韓璐瑩

（陜西國際商貿(mào)學院 陜西 咸陽 712000）

1 引言

在移動互聯(lián)網(wǎng)飛速發(fā)展的時代背景下，Java Web的應(yīng)用也迎來了前所未有的發(fā)展機遇，并獲得了更大范圍的應(yīng)用和推廣，在加快信息化社會建設(shè)及推動信息軟件的發(fā)展中發(fā)揮了重要作用。然而，Java Web程序所具備的主要功能就是完成網(wǎng)絡(luò)信息資源的交換和共享，使用戶能夠利用這些程序瀏覽相應(yīng)的數(shù)據(jù)和信息，這樣一來Java Web程序的安全性就很難得到有效保障。因此，需要對Java Web程序采取相應(yīng)的安全技術(shù)，以此來有效解決應(yīng)用程序在運行過程中所出現(xiàn)的安全問題。

2 Java Web應(yīng)用所面對的安全威脅

Java Web應(yīng)用是基于Web技術(shù)及使用Java語言進行開發(fā)的程序應(yīng)用，其結(jié)構(gòu)主要分為客戶端和服務(wù)器端。因此，其所面對的安全威脅通常也來源于這兩部分，特別是在具體應(yīng)用程序的實際運行中，即數(shù)據(jù)交換和資源共享的通信過程。在服務(wù)器端所遭遇的安全威脅大多數(shù)是服務(wù)器在實際運行時所出現(xiàn)的bug，其他常見的安全威脅還有由于服務(wù)器代碼的運行環(huán)境被破壞或者是代碼本身被隱藏等，可表現(xiàn)為資源定位器發(fā)生強制訪問的問題，以及服務(wù)器和操作系統(tǒng)的漏洞?？蛻舳怂鎸Φ陌踩{則具體表現(xiàn)在技術(shù)人員所使用的開發(fā)技術(shù)有安全隱患和漏洞。在Java Web程序中引入安全技術(shù)可以防止以上問題的出現(xiàn)，以確保在數(shù)據(jù)等資源交換的過程中數(shù)據(jù)不會遭到篡改和破壞，使其完整性、準確性及保密性得到保障[1]。

3 Java Web程序安全技術(shù)概述

3.1 Java安全體系架構(gòu)

Java的安全體系架構(gòu)理念是以安全沙箱的概念為基礎(chǔ)延伸而來，對模型劃分為需要加載的遠程代碼及存儲于本地服務(wù)器的本地代碼。存儲在本地服務(wù)器的代碼是可信任、安全的，并且能夠有效訪問本地服務(wù)器上的資源。在具體的Java程序設(shè)計過程中，該理念能夠?qū)ava 安全體系進行補充，使其能夠在保護域的基礎(chǔ)概念上，提供更為可靠的安全控制。所謂的保護域即對應(yīng)用安全和系統(tǒng)安全進行了區(qū)分，其中最為核心且重要的就是保護域的概念，能夠指出當前操作環(huán)境中所需要進行保護的重要部分，以此達到分組需保護資源和組件的目的。在對應(yīng)的保護域中，應(yīng)當對擁有相同權(quán)限的不同類進行歸類，以定義保護域。在加載Java類的有關(guān)安全機制中，應(yīng)當將其基本類的有關(guān)記載引入，從而有效解決加載器間的聯(lián)系問題，這個過程中Java程序需要使用的所有初始類都是需要加載的，并且其他類型的加載器也是需要通過起動方可進行加載。而關(guān)于Java的權(quán)限方面，會借助固定的類Permission來進行具體表示。Java也會提供一部分常用的子類以表示不同應(yīng)用系統(tǒng)的具體權(quán)限，此外還會賦予其子類與其等級相適應(yīng)的權(quán)限，借助這樣的方式來實現(xiàn)Java的具體安全策略[2]。

