第九講安全服務(wù)

第九講安全服務(wù)1內(nèi)容一、動(dòng)因二、安全技術(shù)與安全體系三、Java的安全體系四、J2EE的安全服務(wù)2一、動(dòng)因合作的前提之一數(shù)據(jù)的存儲(chǔ)、加工、傳送過程中 皆需要進(jìn)行保護(hù)SecurityandTransactionSecurityandOpennessSecurityandSafety安全是一個(gè)涉及系統(tǒng)多個(gè)功能的非功能性需求3分布式軟件系統(tǒng)中客戶與服務(wù)器之間存在 大量的消息交互網(wǎng)絡(luò)基本設(shè)施安全嗎？硬件軟件客戶身份屬實(shí)嗎？客戶對欲進(jìn)行的操作有權(quán)限嗎？分布式系統(tǒng)的安全隱患4不安全的后果機(jī)密數(shù)據(jù)可能被竊取公司規(guī)劃標(biāo)書員工薪資健康數(shù)據(jù)財(cái)產(chǎn)數(shù)據(jù)數(shù)據(jù)可能被篡改財(cái)務(wù)數(shù)據(jù)測試結(jié)果最終導(dǎo)致：

計(jì)算機(jī)信任度受損:無法繼續(xù)使用計(jì)算機(jī)系統(tǒng)5什么是安全？讓正確的人

得到

正確的服務(wù)“正確的人”：不具有訪問權(quán)限者不許得到系統(tǒng)的服務(wù) 即所謂的“保密性”“正確的服務(wù)”：具有訪問權(quán)限者可以得到正確的系統(tǒng)服務(wù) 即所謂的“完整性”“得到”：具有訪問權(quán)限者可以得到正確的系統(tǒng)服務(wù) 即所謂的“可用性”6根據(jù)攻擊結(jié)果通常分為三類機(jī)密性攻擊(secrecyattack)攻擊者試圖竊取口令、醫(yī)療記錄、電子郵件日志、薪水冊等機(jī)密數(shù)據(jù)完整性攻擊(integrityattack)攻擊者企圖非法更改部分系統(tǒng)可用性攻擊(availabilityattack)攻擊者企圖中斷系統(tǒng)正常運(yùn)作，通常也稱這種攻擊為拒絕服務(wù)攻擊(denial-of-serviceattack)攻擊方法7基本對策隔離性對策對需要保護(hù)的關(guān)鍵性系統(tǒng)與外界進(jìn)行物理隔離限制性對策采用訪問控制方法保護(hù)系統(tǒng)資源，不允許未授權(quán)用戶訪問重要資源補(bǔ)救性對策進(jìn)行審計(jì)抗抵賴恢復(fù)8二、安全技術(shù)與安全體系1、加密2、認(rèn)證3、訪問控制4、審計(jì)91、加密就是信息的編碼和解碼包括 保密性加密 完整性加密10加密明文密文明文解密密文發(fā)送者接收者保密性加密對稱密鑰加密

非對稱密鑰加密

11加密解密密鑰明文密文明文密鑰對稱密鑰加密

12非對稱密鑰加密加密解密明文密文明文私有密鑰公開密鑰使用私有密鑰進(jìn)行加密、公開密鑰進(jìn)行解密的過程

13加密解密明文密文明文公開密鑰私有密鑰使用公開密鑰進(jìn)行加密、私有密鑰進(jìn)行解密的過程

14加密原始數(shù)據(jù)消息摘要自行生成的消息摘要原始數(shù)據(jù)發(fā)送者接收者比較完整性加密15加密分類應(yīng)用環(huán)境

機(jī)密性加密對稱密鑰辦公室內(nèi)、磁盤上等非對稱密鑰私有密鑰用于加密過程數(shù)字簽名公開密鑰用于加密過程數(shù)據(jù)安全傳送完整性加密數(shù)字簽名、數(shù)字水?。〝?shù)據(jù)未被篡改）各種加密技術(shù)的應(yīng)用

