Java EE多层软件体系结构安全性研究外文翻译资料

英语原文共 4 页，剩余内容已隐藏，支付完成后下载完整资料

2015年第八届智能计算技术与自动化国际会议

Java EE多层软件体系结构安全性研究

赵翔梅

西安西安欧亚学院信息工程学院陕西710065

zhaoxiangmei@eurasia.edu

摘要：分析了基于Java EE的多层软件体系结构的特定网络服务安全技术，包括认证和授权、基于角色的访问控制和XML加密。建立了基于Java EE的银行安全网络服务系统，这是提高银行竞争力的重要措施。使用了XML签名和XML加密安全技术。该方案加强了信息共享，促进了各业务系统之间的交互，实现了统一的身份认证。

关键词：Java EE；多层软件架构；web服务

一、 导言

随着企业内部信息化程度的提高，传统的企业发展平台正面临严峻的挑战 ^[1][2]。由于现代企业信息系统内部逻辑的频繁变化、严格的安全需求和海量受控数据，开发平台应提供足够的灵活性来适应现代企业应用系统^[3]的开发需求。在开发模式的系统构建中，它已经从客户/服务器模式发展到了现在的多层B/S模式^[4]。应用架构也从单层发展到三层结构和多层。如何根据客户需求在J2EE平台上快速准确地开发网络应用系统，是摆在^[5][6]所有研究者面前的一个重要问题。

安全概念包括主体、安全策略域、安全技术域、安全属性、证书、安全角色、安全角色引用、用户和组以及映射等。主体是由企业安全服务验证的实体。主体使用主体名称作为其标签，并通过与主体相关的数据进行验证。通常主体名称是用户的登录名，验证数据是登录密码。安全策略域也称为安全域，是一个逻辑范围或区域^[7]。在此范围或区域内，安全服务管理员定义并实施一般安全策略。

从安全政策的角度来看。安全技术领域是从安全技术领域的角度划分的，在安全领域中使用相同的安全机制来实现安全策略。一个安全域可以包括多个安全策略域。每个主体都有一系列相关的安全属性。安全属性可用于访问受保护的资源^[8]、检查用户身份以及完成其他一些与安全相关的目的。凭证包括主体的认证信息。如果成功通过身份验证，主体将收到包括安全属性的凭据^[9]。如果不允许，主体也可以获得另一主体的证书。在这种情况下，同一安全域中的两个主体具有相同的安全属性。安全角色是具有相同安全属性的逻辑组。安全角色由应用程序汇编程序分配。安全角色引用是应用程序提供商引入安全角色的标志。

二 、系统的整体安全性

网络服务的安全性是毋庸置疑的，因此必须制定全方位的多层次安全措施。系统安全是保证系统长期运行的重要因素。建立可靠的网络安全和信息安全设施是建筑安全的重要内容，安全管理体系是安全体系正常运行的重要组成部分^[10]。因此，我们必须进行安全设计。安全系统设计的基本原则是网络各级都要有一定程度的安全措施。除了要求一定级别的安全措施的各个级别之外，内部安全管理也非常重要。安全系统本身必须能够保证正常运行。如果安全系统不工作，将导致正常的服务功能紊乱，也将导致整个服务瘫痪。这是安全系统的可靠性要求。安全除了保证服务的安全，它也要保证自己的安全。这是安全系统的安全要求。安全系统的开放性要求不同公司的不同产品可以集成到安全系统中。

网络安全主要使用防火墙，这是不同网络之间唯一的信息网关。系统通过互联网提供服务，并且必须通过防火墙监控来自互联网的访问。一些不必要的协议和端口访问被拒绝，防止系统受到攻击。防火墙可以根据控制方案控制网络信息流，自身也具有较强的抗攻击能力，在网络安全中起着非常重要的作用。

防火墙可以执行过滤和协议分析，通过过滤一些不安全的服务来降低风险是非常好的安全性能，并且可以防止基于路由的攻击。

系统安全是指主机帐户安全、服务安全，通常通过操作系统提高安全性能。为了创建一个安全的网络服务器，许多服务器使用NTF和窗口。众所周知，视窗系统支持多个用户，是一个多任务操作系统，这是许可的基础。所有权限都基于用户和进程，当不同的用户访问计算机时，他们将拥有不同的权限。

