文档章节

Java Security 介绍

l
 lixiaobao
发布于 10/17 17:55
字数 2070
阅读 18
收藏 1

1.介绍

Java平台设计的重点是安全性。在其核心,java语言本身是类型安全的并且提供了垃圾自动回收,这使其增加了应用程序代码的健壮性。安全的类加载以及验证机制确保了只有合法的代码才能够执行。 初期的java平台为不信任的代码创建了一个安全的独立运行的安全环境,例如从公网下载的java applets。随着平台的增长以及部署范围的扩张,Java安全体系结构也相应地演变为支持日益增长的服务集。时至今日,这个架构包含了一系列的API,工具以及常用安全算法、机制和协议的实现。这就给开发者开发应用提供了很多安全框架,为用户或者管理员提供了安全管理应用程序的工具集。 Java安全API的范围很广,Cryptographic and public key infrastructure (PKI)接口为开发安全应用提供了基础。执行安全认证以及访问控制的的接口确保应用能够组织未授权的方位来保护资源的安全。 API允许对算法以及其他的安全服务进行多个可操作的实现。由Provider实现服务,通过标准接口嵌入到java平台,这就使应用程序包含了安全服务而不必知道任何关于他们的实现。这就允许开发者专注于怎样在服务中集成安全机制而不用考虑如何实现复杂的安全机制。 Java平台提供了许多Providers来实现许多核心的安全服务。同样页可以允许安装额外的定制Provider。这就确保了开发者可以使用新的安全机制来扩展平台功能。

2.Java语言安全以及字节码验证

Java语言从设计开始就是类型安全的易用的。提供了内存自动管理,垃圾回收以及数据越界检查等机制。这就减少了开发者的编程压力,有更少的编程错误以及更安全健壮的代码。 Java定义了不同的修饰符,这些修饰符可以标记在类,方法,字段上使开发人员能够适当地限制对其类实现的访问。语言定义了4中不同的访问层级:private,protected,public ,package(没有特殊说明的话)。public是访问限制最小的修饰符,任何人都可以访问。private是限制最严的修饰符不允许外部访问私有的成员。protected修饰符允许子类访问或者同包下的其他类访问。包级别的访问只允许同包下的类访问。 Java编译器将java程序翻译成独立于机器的字节码表示。字节码验证的使用就是确保在Java运行的时候合法的字节码执行。检查字节码是否遵从Java语言规范不要违反Java语言罪责以及命名约束。检车器同样检查内存管理问题、栈是否溢出、不合法的数据类型转换。一旦字节码通过检验,Java运行时就准备执行他们。

3. 基本安全架构

Java平台定义了一系列的API来覆盖了很多主要的安全范围,包括cryptography, public key infrastructure, authentication, secure communication, and access control。这些API可以方便开发者很容易的集成安全机制到他们的应用中。可以使用如下规则去设计实现:

  • 实现独立性 应用程序不需要自己实现安全,而是可以从Java平台中调用安全服务。安全服务在提供者(见下文)中实现,它们通过标准接口嵌入到Java平台中。应用程序可能依赖多个独立的Provider来实现安全功能。
  • 实现互操作性 Providers 在应用程序之间是可互操作的。应用程序不会绑定到指定的provider上,provider也不会绑定到应用上。
  • 算法的扩展性 Java平台包含了许多内建的实现了一系列常用的基本安全服务的provider。然而,一些程序可能会依赖新出现的还没实现的标准,或者专利服务。Java平台支持安装自定义实现这样服务的provider。

Security Providers

Java java.security.Provider 类封装了Java平台中的安全Provider的概念。具体说明了Provider的名称并且列出了他实现的安全服务。同一时间多个Provider可能会被使用,并且在安照优先顺利列出。当安全服务被调用的时候,实现该服务的最高权限的Privider将会被选中。 应用程序依赖相关的getInstance方法从底层的provider来获取安全服务。例如,信息摘要创建代表这provider提供的一种服务类型。应用程序调用java.security.MessageDigest类的getInstance方法来获取指定信息摘要算法的实现,例如 SHA-256.

MessageDigest md = MessageDigest.getInstance("SHA-256");

程序可以选择性的去调用一个指定的provider实现,像如下一样,指定provider的名称:

MessageDigest md = MessageDigest.getInstance("SHA-256", "ProviderC");

diagram showing an application requesting an SHA-256 algorithem without specifying a provider name 图1 Provider 查找 diagram showing an application requesting an SHA-256 algorithem from a specific provider

图2 指定Provider 图1,2 解释了请求SHA-256信息摘要算法实现的过程。两幅图片都有三个provider实现了信息摘要算法。provider通过引用从左到右顺序排列。在图一中,应用程序请求SHA-256算法实现而没有指定provider的名称。 provider就会按照引用的顺序去查找,查找第一个实现该算法的privider-ProviderB就被返回了。在图2中,应用程序请求SHA-256算法,并且带有相应的privider-ProviderC参数。此时,指定的Provider就返回了 即使有一个更高优先级的ProviderB同样提供了SHA-256实现。

File Locations(文件位置)

