BlogJava-David.Turing's blog-随笔分类-Security领域

关于配置Weblogic的NodeManager服务

david.turing — Tue, 04 Sep 2007 07:20:00 GMT

摘要: 介绍如何配置Weblogic的Nodemanager服务阅读全文

david.turing 2007-09-04 15:20 发表评论

[原创] Pass SSL Certificate to Weblogic Cluster through Apache Proxy under SSL

david.turing — Sat, 13 Jan 2007 11:19:00 GMT

摘要: This Paper will introduce how to pass certficate to Weblogic Cluster
through Apache Proxy under SSL.
Before you read this paper, please read another blog of mine( but not
necessary).

<>
http://www.blogjava.net/security/archive/2007/01/07/WeblogicClusterWithApacheProxyUnderSSL.html 阅读全文

david.turing 2007-01-13 19:19 发表评论

[原创]Apache Proxy with Weblogic Cluster under SSL

david.turing — Sun, 07 Jan 2007 06:34:00 GMT

摘要: 如何配置Apache与Weblogic集群走SSL协议阅读全文

david.turing 2007-01-07 14:34 发表评论

发布一个简易版本的SecureXRCP

david.turing — Sun, 07 Jan 2007 03:16:00 GMT

摘要: 发布一个简易的SecureXRCP，方便不使用Eclipse的管理员去处理证书库以及产生/验证XML数字签名以及数字水印。阅读全文

david.turing 2007-01-07 11:16 发表评论

[原创]国内大部分的USBKey通过B/S方式（CAPICOM）产生数字签名的严重安全漏洞

david.turing — Mon, 13 Nov 2006 03:06:00 GMT

摘要: 国内所有的USBKey通过CAPICOM在Web页面产生数字签名的严重安全漏洞阅读全文

david.turing 2006-11-13 11:06 发表评论

SecureX Eclipse Plugin Alpha2发布

david.turing — Sat, 11 Nov 2006 05:56:00 GMT

摘要: Alpha2，支持向导创建KeyStore；支持创建KeyPair；修正了Alpha1的Editor没有Titile等Bug 阅读全文

david.turing 2006-11-11 13:56 发表评论

发布SecureX Eclipse Plugin 2.0.0 alpha版本

david.turing — Wed, 08 Nov 2006 08:45:00 GMT

摘要: 原先是一个Keytool Eclipse Plugin功能的SecureX，经过了一些小扩展，集成了Java各种安全功能，包括XML数字签名，数字印章，CSP，USBKey等开源技术阅读全文

david.turing 2006-11-08 16:45 发表评论

[转载]推荐一下CSDN《程序员》的《开源大本营》

david.turing — Mon, 06 Nov 2006 00:54:00 GMT

摘要: 推荐仅仅因为自己编写了安全那部分:) 时间很紧，如有纰漏，请指教阅读全文

david.turing 2006-11-06 08:54 发表评论

Yale CAS as an Acegi Client in SpringSide

david.turing — Sun, 15 Oct 2006 15:53:00 GMT

摘要: 如何将SpringSide配置成一个基于Acegi的CAS Client
环境是CAS Server 3.0+Acegi 1.0+Tomcat 阅读全文

david.turing 2006-10-15 23:53 发表评论

[原创] SSO(Single Sign-on) in Action(上篇)

david.turing — Mon, 02 Oct 2006 08:27:00 GMT

摘要: 介绍单点登陆(SSO)的原理与实践经验，包括Yale CAS, Kerberos SPNEGO, SAML SSO等方式，并深入SSO协议与原理，最后会介绍各种SSO的基本配置方法。阅读全文

david.turing 2006-10-02 16:27 发表评论

Tomcat/Weblogic在SSL握手中，IE提交证书窗口为空的问题

david.turing — Wed, 27 Sep 2006 03:38:00 GMT

最近有网友在Dev2dev问，
访问https://yourmachine:8843/webapp的时候，客户端提交了空的证书窗口，如下图所示

如果使用的是Tomcat，则需要检查JDK/Jre/lib/security下的cacerts是否包含了客户端用户
的Key所对应的CA证书，如果没有，则客户端出现上述窗口，因为，服务器端不
会不信任为客户端的Private Key所签名的ca证书！

