（计算机应用技术专业论文）教学管理系统中安全模式的研究与应用.pdf

摘要 随着讨算机应用领域的不断扩大，互联网络技术的高速发展，工 业界和学术界越来越关注基于w e b 的应用系统的安全性，对应用系统 安全性的研究也逐渐成为软件工程领域的一个重要课题。对安全模式 进行复用正是解决安全问题的可行方案之一。 本文立足于中南大学教学管理系统，首先对系统的安全需求进行 了分析，在此基础上对系统设计中采用的安全模式进行了详尽的研 究，并将所研究的内容实施应用于教学管理系统之中，编程实现了所 研究的安全模式，最后，对研究与开发的工作进行了总结，并展望了 今后的研究方向。由于系统是建立在微软新推出的n e t 平台之上的， 因此文章对n e t 框架本身所具有的各类安全功能也进行了较为深入 的研究。 本文对于安全模式的研究具有一定的创新性。首先是提出了一个 新的安全模式模版，该模版加入了使用限制、反例、相关安全模式等 新的属性，因此能够更好的体现出模式中与安全相关的特性。其次是 提出了安全通信、安全出错等新的安全模式，同时在模式论述的过程 中引入u m l 中的类图和顺序图，使得描述更加清晰，直观。最后，本 文对安全模式的研究是建立在教学管理系统之上的，通过在实际的系 统中编码实现了各个安全模式，对模式的有效性进行了测试。 关键词安全模式，n e t 框架，l r m l ，v m ，教务管理 a b s t r a c t w i mt h ee x p a n s i o no fc o m p u t e r 印p l i c a t i o nd o m a i na n dt h e f a s t d e v e l o p m e n t o fi n t e m e t t e c h n o l o g y ，m e r e s e a r c ho nt h e s e c u r i t y o f w e b - b a s e d 印p l i c a t i o ns y s t e m j s a b s o r b i n gm o r ea n e n t i o n a f o u n dm e a c a d e m i ca n di n d u s t r i a lw o 订d ，a 1 1 dt h es t u d yo ns y s t e ms e c u r i t yb e c o m e s a ni m p o r t a n tp m b l e mi ns o f t w a r ee n g i n e e r i n gd o m a i n r e u s i n gs e c 谢t y p a t t e m s i so n eo ft h ep o s s i b l ew a y st os o l v em e s e c u r i 锣p r o b l e m s t h i s p a p e r i se s t a b l i s h e do n协ee d u c a t i o n a la d m i n i s t r a t i o n m a i l a g e m e mw e bs y s t e mo fc e n t r a ls o u mu n i v e r s i t y i tf i r s ta 1 1 a l y z e s t 1 1 es e c u r i t yr e q u i r e m e n t so ft h es y s t e m ，a n dm a k e sam o r o u g hs t u d yo f s e c u r i 够p a t t e m sb a s e do nt h ea n a l y s i s ，t 1 1 e n 印p l i e sw h a tt h ew i t e r h a s s t u d i e dt ot h es y s t e ma n d f i n a l l ym a k e s as u m m a r yo fm e s t u d y w o r ka n d p r o s p e c t st h e 如t u r es t u d yo r i e n t a t i o n b e c a u s et e a c h i n gm a n a g e m e n t w e b s y s t e m i sd e v e l o p e do nm i c m s o r s n e t 行a m e w o r k ，s om i sp 印e r a l s om a k e sas t u d yo fm es e c u r i t yf e a t u r e sm a t n e t 仔a m e w o r ko w n s i n d e p t h t h e p 印e r ss