Java 安全性专题，java安全性专题

Java 安全性专题，java安全性专题

http://www.ibm.com/developerworks/cn/java/j-security/#JAVAZ安16

从早期的 Java 沙箱到 JDK 1.4 引入的健壮的、全功能的安全体系结构，再到 J2EE Web 应用程序安全体系结构的引入，安全性一直是 Java 平台的基本组件。本专题汇集了与 Java 安全性主题相关的文章和教程，是您全面了解与掌握 Java 平台安全技术的最佳资源。

Java 安全性综述

Java 安全性的演变和理念：安全性的基本要点 
本文讨论了计算机安全和密码学的一般概念。

Java 安全的演进 
这篇论文提供了 Java 安全发展和演进的高级概述。

安全的代价是什么？ 
Java 的力量是不容置疑的，但安全问题也是开发者的关注焦点。本文将权衡其益处与随之而来的危险。

IBM 安全提供者：概述 
迄今为止，IBM 的 Java 平台开发工具箱的 1.4.2 版，为 Java 2 平台提供了来自 IBM 的最全面的安全性。其中包括一些特定于 IBM 的安全提供者，这些安全提供者包含一些新特性和很多增强功能。本文将介绍一些 IBM 安全提供者，评论它们的功能，阐明它们与 Sun 的提供者有何不同。

Java 加密技术

Java 安全性，第 1 部分：密码学基础 
Java 平台的基本语言和库扩展都提供了用于编写安全应用程序的极佳基础。本教程讨论了密码术基础知识与如何用 Java 编程语言实现密码术，并提供了样本代码来说明这些概念。

Java 上加密算法的实现用例 
通常，使用的加密算法比较简便高效，密钥简短，加解密速度快，破译极其困难。本文介绍了 MD5/SHA1，DSA，DESede/DES，Diffie-Hellman 的使用。

对 Atom 进行签名，加密和解密 
Atom 是一种用于传递信息的极好的格式，但是其安全性如何呢？XML 数字签名（XML Digital Signature）能确保数据来自于受信任方且未被修改，同时 XML 加密（XML Encryption）能保护敏感信息不被窥窃。这篇文章介绍了如何使用 Apache Abdera API 轻易地实现数字签名和加密与 Atom 的紧密结合。

Java 验证和授权

演示：JAAS 身份验证技术入门 
本次演示将帮助您学习 Java 验证与授权服务 (Java™ Authentication and Authorization Service, JAAS) 的工作原理及使用方法，并且用图示帮助您理解 JAAS 的验证过程。

Java 安全性， 第 2 部分：认证与授权 
在这个两部分的教程中，我们学习了 Java 平台的安全性特性。在这第 2 部分中，我们将详细讨论访问控制，在 Java 平台中由“Java 认证与授权服务（Java Authentication and Authorization Service (JAAS)”管理访问控制。

Java 授权内幕 
本文您将听 Java 架构师 Abhijit Belapurkar 讲解两种不同（但相关）的授权模型的详细的、幕后的介绍：以代码为中心的 Java 2 平台安全体系结构和以用户为中心的 Java 认证和授权服务。

扩展 JAAS 实现类实例级授权 
本文向您展示如何为企业扩展 JAAS 框架。向 JAAS 框架添加类实例级授权和特定关系使您能够构建更动态、更灵活并且伸缩性更好的企业应用程序。

J2EE 应用程序的授权概念和解决方案 
授权体系结构可能非常不合理，存在大量问题。在本文中，您将了解如何调整应用程序的开发工作，以有效地使用 IBM WebSphere Application Server 中的授权功能。

通过使用 JAAS 的登录接口来增强 Java GSSAPI 
本文以 Java GSSAPI Kerberos 机制为例讨论了 KerberosJAAS 登录模块，该模块为 Java GSSAPI 主体提供了一个登录 Kerberos系统的接口。还讨论了 Java GSSAPI 如何将 JAAS Subject用作一个凭证（包括服务器密钥）的中央资源库。

保护系统安全：一个识别用户的三向解决方案 
系统安全问题是由发现通讯连接另一端的用户身份开始的。本文讨论了三种常见的识别用户的方法，突出了它们的长处和短处（各自的及合并的），并分别提供了一些示例。

