分布式多层应用系统及其安全控制的研究与应用
摘要
分布式多层应用系统是由传统的C/S和B/S结构发展而来的,它是目前应用发展的方向。分布式多层应用系统的优点是:易维护、易管理、灵活性强、扩展性好、安全性强、对象可重用、资源利用率高,而且系统的开发效率高。
近年来对分布式技术领域的研究很广泛,研究的内容包括软件体系结构、分布式数据库、开发技术、开发方法等等。在信息安全技术正在发挥着关键性作用的当今网络信息时代,对网络安全体系及安全技术的研究已经进入到一个崭新的阶段,并且出现了很多安全产品。然而,关于分布式多层应用系统的安全性问题却很少有人对它进行专门的研究。分布式系统中,整个系统处于分布式环境下,它的安全性问题比单机应用系统的安全性问题更为复杂。分布式结构中有许多不同的组件,而这些组件之间是相互联系的,它们之间有很强的互操作性,一个组件在调用其它组件提供的服务的同时,也可能正在被其它组件调用。而且,提供服务的企业对象不应该能够被任何人使用,而是只有经过授权的人才能使用授权的企业对象。另外,系统可能会让内部人员以及Internet/Intranet上的用户同时访问系统提供的服务,这也必须考虑系统的安全访问控制问题。由此可以看出,考虑分布式多层应用系统的安全问题的必要性。
针对分布式系统良好的应用前景,及其安全性问题的重要性,我认为研究分布式多层应用系统及其安全机制具有很重要的现实意义。本文以基于Microsoft的COM/DCOM/COM+分布式对象技术的分布式多层体系结构为核心,对分布式多层应用系统的发展及其研究现状进行了分析,简要介绍了分布式多层应用系统中的组件技术、组件安全、组件通讯协议等内容,并对目前比较流行的几种分布式对象技术进行了比较。在给出分布式多层应用系统构建的一般方法以后,对分布式多层应用系统的安全保障机制进行了研究和探索,提出了一个全面的、逐层保障的分布式多层应用系统的安全模型,此安全模型提出从操作系统安全、网络安全、服务器安全、应用程序安全、数据库安全以及企业安全管理与计算机病毒防范等多个层次、多个方面保障分布式多层应用系统的安全性,并提出了将分布式对象技术本身的安全性与其它安全技术相结合的思想。本文提出的安全模型对于开发安全的分布式多层应用系统具有一定的指导意义。另外,作者还对与本文相关的安全技术,如密码技术、证书技术、基于角色的访问控制技术等作了简单介绍。并且,在我们提出的安全模型的基础上,及在对有关安全技术了解的前提下,给合实际应用环境的特点,我们开发了一个基于以COM/DCOM/COM+技术为核心的分布式多层结构的、具有强
扬州大学硕士学位论文
大的安全保障机制的安全公文流转系统。本文在对系统的总体结构和功能进行
介绍之后,重点给出了该系统的安全保障机制。参照前面我们给出的安全模型,
我们从物理安全、平台安全、网络安全、应用层安全、数据安全以及安全管理
与病毒防治方面保障了安全公文流转系统的安全性,并在文中详细地阐述了木
系统是如何将基于CA的安全认证技术、基于角色的访问控制技术、
COM/DCO叨COM+安全模型以及智能审计安全模型综合运用到系统中去的,并
且作者还对系统的特点及性能作了一个评价。最后,作者对分布式多层应用系
统和其安全性研究的发展作出了展望。
Distributed multilayer application system is developed from traditional C/S and B/S architecture.And it is the development direction of the current application. The advantage of the distributed mulitlayer application system architecture is that the system can be maintained and managed easily, the flexibility and expansibility can be added, the security of system can be strengthen,object can be reused, resource using rate is high and the system development rate is high.