16利用某種信息對客戶進(jìn)行證實(shí)的過程 通常由所在系統(tǒng)的專門的認(rèn)證服務(wù)器完成通過認(rèn)證客戶可以獲得一個(gè)唯一的認(rèn)證標(biāo)識(shí) 這個(gè)標(biāo)識(shí)不能隨意更改2、認(rèn)證利用什么信息？ 你所擁有的（Whatyouhave） 例如：基于物理卡的認(rèn)證 你所知道的（Whatyouknow）認(rèn)證 例如：基于口令的認(rèn)證、基于證書的認(rèn)證 你是誰（Whatyouare）的認(rèn)證 例如：基于生物特征的認(rèn)證等

17主體（Principal）標(biāo)識(shí)用戶身份可以看成在安全領(lǐng)域中用戶的名字證書（Credential）除身份標(biāo)識(shí)以外的與用戶相關(guān)的安全屬性如公共密鑰、密碼等183、訪問控制訪問控制的基礎(chǔ)是 認(rèn)證 授權(quán)（Authorization） 安全域（SecurityDomain）

授權(quán)認(rèn)證關(guān)心的是誰在準(zhǔn)備訪問系統(tǒng)授權(quán)關(guān)心的是訪問者具有何種權(quán)限授權(quán)是一個(gè)配置過程 將對具體資源的訪問能力授予某種身份的主體19l

安全域相互之間擁有相同訪問控制策略的一組計(jì)算機(jī)機(jī)被稱為一個(gè)域域可以被劃分為子域 子域 可以繼承域的權(quán)限 并進(jìn)一步限制有哪些權(quán)限可以應(yīng)用到它們之上域可以結(jié)盟以相互授權(quán)安全域有時(shí)也被稱為安全策略域（SecurityPolicyDomain，或realm）與之相對的是安全技術(shù)域（SecurityTechnologyDomain）一個(gè)安全技術(shù)域是指使用相同安全機(jī)制（例如Kerberos）的域一個(gè)安全技術(shù)域可能包含多個(gè)安全策略域20l

訪問控制訪問控制是安全技術(shù)的核心技術(shù)訪問控制的形式包括：隨意訪問控制 基于主體（或者主體組、角色）的訪問即是隨意訪問控制 通常采用一個(gè)訪問控制表（ACL）來控制主體對資源的訪問 ACL中包含主體的名字（或者組名字、角色名字等）列表 以及可以作用于各種資源的操作強(qiáng)制性訪問控制 強(qiáng)制訪問控制技術(shù)的基礎(chǔ)是對主體進(jìn)行分級(jí)別 即為每個(gè)主體關(guān)聯(lián)一個(gè)信任級(jí)別 例如絕密、機(jī)密、秘密、一般等等 一般較高級(jí)別的主體擁有較高的可信度 資源關(guān)聯(lián)了一個(gè)級(jí)別指定訪問該資源的主體所需要的最低級(jí)別 如果主體的級(jí)別高于或者等于資源的級(jí)別 則該主體可以訪問該資源 強(qiáng)制訪問控制技術(shù)簡化了維護(hù)ACL的復(fù)雜度214、安全審計(jì)（Securityauditing）對于與安全相關(guān)的用戶操作進(jìn)行記錄特別是需要對用戶的身份進(jìn)行識(shí)別 即使調(diào)用穿越了多個(gè)對象22抗抵賴（Non-repudiation）對用戶的操作提供不可抵賴的證據(jù)例如： 向數(shù)據(jù)接收者提供數(shù)據(jù)源證明 向數(shù)據(jù)發(fā)送者提供數(shù)據(jù)接收者證明以避免數(shù)據(jù)接收者或者發(fā)送者 抵賴所進(jìn)行的行為23安全管理（Administration）提供諸如安全策略一類的安全信息計(jì)算機(jī)安全是一個(gè)長久性的問題重要程度高實(shí)現(xiàn)難度大總之24三、Java安全體系1、Java2安全體系總體結(jié)構(gòu)

