企业级Java安全性 构建安全的J2EE应用2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

企业级Java安全性 构建安全的J2EE应用PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

目录3

第Ⅰ部分　企业安全与Java3

第1章　Java技术与安全概述3

1.1　为什么企业应用要采用Java技术3

1.1.1　Java 2平台标准版（Java 2 Platform Standard Edition,J2SE）4

1.1.2　Java 2平台企业版（Java 2 Platform Enterprise Edition,J2EE）4

1.1.3　Java组件4

1.1.4　完整的、发展的和可互操作的Java安全技术6

1.1.5　异类环境中的可移植性7

1.2　企业级Java技术8

1.2.1　中间层：Servlets、JSP和EJB9

1.2.2　组件软件：向正确方向迈出的一步11

1.2.3　企业内部的安全通信12

1.3　作为安全一部分的Java技术12

1.4　企业安全集成的概述13

1.4.1　身份认证与授权服务13

1.5　上市的时间14

1.5.1　对基本技术标准的支持14

1.4.3　防火墙14

1.4.2　密码服务14

1.5.2　不同环境中的工程软件15

1.5.3　时间是关键16

第2章　企业网络安全与Java技术17

2.1　网络体系结构17

2.1.1　两层体系结构17

2.1.2　三层体系结构18

2.2 网络安全21

2.3　服务器端的Java技术23

2.3.1　WAS组件24

2.3.2　WAS安全环境25

2.4　Java与防火墙26

2.4.1　TCP/IP报文27

2.4.2　通过防火墙的程序间通信28

2.4.3　防火墙对Java程序的影响32

2.5 小结37

第Ⅱ部分 Enterprise Java组件安全41

第3章　Enterprise Java安全基础41

3.1　企业系统41

3.2　J2EE应用42

3.2.1　EJB模块43

3.2.2　Web模块44

3.2.3　应用客户端模块44

3.3　ORB间的安全互操作44

3.4　连接器45

3.5　Java消息传送服务（JMS）45

3.6　一个简单的电子商务请求流程46

3.7　J2EE平台角色47

3.7.1　应用组件提供者48

3.7.2　应用组装者49

3.7.3　部署者50

3.7.4　系统管理员51

3.7.5　J2EE产品提供者52

3.8　J2EE安全角色53

3.9　声明性安全策略55

3.9.1　登录配置策略55

3.9.2　认证策略59

3.9.3　委托策略61

3.9.4　连接策略62

3.10　程序性安全64

3.10.1　获取身份信息65

3.10.2　预应授权66

3.10.3　对EIS的应用管理式登录67

3.11 WAS环境内部的安全通信68

3.12　安全电子商务请求流程70

第4章　Servlet和JSP安全72

4.1　介绍72

4.1.1　Java Servlet73

4.1.2　JSP技术74

4.2　Servlet的优点75

4.3　Servlet生命周期76

4.4　Web模块的部署描述符79

4.5　认证80

4.5.1　登录配置策略80

4.5.2　一次登录，资源尽享86

4.6　授权88

4.6.1　调用链88

4.6.2　保护指定的URL89

4.6.3　保护URL模式90

4.6.4　完全保护91

4.6.5　理解优先级规则92

4.6.6　数据约束——只能通过SSL传送93

4.7　主体委托94

4.8　程序性安全95

4.8.1　主体信息95

4.8.2　授权信息96

4.8.3　SSL属性信息：证书和密码组99

4.8.4　程序性的登录101

4.9　Web组件的运行时约束101

4.10　使用方式102

4.10.1　使用HTTPS连接到外部HTTP服务器103

4.10.2　安全地维持状态104

4.10.3　pre-servlet与post-servlet处理106

4.11　分割Web应用109

第5章　EJB安全111

5.1 引言111

5.2　EJB角色和安全112

5.2.1　EJB提供者113

5.2.2　应用组装者124

5.2.3　部署者128

5.2.4　系统管理员128

5.3　认证129

5.2.5　EJB容器提供者129

5.5　委托130

5.4　授权130

5.6　安全考虑事项131

第6章　Enterprise Java Security部署实例132

6.1　规划组件安全系统132

6.1.1　客户端访问133

6.1.2　表示层133

6.1.3　业务逻辑134

6.1.4　资源适配器和遗留应用134

6.2.1　入门级135

6.2　部署拓扑结构135

6.2.2　集群环境136

6.2.3　加另一个防御等级137

6.2.4　使用安全缓存反向代理服务器进行防御137

6.3　安全通信信道139

6.3.1　HTTP连接139

6.3.2　IOP连接139

6.3.3　JMS连接139

6.4　安全性考虑140