t u d yo ns e c u r i t ) rp a t t e m s h a ss o m ei n n o v a t i o n f i r s tw e p r e s e n tan e ws e c u r i t yp a t t e mt e m p l a t e ；t h i st e m p l a t ea d d ss o m en e w s e c u r i t y f e a t u r e ss u c ha s c o n s t r a i n t s ，c o u n t e r - e x a m p l e s a n dr e l a t e d s e c u r i t yp a t t e m s s o m e t e m p l a t e c a l lb e t t e re x p r e s sm e s e c u r i 哆s p e c i a l i t y t h es e c o n di n n o v a t i o ni sm a tw ep r e s e n ts e v e r a ln e ws e c u r i t yp a t t e m s s u c ha ss e c u r ec o m m u n i c a t i o na 1 1 df a i l s a f e l y w ea n a l y z ea n dd i s s e r t a t e t 1 1 e s ep a t t e r n sa n di m p o r tc l a s sd i a g r 锄龇1 ds e q u e n c ed i a g r 眦t om a k e t h ed e s c r i p t i o nm o r e s t r a i g h ta n dc l e a r a a s t ，w ei m p l e m e n t m e s e c u r i t y p a t t e m ss t u d i e da b o v e i nar e a ls y s t e m ，a n da l s ot e s tt h ea c t u a lv a l i d i t yo f a l lt h es e c u r i t yp a t t e r n s k e yw o r d s s e c u r i t yp a t t e m s ， n e t f a m e w o r k ， in i ，帆， e d u c a t i o n a la 幽i n i s t r a t i o nm a n a g e m e n t i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在在论文中作了明确的说 明。 作者签名：整鍪厘曰期：二翌生年至月盟目 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：薹磊导师签舣：趋蜉旦月写日 硕士学位论文 概论 1 1 课题来源和背景 第一章概论 本课题来源于“中南大学教学管理系统”。众所周知，教学管理工作是高等 学校教育工作的一项重要内容，是整个学校管理的核心和基础，是保证高校教学 机制正常运转的枢纽，它是一项目的性、计划性、适应性、创造性和科学性很强 的工作。由于教学管理工作关系到高校教学秩序的稳定和教学质量的提高，关系 到高校的发展和人才的培养，因此在高校中占有相当重要的地位。 中南大学曾经于1 9 9 9 年开发了自己的教学管理系统，在系统投入使用后大 大提高了教学管理的规范性和工作效率，收到了很好的效果。但是经过数年的使 用之后，随着教学体制改革的深入进行，随着中南工大、湖南医科大学、长沙铁 道学院三所院校的合并，原有的系统已经不能满足新形势下的实际需求，因此开 发一个新的教学管理系统势在必行。有鉴于此，我们以原有系统为参考模型，采 用新的编程技术和开发工具，从2 0 0 2 年开始重新开发了基于校园网的教学管理 系统。 由于我们开发的教学管理系统是一个基于纯b s ( b m w s e r s e r v e r ，浏览器 服务器) 模式的应用系统，具有很强的开放性，任何能连上互联网的用户都能访 问该系统，因此系统可能会遭受到恶意用户的攻击。同时又因为教务管理系统负 责处理学生成绩、教学计划、教学任务等敏感数据，因此如何确保本系统的安全 性就成为应用开发中非常重要的一环，它对于评价本系统是否成功占有举足轻重 的地位。 然而从软件开发的角度来说，一个缺乏经验的开发人员要想设计出个安全 的系统是十分困难的，因为这些开发人员往往并不同时也精通系统安全。这些开 发人员在设计系统的时候，一开始通常会专注于系统的应用功能，而忽略了系统 的安全性，然后在软件开发完成之后再考虑安全因素，添加一些与安全相关的功 能模块。