2、核心Java安全體系結(jié)構(gòu)

3、Java加密體系結(jié)構(gòu)

4、Java加密技術(shù)擴(kuò)展

5、Java安全套接字?jǐn)U展

6、Java認(rèn)證與授權(quán)服務(wù)

251、Java2安全體系總體結(jié)構(gòu)核心Java安全體系結(jié)構(gòu)Java加密體系結(jié)構(gòu)（JCA）Java平臺(tái)Java認(rèn)證與授權(quán)服務(wù)（JAAS）Java安全套接字?jǐn)U展（JSSE）Java加密擴(kuò)展（JCE）26核心Java安全體系結(jié)構(gòu)

操作系統(tǒng)與資源Java運(yùn)行時(shí)引擎Java平臺(tái)類類加載器字節(jié)碼校驗(yàn)器安全管理器訪問控制器許可策略保護(hù)域Java應(yīng)用程序27Java加密體系結(jié)構(gòu)

Java加密體系結(jié)構(gòu)（JCA）為基于java的加密技術(shù)提供框架JCA是基本的加密框架，主要為數(shù)據(jù)的完整性提供支持JCA還提供了若干接口，使用證書、數(shù)字簽名等對主體進(jìn)行標(biāo)識(shí)JCA較多地依賴于非對稱密鑰體系在實(shí)現(xiàn)上，JCA主要由如下四部分組成：Java.security：一組核心的類與接口 提供了JCA提供商框架和加密技術(shù)操作APIJava.security.cert：一組證書管理類和接口Jerfaces：一組接口 用于封裝和管理DSA和RSA公開密鑰和私有密鑰Java.security.spec：一組類與接口 用于介紹公開密鑰算法、私有密鑰算法和參數(shù)規(guī)范28Java加密技術(shù)擴(kuò)展

Java

加密技術(shù)擴(kuò)展（JCE）在JCA的基礎(chǔ)上作了擴(kuò)展 包括加密算法、密鑰交換、密鑰產(chǎn)生和消息鑒別服務(wù)等接口

JCE主要用于數(shù)據(jù)的保密性，較多地依賴于對稱密鑰體系 連接應(yīng)用和實(shí)際算法實(shí)現(xiàn)程序的一組接口。 軟件開發(fā)商根據(jù)JCE接口，將各種算法實(shí)現(xiàn)后 打包成一個(gè)Provider，可以動(dòng)態(tài)地加到Java運(yùn)行環(huán)境中在實(shí)現(xiàn)上，JCE主要由如下三部分組成：Javax.crypto：一組核心的類與接口 提供了JCE即查即用SPI和加密技術(shù)操作APIJerface：一組接口 用于封裝和管理Diffie-Hellman密鑰Javax.crypto.spec：一組類 用于密鑰算法和參數(shù)規(guī)范29Java安全套接字?jǐn)U展Java安全套接字?jǐn)U展是支持安全數(shù)據(jù)傳輸技術(shù)的一組接口JSSE 不僅支持SSL 還支持傳輸層安全（TLS）等協(xié)議在實(shí)現(xiàn)上，JSSE主要由如下三部分組成：J.ssl：一組與JSSEAPI相關(guān)的核心類和接口J：一組支持基本套接字與服務(wù)器套接字工廠的接口Javax.security.cert：一組支持基本證書管理的接口30Java認(rèn)證與授權(quán)服務(wù)Java認(rèn)證與授權(quán)服務(wù)提供了一種基于客戶身份的控制機(jī)制核心Java安全體系結(jié)構(gòu)中的安全策略主要針對Java代碼的特性 這是一種代碼中心型的訪問控制更常見的是用戶中心型的訪問控制 以 誰運(yùn)行程序?yàn)榛A(chǔ)申請控制 而不是以哪個(gè)程序被運(yùn)行為基礎(chǔ)Java認(rèn)證與授權(quán)服務(wù)是 為認(rèn)證用戶身份、向用戶授權(quán)而提供的一套標(biāo)準(zhǔn)服務(wù)在實(shí)現(xiàn)上，JAAS由如下四部分組成：（1）javax.security.auth包含JAAS框架需要的基本類（2）javax.security.auth.login包含支持可插入認(rèn)證的類（3）javax.security.auth.callback包含不同的回調(diào)類與接口 登錄模塊可以用它來與主題交互（4）javax.security.auth.spi包含一個(gè)登錄模塊接口31四、J2EE的安全服務(wù)1、目標(biāo)2、安全服務(wù)模型3、安全服務(wù)接口

