征( c o d e s o u r c e ) 和许可权( p e r m i s s i o n ) 两部分构成。 其中，代码特征是指代码来源( u r l ) 、代码签名；许可权代表了对资源的访问 权限，一般包括资源名称和允许的操作权限，用户可使用p o l i c y t o o l 工具配置自 己的安全策略。系统运行时，读取安全策略文件，生成策略对象，每个策略对象 包含该策略对应的许可权对象，创建保护域，加载类，定义与其相关的保护域。 所有代码，不管是本地代码还是从网上下载的代码，通过类加载器加载，类加载 器根据代码授予的许可权限来决定代码所在的保护域。保护域在逻辑上包括了具 有相同权限、相同来源和相同签名的一组类，一个类属于且仅属于一个域。当代 码试图访问受保护的系统资源时，系统调用访问控制器，访问控制器向代码所对 应的策略对象提问，获得该代码的许可权，与现在欲进行的操作权限进行比较分 析，如果调用代码没有所需的许可权，则抛出安全异常。 北京邮电大学硕士论文作业考试系统的优化及j 2 e e 安全架构的应用研究 掰奢幸t 鹳i 安垒蓠峰- 厂樊却鼗器 一童 保护域目 系统鳢 访问稚剑嚣安垒控潮器 陶2 1j a v a2 的平台安全控制模型 2 2 密码学理论和技术 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理， 使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之 后才能显示出本来内容，通过这样的途径来达到保护数据不被非法入窃取、阅读 的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。 由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术 是网络考试中采取的主要保密安全措施，是最常用的保密安全手段。加密技术也 就是利用技术手段把重要的数据变为乱码传送，到达目的地后再用相同或不同的 手段还原。 加密包括两个元素：算法和密钥。一个加密算法是将可以理解的信息与密钥 结合，产生不可理解的密文的步骤。密钥和算法对加密同等重要。 密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当 的密钥加密技术和管理机制，来保证网络的信息通讯安全。密钥加密技术的密码 体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为 两类，即对称加密( 秘密密钥加密) 和非对称加密( 公开密钥加密) 。 2 2 1 对称加密 对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的 密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法。 对称加密算法使用起来简单快捷，密钥较短，且破译困难。根据加密模式的不同， 我们又可把对称加密分为分组密码和序列密码。 分组密码的体制中，先将明文划分为固定长度的数据组，然后以组为单位进 行加密。分组密码一次变换一组数据。若明文分组相同，那么密文分组也相同。 设计分组密码算法的核心技术是建立在这样的数学规则下：复杂函数可以通过简 单函数迭代若干次后得到，利用简单函数和非线性函数等运算，产生比较复杂的 变换。分组密码现运用最广泛的是d e s ( 数据加密标准) 和a e s ( 高级加密标 北京邮电大学硕：l 论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 准) 。 序列密码又称为密钥流密码，它采用伪随机序列来代替随机序列作为密钥序 列，也就是序列存在着一定的循环周期。该算法的构成基础是一定长度的初始私 钥，明文字节流通过和密钥流的异或操作产生密文流。r c 4 流密码是一种典型的 流密码。 2 2 2 消息摘要 消息摘要也称为散列值，是一种与基于密钥( 对称密钥或公钥) 的加密不同 的数据转换类型。消息摘要就是通过把一个叫做散列算法的单向数学函数作用于 数据，将任意长度的一块数据转换为一个定长的、不可逆转的字符。所产生的散 列值的长度应足够长，因此使找到两块具有相同散列值的数据的机会很少。 常用的单向散列函数通常有m d 5 和s h a 一1 。m d 5 是由r o n r i v e s t 设计的 可产生一个1 2 8 位的散列值的散列算法。s h a l ( 安全散列算法1 ) 也是由n s a 设计的，并由n i s t ( 美国国家标准与技术协会) 将其收录到f i p s ( 联邦信息处 理标准) 中，作为散列数据的标准。 