1、质量属性,可修改性,可修改性:有关变更的成本问题。,可修改性,局部化修改,防止连锁反应,推迟绑定时间,“局部化”修改战术,目标:把变更限制在一定范围内 在“设计”期间为模块分配责任,以把预期变更限制在一定范围内。,“局部化”修改战术,维持语义的一致性 预期期望的变更 泛化该模块 限制可能的选择,维持语义的一致性,指模块中责任之间的关系; 责任越单一越好例如:DotNet中的System.IO命名空间,File类和FileInfo类,在最初的beta版中只有一个File,例如:一个车库门开关系统,在家庭信息系统中,用一定的控制装置和设备来控制开门和关门。如果车门在下降的过程中,检测到一个人或物体
2、,必须在很短的时间内停止。语义一致性和信息隐藏战术: 用单独的模块来处理用户接口、通信和传感器。,例如:,MVC模式:将显示、控制和模型几部分分开。,view,model,controller,子战术:抽象通用服务,例如:各种程序框架比如:Visual Studio框架,定义了应用程序的结构,预期期望的变更,考虑所预想变更的集合(变化点)。通常结合语义一致性来使用。,例如:A-7E案例(预期期望的变更),在确定模块分解结构时,首先分析了系统最可能改动的三个原因:软件必须与之交互的硬件发生了变化 所要求的系统外部可见行为发生了变化 完全由该项目的设计人员作出了某个决定发生了变化,泛化该模块,例如
3、:程序语言中的虚函数指针(void*,具体指定),限制可能的选择,如果修改的范围非常大,影响很多模块,则限制能进行的修改,从而降低影响。,防止连锁反应的战术,模块之间的依赖性 (1)语法 (2)语义 (3)顺序 (4)A的一个接口的身份 (5)A的位置 (6)A提供的服务/数据的质量 (7)A的存在 (8)A的资源行为,防止连锁反应的战术,信息隐藏: 将变更隔离在一个模块内,与预期期望的变更有很大的关系,分界,维持现有的接口 如果B依赖于A的一个接口的名字和签名,则维持该接口及其语法能够使B保持不变。,维持现有的接口,添加接口 添加适配器占位程序:如果修改要求删除A,且B仅依赖于A的签名,则为
4、A提供一个占位程序可使B保持不变,模块A,适配器,防止连锁反应的战术,限制通信路径 仲裁者的使用,仲裁者的使用,数据(语法) 服务(语法) A的接口身份 A的位置(运行时) A的资源行为或由A控制的资源 A的存在,仲裁者的使用(代理模式),推迟绑定时间,运行时注册 配置文件 多态 组件更换 遵守已定义的协议,安全性,衡量系统在向合法用户提供服务的同时,阻止非授权使用的能力。,安全性战术,与抵抗攻击有关的战术与检测攻击有关的战术与从攻击中恢复有关的战术,抵抗攻击,对用户进行身份验证 对用户进行授权 维护数据的机密性 限制访问:防火墙根据消息源或目的地端口来限制访问。 限制暴露的信息:设计服务在主
5、机上的分配,以使只能在每个主机上获得受限的服务。,身份验证,最常用的方式是:用户ID和密码的方式(缺点:用户ID和密码经常被盗或偶然泄漏),对于Internet业务交易,使用CA证书, 由第三权威机构方提供的网上交易安 全认证机制。,其它生物检测:指纹检测,虹膜检测,声音, 面部特征,对用户进行授权,对于不同身份的用户,设置不同的交易权限。,数据加密技术,常用的方针有:线路加密和端对端加密两种。在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。 信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密,把明文(也即原文)加密成密文(加密后的文件,
6、这些文件内容是一些看不懂的代码), 然后进入TCP/IP数据包封装穿过互联网, 当这些信息一旦到达目的地, 将由收件人运用相应的密钥进行解密, 使密文恢复成为可读数据明文。,相关技术,防火墙: “防火墙”是一种形象的说法, 它其实就是一个把互联网与内部网(通常这局域网或城域网)隔开的屏障。 它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而保护内部网免受非法用户的侵入。,防火墙,作业,请描述一下常见的错误检测战术(画图描述)、错误恢复战术。,空中交通管制-高可用性设计案例分析,系统简单介绍,飞机从顺利起飞到安全到达目的地,受到
