利用數字簽名超越JavaApplet的安全限制
Java技術之所以在今天得到了如此廣闊的應用,其中它的安全性是不能不提的。不同于其它技術(例如Microsoft的ActiveX)中安全性作為附加設計和補丁,Java從設計之初便考慮到了安全性。因此Java的安全性是在語言層次實現的。Java的安全性由下列三個方面保證:
1、 語言特性(包括數組的邊界檢查、類型轉換、取消指針型變量)。
2、 資源訪問控制(包括本地文件系統訪問、Socket連接訪問)。
3、 代碼數字簽名(通過數字簽名來確認代碼源以及代碼是否完整)。
本文主要討論結合后兩種技術來實現超越Applet的安全限制。我們先來看一下這三個方面的具體實現。我們知道Java的原代碼是先編譯成為一種字節碼的中間代碼,存放這種代碼的文件就是.class的文件。真正執行的時候是將class文件裝載到JVM(虛擬機)中,然后由JVM解釋執行的。所以數組的上下界檢查及合法的類型轉換是通過JVM得到保證的。
Java通過一個類裝載器類(ClassLoader)將虛擬機代碼文件(即class文件)裝載到JVM中,當完成裝載后,一個被稱做安全管理器(SecurityManager)的類開始運行,這就是上面描述的第二個方面的實現。例如當一個Applet的class文件被缺省的類裝載器裝載到JVM中后,JVM會立即為它裝載一個SecurityManager的子類AppletSecurity,由這個管理器來驗證操作。代碼的所有動作(例如文件讀寫)都要先經過驗證,只有被該安全管理器接受的動作才能完成,否則就會拋出SecurityException異常。那么安全管理器類是怎么判斷代碼的權限的呢?這就是利用Policy文件。
對于JDK1.0,權限被籠統的劃分為兩大塊。一是擁有所有的權限,一個是僅擁有"沙箱"(sandBox)權限,這也是普通的Applet所擁有的權限。這時本地文件讀寫或是與源主機(Orignal Server)以外的主機連接都是被禁止的。這種劃分的最大問題就是缺乏靈活性。例如我們希望一個Applet在用戶信任的情況下能夠對本地文件系統的某個目錄進行讀寫,但并不要通過Socket與其它主機連接。這是JDK1.0的權限劃分就不能達到要求。JDK1.1后改進了權限的劃分,引入了權限集(PermissionSet)的概念。它細劃了權限的放放面面,你可以有選擇性的組合你需要的權限來達到特殊的要求。下圖顯示了這種劃分:
圖1
圖一中的BasicPermission還可以進一步細分為更多的細節權限,例如:AWTPermission、RuntimePermission等等。Java通過一個后綴名為.policy的文件來組合這些權限。安裝完JRE(Java Runtime Environment)后有兩個缺省的權限文件,它們是:
| ${java.home}/lib/security/java.policy ${user.home}/.java.policy |
下面是一個java.policy文件的實例:
| // Standard extensions get all permissions by default grant codeBase "file:${java.home}/lib/ext/*" { permission java.security.AllPermission; }; // default permissions granted to all domains grant { // Allows any thread to stop itself using the java.lang.Thread.stop() // method that takes no argument. // Note that this permission is granted by default only to remain // backwards compatible. // It is strongly recommended that you either remove this permission // from this policy file or further restrict it to code sources // that you specify, because Thread.stop() is potentially unsafe. // See "http://java.sun.com/notes" for more information. permission java.lang.RuntimePermission "stopThread"; // allows anyone to listen on un-privileged ports permission java.net.SocketPermission "localhost:1024-", "listen"; // "standard" properies that can be read by anyone permission java.util.PropertyPermission "java.version", "read"; permission java.util.PropertyPermission "java.vendor", "read"; permission java.util.PropertyPermission "java.vendor.url", "read"; permission java.util.PropertyPermission "java.class.version", "read"; permission java.util.PropertyPermission "os.name", "read"; permission java.util.PropertyPermission "os.version", "read"; permission java.util.PropertyPermission "os.arch", "read"; permission java.util.PropertyPermission "file.separator", "read"; permission java.util.PropertyPermission "path.separator", "read"; permission java.util.PropertyPermission "line.separator", "read"; permission java.util.PropertyPermission "java.specification.version", "read"; permission java.util.PropertyPermission "java.specification.vendor", "read"; permission java.util.PropertyPermission "java.specification.name", "read"; permission java.util.PropertyPermission "java.vm.specification.version", "read"; permission java.util.PropertyPermission "java.vm.specification.vendor", "read"; permission java.util.PropertyPermission "java.vm.specification.name", "read"; permission java.util.PropertyPermission "java.vm.version", "read"; permission java.util.PropertyPermission "java.vm.vendor", "read"; permission java.util.PropertyPermission "java.vm.name", "read"; }; |
