基于J2EE的WEB安全研究.pdf

1、J2EE(Java2PlatformEnerpriseEdition，J2EE)是一種利用Java2平臺(tái)來簡(jiǎn)化企業(yè)解決方案的開發(fā)、部署和管理等相關(guān)復(fù)雜問題的體系結(jié)構(gòu)。J2EE規(guī)范的重要特點(diǎn)在于集成性和平臺(tái)無關(guān)性。通過提供統(tǒng)一的開發(fā)平臺(tái)，J2EE降低了開發(fā)多層應(yīng)用的費(fèi)用和復(fù)雜性，同時(shí)提供對(duì)現(xiàn)有應(yīng)用程序集成強(qiáng)有力的支持。其最終的目的就是集成在服務(wù)器端開發(fā)中需要使用的所有成熟技術(shù)、產(chǎn)品和解決方案，提供標(biāo)準(zhǔn)的服務(wù)接口以及高的可擴(kuò)展性，縮短開發(fā)周

2、期，節(jié)約成本。J2EE的優(yōu)點(diǎn)使得其在企業(yè)級(jí)開發(fā)中獲得了廣泛的應(yīng)用，同時(shí)也使得J2EE的安全問題變得重要起來，尤其在金融、電子政務(wù)等對(duì)安全要求較高的行業(yè)和部門更是如此。 本文從理論上系統(tǒng)和深入地研究了J2EE及其安全技術(shù)。以安全基礎(chǔ)——密碼學(xué)作為切入點(diǎn)，闡明了要解決數(shù)據(jù)及其傳輸?shù)陌踩?，所需要具備的要素：機(jī)密性、完整性、真實(shí)性和抗否認(rèn)性，并清晰的闡明了密碼學(xué)所能解決的問題。 J2EE的基礎(chǔ)為Java2標(biāo)準(zhǔn)平臺(tái)，J2EE的安全

3、與Java密切相關(guān)。Java語言誕生之初就詳細(xì)的考慮了安全方面的問題，因此本身對(duì)安全應(yīng)用的支持程度非常高。作者詳細(xì)的研究了Java2的安全體系結(jié)構(gòu)，尤其是在數(shù)據(jù)加密、認(rèn)證與授權(quán)等方面的安全應(yīng)用。 J2EE安全是本文研究的重點(diǎn)和主題，所有的研究都是以此為中心來展開的。J2EE繼承了Java2平臺(tái)的安全機(jī)制，同時(shí)也有其自身的特點(diǎn)。文中對(duì)J2EE各組件的安全進(jìn)行了詳細(xì)的討論，包括JSP、Servlet、EJB、JDBC、RMI等等；從

4、組件本身到組件之間的安全通信進(jìn)行了深入的研究。一個(gè)分布式系統(tǒng)自然要涉及到數(shù)據(jù)的傳輸和保存，作者研究了Java的分布式技術(shù)RMI，并對(duì)數(shù)據(jù)傳輸協(xié)議SSL進(jìn)行了分析和探討，并以SSL協(xié)議為基礎(chǔ)，采用代理的思想，設(shè)計(jì)了一個(gè)安全的驅(qū)動(dòng)程序以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的安全調(diào)用。此外數(shù)據(jù)庫(kù)中的信息如何通過加密來實(shí)現(xiàn)安全保護(hù)在本文中也有具體的介紹和實(shí)現(xiàn)。 本文最后綜合應(yīng)用以上所介紹的解決方案，實(shí)現(xiàn)了一個(gè)安全的企業(yè)級(jí)應(yīng)用軟件——在線銀行。該軟件實(shí)現(xiàn)了數(shù)據(jù)的存