一种新的基于mvc模式的web应用安全框架的设计与实现

一种新的基于mvc模式的web应用安全框架的设计与实现

ID:33389371

大小:1.36 MB

页数:41页

时间:2019-02-25

一种新的基于mvc模式的web应用安全框架的设计与实现_第1页
一种新的基于mvc模式的web应用安全框架的设计与实现_第2页
一种新的基于mvc模式的web应用安全框架的设计与实现_第3页
一种新的基于mvc模式的web应用安全框架的设计与实现_第4页
一种新的基于mvc模式的web应用安全框架的设计与实现_第5页
资源描述:

《一种新的基于mvc模式的web应用安全框架的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、北京邮电大学硕士学位论文第一章绪论1.1背景近年来,随着计算机技术和网络技术的迅速发展,软件应用的网络化成为计算机世界发展的主题之一,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extra.net)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。网络化、电子化以其高效、灵活迅捷、便于管理的统计的显著特征,正在进入各种行业。尤为突出的是在电子商务,电子银行业务方面的广泛应用。另外

2、如电子票务,股票期货交易,企业信息管理等许多应用都在向网络化电子化的方向转变。与此同时,应用网络化的同时也带来了大量的安全问题。在连接能力信息、流通能力提高的同时,更多的用户隐私信息也暴露在不安全的网络环境中,而在电子商务领域,安全问题处理不得当更是会带来严重的后果。因此,在设计和实施网络应用项目时必须根据应用的需求解决好安全问题,来抵御可能的来自网络对应用的攻击。目前流行的网络应用交互模式为C/S(Client/Sevrer)与B/S(Browse/Sevrer)两种。C/S模式是最早出现的,该模式要求特定的应用软件支持来与服务

3、器端通信,而应用软件的维护以及客户端数据的安全性问题成为其大规模应用的阻碍,而且客户端与服务器端的通信协议往往没有统一的标准,使得C/S模式下安全问题的解决困难重重。而B/S模式在客户端功能的实现仅仅依赖于浏览器,通信协议是标准的HTTP协议,这使得B/S模式的安全问题更容易解决。除此之外,B/S模式还具备了部署方便,操作简单,实时性好等优点。从近年来的企业级应用实施情况来看,B/S模式成为了当前发展的趋势。B/S模式企业级应用采用的技术中,J2EE(Java2PlatformEnterpriseEdition)以平台无关、可扩展

4、性强、模块化的特点占据了主流地位。通常,人们将J2EE体系划分为四层结构,分别为客户层、表示层(w曲)、业务逻辑层和企业信息系统层。随着Web技术的不断发展和应用规模的扩大,为了减少表示层和业务逻辑层的耦合度,J2EE多层Web框架模型更多的开始采用MVC模式。MVC模式将J2EE表示层和业务逻辑层划分为模型(Model)、视图(View)$ll控制器(Controller)_三部分,在理论上实现了页面显示与业务逻辑分离,具有模块独立、流程清晰、设计灵活和易于扩展等特点。实践证明,MVC模式能够有效提高企业级W曲应用的开发效率。北

5、京邮电大学硕士学位论文目前,在企业级应用中对安全框架方面的要求大部分也是基于B/S模式的,本文中提出的这种安全框架即是基于B/S模式。同时此框架也兼容了MVC模式,可以很好的整合于各种基于MVC模式的J2EE应用。1.2WEB应用的安全现状1.2.1传统WEB应用的安全隐患W曲应用的实质就是一种能通过超文本传输(HTrP)协议访问的程序,而与此对应的,Web攻击的实质就是通过H'Iq"P协议篡改应用程序【I】。随着网络技术发展,传统Web应用暴露出了越来越多的安全隐患。通常Web应用安全隐患主要有以下几种:>网络的破坏性攻击:通常

6、通过破坏信道导致服务不可访问或对网络传输的中间节点攻击造成中间节点的瘫痪造成服务无法访问。>信息篡改攻击:当网络中流动的数据经过某些节点才达到目标服务时,在这些节点攻击就有篡改数据的可能,数据被篡改则其完整性被破坏,执行的目标操作可能通过篡改成为了另一个操作。此类攻击常通过占领传输中的节点对流经的数据进行篡改,或者攻击者伪装成目标服务,代理用户和目标服务之间的通信,对流经的数据进行篡改以达到攻击的目的。>信息截获攻击:数据在网络中流动就有被截获的可能,如果数据以明文形式传播机密信息就有可能被窃取,这类攻击常通过网络监听来实施。>服

7、务负载攻击:基于网络的应用程序需对整个网络开放服务,服务的开放意味者无论非法或合法用户都能够尝试获得服务,攻击者可能是合法或非法用户,非法用户常通过登录攻击即不断尝试登录系统造成系统符合过大,合法用户的攻击则常通过不断访问高代价的服务,来使系统无法响应其他请求。>服务漏洞攻击:利用应用程序访问控制的漏洞获得权限访问受限服务。漏洞可能来自于程序的实现或者访问控制模型本身的缺陷。如自主访问控制的旁路漏洞。上面提到的安全隐患在任何一个Web应用中都是必须解决的问题,一旦解决不力,轻则会有私密信息的泄露,重则会使整个Web应用面临崩溃的危

8、险。在Web应用中使用安全框架即是为了解决这些安全隐患。一个好的安全框架不仅应该考虑到已有的各种安全隐患,更应该能够尽量的防范一些未知的安全隐患。1.2.2实现WEB应用安全的基本需求分析为了解决Web应用中存在的安全隐患,必须考虑到以下几方面的安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。