（计算数学专业论文）基于加密技术的安全网站构建.pdf

摘要 摘要 随着计算机技术的迅速发展，在计算机应用发展到基于复杂的内部网 ( i n t r a n e t ) 、企业外部网( e x t r a n e t ) 、全球互连网( i n t e r n e t ) 的企业级计算 机处理系统和世界范围内的信息共享和业务处理。在连接信息能力、流通能力提 高的同时，基于网络连接的安全问题也日益突出。正是在这种情况下，信息安全 已经成为现代计算系统非常关键的一个方面。 针对网络安全问题，建立与之相适应的信息安全系统，是加强网络端各成员 之间信息的交换与共享，降低网络安全危险的影响行之有效的解决方案。因此， 在基于本网络系统的基础上，设计并且实现了该安全系统。 该系统基于b s 结构的多层模式，采用c # 程序设计语言，后台数据库使用 s q ls e r v e r ，系统w e b 框架采用i i s ，服务器操作系统为w i n d o w s 2 0 0 3 。通过对该 系统的登录认证、通信加密、数据库加密等措施尽量保障该系统的稳定、安全运 行。 关键词：b s 结构v i s i u ls t u d i o n e ts o l 注入s s l 数字证书 a b s t r a c t a c c o r d i n g t oe n c r y p tat e c h n i c a ls a f ew e b s i t e a b s t r a c t a l o n gw i t l lt h ec a l c u l a t o rt e c h n i c a lq u i c kd e v e l o p m e n t i ti sa p p l i e dt od e v e l o p t oc o i l n e c ts y s t e ma n dt h ei n f o r m a t i o ns h a r ei nt h ew o r l ds c o p eo f t h eb u s i n e s s e n t e r p r i s ec l a s sc a l c u l a t o rp r o c e s s i n ga n db u s i n e s sp r o c e s s i n go f n e t ( i n t e m e ow i t h e a c ho t h e ra c c o r d i n gt ot h ec o m p l i c a t e di n t e r n a ln e t ( i n t r a n e t ) ，b u s i n e s se n t e r p r i s e e x t e r i o rn e t ( e x t r a n e t ) ，w o d di nt h ec a l c u l a t o r a tt h et i m eo f l i n k i n ga na b i l i t y i n f o r m a t i o na n dc i r c u l a t i n ga na b i l i t ye x a l t a t i o n , t h es a f ep r o b l e ml i n k e da c c o r d i n gt o t h en e t w o r ki sa l s oi n c r e a s i n g l yo u t s t a n d i n g i se x a c t l yi nt l l i sk i n do f c a s e t h e i n f o r m a t i o ns a f e t yh a sa l r e a d yb e c o m eam o d e mc a l c u l a t i o ns y s t e mv e r ya l la s p e c to f k e y a i ma tt h en e t w o r ks a f ep r o b l e m ，b u i l du pw i t hi tm u t u a l l ya d a p to f t h e i n f o r m a t i o ns a f es y s t e mi st h ec o m m u t a t i o nw h i c hs t r e n g t h e n san e t w o r kt oc a r r y e a c hm e m b e r sa ni n f o r m a t i o na n ds h a r e ，t h ei n f l u e n c ew h i c hl o w e r san e t w o r ks a f e t y d a n g e rg o e so f v a l i ds o l u t i o n t h e r e f o r e a ta c c o r d i n gt ot h ef o u n d a t i o no f t h i sn e t w o r k s y s t e mu p ，d e s i g na n dc a r r i e do u tt h a ts a f es y s t e m t h a ts y s t e mi ss e v e r a ls t r u c t u r a lm o d e sa c c o r d i n gt ot h eb s a