子域 可以继承域的权限 并进一步限制有哪些权限可以应用到它们之上
域可以结盟以相互授权
安全域有时也被称为安全策略域（ ，或） 与之相对的是安全技术域（ ） 一个安全技术域是指使用相同安全机制（例如）的域 一个安全技术域可能包含多个安全策略域
软件构件与中间件技术
安全服务 21/69
访问控制 访问控制是安全技术的核心技术 访问控制的形式包括： 随意访问控制
软件构件与中间件技术
、安全服务模型
构件
安全服务 34/69
构件容器
平台安全管理器 安全服务
安全管理器
核心安全 加密 认证 授权 审计 …..
构件与构件容器的接口 平台安全管理器向构件容器与构件提供的接口 安全管理器向构件容器与构件提供的接口 安全平台管理器向服务提供商要求的接口 安全管理器向服务提供商要求的接口
如果没有安全视图，部署者将不得不了 解业务方法的内容才能部署相关的安全 策略
而业务方法的细节不是部署者应该可以 了解的
工作包括
软件构件与中间件技术
安全服务 47/69
安全视图由一组安全角色组成 安全角色（ ）
软件构件与中间件技术
安全服务 1/69
第九讲
安 全服务
软件构件与中间件技术
安全服务 2/69
内容
一、动因 二、安全技术与安全体系 三、 的安全体系 四、的安全服务
软件构件与中间件技术
一、动因
安全服务 3/69
合作的前提之一
数据的存储、加工、传送过程中

行保护
皆需要进



安全是一个涉及系统多个功能的
安全服务 25/69
软件构件与中间件技术
、 安全体系总体结构
安全服务 26/69
认证与授权服务 （）
安全套接字扩展 （）
加密扩展 （）
平台
核心 安全体系结构
加密体系结构 （）
软件构件与中间件技术
核心安全体系结构
类加载器 运行时引擎
应用程序 字节码校验器 安全管理器 访问控制器
平台类
操作系统与资源
在部署信息中的格式为
<>

<> … <>

<> … <>
<>
软件构件与中间件技术
安全服务 45/69
<> <> <><> ... <> <>
<> <> <> <>
’
.
软件构件与中间件技术
应用组装者的安全责任
安全服务 46/69
定义安全视图( ) 包含在文件中
简化部署者的工作
软件构件与中间件技术
、安全服务接口
最主要的接口包括：
安全服务 35/69
软件构件与中间件技术
、安全责任
构件生产者 应用组装者 部署者 容器厂商 系统管理员
安全服务 36/69
软件构件与中间件技术
构件生产者的安全责任
安全服务 37/69
调用其它
体系没有为构件生产者提供编程接口控制调用 者的主体()

