关于软件设计中安全性的理解

最新推荐文章于 2024-03-27 11:30:00 发布
最新推荐文章于 2024-03-27 11:30:00 发布
阅读量901 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43348617/article/details/107349641
版权

在学习《软件构造》这门课之前,我其实就对软件的安全性有一定的理解。因为大一年度项目我们组就是完成的一个软件创新创业项目,所以我对于软件的安全性有一定的了解,但只能说浅尝辄止。在学习完《软件构造》这门课之后,我对于软件的安全性有了更好更深入的理解,从原理到实践,系统地学习了有关软件安全性的知识,接下来我会通过文字+代码的形式复习一下学习到的软件安全性的知识。
在很早的时候,大概是lab2的时候就已经开始有了对于软件安全性的要求,也学习了关于软件安全性的知识。还记得在lab1的时候基本都要参考学长学姐的代码,里面的参数有些是public类型的,有的是private类型的,有同学在上课的时候就询问了老师关于public和private的问题,老师说lab1暂时不提,等到lab2的时候就会有所要求。
在lab2中,我们需要实践学习过的关于ADT的知识,其中十分重要的一环就是对安全性的考虑。其中我们在写spec、AF、RI等信息的时候就需要写出对于安全性的考虑和应对措施。在lab2中最常见的就是对数据的类型要求以及防拷贝等方法。
首先是对数据类型的要求。在lab1中,我写的代码中的参数是这样的

public class FriendshipGraph {
	public final static int maxNum = 1000;
	public ArrayList<Person> people = new ArrayList<Person>();
	public int[][] edge = new int[maxNum][maxNum];
	public HashMap<Person, Integer> hm = new HashMap<Person, Integer>();
	boolean visited[] = new boolean[maxNum];
}

可以看到这些数据全部都是public类型的,而在lab2中有对于lab1中的P3有重新实现的惭怍,而这一次的参数变成了这样

public class FriendshipGraph {
	private final Graph<Person> graph = Graph.empty();
	
	// Abstraction function:
    //   TODO
	// 该图由之前的ConcreEdgesGraph来实现
	// 由于ConcreEdgesGraph创造的图是有向带权值的图,所以要求加边时要双向加边并将权值统一
	//
	
    // Representation invariant:
    //   TODO
	// graph的映射不能为空
	
    // Safety from rep exposure:
    //   TODO
    // graph为private类型
}

可以看到为了防止ADT中的数据产生泄露的可能性,我将参数全部改为了private类型,并且在很多场合使用了immutable类型

public class ChessGame implements Game {
	
	// TODO fields
	private ChessBoard board = new ChessBoard();
	private String name1;
	private String name2;
	private ChessPlayer player1;
	private ChessPlayer player2;
	private final static String white = "white";
	private final static String black = "black";
}

第二个很重要的技术就是防拷贝式编程,比如防止用户使用Object类中的toString()方法直接拷贝ADT中的重要信息,以及防止内部参数被外界直接调用导致内部信息被恶意篡改等。

// TODO toString()
		@Override
		public String toString() {
			return "This is a friednship graph!";
		}

例如在很多ADT中我都使用了防拷贝式编程。

@Override
	public Set<L> vertices() {
		// throw new RuntimeException("not implemented");
		Set<L> set = new HashSet<L>();
		for (int i = 0; i < vertices.size(); i++) {
			set.add(vertices.get(i).getLabel());
		}
		return set;
	}

