（计算机应用技术专业论文）安全分布式应用系统的研究与开发.pdf

中文摘要 如今w e b 的主流化使得企业应用系统由封闭状态逐渐走向开放，企业应用面 对的信息资源将越来越依赖于w e b 环境。基于j 2 e e 的分布式应用系统作为企业 应用开发的主流，所面临的一个重要难题就是日益复杂的安全管理。 目前，通常的j 2 e e 应用系统基本上都采用了相应的安全防护措施，但是效 果不甚理想。大部分研究人员由于缺少实际安全经验而未对引发安全问题的原因 未作正确深入的分析，因而忽略了软件自身的安全问题，把主要精力集中在了网 络安全技术，和信息系统安全大框架上，而对引发安全问题的方面却无所作为。一 部分安全领域的实际工作者意识到了软件自身安全的重要性，并对其进行研究， 可往往又忽略了其他方面的问题。 本文结合j 2 e e 企业应用的特点和体系结构，并结合基于j 2 e e 的企业应用安 全防护的需求和特点，采用分层的结构对安全服务进行了实现。本安全框架从应 用软件、发布系统和物理链路三个方面分析解决应用系统的安全问题，并通过有 机的整合措施，构成一个稳定、合理和健全的j 2 e e 企业应用的安全策略。应用 软件的安全防护主要是负责企业应用软件本身的安全问题，本文采用了基于角色 的权限控制保障系统的正常运行。系统层涉及到j 2 e e 应用服务器和w e b 服务器 等系统软件的安全性问题，在这个层上的安全防护主要是负责保障企业应用的数 据安全，本文采用分布式e j b 数据访问模块，数据加密、数字签名、认证回执技 术的组合，由这些技术构建了一套功能完备和可靠稳定的保护体系。物理层采用 了防火墙技术和物理隔离器技术相结合的策略，尤其是物理隔离器技术的引入使 得系统的安全防护策略由被动防御阶段提升到主动保护阶段，极大地提升了系统 的安全性。 通过在上述三个层次上的安全防护措施，本文构建和研制了一套具有很高 可靠性和实用性的安全策略，是构建基于j 2 旺企业应用的重要安全保障。 关键词：j 2 e e ，安全策略，基于角色的权限控制 a b s t r a c t t h ep o p u l a r i z a t i o no fw e bt e c h n o l o g ym a k e st h ea p p l i c a t i o n s y s t e m o f e n t e r p r i s e sg r a d u a l l yo p e nf r o mo b t u r a t i o n ，a n dt h ei n f o r m a t i o nr e s o u r c e so f e n t e r p r i s ea p p l i c a t i o n sw i l lr e l ym o r ea n dm o r eu p o nt h ew e be n v i r o n m e n t n l e d i s t r i b u t i n gm o d ea p p l i c a t i o ns y s t e mb a s e do n j 2 e ei s f a c i n g ad i f f i c u l t p r o b l e m m o r ea n dm o r ed i f f i c u l ts e c u r i t ym a n a g e m e n t a tp r e s e n t ，m o s tj 2 e ea p p l i c a t i o ns y s t e m st a k er e l e v a n ts e e u r i t ys t r a t e g y , b u tt h e r e s u l t sa r en o ts ow e l l t h em o s ta m o u n t so f t h er e s e a r c h e r sd o n tt a k ei ta sap r o b l e m ， b e c a u s et h e yd o n th a v ee n o u g he x p e r i e n c eo ft h es e c u r i t y t h e yi g n o r et h es e c u r i t y p r o b l e mo fs o t t w a r ei t s e l f , a n dm a k i n gt h e i rm o s te n e r g yo nn e t w o r ks e c u r i t y t e c h n o l o g ya n di n f o r m a t i o ns y s t e ms e c u r i t y , b u th a v en oi d e ao ft h ea s p e c tw h i c h l e a d i n gt ot h es e c u r i t yp r o b l e m t h e r ea r es o m er e s e a r c h e r so ns e c u r i t yh a v ek n o w t h ei