基于Struts框架的安全策略研究与实现
摘要
随着计算机网络与分布式计算技术的日趋成熟,基于MVC模式的Struts框架逐渐成为中小企业网站开发的主流。根据安全公司的报告显示网络攻击已经开始和经济利益挂钩,对于中小企业来说,他们面临成本压力,也缺乏技术支持,同时又不乏敏感信息需要保护,需要成熟可靠的技术来为他们的信息安全保驾护航。本人在参加SANY项目开发时深刻感受到这方面的需求,借毕设之机首先分析了目前的J2EE加防火墙的网站开发模式在安全上的优缺点,结合当前技术设计了这样一个适用于Struts架构的安全系统,这套系统的特性是技术手段成熟、易于部署,并且该系统具有相当大的挖掘潜力,未来可以采用服务组合的方式加以拓展。
对于本系统的论述将分三个部分进行,首先是Struts开发框架内的认证与授权体系,这一部分的技术比较成熟,已经应用在SANY项目中目前运行稳定;第二部分是设计了一个具有嗅探功能的网站守护进程,使用C++语言编写,通过这个守护进程可以分析出哪些IP是可信的,哪些是可疑的,进而可以采取措施,同时还提出了如何在Java和C++两个不同的进程间架起通信的桥梁;第三部分是对于第二部分的改进工作,这些工作包括进程隐藏研究、内存池的算法研究、服务组合研究,这些研究工作未来可以应用在真正有商业价值的适用于Struts架构的安全系统中。
本文将这三个部分分别用一个章节讲述,对于它们的实现或测试都在章节中都有所体现,运行与监测结果表明设计思路可行,达到了预期的研究目的与期望。
As the computer network and distribution compute technology grows mature, the Struts frame based on MVC model gradually become the main exploitation stream of midium and small size corporation. According to the report of security corporation, network attack now links to economic interests. To midium and small size corporations, upon the cost pressure , lack of technology support, and needs of protection for important informtaion, they need mature and trustful technology to insure the security of their information. I deeply perceived this kind of demands, when I took part in the SANY project. So I take advantage of the graduation design to first evaluate the merits and demerits of the present J2EE plus fire wall network exploitation model in network security. On this condition, I combined the present technology to design a security system applied to Struts frame. The traits of the system are maturity in technology and easy to carry out. And with the great potential of the system, it could be developed by adapting the mode of service combination.
The dissertation of the system is genarally in three parts. First is the authentication and warranty system within the Struts frame exploitation. The technology of this part is relatively mature, as it has already applied to the SANY project, which is now good in work. The second part is to design a network protection course with sniff function. With this course, written by C++, we can analyse whether an IP is trustful or not and then take further action. The course also contributes in the communication between different courses respectively written by Java and C++. The last part are ameliorations on the second part. The ameliorations include research on course concealing, memory pool computing and service combination. These research could be applied to security system, applied to Struts frame, with real business value.
This paper describes each of the three parts respectively in one section. The realization or test of them are all in the paper. The result shows that the design is feasible, which achieves the anticipated research purpose and expectation.
对于本系统的论述将分三个部分进行,首先是Struts开发框架内的认证与授权体系,这一部分的技术比较成熟,已经应用在SANY项目中目前运行稳定;第二部分是设计了一个具有嗅探功能的网站守护进程,使用C++语言编写,通过这个守护进程可以分析出哪些IP是可信的,哪些是可疑的,进而可以采取措施,同时还提出了如何在Java和C++两个不同的进程间架起通信的桥梁;第三部分是对于第二部分的改进工作,这些工作包括进程隐藏研究、内存池的算法研究、服务组合研究,这些研究工作未来可以应用在真正有商业价值的适用于Struts架构的安全系统中。
本文将这三个部分分别用一个章节讲述,对于它们的实现或测试都在章节中都有所体现,运行与监测结果表明设计思路可行,达到了预期的研究目的与期望。
As the computer network and distribution compute technology grows mature, the Struts frame based on MVC model gradually become the main exploitation stream of midium and small size corporation. According to the report of security corporation, network attack now links to economic interests. To midium and small size corporations, upon the cost pressure , lack of technology support, and needs of protection for important informtaion, they need mature and trustful technology to insure the security of their information. I deeply perceived this kind of demands, when I took part in the SANY project. So I take advantage of the graduation design to first evaluate the merits and demerits of the present J2EE plus fire wall network exploitation model in network security. On this condition, I combined the present technology to design a security system applied to Struts frame. The traits of the system are maturity in technology and easy to carry out. And with the great potential of the system, it could be developed by adapting the mode of service combination.