如果使用Weblogic，需要要区分Use Custom Indentity和Use Java Keystore两种方式，
前者，往Weblogic的JKS导入客户端PK所对应的CA证书（链），后者，检查
Jre/lib/security的cacerts，做法跟上面一样。

david.turing 2006-09-27 11:38 发表评论

发现GDCA USBKey(电子钥匙)的CSP数字签名实现存在缺陷

david.turing — Tue, 26 Sep 2006 09:33:00 GMT

摘要: 怀疑GDCA的签名实现存在缺陷阅读全文

david.turing 2006-09-26 17:33 发表评论

9月23日成都WS-Security演讲内容稿

david.turing — Thu, 21 Sep 2006 17:03:00 GMT

摘要: 在网上收集了不少WS-Security的资料，组织了一下成都BEA UserGroup之WS-Security演讲的PPT初稿，不知道是否有遗漏，欢迎指点。阅读全文

david.turing 2006-09-22 01:03 发表评论

Java安全概述

david.turing — Wed, 20 Sep 2006 16:39:00 GMT

摘要: 总结Java安全的5个重要方面阅读全文

david.turing 2006-09-21 00:39 发表评论

[原创]实施WebService Security[WS-Security1.0]的Encrypt和Sign模式(XFire+WSS4J)

david.turing — Tue, 08 Aug 2006 01:09:00 GMT

摘要: 本文介绍如何让XFire跟WebService Security结合起来，目前为止，XFire选择了WSS4J(支持WS-Security1.0标准)，我为SpringSide加入了WSS4J的3个认证例子(UsernameToken模式，Encrypt模式，Sign模式)，大家可以到Springside SVN下载。阅读全文

david.turing 2006-08-08 09:09 发表评论

在SpringSide实现XFire Webservice认证

david.turing — Tue, 25 Jul 2006 15:48:00 GMT

XFire官方网站提供的基于Webservice认证的例子有问题，在新版本的XFire1.1.2中编译不通过，不过这也是小Case，我后来折腾了一下，为SpringSide提供了一个简单的Webservice认证功能。
XFire跟Spring的天然融合，让我们可以少努力10年就能简单地在Spring中使用Webservice的强大魅力，我从AXIS专向XFire有一些冲动，也吃了不少亏，但受REST一族的强力吹捧，感觉还是值得尝试的，因此，在公司的系统中也把Axis彻底换了XFire。

回到SpringSide，我大概介绍一下如何配置一个真正实用的XFire验证服务。
SpringSide中的XFire配置文件放在：
SpringSide-bookstore\src\org\springside\bookstore\plugins\webservice\applicationContext-webservice-server.xml
我们在里面定义各个Webservice，该文件其实对应于XFire官方的XFire-Servlet.xml
看看下面的BookService，这是一个典型的Webservice服务，红色的inHandlers是我挂上去的。它的意思是所有访问BookService的请求都会被先送到authenticationHandler去处理，我们的验证逻辑可以在里面进行。



            /BookService=bookWebService






我们接着看看authenticationHandler的代码：
我们在SpringSide中通过header方式向服务器提供验证信息（另外一种更简单的方式是创建一个Login的webservice服务，然后在XFire Session中建立Token信息）。

package org.springside.bookstore.plugins.webservice.authentication;

import org.apache.log4j.Logger;
import org.codehaus.xfire.MessageContext;
import org.codehaus.xfire.exchange.InMessage;
import org.codehaus.xfire.fault.XFireFault;
import org.codehaus.xfire.handler.AbstractHandler;
import org.jdom.Element;
import org.jdom.Namespace;

/**
* XFire的回调的Handler，在XFire配置文件中配置
* Server端的认证模块，回调处理模块
*
* ClientAuthHandler跟AuthenticationHandler要一起用，或者都不用
*
* @author  david.turing
* @blog  openssl.blogjava.net
*
*/
public class AuthenticationHandler extends AbstractHandler {
    private static final Logger log = Logger.getLogger(AuthenticationHandler.class);

    public void invoke(MessageContext context) throws Exception {

        log.info("#AuthenticationHandler is invoked");
        InMessage message=context.getInMessage();

        final Namespace TOKEN_NS = Namespace.getNamespace("SpringSide","http://service.webservice.plugins.bookstore.springside.org");

        if(message.getHeader()==null)
        {
            throw new XFireFault("GetRelation Service Should be Authenticated",
                    XFireFault.SENDER);
        }

