基于Ｊ２ＥＥ的医师协会管理系统安全性研究.docVIP

基于Ｊ２ＥＥ的医师协会管理系统安全性研究 　　摘要：介绍了Java平台安全、J2EE安全体系结构。以一个登录请求为例，重点研究了J2EE架构在医师协会管理系统中的应用，以及使用J2EE安全体系结构构建医师协会管理系统。 　　关键词：J2EE；安全体系结构；医师协会管理系统 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)18-2pppp-0c 　　 　　Security Research on Medical Doctors Association MIS based on J2EE 　　JIN Chan-ming 　　(Wuhan University of Technology,College Of Computer Science and Technology,Wuhan 430063,China) 　　Abstract:In this paper,we research on Java platform security and J2EE security system architecture.Take the request of login for instance,focus on how J2EE works in a college of doctors management system,and how to use J2EE security system architecture to build it. 　　Key words:J2EE; security system architecture; a college of doctors management system 　　 　　1 引言 　　 　　随着社会主义市场经济的发展，医疗服务的规范化管理日益受到关注，相关的人事制度改革研究也日渐兴盛。为了更好的实现医疗服务规范化管理，严格规范全国各地医师执业资格，更好地协调医师之间的交流合作，建立一套针对全国医师协会的管理系统是势在必行，近年来互联网络的发展和Internet技术的普及，拥有众多优势的B/S结构在Web应用程序开发中得到迅速的推广。但是综合运用JSP、Java、互联网络和数据库等多种技术开发的医师协会管理系统，会存在不少安全性隐患。比如，由于互联网络的开放性、通信协议的安全缺陷、处理分布性等，在网络环境中存储、访问和传输数据信息，很有可能被泄露或破坏，所以加强网络安全非常迫切。 　　2 医师协会管理系统概述 　　综合分析医师协会管理系统的需求说明，得到系统功能模块图和顶层数据流图。 　　 　　图1系统主要功能模块 　　 　　图2 顶层数据流图 　　 　　系统用户分为管理员用户和普通用户，不同的用户类型使用权限不同。对于用户管理模块，管理员有增加、修改、删除普通用户信息的权限，而普通用户就只有修改用户信息的权限。对于其他功能模块，管理员可以进行增加、删除、修改操作，普通用户只能浏览。 　　 　　3 系统的安全性考虑 　　 　　3.1 物理安全性 　　保证安装了医师协会管理系统的计算机设备的物理安全是前提。物理安全是指保护计算机设备免遭雷击、火灾等环境事故以及因人为操作失误导致的破坏过程。主要通过安装消防、避雷系统，设备冗余备份，严格管理及提高员工的整体安全意识等措施予以保障。 　　3.2 Java平台的安全性 　　J2EE安全体系结构建立在J2SE的基本特征之上,而J2SE又是以Java平台为基础,在研究基于J2EE架构的医师协会管理系统之前，有必要了解Java平台安全机制和J2EE的安全体系结构。 　　Java语言是一种与操作系统平台无关的语言，本身有着较为完善的安全机制，用Java开发应用程序,可以安全的在Internet上运行。最初的Java平台(JDK1.1)采用沙箱(sandbox)安全模型，核心主要由3个支柱承担，分别是Java运行环境的3个重要安全组件：类加载器、类文件验证器和安全管理器[1]。 　　 　　 　　图3 Java2安全模型 　　 　　3.3 用户身份划分 　　J2EE中的安全是基于角色的，也就是说资源访问权限赋予角色，通过角色把权限赋予用户。要检查用户是否有访问权限，服务器就检查用户所属的角色以及角色所具有的权限，服务器用特定的工具实现用户和角色之间的映射。不同的J2EE服务器供应商用自己特定的方法告诉服务器哪个用户属于哪个角色，有的使用操作系统的安全机制，有的把用户和角色信息保存在数据库或者文件系统中[2]。通过声明性安全和编程性安全这两种方式可以指出特定角色可以访问的特定资源。 　　3.3.1 声明性的安全 　　声明性的安全通过安全声明的方式来表示应用