There are many researches about the distributed technology area, and the research contents including the following: software system architecture, distributed database,development technology,development methods,etc.In these days of network information,information security technology is playing the key role. The researches of network security system and security technology have been entered a brand-new phase, and many security productions have been come forth.But the security problem of distributed multilayer application system is rarely has special researches. In distributed system, the whole system lies in distributed envionment, and its security is more complex than stand-alone application system. There are many components with different functions in system, and these components contact and operate each other. When one component is calling the service provided by the other component, it maybe used by another one. Moreover, we don't wish that everyone can use the business object which provide different services. Only the person who has the privilege can use the business object. In addition, it may be allowed that the inside personnel and the Internet/Intranet user can use the system service in the same time. From the point above, we can see the necessity of considering the security problem of distributed mulitlayer application system.
For the cause of the favorable application foreground of distributed system and the importance of its security, I think that do some researches about distributed multilayer application system and its security have very important practical meaning. This paper make the distributed multilayer system architecture based on the COM/DCOM/COM+ distributed objec technology of Microsoft as its core. In this paper, the development course and the research status quo of distributed multilayer application system is analysed, the component technologies and the security of components and communication protocol of components in distributed multilayer
application system are simply introduced, several popular distributed object technologies are compared. After the usual construction way of distributed multilayer application system is given, the security guarantee methods of distributed multilayer application system is explored and researched. We put forward a systemic,full-scale and step by step guaranteed security model of the distributed multilayer application system. This model guarantee the distributed multilayer application system from the following: operation system security, network security, server security,application program security,database security, security management and computer virus prevention. In this paper, the author put forward the idea of combining the security of distributed object technology and the other security technologies. This security model have guidance significance of developing the security