d o p t i o nc 撑 p r o g r a md e s i g nl a n g u a g e ，b a c k s t a g ed a t a b a s eu s a g es q ls e r v e r ，s y s t e mw e bf r a m e a d o p t i o ni i s ，s e r v e ro p e r a t es y s t e mi sw i n d o w s2 0 0 3 t h el o g g i n ga t t e s t a t i o n , c o r r e s p o n d e n c ew h i c hp a s s e st ot h a ts y s t e me n c r y p t s ，t h ed a t a b a s ee n c r y p te t c ，t h e m e a s u r eg u a r a n t e e st h es t a b i l i t y ，s a f e t yo f t h a ts y s t e mt oc i r c u l a t ea sf a ra sp o s s i b l e k e y w o r d s ：b ss t r u c t u r e ，v i s i u ls t u d i o n e t ，s q li n f u s i o n , s s l ，n u m e r i c a l c e r t i f i c a t e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得盛壑堡工盔堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均己在论文中作了明确的说明并表示谢意。 学位论文作者导师 学位论文作者签名 川年r 月己日 学位论文版权使用授权书 本学位论文作者完全了解盛壑堡王盔堂有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和 借阅。本人授权盛嫠堡王盔堂可以将学位论文的全部或部分内容编入有关数 据库迸行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 毒嘶右 年 3 - 月l f 日 i 第0 章引言 0 1 研究背景及意义 第0 章引言 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学 运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发 展到基于复杂的内部网( i n t r a n e t ) 、企业外部网( e x t r a n e t ) 、全球互连网( i n t e m e t ) 的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能 力提高的同时，系统的连接能力也在不断的提高。尽管这样可以为我们生活的 世界上带来巨大的生产率和前所未有的机会，但也对计算机用户带来了新的风 险。用户、公司和组织都可能随时受到黑客与攻击者威胁，他们用各种技术和 工具破解计算机系统、窃取信息、改变数据和制造混乱。在连接信息能力、流 通能力提高的同时，基于网络连接的安全问题也日益突出。正是在这种情况下， 信息安全已经成为现代计算系统非常关键的一个方面。 在早期计算机系统中( 2 0 世纪5 0 - 6 0 年代) ，人们对安全强调得不多，因 为当时的系统是专属和封闭的。简单地说，计算机之间虽然也交换数据和信息， 但形成的网络完全在组织控制之下。那时，计算机之间通信所用的协议也是不 公开的。因此别人很难访问交换的信息。这样，当时信息安全并不是个重要问 题。 随着2 0 世纪7 0 年代和8 0 年代小型机与微机的发展，信息安全问题越来越 突出，但是其在经理和技术人员的心目中仍然不是最重要的。人们通常把信息 安全看成硬件软件系统的目标之一。这种情形一直持续到2 0 世纪9 0 年代初。 但是，i n t e m e t 的出现改变了整个计算模式，使计算机之间通信的方式大大改变， 使计算机世界突然变得很开放。专属协议不在普及，取而代之的是t c m p 之类 的开放标准，这些开发标准成为连接全球计算机的纽带。新的信息威胁与攻击 不断出现，在技术人员在维护网络安全的同时，攻击者则在不断寻求新的攻击 方法。这种情况将继续下去，因此，我们今天特别要关注对网络应用中合法用 户身份的确认、网络数据传输的安全、网络数据存储的安全。 整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结 构安全、网络系统安全、应用系统安全和网络管理的安全等。 1 成都理工大学硕士学位论文 1 ) 物理安全分析 网络的物理安全是整个网络系统安全的前提。在网络工程建设中，由于网 络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须 优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明 电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离：考虑布线 系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统 不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来 说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操 作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双 机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的 物理安全风险。 