m p o r t a n c eo f t h ea p p l i c a t i o ns y s t e mi t s e l f , b u tt h e yl o s es i g h to f o t h e rs i d e t h ea r t i c l es o l v e st h es e c u r i t yp r o b l e m o f a p p l i c a t i o ns y s t e mu s i n gl a y e r e df r a m e b a s e do nj 2 e ei no n ep r o g r a m t h es e c u r i t yf r a m ea n a l y s e sa n ds o l v e st h es e c u r i t y p r o b l e mf r o mt h ea p p l i c a t i o nl e v e l ，s y s t e ml e v e la n dt h ep h y s i c a ll e v e l ，a n d o r g a n i c a l l yi n t e g r a t e dt of o r mas t e a d y , r e a s o n a b l ea n dc o m p l e t es e c u r i t ys t r a t e g yo f t h ej 2 e ee n t e r p r i s ea p p l i c a t i o n 。n l e a p p l i c a t i o nl e v e ls e c u d t ym e a s u r e sm a i n l y r e s p o n d st ot h es a f e t yo ft h ea p p l i c a t i o ns o f t w a r e ，a n dt h ea r t i c l et a k er o l e - b a s e d p r i v i l e g ec o n t r o lt e c h n o l o g yt oe n s u r et h ea p p l i c a t i o ns y s t e mr u ni ng e a r t h es y s t e m l e v e li st h es a f e t yp r o b l e mo ft h ej 2 e ea p p l i c a t i o ns e r v e ra n dt h ew e bs e r v e ra n di s m a i n l yf o rt h ep u r p o s eo fp r o t e c t i n gt h ed a t a b a s e t h ea r t i c l ec o m p o s e sc r e d i b i l i t y a n ds t e a d yp r o t e c ts t r u c t u r eb yu s i n gd i s t r i b u t e de j bd a t aa c c e s sm o d u l ea n d a s s e m b l i n gd a t ae n c r y p t d i g i t a ls i g n a t u r ea n da t t e s t a t i o nr e c e i p tt e c h n o l o g y 1 1 1 e p h y s i c a ll e v e la p p l i e st h ef i r e w a l lt e c h n o l o g y ；e s p e c i a l l yt h ei n t r o d u c t i o no fp h y s i c a l s e p a r a t o rm a k e st h ep r e v e n t i o ns t r a t e g yf r o md e f e n s i v et oa g g r e s s i v e ，i m p r o v i n gi t s s e c u r i t y b yt h es e c u r i t yf r a m e t h ea r t i c l ec o m p l e t e sas e to fh i g h e f f i c i e n c yp r a c t i c a l s e c u r i t ys t r a t e g y ；i ti st h ei m p o r t a n ts a f e t yi n s u r a n c eo ft h ee n t e r p r i s ea p p l i c a t i o n s y s t e mb a s e do nj 2 e e k e yw o r d s ：j 2 e e ，s e c u r i t ys t r a t e g y , r o l e b a s e dp r i v i l e g ec o n t r o l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得鑫盗叁堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：签字日期：年月日 学位论文版权使用授权书 本学位论文作者完全了解叁盗盘堂有关保留、使用学位论文的规定。 