例如给用户提供了调用内部可变数据的方法,但并不能直接将内部可变数据传输给用户,而是应该传输给用户和内部数据内容相同但是并不是内部的可变数据。

但愿长醉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
写给开发者的软件架构实战:如何进行安全性设计
禅与计算机程序设计艺术
01-31 61
1.背景介绍 写给开发者的软件架构实战:如何进行安全性设计 作者:禅与计算机程序设计艺术 背景介绍 1.1 互联网时代的安全性挑战 在当今的互联网时代,由于技术的快速发展
软件可靠性与安全性设计与实现知识梳理
02-24
参加本次软件可靠性与安全性高级技术研讨会学习主要的收获是学习了对软件可靠性与安全性设计与实现的方法,将会在以后在软件设计的工作提供重要的帮助。现将软件可靠性与安全性设计与实现的知识点进行梳理记录。防...
软件安全设计
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-30 1万+
文章目录一、软件设计软件安全设计1、软件设计的主要工作2、软件安全设计的主要工作二、软件安全设计原则1、经典的设计原则2、安全设计原则介绍三、软件安全功能设计1、应用安全功能设计2、就与安全模式的软件安全设计四、威胁建模1、威胁建模的概念2、威胁建模的流程 一、软件设计软件安全设计 1、软件设计的主要工作 1)总体设计和详细设计 总体设计:是指根据需求确定软件和数据的总体框架,包括系统设计过程和结构设计过程。 详细设计:是将总体设计的结果进一步详细的分化为软甲的算法标识和数据结构。 2)主要工作 从
软件系统架构黄金法则:安全性设计
禅与计算机程序设计艺术
01-28 833
1.背景介绍 在当今的数字时代,软件系统的安全性已经成为了一个重要的问题。在设计和实现软件系统时,我们需要确保其安全性,以保护数据和系统资源。在这篇文章,我们将讨论一种名为“软件系统架构黄金法则:安全性设计”的方法,它可以帮助我们更好地设计和实现安全的软件系统。 1. 背景介绍 软件系统架构是软件系统的基本设计,它决定了系统的组件、关系和交互。在过去的几十年软件系统的复杂性和规模不断增...
11种方法判断​软件的安全可靠性​
最新发布
xnxqwzy的博客
03-27 1110
软件的安全可靠性是衡量软件好坏的一个重要标准,指与防止对程序及数据的非授权的故意或意外访问的能力有关的软件属性,可靠性指与在规定的一段时间和条件下,软件软件的安全可靠性是衡量软件好坏的一个重要标准,安全性指与防止对程序及数据的非授权的故意或意外访问的能力有关的软件属性,可靠性指与在规定的一段时间和条件下,软件能维持其性能水平能力有关的一组属性。具体我们可以从以下几个方面来判断:1.限制。
软件安全性设计
总结、分享、交流
12-17 4545
摘要: 2018年5月我参与了某省电信智慧BSS系统的运营管理平台(NOSP)项目的开发。该项目为解决BSS系统的日常运营提前发现故障、快速定位问题、保障服务稳定运行等方面提供全方位的软件支撑,我在该项目担任系统架构师,主要负责系统的总体架构设计和技术选型。本文以该项目为例,主要论述了安全技术和解决方案在项目的具体应用。通过设置防火墙和加密技术保证内部网络的安全。在应用层采用RBAC模型和T...
解读FPGA设计安全性
08-13
在复杂系统设计安全性的挑战更为严峻。例如,一个FPGA与微处理器相连的系统,其FPGA通过Flash配置,微处理器的程序和数据存储在外部。为保护设计,可以采用加密的FPGA数据和位流,同时,通过在FPGA内部实现软...
软件设计与体系.docx
01-05
非功能需求则关注系统的性能、可用性、安全性及兼容性。具体如表所示:用户界面应直观易用,软硬件环境需适应多种平台,产品质量则需保证高稳定性。\n\n接着,业务架构的设定是为了解释系统的业务流程。在高校竞赛...
软件安全软件安全架构和设计
09-05
设计过程,应考虑安全性的面向对象设计原则,如信息隐藏、访问控制和继承的安全性。 风险分析在软件架构和设计过程起到预警和预防的作用,通过对潜在风险的识别、评估和缓解策略的制定,可以在早期发现并解决...
软件开发设计说明书.docx
09-10
4.详细设计:描述软件的详细设计信息,包括数据结构、算法、数据库设计安全性设计等信息。 5.实现细节:描述软件的实现细节信息,包括编码规范、测试计划、部署计划等信息。 在软件开发设计说明书,我们可以...
浅谈软件安全设计(一)
03-21
{************************************************************** 浅谈软件安全设计(一) code by 黑夜彩虹 & vxin with almost pure delphi 网站:http://soft.eastrise.net 2007-03-07 --- 转载时请保留作者信息。 **************************************************************} 此CM的设计模式: 1、插入一些花指令 2、写了一些代码迷惑Cracker 3、有简单的Anti_DEDE 和检测调试器 话不多说,请看以下代码: unit main; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, ExtCtrls,strutils; Const C1= 17856; C2= 23589; type TForm1 = class(TForm) Image1: TImage; Edit1: TEdit; Label1: TLabel; Label2: TLabel; Edit2: TEdit; Button1: TButton; procedure FormCreate(Sender: TObject); procedure Button1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.dfm} Procedure Anti_DeDe();//检测DEDE反编译器 var DeDeHandle:THandle; i:integer; begin DeDeHandle:=FindWindow(nil,chr($64)+chr($65)+chr($64)+chr($65)); if DeDeHandle0 then begin For i:=1 to 4500 do SendMessage(DeDeHandle,WM_CLOSE,0,0); end; end; Function ABC42():Boolean; //检测调试器; var YInt,NInt:Integer; begin asm mov eax,fs:[30h] movzx eax,byte ptr[eax+2h] or al,al jz @No jnz @Yes @No: mov NInt,1 @Yes: Mov YInt,1 end; if YInt=1 then Result:=True; if NInt=1 then Result:=False; end; function EncryptModule(SourceStr:String;Key:Word;N:Integer):String; var //加密函数 I:Integer; begin SetLength(Result,Length(SourceStr));//利用SetLength函数指定密文长度 //对每一个索引元素进行变换 for I:=1 to Length(SourceStr) do begin Result[I]:=Char(byte(SourceStr[I]) xor (Key Shr N)); Key:= (byte(Result[I]) + Key)*C1+C2; end; end; //==========以下是549的函数,据说没有暴破点,顺便试一试 //========函数作用:动态改变程序运行罗辑 function GetEIP: Integer;//自动生成address的方法 asm mov eax, [esp]; sub eax, 5; //call GetEIP占用5字节 end; function PatchOneItem(PatchItem: String): Boolean; var PatchAddress: Integer; PatchLength: DWord; PatchData: Pointer; PatchDataStr: String; i: Integer; PatchByte: Byte; PID, PHandle: THandle; WriteCount: DWord; begin Result := False; if Length(PatchItem) < 11 then Exit; PatchAddress := StrToInt(\'0x\' + LeftStr(PatchItem, 8)); for i := 1 to Length(PatchItem) do begin if PatchItem[i] \' \' then PatchDataStr := PatchDataStr + PatchItem[i]; end; PatchLength := (Length(PatchDataStr) - 9) div 2; GetMem(PatchData, PatchLength); try for i := 0 to PatchLength - 1 do begin PatchByte := StrToInt(\'0x\'+PatchDataStr[10 + i * 2] + PatchDataStr[10 + i * 2 + 1]); Byte(Pointer(Integer(PatchData) + i)^) := PatchByte; end; GetWindowThreadProcessId(Application.Handle, PID); PHandle := OpenProcess(PROCESS_ALL_ACCESS, False, PID); WriteProcessMemory(PHandle, Pointer(PatchAddress), PatchData, PatchLength, WriteCount); CloseHandle(PHandle); finally FreeMem(PatchData, PatchLength); end; Result := PatchLength = WriteCount; end; procedure Patch(PatchFile: String); var PatchItems: TStrings; PatchIndex: Integer; begin if not FileExists(PatchFile) then Exit; PatchItems := TStringList.Create; try PatchItems.LoadFromFile(PatchFile); for PatchIndex := 0 to PatchItems.Count - 1 do begin PatchOneItem(PatchItems[PatchIndex]); end; finally PatchItems.Free; end; end; procedure TForm1.FormCreate(Sender: TObject); begin Anti_DeDe; //检测DEDE,检测到关闭它。 if ABC42 then ExitProcess(0); //检测调试器,终止。 end; procedure TForm1.Button1Click(Sender: TObject); //注册按纽,开始检测 begin //========在这里插入一些花指令 asm jz @Start jnz @Start db 0E8h, 24h, 0, 0 ; db 0, 8Bh, 44h, 24h db 4, 8Bh, 0, 3Dh db 4, 0, 0, 80h db 75h, 8, 8Bh, 64h db 24h, 8, 0EBh, 4 db 58h, 0EBh, 0Ch, 0E9h db 64h, 8Fh, 5, 0 db 0, 0, 0, 74h db 0F3h, 75h, 0F1h, 0EBh db 24h, 64h, 0FFh, 35h db 0, 0, 0, 0 db 0EBh, 12h, 0FFh, 9Ch db 74h, 3, 75h, 1 db 0E9h, 81h, 0Ch, 24h db 0, 1, 0, 0 db 9Dh, 90h, 0EBh, 0F4h db 64h, 89h, 25h, 0 db 0, 0, 0, 0EBh db 0E6h db 0EBh, 1, 0Fh, 31h ; db 0F0h, 0EBh, 0Ch, 33h db 0C8h, 0EBh, 3, 0EBh db 9, 0Fh, 59h, 74h db 5, 75h, 0F8h, 51h db 0EBh, 0F1h db 0B9h, 4, 0, 0 ; @Start: end; if length(edit2.Text)>3 then //比较大于3位 begin //============再写一些骗Cracker if edit2.Text=EncryptModule(Edit1.Text,12345,10) then begin showmessage(\'请重启本软件。\'); //=======还可以再写一些记号,这里我就不写了 end; PatchOneItem(edit2.Text); //真正的比较 showmessage(\'ok\'); //弹出OK对话框 end; end; end.  //====附件为CM,会破解的兄弟可以试试其强度....
GJBZ 102-1997 软件可靠性和安全性设计准则
08-19
GJBZ 102-1997 软件可靠性和安全性设计准则 评审文件可以借鉴相关内容
软件设计安全性与易用性的考虑
02-20
计算机安全界曾经有个笑话:“实现计算机系统安全很容易,把计算机的电源关掉,锁在保险箱里,然后把钥匙扔掉。”实际上,这个笑话一定程度上揭示了计算机的安全性与易用性之间的关系。
软件可靠性和安全性设计报告.pdf
10-17
此文档的编写, 在于保证软件开发质量, 规定一定的设计准则和要求, 分析软件需求来 合理设计软件,从而在实现过程保证软件的可靠性和安全性
第20章 软件开发安全
HeLLo_a119的博客
01-30 1503
软件开发安全
软件安全性测试设计的基本原则
行万里
03-02 8981
2015年3月2日 百度了下网上已有的同类话题,讲的有些笼统。这里将我日常工作涉及到的细化一下,以备忘。 1. 最小授权 只授予每个用户/程序在执行操作时所必须的最小特权。这样可以限制事故、错误、攻击带来的危害,减小特权程序之间潜在的相互影响。 2. 发生故障优先保证安全: 当系统发生故障时,对任何请求默认应加以拒绝。 3. 深入防御原则: 采用多层安全机制,这个概
软件架构设计之八:系统安全性和保密性
热门推荐
波粒二象性的专栏
08-30 3万+
一、本章要点 1)加密和解密、身份认证(数字签名、密钥、口令)、访问控制、安全保密管理(防泄漏、数字水印)、安全协议(SSL、PGP、IPSec)、系统备份与恢复、防治病毒;信息系统安全法规与制度;计算机防病毒制度;保护私有信息规则。 2)系统的访问控制技术、数据的完整性、数据与文件的加密、通信的安全性、系统的安全性设计。 二、信息系统安全体系 信息安全的5个要素:机密性、完整性、
gjb102/z 软件可靠性和安全性设计准则
10-12
总之,gjb102/z 提供了一系列的软件可靠性和安全性设计准则,指导软件设计人员在软件开发过程确保软件系统的可靠性和安全性。这些准则要求软件设计人员进行全面的需求分析和评估,采取相应的措施来提高软件的可靠...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值