7、空中交通管制系统各个不同部分的管理。 地面控制部分负责协调和管理飞机在机场地面上的运动; 塔台控制部分控制飞机在该机场的终端控制区中的飞行; 最后,该系统还有多个中途中心,将整个美国领空划分为22个责任区。,初始区段组(Initial Sector Suite System),ISSS是针对22个中途中心的软硬件升级系统,需求与质量分析,空中交通管制系统如果运行不好,可能会造成生命财产损失 极高的可用性:必须保证系统不能正常工作的时间非常短(一年内停机时间不能超过5分钟) 高性能:系统必须保证在不丢失任何数据的情况下对大量数据进行处理;通信网络必须能够处理这种负载,软件必须能够快速、带有预测性
8、的进行计算。,ISSS的功能,获取存储在称为主计算机系统的现有空中交通管制系统中的雷达目标数据 转换雷达数据以供显示,并将其广播给所有控制台。每个控制台选择自己需要显示的报告数据,每个控制台都能够显示任何方位的数据 处理冲突警告,或其它由主计算机发送来的数据 提供与主计算机的接口,以便于输入和查询飞行计划 提供诸如网络管理等多方面的监控信息,允许场站管理员实时地重新配置所安装的系统 提供记录能力,以供事后回放 在控制台上提供诸如窗口形式的图形用户界面,有必要提供特殊的与安全相关的功能,如显示的窗口有一定的透明度,以免遮挡住重要信息 在主计算机、主要的通信网络以及主要的雷达传感器出现故障时,提供
9、一定的后备能力,ISSS系统所处的物理环境,主计算机负责对监控数据和飞行计划数据进行处理,通用控制台,空中交通管制人员的工作站;一个区段组可以有14台通用控制台,通用控制台,通用控制台,通用控制台,本地通信网络(LCN),双LCN接口单元与LCN相连,4个并行令牌环网,增强直接访问雷达 信道,BCN,监控控制台,监控控制台,测试培训子系统,外部系统接口 (ESI),物理视图,模块分解视图,显示管理,通用系统 服务,记录、分析 与回放,全国空域 系统修改,操作系统,捕获交通管制系统中的会话,已备事后分析,进程视图,Isss系统按照多处理器的环境设计。这些处理器在逻辑上组成处理器组。处理器组的目的
10、是要分别运行一个或多个应用程序的副本。其中,一个为主,其他为辅,称统一应用程序及其不同副本为主地址空间(PAS)和备用地址空间(SAS)。 操作单元:一个主地址空间和与其相应的备用地址空间的集合称为操作单元。 功能组:未以容错方式实现的ISSS系统的其他部分在不同的处理器上独立运行,称其为功能组。,进程视图,进程视图,客户机/服务器模式:各应用程序之间按照客户机/服务器模式进行交互。,添加一个新的操作单元的步骤,如果在SAS内部发现了错误,就要在另外的处理器上启动新的SAS。新的SAS要与其PAS协调工作,并接收状态数据。 (1)确定必要的输入数据及所在的位置 (2)确定哪些操作单元需要用到该
11、新操作单元的输出数据 (3)以一种使该图仍然保持非循环的方式将该操作单元的通信模式加到整个系统的非循环通信图中,以免发生死锁。 (4)设计消息,实现所期望的数据流 (5)确定在进行系统评审时必须要用到的内部状态数据,以及在从PAS到SAS的更新通信中必须包括的状态数据。 (6)将状态数据划分为能够很好地适应网络要求的消息。 (7)定义必须用到的消息类型,(8)规划在PAS失败时的切换:要对更新数据做合理的规划,保证能够完全反映出各种状态。 (9)保证在切换发生时数据的一致性 (10)保证各个处理步骤能够在不超过一次系统“心跳”的时间内完成 (11)规划与其他操作单元的数据共享和数据锁定协议,客户机/服务器视图,代码视图,展示了如何将功能映射到代码单元上。 应用程序被分解为Ada程序包,这些程序包中只有类型定义。打包(packaging)是一种设计活动,其目的是包含抽象和信息隐藏。,分层视图,容错视图,高可用性决定了系统出现故障时不能进行冷启动。直接(或比较快地)切换到备用组件是必须的。 容错层次捕获应用程序间的交互的错误并从中恢复。,容错视图,将视图彼此关联起来,分析从一个视图到另一个视图的映射,来更深入地了解系统。,对“抽象通用服务”进行求精的战术:应用程序的代码模板,总结,
