第七章系统设计介绍.ppt

可读性 子系统名是否可理解 系统设计和实现是大量交织在一起的，很多不确定的问题倾向于滞后解决。 系统设计文档 介绍 系统目标 设计目标 术语及缩略词定义 参考文献 当前软件体系结构 建议软件体系结构 概述 子系统分解（构件图） 硬件软件映射（部署图） 持久性数据管理（数据库设计） 访问控制与保密性（数据库设计） 全局控制流定义（系统框架） 边界条件 子系统服务 子系统描述 子系统接口 系统设计文档 第一部分介绍软件体系结构及设计目标的概述，还介绍了对其他文档的引用（需求分析文档） 第二部分是当前软件的体系结构，如果没有，可以替换成类似系统结构的调研 第三部分是主要内容 概述给出了软件体系结构的大体情况并简明的描述了每个子系统上功能分配 子系统分解描述了系统分解成多个子系统各自的职责，这是系统设计的主要产品（构件图） 软硬件映射描述了子系统是如何分配到硬件以及商业外购件上去的，还描述了多个节点和软件复用带来的问题（部署图） 持久性数据管理描述了存储在系统中的持久性数据以及数据管理的支撑基础，这一部分主要包括数据模式（文件，数据库）的描述，数据库的选择，数据库封装（表的建立）的描述。 访问控制和安全根据访问矩阵描述了系统的用户模型，还描述采用何种安全机制（密码，指纹） 全局控制流描述了系统全局控制是如何实现的，这一部分应该描述用户请求如何与系统交互的，子系统之间如何同步的。 边界条件描述了系统启动关闭异常处理等行为 第四部分是子系统服务，描述每个子系统提供的服务，在初期可能是不完备的，每个子系统的接口从这一部分导出 责任分配 与分析不同，系统设计是开发者的领域，主要涉及到架构师和将来子系统的设计人员。客户及用户将退到幕后。 架构设计师：是系统设计中的主要角色，确保各子系统的设计决策和接口风格一致，是系统设计阶段的领导者 联络员：负责为自己团队负责的子系统传递和反馈信息，协调接口的变化，在设计阶段，主要关注系统服务，在实现阶段，主要关注API 文档编辑人员，配置经理，评审人员：与分析阶段一致。 多线程 过程驱动，事件驱动 事件驱动 事件驱动+多线程 事件驱动 * 访问控制 访问矩阵展示了参与者以及需要被访问控制的类，访问矩阵的每一个（actor，class）组合称为访问权，并列出了在这个访问权下能够执行的操作-operation（如办理小额贷款） 有三种方式来表示访问矩阵 全局访问表 访问控制列表 能力列表 访问控制 全局访问表以（actor，class，operation）的方式记录了哪些参与者在哪些类中可以执行哪些操作，当某用户在某类中执行想执行某操作时，对全局访问表进行查找，如果找到则可以执行，否则不能执行。 访问控制 访问控制列表，对于每一个被访问的类关联一个（actor，operation）形式的列表。 访问控制 能力列表，对于每一个参与者关联一个（class，operation）形式的列表 访问控制 访问矩阵存在性能问题 全局访问表：空间大，检索慢 访问控制列表擅长于回答“谁可以访问这个对象” 能力列表擅长于回答“这个参与者可以访问哪些对象” 为每一个（actor，class）提供不同的视图（view） 柜员可见柜台视图 经理可见的柜台视图 分析师可见的分行视图 访问控制 参与者过多的情况下使用规则来描述访问矩阵 源主机 宿主机 目标端口 动作 任何 网络服务器 http 允许 任何 邮件服务器 smtp 允许 企业网内部主机 ftp服务器 ftp 允许 访问控制 访问矩阵仅仅展示了静态访问控制的方式，如果需要系统运行中动态的对用户访问权限进行调整则需要使用动态访问控制 动态访问控制的实现方式有很多，最典型的一种是代理设计模式（proxy pattern，设计模式的一种） 柜员想暂时使用经理的权限完成一笔交易，但是经理出差了（假设通过指纹识别进行登录） 在初期设计的时候建立一个经理代理类供柜员使用，保护经理类并检查访问权限。 访问控制 柜员通过经理代理类中的方法调用经理类的方法 经理代理类中的被调用的方法会首先向审核类查询此柜员是否有操作这个方法的权限 访问控制 验证用户身份与系统之间的关联，这一过程叫做识别，涉及到信息安全学 密码（加密传输，通过伪造包方式破解） USB Key（内置单片机和智能卡，由于密钥在设备内计算得到，不可导出，从物理上隔绝了破解可能） 生物特征（指纹，虹膜，面部特征） 问题 你正在为一个基于网络的零售商店设计访问控制策略。顾客可以使用网络来访问商店，浏览商品信息，购买商品。供应商能够添加新商品，更新商品信息，接收订单，商店老板可以设置零售价格，基于顾客提供打折。你必须处理三种参与者，商店老板，供应商，顾客，为他们设计访问控制策略，顾客可以由网络创建，供应商由商店老板创建。试画