        Element token = message.getHeader().getChild("AuthenticationToken", TOKEN_NS);
        if (token == null)
        {
            throw new XFireFault("Request must include authentication token.",
                                 XFireFault.SENDER);
        }

        String username = token.getChild("Username", TOKEN_NS).getValue();
        String password = token.getChild("Password", TOKEN_NS).getValue();

        System.out.println("username="+username);
        System.out.println("password="+password);

        if(username==null||password==null)
            throw new XFireFault("Supplied Username and Password Please",
                    XFireFault.SENDER);

        /**
         * 检查用户名密码是否正确
         */
        PasswordAuthenticationManager pamanager=new PasswordAuthenticationManager();
        if(!pamanager.authenticate(username,password))
            throw new XFireFault("Authentication Fail! Check username/password",
                    XFireFault.SENDER);


    }
}

注意，XFireFault异常是往客户端抛的，Webservice Client应该学会catch XFireFault.

服务器端就是这么简单，看看客户端的TestCase

package org.springside.bookstore.plugins.webservice.service;

import java.lang.reflect.Proxy;
import java.net.MalformedURLException;
import java.util.List;

import org.codehaus.xfire.client.Client;
import org.codehaus.xfire.client.XFireProxy;
import org.codehaus.xfire.client.XFireProxyFactory;
import org.codehaus.xfire.service.Service;
import org.codehaus.xfire.service.binding.ObjectServiceFactory;
import org.springside.bookstore.commons.domain.Book;
import org.springside.bookstore.plugins.webservice.authentication.ClientAuthHandler;

import junit.framework.TestCase;

public class BookServiceWithAuthenticationTestCase extends TestCase {

    protected void setUp() throws Exception {
        super.setUp();
    }

    protected void tearDown() throws Exception {
        super.tearDown();
    }

    public void getBookFromWebservice() throws Exception{

          Service serviceModel = new ObjectServiceFactory()
                .create(BookService.class);
        BookService service = null;

        try {
            service=(BookService) new XFireProxyFactory().create(
                    serviceModel,
                    "http://localhost:8080/springside/service/BookService");
        } catch (MalformedURLException e) {
            e.printStackTrace();
        }

        Client client = ((XFireProxy) Proxy.getInvocationHandler(service)).getClient();
        //挂上ClientAuthHandler，提供认证
        client.addOutHandler(new ClientAuthHandler());
        List list = service.findBooksByCategory(null);
        assertNotNull(list);
        for(int i=0;i<list.size();i++)
            System.out.println(((Book)list.get(i)).getName());
    }

}

你应该看到上面的client.addOutHandler(new ClientAuthHandler());
没错，它跟服务器端的AuthenticationHandler是一对，一起使用的！
也就是，每个被送往WebService服务的请求都被ClientAuthHandler处理过了。
看看ClientAuthHandler做了些什么：

package org.springside.bookstore.plugins.webservice.authentication;

import org.apache.log4j.Logger;
import org.codehaus.xfire.MessageContext;
import org.codehaus.xfire.handler.AbstractHandler;
import org.jdom.Element;
import org.jdom.Namespace;

/**
* 客户端端的认证模块，回调处理模块
* 每个需要认证的WebService方法都可以挂这个Handler
*
* 仅用于Demo，从解耦和易用性出发，
* 没有跟Acegi结合，你可以任意扩展
* 默认用户名/密码是admin/admin
*
* ClientAuthHandler跟AuthenticationHandler要一起用，或者都不用
*
* @author  david.turing
*
* @blog openssl.blogjava.net
*/
public class ClientAuthHandler extends AbstractHandler {
        private static final Logger log = Logger.getLogger(ClientAuthHandler.class);

        //客户端自己配置用户名密码或者更安全的KeyStore方式
        private String username = "admin";
        private String password = "admin";

        public ClientAuthHandler() {
        }

        public ClientAuthHandler(String username,String password) {
            this.username = username;
            this.password = password;
        }

        public void setUsername(String username) {
            this.username = username;
        }

        public void setPassword(String password) {
            this.password = password;
        }

        public void invoke(MessageContext context) throws Exception {

            /*******************************************
             * Soap Header方式
             * 从Soap Header中获取用户名密码
             *******************************************/
            final Namespace ns = Namespace.getNamespace("SpringSide","http://service.webservice.plugins.bookstore.springside.org");
            Element el = new Element("header",ns);