6.3.4　连接到非J2EE系统140

6.3.5　关于其他主题140

第Ⅲ部分　Java 2安全基础143

第7章　J2SE安全基本原理143

7.1　访问类、接口、域和方法144

7.2　类加载器145

7.2.1　类加载机制的安全责任145

7.2.2　被加载类的可靠性级别146

7.2.3　类加载过程150

7.2.4　构建定制的ClassLoader153

7.3　类文件验证器156

7.3.1　类文件验证器的责任158

7.3.2　类文件验证器的四个关口159

7.3.3　字节码验证器的详细细节162

7.3.4　类文件验证器的一个例子164

7.4　安全管理器166

7.4.1　安全管理器的职责166

7.4.2　安全管理器的操作168

7.4.3　攻击类型169

7.4.4　恶意代码170

7.4.5　安全管理器扩展172

7.5　三个Java安全支柱之间的互相依赖177

7.6　小结177

第8章　Java 2许可模型178

8.1　Java 2访问控制模型总览178

8.1.1　特权修改的词法范围179

8.1.2 Java 2安全工具180

8.1.3 JAAS181

8.2 Java许可181

8.2.3 Permission类中的implies（）方法182

8.2.2 PermissionCollection类和Permission类182

8.2.1 许可目标和操作182

8.2.4 PermissionCollection类和Permission类中的implies（）方法183

8.2.5 Permission隐式地等同于AllPermission183

8.3 Java安全策略184

8.3.1 联合多个签名者185

8.3.2 多个策略文件，一个激活的策略185

8.4 CodeSource的概念185

8.5 ProtectionDomaiin186

8.5.2 系统域和应用域187

8.5.3 Class、ProtectionDomain和Permission之间的关系187

8.5.1 在ProtectionDomain类中的implies（）方法187

8.6 基本的Java 2访问控制模型188

8.6.1 场景：当前线程的简单检测190

8.6.2 SecurityManager和AccessController192

8.7 Java 2特权代码193

8.7.1　构造特权代码的安全建议194

8.7.2　如何编写特权代码194

8.7.3　特权代码场景196

8.8　ProtectionDomain继承201

8.9.3　在第一个特权栈帧处停止验证202

8.10　小结202

8.9　Java 2访问控制模型中的性能问题202

8.9.2　在系统域之外过滤202

8.9.1　去除复制ProtectionDomain的操作202

第9章　Java认证与授权服务（JAS）203

9.1 JAAS概述和JAAS术语203

9.2　认证205

9.2.1　通过LoginModule实现可插的认证205

9.2.2 JAAS的LoginModule模块的示例208

9.3　授权概述224

9.3.1　基于J2SE保护域的授权概述225

9.3.2　向线程添加Subject226

9.3.3　安全授权策略文件230

9.3.4　基于Subject的授权算法示例233

9.3.5　对JAAS的其他观察243

9.4 JAAS与J2EE244

9.4.1　在不同JVM中执行的Web应用服务器245

9.4.2　J2EE环境中的JAAS Subject245

9.4.3　跨越鸿沟245

9.5　可插入认证的其他技术支持246

9.4.4　企业级安全策略管理246

第Ⅳ部分　企业级Java与密码学249

第10章　密码学理论249

10.1　密码学的目标249

10.2　秘密密钥密码学251

10.2.1　算法与技术251

10.2.2　秘密密钥安全属性257

10.3　公开密钥密码学260

10.3.1　算法与技术260

10.3.2　公开密钥安全属性265

10.3.3　数字签名267

10.3.4　数字证书268

10.3.5　秘密密钥分发270

第11章　Java 2平台与加密技术272

11.1 JCA和JCE框架272

11.1.1　术语和定义272

11.1.2　JCA和JCE工作原理273

11.1.3　JCA和JCE提供者275

11.1.4　引擎类和SPI类280

11.2.1　java.security.SecureRandom类282

11.2　JCAAPI282

11.2.2 java.security.Key接口283

11.2.3 java.security包的PublicKey接口和PrivateKey接口283

11.2.4 java.security.KeyFactory类283

11.2.5 java.security.KeyPair类283

11.2.6 java.security.KeyPairGenerator类283

11.2.7 java.security.KeyStore类284

11.2.8 java.security.MessageDigest类286

11.2.9 java.security.Signature类288