4、安全責(zé)任32減輕應(yīng)用開發(fā)者（如構(gòu)件生產(chǎn)者）在安全管理上的負(fù)擔(dān)通過EJB角色達(dá)到最大的覆蓋率容器廠商實(shí)現(xiàn)安全基礎(chǔ)設(shè)施(infrastructure)部署者和系統(tǒng)管理員指定安全策略(policy)安全策略的設(shè)置更靈活由組裝者或部署者指定而不是構(gòu)件生產(chǎn)者開發(fā)時(shí)硬編碼保證EJB的可移植性不同的服務(wù)器可能采用不同安全機(jī)制1、目標(biāo)33

2、安全服務(wù)模型安全服務(wù)JAVA平臺(tái)安全管理器構(gòu)件構(gòu)件容器121構(gòu)件與構(gòu)件容器的接口核心安全加密認(rèn)證授權(quán)審計(jì)…..2JAVA平臺(tái)安全管理器向構(gòu)件容器與構(gòu)件提供的接口34JAAS安全管理器323455JAAS安全管理器向構(gòu)件容器與構(gòu)件提供的接口JAVA安全平臺(tái)管理器向服務(wù)提供商要求的接口JAAS安全管理器向服務(wù)提供商要求的接口343、安全服務(wù)接口

最主要的接口包括：Subject Certificate

Principal

Policy

LoginContext

LonginModule

Callback

Callbackhandler35構(gòu)件生產(chǎn)者應(yīng)用組裝者部署者容器廠商系統(tǒng)管理員4、安全責(zé)任36構(gòu)件生產(chǎn)者的安全責(zé)任調(diào)用其它EJBEJB體系沒有為構(gòu)件生產(chǎn)者提供編程接口控制調(diào)用者的主體(Principal)在不同EJB互相調(diào)用過程中傳遞的主體由部署者或系統(tǒng)管理員以特定于容器的途徑建立構(gòu)件生產(chǎn)者和組裝者只能在部署信息中描述相關(guān)的需求訪問資源37訪問底層操作系統(tǒng)的資源EJB體系沒有定義訪問OS資源的主體EJB不能訪問OS資源EJB體系假設(shè)應(yīng)用僅使用如數(shù)據(jù)庫之類的資源管理器，不會(huì)直接使用OS級(jí)別的資源推薦的編程風(fēng)格構(gòu)件生產(chǎn)者在業(yè)務(wù)方法中既不會(huì)實(shí)現(xiàn)安全機(jī)制，也不會(huì)硬編碼安全策略通過部署信息委托部署者和系統(tǒng)管理員構(gòu)件生產(chǎn)者的安全責(zé)任（續(xù)）38如何編程訪問調(diào)用者的安全上下文Caller’ssecuritycontext聲明安全管理一般由容器執(zhí)行，對構(gòu)件透明只有在極少數(shù)情況下，業(yè)務(wù)方法才會(huì)訪問安全上下文信息在javax.ejb.EJBContext中定義了兩個(gè)方法java.security.PrincipalgetCallerPrincipal();BooleanisCallerInRole(StringroleName);如果調(diào)用請求中沒有客戶的安全上下文，則產(chǎn)生java.lang.IllegalStateException構(gòu)件生產(chǎn)者的安全責(zé)任（續(xù)）39getCallerPrincipal()返回當(dāng)前調(diào)用者的主體java.security.Principal的接口定義

booleanequals(Object

another)；

比較主體代表的對象是否與指定對象相同；

String

getName()

返回主體的名字；inthashCode()

返回主體的hashcode.