本文中提到的Java安全性的某些方面,包括provider的配置,可以通过设置安全属性来定制。 您可以在安全属性文件中静态设置安全性属性,默认情况下,该文件是安装Java™运行时环境(JRE)的目录的lib / security目录中的java.security文件。 也可以通过调用Security类的适当方法(在java.security包中)动态设置安全属性。 本文中提到的工具和命令都在~jre / bin目录中,其中~jre代表安装JRE的目录。 第5节中提到的cacerts文件位于~jre / lib / security中。

4. Cryptography(加密)

Java加密架构是kava平台访问开发加密功能的框架。它包含多种多样的加密服务,包括:

  • Message digest algorithms
  • Digital signature algorithms
  • Symmetric bulk encryption
  • Symmetric stream encryption
  • Asymmetric encryption
  • Password-based encryption (PBE)
  • Elliptic Curve Cryptography (ECC)
  • Key agreement algorithms
  • Key generators
  • Message Authentication Codes (MACs)
  • (Pseudo-)random number generators

由于历史原因,加密API放在了两个不同的包里面。java.security 包包含不受出口控制限制的(像Signature以及MessageDigest)。javax.crypto 包包含着受出口控制限制的类(Cipher以及KeyAgreement)。 加密接口是基于provider的,允许多个可互操作的加密实现。一些provider可能实在软件中执行加密操作,另外的可能会基于硬件的token来执行操作。提供出口控制的Provider服务必须是数字签名的。 Java内置的Provider提供了许多通用的密码算法,比如:RSA, DSA, ECDSA等签名算法、DES, AES, ARCFOUR等加密算法、MD5, SHA-1, SHA-256等信息摘要算法、还有Diffie-Hellman和ECDH这样的密钥协商算法。

本文由博客一文多发平台 OpenWrite 发布!

© 著作权归作者所有

l
粉丝 0
博文 7
码字总数 18109
作品 0
私信 提问
通过 HttpAuthenticationMechanism 执行 Web 身份验证

通过 Java EE 8 中新的注解驱动的 HTTP 身份验证机制执行经典和自定义的 Servlet 身份验证 系列内容: 此内容是该系列 4 部分中的第 # 部分: Java EE 8 Security API 入门,第 2 部分 http...

Alex Theedom
2018/04/02
0
0
Sonar Java 5.9 发布,新增 29 条规则

Sonar Java 5.9 发布了,Sonar (SonarQube)是一个开源平台,用于管理源代码的质量。Sonar 不只是一个质量数据报告工具,更是代码质量管理平台。支持的语言包括:Java、PHP、C#、C、Cobol、...

h4cd
2018/11/15
2.1K
0
VisualVM 远程连接服务器

VisualVM 远程连接服务器 VisualVM 提供在 Java 虚拟机 (Java Virutal Machine, JVM) 上运行的 Java 应用程序的详细信息。在 VisualVM 的图形用户界面中,您可以方便、快捷地查看多个 Java 应...

覃光林
2018/09/10
30
0
BUG_美国土安全部建议暂停使用 JAVA

详情见:http://www.kb.cert.org/vuls/id/625617 Overview Java 7 Update 10 and earlier contain an unspecified vulnerability that can allow a remote, unauthenticated attacker to exe......

storylai
2013/01/12
80
0
禁止JVM执行外部命令Runtime.exec -- 由Apache Commons Collections漏洞引发的思考

update: 2015-11-16 新版apache commons collections 3.2.2修复漏洞 新版本的apache commons collections默认禁止了不安全的一些转换类。可以通过升级来修复漏洞。参考release说明:https:/...

横云断岭
2015/11/13
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Shell学习记录(持续更新)

一、shell定时备份数据库任务通用脚本 目标:根据定时任务启动脚本,执行数据库备份任务,按照日期进行每日备份,如已经备份则脚本停止,备份任务完成后将结果发送邮件提醒 1.执行数据库备份...

网络小虾米
今天
3
0
PHP计算两个经纬度地点之间的距离

/** * 求两个已知经纬度之间的距离,单位为米 * * @param lng1 $ ,lng2 经度 * @param lat1 $ ,lat2 纬度 * @return float 距离,单位米 * @author www.Alixixi.com */function get...

子枫Eric
今天
14
0
Linux—day 4

ch2 需要掌握的命令 (1)cat -n 1.txt (2)more 1.txt (3)head -n 15 initial-setup-ks.cfg (4)tail -n 17 initial-setup-ks.cfg;tail -f initial-setup-ks.cfg (5)cat -n anaconda-ks.c......

呵呵暖茶
今天
31
0
【Kubernetes社区之路】我的PR被抢了

2019年11月的某天,我无意间发现一个PR作者在自己的PR中抱怨自己的PR没被合入,而另一个比自己提交晚且内容几乎一样的PR则被合入了。 字里行间透露些许伤感外加无奈,原文如下: 作为一名开源...

恋恋美食
今天
40
0
阻塞队列

对于许多线程问题, 可以通过使用一个或多个队列以优雅且安全的方式将其形式化。生产者线程向队列插人元素, 消费者线程则取出它们。 使用队列, 可以安全地从一个线程向另 一个线程传递数据...

ytuan996
今天
48
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部