（计算机应用技术专业论文）基于j2ee架构的电子政务系统的安全问题研究.pdf

摘要 电子政务信息安全关系到国家的安全、社会的稳定，是电子政务建设中的首 要问题。从2 0 世纪9 0 年代以来，我国政府就一直致力于信息技术以提高政府运 作效率，但是互联网的复杂性给电子政务的发展在安全方面提出了不少问题。 s u n 公司推出的j 2 e e 架构为应用系统的开发提供了多方面的服务，其中包 括很多安全服务。j z e e 安全服务充分利用了j a v a 语言内置的安全特性以及j a v a 平台安全技术构成了j z e e 安全服务的底层实现。本文主要研究在利用j 2 e e 架构 实现电子政务系统时所面临的安全问题。 首先，论文深入分析和研究了j a v a 语言内置的安全特性和安全体系结构， 并提到了影响w e b 安全的因素以及一些常用的安全策略和相应的w e b 安全机制。 其次，针对目前电子政务中应用不断增多的现象，本文对单点登录进行了研 究。通过分析单点登录的优势和现有的一些认证模型，提出了一种不使用c o o k i e 机制的基于经纪人模型的架构思想的集中式认证架构。 再次，针对电子政务系统中文件传输频繁，文件往往需要逐层审批等特点， 本文对多重数字签名方案进行了详细的分析研究。分别提出了基于一个数学难题 和同时基于两个数学难题的多重数字签名方案。 最后，论文根据具体的电子政务需求对相应系统进行了实现。 关键词：电子政务；j 2 e e ；单点登录；多重数字签名 a b s t r a c t t h ei n f o r m a t i o ns e c u r i t yo fe - g o v e r n m e n ti st h em o s ti m p o r t a n ti s s u ei n e g o v e r n m e n t ，b e c a u s ei tr e l a t e st on a t i o n a ls e c u r i t ya n ds o c i a ls t a b i l i t y i fw e c a nn o t h a n d l ei tp r o p e r l y , i tw i l la f f e c tt h eb u i l d i n go fe g o v e r n m e n t s i n c et h e1 9 9 0 s ，o u r g o v e r n m e n ta l w a y sh a sb e e nc o m m i t t e dt ou s eo fi n f o r m a t i o nt e c h n o l o g yt oe n h a n c e t h eo p e r a t i o n a le f f i c i e n c y t h ec o m p l e x i t yo ft h ei n t e r n e ta l s ob r i n g sm a n ys e c u r i t y i s s u e st ot h ed e v e l o p m e n to fe - g o v e r n m e n t t h ej 2 e ea r c h i t e c t u r ei n t r o d u c e db ys u np r o v i d e sar a n g eo fs e r v i c e sf o rt h e a p p l i c a t i o ns y s t e m ，w h i c ha l s oc o n t a i n sm a n ys e c u r i t ys e r v i c e s t h ej 2 e es e c u r i t y s e r v i c e st a k ef u l la d v a n t a g eo ft h ej a v ap r o g r a m m i n gl a n g u a g eb u i l t i ns e c u r i t y f e a t u r e sa n dt h ej a v ap l a t f o r ms e c u r i t yt e c h n o l o g yc o n s t i t u t e st h eb o t t o ma c h i e v eo f t h ej 2 e es e c u r i t ys e r v i c e s t h ep a p e rm a i n l yr e s e a r c h e sw e b o r i e n t e da p p l i c a t i o n s s e c u r i t yi s s u e s ，w h i c hi m p l e m e n t st h ee - g o v e r n m e n tu s et h ej 2 e e a r c h i t e c t u r e f i r s t l y , t h ep a p e ra n a l y s i s sa n dr e s e a r c h e s t h ej a v ap r o g r a m m i n gl a