String

toString()

返回主體的字符串形式40例子：publicclassEmployeeServiceBeanimplementsSessionBean{EJBContextejbContext;publicvoidchangePhoneNumber(...){ ... ContextinitCtx=newInitialContext(); Objectresult=initCtx.lookup("java:comp/env/ejb/EmplRecord"); EmployeeRecordHomeemplRecordHome= (EmployeeRecordHome)javax.rmi.PortableRemoteObject. narrow(result,EmployeeRecordHome.class);

callerPrincipal=ejbContext.getCallerPrincipal(); callerKey=callerPrincipal.getName();

EmployeeRecordmyEmployeeRecord= emplRecordHome.findByPrimaryKey(callerKey); myEmployeeRecord.changePhoneNumber(...); ...}}41isCallerInRole(StringroleName)檢查當(dāng)前調(diào)用者是否具有指定的安全角色安全角色由組裝者在部署信息中定義并被部署者分配給不同的主體（組）用以實(shí)現(xiàn)基于角色作用于請求的安全檢查這種安全檢查不適于在部署信息的方法訪問權(quán)限中聲明42例子：publicclassPayrollBean...{EntityContextejbContext;publicvoidupdateEmployeeInfo(EmplInfoinfo){ oldInfo=...readfromdatabase; //Thesalaryfieldcanbechangedonlybycallers //whohavethesecurityrole"payroll" if(info.salary!=oldInfo.salary&& !ejbContext.isCallerInRole("payroll")){ thrownewSecurityException(...); } …}...}43安全角色的聲明如果代碼中使用了某些安全角色，就必須在部署信息中聲明被引用的角色名字在部署信息中的格式為 <security-role-ref> <description>…</description> <role-name>…</role-name></security-role-ref>44Security-role-ref<enterprise-beans><entity><ejb-name>AardvarkPayroll</ejb-name>...<security-role-ref> <description>