由上面的這個文件可以看出,所有policy文件的寫法都是類似下面的格式:
| grant codesource { permission_1; permission_2; } |
其中permission_1代表一個具體的權限描述,這里我們只來看看關于文件權限的描述,其它的權限描述是類似的。
| 寫法 | 代表含義 |
| file | 一個指定的文件 |
| directory/ | 一個指定的目錄 |
| dirctory/* | 一個目錄下的所有文件 |
| dirctory/- | 指定目錄及子目錄的所有文件 |
| - | 當前目錄及子目錄的所有文件 |
| * | 當前目錄的所有文件 |
| <<ALL FILES>> | 整個文件系統 |
下面是幾個具體的例子:
| grant { permission java.io.FilePermission "<<ALL FILES>>" "read,write"; }; grant { permission java.io.FilePermission "<<${user.home/-} >>" "read,write,delete"; }; |
光有policy文件還是不夠,客戶無法判斷現在執行的代碼是否是由你發布的,也不能保證這個代碼在傳輸的過程中有沒有被人給惡意的破壞。所以還需要數字簽名技術來保證這兩方面。JDK中給我們提供了幾個工具來完成這些工作。
結合這幾種技術就可以達到本文的目的了,下面就是本文的目標代碼,它是一個可以讀取本地文件系統的Applet:
代碼1
| /------------------------------------- package jcomponent; import java.awt.*; import java.awt.event.*; import java.applet.*; import java.io.*; public class FileReaderApplet extends Applet { boolean isStandalone = false; TextField fileNameField; TextArea fileArea; file://Get a parameter value public String getParameter(String key, String def) { return isStandalone ? System.getProperty(key, def) : (getParameter(key) != null ? getParameter(key) : def); } file://Construct the applet public FileReaderApplet() { } file://Initialize the applet public void init() { try { jbInit(); } catch(Exception e) { e.printStackTrace(); } } file://Component initialization private void jbInit() throws Exception { this.setSize(new Dimension(400,300)); this.setLayout(new BorderLayout()); Panel panel=new Panel(); Label label=new Label("File Name"); panel.add(label); fileNameField=new TextField(25); panel.add(fileNameField); Button b=new Button("Open File"); b.addActionListener(new ActionListener(){ public void actionPerformed(ActionEvent e){ loadFile(fileNameField.getText()); } }); panel.add(b); this.add(panel,BorderLayout.NORTH); fileArea=new TextArea(); this.add(fileArea,BorderLayout.CENTER); } public void loadFile(String fileName){ try{ BufferedReader reader=new BufferedReader(new FileReader(fileName)); String context=new String(); while((context=reader.readLine())!=null){ fileArea.append(context+"/n"); } reader.close(); }catch(IOException ie){ fileArea.append(ie.getMessage()); }catch(SecurityException se){ fileArea.append("because of security constraint ,it can not do that!"); } } file://Get Applet information public String getAppletInfo() { return "This is an applet can read and write the local file system"; } } |
如果你將這個代碼嵌入網頁中并執行它,當你試圖打開一個本地文件時就會發生SecurityException。大家跟著我進行下面的步驟就可以最終擁有讀寫文件的權限。在此之前你需要有以下的工具:JDK1.1以上、JRE、HTMLConvert。這些工具在SUN的Java站點上都有,而且也是免費的。將它們分別安裝好,我們將所有涉及的文件都放在c:/admin中。
步驟一:(打包class文件)
在命令行中執行以下的語句:jar -cvf MyApplet.jar class
注意這里的所有.class文件均是放在一個class的目錄中的。本步驟執行完畢后,將在c:/admin中產生一個名為MyApplet.jar的文件。
步驟二:(在網頁中嵌入Applet)
這個網頁的名字叫做FileReaderApplet.html,下面是嵌入Applet部分的寫法:
| <APPLET CODEBASE = "." CODE = "jcomponent.FileReaderApplet.class" ARCHIVE ="MyClass.jar" NAME = "TestApplet" WIDTH = 400 HEIGHT = 300 HSPACE = 0 VSPACE = 0 ALIGN = middle > </APPLET> |
完成這個步驟后,這個Applet已經可以顯示了。但是還不能讀寫本地的文件系統。
步驟三:(生成證書及簽名)
請在命令行環境下執行以下的命令:
1、keytool -genkey -keystore pepper.store -alias pepper
這個命令用來產生一個密匙庫,執行完畢后應該在c:/admin中產生一個pepper.store的文件,這里的pepper是我自己的名字,你可以對它進行修改。另外在執行命令的時候還有提示你輸入密匙庫的密碼,這里你一定要記住,否則后面要用的時候無法輸入。
2、keytool -export -keystore pepper.store -alias pepper -file pepper.cert
這個命令用來產生簽名時所要用的證書,同樣這里的pepper也可以換成你自己需要的名字。這個命令執行完后在c:/admin中產生一個pepper.cert的文件。
4、 jarsigner -keystore pepper.store MyApplet.jar pepper
這個命令用上面產生的證書將我們的jar文件進行了簽名。
步驟四:(修改文件)
1、 在c:/admin中產生一個名為applet.policy的文件,其內容如下:
| keystore "file:c: /admin/pepper.store", "JKS"; grant signedBy "pepper" { permission java.io.FilePermission "<<ALL FILES>>", "read"; }; |
這個文件讓由pepper簽名的Applet擁有本地所有文件的讀權限。
2、 修改${java.home}/jre/lib/security目錄下的java.security,找到下面這兩行:
| policy.url.1=file:${java.home}/lib/security/java.policy policy.url.2=file:${user.home}/.java.policy |
在下面添寫第三行
| policy.url.3=file:c: /admin/applet.policy |
完成這個修改后我們在前面創建的applet.policy文件才有效。
步驟五:(轉換html文件)
運行前面提到的HTMLConvert工具,將原有的FileReaderApplet.html轉化成下面的形式:
| <!--"CONVERTED_APPLET"--> <!-- CONVERTER VERSION 1.3 --> <OBJECT classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93" WIDTH = 400 HEIGHT = 300 NAME = "TestApplet" ALIGN = middle VSPACE = 0 HSPACE = 0 codebase="http://java.sun.com/products/plugin/1.3/jinstall-13-win32.cab#Version=1,3,0,0"> <PARAM NAME = CODE VALUE = "jcomponent.FileReaderApplet.class" > <PARAM NAME = CODEBASE VALUE = "." > <PARAM NAME = ARCHIVE VALUE = "MyApplet.jar" > <PARAM NAME = NAME VALUE = "TestApplet" > <PARAM NAME="type" VALUE="application/x-java-applet;version=1.3"> <PARAM NAME="scriptable" VALUE="false"> <COMMENT> <EMBED type="application/x-java-applet;version=1.3" CODE = "jcomponent.FileReaderApplet.class" CODEBASE = "." ARCHIVE = "MyApplet.jar" NAME = "TestApplet" WIDTH = 400 HEIGHT = 300 ALIGN = middle VSPACE = 0 HSPACE = 0 scriptable=false pluginspage="http://java.sun.com/products/plugin/1.3/plugin-install.html"><NOEMBED></COMMENT> </NOEMBED></EMBED> </OBJECT> <!-- <APPLET CODE = "jcomponent.FileReaderApplet.class" CODEBASE = "." ARCHIVE = "MyApplet.jar" WIDTH = 400 HEIGHT = 300 NAME = "TestApplet" ALIGN = middle VSPACE = 0 HSPACE = 0> </APPLET> --> <!--"END_CONVERTED_APPLET"--> |
大家不要看到這里的寫法很復雜,但是這些都是由HTMLConvert工具自動實現的。這個工具有命令行和圖形界面兩種運行方式。
好了,現在這個Applet可以運行讀寫文件的功能了。如果你要考慮在Internet上實現這個Applet,那么你也不需要在所有的客戶端均做上面的步驟,你只需要在你的服務器上創建一個目錄,例如c:/admin,將這個目錄映射為www.testApplet.com/admin。這里的www.testApplet.com是一個假定的網址,將pepper.cert、pepper.store、FileReaderApplet.html、MyApplet.jar以及applet.policy放在這個目錄中,然后修改applet.policy文件如下:
| keystore "http:// www.testApplet.com/admin/pepper.store", "JKS"; grant signedBy "pepper" { permission java.io.FilePermission "<<ALL FILES>>", "read"; }; |
3、 而每個客戶端僅僅需要修改一下它們的${java.home}/jre/lib/security目錄下的java.security文件如下:
| policy.url.1=file:${java.home}/lib/security/java.policy policy.url.2=file:${user.home}/.java.policy policy.url.3= http:// www.testApplet.com/admin/applet.policy |
當然每個客戶端還是需要安裝JRE的,不過現在的瀏覽器安裝時都已經自動安裝了。