distributed multilayer application system in som degree. In addition, the cipher technology, the certificate technology and RBAC technology are simply introduced also. On the basic of our security model and under the precondition of knowing some security technique, we combine the characteristic of actual application envionment and developed a secure archives system of electronic government. The secure archives system is constructed on the structure of distributed multilayer system with COM/DCOM/COM+ technology as its core and has an very strong security guarantee system. After introducing the whole architecture and function of this system,we give the system security guarantee mechanism as an emphases. Refe
近年来对分布式技术领域的研究很广泛,研究的内容包括软件体系结构、分布式数据库、开发技术、开发方法等等。在信息安全技术正在发挥着关键性作用的当今网络信息时代,对网络安全体系及安全技术的研究已经进入到一个崭新的阶段,并且出现了很多安全产品。然而,关于分布式多层应用系统的安全性问题却很少有人对它进行专门的研究。分布式系统中,整个系统处于分布式环境下,它的安全性问题比单机应用系统的安全性问题更为复杂。分布式结构中有许多不同的组件,而这些组件之间是相互联系的,它们之间有很强的互操作性,一个组件在调用其它组件提供的服务的同时,也可能正在被其它组件调用。而且,提供服务的企业对象不应该能够被任何人使用,而是只有经过授权的人才能使用授权的企业对象。另外,系统可能会让内部人员以及Internet/Intranet上的用户同时访问系统提供的服务,这也必须考虑系统的安全访问控制问题。由此可以看出,考虑分布式多层应用系统的安全问题的必要性。
针对分布式系统良好的应用前景,及其安全性问题的重要性,我认为研究分布式多层应用系统及其安全机制具有很重要的现实意义。本文以基于Microsoft的COM/DCOM/COM+分布式对象技术的分布式多层体系结构为核心,对分布式多层应用系统的发展及其研究现状进行了分析,简要介绍了分布式多层应用系统中的组件技术、组件安全、组件通讯协议等内容,并对目前比较流行的几种分布式对象技术进行了比较。在给出分布式多层应用系统构建的一般方法以后,对分布式多层应用系统的安全保障机制进行了研究和探索,提出了一个全面的、逐层保障的分布式多层应用系统的安全模型,此安全模型提出从操作系统安全、网络安全、服务器安全、应用程序安全、数据库安全以及企业安全管理与计算机病毒防范等多个层次、多个方面保障分布式多层应用系统的安全性,并提出了将分布式对象技术本身的安全性与其它安全技术相结合的思想。本文提出的安全模型对于开发安全的分布式多层应用系统具有一定的指导意义。另外,作者还对与本文相关的安全技术,如密码技术、证书技术、基于角色的访问控制技术等作了简单介绍。并且,在我们提出的安全模型的基础上,及在对有关安全技术了解的前提下,给合实际应用环境的特点,我们开发了一个基于以COM/DCOM/COM+技术为核心的分布式多层结构的、具有强
扬州大学硕士学位论文
大的安全保障机制的安全公文流转系统。本文在对系统的总体结构和功能进行
介绍之后,重点给出了该系统的安全保障机制。参照前面我们给出的安全模型,
我们从物理安全、平台安全、网络安全、应用层安全、数据安全以及安全管理
与病毒防治方面保障了安全公文流转系统的安全性,并在文中详细地阐述了木
系统是如何将基于CA的安全认证技术、基于角色的访问控制技术、
COM/DCO叨COM+安全模型以及智能审计安全模型综合运用到系统中去的,并
且作者还对系统的特点及性能作了一个评价。最后,作者对分布式多层应用系
统和其安全性研究的发展作出了展望。
Distributed multilayer application system is developed from traditional C/S and B/S architecture.And it is the development direction of the current application. The advantage of the distributed mulitlayer application system architecture is that the system can be maintained and managed easily, the flexibility and expansibility can be added, the security of system can be strengthen,object can be reused, resource using rate is high and the system development rate is high.
There are many researches about the distributed technology area, and the research contents including the following: software system architecture, distributed database,development technology,development methods,etc.In these days of network information,information security technology is playing the key role. The researches of network security system and security technology have been entered a brand-new phase, and many security productions have been come forth.But