J2EE 安全机制研究及探究.docVIP

J2EE 安全机制研究及探究摘要：在企业构建分布式应用系统中，安全性是必须要考虑的一个方面，本文根据J2EE现有安全机制问题，从java平台安全体系、预警机制、认证机制以及认证模型等几个方面进行了分析和研究。并根据企业对分布式系统的需求进行了深入的阐述和探讨。 关键词：J2EE；安全机制；认证方法；单点登录 中图分类号：TP312 文献标识码：A 文章编号：1007-9599 (2012) 11-0000-02 一、引言 SUN公司所发布的J2EE平台主要作用是完成分布式应用型系统的创建工作，它对Java开发平台及其他相关问题进行了简化，更简化了公司应用开发，同时还为公司应用提供了数据管理及安全、事物及命名等服务。Java作为编程的标准平台，其代码已经成为应用型系统开发过程中的最基本的要求。同时，Java安全所追求的是：在其平台上安全运行其功能，实现各种服务，满足各领域客户的广泛需求。J2EE核心及其APIS扩展保证了应用系统的安全。同时，J2EE还提供了部分安全商家的系统程序卡口，实现Java的安全拓展。 二、Java 平台的安全性 Java语言要求严格，构架安全，与操作系统语言无关联性，运用其开发的程序可在网络中安全的运行。最原始的Java平台的安全模型是沙箱式的，其安全核心由三个方面组成： 1.字节代码验证：当只有正确的代码出现时才被执行； 2.类加载器：运行时，本地名称范围被其定义，保证了Java的安全运行； 3.安全管理：进行核心系统数据的访问时，由JVM进行协调，利用安全模式进行预先搜索，降低不可信代码出现次数。 但是，沙箱自身具有漏洞。通过在Java中引入新体制，加强其平台安全，新模型中的核心部分主要有：访问权限、保护范围、访问权限复核、安全策略等。 三、J2EE 安全体系 （一）安全体系结构 从B/S模式来看，应用型系统安全体制的开发，一般要进行三个层面的思考。以Java的分布式构架为基础的4种组合主要包括： 1. RMI的远程调试：利用APPLE与J2SE进行服务器的远程调试； 2. WEB应用：利用WEB浏览器、J2SE客户端及APPLE访问SERVLET； 3. EJB组件：即SERVLET、J2SE与EJB组件的访问部署问题； 4. WEB服务：任意程序都可对J2EE容器中的WEB服务进行访问。 针对以上应用，J2EE提供了API，加强自身安全。J2EE的安全结构其实是安全构架的抽象表现。 （二）安全角色映射 J2EE安全应用程序通过支持认证机制保护了同未知实体进行交互的客户，在进行操作前，必须在客户端进行验证，保障自身操作权限；中间核心部分是EJB，开发人员依据需要完成特殊功能的访问与系统安全策略；后台资料库与LDAP服务器保障访问和策略控制的安全。每一个EJB中的安全管制都需要运行计算环境下剥离出的两个“实体”，以此完成某些特殊任务。在进行EJB应用访问之前，这类资料用以进行客户的认证工作，安全角色代表一类特定的用户类型。安全角色的运用使得程序开发人员不必进行安全身份特殊代码的编写，就可在BEAN所部署的安全环境中获得足够的权限。EJB中的安全角色的指定和服务器相关联，但对代码的移植没有影响。 四、J2EE 的安全预警机制 （一） Java 的认证及授权服务 作为J2EE中一个独立的API，JAAS（Java Authentication Authorization Service）即Java认证及授权服务提供给用户权限许可之内的接口，该接口具有可移植性。JAAS适用于各种安全系统，也可较好的适用于现阶段的高级服务器平台及集合有多个安全系统的情况。以J2EE分布式应用程序采用JAAS技术的方式来进行划分，J2EE分布式应用程序可以分为以下两个方面。 1.用户主动出具身份信息证明或者以系统文件进行检索确定身份的形式进行验证，这是应用系统与远程EJB系统实现连接的先决条件。以应用服务器为主的应用服务系统利用JASS完成对用户身份的验证。当用户身份不被识别时，用户将无法调用EJB方法。 2. 以Web浏览器为平台的客户端程序在对Servlet/JSP 层进行连接时，客户端首先进行身份证明，同时Servlet/JSP 层利用JAAS技术对该证明信息进行验证。 （二）EJB容器的安全性 在J2EE平台上，EJB组件的容器决定着其自身的安全性，EJB程序的开发人员无需在组件的安全性花费太多的精力，这有助于业务与安全在逻辑上的独立，这种方式决定了J2EE应用系统具有卓越的可扩展性与可移植性。J2EE以容器为安全性保障可以从声明的安全性和可编程安全性两个方便进行，这有利于进行角色控制。EJB容器负责声明式授权