Java2下Applet數字簽名

2019-11-18 11:57:59

字體：大中小

來源：轉載

供稿：網友

　　自從java技術開始應用以來，人們對Java平臺的安全性以及由于部署Java技術所引發的安全問題給予了極大的關注。非凡是在1998年11月Java2發布后，Java的安全體系結構發生了根本的改進，對于終端用戶而言，它可以保護文件和私人數據不被惡意的程序或病毒感染和破壞，鑒別代碼提供者的身份。對于開發者而言，通過使用API方法，能夠將安全性功能集成到應用程序中，因為API的體系結構能夠定義和集成對特定的資源的使用權限、加密、安全性治理、策略治理，并提供了一些類來治理公鑰／密鑰對及信任用戶群的公鑰證書。同時系統治理員、開發者和用戶可以使用它提供的工具治理鑰匙庫，在JAR文件中生成數字簽名、簽名的完整性檢測、創建和修改策略文件。按照Java設計者的觀點，Java安全包括2個方面的內容，首先將Java作為一種安全的平臺提供給用戶，在此平臺上，可安全地運行Java程序；其次提供用Java編程語言實現的安全工具和服務，它使得諸如企業界這樣一些對安全非常敏感的領域也可應用Java技術。本文將就這二個方面介紹Java2的安全性新特性以及該新特性下的Applet數字簽名的具體實現方法。　
　　
　　　Java2采用了如圖1所示的新的安全體系結構，并基于這種安全體系結構提供了很多新特?
　　
　　
　　1．1　密紋訪問控制
　　
　　
　　　　這種能力從一開始就在JDK中存在。但要使用它，應用程序的編寫者不得不做大量的編程工作例如，創建SecurityManager和Classloader類的子類并使其用戶化。HotJava1．0就是一個這樣的應用程序，它答應瀏覽器用戶在幾個不同的安全等級上進行選擇。然而，這種編程涉及非常敏感的安全問題，它要求程序員對計算機安全有精深的理解和熟練的技巧。新的安全體系結構將使這些變得簡單而安全。
　　
　　
　　1．2　易于配置的安全策略
　　
　　
　　　　與上述情況相似，這種能力在原來的JDK中也是存在的，但是不便于使用，而且編寫安全代碼也不是簡單明了的事情。于是，人們期望能夠答應應用程序的編寫者和用戶能夠不通過編程來設置安全策略。
　　
　　
　　
　　1．3　便于擴展的訪問控制結構
　　
　　
　　　　一直到JDK1．1為止，為了創建1個新的訪問許可，你必須在SecurityManager類中增加1個新的check方法。新的安全體系結構則答應設置各類訪問許可（每個都表示對1個系統資源的訪問），并能對所有正確訪問許可（包括未定義的許可）進行自動處理。
　　
　　
　　1．4　安全檢查擴展至所有Java程序
　　
　　
　　　　那種所有本地代碼是可信的內置概念將不復存在，取而代之的將是本地代碼（例如非系統代碼，安裝在本地的應用程序包等）服從于與Applet相同的安全控制，但是可以聲明對本地代碼的政策是最寬容的，從而使這些代碼可被認為是完全可信而有效地運行。上述原則也可應用于已簽字的Applet和任何Java應用程序。
　　
　　
　　2　Java2安全體系的概念及運行機制
　　
　　
　　2．1　保護域
　　　　Java2安全體系結構中的一個基本的概念是保護域（PRotected Domain）。1個域可通過對象集來劃分范圍，這些對象當前可由1個主體直接訪問。而主體是在計算機系統中被授予許可的實體。JDK1．0所利用的沙箱就是一個有著固定邊界的保護域實例。保護域的概念是一種在保護單元間起著分組和隔離作用的便利機制。例如，我們可以將保護域分開以避免它們之間的直接交互作用，于是，任何答應的交互作用必須通過可信系統代碼或被有關的域所明確答應。
　　
　　
　　　　保護域通常分為明確的2個類別，系統域和應用程序域。所有被保護的外部資源如：文件系統、網絡設施以及屏幕和鍵盤等僅能通過系統域來訪問。圖2中顯示了1個Java應用環境的域的組成。從概念上講，1個域包括1組類，這些類的實例被授予相同的一組許可。保護域是由現行策略所確定的。Java應用程序環境保持了來自代碼（類和實例）到它們的保護域然后再到它們的許可的映射，如圖3所示。1個線程的執行可能完全發生在1個單一的保護域中，也可能涉及1個應用程序域或是系統域。例如：1個打印消息的應用程序將不得不與系統域發生交互作用，因為系統域是唯一對輸出流的訪問點。在此種情況下的任何時候，應用程序域都不能通過調用系統域獲得除打印消息外的任何額外許可，否則將是一個嚴重的安全性隱患。在相反的情形下，1個系統域從1個應用程序域中調用1個方法，如當1個AWT系統域調用1個Applet的繪畫方法來顯示這個Applet時，有效訪問權限與應用程序域所答應的當前權限在任何時候都相同，這一點也是同樣至關重要的。換句話說，一個具有較低權限的域不能通過調用一個更高權限的域，或被一個更高權限的域所調用來獲得額外的許可。上述有關1個線程涉及2個保護域的討論自然地歸納為1個遍歷多重保護域的線程，計算許可的一個簡單而謹慎的經驗做法是：