3.2 Java的安全策略

在與Java相關(guān)的安全策略中，非常重視不同Java程序創(chuàng)建對應(yīng)的安全策略文件，從而達到保護域內(nèi)容進行不斷地改進和提升的目的，但是不會改動對應(yīng)用程序的具體代碼。但需要在對應(yīng)的安全策略文件中，去定義應(yīng)用程序所涉及的具體策略條目，并且按照文件中的對應(yīng)條目得到所需的安全策略文件。

在與安全屬性相關(guān)的文件中，需要配置3種安全策略類型的文件，其中包括系統(tǒng)安全策略、用戶策略以及應(yīng)用安全策略，通過設(shè)定其系統(tǒng)屬性，可以替代原有的安全策略文件。與此同時，還存在一種情形，就是任何使用程序的人都有權(quán)去修改Java現(xiàn)行的安全策略文件，這樣就容易導(dǎo)致出現(xiàn)大量的安全問題，當這種情況發(fā)生時，應(yīng)當借助Java命令設(shè)置系統(tǒng)屬性。Java安全策略的文件內(nèi)容涵蓋了眾多條目，能夠進行對應(yīng)授權(quán)，但是需要注意的是，這個過程是需要借助鑰箱來查找相關(guān)的證書及密鑰的。

3.3 Web安全技術(shù)分析

在進行Java Web程序的有關(guān)安全技術(shù)的研究時，可以重點關(guān)注服務(wù)端與客戶端之間的通信過程，即以下幾方面。

（1）應(yīng)用程在代碼層面和程序?qū)用鎸嵤?yīng)的安全防范措施時，應(yīng)當不斷提升編寫應(yīng)用程序的安全級別，同時也需要充分了解目標程序本身及其開發(fā)環(huán)境的穩(wěn)定性及安全性。此外，還應(yīng)當了解黑客進行網(wǎng)絡(luò)攻擊時常用的技術(shù)手段，也需要了解其心理、目標及技術(shù)等內(nèi)容，以此幫助開發(fā)者能夠從不同角度補充和完善Web程序的安全防御性能。

（2）采用多種方式完成身份認證，比如數(shù)字簽名、數(shù)字證書等。通信雙方通過服務(wù)證書或者數(shù)字簽名來保證連接的真實性與安全性，從而實現(xiàn)通過SSL來完成雙向認證的目的，這樣能夠使數(shù)據(jù)在傳輸過程中的安全性和可靠性得到保證。

（3）利用計算機來有效減弱Web程序在通信方面所造成的負面影響。首先是Ajax，這是一種以交互式為基礎(chǔ)的Web開發(fā)技術(shù)，在Web應(yīng)用領(lǐng)域受到了廣泛關(guān)注和好評。通過Ajax技術(shù)能夠使前端頁面與后臺之間以異步的方式實現(xiàn)數(shù)據(jù)交換，從而能夠全方面地提升用戶在使用Web應(yīng)用程序的便捷性。通常來說，借助Ajax技術(shù)開發(fā)對應(yīng)應(yīng)用程序的過程中，當頁面發(fā)生改動的情況下需要與用戶進行及時通信，因此在客戶端與服務(wù)端之間會建立起專用的通信通道，以檢查所輸入的信息。在服務(wù)器需要對用戶開展對應(yīng)認證工作時，就應(yīng)當圍繞其所運行的服務(wù)器腳本展開。

其次是Cookie，這是一種用來使用戶身份認證工作簡單化以及提高認證準確性的數(shù)據(jù)緩存方法，它能夠幫助應(yīng)用程序所在的服務(wù)器快速有效地完成用戶身份認證。借助該技術(shù)后，服務(wù)器能夠在用戶登錄成功后，將用戶的注冊信息記錄下來，并將其放到緩存中，當用戶有多次重復(fù)訪問需求時就會快速將該用戶信息提取使用，以此完成和簡化程序在身份認證時的重要重復(fù)性工作。借助cookie技術(shù)進行具體開發(fā)實踐時，cookie過去經(jīng)常會遭到黑客攻擊，因此容易造成用戶相關(guān)信息的泄露，導(dǎo)致?lián)p失。其中，蠕蟲就是攻擊Web程序中所采用的cookie技術(shù)的一種主要病毒類型，其以極強的傳播力及破壞力能夠?qū)?yīng)用程序的大部分安全漏洞做進一步的攻擊和破壞，從而竊取到腳本和會話信息。

