Java安全——提供者相关的体系架构

最新推荐文章于 2024-04-01 13:48:51 发布
最新推荐文章于 2024-04-01 13:48:51 发布
阅读量149 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/58697
版权

标签(空格分隔): Java 安全

[toc]

安全提供者

Java的安全软件特性,是通过安全软件包的概念透出的。换句话说,安全领域常见的鉴别、加密、签名等概念,在Java中的支持是通过安全软件包来实现的。Java对于安全软件包的定义其实是一组抽象接口。Sun作为Java的作者,提供了一组实现。而安全软件包是由安全提供者、算法和引擎组成的。引擎可以理解为一组操作,算法定义了操作如何执行,而安全提供者则负责实现这两个抽象概念。

比如说,消息摘要是一个引擎,它是程序员能执行的一个操作。消息摘要的思想与如何计算消息摘要没有关系,所有的消息摘要具备同样的特性,因此抽象出来的接口就是引擎。而实现消息摘要可以有MD5和SHA等算法,算法由具体类实现。而安全提供者就是二者的桥梁,用来管理引擎和算法。安全提供者的目的就是提供一个简单的机制,从而可以方便的改变或替换算法及其实现。因此,通过安全提供者,程序员只需要使用引擎的接口,而不需要关系具体哪个类实现了算法,算法由哪个安全提供者提供。

体系结构

Java安全软件包的体系结构可以总结为四个部分:

引擎

JVM提供引擎类,是Java核心API的一部分。

算法

针对每一种引擎,都会有一组算法实现。Java提供了一组默认的算法实现(由Sun提供),第三方的机构可以提供其他实现。

提供者

算法类是由提供者来管理的,提供者知道如何将算法与实现的具体类对应起来。

安全类

安全类保存提供者列表,可以通过安全类查看有哪些提供者,以及它们提供的算法支持有哪些。

安全提供者体系的一个流程如下:

业务类->引擎: 调用某个接口
引擎->安全类: 询问
安全类->提供者: 找到提供者
提供者->算法: 找到对应算法
算法->业务类:返回计算结果

以MessageDigest的getInstance()方法为例,发现其实是调用Security.getImpl()方法实现的,而内部又是通过

GetInstance.getInstance
                (type, getSpiClass(type), algorithm, params, provider).toArray();

这样的语句来做的。而这个GetInstance会返回一个Instance对象,其类声明如下:

public static final class Instance {
        public final Provider provider;
        public final Object impl;

        private Instance(Provider arg0, Object arg1) {
            this.provider = arg0;
            this.impl = arg1;
        }

        public Object[] toArray() {
            return new Object[] {this.impl, this.provider};
        }
    }

可见就是一个Provider和Object(具体算法)的封装。

提供者选择

JVM在启动时,会去$JREHOME/lib/security/java.security中注册提供者。以我个人电脑中的文件为例:

#
# List of providers and their preference orders (see above):
#
security.provider.1=sun.security.provider.Sun
security.provider.2=sun.security.rsa.SunRsaSign
security.provider.3=sun.security.ec.SunEC
security.provider.4=com.sun.net.ssl.internal.ssl.Provider
security.provider.5=com.sun.crypto.provider.SunJCE
security.provider.6=sun.security.jgss.SunProvider
security.provider.7=com.sun.security.sasl.Provider
security.provider.8=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.9=sun.security.smartcardio.SunPCSC
security.provider.10=apple.security.AppleProvider

JVM启动时会将这些provider注册进去,其实就是Security
初始化时会读这个文件。开发自定义的安全提供者,需要将类放到系统类路径下。其实看看Provider类的代码,就知道Provider本质上是一个Properties文件,里面的kv存储着引擎名和具体算法类的实现。

可以通过下面的程序示例查看具体的提供者引擎和算法:

package com.taobao.cd.security;

import java.security.Provider;
import java.security.Security;
import java.util.Enumeration;

public class ProviderTest {

    public static void main(String[] args) {
        // TODO Auto-generated method stub
        Provider[] providers = Security.getProviders();
        for (int i = 0; i < providers.length; i++) {
            System.out.println("" + (i + 1) + ":" + providers[i]);
            for (Enumeration e = providers[i].keys(); e.hasMoreElements();) {
                System.out.println("\t" + e.nextElement());
            }
        }
    }

}

其输出如下,(截取部分)

1:SUN version 1.8
    Alg.Alias.Signature.SHA1/DSA
    Alg.Alias.Signature.1.2.840.10040.4.3
    Alg.Alias.Signature.DSS
    SecureRandom.SHA1PRNG ImplementedIn
    KeyStore.JKS
    Alg.Alias.MessageDigest.SHA-1
    MessageDigest.SHA
    ...