　　
　　
　　
　　　?。?）一個執行線程的許可集可被認為是由該線程所遍歷的所有保護域的許可的交集。
　　　　（2）當1條代碼調用doPrivileged方法時，執行線程的許可集被認為是包括所有代碼的保護域以及由它直接或間接調用的保護域的權限。即通過doPrivileged方法可使1條可信代碼能臨時訪問更多的資源，這在某些情況下是必要的。例如，1個應用程序可能不被答應直接訪問包含字體的文件，但是，顯示文本的系統實用程序必須代表用戶獲得那些字體。
　　
　　
　　　　在執行期間，當請求訪問1個要害系統資源（如文件I／O和網絡I／O）或者API方法需要執行1個敏感的操作時，例如讀1個文件，資源處理代碼直接或間接地調用1個非凡的稱為訪問控制（accessController）類的方法，訪問控制類通過檢查調用棧來作出決定是否準予該請求或操作發生。在調用棧中是執行該操作需要調用的一些類的成員方法，因為每個類都屬于一些保護域，每個保護域都建立了一些策略，因此在調用棧的每個方法都被分配了1組權限。訪問控制類由棧頂開始，自頂向下檢查每個方法，看是否方法被所在的保護域所答應，假如發現一個方法權限沒有得到答應，訪問控制
　　就拋出安全性異常；反之，假如到達棧底仍未拋出異常，即說明調用棧中的所有方法均滿足保護域的權限要求，訪問控制答應操作發生。其中有一種非凡的情況，即當訪問控制遍歷調用棧時，將查找是否存在優先域（Privileged Domain），假如存在優
　　域，即使沒有到達棧底，訪問控制也將停止遍歷調用棧并答應操作發生。雖然新的安
　　機制初看上去增加了許多調用API方法的消耗，但是Java2確實使用了一些技術去加速
　　查權限的過程，例如訪問控制將過濾掉重復的域并在碰到第一個優先域時停止檢查，
　　說明額外的操作將是一個本地的方法調用，SUN的基準測試顯示了新的安全檢查是相當快的。
　　
　　
　　　　最后，每個域包括系統或應用程序域可以對其域邊界內的內部資源進行附加保。例如，一個銀行系統的應用程序可能需要支持并保護其內部的一些概念，如查帳、存
　　和取款等。由于此種保護的語義不像那些可猜測的語義可以被JDK預置，因而，在這個
　　次上的保護最好留給系統或應用程序開發員來做。
　　
　　
　　　　目前，1個域單獨地由1個代碼來源（CodeSource）鑒別，它封裝了在該域中運行的代碼的2個特性：代碼基址和公共密鑰證書集，公共密鑰對應于在該域中為所有代碼簽字的私有密鑰。因而，由相同的密鑰簽字和來自相同URL的類被放在同一個域中。1個域還包含在該域中授予代碼的許可，它是由現行安全策略所決定的。
　　
　　
　　2．2　證書、鑰匙庫及其相關工具
　　
　　
　　　　在Java2的安全體系下，1個Applet開發和運行的過程如下：
　　
　　
　　　　在代碼的分發端：
　　
　　
　　　　（1）開發Java源程序并對其進行編譯。
　　　?。?）用JAR工具對類文件和資源文件進行封裝。
　　　　（3）用keytool創建公鑰和密鑰，生成X。509V1簽名證書，輸出證書。
　　　?。?）通過jarsigner工具用生成的密鑰對JAR文件進行數字簽名。
　　　　在代碼的接收端：
　　　?。?）用keytool輸入證書視其為可信任。
　　　　（2）用policytool創建和修改安全性策略配置文件，授權請求的訪問權限。
　　　?。?）從網絡取得字節碼，用公鑰驗證數字簽名證書和文檔代碼的完整性。
　　　　（4）驗證字節碼的合法性，根據策略文件分配相應權限。
　　　?。?）執行代碼，完成后被垃圾回收器回收內存。
　　
　　
　　　　在用公鑰驗證數字簽名證書之前，接收方需要確認公鑰自身的可靠性，因此通常情況是提供一個包含公鑰的證書而不是公鑰自身。1個證書包括：
　　
　　
　　　?。?）1個公鑰。
　　　?。?）1個唯一的名字實體（個人或公司），它是證書的所有者，包含用戶名字、公司、組織、城市、地址、國家代碼、省份等信息。
　　　　（3）數字簽名：1個證書被1個分發者的實體簽名，保證證書確實包含另1個
　　實體（所有者）的公鑰。
　　　?。?）分發者的標識名信息。
　　
　　
　　　　對于接收者可以用分發者的公鑰來驗證他的數字簽名，檢查證書的合法性。然而公鑰可能包含在另一個證書中，而數字簽名需要用另一個證書的分發者的公鑰來驗證，這樣嵌套下去，直到一個公鑰被接收者確認是可信任的。假如接收者不能建立信任鏈，例如：1個分發者的證書不合法，那么可以用keytool－import命令來計算指紋，每個指紋是一個相關的短數字，它唯一可靠地標識證書（指紋是一個用信息摘要算法計算的證書信息的哈希值），接收者可以呼叫證書的所有者，并比較發出的證書和接收證書的指紋，假如指紋相同，則證書不同。因此能夠保證證書在傳遞的過程中未被修改。另一個潛在的問題是發送者身份的標識，有時一

上一篇：如何實現Applet之間跨瀏覽器窗口的通信

下一篇：優化Java Applet的加載過程