2 2 3数字签名 对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进 行破坏，以及如何确定发信人的身份还需要采取其它的手段，这一手段就是数字 签名。 目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另 一类应用。它的主要方式是，报文的发送方从报文文本中生成一个1 2 8 位的散列 值。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。 然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的 接收方首先从接收到的原始报文中计算出1 2 8 位的散列值，接着再用发送方的公 用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就 能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。 应用广泛的数字签名方法主要有三种，即：r s a 签名、d s s 签名和h a s h 签 名。这三种算法可单独使用，也可综合在一起使用。数字签名是通过密码算法对 数据进行加、解密变换实现的，用d e s 算法、r s a 算法都可实现数字签名。 2 2 4 c a 认证与数字证书 c a ( c e r t i f i c a t ea u t h o r i t y ) 包括生成证书、认证证书、管理己颁发证书，即证 书授权机构，是p k i 的核心。它负责签发数字证书，制定政策和具体步骤来验证、 识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有 o 北京邮电大学硕士论文作业考试系统的优化及j 2 e e 安全架构的应用研究 权。作为受信任的第三方，证书授权中心应具有权威性和公证性。 r a ( r e g i s t r ya u t h o r i t y ) ，即注册授权机构，它是c a 系统的一个功能组件， 负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担 因审核错误或者为不满足资格的证书申请者发放证书所引起的切后果，因此它 应由能够承担这些责任的机构担任。 如果用户想得到一份属于自己的证书，应先向r a 提出申请，在r a 判明申 请者的身份后，便为其分配一个密钥对：公钥和私钥，并且将其中的公钥与申请 者的身份信息绑定在一起，提交至c a ；c a 为其签名后，便形成证书发给申请 者。c a 本身也拥有一个含有公钥的证书和一个相应的私钥。证c a 的签名从而 信任c a ，任何人都可以得到c a 的证书网上的用户通过验，用以验证它所签发 的证书。 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，其作用类似 于现实生活中的身份证。它是由一个权威机构发行的，人们可以在交往中用它来 识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般 情况下证书中还包括密钥的有效时间，发证机关( 证书授权中心) 的名称，该证书 的序列号等信息，证书的格式遵循1 1 u t x 5 0 9 国际标准。 一个标准的x 5 0 9 数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用x 5 0 0 格式； 证书的有效期，现在通用的证书一般采用u t c ( 联合技术公司) 时间格式，它 的计时范围为1 9 5 0 2 0 4 9 ； 证书所有人的名称，命名规则一般采用x 5 0 0 格式； 证书所有人的公开密钥： 证书发行者对证书的签名。 使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密 的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取：信息在 传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对 于自己的信息不能抵赖。 2 2 5基于1 3 令的加密( p a s s w o r d b a s e de n c r y p t i o n ，p b e ) 对称加密可以运用在许多领域中，它比非对称加密要快，主要适合于大量数 据转换的情况，如文件加密、网络加密、数据库加密等。对称加密的主要缺点是 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 密钥对称性，加密和解密都使用相同的密钥，因此对称加密的密钥本身也要秘密 保存。基于口令的加密使用一个口令对密钥进行加密，用户自己掌握密钥会比采 用其它物理媒介更为安全方便。