关于j2ee多层架构技术的web应用分析.pdfVIP

第l章 绪 论 1．1 Web系统访问控制和SQL注入防范的研究背景 发展过程中发挥了重要的作用。J2EE(JaVa2EnterlpriseEdition)多层架构技术的出现，使得 Web应用系统在跨平台性、软件复用性、扩展性和维护性等方面得到了很大地提高，为大 规模企业级Web应用提供了高效的解决方法Il捌。但是Web应用系统在规模和应用范围不 断扩大的情况下，产生了许多安全性问题。访问控制和SQL注入是安全性问题中比较重要 的两个方面。 访问控制主要是验证用户访问系统资源的合法性，防止非法用户侵入系统获取数据信 息，同时也避免了合法用户的不慎操作对系统造成的破坏【3】。所以为提高web系统的安全 性，对系统进行访问控制是必不可少的。基于角色的访问控制(ImAC)模型是目前主流的访 问控制模型，该模型简化了web系统的安全管理和操作，提高了系统安全性的可操作性及 可实现性【41。但是，lmAC模型是一种粗粒度的访问控制模型，它在分派权限时，是以角 色为基本单位的，用户通过充当相应角色的成员而获得角色的所有权限，难以满足某些 Web系统的特殊访问控制需求。所以需要通过对RBAC模型的改进，提出一种细粒度的访 问控制模型，使Web系统能够灵活、有效的对访问控制进行管理。 SQL注入攻击是指攻击者通过在查询操作过程中输入SQL特殊字符重构系统中的 SQL语句，从而非法获得系统中的数据信息的过程。由于SQL注入攻击的广泛性、难捕 捉性和易学性等特点，使其成为网络攻击中最为严重的攻击之一。据世界著名Web安全与 数据库安全研究组织OWASP Top 入对Web系统进行恶意的破坏，非法获取系统用户的权限、账号和密码等数据信息，给企 业和个人带来了严重的损失。所以Web系统必须拥有SQL注入防范的能力，防止攻击者 的恶意破坏，提高系统的安全性。 1．2 国内外访问控制和SQL注入防范的研究现状 1．2．1访问控制的研究现状 为保证W曲应用系统的安全性，对系统中的资源进行访问控制是必不可少的，完善的 Access Con仰l的文章，提出了基于角色的访问控制模型，即砌；AC模型【8】ol也AC模型 在用户与权限之间加入了角色的概念，权限先赋予角色，用户通过充当角色的成员而获得 出了RBAC2001建议标准f121，即NISTI啦AC㈣。国外的学者对于RBAC的研究主要集中 在操作系统和数据库系统的权限控制，对于在具体w-eb系统中的应用研究较少。国内学者 对于RBAC的研究也取得了一定的成果，中科院软件研究所的丁仲等人提出了RBAC权限 管理的面向对象框梨14l，该框架提供了可重用的权限管理，将通用的权限放在框架中进行 管理，而易变的权限作为框架的扩展，从而减轻了角色操作对应用程序的影响，提高了软 户．角色分配关系。余文森等人通过把角色中的权限集分为公有权限集和私有权限集，公有 权限集可以被父角色继承，私有权限集不能被继承，解决了角色继承时父角色无法继承子 角色部分权限的问题【16】。廖俊国等人提出增加RBAC模型中权限的重要程度要素w，通过 角色继承和用户获得角色权限时设定w的区间【low，up】，解决了父角色无法部分继承子角 色权限和用户无法获得角色部分权限的问题117】。高川等人在权限继承时引入了私有阈值， 限的授权方式是一种以角色为基础的粗粒度的授权，无法满足某些系统需要灵活设置用户 权限的情况。 1．2．1 SQL注入防范的研究现状 了使用代理来过滤输入数据的方法，发开人员先定义应用系统中的SQL特殊字符的过滤规 则，当用户输入查询数据时，根据系统中定义的过滤规则对输入的数据进行过滤‘1引。Gre90巧 一2一 提出通过比较数据提交前和提交后的SQL语句的分析树结构是否相同，判断是否存在SQL for 注入攻击12们。Willi锄等人提出了AMNESIA(Analysis锄dMollitoringNeut】瑚izingSQL Injection 击的研究中，H咖g 彪等人提出了一种信息分类处理的SQL注入防御模型【261。KallgSong—lin等人提出通过检测 得用户提交的数据前后的关键字的长度判断是否存在SQL出入，当关键字长度不等时，表 明存在着SQL注入攻击f271。这些防范SQL