这样做的结果不但是无法确保系统的安全性，还往往可能会为系统添加 一些本可避免的漏洞或后门，甚至会对系统运行性能造成很大的影响。 实际上，在应用系统安全领域，存在着许多成功的案例，前述问题之所以存 在，主要的原因是开发人员没有很好的学习和利用前人的成功经验。而导致这种 现象的一个很重要原因就是人们在开发过程中不重视甚至忽略了对这种经验的 总结和加工。而这也正是安全模式所想要解决的问题。 堡主堂堡堡奎 一堕 1 2 安全模式现阶段的研究现状 模式是人们实践经验的总结。模式的研究起源于建筑工程设计大师 c h r i s t o d h e ra 1 e x a i l d e r 关于城市规划和建筑设计的著作。尽管他的著作是针对 城市规划和建筑设计的，但是作者的观点实际上适用于所有的工程设计领域。而 促使设计模式思想广泛传播的关键事件是一本书的出版：d e s i j ；1 1 p a 钍e m s ： e l e m e n t so fr e u s a b l eo b e c t o r i e n t e ds o 胁a r e 【引。它的作者是b r i c h ( 妇i 工】m a ， m c h a r d h e h n ，r a l p hj o l l l l s o n 和j o l l i l v l i s s i d e s ( 常被称为“四人帮”，g a n g o f f o u r ， 或g o f ) 。该书出版后，其包含的设计模式的思想被广泛接受。现在，设计模式 常用于软件的体系结构和系统设计，但模式的概念也逐渐开始应用于软件开发的 其他领域f 3 0 3 ”，其中就包括软件开发的安全性与可靠性。 所谓安全模式，就是对被用来在特定场景下解决安全问题的类和互相通信的 对象的描述。安全模式的思想源于设计模式。在1 9 9 3 年，f e m a l l d e z 等人提出了 面向对象的数据库中基于访问类型的授权模型 3 】；在1 9 9 6 年的美国的n i s s c ( n a t i o n a li n f o r t n a t i o ns v s t e m ss e c 嘣t vc 0 n f e r e n c e ，全国信息系统安全年会) 上， d e b o r a hf r i r l c k e 探讨了由g o f 提出的2 3 条设计模式所派生出来的一些安全开发 思想【4 这些文章可以看作是安全模式思想的雏形。1 9 9 7 年，y o d e r 和b a r c a l o w 明确提出了在开发应用程序中可以使用的一系列安全模式垆】，同年，we s s m a y r 等人介绍了面向对象的访问控制思想及其在访问关系数据库中的实际应用【6 】，此 后，fl e e b m w n 等人提出了一个称为认证者的模式i ”，这个模式可以对访问分 布式组件的请求进行认证。除此此外，f e m a l l d e z 等人还提出了安全建模的一种 模式语言1 8 ；m s c h 啪a c h e r 等人提出了如何使用安全模式对系统安全进行分析 【9 ；sk o n r a d 和b c h e n g 等人提出了如何使用安全模式对安全需求进行建模与 分析【1 0 ；s a s h ar d m a n o s k y 则提出了数种应用于企业级开发的安全模式】； p r e m k u n a rtd e v a n b u ，m i r o s l a vn s 等人分别提出了安全模式在软件工程领域 中的应用m ”】。2 0 0 3 年，h a r a l 锄b o s m o u r a t i d i s ，p a 0 1 0 g i o r g i i l i 等人提出了一系 列应用于a g e n t 系统的安全模式。 目前从事安全模式研究的主要是学术界和软件业界的专业人士。在每年的 e u r 0 p l o p ( e 1 1 r o p e a nc o n f e r e n c e o np a 札e ml a n g u a g e so f p r o 掣锄s ，欧洲编程模式 语言年会) 上，都会发表相当数量的与安全模式相关的论文。o p e n u p 的安全 论坛正在建设一个安全模式的相关数据库，其中成果之一就是t i v o l i 佃m 的b o b b i a k l y 组织编写的一本关于安全模式的书籍“s e c u r i t yd e s i 舭p a 仕e m s ” 1 3 】，作 者在书中介绍了三十二个不同的安全模式。c r a i ga + b e r r y ，j o l l nc 锄e l l 等人在著 作j 2 e e d e s i g n p a t t e m s a p p l i e d 【1 4 】中，辟出专门的一章介绍了j 2 e e 程序开发 设计中所使用到的安全模式。