论文摘要
在网络技术迅猛发展的今天,WEB应用的安全问题成为了一个必须考虑的主题。否则WEB应用就无法融入生活,达到实用的效果。J2EE自诞生起,就专注于企业级Java市场,为构建安全的企业级WEB应用做出了不可磨灭的贡献。然而,对于大多数中小型企业应用而言,传统的以EJB安全服务为核心的J2EE安全机制显得过于笨重,引入了不必要的复杂性。在这种情况下,一个具有低侵入性的、能够让开发者和具体的安全技术处于“松耦合”状态的、轻量级WEB安全框架是迫切需要的。因此,本文结合WEB应用自身的安全特点,引入了一种基于Spring IoC和AOP机制的轻量级安全框架Acegi。它的所有安全逻辑都可以通过定义Spring标准配置文件实现,因此可以方便地集成不同的安全方案为WEB应用提供完善的安全服务。通过分析Acegi安全框架中各组件的交互方法,剖析其对WEB资源进行认证和授权的步骤与原理,本文指出Acegi安全框架完全适用于企业级WEB应用的大部分安全需求。本文最后将Acegi安全框架提供的X.509身份认证、表单认证、基于角色的访问控制以及安全通道应用到中国技术创新湖南信息网(简称中创网)的安全子系统中,并对该子系统进行了详细的分析、设计和实现。经过安全测试,该安全子系统符合预期的安全目标,为中创网提供了稳定可靠的身份认证、访问控制和数据保密服务。同时,该子系统还具有良好的可维护性和较高的可扩展性,对相关系统具有一定的参考价值。本文的特点在于安全子系统的设计方案是配合实际应用来说明的,体现了理论与实际相结合的理念。
论文目录
摘要ABSTRACT第一章 绪论1.1 论文背景1.1.1 中国技术创新湖南信息网简介1.1.2 中创网的安全隐患1.2 J2EE平台概述1.3 Spring框架和Acegi安全框架概述1.4 论文所做的主要工作及其章节安排第二章 J2EE应用中的安全框架分析2.1 J2EE平台的安全机制2.1.1 J2EE平台的安全定义2.1.2 基于容器的J2EE安全机制2.1.3 J2EE安全机制的优点与缺陷2.2 轻量级容器Spring2.2.1 Spring的控制反转(Inversion Of Contr01)2.1.1.1 Spring的设值注入(SetterInjection)2.1.1.2 Spring的构造器注入(Constructor Injection)2.2.2 Spring的面向方面编程(AOP)2.2.2.1 AOP的基本概念2.2.2.2 Spring框架的AOP实现策略2.2.3 Spring的体系结构2.3 基于Spring的Acegi安全框架2.3.1 Acegi中的拦截过滤器模式2.3.2 Acegi的体系结构2.4 本章小结第三章 中创网的基本安全策略3.1 中创网的安全需求分析3.2 中创网的安全服务策略3.2.1 身份认证服务3.2.2 访问控制服务3.2.3 数据保密服务3.3 本章小结第四章 中创网安全子系统的设计与实现4.1 中创网安全子系统总体设计4.1.1 系统的组成与功能4.1.2 系统的实施4.1.3 访问控制数据库的设计4.2 Acegi在中创网身份认证中的应用4.2.1 中创网身份认证的核心接口4.2.2 中创网安全子系统身份认证的结构4.2.3 中创网身份认证过滤器链的配置4.2.4 应用Acegi对中创网政府用户进行X.509身份认证4.2.4.1 在Tomcat服务器上配置SSL双向认证4.2.4.2 基于Acegi的政府用户X.509身份认证4.2.5 应用Acegi对中创网一般用户进行表单认证4.3 Acegi在中创网访问控制中的应用4.4 应用Acegi保证中创网信息传输的安全性4.5 Ace西对中创网设计开发流程的影响4.6 本章小结第五章 中创网安全子系统的测试5.1 安全子系统的测试目标与环境5.2 安全子系统的测试用例及其结果5.3 本章小结第六章 结束语致谢参考文献作者在学期间取得的学术成果
相关论文文献
标签:安全框架论文; 安全论文; 应用论文;