n g u a g e b u i l t - i ns e c u r i t yf e a t u r e sa n dt h ej a v ap l a t f o r ms e c u r i t ya r c h i t e c t u r e ，a n da l s or e f e r e e s t h ef a c t o r so fi m p a c tt h ew e bs a f e t y w ea l s oa n a l y s i ss o m ec o m m o ns e c u r i t ys t r a t e g y a n ds o m ec o r r e s p o n d i n gw e b s e c u r i t ym e c h a n i s m s e c o n d l y , v i e wo ft h e c u r r e n t e g o v e r n m e n ta p p l i c a t i o n s i nt h eg r o w i n g p h e n o m e n o n ，t h ep a p e r d o e ss o m er e s e a r c ho nt h es i n g l es i g n o n ( s s o ) b y a n a l y z i n gt h ea d v a n t a g e so fs s oa n de x i s t i n ga u t h e n t i c a t i o nm o d e l ，w ep r o p o s en e w c e n t r a la u t h e n t i c a t i o na r c h i t e c t u r eo fn o u s eo ft h ec o o k i ea n db a s e do nt h ea g e n t m o d e l t h i r d l y , b e c a u s eo ft h ee g o v e r n r n e n ta l w a y sn e e df i l et r a n s f e rf r e q u e n t l ya n d a p p r o v a b l eb ym a n yp e o p l e w ea l s od om u c hd e t a i la n a l y s i sa n dr e s e a r c ho nt h e m u l t i s i g n a t u r es c h e m e t h ep a p e rp r o p o s e s as c h e m ew h i c hb a s e do n o n e m a t h e m a t i c sp r o b l e ma n das c h e m ew h i c hb a s e do nt w om a t h e m a t i c sp r o b l e m a tl a s t ，a c c o r d i n gt ot h es p e c i f i ce - g o v e r n m e n td e m a n d s ，w er e a l i z et h es y s t e m k e y w o r d s ：e - g o v e r n m e n t ；j 2 e e ；s s o ；m u l t i s i g n a t u r e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得云洼王些太堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示了谢意。 虢蚍峄一蝴嘶川石日 学位论文版权使用授权书 本学位论文作者完全了解云洼王些太堂有关保留、使用学位论文的规定。 特授权云洼王些太堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学 校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 一签名欺芝埠 签字日期：复嘲年z 月眨6 日 导师签名：乡刀壹伤 i 签字日期：2 加弓年2 月2 占日 学位论文的主要创新点 一、在单点登录方面通过对各种模型的研究及分析实现了一种不 使用c o o k i e 机制的基于经纪人模型的架构，该架构主要分为安全服 务域和应用服务域。 二、基于一个数学难题的多重数字签名中实现了一个基于 s c h n o r r 的多重数字签名。从安全和性能方面的分析来看，该多重数 字签名具有很好的安全性且性能方面也有一定的提升。 三、通过对同时基于两个数学难题的数字签名研究提出了一个基 于因数分解和离散对数的数字签名方案。安全性分析表明该方案具有 很高的安全性。 第一章绪论 1 1 课题背景及研究意义 第一章绪论 i n t e r n e t 的发展惠及社会生活的各个领域，各个领域都在发生着空前的革 命性的变化。越来越多的领域都想借助于i n t e r n e t 的无国界、无时间、无地域 限制的便利环境拓展商务或提供高效、优质的服务。 