2 1 网络结构的安全分析 网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网 络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上 的许多其他系统。透过网络传播，还会影响到连上i n t e m e t i n t r a n t 的其他的网络； 影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必 要将公开服务器( w e b 、d n s 、e m a i l 等) 和外网及内部其它业务网络进行 必要的隔离，避免网络结构信息外泄：同时还要对外网的服务请求加以过滤， 只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应 该遭到拒绝。 3 1 系统的安全分析 所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信 任。目前恐怕没有绝对安全的操作系统可以选择，无论是m i c r o s f o t 的w i n d o w s 或者其它任何商用u n i x 操作系统，其开发厂商必然有其b a c k - d o o r 。因此， 我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方 面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用 尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须 加强登录过程的认证( 特别是在到达服务器主机之前的认证) ，确保用户的合法 性：其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围 2 第0 章引言 内。 4 ) 应用系统的安全分析 应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态 的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应 用的安全涉及方面很多，以目前l n t c m e t 上应用最为广泛的e m a i l 系统来说， 其解决方案有s e n d m a i l 、n e t s c a p em e s s a g i n gs e r v e r 、s o f t w a r e c o mp o s t o f f i c e 、 l o t u sn o t e s 、e x c h a n g es e r v e r 、s u nc i m s 等不下二十多种。其安全手段涉及 l d a p 、d e s 、r s a 等各种方式。应用系统是不断发展且应用类型是不断增加 的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过 专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。信息的安全性 涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的 可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到 窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使 用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。 采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技 术，保证网上传输的信息( 包括管理员口令与帐户、上传信息等) 的机密性与 完整性。 5 ) 管理的安全风险分析 管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺 乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其 它一些安全威胁时( 如内部人员的违规操作等) 。无法进行实时的检测、监控、 报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破 案依据，即缺乏对网络的可控性与可审查性。这就要求必须对站点的访问活动 进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因 此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全 运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成 为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都 是难以估计的。