配置 Websphere Studio 以使用 Tivoli Access Manager 和 JAAS 
本文向您说明了如何设置 Websphere Studio 开发环境以使用 Access Manager 的 JASS 实现。这些说明对于任何 Java 运行时（如 Websphere Application Server）都是适用的。

Java 安全套接字通信

将 JSSE 用于安全套接字通信 
本教程说明了包括在 JDK 1.4 中的 Java 安全套接字扩展（Java Secure Socket Extension (JSSE)）包的使用。本教程为在客户机／服务器应用程序环境下创建和安装 JSSE 加密密钥提供了详细说明的指示。当完成本教程后，您会知道如何简便地将现有的客户机／服务器应用程序转换成使用加密，以及如何从头创建安全应用程序。

为高级 JSSE 开发人员定制 SSL 
在本篇有关该技术的高级研究中，Java 中间件开发人员 Ian Parkinson 深入研究了 JSSE API 较不为人知的方面，为您演示了如何围绕 SSL 的一些限制进行编程。您将学习如何动态地选择 KeyStore 和 TrustStore、放宽 JSSE 的密码匹配要求，以及构建您自己定制的 KeyManager 实现。

对等计算实践：P2P 遇上 SSL 保证对等机之间的通信安全 
对任何重要的 P2P 应用程序而言，对等机之间的安全通信都是一个核心要求。尽管安全的细节依赖于如何使用该应用程序和该应用程序将要保护什么，但通过使用现有技术，例如 SSL 实现强壮的、一般用途的安全通常是可能的。本月，Todd Sundsted 演示如何在 P2P 安全中使用 SSL（通过 JSSE）。

为测试 Java 应用程序生成证书链 
学习如何创建数字证书链以测试您的软件。本文通过展示如何使用可免费获得的 OpenSSL 工具箱创建任意长度的证书链，阐明了这个很少有文档说明的过程。他还描述了常见的证书属性，并展示了一些将证书读取到 Java keystore 中的示例 Java 代码。

Java 企业应用程序安全性

使用 Acegi 保护 Java 应用程序 
这个系列文章介绍了 Acegi 安全系统（Acegi Security System），它是用于 Java 企业应用程序的强大的开源安全框架。

• 第 1 部分：架构概览和安全过滤器
• 第 2 部分：使用 LDAP 目录服务器
• 第 3 部分：实现对 Java 对象的访问控制
• 第 4 部分：保护 JSF 应用程序
• 第 5 部分：保护 JSF 应用程序中的 JavaBean

J2EE 中的安全，第 1 部分：J2EE 安全介绍 
本文将介绍 J2EE 提供的安全服务。首先介绍 J2EE 中的安全概念和 J2EE 的安全体系架构，然后结合具体的实例向读者展示如何在自己的程序中应用 J2EE 提供的安全特性。

J2EE 中的安全，第 2 部分：J2EE 安全应用 
本文将通过具体的例子向读者展示如何在开发中应用 J2EE 提供的安全服务。本部分的重点在于应用与实践。

J2EE 探索者： 用 JAAS 和 JSSE 实现 Java 安全性 
在 J2EE 探索者 的这期文章中，介绍了 Java 认证和授权服务（Java Authentication and Authorization Service，JAAS）和 Java 安全套接字扩展（Java Secure Socket Extension，JSSE）。跟随作者去发现如何结合这两个 API 以提供 J2EE Web 应用程序安全框架的核心功能：认证、授权和传输层安全。

使用 Geronimo 构建安全的企业基础设施 
开发安全的 Java 2 Platform, Enterprise Edition (J2EE) 应用程序是任何规模的企业必须考虑的事项。在本文中，IBM Advanced Technology Solutions 团队提供了对 Apache Geronimo 应用服务器安全特性的彻底概述，并展示了如何使用这些特性来保护企业应用程序。

Geronimo 叛逆者: 安全和 Apache Geronimo 的未来 
对于 Apache Geronimo 这样提供全面服务的应用服务器来说，需要具有全面服务的安全实现，就是说仅仅支持 SSL 连接还不够。安全实现是指保证应用程序中发出的内部请求的安全。在本部分，David Jencks 将与 Geronimo 叛逆者专栏的主笔讨论关于 Geronimo 的安全实现的当前和未来的看法。