作为社会上层建筑的国家政府部门全面实现政务电子化，由传统政府转型为 电子政府，无疑使社会生产力在2 1 世纪的信息时代如虎添翼。任何国家的政府 通常都代表最大的“企业 ，它是使用科技的领导者。它会自动提升该国的科技 水平并加速迈向资讯市场的步伐，提高本国的竞争力。我国政府部门掌握着社会 资源中8 0 有价值的信息、3 0 0 0 多个信息数据库。在世界各国积极倡导的“信息 高速公路”的五大应用领域中，电子政务被排到了第一位。当今信息化程度较高 的发达国家j 下不遗余力地开展电子政务和构建电子政府，国内大众对信息社会、 知识经济、信息技术等时髦词汇以及电子商务这种崭新商务交易形式也开始耳熟 能详并逐渐接受，我们着实感受到了中国建设电子政务并全面推行电子政务的紧 迫性。然而就我国目前电子政务的发展情况来看来情景虽然美好，但也存在着诸 如数字鸿沟、安全保密等方面的困难。电子政务的安全是重中之重，其中电子政 务的信息安全尤为重要。它关系到国家的安全、社会的稳定，是电子政务信息建 设的首要问题。 s u n 推出的j 2 e e 架构为应用系统的开发提供了良好的框架和服务的支持。 j 2 e e 提供了多方面的服务( 安全、事务、命名等) ，本文主要研究j 2 e e 提供的 安全服务。j 2 e e 具有很好的安全特性，但是认为j 2 e e 应用能做到万无一失地保 证系统的安全是不客观的。基于j 2 e e 的w e b 应用程序的安全问题是w e b 应用程 序的设计人员和编程人员必须面对的任务。在一个安全的应用程序中，无论是用 户还是应用程序都能确信它们正在一个可信的环境中交换数据，应用程序必须确 保敏感用户信息的安全，还要保护运行应用程序的组件和过程免遭未授权用户的 篡改或窃取。如果开发者没有充分估计到可能遇到的各种风险，就很有可能引入 怀有敌意的程序造成信息丢失、资料泄密、相信伪造数据或修改本地计算机安全 设置等等后果，从而带来未知的严重后果1 2 j 。 本文的主要内容是在设计和部署电子政务系统总体安全架构的同时，针对本 系统的自身特点和实际需求，给出有效的策略和方法来解决面向w e b 应用的安全 问题，并切实地研究面向w e b 的应用的安全技术中单点登录和多重数字签名的关 键技术和解决方法，有效的增强了基于j 2 e e 的电子政务的安全性。 第一章绪论 1 2 本文的内容安排 第一章是引言部分，主要分析了课题来源、背景和研究目的，阐述了课题研 究的内容。 第二章介绍了电子政务系统中的安全需求及其一些常用的安全技术。并结合 这些安全技术和电子政务的现状提出了两方面加强电子政务安全性的设计。 第三章是对j a v a 技术和安全体系架构的分析，主要阐述了j a v a 语言的内置 安全特性和j 2 e e 安全架构的底层实现技术。 第四章主要对w e b 安全问题进行了研究，介绍了影响w e b 安全的因素以及一 些安全策略和安全机制。 第五章首先对单点登录的优势和集中认证模式进行了介绍，然后提出了一种 不使用c o o k i e 机制的基于经纪人模型的架构思想的集中式认证架构并对其安全 性进行了分析。 第六章介绍了数字签名和多重数字签名。构造了一个基于s c h n o r r 的多重数 字签名方案。并进行了安全性分析和计算量分析。然后同时基于两个数学难题构 造了一种多重数字签名方案。并对其进行了详细分析。 第七章基于单点登录和多重数字签名方案，从需求分析、系统总体目标、模 式选择等方面进行了分析和设计，并给出了具体实现和运行结果。 最后总结所做的工作，论文结束。 第二章电子政务的安全需求与分析 第二章电子政务的安全需求与分析 2 1 电子政务的网络信息安全 2 1 1 电子政务的概念 早在二、三十年前，西方发达国家的各级政府便已采用计算机技术进行政务 自动化处理，这就是电子政务的雏形。电子政务经历了公文电子化、内部办公自 动化和行政管理网络化( 网上办公) 等3 个阶段b 1 ，是一个将政府工作标准化、 服务化、信息化、公开化的系统工程，它不同于我们熟知的“政府信息化 ，也 不同于传统意义上的办公自动化，更不仅仅局限于建设一个政府网站。电子政务 强调的是各个政府职能部门之间、政府与公众、政府与企业之间的协同工作，强 调整合政府的各种业务和资源。 电子政务系统由“三网一库”构建而成。三网即：内网、专网和外网。内网 即指政府部门内部的信息化办公；专网是政府各个部门之间通过计算机网络而进 行的信息和资源共享以及即时通信；外网就是政府部门通过网络和公众、企业等 进行的双向信息交流的平台，例如政府的信息发布、网上申报、网上招聘等。一 库指的是政务系统的中心数据库。这些构成了电子政务系统的应用系统层的主 体，其安全将是整个电子政务实施成功与否的关键，如何实现体系化的电子政务 安全，通过管理、技术等诸多层面控制政府资源，解决好开放和保密的关系，是 电子政务领域的一个重点研究领域。 2 1 2 电子政务安全分析 世界各国都将保障电子政府信息安全作为一个系统工程来抓，电子政府信息 安全的内容，除了包括传统政府信息安全的内容之外，还要涵盖对网上信息系统 的技术性攻击和入侵，确保信息的真实性、完整性、可用性、可控性、不可否认 性等新内容1 。这些既是信息技术发展给政府带来的新的工具和手段，又是电子 政务必须面对的新问题。