自从Java技术开始应用以来人们对Java平台的安全性以及由于部署Java技术所引发的安全问题给予了极大的关注特别是在年月Java发布后Java的安全体系结构发生了根本的改进对于终端用户而言它可以保护文件和私人数据不被恶意的程序或病毒感染和破坏鑒别代码提供者的身份对于开发者而言通过使用API方法能够将安全性功能集成到应用程序中因为API的体系结构能够定义和集成对特定的资源的使用权限加密安全性管理策略管理并提供了一些类来管理公钥/密钥对及信任用户群的公钥证书同时系统管理员开发者和用户可以使用它提供的工具管理钥匙库在JAR文件中生成数字签名签名的完整性检测创建和修改策略文件按照Java设计者的观点Java安全包括个方面的内容首先将Java作为一种安全的平台提供给用户在此平台上可安全地运行Java程序其次提供用Java编程语言实现的安全工具和服务它使得诸如企业界这样一些对安全非常敏感的领域也可应用Java技术本文将就这二个方面介绍Java的安全性新特性以及该新特性下的Applet数字签名的具体实现方法
Java采用了如图所示的新的安全体系结构并基于这种安全体系结构提供了很多新特?
.密纹访问控制
这种能力从一开始就在JDK中存在但要使用它应用程序的编写者不得不做大量的编程工作例如创建SecurityManager和Classloader类的子类并使其用户化HotJava.就是一个这样的应用程序它允许浏览器用户在几个不同的安全等级上进行选择然而这种编程涉及非常敏感的安全问题它要求程序员对计算机安全有精深的理解和纯熟的技巧新的安全体系结构将使这些变得简单而安全
.易于配置的安全策略
与上述情况相似这种能力在原来的JDK中也是存在的但是不便于使用而且编写安全代码也不是简单明了的事情于是人们期望能够允许应用程序的编写者和用户能够不通过编程来设置安全策略
.便于扩展的访问控制结构
一直到JDK.为止为了创建个新的访问许可你必须在SecurityManager类中增加个新的check方法新的安全体系结构则允许设置各类访问许可(每个都表示对个系统资源的访问)并能对所有正确访问许可(包括未定义的许可)进行自动处理
.安全检查扩展至所有Java程序
那种所有本地代码是可信的内置概念将不复存在取而代之的将是本地代码(例如非系统代码安装在本地的应用程序包等)服从于与Applet相同的安全控制但是可以声明对本地代码的政策是最宽容的从而使这些代码可被认为是完全可信而有效地运行上述原则也可应用于已签字的Applet和任何Java应用程序
Java安全体系的概念及运行机制
.保护域
Java安全体系结构中的一个基本的概念是保护域(Protected Domain)个域可通过对象集来划分范围这些对象当前可由个主体直接访问而主体是在计算机系统中被授予许可的实体JDK.所利用的沙箱就是一个有着固定边界的保护域实例保护域的概念是一种在保护单元间起着分组和隔离作用的便利机制例如我们可以将保护域分开以避免它们之间的直接交互作用于是任何允许的交互作用必须通过可信系统代码或被有关的域所明确允许
保护域通常分为明确的个类别系统域和应用程序域所有被保护的外部资源如文件系统网络设施以及屏幕和键盘等仅能通过系统域来访问图中显示了个Java应用环境的域的组成从概念上讲个域包括组类这些类的实例被授予相同的一组许可保护域是由现行策略所确定的Java应用程序环境保持了来自代码(类和实例)到它们的保护域然后再到它们的许可的映射如图所示个线程的执行可能完全发生在个单一的保护域中也可能涉及个应用程序域或是系统域例如个打印消息的应用程序将不得不与系统域发生交互作用因为系统域是唯一对输出流的访问点在此种情况下的任何时候应用程序域都不能通过调用系统域获得除打印消息外的任何额外许可否则将是一个严重的安全性隐患在相反的情形下个系统域从个应用程序域中调用个方法如当个AWT系统域调用个Applet的绘画方法来显示这个Applet时有效访问权限与应用程序域所允许的当前权限在任何时候都相同这一点也是同样至关重要的换句话说一个具有较低权限的域不能通过调用一个更高权限的域或被一个更高权限的域所调用来获得额外的许可上述有关个线程涉及个保护域的讨论自然地归纳为个遍历多重保护域的线程计算许可的一个简单而谨慎的经验做法是
