第7章java2安全技术课件.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《第7章java2安全技术课件.ppt》由会员分享,可在线阅读,更多相关《第7章java2安全技术课件.ppt(53页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第七章Java2安全技术-2-简介安全限制和许可安全策略(Policy)辅助工具签名及发布目标-3-简介简介Java中的安全中的安全 Java是网络上使用的编程语言,安全性是非常重要的,特别是Java平台的安全以及Java技术部署带来的安全问题,尤其值得认真考虑。Java中的安全包括两个方面:(1)提供安全且易于构建的Java平台,能够以安全模式运行Java实现的应用程序。(2)提供用于编程语言的安全工具和服务,实现较广泛的安全。-4-Java平台提供的原始安全模型称为沙箱模型(JDK1.0),该模型提供较窄环境沙箱来运行没有得到信任的代码。在沙箱模型中允许得到信任的本地代码访问重要资源,而没
2、有经过信任的远程代码只能访问沙箱内的很少部分资源。在JDK1.1中引入签名Applet的概念,如果签名的密钥由接收Applet的客户端认为是可信任的,那么这个经过正确数字签名的Applet就可以当作可信任本地代码访问重要资源。这里签名Applet和它的签名以JAR格式传送。随着发展,在原来沙箱模型的基础上引入新的安全体系,形成Java 2平台安全模型如图1所示。:简介简介Java 2安全平台模型-5-从图1中可以看出,不管本地还是远程,签名还是未签名的代码都统一到类加载器处,咨询安全策略,然后决定代码能够访问的资源。Java 2安全平台模型较之以前有了很大的改进,其主要特点如下简介简介Java
3、 2安全平台模型图1-6-(1)细粒度的访问控制。(2)易于配置的安全策略。(3)易于扩展的访问控制结构。(4)安全检查扩展到所有Java程序,包括应用程序和Applet。简介简介Java 2安全平台模型-7-图1中的多个沙箱模型可以看作有固定边界的保护域。所谓保护域是指一个对象集合,这些对象可以由安全策略中定义的一条规则直接访问。保护域分为系统域和应用程序域,受保护的资源,像文件系统、网络设施以及屏幕和键盘,只允许系统域进行访问,而应用程序域可以通过授权许可访问受保护资源。类加载器将本地或远程代码(Applet)载入的同时,策略文件给出域的划分和不同代码对不同域访问权限的许可,载入的类就根据
4、域划分和权限许可来访问相应的域资源。图2为运行中类到域再到许可的映射。简介简介Java 2安全平台模型-8-图2 类到域再到许可的映射简介简介Java 2安全平台模型-9-安全限制和许可安全限制和许可 本地的代码类访问系统资源时通常不会受到太大的限制,所以本章主要讨论从服务器下载到客户端的远程代码Applet访问客户端资源的情况。Applet访问客户端资源时,由于Java内嵌的平台安全性机制受到较大的限制,通常表现在无法读写客户端的文件,无法采集客户端音频。例如,当Applet实现的是客户端和服务器端进行语音聊天时,客户端采集音频就会受到限制,还有无法启动客户端的Socket进行传输等。下面看
5、一个文件访问受到安全限制的例子。-10-【例】编写一个用来读取客户端文件的Applet,客户端的文件路径及文件名为E:a.txt,文件内容为“你好,这是客户端的测试文件!”,如图3右部分所示。将读出的文件内容显示在文本区域内,如果访问出错,异常信息也显示在文本区域内。/程序文件名:AppletSecurity.javaimport java.awt.*;import java.awt.event.*;import java.applet.*;import java.io.*;public class AppletSecurity extends Applet 安全限制和许可安全限制和许可 实例
6、实例-11-TextField fileNameField;TextArea fileArea;public void init()Label lblName=new Label(文件名:);Label lblContext=new Label(文件内容:);fileNameField=new TextField(35);fileNameField.addActionListener(new ActionListener()public void actionPerformed(ActionEvent e)loadFile(fileNameField.getText(););fileArea=
7、new TextArea(10,35);安全限制和许可安全限制和许可 实例实例-12-add(lblName);add(fileNameField);add(lblContext);add(fileArea);public void loadFile(String fileName)tryBufferedReader reader=new BufferedReader(new FileReader(fileName);String context=new String();安全限制和许可安全限制和许可 实例实例-13-while(context=reader.readLine()!=null)