因此，网络的安全建设是网络建设过程中重要的一环。 成都理工大学硕士学位论文 6 1 网络安全措施 物理措施：例如，保护网络关键设备( 如交换机、大型计算机等) ，制定严 格的网络安全规章制度，采取防辐射、防火以及安装不问断电源( u p s ) 等措 施。 访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进 行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限， 控制网络设备配置的权限，等等。 数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人 截获后不能读懂其含义。 其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。 近年来，围绕网络安全问题提出了许多解决办法，例如防火墙技术和数据加密 技术等。 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以 非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作 环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式 按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视 网络运行状态。作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先 受到人们重视的网络安全产品之一。 网络防火墙在安全防护中，起到重要作用，但是，也应该看到它的不足之 处。 如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络 防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过 传统网络防火墙。据专家统计，目前7 0 的攻击是发生在应用层，而不是网络 层。对于这类攻击，传统网络防火墙的防护效果，并不太理想。 传统的网络防火墙，存在着以下不足之处： 无法检测加密的w e b 流量；普通应用程序加密后，也能轻易躲过防火墙的检 测：对于w e b 应用程序，防范能力不足；应用防护特性，只适用于简单情况；无法 扩展带深度检测功能 应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存在着不 4 第0 章引言 足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品 上增加了一些弹性概念( p r o o f - o f - c o n c e p t ) 的特征，试图防范这些威胁。传统 的网络防火墙对于应用安全的防范上效果不佳，对于上述列出的五大不足之处， 将来需要在网络层和应用层加强防范。 0 2 研究内容及思路 针对应用层受到的攻击，就要运用一系列加密手段来保护应用层的安全。 本质上讲，网络安全就是网络上的信息安全。从广义上来说，凡是涉及到 网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是 网络安全的研究领域。 信息安全的技术主要包括监控、扫描、检测、加密、认证、防攻击、防病 毒以及审计等几个方面。其中加密技术是信息安全的核心技术，已经渗透到大 部分安全产品之中。 因此本文的重点就是：网络应用中合法用户身份的认证、网络数据传输的 安全、网络数据存储的安全。本文中信息安全的设计和实施是建立在卷烟辅 助配方b s 系统上，针对该网络系统的各项架构和业务，采用微软的v i s u a l s t u d i o n e t 开发框架和s q l s e r v e r 2 0 0 5 数据库系统设计和实施一系列的安全防护 措施。 成都理工大学硕士学位论文 第1 章基于a s p n e t 实现的三层b s 结构系统 1 。1b s 结构系统 b s 结构( b r o w s e r s e r v e r 结构) 结构即浏览器和服务器结构。它是随着 i n t e m e t 技术的兴起，对c s 结构的一种变化或者改进的结构。在这种结构下， 用户工作界面是通过w w w 浏览器来实现，极少部分事务逻辑在前端( b r o w s e r ) 实现，但是主要事务逻辑在服务器端( s e r v e r ) 实现，形成所谓三层3 - t i e r 结构。 这样就大大简化了客户端电脑载荷，减轻了系统维护与升级的成本和工作量， 降低了用户的总体成本( t c o ) 。建立b s 结构的网络应用，并通过 i n t e m e t i n t r a n e t 模式下数据库应用，相对易于把握、成本也是较低的。它能实 现不同的人员，从不同的地点，以不同的接入方式( 比如l a n ，w a n ， i n t e m e t i n t r a n e t 等) 访问和操作共同的数据库；它能有效地保护数据平台和管 理访问权限，服务器数据库也很安全。 1 2v i s u a ls t u d i o n e t 框架 v i s u a ls t u d i o n e t 框架是一个新的开发平台，它为局域网( l a n ) 和 i n t e m e t 上的分布式企业应用提供了一致和有效的支持。