基于口令的加密使用的是杂凑加密和对称加密的 组合。口令由消息摘要算法进行杂凑，杂凑的结果为对称加密算法构造一个密钥。 为了提高安全性，可以进一步采取两方面的措施： 1 、在对数据杂凑之前添加一些随机数( s a l t ) ，可以增加仓u 建口令时可用的 密钥数。当没有“s a l t ”时，口令“s a q u e n s c h ”杂凑出的是具体的值，如果杂凑 前增加8 位随机数，那么口令“s a q u e n s c h ”可以有2 6 4 个可能的值，这时攻击 者只对“s a q u e n s c h ”进行简单的查找就想找到密钥是不太可能的。 2 、重复计算可以增加攻击者测试口令的时间。如果重复计算1 0 0 次，就需 要杂凑口令1 0 0 次。攻击者要想攻击口令加密不得不花费1 0 0 倍或者更多的计算 机资源。 2 3j 2 e e 技术 j 2 e e 是s u n 公司推出的一种构建分布式应用系统的平台，它简化了j a v a 平台开发与企业级分布计算应用相关的许多复杂的问题，以其优越的跨平台性能 大大简化了企业级应用的开发，为企业应用提供事务、安全、资源管理、命名等 多方面的服务，深受广大开发者的青睐。一现在越来越多的企业应用构建在j 2 e e 平台上。 2 3 1 j 2 e e 的优势 j 2 e e 为搭建商务系统提供了良好的机制，具有可伸缩性、灵活性、易维护 性等优点，具体表现如下： 1 ，保留现存的i t 资产 由于企业必须适应新的商业需求，利用已有的企业信息系统方面的投资，而 不是重新制定全盘方案就变得很重要。这样，一个以渐进的方式建立在已有系统 之上的服务器端平台机制是公司所需求的。j 2 e e 架构可以充分利用用户原有的 投资，如一些公司使用的b e a t u x e d o 、i b m c i c s 、i b me n c i n a 、i n p r i s e v i s i b r o k e r 以及n e t s c a p e a p p l i c a t i o ns e r v e r 。这之所以成为可能，是因为j 2 e e 拥有广泛的 业界支持和一些重要的“企业计算”领域供应商的支持。由于基于j 2 e e 平台的 产品几乎能够在任何操作系统和硬件配置上运行，现有的操作系统和硬件也能被 保留使用。 2 高效的开发 2 北京邮电大学硕士论文 作业考试系统的优化及j 2 e e 安全架构的应用研究 j 2 e e 允许公司把一些通用的、繁琐的服务端任务交给中间件供应商去完成。 这样开发人员可以集中精力在如何创建商业逻辑上，相应地缩短了开发时间。高 级中问件供应商提供以下这些复杂的中间件服务： 状态管理服务一让开发人员写更少的代码，不用关心如何管理状态，这 样能更快地完成程序开发。 持续性服务一让开发人员不用对数据访问逻辑进行编码就能编写应用程 序，能生成更轻巧，与数据库无关的应用程序，这种应用程序更易于开 发与维护。 分布式共享数据对象c a c h e 服务一让开发人员编制高性能的系统，极 大提高整体部署的伸缩性。 3 支持异构环境 j 2 e e 能够开发部署在异构环境中的可移植程序。基于j 2 e e 的应用程序不依 赖任何特定操作系统、中间件、硬件，因此设计合理的基于j 2 e e 的程序只需开 发一次就可部署到各种平台，这在典型的异构企业计算环境中是十分关键的。 j 2 e e 标准也允许客户订购与j 2 e e 兼容的第三方的现成的组件，把他们部署到异 构环境中，节省了由自己制定整个方案所需的费用。 4 可伸缩性 企业必须要选择一种服务器端平台，这种平台应能提供极佳的可伸缩性，去 满足要在他们系统上进行商业运作的大批新客户的需求。基于j 2 e e 平台的应用 程序可被部署到各种操作系统上，例如可被部署到高端u n i x 与大型机系统。这 种系统单机可支持6 4 至2 5 6 个处理器，这是n t 服务器所望尘莫及的。j 2 e e 领 域的供应商提供了更为广泛的负载平衡策略，能消除系统中的瓶颈，允许多台服 务器集成部署。这种部署可达数千个处理器，实现可高度伸缩的系统，满足未来 商业应用的需要。 5 稳定的可用性 个服务器端平台必须能全天候运转以满足公司客户、合作伙伴的需要。因 为i n t e r n e 是全球化的、无处不在的，即使在夜间按计划停机也可能造成严重 损失。若是意外停机，那可能会有灾难性后果。j 2 e e 被部署到可靠的操作环境 中时，它们支持长期的可用性。一些j 2 e e 可以被部署到w 默d o w s 环境中，客 户也可选择健壮性能更好的操作系统如s u ns o l a r i s 、i b mo s 3 9 0 ，最健壮的操作 系统可达到9 9 9 9 9 的可用性或每年只需5 分钟停机时间。 2 3 2j 2 e e 安全体系结构 j 2 e e 平台通过其核心和扩展的a