在 WebSphere Studio V5 中使用定制注册中心测试 J2EE 安全性应用程序 
随着利用 J2EE 安全性的应用程序越来越多要实现诸如定制菜单或个性化之类功能，拥有支持 J2EE 安全性的开发环境正变得日益重要。

无线 J2ME 的安全性

确保无线 J2ME 的安全 
本文讨论了基于 J2ME 的移动商业应用程序的一些安全性挑战和解决方案的当前成果。特别地，将集中讨论最常用但也最缺乏安全性的 J2ME 概要文件 ― MIDP 的应用程序开发的挑战。

加密移动应用中的数据 
本教程提供了如何在 Java 2 微型版（J2ME）应用程序（MIDlet）中对应用程序的相关数据进行加密的概述。

用 Kerberos 为 J2ME 应用程序上锁 
用户需要确保所使用的无线应用程序不会损害他们的敏感信息。其中一种方法就是使用行业标准协议如 Kerberos 来提供安全性。在本系列中，Faheem Khan 将创建一个示例 J2ME MIDlet，它使用 Kerberos 来保护财务数据。

• 第 1 部分：Kerberos 数据格式介绍
• 第 2 部分：生成一个 Kerberos 票据请求
• 第 3 部分：建立与电子银行的安全通信

保护 Java 源代码

运用加密技术保护 Java 源代码 
Java 程序的源代码很容易被别人偷看。只要有一个反编译器，任何人都可以分析别人的代码。本文讨论如何在不修改原有程序的情况下，通过加密技术保护源代码。

如何有效的保护 Java 程序 
目前关于 Java 程序的加密方式不外乎 Java 模糊处理（Obfuscator）和运用 ClassLoader 方法进行加密处理这两种方式（其他的方式亦有，但大多是这两种的延伸和变异）。这两种方式不管给 Java 反编译器造成多少困难， 毕竟还是有迹可寻，有机可乘的。本文介绍的方法是对 ClassLoader 方式加密处理的一种改进，使之达到传统二进制程序代码安全。

Web 安全性

恢复透明网络 
分布式应用程序得益于网络透明性。遗憾的是，许多常见的网络设备（如防火墙和 NAT 网关）破坏了网络透明性，通常是在对创新的分布式应用程序而言潜力最大的地方 ― 网络边缘造成了破坏。在本文中，经验丰富的 Java 程序员 Todd Sundsted 解释了这些设备是如何损害网络透明性的，然后为解决方案奠定了基础。

• 第 1 部分：网络设计中的趋势是如何破坏因特网的透明性的
• 第 2 部分：用于隐藏高级障碍的框架

跨站点脚本编制 － 使用定制标记库编码动态内容 
跨站点脚本编制可能是一个危险的安全性问题，在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中，Paul 描述了这种问题的本质、它是如何起作用的，并概述了一些推荐的修正策略。

通过利用 WebSphere Application Server 的 HttpSession 功能来保护 Java Servlet Web 应用程序的安全 
本文以一个自动测试应用程序为例，演示了如何在低于 J2EE 程序化安全性模型的粒度级别上通过利用 WebSphere Application Server 的 HttpSession 功能，来保护 Java Servlet Web 应用程序的安全。

使用 DB2 Express-C、Eclipse WTP 和 WebSphere Application Server Community Edition V1.1 设置 SQL 域 
本教程向您介绍如何使用免费的 Java Kick-start 包设置 SQL 域，以实现 Web 应用程序的数据库安全。

网格安全

在 Java 技术中使用 Globus 网格安全基础设施 
网格安全基础设施（Grid Security Infrastructure，GSI）使得计算机网络上的安全认证和通信成为可能。本文展示了如何用 Java CoG Kit 1.1 生成网格凭证。

用 Java Certificate Services 管理网格中的 X.509 证书 
您是否正在为管理开发网格中的用户证书或主机证书而努力呢？下面是一些好消息。一个非常受欢迎的作者 Vladimir Silva 创建了一套叫做 Java Certificate Services 的 Web 和命令行工具。您可以免费下载这套工具的源代码。他创建的这套工具有助于系统管理员完成管理开发网格中的用户证书和主机证书这项繁琐的工作。Java Certificate Services 特别用于与 Globus 和 Java GoG 工具包协同工作。本文的参考资料部分提供了这些工具的链接。