the security problem of distributed multilayer application system is rarely has special researches. In distributed system, the whole system lies in distributed envionment, and its security is more complex than stand-alone application system. There are many components with different functions in system, and these components contact and operate each other. When one component is calling the service provided by the other component, it maybe used by another one. Moreover, we don't wish that everyone can use the business object which provide different services. Only the person who has the privilege can use the business object. In addition, it may be allowed that the inside personnel and the Internet/Intranet user can use the system service in the same time. From the point above, we can see the necessity of considering the security problem of distributed mulitlayer application system.
For the cause of the favorable application foreground of distributed system and the importance of its security, I think that do some researches about distributed multilayer application system and its security have very important practical meaning. This paper make the distributed multilayer system architecture based on the COM/DCOM/COM+ distributed objec technology of Microsoft as its core. In this paper, the development course and the research status quo of distributed multilayer application system is analysed, the component technologies and the security of components and communication protocol of components in distributed multilayer
application system are simply introduced, several popular distributed object technologies are compared. After the usual construction way of distributed multilayer application system is given, the security guarantee methods of distributed multilayer application system is explored and researched. We put forward a systemic,full-scale and step by step guaranteed security model of the distributed multilayer application system. This model guarantee the distributed multilayer application system from the following: operation system security, network security, server security,application program security,database security, security management and computer virus prevention. In this paper, the author put forward the idea of combining the security of distributed object technology and the other security technologies. This security model have guidance significance of developing the security distributed multilayer application system in som degree. In addition, the cipher technology, the certificate technology and RBAC technology are simply introduced also. On the basic of our security model and under the precondition of knowing some security technique, we combine the characteristic of actual application envionment and developed a secure archives system of electronic government. The secure archives system is constructed on the structure of distributed multilayer system with COM/DCOM/COM+ technology as its core and has an very strong security guarantee system. After introducing the whole architecture and function of this system,we give the system security guarantee mechanism as an emphases. Refe