8、fileArea.append(context+n);reader.close();catch(IOException ie)fileArea.append(IO错误:+ie.getMessage();安全限制和许可安全限制和许可 实例实例-14-catch(SecurityException se)fileArea.append(安全访问错误:+se.getMessage();安全限制和许可安全限制和许可 实例实例-15-程序编写后,编译生成相应的类,将类嵌入HTML文件,从本地服务器加载,在载入Applet的界面上输入文件名E:a.txt后按回车键,在界面的文本区域内并没有显示相应a.tx
9、t的内容,只是提示“access denied(java.io.FilePermission E:a.txt read)”,表示访问拒绝,如图3左部分所示。图3 Applet访问文件出错显示和客户端文件内容安全限制和许可安全限制和许可 实例实例-16-Java安全平台中受到的种种安全限制,在Java中都提供了一一对应的许可,例如对于读、写文件的限制,Java提供了java.io.FilePermission来许可对客户端文件的读、写等操作。下面看一下这些许可类。许可类代表对系统资源的访问权限。Java.security.permission类是抽象类,划分为多个子类来代表特定的访问。而不同的许
10、可类属于不同的包,如FilePermission类属于java.io包,而SocketPermission类属于包。目前Java系统内嵌的主要的许可类如表1所示。安全限制和许可安全限制和许可 许可类-17-表表1 Java内嵌的许可类内嵌的许可类安全限制和许可安全限制和许可 许可类-18-建立这些类的对象就可以产生许可。例如,下面的代码用来产生许可读取/tmp目录下名为Hello的文件:filePerm=new java.io.FilePermission(/tmp/Hello,read);安全限制和许可安全限制和许可 许可类-19-安安 全全 策策 略略(Policy)1.keystore条
11、目条目 keystore用来存放密钥对和相关数字证书。数字证书像X.509证书链用来鉴别相应的公有密钥。keytool工具用来创建和管理keystore。Policy配置文件中指定keystore,用来查找grant条目中签名者的公有密钥。如果存在指明签名的grant条目,那么必须存在相应的keystore。Keystore条目的格式为:keystore url,type-20-其中:(1)keystore是保留字,表示keystore条目。(2)url指kestore的URL地址。(3)type指keystore的类型,用于定义keystore信息的存储和数据格式,以及保护keystore中
12、的私有密钥和keystore完整性算法。通常情况下缺省类型为“JKS”。安安 全全 策策 略略(Policy)-21-2.grant条目条目 policy对象中含有0到多条grant条目,指明远程代码访问特定资源的相关许可。grant条目的格式如下:grant signedBy name codeBase url Permission permission-class-name target-name,action-name;Permission permission-class-name target-name,action-name;安安 全全 策策 略略(Policy)-22-其中:(1
13、)每个grant条目为由name签名且来源于codeBase的类的访问提供一系列许可permission-class-name。(2)grant为保留字,表示一条授权。(3)signedBy为保留字,指明签名者。(4)name为数字签名的作者名。(5)codeBase为保留字,指明代码来源。(6)url为指定代码的来源路径。安安 全全 策策 略略(Policy)-23-(7)Permission为保留期,指明许可名字及许可操作。(8)permission-class-name指许可类名。(9)target-name为受保护资源的名字,如文件目录。(10)action-name 为对受保护资源进
14、行操作的权限。安安 全全 策策 略略(Policy)-24-例如,下面为两条具体的grant条目,第一条表示允许lihua签名的网址http:/192.100.100.43:8080/下的访问代码对temp目录的所有文件有读、写权限。第二条表示对本机java.home目录的子目录/lib/ext/下的所有代码授予任意访问受保护资源的权限。grant signedBy lihua codeBase http:/192.100.100.43:8080/Permission java.io.FilePermission tmp/*,read,wirte;grant codeBase file:$ja
15、va.home/lib/ext/*permission java.security.AllPermission;安安 全全 策策 略略(Policy)-25-辅助工具辅助工具密钥和证书管理工具密钥和证书管理工具 keytool为密钥和证书管理工具。它使得用户可以管理他们自己的公共密钥和私有密钥对以及相关的证书,用于在数字签名中进行数据完整性验证和身份验证。keytool将密钥对和证书存放在keystore中,keystore通常以文件的形式存在。创建keystore时需要为它设置密码,还要为其中的私有密钥设置密码。命令提示符状态下键入不带参数的命令keytool,可以看见它的用法,如图4所示。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- java2 安全技术 课件
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内