| 摘要 | 第1-6页 |
| ABSTRACT | 第6-12页 |
| 第一章 绪论 | 第12-15页 |
| ·问题的提出 | 第12-13页 |
| ·国内外现状分析 | 第13页 |
| ·本文研究内容 | 第13-15页 |
| 第二章 电子商务信息安全管理系统 | 第15-24页 |
| ·电子商务信息安全标准研究 | 第15-18页 |
| ·为何需要网络应用安全 | 第15页 |
| ·网络应用程序体系结构 | 第15-16页 |
| ·软件开发生命周期(SDLC)中的安全性 | 第16-17页 |
| ·网络应用程序安全性设计 | 第17-18页 |
| ·电子商务信息安全管理系统的设计原则 | 第18-19页 |
| ·电子商务信息安全管理系统的软件结构设计 | 第19页 |
| ·电子商务信息安全管理系统的创新点 | 第19-20页 |
| ·电子商务信息安全管理系统框架 | 第20-22页 |
| ·电子商务信息安全管理平台的配置和初始化 | 第21-22页 |
| ·平台的配置 | 第21-22页 |
| ·平台的初始化 | 第22页 |
| ·电子商务信息安全管理系统工作流程 | 第22-24页 |
| 第三章 数据过滤模块 | 第24-38页 |
| ·数据过滤模块概述 | 第24页 |
| ·模式匹配分析引擎 | 第24-28页 |
| ·总体架构 | 第24-25页 |
| ·文件初始化 | 第25-27页 |
| ·数据文件之间的关系 | 第27页 |
| ·规则匹配的实现 | 第27-28页 |
| ·行为建模引擎 | 第28-38页 |
| ·总体架构 | 第28-31页 |
| ·文件初始化 | 第31-32页 |
| ·数据文件之间的关系 | 第32页 |
| ·行为建模引擎的实现 | 第32-33页 |
| ·URI建模算法 | 第33-34页 |
| ·参数建模算法 | 第34-36页 |
| ·URI访问序列建模算法 | 第36-38页 |
| 第四章 安全代理 | 第38-43页 |
| ·Agent技术 | 第38页 |
| ·Servlet Filter | 第38-39页 |
| ·安全代理中心功能 | 第39-41页 |
| ·XML格式化 | 第41页 |
| ·安全代理和管理员控制中心之间的通信 | 第41-43页 |
| 第五章 授权认证模块 | 第43-57页 |
| ·JAAS概述 | 第43-46页 |
| ·身份验证 | 第44页 |
| ·授权验证 | 第44-45页 |
| ·JAAS的体系结构 | 第45-46页 |
| ·通用类 | 第45页 |
| ·认证类 | 第45-46页 |
| ·授权类 | 第46页 |
| ·认证授权模块的设计原则 | 第46-47页 |
| ·本课题设计的核心类及配置文件 | 第47-53页 |
| ·Credential、SubjectTemplate类设计和SubjectTemplate.xml定义 | 第47-48页 |
| ·permission和domain的设计 | 第48-50页 |
| ·Role和Principal的设计 | 第50-52页 |
| ·User的设计 | 第52-53页 |
| ·反应动作配置文件 | 第53页 |
| ·用于完成具体认证授权分析功能的扩展JAAS模块包 | 第53-55页 |
| ·登陆模块设计 | 第53-54页 |
| ·策略设计 | 第54-55页 |
| ·认证授权分析设计 | 第55页 |
| ·回调函数设计 | 第55页 |
| ·权限收集设计 | 第55页 |
| ·基于JAAS的认证授权模块的工作过程 | 第55-57页 |
| 第六章 协议过滤模块 | 第57-64页 |
| ·协议过滤模块概述 | 第57-58页 |
| ·模块中的核心类 | 第58页 |
| ·协议过滤模块的实现 | 第58-64页 |
| ·文件初始化 | 第58-60页 |
| ·路径定义文件 | 第58-59页 |
| ·规则配置文件 | 第59页 |
| ·额外信息配置文件 | 第59-60页 |
| ·攻击目标文件 | 第60页 |
| ·数据文件之间的关系 | 第60-62页 |
| ·协议过滤分析的工作过程 | 第62-64页 |
| ·基本流程 | 第62-63页 |
| ·特殊标志位 | 第63-64页 |
| 第七章 加密解密模块 | 第64-75页 |
| ·密码学概述 | 第64-66页 |
| ·加密解密 | 第64-65页 |
| ·数字签名(DigitalSignature) | 第65页 |
