基于J2EE的Java應(yīng)用程序安全.pdf

1、應(yīng)用程序安全是一個(gè)綜合性的課題，它需要在權(quán)衡各方面的因素之后，再作出安全策略。因此，在研究Java應(yīng)用程序安全時(shí)，首先分析了Java平臺(tái)自身的安全機(jī)制，包括它的安全策略、認(rèn)證和授權(quán)。并且還說(shuō)明了安全策略的具體實(shí)施辦法。其次，利用密碼學(xué)原理中的對(duì)稱加密、非對(duì)稱加密以及證書，結(jié)合Java中密碼學(xué)編程，從而實(shí)現(xiàn)客戶端和服務(wù)器端安全和可信的通信。最后，分析Java中的一些缺陷和不足，并提出相應(yīng)的改進(jìn)方法，如：對(duì)EJB攻擊與保護(hù)、Web容器的安全

2、以及發(fā)現(xiàn)和修復(fù)內(nèi)存泄漏等。 事實(shí)上，Java也成為開(kāi)發(fā)企業(yè)級(jí)應(yīng)用的最主要的語(yǔ)言。如何保護(hù)Java應(yīng)用程序的安全，也成為一個(gè)重要的課題。Java是一種安全的語(yǔ)言，因?yàn)樗钦Q生在網(wǎng)絡(luò)時(shí)代，它始終將安全性作為重要的設(shè)計(jì)部分，并且它吸收了信息安全領(lǐng)域幾十年來(lái)的研究成果。因此，我們應(yīng)該在充分了解Java安全機(jī)制的基礎(chǔ)上，盡可能地利用它的安全特性來(lái)保護(hù)我們的應(yīng)用程序。另一方面，Java還提供了完善的密碼學(xué)編程機(jī)制。通過(guò)利用Java的JSSE

3、提供的API，可以實(shí)現(xiàn)信息安全體系，從而保證應(yīng)用級(jí)的網(wǎng)絡(luò)安全。當(dāng)然，Java也存在一些不足，并不能滿足人們的所有安全要求。但是，我們可以通過(guò)結(jié)合Java的一些特性和相應(yīng)的解決措施，從而來(lái)彌補(bǔ)這些不足。 通過(guò)本文的分析，使我們不但從總體上對(duì)Java應(yīng)用程序的安全體系有比較清晰的認(rèn)識(shí)，而且對(duì)安全思想也有比較深入的分析和理解。而且我們還能夠深入到具體的細(xì)節(jié)(如：安全配置、安全部署及安全編程等)，時(shí)常從攻擊者的角度來(lái)思考問(wèn)題，從中總結(jié)出