基于多方面安全问题的考虑，现将安全问题主要归纳为 以下几个方面： 1 、防止非授权访问 办公系统中不同信息的敏感程度不同，用户的访问权限也互不相同。在实际 运行环境中，非法用户可能企图假冒合法用户的身份进入系统，低权限的合法用 户也可能执行高权限用户的操作。因此，必须对用户进行身份验证，并为具有合 法身份的用户分配适当的访问权限。另外，还必须在不同层次对用户的访问进行 第二章电子政务的安全需求与分析 审计。 2 、防止冒充和抵赖 政府办公系统业务性质特殊而且责任重大，某些参与业务操作的人事后可能 不会承认曾经进行的操作，或者有人冒充领导进行非法活动。这种对业务的否认 和抵赖会影响工作的质量，也会使权责无法落实，从而导致办公系统的混乱。 3 、防止信息被破坏或泄露 办公系统中业务数据设计敏感信息、商业秘密、甚至国家秘密。这些重要信 息在存储、传输、转发、处理、销毁过程中必须有多种安全保密措施从而做到防 泄密、防篡改和防破坏。 通过对电子政务安全性的分析，我们可以发现，为了保证电子政务业务系统 的安全，电子政务系统应提供以下基本安全服务。如图2 一l 所示： 图2 一i 电子政务的安全服务 2 1 3 网络环境下信息安全的常用技术 网络安全性与每一层都有关系。在物理层，可通过把传输线封装在包含压氩 气的封装管中来挫败偷听。任何钻管的尝试都会导致漏气、减压，并能触发警报 装嚣。一些军用系统就采用了这种方式。在数据链路层，分组在离开一台机器时 被编上密码，到达另一台时再解码。在网络层，可以安装防火墙来限制分组的进 出。在传输层，整个链接都能被加密。在应用层可想办法采用一种通用的方法有 效地解决身份认证等问题。我们针对具体情况可以采用多种手段和方法，如通信 反侦察、防电磁泄露、防火墙技术、密钥管理、通信保密、文件保密、报文鉴别、 数字签名、存储加密等，而且这些手段和方法常常结合在一起使用，长短互补， 从而构成了网上安全防范的实用体系哺1 。 第二章电子政务的安全需求与分析 1 、通信反侦察 网络在传输信息过程中很容易被网络破坏者侦收，为了防止这一点，有线电 通信常采用光缆和可防窃听的保密电缆线路等；无线电通信则通常采用扩频技 术、悴发传输技术、毫米波和激光通信技术等，这几种通信手段都具有很强的抗 截获能力和抗干扰能力。 2 、防电磁泄露 计算机系统电磁辐射泄露也会使信息失密。因此，通常采用机房屏蔽和设备 屏蔽技术来抑制和防护电磁辐射泄漏。机房屏蔽是用屏蔽室对计算机系统实施屏 蔽。屏蔽性能最好的是采用钢实体来实现双层屏蔽以及双层间绝缘的屏蔽室。设 备屏蔽，比如为防止视频显示器电磁辐射，在其玻璃上喷涂一层导电薄膜，在玻 璃周围用导电条将导电薄膜与机壳相连接地，达到屏蔽电磁场的效果。另外，还 要从设备的研制和生产上加以考虑( 如改善电路布局、搞好电源线路和信号线路 滤波等) 以实现电子设备电磁辐射的防护和抑制。 3 、防火墙技术 防火墙是目前所有保护网络的方法中最能普遍接受的方法，而且防火墙技术 还属于新兴技术，9 5 的入侵者无法突破防火墙。防火墙的主要功能是控制对受 保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可 能屏蔽内部网的拓扑结构，另一方面屏蔽外部危险站点，用来防范内外部的非法 访问m 。 防火墙是阻止网络入侵者对网络进行访问的一种设备。此设备通常是软件和 硬件的组合体，它通常根据一些规则来挑选想要或不想要的地址。防火墙可用软 件构成，也可由硬件或软、硬件共同构成。软件部分可以是专利软件、共享软件 或免费软件，而硬件部分是指能支持软件部分运行的任何硬件。网络中的防火墙 有两种：包过滤器和应用网关。 包过滤器主要工作于o s i 协议栈的网络层和运输层，常实现于路由器上，一 般基于i p 包信息( 源i p 地址、目的i p 地址、t c p u d p 端口) 制定过滤规则。由i p 包信息可以制定包过滤器的逻辑过滤规则，封锁外部网上的用户与内部网上重要 站点的连接或与某些端口的连接，也可以对内封锁与外部某些i p 地址的连接。这 种防火墙技术实现简单易于配置，但也有其局限性，如过滤规则的制定较复杂且 一般路由器不具有任何记录功能，无法防范基于高层协议的威胁。应用级网关运 行代理服务程序，将所有跨越防火墙的通信链路分成两段，实现了内外信息的隔 离，并对内部网的i p 地址空间进行映像，屏蔽了内部的拓扑结构和主机i p 地址， 限制了网外用户的未授权访问和黑客的非法入侵，提高了安全性。其不足之处是 对不同的服务需配置专用代理服务软件，且需要较强的硬件支持，网络的开放性 第二章电子政务的安全需求与分析 较差。 ： 应用网关主要功能是监视通信双方的t c p 会话握手信号，若合法就为双方建 立连接，其后不再进行过滤直接进行转发，通常这种技术不以独立的产品出现而 与其它网关结合在一起。 4 、密钥管理 网络安全系统运行效率的高低与密钥管理密切相关，若对于d e s 和r s a 密码体 制丢失了密钥，则整个网络安全系统变成为虚有。密钥管理由密钥的产生、分配 和安装三个部分组成。 5 、通信保密 在计算机网络中，通信保密分为链路加密、结点加密和端对端加密。在这三 种方式中，端对端加密从成本、灵活性和保密性方面看是优于其它两种方式的。 