Thissecurityroleshouldbeassignedtotheemployeesofthe payrolldepartmentwhoareallowedtoupdateemployees’ salaries. </description> <role-name>payroll</role-name></security-role-ref>45應(yīng)用組裝者的安全責(zé)任定義安全視圖(securityview)包含在ejb-jar文件中簡化部署者的工作如果沒有安全視圖，部署者將不得不了解業(yè)務(wù)方法的內(nèi)容才能部署相關(guān)的安全策略而業(yè)務(wù)方法的細(xì)節(jié)不是部署者應(yīng)該/可以了解的工作包括定義安全角色，方法許可，安全角色及其引用的關(guān)聯(lián)，安全標(biāo)識(shí)46安全視圖由一組安全角色組成安全角色（Securityrole）Asemanticgroupingofpermissions用戶必須擁有某種安全角色才能成功使用相應(yīng)的應(yīng)用是一種邏輯角色，因?yàn)椴渴鹫呖赡芨鶕?jù)運(yùn)行環(huán)境的特性修改甚至忽略組裝者定義的安全視圖方法許可（Methodpermission）指允許調(diào)用一組指定的方法（EJBHome或Remote接口中的方法）的許可組裝者為每個(gè)角色定義了一組方法許可47security-role<assembly-descriptor><security-role> <description> Thisroleincludestheemployeesofthe enterprisewhoareallowedtoaccessthe employeeself-serviceapplication.Thisrole isallowedonlytoaccesshis/herown information. </description> <role-name>employee</role-name></security-role>48<method> <ejb-name>EJBNAME</ejb-name> <method-name>*</method-name></method>三種設(shè)置方式通配符模式方法名模式參數(shù)列表模式方式1：通配符模式作用于指定EJB的所有方法49例子：...<method-permission> <role-name>employee</role-name> <method> <ejb-name>EmployeeService</ejb-name> <method-name>*</method-name> </method></method-permission>50<method> <ejb-name>EJBNAME</ejb-name> <method-name>METHOD</method-name></method>三種設(shè)置方式方式2：方法名模式作用于指定EJB的指定方法51<method-permission> <role-name>employee</role-name> <method> <ejb-name>AardvarkPayroll</ejb-name> <method-name>findByPrimaryKey </method-name> </method> <method> <ejb-name>AardvarkPayroll</ejb-name> <method-name>getEmployeeInfo </method-name> </method></method-permission>例子：52<method> <ejb-name>EJBNAME</ejb-name> <method-name>METHOD</method-name> <method-params> <method-param>PARAMETER_1 </method-param> ...</method-params></method>三種設(shè)置方式方式3：參數(shù)列表模式作用于指定EJB的具有指定參數(shù)列表的方法適用于方法重載53<method-permission> <role-name>employee</role-name> <method> <ejb-name>AardvarkPayroll</ejb-name> <method-name>add</method-name> <method-params> <method-param>money</ejb-name> <method-param>user</ejb-name> </method-params> </method></method-permission>例子：54安全角色及其引用的關(guān)聯(lián)組裝者必須將構(gòu)件生產(chǎn)者聲明的安全角色引用與相應(yīng)的安全角色鏈接起來<ejb-name>AardvarkPayroll</ejb-name>...<security-role-ref> <description>…</description> <role-name>payroll</role-name> <role-link>payroll-department</role-link></security-role-ref>...55指定安全標(biāo)識(shí)（可選）安全標(biāo)識(shí)(securityidentity)作用于EJB運(yùn)行時(shí)分為兩種Use-caller-identity 使用調(diào)用者的安全標(biāo)識(shí)Run-as 使用部署信息中為該EJB指定的安全標(biāo)識(shí)Run-as:指不論哪個(gè)方法，EJB的安全標(biāo)識(shí)都是同一個(gè)安全標(biāo)識(shí)必須是role-name中定義的角色運(yùn)行時(shí)安全標(biāo)識(shí)的形式是主體(principal)56例子：<enterprise-beans><session> <ejb-name>EmployeeService</ejb-name> ...

<security-identity> <run-as> <role-name>admin</role-name> </run-as> </security-identity> ...</session>...</enterprise-beans>57部署者的安全責(zé)任保證應(yīng)用在指定運(yùn)行環(huán)境中的安全利用容器廠商提供的部署工具讀取組裝者在部署信息中的安全視圖將安全視圖映射到指定運(yùn)行環(huán)境的安全機(jī)制與策略最后輸出安全策略描述信息（securitypoliciesdescriptor）該描述信息的格式特定于容器廠商58具體職責(zé)為應(yīng)用分配安全域(securitydomain)和主體域(principalrealm)一個(gè)應(yīng)用可以有多個(gè)安全域一個(gè)安全域可以有多個(gè)主體域主體與安全角色的關(guān)聯(lián)通常部署者無需改變安全角色的方法許可設(shè)置注意，這一映射不屬于EJB體系的標(biāo)準(zhǔn)化范圍，因此，該映射特定于具體的運(yùn)行環(huán)境如果多個(gè)獨(dú)立的ejb-jar文件使用相同的安全角色名，其分配的主體可能不同59具體職責(zé)（續(xù)）配置EJB間調(diào)用傳遞的主體與前面不同，部署者必須遵循組裝者的需求如，run-as-specified-identity管理資源訪問的安全性另外，對于組裝者忽略或無法指定的某些安全要求，部署者必須承擔(dān)相應(yīng)工作如，組裝者沒有指定安全角色或方法許可這些工作的輸出結(jié)果無需存儲(chǔ)在ejb-jar文件中60EJB客戶的安全責(zé)任目標(biāo)：確?？蛻粽{(diào)用中包含的安全上下文不會(huì)影響服務(wù)器的安全客戶必須遵循以下規(guī)則處于某個(gè)事務(wù)