特授权苤鲞盘堂可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：莓斤榍 导师签名： 毪南冈1 j 签字日期：御占年，月c df t签字日期：加矽石年1月0 日 天津大学硕士学位论文第一章绪论 1 1 课题背景 第一章绪论 随着基于w e b 的发展，互联网已经成为人们生活中的一部分，越来越多 的应用在互联网上被广泛的开展。相应于人们需求的变化，计算技术也取得 了突飞猛进的变革。从简单的w e b 静态页面，到能够支持动态交互功能的 c g i 程序，后来发展到结合后台数据库和其他资源的三层w e b 应用，越来越 多的技术把重点放在了w e b 应用上。 企业应用作为应用软件系统中最为复杂的部分，也跟随着技术和时代的 潮流，经历了巨大的发展。第一代的企业应用是集中式的大型机应用，所有 计算都集中在一个具有超强功能的主机上面完成。在2 0 世纪8 0 年代后期和 9 0 年代早期，几乎所有新的企业应用都采纳了客户机n 务器模式的二层体 系结构；后来在w e b 大潮的推动下，发展到具有三层的w e b 体系结构。目 前，企业应用经历了客户机朋艮务器模式向多层w e b 应用转变的阵痛之后， 也逐渐趋向于成熟和完整，并确定了它体系结构的发展方向- - j 2 e e 。j 2 e e 是一种利用j a v a2 平台来简化企业解决方案的开发、部署和管理相关的复杂 问题的体系结构，这是采用了分布式多层w e b 的体系结构1 1 】。 j 2 e e 的出现，可以说是给企业应用的开发指明了方向，基于j 2 e e 的分 布式应用系统也逐渐地成为企业应用开发的主流，但是人们从中获得大量帮 助和好处的同时，也面临着采用j 2 e e 所带来的诸多挑战。如何快速构建一 个稳定，高效和满足需求的j 2 e e 系统成为目前企业分布式应用开发的首要 问题1 2 。 本人通过参与研制和开发天津市教委学位中心网上报名和考务管理系统 的项目，逐渐地体会到必须为基于j 2 e e 应用系统提供一套稳定、合理和健 全的安全策略，才能够保障系统的正常使用。于是，作者通过这个项目的研 究和开发，为基于j 2 e e 的分布式企业应用系统研制了一套从应用软件层和 系统软件层两层进行安全防护的安全策略，这便成为本论文选题的关键所 在。 本文阐述的安全防护策略把j 2 e e 应用系统中的安全问题划分为三个层 天津大学硕士学位论文第一章绪论 次：应用层、系统层和物理层。然后把这三个层次内采用的安全措旌有机的 整合在一起，构成了一个稳定、合理和健全的j 2 e e 企业应用的安全策略。 其中应用层采用基于角色的访问控制( r b a c ) 方法引入角色这一中介， 实现了用户与权限的逻辑分离，并且大大地方便了权限的管理。r b a c 是策 略中立的，通过角色的继承和职责分离等约束条件可以表达和支持多种安全 策略。 系统层采用分布式e j b 数据访问模块，数据加密、数据签名、认证回执 技术的组合，由这些技术构建了一套功能完备和可靠稳定的保护体系。 物理层就是从硬件层次上考虑安全问题，在这个层上的安全防护主要是 负责保障应用环境的最基本也是最根本的安全防护。 1 2 研究目的 本论文是作者通过主持开发天津市学位中心考试考务管理系统项目的研 制过后，重点考虑了基于j 2 e e 应用系统的安全性问题。同时把在应用系统 中的安全问题划分为三个层次：应用软件层、系统软件层和物理层，然后深 入分析和阐述这三个层次上安全防护的的特点，根据每个层次的特点设计研 制不同的安全措施，最后通过j 2 e e 的安全服务体系，把这些安全措施有机 的整合在一起，构成了一个稳定、合理和健全的企业应用的安全策略。 实践证明，本论文研究和实现的系统两层安全防护策略是构建一个基于 j 2 e e 企业应用的基础，它能够有效的维护系统的安全性，为企业应用提供可 靠的保障，是一个高效优秀的安全防护策略。 1 3 论文工作和组织 本论文研究和实现的系统两层安全防护策略是由应用层和系统层安全策 略组成的一个完整的j 2 e e 应用系统安全策略构架，在系统的每个层面中采 用的主要技术和模型如下： 应用层是j 2 e e 应用系统的应用软件层，主要涉及到的安全包括应用系统 资源的防护。对于内部资源，本文采用基于角色的访问控制( r b a c ) 方法引 入角色这一中介，实现了用户与权限的逻辑分离，并且大大地方便了权限的 管理。r b a c 是策略中立的，通过角色的继承和职责分离等约束条件可以表 达和支持多种安全策略。 天津大学硕士学位论文第一章绪论 系统层则是代表了j 2 e e 应用系统运行的系统软件环境，这是应用软件的 支撑层，也是一个软件是否能够正常稳定运行的先决条件，如何保证在这个 层面下，应用系统和企业数据的安全性，就是非常重要的问题。