11.2.11 java.security.SignedObject类298

11.2.10 java.security包中的AlgorithmParameters和AlgorithmParameterGenerator类298

11.2.12 java.security.spec包299

11.2.13 java.security.cert包300

11.2.14 java.security.interfaces包300

11.3 JCE API300

11.3.1 java.x.crypto.Cipher类301

11.3.2 javax.crypto包的CipherInputStream类和CipherOutputStream类302

11.3.3 javax.crypto.SecreKey接口304

11.3.4 javax.crypto.spec.SecretKeySpec类304

11.3.7 javax.crypto.SealedObject类305

11.3.6 javax.crypto.SecretKeyFactory类305

11.3.5 javax.crypto.KeyGenerator类305

11.3.8 javax.crypto.KeyAgreement类306

11.3.9 javax.crypto.Mac类307

11.4 实践中的JCE308

11.4.1 Bob的程序308

11.4.2 Alice的程序310

11.5 安全考虑312

第12章 J2EE中的PKCS与S/MIME313

12.1 PKCS概述313

12.1.2 PKCS#5：基于密码的加密标准314

12.1.1 PKCS#1：RSA加密标准314

12.1.3 PKCS#7：加密消息语法标准315

12.1.4 PKCS#8：私有密钥信息语法标准315

12.1.5 PKCS#9：选择属性类型315

12.1.6 PKCS#10：证书申请语法标准315

12.1.7 PKCS#12：个人信息交换语法标准316

12.2 S/MIME概述317

12.3 PKCS和S/MIME的签名和验证事务317

12.3.1 有关PKCS#7标准的思考319

12.3.2 使用PKCS和S/MIME320

12.4 带PKCS和S/MIME的加密事务321

12.5 安全考虑321

12.6 展望未来322

第13章 J2EE环境下的SSL和TLS协议323

13.1 SSL和TLS协议323

13.1.1 record协议324

13.1.2 handshake（握手）协议324

13.3 通过SSL支持构建J2EE产品326

13.3.1　使用SSL保护认证期间的用户ID和密码326

13.2 HTTPS326

13.3.2　基于证书认证的SSL327

13.3.3　反向代理服务器和WAS的相互认证328

13.3.4　SSL中基于Cookie的单点登录328

13.3.5　基于证书认证的单点登录329

13.3.6　SSL保护通信信道329

13.4　在J2EE程序中使用SSL329

13.4.1　JSSE329

13.4.2　信任管理员330

13.4.3　信任库330

13.5.1　无SSL的基本场景331

13.5　示例331

13.5.2　带SSL的场景337

13.6　小结361

第Ⅴ部分　高级专题365

第14章　Web服务的企业级安全365

14.1　XML365

14.2　SOAP366

14.3 WSDL367

14.4　Web服务的安全：动机367

14.5　安全技术368

14.5.1　XML与加密技术369

14.5.2　WS-Security371

14.6　Web服务安全模型的原则371

14.6.1　Web服务消息安全374

14.6.2　WS-Policy375

14.6.3 WS-Trust376

14.6.4 WS-SecureConversation376

14.6.5 WS-Privacy377

14.6.6 WS-Federation377

14.6.7 WS-Authorization377

14.6.8 示例377

14.7 应用模式378

14.8 使用场景379

14.9 Web服务提供者安全380

14.9.1 用户认证380

14.9.2 强制授权382

14.10 安全考虑383

14.11 前景383

第15章 对容器提供者的安全考虑385

15.1 理解环境385

15.2 认证386

15.2.3 用户信息387

15.2.1 认证机制387

15.2.2 使用JAAS LoginModule387

15.2.4　单点登录388

15.3　授权388

15.4　安全通信390

15.4.1　使用JSSE390

15.4.2　客户证书390

15.5　安全相关391

15.6　访问系统资源392

15.7　在连接器边界匹配身份393

第16章　后记395

第Ⅵ部分　附录399

附录A　分布式对象体系结构的安全399

A.1 RMI399

A.2　存根和框架400

A.3　RMI注册401

A.4　RMI的安全401

附录B　X.509数字证书403

附录C　中英文对照缩略词表404

附录D　参考文献413