引文
[1][美]Andrew S.Tanenbaum著,《分布式操作系统》。电子工业出版社,1999年12月出版。
[2]李刚,金茂忠,分布式对象综述。小型微型计算机系统,2001年1月,第22卷第1期。(100-103)
[3]陈涛,基于网络的安全体系及其安全机制的研究。成都大学学报(自然科学版)。2000年12月,第19卷第4期。(34-41)
[4]孙立宏,张顺颐等,用三层C/S模式构建Intranet信息系统。电脑开发与应用,2000年,第13卷第5期。(11-13)
[5]崔朝辉,刘恩,孙桂兰,B/S结构的Web数据库技术。抚顺石油学院学报,2000年3月,第20卷第1期。(59-63)
[6]陈孝威,陈凌云,三层体系结构的客户机/服务器。计算机应用,2000年1月,第20卷第1期。(23-26)
[7]郭玉刚,三层结构应用软件。中国煤炭经济学院学报,2000年3月,第1期。(92-94)
[8]段海新,吴建平,计算机网络安全体系的一种框架结构及其应用。计算机工程与应用,2000年5月。(24-28)
[9]蒋伟进,许宇辉,基于体系结构的网络与信息安全研究。计算机工程与应用,2000年9月。(157-160)
[10]王强、张扬,基于构件的分布式软件体系结构及其应用。山东科技大学学报,2000年3月,第19卷第1期。(76-79)
[11]张文生,一个分布式软件结构的实现。辽宁大学学报,1998年,第25卷第2期。(175-182)
[12]周婕,陈莘萌,曾颜,Web数据库中基于三层交互式模型的容错技术。计算机应用研究,2000年第6期。(19-22)
[13]曹勇、吴功宣,开放安全的Internet/Intranet信息系统体系结构的研究与实现。计算机工程与应用,2000年1月。(108-114)
[14]鞠海玲,宁洪,郑若忠等,分布式数据库安全关键技术。微型电脑应用,1999年第15卷第9期。(6-9)
[15]张振洋,顾学春,张曼平,分布式数据库应用系统安全管理实现方法的研究。西安交通大学学报,1999年7月,第33卷第7期。(23-27)
[16]王锋波,曾昭苏,一种基于多代理技术的分布式入侵检测系统。计算机工程与科学,2000年第22卷第2期。(62-65)
[17]焦素云,徐中宇,分布式系统的动态负载平衡。长春光学精密机械学院学报,1999年9月,第22卷第3期。(41-43)
[18]胡华平,金士尧,分布式系统可靠性模型。计算机工程与应用,1999年8月。(1-3)
[19]赵东,周明天,分布对象技术述评。计算机应用,2000年12月,第20卷第12期。(7-10)
[20]梁筱丽,杨建中,多层分布式的Intranet应用。计算机应用研究,2000年第4期。(63-65)
[21]于重重,基于三层Client/Server结构的管理信息系统的实现。计算机应用研究,2000年第7期。(93-95)
[22]陈豪,孙正义,张德富,三层客户/服务器体系结构的一个应用。计算机工程与应用,2000年3月。(173-176)
[23]卢昱等,分布式应用框架中的证书系统。北京航空航天大学学报,2000年10月,第26卷第5期。(600-603)
[24]唐韶华、马卫华、欧国华,一种安全的分布式用户认证方案。华南理工大学学报,1999年6月,第27卷第6期。(1-5)
[25]李维著,《Delphi5.x分布式多层应用系统篇》。机械工业出版社,2000年4月出版。
[26][美]Michael Howard,Marc Levy,Richard Waymire著,《Windows 2000安全Web应用程序设计》,机械工业出版社,2001年4月出版。
[27]楼伟进,应飚,COM/DCOM/COM+组件技术。计算机应用,2000年4月,第20卷第4期。(31-33)
[28]邵良杉,张照,组件、COM与WindowsDNA技术在MIS中的应用研究。中国管理科学,2000年11月,第8卷专辑。(131-135)
[29]Mary Kirtland著,《基于组件的应用程序设计》。北京大学出版社,1999年10月出版。
[30]云晓春,胡铭曾,一个基于组件设计的模型。哈尔滨工业大学学报,1999年6月,第31卷第3期。(11-13)
[31]傅韶勇,张杰,王刚等,组件化分布式应用平台的研究与设计。小型微型计算机系统,1999年12月,第20卷第12期。(885-889)
[32]周敬华、姜东胜、李克清,基于组件的软件开发方法及应用。计算机应用研究,1999年第10期。(74-75)
[33][美]John Paul Mueller著,《CoM+开发指南》。清华大学出版社,2000年12月出版。
[34]潘登,侯文永,COM+及其基于属性编程。计算机应用研究,2000年第5期,(54-57)
[35]李维著,《Delphi5.x ADO/MTS/COM+高级程序设计篇》。机械工业出版社,2000年11月出版。
[36]蔡立军、付云红,基于CA的网络安全框架。计算技术与自动化,2000年6月,第19卷第2期。(48-52)
[37]Sylvia Osbom,Integrating Security System Using Role-Based Access Control。计算机工程,第25期,特刊(42-47)。1999年信息安全国际会议论文。
[38]欧阳星明,张华哲,大型MIS系统中基于角色的权限管理。计算机工程与应用,2000年4月。(138-140)
[39]施景超,基于角色的存取控制及其实现。计算机应用研究,2000年第6期。(13-15)
[40]江水,基于角色的存取控制——RBAC,计算机工程。1998年10月,第24卷第10期。(45-48)
[41]方庆军,杨波,网络安全的发展趋势及主要实现技术。山东建材学院学报,2000年3月,第14卷第1期。(18-21)
[42]李立新、陈伟民、黄尚兼,强制访问控制在基于角色的安全系统中的实现。软件学报,2000年第10期。(1320-1325)
[43]吴承荣,廖建,张世永,网络安全审计系统的设计和实现。计算机工程,1999年10月,第25卷特刊,1999信息安全国际会议论文。(171-174)