第三就是JavaScript，這是一種擁有較為完善安全性能的腳本語言，能夠驅(qū)動事件和對象。借助該技術(shù)進行Web開發(fā)，擁有簡潔、生動的優(yōu)勢，該技術(shù)在語言方面也是比較簡潔的，因此也受到了廣大開發(fā)者的喜愛，并將其廣泛應(yīng)用在Web程序的實際開發(fā)中[3]。

3.4 其他安全技術(shù)分析

（1）保護存儲在本地的數(shù)據(jù)。在Java Web程序運行過程中，倘若需要使用存儲在本地的數(shù)據(jù)來獨立運行的話，通常會存在一個問題，即用戶可以直接訪問數(shù)據(jù)庫，對數(shù)據(jù)文件進行寫入和讀取等操作，而不需要借助Java Web程序才能進行對應(yīng)操作，這也表明用戶能夠任意讀取甚至是修改存儲在本地的數(shù)據(jù)。因此，應(yīng)當采取措施保護存儲在本地的數(shù)據(jù)。此外，將數(shù)據(jù)存儲到云端等遠程服務(wù)器上也容易發(fā)生類似情況。因此，可以借助Java Web程序的加密功能加密存儲數(shù)據(jù)，在加密算法方面一般采用對稱密鑰，并且為了保障加密效果，進一步使公鑰和私鑰結(jié)合的安全性得到加強，可以在加密密鑰生成時加入經(jīng)使用者設(shè)計的口令。其中，口令具體包括口令重置、口令的哈希算法以及口令策略等。

（2）防止出現(xiàn)程序復(fù)制。在Java Web程序的開發(fā)過程中，很容易出現(xiàn)代碼濫用的問題，急需一種能夠防止程序被復(fù)制的授權(quán)機制。此外，還需要通過安全管理的手段來保障源碼的安全性與完整性，可以通過將程序的源碼存儲在安全保障良好的代碼控制倉庫，并且設(shè)計嚴格的訪問和認證的機制，還需要關(guān)注源代碼倉庫及其相關(guān)工具所發(fā)生的安全問題。

（3）Java Web程序所面對的安全問題具有無法避免的特性，采用安全技術(shù)手段也無法將其完全清除，但是安全技術(shù)的應(yīng)用能夠保證程序可以穩(wěn)定、正常運行。因此，在Web應(yīng)用程序引入安全保護效果更好的安全技術(shù)可以規(guī)避掉大部分的風險。開展Java Web程序的具體安全工作時，要做到有的放矢，應(yīng)當合理結(jié)合安全技術(shù)手段的發(fā)展趨勢，對應(yīng)用程序的安全防護工作進行自查和調(diào)整，這樣可以讓Java Web程序的安全工作能夠更有序、更完善。

4 結(jié)語

安全技術(shù)作為保障Java Web應(yīng)用程序穩(wěn)定、正常、安全運行的一道技術(shù)屏障，應(yīng)當在應(yīng)用程序的開發(fā)階段就進行更為完備的安全考量。針對Java自身所具備的安全特性，可以借助安全技術(shù)來使程序的安全性得到保障。而Java Web 程序的實現(xiàn)與開發(fā)是基于Java基礎(chǔ)知識的應(yīng)用，再通過緊密聯(lián)系Web技術(shù)，可以完成Web應(yīng)用程序。在應(yīng)用程序的開發(fā)過程中，應(yīng)當從Java技術(shù)本身出發(fā)結(jié)合Web技術(shù)中所存在的安全漏洞采取具體防護措施，從而使應(yīng)用程序在系統(tǒng)、網(wǎng)絡(luò)以及數(shù)據(jù)庫層面都能夠得到全面保障。綜上所述，在對應(yīng)用程序進行具體分析時，應(yīng)當參考實際情況建立對應(yīng)的數(shù)據(jù)存儲、網(wǎng)絡(luò)通信及系統(tǒng)安全策略。