Java高级——安全

最新推荐文章于 2023-03-24 11:05:47 发布
最新推荐文章于 2023-03-24 11:05:47 发布
阅读量270 收藏
点赞数
文章标签: java jvm 开发语言 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27368373/article/details/128762074
版权

Java技术的设计人员在一开始就关注到了关于语言的安全问题。相较于其他语言,Java的安全机制是该语言不可分割的一部分,是提前被想到并且实现的。Java语言提供了以下三种确保安全的机制:

  1. 语言设计特性(数组边界,类型转换,空指针)

  1. 访问控制机制(控制代码能够执行的操作,访问文件等等)

  1. 代码签名(认证该代码来自哪里)

下面我们首先了解类加载器和类加载机制,类加载器可以在类加载到虚拟机时检测其是否被损坏。Java语言为了获取最大的安全控制,通常无论是普通的类加载器或者是自定义的类加载器,都需要与安全管理器类协同工作。

类加载器与加载过程

我们编写的Java文件一开始都是.class类型的,当该文件被编译后(被一个程序解释)成为Java文件,在JVM虚拟机上运行。虚拟机只会加载程序执行时所需要的类文件。例如一个test.class文件,首先从磁盘开始读取,如果该文件中还是用了其他的父类或者调用了更多的类,则加载其他类的文件(该过程被称为类的解析)。接着,虚拟机优先执行main方法(main为静态方法),如果main方法中还在调用其他类,则接下来就去加载这些类。

以上这些操作,并不只是单个类加载器就能完成的,每个Java程序至少拥有三个类加载器:

  • 引导类加载器:负责加载系统类,通常在jar文件中进行加载,是虚拟机不可分割的一部分,并且通常使用c语言进行实现,引导类加载器没有其对应的classLoader对象

  • 扩展类加载器:用于从jar/lib/ext 目录加载文件

  • 系统类加载器(应用类加载器):用于加载应用类,在由classpath环境变量或者-classpath命令行选项设置的类路径中的目录里或者是JAR/ZIP文件中查找这个类

这些类加载器存在一种父子关系,除了引导类加载器,每个类加载器都有一个父类加载器,那两个类加载器会在加载一个类前,先给其父类加载器一个机会,只有父类加载器无法加载时,会交给类加载器。

数字签名

在此之前我们先要对applet有一个大致的了解。applet是Java语言编写的小应用程序,该程序可以包含在HTML页面中。applet在Java平台上开始逐渐流行,人们逐渐开始意识到,要使applet开始流行并且变得非常有用,用户必须根据其来源分配不同的安全级别,如果applet来自值得信赖的提供商并且没有在传播途中被篡改,那么用户就可以去考虑是否给予此程序更多的权限。在过去的几十年中,已经出现不少成熟的算法来确保数据和电子签名的完整性,在java.security包中包含了许多这类算法的实现。

消息摘要是数据块的数字指纹,所谓数字指纹,就是对于文件通过算法生成的特定密码,不论文件的大小,都可以被压缩至160(20字节)位的序列。常见的有SHA1,MD5等加密算法。可生成的密码数量巨大,无需担心不同的文件最终生成相同的指纹(生成相同指纹的概率相当于认识的六个人同时掉进坑里)。我们可以通过MessageDigest对象来获取到加密算法,对数组文件进行加密,并且加密结果以字节数组的形式进行返回

/**
 * @author Anderson
 * 对加密算法进行测试
 */
public class SecurityTest {
    public static void main(String[] args) throws NoSuchAlgorithmException {
        byte[] bytes={'H','E','L','L','O','!'};
        MessageDigest digest=MessageDigest.getInstance("SHA-256");获取计算SHA-256指纹的对象
        digest.update(bytes);//更新数组
        byte[] hash=digest.digest();//按照指纹算法补齐输入,并进行相应的计算
        for(byte b:hash){
            System.out.println(b);
        }
    }
}

