企業(yè)級(jí)Java安全性：構(gòu)建安全的J2EE應(yīng)用

第1章Java技術(shù)與安全概述
1.1 為什么企業(yè)應(yīng)用要采用Java技術(shù)
1.1.1 Java2平臺(tái)標(biāo)準(zhǔn)版(Java 2 Platform Standard Edition, J2SE)
1.1.2 Java2平臺(tái)企業(yè)版(Java 2 Platform Enterprise Edition,J2EE)
1.1.3 Java組件
1.1.4 完整的、發(fā)展的和可互操作的Java安全技術(shù)
1.1.5 異類(lèi)環(huán)境中的可移植性
1.2 企業(yè)級(jí)Java技術(shù)
1.2.1 中間層：Servlets、JSP和EJB
1.2.2 組件軟件：向正確方向邁出的第一步
1.2.3 企業(yè)內(nèi)部的安全通信
1.3 作為安全一部分的Java技術(shù)
1.4 企業(yè)安全集成的概述
1.4.1 身份認(rèn)證與授權(quán)服務(wù)
1.4.2 密碼服務(wù)
1.4.3 防火墻
1.5 上市的時(shí)間
1.5.1 對(duì)基本技術(shù)標(biāo)準(zhǔn)的支持
1.5.2 不同環(huán)境中的工程軟件
1.5.3 時(shí)間是關(guān)鍵
第2章 企業(yè)網(wǎng)絡(luò)安全與Java技術(shù)
2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)
2.1.1 兩層體系結(jié)構(gòu)
2.1.2 三層體系結(jié)構(gòu)
2.2 網(wǎng)絡(luò)安全
2.3 服務(wù)器端的Java技術(shù)
2.3.1 WAS組件
2.3.2 WAS安全環(huán)境
2.4 Java與防火墻
2.4.1 TCP/IP報(bào)文
2.4.2 通過(guò)防火墻的程序間通信
2.4.3 防火墻對(duì)Java程序的影響
2.5 小結(jié)
第II部分 Enterprise Java組件安全
第3章 Enterprise Java安全基礎(chǔ)
3.1 企業(yè)系統(tǒng)
3.2 J2EE應(yīng)用
3.2.1 EJB模塊
3.2.2 Web模塊
3.2.3 應(yīng)用客戶(hù)端模塊
3.3 ORB間的安全互操作
3.4 連接器
3.5 Java消息傳送服務(wù)（JMS）
3.6 一個(gè)簡(jiǎn)單的電子商務(wù)請(qǐng)求流程
3.7 J2EE平臺(tái)角色
3.7.1 應(yīng)用組件提供者
3.7.2 應(yīng)用級(jí)裝者
3.7.3 部署者
3.7.4 系統(tǒng)管理員
3.7.5 J2EE產(chǎn)品提供者
3.8 J2EE安全角色
3.9 聲明性安全策略
3.9.1 登錄配置策略
3.9.2 認(rèn)證策略
3.9.3 委托策略
3.9.4 連接策略
3.10 程序性安全
3.10.1獲取身份信息
3.10.2 預(yù)應(yīng)授權(quán)
3.10.3 對(duì)EIS的應(yīng)用管理式登錄
3.11 WAS環(huán)境內(nèi)部的安全通信
3.12 安全電子商務(wù)請(qǐng)求流程
第4章 Servlet和JSP安全
4.1 介紹
4.1.1 Java Servlet
4.1.2 JSP技術(shù)
4.2 Servlet的優(yōu)點(diǎn)
4.3 Servlet生命周期
4.4 Web模塊的部署描述符
4.5 認(rèn)證
4.5.1 登錄配置策略
4.5.2 一次登錄，資源盡享
4.6 授權(quán)
4.6.1 調(diào)用鏈
4.6.2 保護(hù)指定的URL
4.6.3 保護(hù)URL模式
4.6.4 完全保護(hù)
4.6.5 理解優(yōu)先級(jí)規(guī)則
4.6.6 數(shù)據(jù)約速——只能通過(guò)SSL傳送
4.7 主體委托
4.8 程序性安全
4.8.1 主體信息
4.8.2 授權(quán)信息
4.8.3 SSL屬性信息：證書(shū)和密碼組
4.8.4 程序性的登錄
4.9 Web組件的運(yùn)行時(shí)約束
4.10 使用方式
4.10.1 使用HTTPS連接到外部HTTP服務(wù)器
4.10.2 安全地維持狀態(tài)
4.10.3 pre-servlet與post-servlet處理
4.11 分割Web應(yīng)用
第5章 EJB安全
5.1 引言
5.2 EJB角色和安全
5.2.1 EJB提供者
5.2.2 應(yīng)用組裝者
5.2.3 部署者
5.2.4 系統(tǒng)管理員
5.2.5 EJB容器提供者
5.3 認(rèn)證
5.4 授權(quán)
5.5 委托
5.6 安全考慮事項(xiàng)
第6章 Enterprise Java Security部署實(shí)例
6.1 規(guī)劃組件安全系統(tǒng)
6.1.1 客戶(hù)端訪問(wèn)
6.1.2 表示層
6.1.3 業(yè)務(wù)邏輯
6.1.4 資源適配器和遺留應(yīng)用
6.2 部署拓?fù)浣Y(jié)構(gòu)
6.2.1 入門(mén)級(jí)
6.2.2 集群環(huán)境
6.2.3 加另一個(gè)防御等級(jí)
6.2.4 使用安全緩存反向代理服務(wù)器進(jìn)行防御
6.3 安全通信信道
6.3.1 HTTP連接
6.3.2 HOP連接
6.3.3 JMS連接
6.3.4 連接到非J2EE系統(tǒng)
6.3.5 關(guān)于其他主題
6.4 安全性考慮
第III部分 Java 2安全基礎(chǔ)
第7章 J2SE安全基本原理
7.1 訪問(wèn)類(lèi)、接口、域和方法
7.2 類(lèi)加載器
7.2.1 類(lèi)加載機(jī)制的安全責(zé)任