| ·消息摘要(Message Digest) | 第65-66页 |
| ·JCE基础 | 第66-69页 |
| ·JAVA安全体系结构的标准组件 | 第66页 |
| ·JCE定义的引擎类 | 第66-67页 |
| ·密码服务提供者(Cryptographic Service Provider) | 第67-68页 |
| ·JCE中提供的用于加密解密的类和接口 | 第68-69页 |
| ·加密解密模块的设计原则 | 第69页 |
| ·基于JCE的加密解密的软件结构设计 | 第69-70页 |
| ·加密解密模块的实现 | 第70-75页 |
| ·管理单元 | 第70-72页 |
| ·配置单元 | 第70页 |
| ·密钥产生单元 | 第70-71页 |
| ·密钥存储单元 | 第71-72页 |
| ·功能实现单元 | 第72-75页 |
| ·Crypto的运行机制 | 第72-74页 |
| ·加密解密单元 | 第74页 |
| ·数字签名单元 | 第74页 |
| ·消息摘要单元 | 第74-75页 |
| 第八章 日志管理模块 | 第75-81页 |
| ·开发日志管理模块的作用 | 第75页 |
| ·日志管理模块的设计原则 | 第75-76页 |
| ·日志管理模块中的主要设计 | 第76-79页 |
| ·Log接口和LogFactory抽象类 | 第76-78页 |
| ·Appender | 第78页 |
| ·数据表的设计 | 第78-79页 |
| ·日志管理模块的配置 | 第79-81页 |
| 第九章 安全监控模块 | 第81-86页 |
| ·安全监控模块概述 | 第81页 |
| ·文件初始化 | 第81-82页 |
| ·安全动作 | 第82页 |
| ·安全监控模块的实现 | 第82-84页 |
| ·安全反应动作的执行 | 第82-83页 |
| ·向安全代理模块发送安全指令 | 第83-84页 |
| ·安全监控模块数据库的设计 | 第84-85页 |
| ·小结 | 第85-86页 |
| 第十章 应用监控模块 | 第86-90页 |
| ·应用监控模块概述 | 第86页 |
| ·文件初始化 | 第86-87页 |
| ·安全代理定义文件 | 第86-87页 |
| ·电子商务应用程序定义文件 | 第87页 |
| ·配置信息管理 | 第87-88页 |
| ·实时监控 | 第88-90页 |
| 第十一章 相关技术―――Struts、Dom4j、L094j | 第90-96页 |
| ·Struts | 第90-93页 |
| ·MVC | 第90页 |
| ·Struts实现MVC的机制 | 第90-91页 |
| ·Struts的核心组件 | 第91-92页 |
| ·Struts-config.xml的配置 | 第92-93页 |
| ·L094j | 第93-95页 |
| ·L094j的优点 | 第93页 |
| ·L094j在tomcat中的配置 | 第93-94页 |
| ·载入使用Java 键—值对的属性文件编写的配置文件 | 第93页 |
| ·载入XML形式的配置文件 | 第93-94页 |
| ·1094j.properties的文件格式 | 第94页 |
| ·L094j对应用性能的影响 | 第94-95页 |
| ·dom4j | 第95-96页 |
| ·dom4j的特点 | 第95页 |
| ·dom4j中的核心类 | 第95-96页 |
| 第十二章 实验结果 | 第96-104页 |
| ·电子商务信息安全管理系统测试环境 | 第96页 |
| ·辅助测试工具 | 第96页 |
| ·测试 | 第96-104页 |
| 测试一 SQL注射(SQL Injection)攻击 | 第96-97页 |
| 测试二跨站脚本攻击(Cross-Site Scripting:CSS/XSS) | 第97-98页 |
| 测试三目录遍历(directory traversal)攻击 | 第98-99页 |
| 测试四越权访问 | 第99-100页 |
| 测试五缓冲溢出攻击 | 第100-101页 |
| 测试六不合适的错误处理 | 第101-102页 |
| 测试七隐藏域(Hidden Field)攻击 | 第102-103页 |
| 测试八额外信息攻击 | 第103页 |
| 测试九信息遗漏 | 第103-104页 |
| 结论 | 第104-105页 |
| 参考文献 | 第105-107页 |
| 论文及项目情况 | 第107-108页 |
| 致谢 | 第108-109页 |