一批安全模式的研究者建立了一个专门的关于安全 2 硕士：学位论文 概论 模式的邮件列表【4 3 】。而在安全模式社区的努力之下，一本由m a r k u ss c h u m a c h e r ， e d u a r d ob f e m a n d e z 等人组织编写的关于安全模式的专著也即将由w i l e y 出版 社出版。至于国内对安全模式的研究，目前基本尚处于一片空白。 软件业界对于安全模式的研究存在着两种趋势，一种是集中精力研究某一种 安全模式，比如说基于是色的访问模式，单一登录入口模式，这些模式每一个都 又可以细分成数个更加微小的模式；而另一种趋势是把任何与安全性相关的内容 都归结为模式，譬如代码的安全性、数据有效性的验证、代码重构等，而实际上 这些都是一些编程时应注意的相关事项与常用技巧，是每个程序员在开发时都应 遵循的编码准则，与安全模式并不能完全等同起来。 总体来说，对安全模式的研究目前尚处于初期阶段，研究的内容偏向于模式 理论的提出，许多安全模式仅仅是作者个人长期开发经验的总结，尚未得到广泛 的实践与应用，还有一些模式则尚未得到公认。 l _ 3 研究的内容与意义 在广泛参考国内外参考文献的基础上，以中南大学教学管理系统为依托，本 文试图从安全模式角度出发对应用系统的安全性进行一番研究。通过安全模式中 新模版和新模式的提出，论证系统开发中安全模式的有效性。同时结合教学管理 系统的实际需求，对登录系统的开发、口令的设置、信息的加密存储与传输、错 误的自动处理进行了研究，并结合项目实施给出在n e t 平台下各安全模式的具 体实现。 由于安全模式是对系统开发中的安全技术和手段加以分析和提炼后的总结， 因此研究安全模式既具有很强的理论意义又具备很高的现实意义。通过使用安全 模式，我们可以复用安全专家所提出的成熟的安全思想，减少系统中可能潜藏的 漏洞，开发出安全性和可靠性更高的系统。 本文的意义在于： ( 1 ) 提出了新的安全模式模版，加入了使用限制、反例、相关安全模式等属 性，使模板定义能够更好的体现安全特性。 ( 2 ) 提出了安全出错，安全通信等数个新的安全模式。 ( 3 ) 将所研究的安全模式部署于一个实际的系统之中，编码实现了所研究的 各模式，对模式的有效性进行了实际的测试。 1 4 论文的组织 论文全文共可分为七个部分。 第一章概论。这一章主要介绍课题的研究背景，意义和研究现状，包括安 堡主堂焦堡皇 塑堡 全模式的研究现状介绍，中南大学教学管理系统的应用背景的简要介绍。 第二章安全模式研究。这章首先通过对经典的设计模式模版的研究和比 较，并结合安全相关的一些特性，提出了一个新的安全模式模版，并使用x m l 对该模版加以描述，以利于安全模式的复用。然后按照结构型、创建型、行为型 三种模式类型对安全模式进行了分类和研究，并提出了安全出错，安全通信等数 个新的安全模式。 第三章n e t 框架的安全特性。这一章从基于角色的安全性，基于代码的安 全性，隔离存储和密码系统四个方面对n e t 框架的安全性进行了研究，并介绍 了a sp n e t 应用程序的安全性和配置文件在n e t 系统中的重要性。 第四章教学管理系统设计方案。这一章主要介绍了教学管理系统的系统设 计思想，网络拓秆结构，功能模块设计与并着重对系统的安全性与可靠性进行了 分析。 第五章安全模式在教学管理系统中的应用。这一章主要介绍了安全模式在 教学管理系统各模块中的实际部署与应用。 第六章教学管理系统实现的关键技术。这一章对教学管理系统中所用到的 一些关键技术进行了分析与论述。 第七章回顾与展望。这一章对先前所做的研究和实践工作进行了总结，并 展望了今后的研究方向和工作。 堡主堂垡笙奎一室全望墨堕 2 。l 安全模式的模叛 第二章安全模式研究 在描述一个模式的时候，图形符号虽然能够起到一定作用，但由于图形往 往只是将设计过程的结果简单记录为类和对象的关系，所以并不能完全将模式 的内容表述清楚。为了达到设计复用的目的，我们还必须同时记录设计产生的 决定过程、选择过程和权衡过程。同时具体的应用实例也非常重要因为它们 将使开发人员看到实际的设计效果，有助于开发人员采用正确的模式。由于上 述的原因，我们需要采用统一的格式来描述模式，而这个格式就是模式的模版。 模版对于模式来说具有十分重要的意义，只有合理的定义了模版，对模式 的描述才会清楚，开发人员之间的相互交流才会清晰，明确；在使用模式的时 候才能更清楚的知道自己想要达到的设计目标和遇到困难时所能选用的解决问 题的方式，以及编程开发时到底应该选择使用哪一些模式。 2 i 1 设计模式的模版 目前比较流行的用于描述设计模式的模版主要有a l e x a n 撕a i l 模版， c a n o n i c a l 模版，c o p l i e n 模版，g o f 模版，c o m p a c t 模版，c o c k b u n l p m 模版， p o n l a n d 模版，b e c k 模版，f o w l e r 模版等几种【4 4 】。