第九讲安 全服务课件.ppt

1、Java 2安全体系总体结构 核心 Java 安全体系结构 Java 加密体系结构 （ JCA ） Java 平台 Java 认证与授权服务 （ JAAS ） Java 安全套接字扩展 （ JSSE ） Java 加密扩展 （ JCE ） 18年 核心Java安全体系结构 操作系统与资源 Java 运行时引擎 Java 平台类 类加载器 字节码校验器 安全管理器 访问控制器 许可 策略 保护域 Java 应用程序 18年 Java加密体系结构 Java加密体系结构（JCA）为基于java的加密技术提供框架 JCA是基本的加密框架，主要为数据的完整性提供支持 JCA还提供了若干接口，使用证书、数字签名等对主体进行标识 JCA较多地依赖于非对称密钥体系 在实现上，JCA主要由如下四部分组成： Java.security：一组核心的类与接口 提供了JCA提供商框架和加密技术操作API Java.security.cert：一组证书管理类和接口 Java.security.interfaces：一组接口 用于封装和管理DSA和RSA公开密钥和私有密钥 Java.security.spec：一组类与接口 用于介绍公开密钥算法、私有密钥算法和参数规范 18年 Java 加密技术扩展 Java 加密技术扩展（JCE）在JCA的基础上作了扩展 包括加密算法、密钥交换、密钥产生和消息鉴别服务等接口 JCE主要用于数据的保密性，较多地依赖于对称密钥体系 连接应用和实际算法实现程序的一组接口。 软件开发商根据JCE接口，将各种算法实现后 打包成一个Provider，可以动态地加到Java运行环境中 在实现上，JCE主要由如下三部分组成： Javax.crypto：一组核心的类与接口 提供了JCE即查即用SPI和加密技术操作API Javax.crypto.interface：一组接口 用于封装和管理Diffie-Hellman密钥 Javax.crypto.spec：一组类 用于密钥算法和参数规范 18年 Java 安全套接字扩展 Java 安全套接字扩展是支持安全数据传输技术的一组接口 JSSE 不仅支持SSL 还支持传输层安全（TLS）等协议 在实现上，JSSE主要由如下三部分组成： Javax.net.ssl：一组与JSSE API相关的核心类和接口 Javax.net：一组支持基本套接字与服务器套接字工厂的接口 Javax.security.cert：一组支持基本证书管理的接口 18年 Java 认证与授权服务 Java 认证与授权服务提供了一种基于客户身份的控制机制 核心Java安全体系结构中的安全策略主要针对Java代码的特性 这是一种代码中心型的访问控制 更常见的是用户中心型的访问控制 以 谁运行程序为基础申请控制 而不是以哪个程序被运行为基础 Java认证与授权服务是 为认证用户身份、向用户授权而提供的一套标准服务 在实现上，JAAS由如下四部分组成： （1）javax.security.auth包含JAAS框架需要的基本类 （2）javax.security.auth.login包含支持可插入认证的类 （3）javax.security.auth.callback包含不同的回调类与接口 登录模块可以用它来与主题交互 （4）javax.security.auth.spi 包含一个登录模块接口 18年 四、J2EE的安全服务 1、目标 2、安全服务模型 3、安全服务接口 4、安全责任 18年 减轻应用开发者（如构件生产者）在安全管理上的负担 通过EJB角色达到最大的覆盖率 容器厂商实现安全基础设施(infrastructure) 部署者和系统管理员指定安全策略(policy) 安全策略的设置更灵活 由组装者或部署者指定 而不是构件生产者开发时硬编码 保证EJB的可移植性 不同的服务器可能采用不同安全机制 1、目标 18年 2、安全服务模型 安全服务 JAVA 平台安全管理器 构件 构件容器 1 2 1 构件与构件容器的接口 核心安全 加密 认证 授权 审计 ….. 2 JAVA 平台安全管理器 向 构件容器与构件提供的接口 3 4 JAAS 安全管理器 3 2 3 4 5 5 JAAS 安全管理器 向 构件容器与构件提供的接口 JAVA 安全平台管理器向服务提供商要求的接口