            Element auth = new Element("AuthenticationToken", ns);
            Element username_el = new Element("Username",ns);
            username_el.addContent(username);
            Element password_el = new Element("Password",ns);
            password_el.addContent(password);
            auth.addContent(username_el);
            auth.addContent(password_el);
            el.addContent(auth);
            context.getCurrentMessage().setHeader(el);
            log.info("ClientAuthHandler done!");
        }
    }

不就是往header里面注入username,password！

在SpringSide中，所有的Spring配置文件都被小白分散到各个Module中去了，Wuyu原先是在Plugin中提供Webservice功能，因此，我仍然在Plugin中创建XFire接口。
SpringSide的Spring配置文件放在:
SpringSide-bookstore\webapp\WEB-INF\springmvc-servlet.xml
该文件定义了Plugin的xml:
AuthenticationHandler这个Bean需要先定义在Plugins-servlet.xml中，其它很简单，大家去Try一下就知道了。

david.turing 2006-07-25 23:48 发表评论

How to use Java produce Signature by USBKey under CryptoAPI/CSP

david.turing — Tue, 11 Jul 2006 05:24:00 GMT

摘要: How to use Java produce Signature by USBKey under CryptoAPI/CSP. 阅读全文

david.turing 2006-07-11 13:24 发表评论

A Java Sample For jCaptcha

david.turing — Tue, 20 Jun 2006 14:10:00 GMT

摘要: 一个简单的jcaptcha例子阅读全文

david.turing 2006-06-20 22:10 发表评论

CAS协议的抓包分析

david.turing — Fri, 26 May 2006 03:27:00 GMT

摘要: CAS抓包分析，简单看看从login到serviceValidate的参数传递过程阅读全文

david.turing 2006-05-26 11:27 发表评论

将邮件与PGP绑定，建立安全身份认证基础

david.turing — Wed, 10 May 2006 14:24:00 GMT

摘要: 加入PGP行列，享受免费身份服务阅读全文

david.turing 2006-05-10 22:24 发表评论

关于[深入Java 2平台安全--体系架构、API设计和实现（第二版）]的翻译质量

david.turing — Wed, 03 May 2006 08:26:00 GMT

近日, 朋友告诉我<<深入Java 2平台安全--体系架构、API设计和实现（第二版）>>这本书已经出版：
http://www.china-pub.com/computers/common/info.asp?id=14712
英文原版的书名是

Inside Sun™ 2 Platform Security: Architecture, API Design, and Implementation, Second Edition

我粗看了一下，发现书评中很多对本书翻译质量的怀疑，下载了Sample章节，粗看了一下，发现未
尽人意，确实会给读者的理解带来很大的困难。
我觉得Security的兴趣者无需太关注中文译作，也不需质疑译者和出版商，因为翻译Security Topic的书籍
本身是一件非常困难的事情，除非译者对Java Security的概念非常清晰，否则即使哪怕是一个概念上的误译，
到可能会导致读者产生很离谱的误解。
Sun Security的内容不象一些实践性的topic，如Spring，Hibernate，Ajax那样，可以通过大量的Sample来解释，
它需要读者具备一定的Security概念基础后，才能解释清楚（即概念的理解门槛比较高）。
所以，我还是建议，对于宫力大牛的大作，还是主张看英文版和JDK Specification，其实Sun的Java Security的
Spesification很多都是出自宫力之手，看着些Spesification当然没有看故事书那么舒服，但认真咀嚼几次，效果
总比看那些容易导致误解的译作要好得多。

目前，Java Security的书基本上有两本：
IBM专家组们编写的：

Enterprise Sun Security: Building Secure J2EE Applications
By Marco Pistoia, Nataraj Nagaratnam, Larry Koved, Anthony Nadalin

Publisher	: Addison Wesley
Pub Date	: February 20, 2004
ISBN	: 0-321-11889-8
Pages	: 608
Slots	: 1.0

Sun专家组编写的：

Inside Sun™ 2 Platform Security: Architecture, API Design, and Implementation, Second Edition
By Li Gong, Gary Ellison, Mary Dageforde