其中得到最广泛应用，为 绝大多数模式专家所认可的是e r i c hg 黜a 等人提出的g o f 模版1 2 】和a g 通信 系统提出的c a n o n i c a l 模版【1 5 。 ( 1 1 g o f 模版的定义 在g o f 的经典著作d e s i g np a t t e m s ：e l e m e n t so fr e u s a b l eo b j e c t o r i e n t e d s o f t w a r e 【2 j 中，采用了统一的格式来描述设计模式，每一个模式根据以下的定 义被分成若干部分。各部分名称和含义如表2 1 所示： 表2 - lg o f 模版定义 模式名称和分类模式名简洁的描述了模式的本质，模式的分类指明模式是属 于创建型，结构型，行为型中的哪一种 意图关于模式所作所为的简短说明 别名模式的其它名称 动机用以说明一个设计问题以及如何用模式中的类和对象来解决 问题的特定情景 适用性说明什么情况下可以使用该设计模式，该模式可用来改进哪 些不良设计，以及焦祥识景l l 汶牲惜猾 硕士学位论文安全模式研究 结构采用基于对象建模技术的最不法对模式中的荚迸仃图彤化的 描述 参与类参与该模式的类以及它们各自的职责 协作模式的参与者怎样协作咀共同实现它们的职责 效果指明模式如何支持它的目标，使用模式的效果和所需做的权 衡取舍，以及系统结构的哪些方面可以独立改变 实现实现模式时需要知道的一些提示、技术要点和应避免的缺陷 以及是否存在某些特定于实现语言的问题 代码示例用来说明如何实现该模式的代码片段 已知应用实际系统中发现的模式的例子 相关设计模式指明与这个模式紧密相关的模式有哪些 ( 2 ) c a n o n i c a i 模版的定义 a g 通信系统提出的c a l l o i l i c a l 模版和g o f 模版相比较，具有很多相似的地 方，但也存在一定的差别。相比而言，c a i l o n i c a l 模版对于模式的描述更加简洁 和精辟。该模版各部分名称和含义如表2 2 所示： 表2 2c a n o n i c a l 模版定义 模式名称简洁的描述了模式的本质 别名模式的其它名称 上下文 描述了待解决问题的上下文 动机 一个解说性的范例问题，表明该模式能够如何解决该问题 解决方案描述了问题的解决方案 结果上下文描述了解决方案的上下文 因果原理描述了解决方案后面的因果原理 已知应用 实际系统中发现的模式的例子 相关设计模式 指明与这个模式紧密相关的模式有哪些 草图 如果需要的话，用以描述该模式的草图 目前绝大多数模式研究人员在描述设计模式时都是采用上述的两种模版之 一来进行的，其它的模版一般只有少数人在小范围之内使用。 2 1 2 安全模式的模版 g o f 模版和c a n o n j c a l 模版虽然可以比较好的对现有大部分的设计模式进行 描述，但是由于安全模式的特殊性，这两个模版都不能很好的反映出与安全相 关的各种属性。例如在系统开发中应用安全模式后，可能会增加系统开发的额 外成本，对系统的运行性能可能会产生一定的影响，还有可能会增加系统的使 用成本。而这些特性从上述的两个模版中无法得到体现。因此在定义安全模式 6 受主兰丝堡奎兰堑鲨蔓堕 时，有必要对现有模版进行一定的修改，使之能够更好的表达出安全特性。这 里，我们综合g o f 模版和c 姐o n i c a l 模版的长处，并加入部分与安全相关的属性， 提出了一个新的专门用于描述安全模式的模版。该模版与g o f 模版和c a i l o n i c a l 模版之间的关系如图2 1 所示。 圈2 ，lg o f 模版扣c n i c a i 模版与安全模式模版之间的关系 一般来说，在应用系统设计时应该考虑的与安全性相关的特性包含如下几 个方面： f 1 ) 代价 代价包括采用安全模式后系统运行所需付出酶性能代价和系统开发所需花 费的金钱代价。 ( 2 ) 反例 由于使用安全模式可能会增加系统的使用代价，因此不是所有的系统都要 应用到所有的安全模式，这个反例即指明在哪些应用场合不需要使用这个安全 模式。 ( 3 ) 相关安全模式 与相关设计模式类似，相关安全模式指出了与该安全模式紧密相关的安全 模式。 