本文采用分 布式e j b 数据访闯模块，数据加密、数据签名、认证回执技术的组合，由这 些技术构建了一套功能完备和可靠稳定的保护体系。 通过这些技术和模型的采用，再加上为应用系统的每个层面上做的针对 性极强的特殊考虑和处理，使得本文提出和采用的安全策略具有很高的安全 性和稳定性。 论文的组织结构如下： 第一章为绪论。交代了论文研究的课题背景、研究目的、论文的结构和 组织。通过对这几个部分的阐述，简单明晰的说明本文采用的技术和模型， 设计开发出的成果，同时对全文做了一个较为全面的概括。 第二章介绍了j 2 e e 的概念，系统结构和具有的优势。j 2 e e 是适用于创 建服务器应用程序和服务的j a v a2 平台企业版( j a v a2p l a t f o r me n t e r p r i s e e d i t i o n ，j 2 e e ) 。这是一种利用j a v a2 平台来简化企业解决方案的开发、 部署和管理相关的复杂问题的体系结构。为了能够为这种体系结构提供更高 级别的安全保障，所以有必要对j 2 e e 框架本身的特点和机制做深入的剖析 和分析。 第三章介绍了j a v a 2 平台的安全体系结构。在深入研究了j 2 e e 构架本 身之后，研究的重点将集中到j 2 e e 构架中有关安全的方面。j d k i 2 安全模 型中最主要部件包括：安全策略、访问许可权、保护域、访问控制核查、优 先级操作和j a v a 类的加载和实施方案。安全策略和访问许可权定义了可允 许的行为，而保护域和访问控制核查提供了实际的实旌，优先级操作和类加 载、实施方案在整个保护机制中提供了很有价值的帮助。 第四章详细描述了应用软件层的安全策略，基于角色的权限管理；基于 角色的访问控制( r b a c ) 方法引入角色这一中介，实现了用户与权限的逻辑 分离，并且大大地方便了权限的管理。r b a c 是策略中立的，通过角色的继 承和职责分离等约束条件可以表达和支持多种安全策略。 第五章详细描述了系统软件层的安全策略，以及采用分布式e j b 组件和 d a o 设计模式为结合实现的数据访问模块的应用数据层安全策略，其中涉 及到与数据加密、数据签名、认证回执技术的组合。 第六章介绍了物理层的安全保护策略。通过引入物理隔离器技术，使得 系统的安全防护策略由被动防御阶段提升到主动保护阶段，极大地提升了系 统的安全性。 天津大学硕士学位论文 第一章绪论 第七章为论文的总结，给出本论文的结论，并客观的分析了本文研究的 这套安全策略的优势和缺陷，最后展望了未来企业应用和构建基于j 2 e e 分 布式企业应用中安全策略的发展方向。 天津大学硕士学位论文第二章j 2 e e 技术分析 2 1j 2 e e 的概念 第二章j 2 e e 技术分析 j 2 e e 是适用于创建服务器应用程序和服务的j a v a2 平台企业版( j a v a2 p l a t f o r me n t e r p r i s ee d i t i o n ，j 2 e e ) 。这是一种利用j a v a2 平台来简化企业 解决方案的开发、部署和管理相关的复杂问题的体系结构。j 2 e e 技术的基础是 核心j a v a 平台或j a v a2 平台的标准版，j 2 e e 不仅巩固了标准版中的许多优点， 例如“编写一次、随处运行”的特性、方便存取数据库的j d b ca p i 、c o r b a 技术 以及能够在i n t e r n e t 应用中保护数据的安全模式等等，同时还提供了对e j b ( e n t e r p r i s ej a v a b e a n s ) 、j a v as e r v l e t sa p i 、j s p ( j a v as e r v e rp a g e s ) 以及) ( m l 技术的全面支持。其最终目的就是成为一个能够使企业开发者大幅缩短 投放市场时间的体系结构m 。 j 2 e e 体系结构提供中间层集成框架用来满足无需太多费用而又需要高可用 性、高可靠性以及可扩展性的应用的需求。通过提供统一的开发平台，j 2 e e 降 低了开发多层应用的费用和复杂性，同时提供对现有应用程序集成强有力支持， 完全支持e n t e r p r i s ej a v a b e a n s ，有良好的向导支持打包和部署应用，添加目 录支持，增强了安全机制，提高了性能。 j 2 e e 规范的特点在于集成性和平台无关性。它的目的是集成在服务器端开发 中需要使用的所有成熟的技术、产品和解决方案，向上提供标准的服务接口，为 服务器端的应用程序和构件提供一个统一的开发和运行平台，成为更广泛意义上 的平台无关。 2 2j 2 e e 的四层模型 j 2 e e 使用多层的分布式应用模型，应用逻辑按功能划分为组件，各个应用组 件根据他们所在的层分布在不同的机器上。事实上，s u r l 设计j 2 e e 的初衷正是 为了解决两层模式( c l i e n t s e r v e r ) 的弊端，在传统模式中，客户端担当了过多 的角色而显得臃肿，在这种模式中，第一次部署的时候比较容易，但难于升级或 天津大学硕士学位论文第二章j 2 e e 技术分析 改进，可伸展性也不理想，而且经常基于某种专有的协议一一通常是某种数据库 协议。