可是,即使可以做到不会出现相同的指纹,对于文件进行篡改,依然可以在篡改后生成新的指纹,然后将被篡改的文件和相应的指纹发送出去,接收者依然无法判定该文件是否被恶意篡改。为此,数字签名很好的解决了这个问题。在了解数字签名工作原理之前,我们需要了解一下公共密钥加密技术,他是基于公共密钥和私有密钥两个基本概念产生,我们需要做到保护好自己的私有密钥而可以将公共密钥交给任何人。两个密钥之间存在某种数学关系,但是却无法被攻破。这样就可以变成:A发送给B文件,A在文件上使用私有密钥进行了签名,B获取了A的公有密钥,使用其对签名进行校验,最终可以确定

  1. 原始消息没有被篡改

  1. 该消息是A发送而来

前提是私有密钥没有被泄露

但是认证问题又出现了,假如一个声称自己是A的人给B发送了附带公共密钥的软件希望你下载运行。这时仍然要小心,因为你完全不知道A是否是本人,陌生人依然可以生成私有密钥和公有密钥并且对文件进行签名。解决此问题最简单的办法就是找到一个双方都认可的中间人。(最著名的中间人为VeriSign公司)

但是事实上,你也不应该对于中间人保有太大的期望,毕竟VeriSign公司的CEO不会去会见自己的每一位顾客,有些证明完全可以花点钱在该公司的网站上进行获得。申请者依然可以随便填写。因此,当你收到一份经过验证的消息时,重要是要明白它实际上认证了什么。