该平台的关键特性包 括： 1 )统一的、语言无关的、面向对象开发环境，充分利用开发者已有的编 程知识； 2 )无冲突软件部署，避免组件的版本冲突； 3 )丰富的可执行模式，与存储位置无关，组件可以在本地存储执行，或 者远程存储本地执行，或者在i n t e m e t 上远程存储执行； 4 )安全代码执行，具有高级安全设置以满足现代组织的安全需求； 5 )w i n d o w s 和w e b 应用程序具有统一的编程环境； 6 )通过在各自环境中高效的代码编译提升w i n d o w s 和w e b 应用程序 的执行性能； 6 第1 章基于a s p n e t 实现的三层b s 结构系统 7 )兼容的通信标准，确保n e t 应用程序可以与其它应用程序和其它平 台的应用程序共存和集成； n e t 框架有两大部分 1 ) 公共语言运行时( c l r ) 2 ) n e t 框架类库 c l r 的作用是作为运行和管理n e t 代码的代理。该代理负责一些基础 系统服务例如内存管理、线程管理、错误控制，以及类型安全。 开发者可以使用任何n e t 兼容编程语言来编写程序，而相应的编译器会 将它们都转换成中间语言( i l ) 。c l r 使用高效的即时编译o n - ) 技术将语言 无关的几代码转换成特定设备的机器代码。 托管代码总是运行于编译模式，并为当前平台傲了优化；但是，代码仍然 受被托管以防止一般的执行错误。这种新的编程模型对于程序的运行提供了更 加严格的控制，使得新的平台对于分布式应用程序来说更加健壮。 n e t 框架类库是一个全面的面向对象的类型集合，您可以使用它来开发 任何应用程序、服务或组件。该类库取代了在c + + 开发中普遍使用的 m i c r o s o f t 基础类库( m f c ) ，它被设计成易扩展的以便对其他服务提供面向对 象的编程支持，这些服务例如m i c r o s o f tw i n d o w ss e r v e rs y s t e m 产品目前仅仅 提供了专有的应用程序编程接口( a p i ) 。 n e t 框架开启了在i n t e m e t 上共享组件的大门。该技术使用了w e b 服 务，因此不仅可供基于w i n d o w s 的应用程序访问，也可供运行于其它平台上 的应用程序使用，只要该应用程序使用了i m e m e t 标准如t c p i p 、 h 1 v r p 、 x ，以及s o a p 。 1 3 架构于a s p n e t 上的三层b $ 系统 1 3 1a s p n e t 概述 a s p n e t 不仅仅是a c t i v es e r v e rp a g e ( a s p ) 的下一个版本；它还提供了 一个统一的w e b 开发模型，其中包括开发人员生成企业级w e b 应用程序所需 的各种服务。a s p n e t 的语法在很大程度上与a s p 兼容，同时它还提供一种 7 成都理工大学硕士学位论文 新的编程模型和结构，可生成伸缩性和稳定性更好的应用程序，并提供更好的 安全保护。可以通过在现有a s p 应用程序中逐渐添加a s e n e t 功能，随时 增强a s p 应用程序的功能。 a sp n e t 是一个己编译的、基于n e t 的环境，可以用任何与n e t 兼 容的语言( 包括v i s u a lb a s i c n e t 、c # 和j s c r i p t n e t ) 创作应用程序。另外， 任何a s e n e t 应用程序都可以使用整个n e tf r a m e w o r k 。开发人员可以方便 地获得这些技术的优点，其中包括托管的公共语言运行库环境、类型安全、继 承等等。 当创建a s e n e t 应用程序时，开发人员可以使用w e b 窗体或x m lw 曲 s e r v i c e s ，或以他们认为合适的任何方式进行组合。每个功能都能得到同一结构 的支持，使您能够使用身份验证方案，缓存经常使用的数据，或者对应用程序 的配置进行自定义，这里只是列出几种可能性而已。 使用w e b 窗体可以生成功能强大的基于窗体的w e b 页。生成这些页时， 可以使用a s e n e t 服务器控件来创建公共u i 元素，以及对它们进行编程以 用于执行常见的任务。这些控件使您能够用可重复使用的内置或自定义组件生 成w e b 窗体，从而简化页面的代码。 x m lw e bs e r v i c e s 提供了远程访问服务器功能的途径。使用x m lw e b s e r v i c e s ，企业可以公开数据或业务逻辑的编程接口，而客户端和服务器应用程 序则可以获取和操作这些编程接口。通过使用诸如h t t p 和x m l 消息传递 之类的标准跨越防火墙移动数据，x m l w 曲s e r v i c e s 可在客户端服务器或服务 器服务器方案下实现数据的交换。x m lw e bs e r v i c e s 不用依靠特定的组件技术 或对象调用约定。因此，用任何语言编写、使用任何组件模型并在任何操作系 统上运行的程序，都可以访问x m lw e bs e r v i c e s 。这些模型中的每一个模型都 可以充分利用所有a s p ：n e t 功能，以及n e tf r a m e w o r k 和n e tf r a m e w o r k 公共语言运行库的强大功能。 