[44]谢刚,试论建立计算机信息系统安全体系。安徽教育学院学报,1999年第2期。(57-59)
[45]鞠海玲,宁洪,郑若忠等,分布式数据库安全关键技术。微型电脑应用,1999年第15卷第9期。(6-9)
[46]刘玉沙、张晔、陈福明,基于Clietn/Server模式的安全体系方案。计算机应用研究,1999年第2期。(56-58)
[2]李刚,金茂忠,分布式对象综述。小型微型计算机系统,2001年1月,第22卷第1期。(100-103)
[3]陈涛,基于网络的安全体系及其安全机制的研究。成都大学学报(自然科学版)。2000年12月,第19卷第4期。(34-41)
[4]孙立宏,张顺颐等,用三层C/S模式构建Intranet信息系统。电脑开发与应用,2000年,第13卷第5期。(11-13)
[5]崔朝辉,刘恩,孙桂兰,B/S结构的Web数据库技术。抚顺石油学院学报,2000年3月,第20卷第1期。(59-63)
[6]陈孝威,陈凌云,三层体系结构的客户机/服务器。计算机应用,2000年1月,第20卷第1期。(23-26)
[7]郭玉刚,三层结构应用软件。中国煤炭经济学院学报,2000年3月,第1期。(92-94)
[8]段海新,吴建平,计算机网络安全体系的一种框架结构及其应用。计算机工程与应用,2000年5月。(24-28)
[9]蒋伟进,许宇辉,基于体系结构的网络与信息安全研究。计算机工程与应用,2000年9月。(157-160)
[10]王强、张扬,基于构件的分布式软件体系结构及其应用。山东科技大学学报,2000年3月,第19卷第1期。(76-79)
[11]张文生,一个分布式软件结构的实现。辽宁大学学报,1998年,第25卷第2期。(175-182)
[12]周婕,陈莘萌,曾颜,Web数据库中基于三层交互式模型的容错技术。计算机应用研究,2000年第6期。(19-22)
[13]曹勇、吴功宣,开放安全的Internet/Intranet信息系统体系结构的研究与实现。计算机工程与应用,2000年1月。(108-114)
[14]鞠海玲,宁洪,郑若忠等,分布式数据库安全关键技术。微型电脑应用,1999年第15卷第9期。(6-9)
[15]张振洋,顾学春,张曼平,分布式数据库应用系统安全管理实现方法的研究。西安交通大学学报,1999年7月,第33卷第7期。(23-27)
[16]王锋波,曾昭苏,一种基于多代理技术的分布式入侵检测系统。计算机工程与科学,2000年第22卷第2期。(62-65)
[17]焦素云,徐中宇,分布式系统的动态负载平衡。长春光学精密机械学院学报,1999年9月,第22卷第3期。(41-43)
[18]胡华平,金士尧,分布式系统可靠性模型。计算机工程与应用,1999年8月。(1-3)
[19]赵东,周明天,分布对象技术述评。计算机应用,2000年12月,第20卷第12期。(7-10)
[20]梁筱丽,杨建中,多层分布式的Intranet应用。计算机应用研究,2000年第4期。(63-65)
[21]于重重,基于三层Client/Server结构的管理信息系统的实现。计算机应用研究,2000年第7期。(93-95)
[22]陈豪,孙正义,张德富,三层客户/服务器体系结构的一个应用。计算机工程与应用,2000年3月。(173-176)
[23]卢昱等,分布式应用框架中的证书系统。北京航空航天大学学报,2000年10月,第26卷第5期。(600-603)
[24]唐韶华、马卫华、欧国华,一种安全的分布式用户认证方案。华南理工大学学报,1999年6月,第27卷第6期。(1-5)
[25]李维著,《Delphi5.x分布式多层应用系统篇》。机械工业出版社,2000年4月出版。
[26][美]Michael Howard,Marc Levy,Richard Waymire著,《Windows 2000安全Web应用程序设计》,机械工业出版社,2001年4月出版。
[27]楼伟进,应飚,COM/DCOM/COM+组件技术。计算机应用,2000年4月,第20卷第4期。(31-33)
[28]邵良杉,张照,组件、COM与WindowsDNA技术在MIS中的应用研究。中国管理科学,2000年11月,第8卷专辑。(131-135)
[29]Mary Kirtland著,《基于组件的应用程序设计》。北京大学出版社,1999年10月出版。
[30]云晓春,胡铭曾,一个基于组件设计的模型。哈尔滨工业大学学报,1999年6月,第31卷第3期。(11-13)
[31]傅韶勇,张杰,王刚等,组件化分布式应用平台的研究与设计。小型微型计算机系统,1999年12月,第20卷第12期。(885-889)
[32]周敬华、姜东胜、李克清,基于组件的软件开发方法及应用。计算机应用研究,1999年第10期。(74-75)
[33][美]John Paul Mueller著,《CoM+开发指南》。清华大学出版社,2000年12月出版。
[34]潘登,侯文永,COM+及其基于属性编程。计算机应用研究,2000年第5期,(54-57)
[35]李维著,《Delphi5.x ADO/MTS/COM+高级程序设计篇》。机械工业出版社,2000年11月出版。
[36]蔡立军、付云红,基于CA的网络安全框架。计算技术与自动化,2000年6月,第19卷第2期。(48-52)
[37]Sylvia Osbom,Integrating Security System Using Role-Based Access Control。计算机工程,第25期,特刊(42-47)。1999年信息安全国际会议论文。
[38]欧阳星明,张华哲,大型MIS系统中基于角色的权限管理。计算机工程与应用,2000年4月。(138-140)
[39]施景超,基于角色的存取控制及其实现。计算机应用研究,2000年第6期。(13-15)
[40]江水,基于角色的存取控制——RBAC,计算机工程。1998年10月,第24卷第10期。(45-48)
[41]方庆军,杨波,网络安全的发展趋势及主要实现技术。山东建材学院学报,2000年3月,第14卷第1期。(18-21)
[42]李立新、陈伟民、黄尚兼,强制访问控制在基于角色的安全系统中的实现。软件学报,2000年第10期。(1320-1325)
[43]吴承荣,廖建,张世永,网络安全审计系统的设计和实现。计算机工程,1999年10月,第25卷特刊,1999信息安全国际会议论文。(171-174)
[44]谢刚,试论建立计算机信息系统安全体系。安徽教育学院学报,1999年第2期。(57-59)
[45]鞠海玲,宁洪,郑若忠等,分布式数据库安全关键技术。微型电脑应用,1999年第15卷第9期。(6-9)
[46]刘玉沙、张晔、陈福明,基于Clietn/Server模式的安全体系方案。计算机应用研究,1999年第2期。(56-58)