数据库备份和恢复是数据安全的重要内容。数据库备份必须是完整的数据库映射。最简单的是离线备份数据库。因为在这种情况下，没有交易需要处理。这种方法的缺点是在备份过程中，没有应用程序能够使用数据库。用户身份数据和其他敏感数据的传输采用SSL通道加密。SSL是安全套接字层协议，用于保护网络信息。

三 、网络服务安全技术和统一身份认证

在发布网络服务后，通常客户会使用该服务来订购服务。但是如果您不采取一些保护措施，任何应用程序都可以访问它，甚至那些需要保护的数据的隐私和有效性也可能被篡改。在C/S应用领域，通常客户端和服务器在同一个网络中，外界无法访问网络，所以网络是安全的。相比之下，网络应用程序部署在公共网络上，导致服务器被入侵和信息被窃取。如何提高网络服务的安全性，已经成为当今世界的热点问题，安全性已经成为开发和部署网络服务最重要的内容之一。

用户验证根据不同的客户端分为两种类型，网络客户端验证和应用客户端验证。网络客户端通过超文本传输协议请求网络服务器的资源。

为了满足不同安全级别和客户的需求，JavaEE提供了基于网络客户端^[11][12]的三种客户端认证模型。

JavaEE授权模型提供了用于分配网络组件或企业Bean的环境，只有授权用户才能访问系统资源^[13]。每个用户都属于一个指定的安全角色，每个安全角色只允许激活特定的方法，允许程序员不编写其他强化安全规则。

安全策略库(Security policy library)在安全服务系统中提供认证和访问控制策略的存储和管理，安全服务系统通过接口Policystore抽象出各种类型的安全策略库。认证、访问控制器和审计服务访问各种类型的策略和安全配置信息，这样的安全服务不必了解安全策略库的各种格式和实现机制。PlolicyStore接口的定义如下：

公共接口策略存储扩展了可序列化的{公共无效添加访问控制策略(资源资源，访问控制策略策略)

公共无效删除访问控制策略(资源资源、访问控制策略策略)；

公共媒介获取访问控制策略(资源资源)；

公共无效udd Auditpolicy(审计策略策略)；

公共无效删除审计策略(审计策略策略)；

公共媒介getAuditPolicies()；

安全策略库需要负责资源树的维护，并提供对各种资源、规则和权限的管理^[13]。

从技术分析来看，传统的认证机制存在严重的安全问题。首先，用户名和密码信息会在网络上传输，往往很清晰，很容易被攻击者截获，冒充合法用户攻击系统。此外，在一般系统中，密码通常由长度较小的字符组成。用户倾向于选择更简单的密码形式，这种形式更容易记忆，也更容易受到密码猜测的攻击，尤其是基于字典攻击的方式通常非常有效。如果强迫用户使用复杂的密码，为了引用，用户很可能会在笔记上写密码，所以这就更大程度上增加了密码的可能性泄露，安全性仍然难以保证^[14]。因为用户帐户经常被重用，这为重放攻击提供了条件。攻击者只需记录最后一次用户登录的数据，他仍然可以用这些数据冒充合法用户通过认证系统来破坏系统。

轻量级目录访问协议是一种开放的、可扩展的网络协议，已经发展成为目录服务标准^[14]。它简单、安全，优化了信息查询功能，支持分布式目录、同步复制技术和跨平台数据访问，逐渐成为^[15]网络管理的重要工具和方法。LDAP可以存储大量个人信息。例如，一个机构可以将所有员工的信息存储在LDAP目录中以供参考。个人信息包括个人的姓名、职位、地址等。LDAP目录作为系统焦点中的一个重要链接，可以简化员工在组织内查询信息的步骤。资源通常以树状分层组织的方式组织，LDAP目录服务-树形结构目录用于实现安全策略库。LDAP安全策略库将安全策略分为三个名称空间，分别是身份验证策略、访问控制策略和审计策略。本文使用LDAP目录来管理用户信息。

