Chinaunix首页 | 论坛 | 博客
  • 博客访问: 821098
  • 博文数量: 754
  • 博客积分: 7000
  • 博客等级: 少将
  • 技术积分: 5005
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-12 12:54
文章分类

全部博文(754)

文章存档

2011年(1)

2008年(753)

我的朋友
最近访客

分类:

2008-09-12 13:09:03


  本系统的客户程序是 Applet,但它的执行需要读本地硬盘,以及进行算法方面
  操作,这些操作都需要有本地Application的权限,而无法在普通的沙箱机制的限制下运
  行。
  1 沙箱机制对Applet的性限制
  在浏览器或者appletviewer中运行远程主机上存放的Applet时, VM认为它是不可信
  任的,将其置于所谓sandbox的保护之下,在这样的情况下Applet的运行受到下面的限制
  :
  b) Applet不能读写客户端主机上的文件
  c) Applet不能执行JCE/JCA中的addProvider操作
  d) 在进行网络连接时Applet只能与提供它的建立连接
  e) Applet在事件捕获、读取系统信息等其他方面受到限制
  f) 在Netscape浏览器中,不提供java.security.*的支持,在IE浏览器中对Applet的运行
  做了比appletviewer中更加高的限制
  由于上述的限制,安全公文传递系统的客户程序直接在浏览器或appletviewer中运行时会
  遇到下列问题:
  b) 客户程序无法读写客户机的设备
  c) 客户程序无法执行addProvider操作
  d) 在使用额外类库时发生Security Exception
  e) 在Netscape浏览器中因为缺乏java.security.*的支持而完全无法运行
  f) 在IE浏览器中发生更多的Security Exception
  产生这些问题的原因是各种java VM将公文系统的客户程序视为不可信任的。解决的方法
  是要使Java VM信任公文系统的客户程序。
  3 Applet的签名和信任机制
  要使Applet得到虚拟机的信任就要有办法让虚拟机知道Applet是可信任的人提供的。SUN
  、Netscape
  Communicator和IE4.0各自提供了一套互相之间不兼容的Applet签名机制。它们的原理都
  是相同的,就是通过验证一个可信任的签名者的数字签名,来验证Applet是由可信任的作
  者提供的。在安全公文传递系统中我们采用了SUN提供的签名机制,并通过安装java
  plugin使得在各种浏览器中都可以使用这套签名机制。
  SUN在JDK1.X版本中提供了一个名为javakey的小程序。它能够替开发者完成对Applet进行
  数字签名的所有步骤,也能替最终用户完成设置对开发者信任的工作。要对Applet进行数
  字签名之前,必须用JDK的另外一个工具程序jar将applet中用到的类打包成一个.JAR文件
  。这样建立一套基于ja
  vakey的Applet签名和信任体系包括下列三项工作:
  * 用jar工具创建.JAR文件
  * 用javakey创建数字签名
  * 在客户端安装java plugin,并设置对签名人的信任
  下面分别阐述这三项工作。
  4 用jar工具创建.JAR文件
  JAR是Java
  Archive的缩写。Jar工具的主要功能是将文件压缩和打包。JDK提供jar工具的目的主要是
  让用户可以将applet中用到的class文件和其他文件压缩打包到一个文件中,当浏览
  applet时通过一从http的传输将它们一并到客户端,节省多次多个小文件所浪费
  的建立时间。客户程序
  在了applet的.jar文件后就可以运行applet而无需再继续下载其他文件了。Javakey
  在生成数字签名时要求有关的类都打包在一个.jar文件中,它生成的数字签名也会自动添
  加到这个.jar文件中去。
  使用了.jar文件后html中的applet标记略有不同,比普通的多出了一个archive项,例如
  :
  在哪个文件里面
  out.file=out.jar
  #输出的jar文件的文件名
  
  14. 在客户端创建signer,并信任之:
  javakey c jiewen true
  
  16. 在客户端安装signer的证书,命令行为:
  javakey ic jiewen jiewen.cer
  jiewen为signer的名字,jiewen.cer为存放证书的文件。
  完成上述操作后客户端的appletviewer就能够以信任方式来运行签名了的applet了。这时
  applet获得的权限和本地的application是一致的。
  7 安装和配置Java plugin
  Java plugin是一个浏览器的plugin产品。在浏览器中安装了这个plugin后用户就可以在
  浏览器环境下用SUN的Java虚拟机来运行网页中的applet了。安全公文传递系统的客户程
  序用javakey进行数字签名,必须在SUN的java虚拟机中才能被识别,因此必须在客户端安
  装java plugin。
  Java plugin并不能令普通的含有applet标记的html文件在SUN的java虚拟机中运行applet
  ,它只认识为它设计的特殊标记。为了产生含有这样特殊标记的文件,可以到SUN的站点
  下载专门的转换器,将含有applet标记的html文件转换为含有java plugin使用的html标
  记的文件。
  Java plugin的安装非常简单,只需下载安装文件并运行之,安装程序就会自动完成安装
  工作了。但是单纯安装java plugin是无法以信任方式运行客户程序的,还要在java
  plugin的运行环境中设置对signer信任和安装signer的证书。要做到这点,必须分两步进
  行。
  首先要知道java plugin的home目录是什么,方法是:运行java plugin的control panel
  ,打开里面的Show Java Console选项,然后到浏览器里面浏览要运行的applet所在的网
  页,这时就会出现java console窗口,里面有一行是User home directory = 厖,就是当
  前的home目录了。
  知道了home目录后就要把包含有信任信息和签发人证书的文件拷贝到这个目录中去。如果
  用户有jdk的话,可以用jdk的javakey工具按照前面的说明来设置信任和安装证书,然后
  在jdk的安装目录(如果使用windows)或者用户的home目录(如果使用unix)找到一个名
  字为identitydb.obj的
  文件,将这个文件拷贝到java plugin的home目录中,设置的信任就生效了。如果用户没
  有jdk,可以下载安装jdk来创建这个文件,或者可以从别人处拷贝这个identitydb.obj文
  件,并安装到自己的java plugin的home目录中。
  
  另外,如果是在局域网内,也可以在浏览器内设置安全级别,将Applet所在的主机设成可信
  任的站点,这样就可以设置Applet的安全级了.IE4是可以的,别的没试过.
【责编:admin】

--------------------next---------------------

阅读(745) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~