Publisher	: Addison Wesley
Pub Date	: June 06, 2003
ISBN	: 0-201-78791-1
Pages	: 384
Slots	: 1

这两本书，前者更关注于J2EE实践的角度出发，后者更偏重于从基础概念与Java Platform的角度出发，都是很好的书，
很容易就能Emule到这两本书。
我个人更偏向建议读者先细读后一本，然后再粗看前一本书的一些topic。
两本书都基本上都没有花很大力去解析Java沙箱(SandBox)，Java权限控制模型等这些比较难搞得概念，有点遗憾，希望
自己也能尽快抽时间提供一篇深入浅出于Java Security的文章:)

david.turing 2006-05-03 16:26 发表评论

如何从pfx/p12文件中提取RSA密钥长度及其他相关信息

david.turing — Sat, 29 Apr 2006 01:38:00 GMT

摘要: 本文介绍了如何（用BouncyCastle提供的SecurityProvider）从pfx/p12证书文件中提取信息（如算法类型，算法长度，Subject信息，Issuer信息等）阅读全文

david.turing 2006-04-29 09:38 发表评论

剖析CAS Proxy的设计原理

david.turing — Wed, 26 Apr 2006 15:54:00 GMT

摘要: 本文简要介绍如何CAS Proxy的原理及配置阅读全文

david.turing 2006-04-26 23:54 发表评论

Confluence和AD的集成认证

david.turing — Mon, 24 Apr 2006 14:42:00 GMT

在GZFB群听Rayman说，要搞Confluence跟AD的集成认证，由于没听清楚，还以为是SSO，立马打开Confluence跟LDAP集成的文档，细看了一把，发现并没有实现域用户到Confluence的SSO，只是Confluence做了一个LdapProvider，能够让用户的认证实现转移到LDAP上。
http://confluence.atlassian.com/display/DOC/Enable+LDAP+authentication

该文档是完整并且正确的，配置也非常简单，Rayman很快就配置好了。我后来发现他的配置方法跟上述方法不一样，他是根据以下的文档配置的：
http://confluence.atlassian.com/display/DEV/Confluence+LDAP+Integration

这两种配置方式由比较大的区别：如果你的Confluence跟JIRA捆绑，请使用前者，否则，建议用后者。

最后，隆重推荐Rayman的Blog：http://raymanzhang.cnblogs.com/
一个曾经编写了MDict的好同志

david.turing 2006-04-24 22:42 发表评论

WeblogicServer绑定AD认证

david.turing — Sun, 02 Apr 2006 04:05:00 GMT

1，构造一个干净的域，域名为domain002
2，构造该域里面的用户
weblogic The default administration user DefaultAuthenticator
user0001 weblogic DefaultAuthenticator
user0002 user0002 DefaultAuthenticator
3，建立一个组，weblogicAdmin，同时在AD中也建立一个这样的组
注意，在AD中的users而不是Builtin里面建组，因为两者的DN是不一样的。
4，将所有Weblogic中的user0001用户都加入到改组。
5，测试AD的可连接性，下载一个LDAP Browser。
6，在Weblogic Console中的Security->Realm的Authentication配置一个新的LDAP Provider，类型为：Configure a new Active Directory Authenticator...
7，配置参数：
i) 转到Active Directory那一Tab,看到HOST了吧？
HOST为你的AD的IP或者主机名，AD默认端口是389
ii) Principal为CN=user0001,CN=Users,DC=dlsvr,DC=com
其中，DC=dlsvr,DC=com为我的服务器的RootDN（例如DC=ibm，DC=com）
很讨厌AD的一个地方是它采用与其他LDAP不一样的命名方法，他用CN=User而不是OU=....，所以我前面的步骤才需要建立一个welogicAdmin的组。
iii)Credential为AD中user0001的密码。
注意：ii)和iii)是用于连接AD用的，构造一个LDAPConnection需要用户名密码的，懂不懂：）
转到user tab
iv) User Name Attribute：user0001
v) User Base DN：CN=Users,DC=dlsvr,DC=com
转到group tab
vi) Group Base DN:CN=weblogicAdmin,CN=Users,DC=dlsvr,DC=com
vii) weblogicAdmin
保存
关键的步骤到了：
Security->Realms->myrealm->Providers->Authentication
有没有看到Re-order the Configured Authentication Providers
对，就是这里需要调整一下顺序。
把ActiveDirectoryAuthenticator调整到最上面（优先级最高）
然后设置ActiveDirectoryAuthenticator的General页里面的Control Flag为Required。
接着DefaultAuthenticator里面的设成是OPTIONAL。
于是，AD取代了以前的DefaultAuthenticator了，如果两个都Requried，那么也你要接受双重认证，汗......一般不需要这样。
注意:boot.properties里面的默认的Weblogic启动账号同样受AD影响，你如果在AD里面禁止了Weblogic这个账号，我保证你WLS启动不了