它使得重用业务逻辑和界面逻辑非常困难。现在j 2 e e 的多层企业级应用 模型将两层化模型中的不同层面切分成许多层。一个多层化应用能够为不同的每 种服务提供一个独立的层，以下是j 2 e e 典型的四层结构”，如图2 - 1 ： 运行在客户端机器上的客户层组件 运行在j 2 e e 服务器上的w e b 层组件 运行在j 2 e e 服务器上的业务逻辑层组件 运行在e i s 服务器上的企业信息系统( e n t e r p r i s ei n f o r m a t i o ns y s t e m ) 层软件 2 3j 2 e e 的体系结构 赳= ；而日- l ：- - h “。一 啊k 琳_ 融瞄z “i m l b e 一 l m _ h 厂r 蠢跚缸害目b i 露笃缢主| ：一，癣用溉务键一，： 图2 - 1j 2 e e 的四个独立层 j 2 e e 是一种技术体系规范，为开发企业应用提供了一个统一的平台，定义了 整个标准的应用开发体系结构和一个部署环境。在这个体系结构中，应用开发者 重点关注于封装应用的商业逻辑和商业规则。这样就使得j 2 e e 的开发人员可以 集中考虑应用系统的逻辑和相关的服务，而所有的于基础服务相关的事情都交由 基础结构负责和实现。同时，j 2 e e 也没有指出如何建立j 2 e e 的运行环境，它只 是提供了运行环境基础结构的抽象一容器4 1 。所以，j 2 e e 的体系结构中的核心是 容器的体系结构。 天津大学硕士学位论文 第二章j 2 e e 技术分析 图2 2j 2 e e 的体系结构 图2 2 主要展示了在j 2 e e 体系结构中，提供的各种技术、服务和协议，下 面就从这三个方面全面的介绍一下j 2 e e 的体系结构。 1 j 2 e e 中的技术 1 s e r v l e t ：服务器小程序，是运行在w e b 服务器端的j a v a 小程序，用 来扩展w e b 服务器功能。它是一种小型的、独立于系统平台的服务器 程序。s e r v l e t 是一种j a v a 提供的扩展w e b 服务器功能的技术，可 以像本地j a v a 程序一样使用j a v a 编程资源，包括使用j d b ca p i 来 访问数据库，使用s o c k e t 完成进程和机器间通信等。 2 j s p ：j a v as e r v e rp a g e ，是服务器端的脚本语言，以j a v a 和s e r v l e t 为基础开发而成的动态网页生成技术，它的底层实现是j a v a s e r v l e t 。j s p 页面由h t m l 代码和嵌入其中的j a v a 代码组成。 3 j a v a b e a n ：j a v a 程序组件，是一个j a v a 类，遵循一定的结构规范。 最初的j a v a b e a n 的设计主要是用于j a v a g u i 的开发，一个j a v a b e a n 在g u i 就相当于一个封装好的控件，具有属性和事件响应机制。然而， 随着基于w e b 的应用成为j a v a 开发的主要方向，j a v a g e a n 的使用也 偏离了其设计的初衷，现在j a v a b e a n 主要用于在w e b 应用中的一个 逻辑层处理单元或者是数据持久时的对象一关系映射。 4 e j b ：e n t e r p r i s ej a v ab e a n ，企业级j a v a 组件，是一种可以在多层 的分布式环境中部署的服务器端组件，简化了用j a v a 开发企业级的 分布式组件程序的过程。e j b 定义了如何编写服务器端组件，并且为 服务器端组件和管理这些组件的应用服务器之间提供了标准的协议。 天津大学硕士学位论文第二章j 2 e e 技术分析 j 2 e e 技术之所以赢得媒体广泛重视的原因之一就是e j b 。它们提供了 一个框架来开发和实施分布式商务逻辑，由此很显著地简化了具有可 伸缩性和高度复杂的企业级应用的开发。e j b 规范定义了e j b 组件在 何时如何与它们的容器进行交互作用。容器负责提供公用的服务，例 如目录服务、事务管理、安全性、资源缓冲池以及容错性。值得注意 的是，e j b 并不是实现j 2 e e 的唯一途径，由于j 2 e e 的开放性，使得 有的厂商能够以一种和e j b 平行的方式来达到同样的目的。 2 j 2 e e 中的服务 l j d b c ：是访问关系型数据库的a p i ，为访问不同的数据库提供了一种 统一的途径，就像o d b c 一样，j d b c 对开发者屏蔽了底层的实现细节， 对数据库的访问也具有平台无关性，同时j d b c 提供了企业应用数据 库访问控制的其他方面的需求。 2 j n d i ：j a v an a m i n ga n dd i r e c t o r yi n t e r f a c e ，j n d ia p i 被用于执 行名字和目录服务。它提供了一致的模型来存取和操作企业级的资源 如d n s 和l d a p ，本地文件系统，或应用服务器中的对象。 