Andir_class
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java安全
08-04
NULL 博文链接:https://jarip.iteye.com/blog/2020328
【转】InfoQ的Java安全认证机制
weixin_34270606的博客
05-31 103
原文链接:http://www.infoq.com/cn/articles/cf-java-securityJackrabbit的安全认证机制完全遵循了Java的安装机制,所以这里将其列入JCR内容管理范围。 安全性是Java应用程序的非功能性需求的重要组成部分,如同其它的非功能性需求一样,安全性很容易被开发人员所忽略。当然,对于Java EE的开发人员来说,安全性的话题可能没那么陌生...
Java安全概述
David.turing's Security Blog
09-21 166
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Java安全体系,博大精深,这个体系按照Sun的Java安全白皮书,基本上可以分为5个部分:1. Java平台Java语言本身嵌入了安全特性,其中包括编译器<sp lang="EN-US" an="">/JVM对强数据类型的支持,自动的内存管理,字节代码的验证机制以及独特的安全类加载方式,这些...
JAVA安全机制
一个2年工作经验的程序测试员
06-27 130
语言安全: 无指针地址操作,空指针检查,数组越界检查,类型转换检查,使得保证程序运行在jvm沙箱中,不会破坏其它区域的内存。 代码的安全java文件编译后得到的class文件,jvm的classloader加载class文件中的bytecode时,会做一系列的检查 代码的合法性: jar包中包含整个java文件的签名,使用证书签署中心签署的合法私钥进行加密。使用公钥进行解密,验...
JavaWeb 项目安全问题及其解决方案
sudo_Shutdown的专栏
08-01 7491
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的
黑马程序员入学Java知识——精华总结.doc
05-09
Java是SUN(Stanford University Network,斯坦福大学网络公司)1995年推出的一门高级语言。是一种面向Internet的编程语言。 随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。是简单易学,完全...
SSM实战项目——Java高并发秒杀API,详细流程+学习笔记.zip
12-29
进阶技术与案例分析:针对进阶开发者,提供深入的技术探讨和案例分析,助您深入理解SSM的高级特性。 实战项目与经验分享:通过实际项目实战,让您在实践中掌握SSM的运用,同时分享经验与心得,让您少走弯路。 三、...
基于JAVA安全电子商务(论文)
02-22
第一种类型是企业与消费者之间的电子商务,即B2C电子商务,它类似于联机服务中进行的商品买卖,是利用计算机网络使销费者直接参与经济活动的高级形式。这种形式基本等同于电子化的零售,它随着万维网的出现迅速的...
SSM整合项目——学生管理系统.zip
最新发布
12-29
进阶技术与案例分析:针对进阶开发者,提供深入的技术探讨和案例分析,助您深入理解SSM的高级特性。 实战项目与经验分享:通过实际项目实战,让您在实践中掌握SSM的运用,同时分享经验与心得,让您少走弯路。 三、...
Java安全
weixin_46894136的博客
03-24 438
由于指针可进行移动运算,指针可随便指向一个内存区域,而不管这个区域是否可用,这样做是危险的,因为原来这个内存地址可能存储着重要数据或者是其他程序运行所占用的,并且使用指针也容易数组越界。垃圾回收机制:不需要程序员直接控制内存回收,由垃圾回收器在后台自动回收不再使用的内存。避免程序错误回收程序核心类库的内存,导致系统崩溃。异常处理机制:Java异常机制主要依赖于try、catch、finally、throw、throws五个关键字。Java在字节码的传输过程中使用了公开密钥加密机制(PKC)。
java安全(一)
enhengzZ的博客
01-22 1836
命令执行 从上往下依次是: 单独的进程中执行指定的字符串命令 单独的进程中执行指定的命令并传入变量 在指定环境的独立进程执行命令和传入变量 在指定环境和工作目录的独立进程执行中执行命令 在指定环境和工作目录的独立进程执行中执行命令和传入变量 有回显的命令 import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; public
JAVA安全知识
iceyung的专栏
11-21 606
Java安全知识汇总:对称加密 引用转载请注明出处,Thanks!BASE64加密 DES加密 一、BASE64加密简介:Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性,需要解码后才能阅读。[2] 使
java 安全了解
niu0147的专栏
09-23 1277
基本的安全知识概念: 基本的安全知识概念: 提到java安全,有一个重要的体系叫JCA,java cryptography architecture (java的加密技术架构),包括加密,摘要,签名等等。 还有一种叫JSSE,java secure socket extension ,(java安全的socket扩展技术) .下面是基本概念的说明。 JCA部分:
java 安全
u012449548的博客
10-23 91
一、三种确保安全的机制: 1、语言设计特性 2、访问控制机制 3、代码签名 二、类加载器 1、引导类加载器 2、扩展类加载器 3、系统类加载器 解析:加载某个类所依赖的所有类的过程称为类的解析 自定义类加载器:继承自ClassLoader,实现findClass()方法 字节码校验:校验器负责检查那些指令无法执行的明显有破坏作用的操作,例如:                 ...
JAVA安全
转错的弯,走错的路
12-26 446
1.跨站脚本攻击XSS 2.跨站请求伪造CSRF 3.XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题
Java安全
我叫王哈哈
03-11 199
引用块内容 概念 加密 加密的过程是把原始数据(明文)转换成第三方无法识别的内容(密文) 加密的目的是保证数据被窃取之后,数据中所包含的信息仍然不会泄露。 解密 解密的过程则是把密文重新转换成明文 加密算法 对称加密算法 使用同一个密钥进行加密和解密 例子: import java.nio.file.Files; import java.nio...
java缓存使用场景_Java高级——缓存的使用场景
05-30
Java缓存可以用于以下场景: 1. 数据库缓存:在应用程序访问数据库时,使用缓存来存储数据库查询结果,减少数据库查询次数,提高应用程序的性能。 2. Web页面缓存:在Web应用程序中,使用缓存来存储页面数据,减少页面生成的时间,提高应用程序的响应速度。 3. 对象缓存:在应用程序中使用缓存来存储对象,减少对象的创建和销毁次数,提高应用程序的性能。 4. 文件缓存:在应用程序中使用缓存来存储文件,减少文件的读取次数,提高应用程序的性能。 5. 会话缓存:在Web应用程序中,使用缓存来存储用户会话数据,减少数据库查询次数,提高应用程序的性能。 6. 静态资源缓存:在Web应用程序中,使用缓存来缓存静态资源,如图片、CSS、JavaScript等,减少对服务器的请求次数,提高应用程序的性能。 7. 分布式缓存:在分布式系统中,使用缓存来存储共享数据,减少网络传输和数据库查询次数,提高应用程序的性能。 总之,缓存可以用于任何需要频繁访问和计算的场景,通过缓存可以减少计算和访问时间,提高应用程序的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值