四 、基于JAVA EE

当前金融业竞争激烈，为客户提供在线服务，极大地方便了客户。建立有效的安全体系是提高银行竞争力的重要措施。因此，我们需要创建一个网络银行系统和创建网络服务，达到一定的安全水平。银行的基本安全需求是业务系统的安全，能够保证客户和银行的利益不受威胁。然后用户可以修改其密码。用户向系统发送Kp和u。系统收到请求后，检查证书表。如果没有用户A的记录，则身份验证过程停止，这意味着身份验证失败。如果认证过程成功，则获取证书c。一些Java代码是为实现这个系统而编写的。然后建立了一个基于Java EE的网络安全方案^[16]。由于使用了简单的XML，指令和数据的数据结构可以转换成可读的形式。因为使用简单，任何人都可以篡改未受保护的数据，所以安全性变得极其重要。安全传输可以保护客户端和服务器之间的连接，但不能保护数据不被传输。为了获得传输安全性，XML结构必须支持密钥交换、数字签名和加密。

五 、结论

分析了基于Java EE的网络服务的具体安全技术，包括认证和授权、基于角色的访问控制和XML加密。建立了一个基于Java EE的银行安全网络服务系统，保证客户和银行的利益不受威胁。

参考

[1]太阳微系统公司Java 2平台企业版5.0规范。加州，太阳微系统公司，2005: 6。

[2]大卫·弗，理查德·金，基于角色的访问控制，第15届全国计算机安全会议录，巴尔的摩，1992: 554- 563。

[3]严家臣，严家明和许继时，一个基于网络的产品设计与制造的产品管理系统/产品数据管理集成

559 558

电子商业工程学国际会议，第549-553页，2008年。

[4]郑建明，孙霍然，《基于碳硫比的矿山设备管理系统的研究与开发》，中国矿业杂志，第16卷，第61-63页，2007年10月。

[5]蔡青蓉，冯东秦，基于FDT设备管理系统的设计与研究。网络平台”，制造业自动化，第29卷，第1-5页，2007年6月。

[6]段廷玲，何伟平，张伟，陈金亮，王海宁，基于网络的设备全生命周期管理系统，计算机应用研究，第25卷，第625- 627页，2008年2月。

[7]贝克、萨考维茨和纳皮尔斯基，《基于轻型集装箱的先进J2EE解决方案在电子部门应用实例上的开发》，综合电路与系统混合设计国际会议录，MIXDES，2006年，第779-782页。

[8]杜博克、韦克斯和埃梅里希，《商业智能系统中轻量级分布式组件技术的经验，软件工程和中间件——第四届国际研讨会》，东南大学出版社，2004年，2005年，第214-229页。

[9]王鹏飞，何志明，三种流行开源软件在MVC中的应用，江西理工大学学报，2006，27(6)，第35-38页。

[10]布奇，罗伯特和迈克尔等人。面向对象的分析与设计与应用，北京:邮电出版社，第3版，2008.4，第1-20页。

[11]李晓杰。基于JAVA EE设计研究的毕业设计管理系统。计算机知识与技术，2013，7，第9卷，第19期:4420-4428

[12]朱琳海，袁敏，李越吴。基于JAVA平台的远程监控系统的设计与实现。《微型计算机应用》，2013年，第29卷，第9期:40-43页。

[13]伊里昂·李信。项目实践的精确分析:基于Struts-Spring-Hibernate的Java应用程序开发。北京:电子工业出版社，2006。

[14]康华艾，张海建，马东波。Web应用系统设计。北京:清华大学出版社，2013。

[15]霍延明。基于Java EE的远程医疗服务系统设计，智能人机系统和控制论，2014年第六届国际会议，2014年，第1卷，第339-342页。

[16] Caballe，《简化Java EE应用瘦客户机开发的演示框架》，2014年第八届智能和软件密集型系统国际会议，2014年，第421-426页。

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[20080]，资料为PDF文档或Word文档，PDF文档可免费转换为Word