3 j m s ：j a v am e s s a g es e r v i c e ，是用于和面向消息的中间件相互通信 的应用程序接口( a p i ) 。它既支持点对点的域，也支持发布订阅 ( p u b l i s h s u b s c r i b e ) 类型的域，并且提供对下列类型的支持：经认 可的消息传递，事务型消息的传递，一致性消息和具有持久性的订阅 者支持。 4 j t a ：j a v at r a n s a c t i o na r c h i t e c t u r e ，即j a v a 事务a p i ，它是一 种处理事务的方式，应用系统由此可以访问各种事务监控。 5 j a v a m a i l ：j a v a m a i l 是用于存取邮件服务器的a p i ，它提供了一套邮 件服务器的抽象类。不仅支持s m t p 服务器，也支持i m a p 服务器。 6 j t s ：j a v at r a n s a c t i o ns e r v i c e ，是c o r b af i r s 事务监控的基本实 现。j t s 规定了事务管理器的实现方式。该事务管理器是在高层支持 j a v at r a n s a c t i o na p i ( j t a ) 规范，并且在较底层实现o m gf i r s s p e c i f i c a t i o n 的j a v a 映像。 。j t s 事务管理器为应用服务器、 资源管理器、独立的应用以及通信资源管理器提供了事务服务。 7 j c a ：j a v ac o n n e c t o ra r c h i t e c t u r e ，是j a v a 连接器结构，它在j 2 e e 中引入一个j 2 e e 服务提供者接口，允许那些支持企业信息系统访问 的资源适配器插入到任何j 2 e e 产品中。它在j 2 e e 服务器和资源适配 器之间定义了一套标准的系统级协定。连接器技术规范定义了一个简 单的结构，在此结构上j 2 e e 应用程序服务器和其他的老式系统开发 天津大学硕士学位论文第二章j 2 e e 技术分析 商可以合作建立“即插即用”的组件，从而方便了访问老式系统。 8 j a a s ：是j a v a 认证与授权服务，支持认证服务并执行对用户的访问 控制，它是标准可插入认证模块框架结构的j a v a 版，并且采用兼容 支持基于用户授权的方式对访问控制体系结构进行了扩展。 3 j 2 e e 中的协议 1 r m i ：r e m o t em e t h o di n v o k e ，远程方法调用，是基于分布式对象的 应用程序的一个重要机制。r m i 允许使用接口来引用远程对象，客户 端通过接口来调用远程对象，这种调用就好像在本地调用一样，对客 户端来说是透明的，同时使用了序列化方式在客户端和服务器端传递 数据。 2 r m i - i i o p ：是r m i 协议的扩展，它是在i i o p 协议上实现的，利用它 可以定义一个通向任何远程对象的远程接口，这些对象支持可以用任 何o m g 映射和0 r b 的语言实现。r m i i i o pa i p 允许使用跟底层协议 无关的r m i 编程风格，同时在i i o p 协议的支持下，j 2 e e 应用能够使 用r m i i i o p 访问同r m i 编程限制兼容的c o b r a 服务，这样的c o b r a 服务通常由j 2 e e 产品以外的遗留系统所定义。 3 j a v a i d l ：在j a v ai d l 的支持下，开发人员可以将j a v a 和c o r b a 集 成在一起。他们可以创建j a v a 对象并使之可在c o r b ao r b 中展开，或 者他们还可以创建j a v a 类并作为和其它o r b 一起展开的c o r b a 对象 的客户。后一种方法提供了另外一种途径，通过它j a v a 可以被用于 将你的新的应用和旧的系统相集成。 2 4j 2 e e 的优势 j 2 e e 为搭建具有可伸缩性、灵活性、易维护性的企业应用系统提供了良好的 机制： 1 保留现存的i t 资产：由于企业必须适应新的商业需求，利用已有的企业 信息系统方面的投资，而不是重新制定全盘方案就变得很重要。这样，一 个以渐进的( 而不是激进的，全盘否定的) 方式建立在已有系统之上的服 务器端平台机制是公司所需求的。j 2 e e 架构可以充分利用用户原有的投 资，如一些公司使用的b e at u x e d o 、i b mc i c s ，i b me n c i n a ，、i n p r i s e v i s i b r o k e r 以及n e t s c a p ea p p l i c a t i o ns e r v e r 。这之所以成为可能是 因为j 2 e e 拥有广泛的业界支持和一些重要的企业计算领域供应商的参 与。每一个供应商都对现有的客户提供了不用废弃已有投资，进入可移植 天津大学硕士学位论文 第二章j 2 e e 技术分析 的j 2 e e 领域的升级途径。