引擎类的结构设计

值得一提的是引擎类的结构设计。如上所说,引擎类除了给业务开发人员提供接口,还有一个任务就是要为第三方提供者使用。引擎为提供者提供了一个接口——SPI(security provider interface)。

还是以MessageDigest为例(这是消息摘要引擎)。MessageDigest继承了MessageDigestSpi。MessageDigestSpi抽象类定义了消息摘要引擎要做的事情。MessageDigest内部持有一个Delegate委托类,MessageDigest的核心方法就是getInstance()获取类的实例,实现见下:

public static MessageDigest getInstance(String algorithm, String provider)
        throws NoSuchAlgorithmException, NoSuchProviderException
    {
        if (provider == null || provider.length() == 0)
            throw new IllegalArgumentException("missing provider");
        Object[] objs = Security.getImpl(algorithm, "MessageDigest", provider);
        if (objs[0] instanceof MessageDigest) {
            MessageDigest md = (MessageDigest)objs[0];
            md.provider = (Provider)objs[1];
            return md;
        } else {
            MessageDigest delegate =
                new Delegate((MessageDigestSpi)objs[0], algorithm);
            delegate.provider = (Provider)objs[1];
            return delegate;
        }
    }

通过Security.getImpl()反射获取到对应的provider和算法实现类,并通过类型判断和else委托逻辑保证返回一个MessageDigest实例。

再具体一点,以Sun security提供的MD5算法实现为例。虽然MD5并没有直接实现MessageDigestSpi,但MD5的父类DigestBase继承了MessageDigestSpi。所以实际上还是满足这个架构的设计。DigestBase做了消息摘要通用的实现,留了三个abstract接口:

 abstract void implCompress(byte[] arg0, int arg1);

    abstract void implDigest(byte[] arg0, int arg1);

    abstract void implReset();

这几个代码在MD5中具体实现:(截取部分)

void implDigest(byte[] arg0, int arg1) {
        long arg2 = this.bytesProcessed << 3;
        int arg4 = (int) this.bytesProcessed & 63;
        int arg5 = arg4 < 56 ? 56 - arg4 : 120 - arg4;
        this.engineUpdate(padding, 0, arg5);
        ByteArrayAccess.i2bLittle4((int) arg2, this.buffer, 56);
        ByteArrayAccess.i2bLittle4((int) (arg2 >>> 32), this.buffer, 60);
        this.implCompress(this.buffer, 0);
        ByteArrayAccess.i2bLittle(this.state, 0, arg0, arg1, 16);
    }

最后补充一个类图说明下类的结构:

%5bMessageDigestSpi%7bbg%3awheat%7d%5d%5

weixin_34408717
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java.securti_Conscrypt 是一个Java安全提供
weixin_31572189的博客
02-24 442
Conscrypt - A Java Security ProviderConscrypt is a Java Security Provider (JSP) that implements parts of the Java Cryptography Extension (JCE) and Java Secure Socket Extension (JSSE). It uses BoringSS...
九、安全提供体系结构
幽径之刃
05-25 474
java沙箱的实现,依赖于很多的技术,比如数字签名、加密解密、密钥库等等技术,这些技术不仅仅用于沙箱,也可以应用于网络信息的传输,信息的存储等等很多方面。因此我们有必要提出一整套技术标准——安全的技术标准,针对这些标准,ava用“安全提供者”来描述和实现,形成了安全提供体系结构。         安全提供者2个概念:引擎和算法 一、引擎        就是接口,或则说操作。如果加密
com.microsoft.sqlserver.jdbc.SQLServerException: 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“java
shersfy的专栏
09-06 2万+
九月 06, 2016 9:59:29 上午 com.microsoft.sqlserver.jdbc.TDSChannel enableSSL 信息: java.security path: C:\Program Files\Java\jdk1.8.0_101\jre\lib\security Security providers: [SUN version 1.8, SunRsaSign ver
jpa 连接sqlserver 发布tomcat报错 SunJSSE
正怒月神的博客
10-20 318
【代码】jpa 连接sqlserver 发布tomcat报错。
Java 2 平台安全技术——结构, API 设计和实现
11-13
Java 2平台安全技术是Java开发中的核心组成部分,它为应用程序提供了一套强大的安全机制,保护了系统的稳定性、用户数据的隐私以及网络资源的安全。在深入探讨这些技术之前,我们首先要理解Java安全模型的基础——...
java架构师零基础学习01-05天.rar
06-30
对于初学者而言,从零开始学习Java架构师的知识体系是一项挑战,但也是通往专业技能提升的必经之路。本压缩包文件“java架构师零基础学习01-05天.rar”提供了一个初步的学习路径,涵盖了Java编程的基础知识,旨在...
RoadMap —— Java后端开发技能路书.zip
03-03
4. **输入输出(I/O)与NIO**:Java I/O API用于处理文件、网络数据传输,而NIO(非阻塞I/O)提供了更高效的读写模型。理解流的概念,学会使用BufferedReader、FileWriter等,以及NIO中的Channel、Buffer和Selector...
SSM整合——基于 IDEA Maven项目的 Spring + SpringMVC + MyBatis MVC架构整合.zip
12-29
系统学习:按照资料提供的顺序进行系统学习,确保知识体系的完整性。 实践为王:在学习过程中注重实践操作,通过实际项目加深理解。 持续反馈与调整:根据学习进度和反馈,适时调整学习策略,提高学习效果。 五、...
JAVA初级教程——Web系统开发技术与方法
04-03
JAVA初级教程——Web系统开发技术与方法】涵盖了Web编程的多个核心领域,旨在帮助初学者建立起完整的Web系统开发知识体系。以下是对每个知识点的详细解释: 1. **Web编程基本知识**: - **HTML**是超文本标记...
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接
最新发布
Golemon的博客
04-01 481
【代码】驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。
Bouncy Castle 密码包的配置及使用详解
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
01-20 3万+
1、简述 BouncyCastle(轻量级密码术包)是一种用于 Java 平台的开放源码的轻量级密码术包;Bouncycstle 包含了大量的密码算法,其支持椭圆曲线密码算法,并提供JCE 1.2.1的实现。 2、为什么要使用BouncyCastle? 我们知道,Java标准库提供了一系列常用的哈希算法。但如果我们要用的某种算法,Java标准库没有提供怎么办? 方法一:自己写一个,难度很大; 方法二:找一个现成的第三方库,直接使用。 BouncyCastle就是一个提供了很多哈希算法和加密算法的
加解密遇到的JCE cannot authenticate the provider BC问题解决方案
热门推荐
留白
04-29 3万+
前言 相信搞过加解密的同学大部分都会遇到过这个问题——JCE cannot authenticate the provider BC 笔者最近在做一个亚马逊的项目需要进行GPG加解密,因为测试jar包是亚马逊提供的,jar是经过签名的,咱也不能修改,所以只能修改自己的JDK配置 分析 在解密时错误日志如下: Exception in thread "main" java.lang.IllegalArgumentException: Could not decrypt the provided file,
获取windows下执行文件签名和证书信息
weixin_34232617的博客
11-13 5216
获取证书信息验证文件数字签名是否有效可以使用函数 WinVerifyTrust,可以用:取得文件数字签名证书信息需要使用函数 CryptQueryObject,再用CertFindCertificateInStore获取证书Cert也可以通过,WTHelperProvDataFromStateData WTHelperGetProvSignerFromChain WTHelperGetProvCe...
Java安全——安全提供
Innocence_0的博客
02-24 1051
Java中,安全提供者(SecurityProvider)是一种实现了特定安全服务的软件模块。它提供了一系列的加密、解密、签名、验证和随机数生成等安全功能。安全提供者基础设施在Java中的作用是为开发人员提供一种扩展和替换标准安全功能的方式,以满足特定的安全需求。Java安全提供者基础设施是通过Java CryptographyArchitecture(JCA)实现的。JCA定义了一组API和框架,用于在Java平台上实现各种安全服务。
Java安全架构概览
哎呦哥哥的博客
01-30 1万+
介绍 Java平台在设计的时候就着重与安全方面,在Java核心设计中,Java语言本身就是类型安全的,并且提供了自动垃圾收集机制,用于增强代码的健壮性,类在加载时需要被验证,用于保证只有合法的Java代码会被执行。 初始的Java平台创建了一个安全的运行环境,用于执行那些可能不被信任的代码,例如从公共网络上下载下来的Java applets。随着平台的成长以及部署范围的扩展,Java安全体系
Security类中的getImpl()方法
u014682413的专栏
12-22 1134
Security类中的getImpl方法源码: Security.getImpl()方法返回的是一个对象数组。 数组的第一位是根据请求的算法以及类型对象的一个实例, 数组的第二位是对应算法提供者的唯一标识。其中provider的值可以为null类型,在这种情况下,将在provider配置文件中搜寻最优先的提供者。 以下是源码 /*      * Returns an array
后端研究-基于ARM的嵌入式Java虚拟机研究与实现.pdf
06-23
这篇文档为读者提供了一次全面的旅程,从理论到实践,从JVM的基础到Jikes RVM的实现,再到特定硬件架构的适配,为那些希望在嵌入式环境中高效运行Java程序的研究者和开发者提供了宝贵的参考资料。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值