端对端加密指的是在发送结点加密数据，在中间结点传送加密数据( 数据不以明 文出现) ，而在接受结点解密数据。 6 、文件保密 网络中的重要资源是文件，网络安全系统一般采用口令、访问控制等安全措 施。但是这些措施抗渗透性不强、容易被伪造、假冒，从而使非法用户侵入文件 系统，针对这种攻击我们必须采用文件加密来保护口1 。这样，即使非法用户获得 了文件也无法看懂，只有文件的合法使用者用自己的秘密密钥，才能看到文件的 真实原文。 7 、报文鉴别 报文鉴别能提供对传输报文数据的有效性及完整性的验证，它是数据保密的 一部分。它允许每一个通信者验证收报文的来源、内容、时间性和规定的目的地 址。 8 、数字签名 数字签名是维护网络信息安全的一种方法和手段，在身份认证、数据完整性、 不可否认性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证 以及电子政务系统中具有重要作用。它是通过密码技术对电子文档进行的电子形 式的签名，是实现认证的重要工具。数字签名是只有信息发送方才能够进行的签 名，是任何它人无法伪造的一段数字串，这段特殊的数字串同时也是对相应的文 件和信息真实性的一个证明。 9 、存储加密 网络信息不仅在传输过程中需要加密在存储时也要加密，这是为了防止非法 拷贝和查询。存储加密能较彻底地防止信息窃取和丢失。依据存储方式的不同存 储加密有文件加密和数据库加密两种形式。由于文件加密以文件为单位进行加 第二章电子政务的安全需求与分析 密，而数据库加密以数据库记录甚至以字段为单位进行加密，所以文件加密比数 据库加密容易实现。 2 2 本文解决的主要问题 结合上一节中安全问题的分析和电子政务系统目前的现状，本文在单点登录 技术和多重数字签名两个方面作了相应的研究和改进。 首先，用户身份验证是网络安全中最直接也是最前沿的一道防线。当用户访 问一个系统的时候，首先要向系统表明自己的身份，然后才能进行下一步的访问 和控制。在电子政务系统中包括不同的子系统以及办公自动化等。这些应用系统 都要求用户在使用时进行身份验证，输入用户名和密码后才能访问。因此，对于 一个有着多个子系统权限的用户来说就迫切需要一种便捷、安全的系统访问工具 来简化众多应用系统的登录过程，因此就催化了单点登录技术的产生m 1 。单点登 录系统是将多个不同应用的身份认证和登录系统进行集中管理的系统。对于目前 网络应用不断增多的现代企业、政府等单位中，实现多个应用的单点登录是非常 有现实意义的，这将大大的方便用户的使用，并在一定的程度上提高系统的安全 级别。 其次，在电子政务系统中往往有许多文件、条约等需要签署。传统上采用手 写签名或印章的方式，但是如果电子政务不能解决这一问题，那么等于没有把处 理事务完全的脱离无纸化办公，不能够实现真正意义上的网上审批，于是电子签 名便应运而生。然而还有一个问题就是许多文件往往不只一个人的签名，它可能 需要层层审批，多人签署。为此多重数字签名的实现迫在眉睫。 为此，本为在研究电子政务安全问题的同时，着重在单点登录和多重数字签 名两方面进行了深入的分析和研究，从而增强电子政务系统的安全性。 第三章j a v a 技术与安全体系结构 第三章j a v a 技术与安全体系结构 3 1j a v a 语言内置的安全特性 j a v a 语言拥有三大安全特性：平台无关性、网络无关性和安全性呻1 ，而j a v a 体系结构对这三大特征提供了强大的支持和保证。j a v a 平台是创建企业应用程 序的普遍选择，主要原因之一是在创建j a v a 语言时充分考虑了安全性，而且j a v a 中提供安全性的架构部分已经得到了时间的检验n 引。j a v a 平台在语言层次和企 业层次【：提供安全性。语言层次的安全性，如安全的类型转换、没有指针、自动 的垃圾收集、数组界限检查。程序是运行在本地名称空间里，不能被其它运行程 序打扰。 3 1 1j a v a 类载入器 类绒入器负责引入、定义运行程序的类和接口的二进制数据。一个j a v a 程 序能使用两种类型的类载入器：原始的类载入器和类载入器对象。原始的类载入 器是j v m 实现的一部分，它通常从本地硬盘载入安全的类，包括j a v aa p i 的类。 运行时，j a v a 应用程序安装类载入器对象，类载入器对象使用j a v a 语言编写， 编译成类文件后，载入到虚拟机并像其它的对象一样初始化。类载入器对象用于 以自定义的方式载入类，例如通过网络下载类文件。j v m 把通过原始的类载入器 载入的任何类都视为安全的，无论这个类是否是j a v aa p i 的一部分。而将通过 类载入器对象载入的类视为可怀疑的，缺省情况下视为不安全的。 j a v a 的结构可以在一个应用程序中创建多个命名空间，命名空间是由一个 特定的类载入器载入的类名的集合。j 为每一个类载入器维持一个命名空间， 这个命名空间里有由那个类载入器载入的所有类的名字。由不同类载入器载入的 类在不同的命名空间里，没有程序的直接允许这些类不能彼此访问。编写程序时， 可以将来源不同的类放在不同的命名空间里，用这种方式就可以使用j a v a 的类 载入器结构控制来源不同的代码间的相互作用，就可以防止不安全代码访问、破 坏安全代码u 。 3 1 2 类文件校验器 类文件校验器，用来保证载入的类文件具有正确的内部结构。