从a s p n e t 应用程序访问数据库是向w e b 站点访问者显示数据的常用 技术。a s e n e t 使得为此目的而对数据库的访问比以往更加方便。它还使您能 够从您的代码管理数据库。 a s p n e t 提供一种简单的模型，该模型使w e b 开发人员能够编写在应用 8 第1 章基于a s p n e t 实现的二层b s 结构系统 程序级运行的逻辑。开发人员可以在g l o b a l a s a x 文本文件中或在作为程序集 部署的已编译类中编写这种代码。这种逻辑可以包括应用程序级事件，但开发 人员可以轻松地扩展这种模型，以适应他们的w e b 应用程序的需要。 a s p n e t 提供易用的应用程序和会话状态功能，它们对于a s p 开发人员 来说是熟悉的，且容易与所有其他n e tf r a m e w o r k a p i 兼容。 a s p n e t 利用n e t f r a m e w o r k 和公共语言运行库中的性能增强功能。另 外，它还可以提供相对于a s p 和其他w e b 开发平台来说显著的性能改进。所 有a s p n e t 代码都是编译的，而不是解释的，这就允许对本机代码采用早期 绑定，强类型处理，以及实时( j i t ) 编译，这里只列举几个优点而已。a s e n e t 还可方便地分解，即开发人员可以移除那些与他们开发的应用程序不相关的模 块( 例如，会话模块) 。a s e n e t 还提供丰富的缓存服务( 包括内置服务和缓 存a p i 两种) 。a s r n e t 还提供性能计数器，开发人员和系统管理员可以监视 这些性能计数器，以测试新的应用程序和搜集有关现有应用程序的度量标准。 在w e b 页中编写自定义调试语句，对排除应用程序代码中的错误非常有 帮助。但是，如果不移除它们，则会带来麻烦。问题是，在应用程序准备好移 植到生产服务器时从页面中移除调试语句，会需要很大的工作量。a s e n e t 提 供t r a c e c o n t e x t 类，在开发页面时该类用于在页面上编写自定义调试语句。只 有当您已经对页面或整个应用程序启用跟踪时它们才出现。启用跟踪还将有关 请求的细节追加到页面，或者，追加到存储在应用程序根目录中的自定义跟踪 查看器( 如果这样指定的话) 。 n e tf r a m e w o r k 和a s e n e t 为w e b 应用程序提供默认授权和验证方 案。可以方便地移除、添加或者替换这些方案，这取决于应用程序的需要。 a s e n e t 配置设置存储在基于x m l 的文件中，这些文件都是人可读和可 写的。每一个应用程序都可以有不同的配置文件，可以扩展配置方案，以适应 您的要求。 1 3 2 基于a s e n e t 的三层结构概述 架构设计是软件开发的基础，并往往决定一个项目的成败。三层结构是目 前流行的架构设计模式，它是在由b u s c h m a r m 等提出的“层模式”基础上发展起 9 成都理工大学硕士学位论文 来的，由表示层、业务逻辑层和数据访问层三个层次结构组成。它通过分解来 管理问题的复杂性，同时还可以有效地重复使用业务逻辑并保留与昂贵资源( 如 数据库) 的重要连接。 基于a s p n e t 能够充分发挥其完全面向对象的技术特点，实现三层结构 b s 系统架构，从而提高开发效率，增强系统的可维护性和扩展性。 三层结构系统模型 架构设计是非常高级的设计，也是系统设计的关键，主要是定义和说明包 ( 子系统) ，以及包与包之间的相互依赖与通信机制。系统构架模型的合理与否 将决定系统的可维护性、扩展性和开发效率。 包通常所需要处理的是要么是一个具体的功能区域( 业务逻辑) ，要么是一 个具体的技术区域( 技术逻辑) 。业务逻辑主要考虑的是对系统业务功能的实现， 而技术逻辑则是进一步考虑用户界面、数据库或通信机制等形成的技术方案。 把技术逻辑和业务逻辑区分开来是极其重要的，这是为了当修改程序的某一部 分时不会对另一部分产生影响，更加便于进行“复用”，同时易于应对来自业务 逻辑的变更需求。 三层结构是一种成熟、简单并得到普遍应用的应用程序架构，它将应用程 序结构划分三层独立的包，包括用户表示层、业务逻辑层、数据访问层。其中 将实现人机界面的所有表单和组件放在表示层，将所有业务规则和逻辑的实现 封装在负责业务逻辑组件中，将所有和数据库的交互封装在数据访问组件中。 其结构如下图所示： 袭示屡g 绉逻辑屡叛蠡访阿匪数鬻蓐 图i - i 三层结构图 i o 第2 章卷烟辅助配方系统 2 1背景 第2 章卷烟辅助配方系统 卷烟厂始建于1 9 1 8 年，迄今已有八十多年的历史，是中国最早的烟草工业 企业之一。工厂拥有英国、意大利、德国、日本引进的处于国际先进、国内一 流水平的卷烟研制、生产、检测设备，并通过i s 0 9 0 0 2 质量体系认证。现在， 企业已发展成为以烟草制造为主，同时涉足烟叶复烤、印刷、运输、建筑、餐 饮等多种经营的大型企业集团。同时卷烟厂于2 0 0 0 年实施会计电算化计算机网 络建设，开始了企业信息化的征程。什邡卷烟厂在卷烟配方管理过程中，已有 了对原材料管理的m i s 系统和对财务进行核算的硒系统。m i s 系统能够实现 对烟叶、香料的入库登记进行管理，包括产地、年度、等级等基本属性；k 3 系 统可以对烟叶、香料、辅料的财务账务进行管理。 在配方技术中心，配方设计、化学分析等工作一直采用传统的人工录入、 文档记录的操作模式，随着企业规模的扩大，人力耗费相当大，而且文档记录 的查询统计工作极为不便。