软件体系结构课件_(第九课)质量属性.pptVIP

质量属性 可修改性 可修改性：有关变更的成本问题。 可修改性 “局部化”修改战术 目标：把变更限制在一定范围内 在“设计”期间为模块分配责任，以把预期变更限制在一定范围内。 “局部化”修改战术 维持语义的一致性 预期期望的变更 泛化该模块 限制可能的选择 维持语义的一致性 指模块中责任之间的关系； 责任越单一越好 例如：DotNet中的System.IO命名空间，File类和FileInfo类，在最初的beta版中只有一个File 例如：一个车库门开关系统 在家庭信息系统中，用一定的控制装置和设备来控制开门和关门。如果车门在下降的过程中，检测到一个人或物体，必须在很短的时间内停止。 语义一致性和信息隐藏战术： 用单独的模块来处理用户接口、通信和传感器。 例如： MVC模式：将显示、控制和模型几部分分开。 子战术：抽象通用服务 例如：各种程序框架 比如：Visual Studio框架 预期期望的变更 考虑所预想变更的集合（变化点）。通常结合语义一致性来使用。 例如：A-7E案例（预期期望的变更） 在确定模块分解结构时，首先分析了系统最可能改动的三个原因： 软件必须与之交互的硬件发生了变化 所要求的系统外部可见行为发生了变化 完全由该项目的设计人员作出了某个决定发生了变化 泛化该模块 例如：程序语言中的虚函数 指针（void*,具体指定） 限制可能的选择 如果修改的范围非常大，影响很多模块，则限制能进行的修改，从而降低影响。 防止连锁反应的战术 模块之间的依赖性 （1）语法 （2）语义 （3）顺序 （4）A的一个接口的身份 （5）A的位置 （6）A提供的服务/数据的质量 （7）A的存在 （8）A的资源行为 防止连锁反应的战术 信息隐藏： 将变更隔离在一个模块内，与预期期望的变更有很大的关系 维持现有的接口 如果B依赖于A的一个接口的名字和签名，则维持该接口及其语法能够使B保持不变。 维持现有的接口 添加接口 添加适配器 占位程序：如果修改要求删除A,且B仅依赖于A的签名，则为A提供一个占位程序可使B保持不变 防止连锁反应的战术 限制通信路径 仲裁者的使用 仲裁者的使用 数据（语法） 服务（语法） A的接口身份 A的位置（运行时） A的资源行为或由A控制的资源 A的存在 仲裁者的使用（代理模式） 推迟绑定时间 运行时注册 配置文件 多态 组件更换 遵守已定义的协议 安全性 衡量系统在向合法用户提供服务的同时，阻止非授权使用的能力。 安全性战术 与抵抗攻击有关的战术 与检测攻击有关的战术 与从攻击中恢复有关的战术 抵抗攻击 对用户进行身份验证 对用户进行授权 维护数据的机密性 限制访问：防火墙根据消息源或目的地端口来限制访问。 限制暴露的信息：设计服务在主机上的分配，以使只能在每个主机上获得受限的服务。 身份验证 对用户进行授权 对于不同身份的用户，设置不同的交易权限。 数据加密技术 常用的方针有：线路加密和端对端加密两种。 在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。 信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密,把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码）， 然后进入TCP/IP数据包封装穿过互联网, 当这些信息一旦到达目的地, 将由收件人运用相应的密钥进行解密, 使密文恢复成为可读数据明文。 相关技术 防火墙： “防火墙”是一种形象的说法, 它其实就是一个把互联网与内部网（通常这局域网或城域网）隔开的屏障。 它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而保护内部网免受非法用户的侵入。 防火墙 作业 请描述一下常见的错误检测战术（画图描述）、错误恢复战术。 空中交通管制----高可用性设计案例分析 系统简单介绍 飞机从顺利起飞到安全到达目的地，受到空中交通管制系统各个不同部分的管理。 地面控制部分负责协调和管理飞机在机场地面上的运动； 塔台控制部分控制飞机在该机场的终端控制区中的飞行； 最后，该系统还有多个中途中心，将整个美国领空划分为22个责任区。 初始区段组（Initial Sector Suite System） 需求与质量分析 空中交通管制系统如果运行不好，可能会造成生命财产损失 极高的可用性：必须保证系统不能正常工作的时间非常短（一年内停机时间不能超过5分钟） 高性能：系统必须保证在不丢失任何数据的情况下对大量数据进行处理；通信网络必须能够处理这种负载，软件必须能够快速、带有预测性的进行计算。 ISSS的功能 获取存储在称为主计算机系统的现有空中交通管制系统中的雷达目标数据 转换雷