Java安全的演进.docVIP

Larry Koved (koved@)IBMAnthony J. Nadalin (drsecure@)IBMDon Neal (dhneal@)IBMTim LawsonIBM 2002 年 1 月 15 日 这篇论文提供了 Java 安全发展和演进的高级概述。Java 是一项日趋成熟的技术，它从作为一种基于浏览器的脚本编制工具的商业起源演进而来。我们探讨了以 Java 为目标的不同部署环境、Java 运行时的一些特征、这种基本技术当前发行版中的安全功能、新的 Java Development Kit（JDK）1.2 的基于策略的安全模型、基于堆栈的授权安全模型的局限性、通用的安全要求以及 Java 安全将来可能的走向。IBM 关于 Java 安全的倡议考虑到了客户的部署基于 Java 的企业解决方案的愿望。因为写这篇论文时 JDK 1.2 正进入企业 beta 测试阶段，所以在 JDK 1.2 被广泛采用时，业界反馈可能会引起一些操作上的更改和改进。 软件业致力于为开发和部署用 Java 编写的任务关键的应用程序提供支持。Java 环境涵盖了从企业服务器到嵌入式设备的广阔范围。在众多基于 Java 的系统中，包括 JavaOS、EmbeddedJava 和 PersonalJava 在内的系统将变得可用，潜在地提供不同级别的底层服务。这种局面将会导致对各种不同级别的安全强度的需求。 Java 安全最初的焦点是对在万维网浏览器中所下载的 applet（小程序）的支持。Java 的安全功能很大程度上反应了对这种功能的继承。随着 Java 的成熟，它将日益增加对附加的安全功能的支持，以满足目标应用程序环境的需要。所包括的附加功能是在大规模服务器应用程序中常见的安全功能。 我们已经看到过电子商务（通过 Web 电子化经营的商务）怎样通过大量的定单增加客户范围的示例。随着客户群的扩大，由于恶意行为所造成的绝对损失量可能大大增加，有必要在信息技术系统中部署改进的安全产品。但是，如果安全漏洞被广泛公开，客户的信誉将受到玷污。IBM 的客户要求系统实现几乎是完美无缺的，并且能够满足企业的需要。他们期望 IBM 确保风险是公开可知的，并且当漏洞被揭开时能够马上作出反应。 Gartner Group 的 1996 年 12 月所做的报告，Java -- Good Start, but Not Yet Secure 1 ，强调了关于基于 Java Development Kit（JDK）早期版本的 Java 安全所涉及的几个方面。切合实际的期望是很重要的：因为没有系统是百分之百安全的。但是，认识到关于 Java 安全的这三方面是很关键的： Java 启用了以前从未被大范围商业采用的功能：动态地从系统之外的源文件装入代码。这个重要的功能使得著名的“特洛伊木马”安全问题更严重。但是，它也提供了极有价值的功能。 Java 安全并不是为了解决与 Operating System/390(OS/390) Security Sever 中的“资源存取控制设施”（Resource Access Control Facility（ RACF））功能相同的问题，这个问题通过“多虚拟存储”（Multiple Virtual Storage（MVS））或类似的传统企业安全技术得到解决。RACF 旨在保护企业及其资源免于受到恶意用户的攻击。而 Java 安全旨在保护用户的工作站和资源免于受到恶意代码的攻击。 RACF 和其它传统企业安全技术工作得很好，因为它们采用 ― 并且它们的环境提供 ― 强大的操作系统完整性作为基础。Java 也采用这种完整性；但是，主流的桌面操作系统没有充分提供这种完整性。 安全技术需要预防或减少以下这几种类型的威胁： 未授权的资源使用，包括盗用软件或 CPU、破坏数据和软件、信息泄漏以及不负责任的行为 滥用特权，包括虚报标识符、从属关系、交换的项目值以及服务的授权，假冒，欺骗以及勒索 恶意的代码，包括需要防范的病毒、蠕虫、特洛伊木马以及逻辑炸弹 窃听，包括主动和被动手段 拒绝服务，包括资源毁坏、服务饱和以及通信中断 到目前为止，特洛伊木马和电子欺骗攻击是公布的最常见的 Java 安全威胁。因为大多数攻击是由于浏览器或 Java 中的实现错误，而不是基本的设计错误而发生，所以一旦确定，比较容易提供修复。 Java 安全的基础及演进 因为最初 Java 的商业部署是在 Web 浏览器中，所以 Java 安全的侧重点是提供保护程序不受到恶意 applet 攻击的功能；也就是说，保护不受到从因特网的 Web 站点下载的恶意代码的攻击。Java 安全建立在 Java 运行时环境的三个基本方面的基础上：ByteCode