非功能性需求
软件构件与中间件技术
分布式系统的安全隐患
安全服务 4/69
分布式软件系统中客户与服务器之间存在 大量的消息交互
网络基本设施安全吗？ 硬件 软件 客户身份属实吗？ 客户对欲进行的操作有权限吗？
软件构件与中间件技术
安全服务 5/69
不安全的后果
机密数据可能被窃取 公司规划 标书 员工薪资 健康数据 财产数据 数据可能被篡改 财务数据 测试结果 最终导致： 计算机信任度受损: 无法继续使用计算机系
基于主体（或者主体组、角色）的访问即是随意访问控制 通常采用一个访问控制表（ ）来控制主体对资源的访问 中包含主体的名字（或者组名字、角色名字等）列表
以及可以作用于各种资源的操作 强制性访问控制
强制访问控制技术的基础是对主体进行分级别 即为每个主体关联一个信任级别
例如绝密、机密、秘密、一般等等 一般较高级别的主体拥有较高的可信度 资源关联了一个级别指定访问该资源的主体所需要的最低级 如果主体的级别高于或者等于资源的级别
利用什么信息？ 你所拥有的（ ） 例如：基于物理卡的认证 你所知道的（ ）认证 例如：基于口令的认证、基于证书的认证 你是谁（ ）的认证 例如：基于生物特征的认证 等
软件构件与中间件技术
安全服务 18/69
主体（） 标识用户身份 可以看成在安全领域中用户的名字
证书（）
除身份标识以外的与用户相关的安全属 性
以避免数据接收者或者发送者 抵赖所进行的行为
软件构件与中间件技术
安全管理 （）
提供诸如安全策略一类的安全信息
安全服务 24/69
总之 计算机安全是一个长久性的问题 重要程度高 实现难度大
软件构件与中间件技术
三、安全体系
、 安全体系总体结构 、核心安全体系结构 、加密体系结构 、 加密技术扩展 、 安全套接字扩展 、 认证与授权服务
例子：
{ ; (...) {
... (); ("");
() . (, );
(); ();
(); (...); ... } }
安全服务 41/69
软件构件与中间件技术
安全服务 42/69
()
检查当前调用者是否具有指定的安全角色 安全角色由组装者在部署信息中定义 并被部署者分配给不同的主体（组） 用以实现基于角色作用于请求的安全检查
在不同互相调用过程中传递的主体由部署者或 系统管理员以特定于容器的途径建立
构件生产者和组装者只能在部署信息中描述相 关的需求
访问资源
软件构件与中间件技术
安全服务 38/69
构件生产者的安全责任（续）
访问底层操作系统的资源 体系没有定义访问资源的主体 不能访问资源 体系假设应用仅使用如数据库之类的资
提供了提供商框架和加密技术操作 ：一组证书管理类和接口 ：一组接口
用于封装和管理和公开密钥和私有密钥 ：一组类与接口
用于介绍公开密钥算法、私有密钥算法和参数规范
软件构件与中间件技术
安全服务 29/69
加密技术扩展
加密技术扩展（）在的基础上作了扩展 包括加密算法、密钥交换、密钥产生和消息鉴别服务等接口 主要用于数据的保密性，较多地依赖于对称密钥体系 连接应用和实际算法实现程序的一组接口。 软件开发商根据接口，将各种算法实现后 打包成一个，可以动态地加到运行环境中
上下文信息 在中定义了两个方法
();
( ); 如果调用请求中没有客户的安全上下文，则产
软件构件与中间件技术
安全服务 40/69
()
返回当前调用者的主体
的接口定义
( )； 比较主体代表的对象是否与指定对
象相同；
() 返回主体的名字；
() 返回主体的.
软件构件与中间件技术
软件构件与中间件技术
安全服务 31/69
认证与授权服务
认证与授权服务提供了一种基于客户身份的控制机制
核心安全体系结构中的安全策略主要针对代码的特性
这是一种代码中心型的访问控制
更常见的是用户中心型的访问控制
以
谁运行程序为基础申请控制
而不是以哪个程序被运行为基础
认证与授权服务是
为认证用户身份、向用户授权而提供的一套标准服务
如公共密钥、密码等
软件构件与中间件技术
安全服务 19/69
、访问控制
访问控制的基础是 认证
授权（） 安全域（ ）
授权
认证关心的是谁在准备访问系统
授权关心的是访问者具有何种权限
授权是一个配置过程
软件构件与中间件技术 安全域
安全服务 20/69
相互之间拥有相同访问控制策略的一组计算机机被称为一个域 域可以被划分为子域
则该主体可以访问该资源
软件构件与中间件技术
、安全审计 （）
安全服务 22/69
对于与安全相关的用户操作进行记录 特别是需要对用户的身份进行识别
即使调用穿越了多个对象
软件构件与中间件技术
安全服务 23/69
抗抵赖 （）
对用户的操作提供不可抵赖的证据
例如： 向数据接收者提供数据源证明 向数据发送者提供数据接收者证明
接收者
密文
解密
明文
软件构件与中间件技术 对称密钥加密
安全服务 12/69
明文
加密
密文
解密
明文
密钥
密钥
软件构件与中间件技术 非对称密钥加密
安全服务 13/69
明文
加密
密文
解密
明文
私有 密钥
公开 密钥
使用私有密钥进行加密、公开密钥进行解密的过程
软件构件与中间件技术
明文
加密
密文
安全服务 14/69
解密
– 减轻应用开发者（如构件生产者）在安全管理 上的负担
– 通过角色达到最大的覆盖率 – 容器厂商实现安全基础设施() – 部署者和系统管理员指定安全策略() – 安全策略的设置更灵活 – 由组装者或部署者指定 – 而不是构件生产者开发时硬编码 – 保证的可移植性 – 不同的服务器可能采用不同安全机制
在实现上，由如下四部分组成： （）包含框架需要的基本类 （）包含支持可插入认证的类 （）包含不同的回调类与接口
（） 包含一个登录模块接口
登录模块可以用它来与主题交互
软件构件与中间件技术
四、的安全服务
、目标 、安全服务模型 、安全服务接口 、安全责任