类文件校验器 能帮助检查出类使用起来是否安全。因为类文件是由二进制数据构成的，j v m 不 第三章j a v a 技术与安全体系结构 知道这个类文件是否是由黑客产生的，是否有可能破坏虚拟机的完整性，所以虚 拟机对引入的字节码进行校验是很重要的。类文件校验器校验的过程可以分为两 个阶段：阶段一发生在类刚载入以后，类文件校验器检查类文件的内部结构，包 括校验所含的字节码的完整性；阶段二发生在字节码执行的时候，字节码校验器 确定符号引用的类、域和方法是否存在。 3 1 3 安全管理器 安全管理器是一个具体的类，是具有安全功能的、资源级的访问控制工具n 刳。 在默认情况下，系统不加载安全管理器，我们可以在程序中调用静态方法 s y s t e m s e t s e c u r i t y m a n a g e r ( ) ，并给它传递一个安全管理器实例，该实例就变 成了唯一激活的安全管理器。 3 2j a v a 认证和授权服务 j 2 e e 是在j 2 s e 的基础之上发展而来的，j 2 e e 容器以及应用程序都以j 2 s e 为底层服务，j a v a 2 平台安全技术构成了j 2 e e 安全服务的底层实现。图3 - 1 显 示了j a v a 2 安全体系结构的组成。 图3 - 1j a v a2 平台安全体系结构 从图中我们可以看到下半部分的j a v a 安全体系结构核心和j a v a i j n 密体系结 构j c a ( j a v ac r y t o g r a p h ya r c h i t e c t u r e ) ，两者构成了j a v a 2 安全平台。j a v a 安全体系结构核心为j a v a 代码提供了基本的安全运行机制。j c a 是j a v a 实现基 第三章j a v a 技术与安全体系结构 本密码服务的工具。这些密码服务主要包括消息摘要、数字签名、密钥管理等。 在冈的上半部分是独立于j a v a 2 平台而与j a v a 2 平台的不同方面相关的j a v a 2 安全扩展。其中，j a v a 加密扩展j c e ( j a v ac r y p t o g r a p h ye x t e n s i o n ) 是j c a 的 扩展，主要提供了分组密码算法和消息认证码的实现接口。j s s e 是专门针对s s l 协议开发的安全扩展模块，提供对应不同版本s s l 实现的标准接口。而j a a s 则 提供验证用户和对用户实现访问控制的接口。j c a j c e 、j s s e 、j a a s 是j 2 e e 安 全服务的底层实现( 如图3 2 所示) j 2 e e 安全服务 认证与授数据存储安全数据传输安 权( j a a s )( j c a j c e )全( j s s e ) 图3 - 2j 2 e e 的安全技术架构 3 2 1j a v a 加密扩展( j c e ) j c e 在j c a 的基础上作了扩展，包括加密算法、密钥产生、密钥交换和消息 鉴别服务等接口，j c e 具有与j c a 相同的体系结构。j c a j c e 并不执行各种加密 算法，它们只是连接应用和实际算法实现程序的一组接口。软件开发商根据接口 将各种算法实现后，打包成一个密码服务提供者，可以动态地添加到j a v a 运行 环境中。作为s u n 密码服务软件的j c e ，包含一个加密、密码生成、密码管理和 消启、认证代码的框架以及s u n 公司提供的标准实现。j c e 支持对称密钥加密、非 对称密钥加密、块密码和流密码等，其它经过认证的密码系统也可以作为密码服 务提供者插入j c e 框架，从而使新的密码算法与j c e 无缝地集成n 朝。 3 2 2j a v a 安全套接字扩展( j s s e ) j a v a 安全套接字扩展( j a v as e c u r e s o c k e te x t e n s i o n ，j s s e ) 通过实现 s s l 协议提供一个具有完整功能的安全传输框架。开发人员可以在客户端和服务 器端之间通过t c p i p 协议安全地传输数据。这些功能包括数据加密、服务器认 证、消息完整性以及可选的客户端认证等n4 1 。j s s e 是基于密码算法和握手机制 之上的合成体，它最大程度降低了创建敏感但危险的安全攻击点的风险。进一步 第三章j a v a 技术与安全体系结构 地将，j s s e 作为模块化服务简化了应用程序开发，开发者能够直接将j s s e 整合 到它们的应用程序中“5 1 。 j s s e 基于与j c a 架构相同的设计原则，包括与j c e 中相同的概念和算法， 与j c e 不同之处在于它可以在一个套接字接口中自动的执行这些算法。j s s e 具 有以下特性： 1 、实现了s s lv 3 0 协议和t l sv 1 0 协议。 2 、提供对通信双方加密参数协商的支持，这通常作为s s l 握手协议的一部 分来初始化或认证安全通信。 3 、提供对客户端和服务器端认证的支持以及对h t t p s 协议的支持。 4 、提供用来管理驻于内存中s s l 会话的服务器会话管理接口。 5 、通过对通常使用的多种加密算法的扩展支持。