JAAS 自身的安全性分析.pdfVIP

第２７卷第３期　　　 计算机应用与软件 Ｖｏｌ２７Ｎｏ．３ ２０１０年３月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｍａｒ．２０１０ ＪＡＡＳ自身的安全性分析 王丽君　任地成　潘　瑞 （辽宁科技大学计算机科学与工程学院　辽宁鞍山 １１４０５１） 摘　要　　ＪＡＡＳ（ＪａｖａＡｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄＡｕｔｈｏｒｉｚａｔｉｏｎＳｅｒｖｉｃｅ）是Ｊａｖａ认证和授权服务的ＡＰＩ机制，ＪＡＡＳ的安全性除了体现在认证 和授权机制以外，还体现在对Ｊａｖａ２平台安全体制的充分利用，分别从认证和授权两个方面对ＪＡＡＳ的安全性作了分析，并结合对 Ｊａｖａ２平台安全体制的分析，说明ＪＡＡＳ机制是如何充分利用Ｊａｖａ语言的灵活性和安全性来保证自身安全性的。 关键词　　ＪＡＡＳ　认证　授权　安全性 ＳＥＣＵＲＩＴＹＡＮＡＬＹＳＥＳＯＮＪＡＡＳＩＴＳＥＬＦ ＷａｎｇＬｉｊｕｎ　ＲｅｎＤｉｃｈｅｎｇ　ＰａｎＲｕｉ （ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＥｎｇｉｎｅｅｒｉｎｇ，ＬｉａｏｎｉｎｇＵｎｉｖｅｒｓｉｔｙｏｆＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙ，Ａｎｓｈａｎ１１４０５１，Ｌｉａｏｎｉｎｇ，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　ＪＡＡＳｉｓｔｈｅＡＰＩｍｅｃｈａｎｉｓｍｏｆＪａｖａａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄａｕｔｈｏｒｉｚｅｄｓｅｒｖｉｃｅ．Ｉｎａｄｄｉｔｉｏｎｔｏｔｈｅａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄａｕｔｈｏｒｉｚａｔｉｏｎ ｍｅｃｈａｎｉｓｍ，ｔｈｅｓｅｃｕｒｉｔｙｏｆＪＡＡＳｉｓａｌｓｏｒｅｆｌｅｃｔｅｄｉｎｔｈｅｆｕｌｌｕｓａｇｅｏｆＪａｖａ２Ｐｌａｔｆｏｒｍｓｅｃｕｒｉｔｙｓｙｓｔｅｍ．Ｔｈｉｓａｒｔｉｃｌｅｇｉｖｅｓｓｅｐａｒａｔｅａｎａｌｙｓｅｓｏｎ ｔｈｅＪＡＡＳｓｅｃｕｒｉｔｙｆｒｏｍｔｗｏａｓｐｅｃｔｓｏｆａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄａｕｔｈｏｒｉｚａｔｉｏｎ，ｃｏｍｂｉｎｉｎｇｔｈｅＪａｖａ２ｐｌａｔｆｏｒｍｓｅｃｕｒｉｔｙｓｙｓｔｅｍａｎａｌｙｓｉｓ，ｔｈｅｗａｙｔｈｅ ＪＡＡＳｍｅｃｈａｎｉｓｍｇｕａｒａｎｔｅｅｓｉｔｓｏｗｎｓｅｃｕｒｉｔｙｈａｓｂｅｅｎｅｘｐｌａｉｎｅｄｂｙｆｕｌｌｙｕｓｉｎｇｔｈｅｆｌｅｘｉｂｉｌｉｔｙａｎｄｔｈｅｓｅｃｕｒｉｔｙｏｆＪａｖａｌａｎｇｕａｇｅ． Ｋｅｙｗｏｒｄｓ　　ＪＡＡＳ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ａｕｔｈｏｒｉｚａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ 展性。 ０　引　言 认证过程如图１所示，应用程序利用Ｌｏｇｉｎ．ｃｏｎｆｉｇ认证配置 文件和ＣａｌｌｂａｃｋＨａｎｄｌｅｒ接口的子类对象共同实例化一个Ｌｏｇｉｎ 随着计算机网络的不断普及，认证和授权已经成为基于网 Ｃｏｎｔｅｘｔ对象，同时创建一个Ｓｕｂｊｅｃｔ对象，ＬｏｇｉｎＣｏｎｔｅｘｔ通过认证 络的信息系统必不可少的，甚至是极其重要的组成部分。随着 配置文件找到需要调用的第三方认证模块ＬｏｇｉｎＭｏｄｕｌｅ，并调用 Ｊ２ＥＥ越来越广泛的应用，Ｊａｖａ２平台的安全性逐渐成为人们的 ＬｏｇｉｎＣｏｎｔｅｘｔ．ｌｏｇｉｎ（）方法激活认证模块 ＬｏｇｉｎＭｏｄｕｌｅ。Ｌｏｇｉｎ 关注的焦点，而基于Ｊａｖａ２平台的认证和授权技术也将成为保 Ｍｏｄｕｌｅ借助回调机制，利用 ＣａｌｌｂａｃｋＨａｎｄｌｅｒ接口的子类对象获 证Ｊ２ＥＥ的安全性的一个关键因素。 取用户的认证信息，并对获取的用户认证信息在 ＬｏｇｉｎＭｏｄｕｌｅ． 基于Ｊａｖａ２平台的信息系统中被广泛应用的认证和授权技