考虑到上述因素之后，我们最后得到的安全模式模版各部分名称和含义如 表2 3 所示： 表2 3安全模式描述模版 模式名称模式名称简洁的描述了模式的本质 别名模式的其它名称 意图关于模式所作所为的个简短说明 动机用以说明一个设计问题以及如何用模式中的类和对象来 解决问题的特定情景，该情景有助于开发人员理解随后对 模式的更加抽象的描述 l 适用性说明什么情况下可以使用该设计模式，该模式可用来改进 哪些不瞧设计，以及廊该如何识别汶娑情况 硕士学位论文安全模式研究 解参与类参与该模式的各个类及其各自的职责 决结构采用u m l 3 3 】类图对模式进行图形化描述，用以展示模式 方中的类 式协作 模式的参与类之间怎样协作以共同实现它们的职责 结效果指明模式如何支持它的目标，使用模式的效果和所需做的 果 权衡取舍，以及系统结构的哪些方面可以独立改变 上好处 使用这个模式具有什么优点与好处 下 文 代价 使用这个模式对系统开发造成的成本影响 性能 使用这个模式会对系统性能造成怎样的影响，这个性能包 括负载性能和时间性能 行为 使用u m l 顺序图对安全模式的行为加以描述 己知应用 实际系统中发现的使用该模式的例子 反例 指明在什么时候不适合使用该安全模式 相关安全模式 指明与这个安全模式紧密相关的安全模式有哪些 相关设计模式 指明与这个安全模式紧密相关的设计模式有哪些 由于设计模式完全是针对面向对象程序设计的思想提出的，而安全模式并 不是完全面向对象的，其主要目标是增强系统的安全性，所以在描述安全模式 时并不能完全照搬设计模式的定义。存在一些安全模式，其对应的模版描述中 某些属性定义可能为空。 2 ，l - 3 安全模式的x m i ，描述 采用文本对安全模式进行描述具有定的局限性，不利于展现安全模式中 的结构和组成部分以及总体框架，难以实现对安全模式的有效存储、检索和修 改，更不利于在多用户环境中实现对模式的复用。为了解决上述的问题，我们 可以使用x m l 对安全模式的模版进行描述。 x m l ( e x t e n s i b l e m a 血u pl a n g l l a g e ，可扩展标记语言) 是s g m l ( s t a l l d a r d g e n e m l i z e d m 砌硼pl a l l g u a g e ，通用标记语言标准) 的一个子集 3 6 】，是用于标记 电子文档使其具有结构化的标记语言。它主要用于构建w 曲应用。x m l 以简洁 统一的结构使用数据。在多用户协同环境下，它定义了清晰的结构和存储机制 并支持多种检索方法，为半结构化数据提供了有效的通信、存储和检索的实现 方法。 血s c h e m a 负责定义和描述讧l 文档的结构和内容模式。它可以定义 ) 册l 文档中存在哪些元素和元素之间的关系，并且可以定义元素和属性的数据 类型。它本身是一个l 文档，符合l 语法结构。我们可以用通用的x m l 堡主堂焦兰奎一茎全堡塞! ! 墨 解析器解析它。 对于安全模式的模版，其结构部分的s c h e m a 描述如下所示 ? x m lv e r s i o n = ”】0 ”e n c o d n g - ”u t f _ 8 ” x s ：s c h e l l l ax m 嘛x 芦h 却：，w w w w 3 o r 啦0 0 1 屈m 乙s c h e m a “ e l e m e n l f o r m d e f a u l # ”q u a l i n e d x s ：e j e m e n t 陀仁”a 1 i a j n a m e ”m a x o c c u r s = ”u n b o 蛐d e d 卢 x s ：e l e m e n t1 1 a n l e = ”b e n e 而t ”t v p e = ”x s ：s t r i n f 卢 x s ：e l e m e n tn a m e = ”c o l l a b o r a t j o n s ”【、门p e = ”x s ：s t r i n g ”卢 x s ：e l e m e n tn a m e = ”c o n s e q u e n c e s ”t y p e = ”x s ：s 仃i n 掣抄 x s ：e l e m e l l tn a m e = ”c o n m e r e x a m 口1 e ”t v p e = ”x s ：s t r ；n g ”卢 ) ( s ：e l e m e n tn a m e = ”i n t e n t “t v p e = ”x s ：s 廿l n 卢 ( x s ：e l e m e n tj 1 a n l e = ”m o t i v a t i o n ”t y p e = ”x s ：s t r i n 2 卢 x s ：e l e r n e n tn a n 】e = 叩a r t i c j p a n t s ”t y p e = ”x s ：s 仃i n 矿肛 x s ：e l e m e n tn a m e ；”p a t t e m n a m e “t y p e = ”x s ：s t r i n g ”卢 x s ：e i e m e n tn a 1 1 1 e = ”p e i ，f 0 r m a n c e ”堪秘e = ”x s ：s 雠n g ”肛 刮x s ：e 】e m e n t x s ：e l e m e n tn 舢n e = ”r e l a t e d s e c u r i “p a n e m s ” 刮x s ：s e a u e n c e x s ：e i e m e n ln a m e = ”f b s u l t i n 卫c o n t e x t 9 堡堂垫堡壅 窒竺堡壅塑塑 ( x s ：s e q u e n c e x s ：e l e m e n tl _ c f 兰”c o n s e q u e n c e s ”卢 x s ：e l e l n e n tn a m e = ”s e c u r i t 、，p a n e r n ” x s ：e l e m e n tr e 仁”k n o w n u s e s ”卢 | x s ：e l e m e n tr e f = ”p a r t i c i d a n t s ”胁 以单一登录入口模式为例，其x m l 文档如下所示 单一登录入口 登录窗口 验证屏幕叫a l i a s n a l l l e 刮a i i a s n a m e s 为了提高控制和监视的能力，单点登录模式定义了唯一一个和系统外部实体 交互的接口叫j n t e n t 许多系统由于提供了多个访问入口，因此难以有效的防范入侵者的攻击。 在这些访问入口中可能存在隐藏的后门或是由于对安全策略的不同实现增大了保护系统 堡主堂焦笙塞 塞全塑壅型! 里 的难度。采用单一登录入口模式的应用程序禁止外部实体直接访问系统内的组件。所有的 和系统内部的联系都通过一个通道米进行，这样对系统的监视就变得十分容易。而且单一 登录入口模式的登录点同时是记录系统登录信息的地方，这些登录信息有助于验证登录系 统的请求的合法性并确定登彖者的权限。 单一登录入口模式可以应用于需要芹外界实体交互的自包含系统。 a p p l i c a b ；l i q ( p a n i c i 口a n t s 外界实体类，内部实体类，单一登录入口的实现类 单一登录入口娄作为一个中间人，处理所有外部类对内部类的请 求 ( c o n s i e n c e s 所有的外部类在访问内部类的时候都要先通过单一登录入口，如 果访问单一登录入口失败则无法访问系统内部的实体 可以更好的控制对系统的访问，同时结合检查点模式和s e s s i o n 模 式还能够对访问系统的用户进行记录和统计 c o s i ) 由于在技术上实现设有什么难度，所以对整个系统的开发成本造成很大的 影响 由于所有对系统内部的访问都要通过唯一的入口才能进行，所以会 对系统的性能造成一定的影响 ，r e s u t i n g c o n t e x 伊 ( k n o w n u s e w i n d o w s 2 0 0 0 启动时的登录程序 c s d n 专家论坛 如果系统需要提供多个登录接口的时候该模式不再适用。例如常 用的b b s 系统，你可以先登录再测览，同时你也可以先浏览，在需要回贴时再登录。而对 于门户站点这种系统，是根本不需要登录的，当然也不应该使用该模式。 检查点模式 基于角色的访问控制模式 s e s s j o n 模式( ，r e l 砷e d s e c u t v p a t t e r n s i n 9 1 e t o n 模式 f a 9 a d e 模式 刮r e l a t e d d e s i g n p a 船m s 吲s e c u r i l ；y p a 廿e m 通过使用x m l 和x m ls c h e m a 对安全模式进行描述，我们可以比较方便的 实现分布式多用户环境下的安全模式的有效管理、检索和实现复用。 2 2 安全模式研究 根据模式的工作目的，e r i c hg 籼a 等人将设计模式分成了三种类型：结构 硕士学位论文 安全模式研究 型、创建型和行为型【2 1 。结构型模式处理类或对象的组合，即描述类和对象之问 怎样组织起来形成一个整体结构，从而实现新的功能；创建型模式与对象的创 建有关，即描述怎样创建一个对象，它隐藏对象创建的具体细节，使程序代码 不依赖于具体的对象；行为型模式对类或对象怎样交互和怎样分配职责进行描 述。类似的，我们同样可以将安全模式按照上述方式进行分类。其中结构型安 全模式主要包括单一登录入口模式，检查点模式，基于角色的访问控制，授权 模式，安全通信模式等：创建型模式主要包括s e s s i o n 模式等；行为型模式主要 包括安全出错模式等。而每一个模式又可能包含有一系列相关的子模式。 2 2 1 结构型模式 ( 1 ) 单一登录入口模式 采用这种安全模式的系统具有唯一的一个访问入口，这样就可以限制系统 外部对内部组件的访问。 1 模式名称 单一登录入口。 2 别名 登录窗口，验证屏幕。 3 意图 为了提高对系统控制和监视的能力，单一登录入口模式定义了唯一的一个 和系统外部实体交互的接口，系统的内外通过该入口进行交互。 4 、动机 对于许多应用系统来说，由于提供了多个访问入口，因此难以有效的防范 和抵御入侵者的攻击。