The dissertation of the system is genarally in three parts. First is the authentication and warranty system within the Struts frame exploitation. The technology of this part is relatively mature, as it has already applied to the SANY project, which is now good in work. The second part is to design a network protection course with sniff function. With this course, written by C++, we can analyse whether an IP is trustful or not and then take further action. The course also contributes in the communication between different courses respectively written by Java and C++. The last part are ameliorations on the second part. The ameliorations include research on course concealing, memory pool computing and service combination. These research could be applied to security system, applied to Struts frame, with real business value.
This paper describes each of the three parts respectively in one section. The realization or test of them are all in the paper. The result shows that the design is feasible, which achieves the anticipated research purpose and expectation.
引文
[1].孙卫琴著.基于MVC的Java Web设计与开发.电子工业出版社.2005
[2].杜娟.著基于J2EE的MVC设计模式的研究和实现.河海大学.2004
[3].陈景燕 阳国贵 著AOP下的权限控制 计算机与信息技术2004
[4].郝斌 著 基于角色管理的系统访问控制IBM中国2001
[5].Adrian Colyer著介绍AspectJ5 IBM中国2005
[6].java模式之单例模式chinaitlab 2005
[7].JDK5新特性—java.util.concurrent线程池 中文java技术网2008
[8].罗军舟 黎波涛 杨鸣 吴俊 黄健 著TCP/IP 协议及网络编程技术 清华大学出版社2004
[9].牛冠杰 孙大为 著 网络安全技术实践 人民邮电出版社2007
[10].袁津生 郭敏哲著 计算机网络与安全实用编程人民邮电出版社2005
[11].windows下多线程编程技术及其实现 软件屋网2005
[12].冯宏华 程远 徐莹 汪磊著 C++应用程序性能优化IBM中国2007
[13].Eclipse直接完成java调用C/C++2006
[14].利用VC++6.0实现JNI的最简单的例子中文java技术网2005
[15].dream2fly 著 利用NtQuerySystemInformation隐藏进程 邪恶八进制信息安全团队2007
[16].文件-进程关联演示程序 非常编程网 2008
[17].探测Win2K_XP_2003 本机系统信息 就学网 2006
[18].windows2000 下简单的进程隐藏CSDN blog 2006
[19].Win2k 进程线程篇 EPROCESS shineast's Blog 2006
[20].内核级Rootkit技术入门 CHENOE安全在线2007
[21].利用NtQuerySystemInformation隐藏进程 邪恶八进制信息安全团队2007
[22].于旸 著 获取Windows系统的内核变量 Xfocus Team 2004
[23].Kernel Mode detection 内核分析与安全驱动技术 安全矩阵(Security Matrix)学术与技术论坛2006
[24].生命的守望 著 缓冲区溢出历史回顾CSDNBlog 2006
[25].余玉唐 著 利用 APIHooK 技术的个人防火墙南京航空航天大学2006
[26].孙淑华 著 内核级木马隐藏技术研究与实现 中国科学院软件研究所2004
[27].System Repair Engineer(SREng)和 Win32 APIHOOK kztechs.com 2006
[28].detrox 著 跨进程 API Hook 2006
[29].windows的服务安装学习笔记 王朝网络 2006
[30].MD5的安全性 Matrix Security 2006
[31].梁杰 著 MD5-Hash 函数的安全性分析2007
[32].Stefan Lucks 著 Hash Functions and the Blind Passenger Attack University of Mannheim 2007
[33].Windows防火墙与封包拦截技术2008
[34].Rootkit技术之内核钩子原理2008
[35].业务流程语言BEPL编程思想及架构 天极IT开发频道2008
[36].成锐著 基于用户角色的数据包过滤系统的设计与实现2003