由于基于j 2 e e 平台的产品几乎能够在任何操作 系统和硬件配置上运行，现有的操作系统和硬件也能被保留使用。 2 高效的开发：j 2 e e 允许公司把一些通用的、很繁琐的服务端任务交给中 间件供应商去完成。这样开发人员可以集中精力在如何创建商业逻辑上， 相应地缩短了开发时间。高级中间件供应商提供以下这些复杂的中间件服 务： o 状态管理服务一让开发人员写更少的代码，不用关心如何管理状 态，这样能够更快地完成程序开发。 o 持续性服务一让开发入员不用对数据访问逻辑进行编码就能编 写应用程序，能生成更轻巧，与数据库无关的应用程序，这种应用 程序更易于开发与维护。 o 分布式共享数据对象c a c h e 服务一让开发人员编制高性能的系 统，极大提高整体部署的伸缩性。 3 支持异构环境：j 2 e e 能够开发部署在异构环境中的可移植程序。基于j 2 e e 的应用程序不依赖任何特定操作系统、中间件、硬件。因此设计合理的基 于j 2 e e 的程序只需开发次就可部署到各种平台。这在典型的异构企业 计算环境中是十分关键的。j 2 e e 标准也允许客户订购与j 2 e e 兼容的第三 方的现成的组件，把他们部署到异构环境中，节省了由自己制订整个方案 所需的费用。 4 可伸缩性：企业必须要选择一种服务器端平台，这种平台应能提供极佳的 可伸缩性去满足那些在他们系统上进行商业运作的大批新客户。基于j 2 e e 平台的应用程序可被部署到各种操作系统上。例如可被部署到高端u n i x 与大型机系统，这种系统单机可支持6 4 至2 5 6 个处理器。( 这是n t 服务 器所望尘莫及的) j 2 e e 领域的供应商提供了更为广泛的负载平衡策略。 能消除系统中的瓶颈，允许多台服务器集成部署。这种部署可达数千个处 理器，实现可高度伸缩的系统，满足未来商业应用的需要。 5 稳定的可用性：一个服务器端平台必须能全天候运转以满足公司客户、合 作伙伴的需要。因为i n t e r n e t 是全球化的、无处不在的，即使在夜间按 计划停机也可能造成严重损失。若是意外停机，那会有灾难性后果。j 2 e e 部署到可靠的操作环境中，他们支持长期的可用性。一些j 2 e e 部署在 w i n d o w s 环境中，客户也可选择健壮性能更好的操作系统如s u ns o l a r i s 、 i b m0 s 3 9 0 。最健壮的操作系统可达到9 9 9 9 9 的可用性或每年只需5 分 钟停机时间嘲。这是实时性很强商业系统理想的选择。 天津大学硕士学位论文第二章j 2 e e 技术分析 2 5j 2 e e 的安全目标 j z e e 体系结构能够作为通用的构建安全健壮的应用系统基础框架，必须能够 为应用系统提供足够的安全保障，所以j 2 e e 的安全目标应该包括下面几个方面： 移植性：j z e e 安全体系必须支持一次编写，处处运行的特性。 透明：应用程序组件提供者提供组件时不必知道组件需要的具体安全机 制。 隔离性：部署者和系统管理者建立管理安全策略，而j 2 e e 平台按照这些安全 策略执行认证和访问控制。把负责安全的工作从应用程序中分离出 来，保证了应用程序更加轻便。 可扩展性：安全感知的程序使用平台的服务时不应该减少应用程序的可移植 性。为了程序可以在安全环境中访问信息，应用服务器提供了在组 件编程模型中使用的标准a p i ，使得组件采用标准的方法与容器或 服务器交互安全信息。 抽象性：组件的安全需求逻辑上用部署描述符说明。安全角色和访问要求被 映射到环境的特定安全角色、用户和策略。部署者可以选择修改安 全属性使得和部署环境一致，部署描述符描述哪些参数可以修改， 哪些不行。 独立性：需要的安全行为和部署协议可以使用多种流行的安全技术实现。 对于一个基于j 2 e e 构架的应用系统而言，如果仅仅采用了j 2 e e 构架构架系 统还是远远不够的，即使j 2 e e 已经提供了足够的安全策略。应用系统必须根据 本系统的特点和应用环境，结合j 2 e e 构架的安全基础服务，开发设计更为适用 的安全策略。 本文正是在j 2 e e 安全策略的基础上，以j 2 e e 安全目标为方向，同时结合了 普遍应用系统的实际特点研发的，所以，更能够保障系统的安全性。对于应用系 统而言，如果采用了本文提出的安全策略，那么势必会深入系统地加强应用系统 的安全性。 天津大学硕士学位论文 第三章j a v a 2 的安全体系结构 第三章f f a v a 2 的安全体系结构 本章主要讨论j d k l 2 安全结构的内部机制，它支持策略驱动、基于许可权的、 灵活的及可扩展的访问控制。j d k l 2 安全模型中最主要部件包括：安全策略、访 问许可权、保护域、访问控制核查、优先级操作和j a v a 类的加载和实施方案啪。 安全策略和访问许可权定义了可允许的行为，而保护域和访问控制核查提供了实 际的实施，优先级操作和类加载、实旌方案在整个保护机制中提供了很有价值的 帮助。 3 1j a v a2 的安全策略 j a v a 运行系统的安全行为由安全策略来指定。在抽象性术语中，安全策略是 一个典型的访问控制矩阵，即什么样的系统资源，用哪种形式，在哪些环境下可 以被访问。