因为在这些不同的登录入口中可能会存在隐藏的漏洞或 后门，而且由于这些登录入口对安全策略的实现往往有所不同，这样会增大保 护系统的难度。采用单一登录入口模式的应用系统禁止外部实体直接访问系统 内部的模块。所有和系统内部的通信都通过唯一通道来进行，这样监视对系统 的访问请求就变得十分容易。而且单一登录入口模式中的登录点同时也是记录 用户登录信息的地方，这些信息将有助于验证登录请求的合法性并确定登录者 的使用权限。 5 ，适用性 单一登录入口模式可以应用于需要和外界实体进行交互的自包含系统。 6 解决方式 关于单一登录入口模式的解决方式如表2 4 所示。 堡主堂堡丝奎 窒全燮茎至! 墨 l 参与类外界实体类，内部实体类，单一登录入口的实现类。 i 结构如图2 2 所示。 协作单一登录入口类作为一个中间人，处理所有的外部类对内部类的 请求。 h 勰：“磷琴? 竺i i ，j la d m i 州s t 忸t o rl 1 | 一。 j j c a i l s 。a 1 1 sc a s c a i i s、 ；s t u d e n i r 舾 “目坞t u d e n t i d ；昂s t u d e n t n a m 8 l 彤a g e ! 亳一s e o l 母q u e r y ( ) ! 到t e r ( ) l d e j e t e ( ) 一 】 、 jc a s 、 一 f !s ! u d e 嗽s c o r ei i b s t u d e n t 旧i 【岛l e s s o n i d! 【s e m e s t e rj 彤s c o r e! l 。一 i l u e r y ( )j l a l t e h )1 l d e l e t e ( )】 图2 - 2 单一登录入口模式类蹲 b s e m e s t e r b a a s s i d b l e s s o n n a m e 卑t e a c h e 什q a m e u e r y ( ) a i t e 吖) d e i e t e ( ) 7 结果上下文 关于单一登录入口模式的结果上下文如表2 5 所示。 表2 ，5 单一登录入口模式的结果上下文 i9 7 黟川 效果所有的外部类在访问系统内部类的时候都要先通过唯一的登录 入口，如果访问失败则无法访问系统内部的实体。 好处可以更好的控制对系统的访问，同时结合检查点模式和s e s s i o n 模式还能够对访问系统的用户信息进行记录和进一步统计。 代价由于在技术上实现没有什么难度，并且降低了系统的复杂性， 所以一般而言会降低开发成本。 性能由于所有对系统内部的访问都要首先通过唯的入口才能进 行，所以会对系统的性能造成一定的影响 8 行为 单一登录入口模式的行为如图2 3 所示。 硕士学位论文 安全模式研究 图2 3 单一登录入口模式的顺序图 9 己知应用 u n i x 系统的t e l n e t 登录程序、w i n d o w s 2 0 0 0 启动时的登录窗口都是采用该 模式的例子；c s d n 论坛本来使用了多个登录入口，每个分论坛都分别提供登录 的对话框，在今年改版后也采用了单一登录入口模式，只能在最开始访问论坛 的时候集中进行论坛登录。 1 0 反例 如果系统需要提供多种登录方式以提高系统的灵活性的时候，不适合使用 该模式。像一些论坛系统如天级网的论坛就不需要采用唯一的登录入口，你可 以先登录再浏览，同时你也可以先浏览，在需要回贴时再登录。 1 1 相关安全模式 检查点模式通常和单一登录入口模式部署在一起，对登录请求进行附加检 查；基于角色的访问控制模式往往也是在登录时为用户赋予相应权限；s e s s i o n 模式中的信息也一般是在登录时进行赋值的。 1 2 相关设计模式 s i n g l e t o n 模式，f a c a d e 模式。 ( 2 ) 检查点模式 检查点模式通常与单一登录入口模式配合使用，用来对登录用户的合法性 进行附加的检查以增加系统的安全性。 1 模式名称 检查点。 2 别名 访问校验，认证与授权。 1 4 堡堂垡丝塞 窒全堡茎堡至 3 意图 对所有欲访问系统内部的请求进行安全性审核，同时在系统遭受到入侵的 情况下提供正确的应对措施。 4 动机 为了防止对系统的未经授权的访问，系统有必要对所有的访问请求进行检 验，评估访问是否是合法的。检查点就是专门进行这种合法性检验的模块，我 们可以自定义检查的规则，然后对每一个访问请求都使用这些规则来进行校验。 5 适用性 在任何需要自定义安全准则的系统中都可以采用该模式。 6 解决方式 关于检查点模式的解决方式如表2 6 所示。 表2 6 检查点模式的解决方式 参与类检查点类：该类负责对所有访问请求进行认证，如果认证通过则 允许对系统的访问，认证失败则采取合理的应对措施进行处理。 对策：提供了一系列的动作以处理认证失效时将会出现的情况。 认证策略：在认证时需要