()一个执行线程的许可集可被认为是由该线程所遍历的所有保护域的许可的交集
()当条代码调用doPrivileged方法时执行线程的许可集被认为是包括所有代码的保护域以及由它直接或间接调用的保护域的权限即通过doPrivileged方法可使条可信代码能临时访问更多的资源这在某些情况下是必要的例如个应用程序可能不被允许直接访问包含字体的文件但是显示文本的系统实用程序必须代表用户获得那些字体
在执行期间当请求访问个关键系统资源(如文件I/O和网络I/O)或者API方法需要执行个敏感的操作时例如读个文件资源处理代码直接或间接地调用个特殊的称为访问控制(AccessController)类的方法访问控制类通过检查调用栈来作出决定是否准予该请求或操作发生在调用栈中是执行该操作需要调用的一些类的成员方法因为每个类都属于一些保护域每个保护域都建立了一些策略因此在调用栈的每个方法都被分配了组权限访问控制类由栈顶开始自顶向下检查每个方法看是否方法被所在的保护域所允许如果发现一个方法权限没有得到允许访问控制
就抛出安全性异常反之如果到达栈底仍未抛出异常即说明调用栈中的所有方法均满足保护域的权限要求访问控制允许操作发生其中有一种特殊的情况即当访问控制遍历调用栈时将查找是否存在优先域(Privileged Domain)如果存在优
域即使没有到达栈底访问控制也将停止遍历调用栈并允许操作发生虽然新的安
机制初看上去增加了许多调用API方法的消耗但是Java确实使用了一些技术去加速
查权限的过程例如访问控制将过滤掉重复的域并在遇到第一个优先域时停止检查
说明额外的操作将是一个本地的方法调用SUN的基准测试显示了新的安全检查是相当快的
最后每个域包括系统或应用程序域可以对其域边界内的内部资源进行附加保例如一个银行系统的应用程序可能需要支持并保护其内部的一些概念如查帐存
和取款等由于此种保护的语义不像那些可预测的语义可以被JDK预置因而在这个
次上的保护最好留给系统或应用程序开发员来做
目前个域单独地由个代码来源(CodeSource)鑒别它封装了在该域中运行的代码的个特性代码基址和公共密钥证书集公共密钥对应于在该域中为所有代码签字的私有密钥因而由相同的密钥签字和来自相同URL的类被放在同一个域中个域还包含在该域中授予代码的许可它是由现行安全策略所决定的
.证书钥匙库及其相关工具
在Java的安全体系下个Applet开发和运行的过程如下
在代码的分发端
()开发Java源程序并对其进行编译
()用JAR工具对类文件和资源文件进行封装
()用keytool创建公钥和密钥生成XV签名证书输出证书
()通过jarsigner工具用生成的密钥对JAR文件进行数字签名
在代码的接收端
()用keytool输入证书视其为可信任
()用policytool创建和修改安全性策略配置文件授权请求的访问权限
()从网络取得字节码用公钥验证数字签名证书和文档代码的完整性
()验证字节码的合法性根据策略文件分配相应权限
()执行代码完成后被垃圾回收器回收内存
在用公钥验证数字签名证书之前接收方需要确认公钥自身的可靠性因此通常情况是提供一个包含公钥的证书而不是公钥自身个证书包括
()个公钥
()个唯一的名字实体(个人或公司)它是证书的所有者包含用户名字公司组织城市地址国家代码省份等信息
()数字签名个证书被个分发者的实体签名保证证书确实包含另个
实体(所有者)的公钥
()分发者的标识名信息
对于接收者可以用分发者的公钥来验证他的数字签名检查证书的合法性然而公钥可能包含在另一个证书中而数字签名需要用另一个证书的分发者的公钥来验证这样嵌套下去直到一个公钥被接收者确认是可信任的如果接收者不能建立信任链例如个分发者的证书不合法那么可以用keytool-import命令来计算指纹每个指纹是一个相关的短数字它唯一可靠地标识证书(指纹是一个用信息摘要算法计算的证书信息的哈希值)接收者可以呼叫证书的所有者并比较发出的证书和接收证书的指纹如果指纹相同则证书不同因此能够保证证书在传递的过程中未被修改另一个潜在的问题是发送者身份的标识有时一