david.turing 2006-04-02 12:05 发表评论

CAS集成Weblogic的ServletAuthentication调用

david.turing — Sun, 02 Apr 2006 04:02:00 GMT

本来，使用j_security_check是最简单的Build-in认证方式，但CAS有自己的登录入口，即login servlet，如果用该servlet，必须自己动手完成JAAS的登录。于是，开始扩展CAS的edu.yale.its.tp.cas.auth.provider，在该包中的provider都扩展自authHandler接口，而CAS是在web.xml中定义了最终使用哪一个authHandler。

edu.yale.its.tp.cas.authHandler
edu.yale.its.tp.cas.auth.provider.WeblogicHandler

我自己写了一个WeblogicHandler(edu.yale.its.tp.cas.auth.provider包中)，专门让CAS登录到Weblogic Server，事实上，将来如果不用WLS，还可能使用Websphere，Jboss，AD之类。

后来发现，虽然能loginContext拿到Subject，但该Subject的Principal不能被页面的request.getPrincipal()所取得，醒悟自己在做JAAS Login，查看weblogic文档，原来Weblogic提供了
weblogic.servlet.security.ServletAuthentication
用于在Servlet端调用JAAS接口进行登录，通过该接口登录后，就如同User使用了标准的登录机制登入了Weblogic。
于是，立即修改了login servlet测试一下，加入

try {
CallbackHandler handler = new SimpleCallbackHandler(
request.getParameter("username"),
request.getParameter("password"));
Subject mySubject = weblogic.security.services.Authentication
.login(handler);
weblogic.servlet.security.ServletAuthentication.runAs(
mySubject, request);
System.out.println("mySubject[" +mySubject.toString()+"]"+
"写入Session");
} catch (LoginException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}

然后，页面果然就能拿到Pincipal了。

david.turing 2006-04-02 12:02 发表评论

Tomcat(直至5.5.9版本)不支持KeyStore和KeyEntry使用不同的password

david.turing — Sun, 02 Apr 2006 04:00:00 GMT

今天，有朋友在配置Tomcat SSL的时候，出现如下的异常：
java.security.UnrecoverableKeyException: Cannot recover key
而且他已经正确配置了keystoreFile和keystorePass。
后来我发现，他对Keystore中的Key使用了Password保护，而且
保护这个KeyEntry的KeyPass!=KeyStore的Keypass，导致出错，
Tomcat SSL要求这两个密码必须相等。
解决办法：
keytool -keypasswd -v -alias mykeyalias -keypass noequalpass -new equalpass -keystore mykeystore.jks -storepass equalpass
其中， mykeyalias是key在keystore中的别名，-keypass后面跟key的旧密码"noequalpass", -new 是新密码"equalpass",注意新密码跟storepass一致。

附：Weblogic是支持不一致的KeystorePass和KeyPass的。

david.turing 2006-04-02 12:00 发表评论

JVM是怎樣進行授權控制的

david.turing — Sun, 02 Apr 2006 03:53:00 GMT

摘要: 如果不是從PirvilegedAction中擴展的類，那麼調用其中的方法JVM還會不會執行權限檢查？阅读全文

david.turing 2006-04-02 11:53 发表评论

发布SecureX 2.0.0——KeyTool Eclipse Plugin+CryptoAPI Integrated+Java Watermark

david.turing — Fri, 17 Mar 2006 02:38:00 GMT

摘要: 发布Eclipse的Keytool Eclipse Plugin——代号SecureX
版本1.0.0 阅读全文

david.turing 2006-03-17 10:38 发表评论

使用PGP你的文章进行签名

david.turing — Thu, 09 Mar 2006 09:24:00 GMT

摘要: 介绍如何使用PGP对BLog文章签名阅读全文

david.turing 2006-03-09 17:24 发表评论