主要有：r s a 、r c 4 、d e s 、 t r i p l ed e s 、a e s 等。 3 2 3j a v a 命名和目录接口( j n di ) j n d i ( t h ej a v an a m i n ga n dd i r e c t o r yi n t e r f a c e ，j a v a 命名和目录接口) 是一组在j a v a 应用中访问命名和目录服务的a p i 。命名服务将名称和对象联系 起来，使得我们可以用名称访问对象。目录服务是一种命名服务，在这种服务里 对象不但有名称还有属性。 使用j n d i ，基于j a v a 技术的应用程序就可以保存和获取任意类型的j a v a 对象。j n d i 目录中的每个对象都可以得到保护。这意味着访问对这类对象的引 用的用户需要提供它们的证书，而j n d i 实现会检验这些证书。j a v a 应用服务器 广泛使用j n d i 来保存到e n t e r p r i s ej a v a b e a n ( e j b ) 实例、j a v a 消息服务( j a v a m e s s a g es e r v i c e ，j m s ) 队列和j a v a 数据库连接( j a v ad a t a b a s ec o n n e c t i v i t y ， j d b c ) 数据源( 数据库连接) 的引用。 3 2 4j a v a 身份验证和授权规范( j a a s ) j a a s 是s u n 公司为进一步增强j a v a 安全框架的功能而提供的安全技术。 j a a s 提供代码运行者的访问控制，是j a v a 安全模型的一个重要补充。j 从s 是标 准的可插拔认证模块p a m 结构的j a v a 实现，并对j a v a 2 平台的认证和授权框架 进行了扩展以支持基于用户的认证和访问控制n 6 1 。j a a s 的出现反映了j a v a 安全 模型的演变，它通过对运行程序的用户进行认证和授权，要求用户拥有相应的权 限才能执行受控应用程序，从而达到保护系统的目的。j a a s 允许开发人员将一 些标准的安全机制，例如s o l a r i sn i s ( 网络信息服务) 、w i n d o w sn t 、l d a p ( 轻 第三章j a v a 技术与安全体系结构 量级目录存储协议) 等通过一种通用的、可配置的方式集成到系统中。 j a a s 认证通过可插拔形式工作，使j a v a 应用程序独立于底层的认证技术， 应用程序可以使用新的或经过修改的安全技术而不需要修改应用程序本身( 如图 3 - 3 所示) 。应用程序通过实例化一个登录上下文对象开始认证过程，这个对象 根据登录配置文件的协定决定采用哪个登录模块，登录模块决定了认证技术和登 录方式并且系统中可同时存在多个登录模块。 r 应用程序 ) ( 应用程序 ) 、l 登录配置文件 l o g i n c o n t e x t _ - - _ - _ - _ 一 l o g i n m o d u l eis p ! c a l l b a c k h a n d l e r l o g i n m o d u l e1 1s p i t 、t 用户名，口令数字证书 一 t ” 认证认证 用户 图3 - 3j 从s 认证体系结构 第四章w e b 安全问题研究 第四章w e b 安全问题研究 w e b 安全从本质上讲就是网络上的信息安全。从广义来说，凡是涉及到网络 上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络 安全的研究领域。它是- i 3 涉及计算机科学、网络安全、通信技术、密码技术、 信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。主要表现在 以下几个方面：网络的物理安全j 网络拓扑结构安全、网络系统安全、应用系统 安全和网络管理的安全等。 4 1 影响w e b 安全的因素 计算机网络一方面要满足开放性要求，另一方面却又存在网络结构多样、协 议复杂、地域广阔、用户众多、主机品种繁杂等特点，这种矛盾的存在使得安全 问题尤为突出m 1 首先，多样化的网络结构所要求的开放性是以牺牲安全性为代价的。虽然网 络的基本拓扑结构只有星型、总线型和环型，但是互联网络则包含以上三种网络 结构。结构的复杂无疑给网络系统管理、拓扑等带来很多问题。另一方面为了实 现异构网络的开放性往往会牺牲一些安全机制的设置和实现。 第二，网络协议问的兼容也带来了安全隐患。网络的发展使之早己不再处于 单一的网络协议环境中。随着国际互联网络的发展，一方面用户为保护原有的网 络基础设施投资；另一方面各网络技术公司为共同寻求生存的机会，对网络协议 的兼容性要求越来越高，以使众多厂商的协议能够互联、互相通信、互相兼容。 这在给厂商和用户带来方便和利益的同时，也带来了安全性的问题。 第三，互联网络往往跨越城际、国际、地理位置错综复杂，通信线路质量难 以得到保证，一方面会给传输与其上的信息造成损坏、丢失，同时也给那些搭线 窃听的黑客以可乘之机，增加更多的安全隐患。 