例如，表3 一l 中矩阵的一项“当运行一个从h t t p ：j a v a s u n c o n l 下载 的a p p l e t 时，允许它读文件x ”。更具体一些，一个安全策略是从描述运行代码 的一套特征到代码所允许的访问许可权的映射。 表3 1 策略矩阵 代码许可权 签名c h a r l e s s c h w a ba p p l e t 读和写t m p 和h o m e g o n g s t o c k 未签名c h a r l e s s c h w a ba p p l e t连接和接受b a n k o f a m e r i c a c o m 本地应用程序读和写t m p j d k l 2 运行时，系统的安全策略由一组策略组成，可由用户或系统管理员配 置。j a v a 运行环境外的策略有许多种表示形式。如，j d k l 2 的缺省实现使用a s c i i 形式，且策略存储在a s c i i 文件中。 因此j a v a 运行环境内的安全机制可以引用策略，策略内容必须在p o l i c y 对象 内表达，而p o l i c y 对象是j a v a s e c u r i t y p o l i c y 类的子类的实例化。由于任 何人都可以实例化这样的一个对象，因此p o l i c y 对象的许多实例可以同时存在。 天津大学硕士学位论文 第三章j a v a 2 的安全体系结构 然而，任何时刻都只有一个p o l i c y 对象起作用，感觉上是安全机制在对p o l i c y 实例提问。 p o l i c y 类是一个抽象类，所以p o l i c y 对象是从p o l i c y 孑类，而非p o l i c y 类实 例化来的。而安全策略由p o l i c y 子类来表示，这个子类提供这个p o l i c y 类中抽象 方法的一个实现。下面为p o l i c y 的四个重要方法： p u b l i cs t a t i cp o l i c yg e t p o l i c y ( ) ： p u b l i cs t a t i cv o i ds e t p o l i c y ( p ol ic yp o l i c y ) ： p u b l i ca b s t r a c tp e r m i s s i o n sg e t p e r m i s s i o n s ( c o d e s o u r c ec o d e s o u r c e ) ： p u b l i ca b s t r a c tv o i dr e f r e s h 0 ： 通过调用g e t p o l i c y 方法可以得到当前安装的p o l i c y 对象。这个对象保存着 策略的运行代表，这个对象或者在j a v a 启动时实例化，或者当安全策略首次使用 时实例化。这个对象随后可以借助安全机制改变，如通过调用s e t p o l i c y 方法。 策略信息的源位置由p o l i c y 对象使用直至u p o l i c y 实现。它可以以简单的 a s c i i 文件形式存储，也可以以p o l i c y 的连续二进制文件或者数据库形式存储。 r e f r e s h 方法使得p o l i c y 对象更新或重装当前配置，这依赖于实现。例如。如果 p o l i c y 在配置文件中存储它的策略内容，调用r e f r e s h 会使它重读配置策略文件。 然而， j d k l 2 中的缺省实现并不影响已加载的类，它们仍保留着被赋予的许可 权，即使这些许可权和新安全策略冲突。同时，在策略更新后加载的新类在新策 略下也不赋予许可权，这些都依赖于类加载器是如何实现的。例如，如果它们存 储了旧的策略内容，那么将会使用这些内容而不是新策略内容。 可以通过p o l i c y p r o v i d e r 安全属性的值( 在j a v a 安全属性文件中) 将缺省 的p o l i c y 实现变为p o l i c y 实现类的合格的名字。j a v a 安全属性文件位于： j a v a h o m e l i b s e c u r i t y j a v a s e c u r i t y 其中j a v a h o m e 指安装j r e ( j a v a 运行环境) 的目录。例如，如果你在s o l a r i s 上安装了j d k l 2 ，安全属性文件位于： j d k l 2 j r e 1 i b s e c u r i t y j a v a s e c u r i t y 。如果你在s o l a r i s 上安装了j r e l 2 ， 这个文件位于：j r e l 2 1i b s e c u r i t y j a v a s e c u r i t y 。 把策略部件设计成一个提供器结构，以便有足够的灵活性。这样的话，就可 以随意地获得策略内容。期望通过多种方法实现策略部件，然后为策略部件设计 提供丰富的a p i 是不太可能的。 策略内容很敏感，g e t p o l i c y ( ) 方法是公用的、静态的，任何人都可以调用 它，这样就安装了一个合适的