[37].结成浩著 Java多线程设计模式 中国铁道出版社2003
[38].莫勇腾著 深入浅出设计模式 清华大学出版社2004
[39].Stephen C.Dewhurst 著 C++必知必会 人民邮电出版社2006
[40].孙卫琴,李洪成编著Tomcat与Java Web开发技术详解电子工业出版社2005
[41].Kris Kaspersky 著 shellcode 编程揭秘 电子工业出版社2006
[42].Michal Zalewski 著 网络安全之道 中国水利水电出版社2007
[43].谭毓安,张雪兰编著 Windows汇编语言程序设计教程 电子工业出版社2006
[44].李敬兆 编 8086/8088和ARM 核汇编语言程序设计 中国科学技术大学出版社2006
[45].Herb Sutter,Andrei Alexandrescu著 C++编程规范 人民邮电出版社2006
[46].袁津生,郭敏哲编 计算机网络与安全实用编程 人民邮电出版社2005
[47].AOP技术及其在并发访问控制中的应用.计算机工程与应用.2005.16
[48].面向方面的JAAS安全设计与实现.电子科技大学.2004
[49].DLL的远程注入技术2005
[50].线程的远程注入 CSDNBlog 2005
[2].杜娟.著基于J2EE的MVC设计模式的研究和实现.河海大学.2004
[3].陈景燕 阳国贵 著AOP下的权限控制 计算机与信息技术2004
[4].郝斌 著 基于角色管理的系统访问控制IBM中国2001
[5].Adrian Colyer著介绍AspectJ5 IBM中国2005
[6].java模式之单例模式chinaitlab 2005
[7].JDK5新特性—java.util.concurrent线程池 中文java技术网2008
[8].罗军舟 黎波涛 杨鸣 吴俊 黄健 著TCP/IP 协议及网络编程技术 清华大学出版社2004
[9].牛冠杰 孙大为 著 网络安全技术实践 人民邮电出版社2007
[10].袁津生 郭敏哲著 计算机网络与安全实用编程人民邮电出版社2005
[11].windows下多线程编程技术及其实现 软件屋网2005
[12].冯宏华 程远 徐莹 汪磊著 C++应用程序性能优化IBM中国2007
[13].Eclipse直接完成java调用C/C++2006
[14].利用VC++6.0实现JNI的最简单的例子中文java技术网2005
[15].dream2fly 著 利用NtQuerySystemInformation隐藏进程 邪恶八进制信息安全团队2007
[16].文件-进程关联演示程序 非常编程网 2008
[17].探测Win2K_XP_2003 本机系统信息 就学网 2006
[18].windows2000 下简单的进程隐藏CSDN blog 2006
[19].Win2k 进程线程篇 EPROCESS shineast's Blog 2006
[20].内核级Rootkit技术入门 CHENOE安全在线2007
[21].利用NtQuerySystemInformation隐藏进程 邪恶八进制信息安全团队2007
[22].于旸 著 获取Windows系统的内核变量 Xfocus Team 2004
[23].Kernel Mode detection 内核分析与安全驱动技术 安全矩阵(Security Matrix)学术与技术论坛2006
[24].生命的守望 著 缓冲区溢出历史回顾CSDNBlog 2006
[25].余玉唐 著 利用 APIHooK 技术的个人防火墙南京航空航天大学2006
[26].孙淑华 著 内核级木马隐藏技术研究与实现 中国科学院软件研究所2004
[27].System Repair Engineer(SREng)和 Win32 APIHOOK kztechs.com 2006
[28].detrox 著 跨进程 API Hook 2006
[29].windows的服务安装学习笔记 王朝网络 2006
[30].MD5的安全性 Matrix Security 2006
[31].梁杰 著 MD5-Hash 函数的安全性分析2007
[32].Stefan Lucks 著 Hash Functions and the Blind Passenger Attack University of Mannheim 2007
[33].Windows防火墙与封包拦截技术2008
[34].Rootkit技术之内核钩子原理2008
[35].业务流程语言BEPL编程思想及架构 天极IT开发频道2008
[36].成锐著 基于用户角色的数据包过滤系统的设计与实现2003
[37].结成浩著 Java多线程设计模式 中国铁道出版社2003
[38].莫勇腾著 深入浅出设计模式 清华大学出版社2004
[39].Stephen C.Dewhurst 著 C++必知必会 人民邮电出版社2006
[40].孙卫琴,李洪成编著Tomcat与Java Web开发技术详解电子工业出版社2005
[41].Kris Kaspersky 著 shellcode 编程揭秘 电子工业出版社2006
[42].Michal Zalewski 著 网络安全之道 中国水利水电出版社2007
[43].谭毓安,张雪兰编著 Windows汇编语言程序设计教程 电子工业出版社2006
[44].李敬兆 编 8086/8088和ARM 核汇编语言程序设计 中国科学技术大学出版社2006
[45].Herb Sutter,Andrei Alexandrescu著 C++编程规范 人民邮电出版社2006
[46].袁津生,郭敏哲编 计算机网络与安全实用编程 人民邮电出版社2005
[47].AOP技术及其在并发访问控制中的应用.计算机工程与应用.2005.16
[48].面向方面的JAAS安全设计与实现.电子科技大学.2004
[49].DLL的远程注入技术2005
[50].线程的远程注入 CSDNBlog 2005