因此急需一套“卷烟辅助配方系统”。卷烟辅助配方 系统是在详细的调研基础上，充分考虑用户的切实需求，合理利用什邡卷烟厂 的原有的m i s 和k 3 系统资源，由成都理工大学开发的。此系统的建成将大大 提高配方技术中心的工作效益，从而节省了大量的人力物力和信息资源，进而 带动什邡卷烟厂在管理上赶超行业先进水平，使企业的整体竞争实力得到全面 增强。 2 2 软件总体概述 卷烟辅助配方系统是为技术中心和综合管理部开发的，为了便于对数据的 管理建立了数据库服务器，在设计上分别采用c s 和b s 模式对系统进行管理 和操作。其具体功能如下： 数据库服务器上主要装有基础数据库( 烟叶、香精香料、卷烟数据信息) 和配方数据库( 叶组配方、香精香料配方数据信息) 实现对基础数据和已有配 成都理工大学硕士学位论文 方数据信息的保存，方便用户对相关数据的操作； 基于c s 模式的系统是主要针对技术中心的实际需求开发的。其主要功能 是实现对烟叶、香精香料和卷烟等历史数据的管理工作；在此基础上，建立了 卷烟叶组配方辅助管理系统，实现对叶组配方的历史数据录入和查询，并建立 了香精香料配方管理系统，方便实现用户对香精香料的历史配方迸行查询，并 能实现香精香料的月成本核算。在产品设计上通过建立数学模型实现产品设计 智能化： 基于b s 模式的系统主要是为综合管理部及相关领导部门开发的，其主要 功能是实现对烟叶、香精香料、卷烟等基础数据及叶组配方，香精香料配方的 查询浏览等功能。方便用户及时了解历史配方信息以供配方时参考。 本软件是一个独立的卷烟辅助配方应用软件。其功能涵盖与卷烟配方相关 的基础数据信息的录入、历史记录查询、叶组配方、香精香料配方、牌号烟配 方等的历史配方记录查询，叶组配方设计等业务过程。 本系统由用户权限管理、烟叶管理、香精香料管理、卷烟管理、叶组配方 管理、香精香料配方管理、香精香料成本核算、叶组配方设计等部分组成。 + 功髓需求优先 功镶繇称简要搓逐 i ! 母 标识级 i 系统管理业终f 0 l i 用户权限管理 f 0 t 0 1 l 新增操作员f o l 0 1 0 1高增加操作员 2 修改操作员 f 0 1 0 1 0 2高 修改操作员信息 3 删除操作员 f 0 1 0 1 0 3高 取消操作员相关的权限 4 超级用户信息管理f 0 1 0 1 0 4高实现超级用户的管理( 系统管理员) 5数据备份f 0 1 0 1 0 5高实现对历史数据的备份 爹 ”。? 。：| r 。 蘩确数据库管理 f d 2 i 烟什| 管理系统 f 0 2 0 1 l录入烟叶信息f 0 2 0 1 0 l高录入烟叶的基础属性，物理，化学属性等 2 修改历史烟叶信息 f 0 2 0 1 0 2高 查询显示烟叶历史信息，对指定的信息可 第2 章卷烟辅助配方系统 进行修改操作 3 删除烟叶信息f 0 2 0 1 0 3 高删除指定的烟叶信息纪录 可通过组合查询历史烟叶记录，以供现在 4 查询历史烟叶信息 f 0 2 0 1 0 4高 配方参考 香精香料管理系统 f 0 2 0 2 1 录入香精香料信息 f 0 2 0 2 0 1高 录入香精香料的属性等信息 修改历史香精香料查询显示物料香精香料历史信息，对指定 2 f 0 2 0 2 0 2离 信息的信息可进行修改操作 3 删除香精香料信息 f 0 2 0 2 0 3局 删除指定的香精香料信息纪录 查询历史香精香料可通过组合查询历史香精香料记录，以供 4f 0 2 0 2 0 4 高 信息现在配方参考 卷烟管理系统 f 0 2 0 3 l 录入历史卷烟信息 f 0 2 0 3 0 l商 录入历史卷烟信息等基础数据 查询显示卷烟历史记录信息，对指定的信 2 修改卷烟信息f 0 2 0 3 0 2高 息可进行修改操作 3 删除卷烟信息 f 0 2 0 3 0 3 高删除指定的卷烟信息纪录 查询显示历史卷烟可通过组合查询历史卷烟记录，以供现在 4 f 0 2 0 3 0 4高 信息配方参考 、。、一 配：疗管理系统 f 0 3 叶组配方管理f 0 3 0 l 1 录入叶组配方信息 f 0 3 0 1 0 1 高录入历史叶组配方信息等 修改历史叶组配方查询显示叶组历史配方信息，对指定的信 2f 0 3 0 1 0 2 商 信息息可进行修改操作 3 删除叶组配方信息 f 0 3 0 1 0 3 高删除指定的叶组配方信息纪录 查询历史叶组配方可通过组合查询历史叶组配方记录，以供 4 f 0 3 0 1 0 4 高 信息现在配方参考 香精香料配方管理f 0 3 0 2 1 录入香精香料配方f 0 3 0 2 0 1高 录入历史香精配方信息等 成都理工大学硕士学位论文 信息 修改历史香精香料 查询显示香精历史配方信息。对指定的信 2 f 0 3 0 2 0 z 高 配方信息 息可进行修改操作 删除香精香料配方 3f 0 3 0 2 0 3高删除指定的香精香料配方信息纪录 信息 查询历史香精香料可通过组合查询历史香精香料配方记录， 4f 0 3 0 2 0 4高 配方信息以供现在配方参考 根据技术中心手工成本核算方案，形成算 5 香精香料成本核算 f 0 3 0 2 0 5高 法，实现计算机自动完成成本核算 一赫淑每瀛。 ；! 