第四，i n t e r n e t 用户数以亿计，分布于世界上的各个国家和地区，包括形 形色色的用户，其中有政治、军事、商业、科技间谍，也有专门以攻击网络、搜 寻、破坏信息为乐事的黑客。由于这些问题的存在，直接威胁用户信息的保密性。 此外还有自然灾害、安全设备等等很多威胁网络安全的因素。 第四章w e b 安全问题研究 4 2w e b 安全策略 基于以上影响网络安全因素的分析我们发现造成网络攻击能够得逞的一方 面是由于现有的网络系统具有内在的安全脆弱性；另一方面是由于管理者思想麻 痹，没有正视网络入侵所造成的严重后果，因而没有意识加强网络的安全性；还 有就是没有采取正确的网络安全策略和安全机制。 我们可以将安全策略的制定简单的分成以下几步： l 、了解安全需求； 2 、找到主要的影响网络安全的各个方面，确认影响网络安全的薄弱环节： 3 、为每个部分制定各自的安全需求： 4 、采用适当方法实施安全计划并根据情况的变化改变实施方案。 4 3w e b 安全机制 4 3 1 访问控制机制 访问控制机制是按照事先确定的机制实现主体对客体的访问是否合法的判 断n 引。当一个主体试图非法使用一个未经授权的客体( 资源) 时，访问控制功 能将拒绝这一企图。 4 3 2 数据完整性机制 数据完整性机制包括数据单元的完整性以及数据单元序列的完整性。实体间 通信时，数据信息是以一种数据单元( 又称包) 的形式进行传输，所以要确保数 据单元的完整性。数据单元序列的完整性则要求数据单元编号的连续性和时标的 正确性，以防假冒、丢失、重发、插入或篡改。 4 3 3 鉴别交换机制 鉴别交换机制是通过利用口令加密实体的特征或所有权( 如指纹或身份卡) 等交换信息的方式来确认实体身份。 4 3 4 路由控制机制 路由控制机制是确保信息传输的路由是安全可靠的，发送者中通过选择特殊 的路由，以绕过特定的子网、链路和中继站来确保数据安全。 第四章w e b 安全问题研究 4 3 5 加密机制 加密是一种最基本的安全机制，它能防止信息被非法获取。加密机制可以单 独使用，但是更多的情况是和其它的安全机制一起使用，以对抗被动攻击或某种 类型的主动攻击。加密是一种在网络环境中对抗被动攻击的行之有效的安全机 制。 数据加密技术主要分为数据传输加密、数据存储加密、数据完整性的鉴别和 密钥管理。 l 、传输加密 传输加密是指对传输中的数据流加密，常用的方针有线路加密和端到端加 密。前者侧重在线路上而不考虑信源和信宿，是对保密信息通过各线路采用不同 的加密密钥提供安全保护。后者则是指信息由发送端自动加密，并进行t c p i p 数据包回封，然后作为不可阅读或不可识别的信息穿过互联网，当这些信息一旦 到达目的地，将被自动重组、解密，从而成为安全的可信任的信息。 2 、存储加密 存储加密是防止信息在存储环节丢失的一种加密技术，可分为密文存储和存 取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现； 后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或其它用户 越权存取数据。 3 、数据完整性鉴别技术 数据完整性鉴别技术是指对数据信息的传送、存取、处理的人的身份和相关 信息内容进行验证，达到保密的要求。一般包括口令、密钥、身份、数据等项的 鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数实现对数据 的安全保护。 4 、密钥管理 密钥管理是指包括对密钥的产生、存储、装入、分配、保护、丢失、销毁等 各环节上的保密措施。根据密码假设，一个密码系统的安全性取决于对密钥的保 护，而不是对系统或硬件本身的保护。即使在密码体制公开或密码设备丢失的情 况下，同一型号的密码机仍可继续使用。然而一旦密钥丢失或出错，不但合法用 户不能提取信息，而且可能会是非法用户窃取信息。密钥的保密和安全管理在数 据系统安全中是极为重要的。 数据加密是保护数据的最基本的方法，但是这种方法只能防止第三者获得真 实的数据，仅解决了安全问题的一个方面。 第四章w e b 安全问题研究 4 3 6 数据签名机制 数字签名就是信息发送者用其密钥( 也称私钥) 对从所传报文中提取出的特 征数据( 或称数字指纹) 进行加密，以保证发信人无法抵赖曾发过该信息( 即不 可抵赖性) ，同时也确保信息报文在经签名后未被篡改( 即完整性) 。当信息接收 者收到报文后，就可以用发送者的密钥( 也称公钥) 对数字签名进行验证。这样 能够保证签名者的签名只能唯一地从它自己产生，那么当收发双方发生争议的时 候( 如接收方收到了某条信息，发送方确否认曾经发出过此条信息) ，我们就能 够根据消息上的数字签名来裁定这条消息是否是由发送方发出的。 第五章单点登录方法研究 第五章单点登录方法研究 用户访问应用系统时首先要通过认证登录应用系统，这样如果一个用户需要 访问多个应用系统中的资源，就不得不按照各个应用系统得要求分别登录进入相 应的系统。这样造成的结果不但对于用户来说必须为每个应用系统设置登录凭 证，对于管理员来说也需要维护各个系统的用户信息库。不但增加了工作量而且 还存在一定的安全隐患。为此，在应用系统中采用单点登录( s i n g l es i g n - o n - - s s o ) ，即用户只需要登录一