J2EE安全策略中验证机制的改进与实现

摘要

互联网技术的普及和发展，推动着企业级应用的构建和更新进程。为了缩短企业级应用的设计和开发周期，降低其构建成本，J2EE多层体系结构的开发模式已经成为开发企业级应用的首选方式。基于具有开放性的网络上的J2EE多层体系结构虽然具有传统C/S结构所没有的优势，但同时也面对一些新问题的挑战。开放性的网络导致多层体系结构的企业级应用面临来自各方面的安全威胁。如何保护信息不被非法获取、盗用、篡改和破坏，已成为所有企业级应用研究者共同关心的重要课题。 本文从企业级系统应用层安全的角度出发，深入研究J2EE多层体系结构的安全策略模型。J2EE提供的安全策略简化了系统的信息安全模型，能够很方便地满足基于J2EE的分布式应用系统的安全需求，但是在面对更加复杂的安全需求时，J2EE安全策略在验证授权和角色管理中还存在不足之处：其在Web层的声明式验证机制无法为用户提供更多验证信息，可扩展性较差；在EJB层缺少业务逻辑层可供采用的验证机制，而是借助于Web层的验证机制，其耦合程度较高有悖于业务逻辑分离于表现逻辑的原则；在角色管理方面，J2EE采用数据库或者应用服务器来管理角色信息，其中，数据库管理角色的方式增加了应用开发的复杂度，应用服务器管理角色降低了系统的可移植性，两者都具有片面性。 针对以上不足，本文提出了改进的安全策略模型，在Web层设计可扩展的验证模块来代替原来声明式安全采用的验证机制；在EJB层设计验证模块用于对业务逻辑资源的访问控制；在角色信息管理方面，使用目录服务器存储用户角色，来降低系统开发复杂度，提高系统的可移植性。本文最后将改进模型成功地应用于案例电子政务系统中，证实了该模型的可行性、优越性和通用性，对建立企业级应用的安全保障体系的研究有重要的参考价值。

目录

文摘

英文文摘

独创性声明及学位论文版权使用授权书

1绪论

1.1研究背景

1.2研究意义

1.3本文结构

2 J2EE安全策略

2.1引言

2.2 J2EE概述

2.2.1 J2EE中的主要技术

2.2.2 J2EE中的主要协议

2.2.3 J2EE的体系结构

2.3 Java提供的安全技术

2.4 J2EE安全策略中的相关概念

2.4.1 J2EE安全策略中相关术语

2.4.2 J2EE平台角色

2.5 J2EE安全策略模型

2.5.1基于容器的安全

2.5.2各个层中的安全

2.5.3 J2EE安全策略

2.6 小结

3 J2EE安全策略的不足及改进模型

3.1引言

3.2 J2EE安全策略的不足

3.2.1 J2EE安全策略的详细分析

3.2.2 J2EE安全策略的局限性

3.3改进的安全策略模型

3.3.1改进模型的目标

3.3.2改进的安全策略模型

3.4基于改进模型的安全策略架构设计

3.5 小结

4案例系统中安全子系统的实现

4.1引言

4.2案例系统背景

4.3安全子系统的设计与实现

4.3.1案例系统安全需求

4.3.2实验环境

4.3.3子系统的安全架构

4.3.4子系统的设计与实现

4.4实现中的若干技术细节讨论

4.5系统测试及结果

4.5.1系统测试

4.5.2测试结果分析

4.6 小结

5结束语

5.1本文工作总结

5.2未来研究展望

致 谢

参考文献

附录A作者在校期间的研发情况

A.1参加的科研项目

A.2完成的学术论文