野 翰 唏缀配方设计 f 0 4 0 1 1 形成叶组配方模型 f 0 4 0 1 0 l 由 运用已有数据形成神经网络模型 辅助材料设计 f 0 4 0 2 通过手工选择即可，对计算机自动处理不 l 辅助材料选择设计 f 0 4 0 2 0 1中 做要求 工艺条件设计 f 0 4 0 3 1 工艺条件设计 f 0 4 0 3 0 1低 备注优先级分类方法： ( 1 1 高软件必须实现的功能，用户有明确的功能定义和要求： ( 2 ) 中软件应该实现的功能，用户的功能定义和要求可能是模糊的、 不具体的、或低约束的，但是这类功能的缺少会导致用户的不满意，因此这类 功能的具体需求应当由需求分析人员诱导用户产生并明确； ( 3 ) 低软件尽量实现的功能，并可根据开发进度进行取舍，但这类功 能的实现将会增加用户的满意度。 系统c s 部分主要用户为技术中心人员，技术中心有若干工作人员，其中 有需要进行数据添加、修改的管理员级用户；有进行产品设计的技术人员如查 看历史烟叶记录信息，历史配方信息，产品设计等；有进行产品评价的专家等。 系统b s 部分的主要用户为综合管理部门的技术人员和相关部门的领导。 1 4 第2 章卷烟辅助配方系统 2 3 系统总体模块设计 项目开发的卷烟配方辅助系统，将实现以下功能： 建立数据库，其主要包括基础数据库和配方数据库。基础数据库主要实现 对单料烟叶、香精香料、卷烟等基础数据的管理。配方数据库主要实现对叶组 配方、香精香料配方等历史配方数据的管理。 系统包含c s 和b s 两种访问模式，实现对基础数据库( 包括用户数据、烟 叶数据、香精香料数据、卷烟数据、叶组配方数据、香精香料配方数据、辅料 数据等) 的访问等操作。 图2 1 系统总体架构图 2 3 1 基于c s 模式的系统各模块的功能需求 基于c s 模式的客户端包括用户管理、基本数据管理、配方管理、产品设 计几个模块构成，主要实现： 成都理工大学硕十学位论文 1 )对烟叶的管理，主要包括对烟叶产地、年度、等级、类型等基本属性 及物理属性、化学属性、感官质量指标的录入、查询、分析等管理功 能； 2 )对香精香料的管理，主要包括对香精香料的品名、代码、生产厂家、 价格、数量等自然属性、物理属性、化学属性、感官质量属性的录入、 查询等功能； 3 )对卷烟的管理，主要包括对卷烟的规格、卷烟名称、生产日期等基本 属性及卷烟的化学成份、烟气特征、感官质量指标的录入、查询等功 能： 4 )对叶组配方的管理，主要包括对配方中所用物料( 叶丝、烟梗、薄片、 膨胀烟丝) 及物料比例的录入等功能，并能对叶组配方中所用的具体 叶丝配方进行管理，从而实现对历史叶组配方的查询显示等； 5 )对香精香料配方管理，主要包括对配方中所用物料及物料比例的录入 和查询等功能，以及实现对香精香料的月成本核算； 6 )产品的设计，在此主要实现叶组配方系统的设计，通过对以有的历史 数据记录分析，建立模型实现叶组配方系统的设计； 1 6 第2 章卷烟辅助配方系统 图2 - 2c s 模式图 2 3 2 基于b s 模式的系统模块功能需求 在基于b s 模式的系统后台主要实现对基础数据库和配方数据库中的历史 1 7 成都理工大学硕士学位论文 数据进行浏览、查询等操作，以供配方时参考，模块有烟叶浏览、香精香料浏 览、卷烟浏览、财组配方浏览、香料配方浏览等。 其主要包括以下功能： 1 ) 对烟叶信息的查询，通过输入烟叶的代码或年份、等级、类型等条件， 可查询显示烟时的物理、化学及感官属性等详细信息，以供配方时参 考； 2 ) 对香精香料的查询，在此主要对香精香料的查询。可通过输入的具体 条件( 如品名，生产厂家等) 查询显示详细的香精香料信息； 3 )对卷烟信息的查询，通过输入的卷烟代码、生产日期等关键条件可显 示相应的历史卷烟信息； 4 )对历史时组配方的查询，可查询具体卷烟的时组配方信息： 5 )对香精香料配方的查询，可查询历史香精香料配方信息，主要包括配 方所用物料，及物料的比例。 第2 章卷烟辅助配方系统 图2 - 3b s 模式图 1 9 成都理工大学硕士学位论文 第3 章信息安全技术系统 3 1信息安全技术概述 3 1 1 概述 在人类认知的有限范围内，信息被定义为人类社会以及自然界其他生命体 中需要传递、交换、存储和提取的抽象内容。这样的所谓信息存在于现实世界 的一切事物之中，被人类利用来认识世界和改造世界。自从人类开始利用信息 来为自己服务后，信息安全问题就自然而然地凸现出来，并随之出现了众多相 应的解决办法，不过在当时，这个问题并不显得非常重要。但随着人与人、人 与自然交流的日益频繁，信息数量的急剧膨胀，并且当其影响到各个相对独立 主体重要利益的时候( 无论大到国与国之间的战争，或小到个人与个人之间的 秘密隐私) ，信息安全问题就显得特别重要。多年以来，虽然人们总是不自觉地 利用信息安全技术来保证秘密，但是只有当计算机网络出现以后，全球最大的 互连网i n t e m e t 连接到千家万户时，信息安全才成为普通百姓也关注的话题。本 文从信息安全理论以及实现技术两个方面来加以讨论，让读者对信息安全有一 个比较全面的认识，同时对信息安全理论的发展以及实现技术有更深入的了解。 3 1 2 信息安全概念 理解信息安全的概念有利于人们更容易地了解各种名目繁多及众多延伸出 来的信息安全理论及其方法技术。问题就是：什么样的信息才认为是安全的呢? 一般认为： 1 ) 信息的完整性 信息在存储、传递和提取的过程中没有残缺、丢失等现象的出现，这就要 求信息的存储介质、存储方式、传播媒体、传播方法、读取方式等要完全可靠， 因为信息总是以一定的方式来记录、传递与提取的，它以多种多样的形式存储 于多样的物理介质中，并随时可能通过某种方式来传递。简单地说如果一段记 录由于某种原因而残缺不全了，那么其记录的信息也就不完整了。那么就可以 第3 章信息安全技术系统 认为这种存储方式或传递方式是不安全的。 2 ) 信息的机密性