关于Java Web应用程序安全技术研究
2017-03-06钟明
钟明
摘要:随着现代技术的不断发展,我国的网络技术和信息技术得到了飞速的发展,在计算机领域当中,Java Web技术得到了广泛的应用,对于现代生活当中的网络技术提供了相当便捷的服务。值得注意的是,应用程序当中的安全问题也已经成为了相当严峻的问题。在本文当中首先对Java Web应用技术所面临的安全威胁进行了概述;其次,对Java的安全体系结构和安全策略进行了分析;最后针对Web安全研究进行了分析。
关键词:Java Web;应用程序;安全技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)30-0265-03
随着现代化的网络技术和信息技术的不断发展,在人们的生活当中网络已经得到了相当广泛的应用。很多现代化的网上业务已经出现了人们的生活当中,比如电子商务、电子政务、数字化图书馆、远程教育以及网上休闲娱乐功能等活动。在网络发展过程当中Web应用系统是在网络发展过程当中发展最快的。在现代化的各种政府部门或者企业当中,Web技术已经得到相当广泛的应用,因此Web系统发挥着重要的作用。值得注意的是,在网络世界当中,对其中的管束和约束也是相当大的,已经成为了网络发展的重要障碍和威胁,从而需要对其Java Web的应用安全技术进行全方位的保障,从而推动其健康的发展。
1 Java Web应用技术所面临的安全威胁
Web应用程序主要是在Web开发程序的基础之上进行开发的,需要利用服务器和客户端这两个基本的组件来进行维护和开发,从而可以使得对浏览器端所发出的请求进行获取,将起发送到服务器的部分进行数据的相应和一系列请求操作。在服务器端和客户端的通信协议都主要是以HTTP为基础出发点的,并且根据其中的安全级别来对通信过程当中的信息和数据进行机密性的保护和完整性的保证,一般在加密協议上都采用SSL/TLS协议来进行保障。在网络当中存在的不安全因素是相当多的,因此在对Web应用程序进行开发的时候,就对设计人员和开发人员提出了更多更高的要求。在因素当中,主要包括三个方面的不安全因素,首先是来自于客户端的安全威胁,主要是由于浏览器本身当中的缺陷而对其中的代码造成了执行方面的安全漏洞;其次是服务器端造成的安全威胁,其中主要是Web应用程序当中的服务器端的代码在进行隐藏的时候其中产生的缺陷就会造成安全方面的威胁,从而对其运行支撑环境造成相当不利的影响,比如SQL注入漏洞以及操作系统漏洞等威胁;最后在整体的信息通信过程当中还存在着一定程度的威胁,对信息的窃听以及数据方面的修改会产生不利的影响,从而对Web应用程序当中的通信数据产生机密性和完整性的缺陷。
2 Java的安全体系结构和安全策略
2.1 Java的安全体系结构
在Java的安全体系结构当中,是建立在安全沙箱的基础概念之上的,对模型区分了本地代码和利用网络加载的远程代码。在本地代码当中是可以信任的,并且可以对本地的资源进行访问。在Java设计当中,对安全体系结构进行了增加,需要建立在保护域的概念之上,从而可以为其提供很大程度的安全控制。
在保护域方面,主要对应用安全和系统安全进行了区分,其中最核心的概念就是保护域,可以对操作环境当中需要保护的部分进行指出,以此来对组件进行分组或者对被保护资源进行分组。在保护域当中,需要将具有相同权限的类进行归类,从而度保护域进行了定义。如图1所示:
在Java类的加载安全机制当中,需要对基本类的记载其进行引入,从而对加载器之间的关系问题进行有效解决,在这过程当中Java程序当中所需要的初始类是需要进行加载的,并且对其他类的加载器,需要进行起动才能对其进行加载,如图2所示。
在Java权限方面,是利用一个固定的类来进行表示的,为Permission,在Java当中提供了一些子类来表示具体系统的权限,并且对其子类也建立了相对应的应用程序权限,利用此种方式来实现了对Java当中安全策略的相关定义。
2.2 Java的安全策略
在Java的安全策略当中,最重要的是可以根据一个应用程序当中的不同来对其创建出不同的安全策略文件,从而对其中的保护域内容进行不断的提升和改进,但是对应用程度当中的代码却不会进行任何改动和变动。在安全策略文件当中,需要对应用程序当中的策略条目进行定义,并且根据文件当中的条目找到相对应的安全策略文件。
首先在安全属性文件方面,需要对三种类型的安全策略文件进行配置,分别是系统安全策略文件、放在用户根目录之下的用户策略文件以及应用程序加载的应用安全策略文件,利用对其系统属性的设定,可以将现有的安全策略文件进行代替。同时,还有一种情况就是可以允许任何程序的人对Java现有的安全策略文件进行改变,在这个过程当中就会出现一系列的安全问题,在发生此种情况的时候需要利用Java命令来对其系统属性进行设置。
在Java的安全策略文件方面,是包含着一系列的条目的,可以对其进行授权,但是在这个过程当中,需要进行钥箱的明确,从而利用数字前面来对相关证书和密钥进行查找。
3 Web安全研究
在对JavaWeb应用程序的相关安全技术进行研究的时候,可以从客户端、服务器端以及整体的通讯过程当中产生的安全威胁进行研究,可以分为以下几个方面来进行分析:
1) 如果Web应用程序在程序级别和代码级别进行安全防范的过程当中,需要对应用程序的编写和安全级别进行不断的提升,需要对开发环境以及目标程序的安全性和运行稳定性进行充分的了解;其次还应该对黑客常用的技术进行了解,包括黑客的心理、类型、目标以及技术等相关的内容。从各个角度来对Web程序的防御性能进行编写。
2) 还可以利用多种方式来作为用户的身份认证方式,比如数字证书等,对服务证书和客户端证书之间实现相互的连接,从而对其SSL实现双向认证的方式,最终实现数据的安全传送。