7.2.2 被加載類(lèi)的可靠性級(jí)別
7.2.3 類(lèi)加載過(guò)程
7.2.4 構(gòu)建定制的ClassLoader
7.3 類(lèi)文件驗(yàn)證器
7.3.1 類(lèi)文件驗(yàn)證器的責(zé)任
7.3.2 類(lèi)文件驗(yàn)證器的四個(gè)關(guān)口
7.3.3 字節(jié)碼驗(yàn)證器的詳細(xì)細(xì)節(jié)
7.3.4 類(lèi)文件驗(yàn)證器的一個(gè)例子
7.4 安全管理器
7.4.1 安全管理器的職責(zé)
7.4.2 安全管理器的操作
7.4.3 攻擊類(lèi)型
7.4.4 惡習(xí)意代碼
7.4.5 安全管理器擴(kuò)展
7.5 三個(gè)Java安全支柱之間的互相依賴(lài)
7.6 小結(jié)
第8章 Java 2許可模型
8.1 Java2 訪問(wèn)控制模型總覽
8.1.1 特權(quán)修改的詞法范圍
8.1.2 Java2安全工具
8.1.3 JAAS
8.2 Java許可
8.2.1 許可目標(biāo)和操作
8.2.2 PermissionCollection類(lèi)和Permission類(lèi)
8.2.3 Permission類(lèi)中的implies()方法
8.2.4 PermissionCollection類(lèi)和Permission類(lèi)中的implies()方法
8.2.5 Permission隱式地等同于AllPermission
8.3 Java安全策略
8.3.1 聯(lián)合多個(gè)簽名者
8.3.2 多個(gè)策略文件，一個(gè)激活的策略
8.4 CodeSource的概念
8.5 ProtectionDomain
8.5.1 d PermissionDomain類(lèi)中的implies()方法
8.5.2 系統(tǒng)域和應(yīng)用域
8.5.3 Class、ProtectionDomain和Permission之間的關(guān)系
8.6 基本的Java 2訪問(wèn)控制模型
8.6.1 場(chǎng)景：當(dāng)前線程的簡(jiǎn)單檢測(cè)
8.6.2 SecurityManager和AccessController
8.7 Java 2特權(quán)代碼
8.7.1 構(gòu)造特權(quán)代碼的安全建議
8.7.2 如何編寫(xiě)特權(quán)代碼
8.7.3 特權(quán)代碼場(chǎng)景
8.8 protectionDomain繼承
8.9 Java 2 訪問(wèn)控制模型中的性能問(wèn)題
8.9.1 去除復(fù)制ProtectionDomain的操作
8.9.2 在系統(tǒng)域之外過(guò)濾
8.9.3 在第一個(gè)特權(quán)棧幀處停止驗(yàn)證
8.10 小結(jié)
第9章 Java認(rèn)證與授權(quán)服務(wù)（JAAS）
9.1 JAAS概述和JAAS術(shù)語(yǔ)
9.2 認(rèn)證
9.2.1 通過(guò)LoginModule實(shí)現(xiàn)可插的認(rèn)證
9.2.2 JAAS的LoginModule模塊的示例
9.3 授權(quán)概述
9.3.1 基于J2SE保護(hù)域的授權(quán)概述
9.3.2 向線程添加Subject
9.3.3 安全授權(quán)策略文件
9.3.4 基于Subject的授權(quán)算法示例
9.3.5 對(duì)JAAS的其他觀察
9.4 JAAS與J2EE
9.4.1 在不同JVM中執(zhí)行的Web應(yīng)用服務(wù)器
9.4.2 J2EE環(huán)境中的JAAS
9.4.3 跨越鴻溝
9.4.4 企業(yè)級(jí)安全策略管理
9.5 可插入認(rèn)證的其他技術(shù)支持
第IV部分 企業(yè)級(jí)Java與密碼學(xué)
第10章 密碼學(xué)理論
10.1 密碼學(xué)的目標(biāo)
10.2 秘密密鑰密碼學(xué)
10.2.1 算法與技術(shù)
10.2.2 秘密密鑰安全屬性
10.3 公開(kāi)密鑰密碼學(xué)
10.3.1 算法與技術(shù)
10.3.2 公開(kāi)密鑰安全屬性
10.3.3 數(shù)字簽名
10.3.4 數(shù)字證書(shū)
10.3.5 秘密密鑰分發(fā)
第11章 Java2平臺(tái)與加密技術(shù)
11.1 JCA和JCE框架
11.1.1 術(shù)語(yǔ)和定義
11.1.2 JCA和JCE工作原理
11.1.3 JCA和JCE提供者
11.1.4 引擎類(lèi)和SPI類(lèi)
11.2 JCA API
11.2.1 java.security.SecureRandom類(lèi)
11.2.2 java.security.Key接口
11.2.3 java.security包的publicKey接口和PrivateKey接口
11.2.4 java.security.KeyFactory類(lèi)
11.2.5 java.security.KeyPair類(lèi)
11.2.6 java.security.KeyPairGenerator類(lèi)
11.2.7 java.security.KeyStore類(lèi)
11.2.8 java.security.MessageDigest類(lèi)
11.2.9 java.security.Signature類(lèi)
11.2.10 java.security包中的AlgorithmParameters和AlgorithmParameterGenerator類(lèi)
11.2.11 java.security.SignedObject類(lèi)
11.2.12 java.security.spec包
11.2.13 java.security.cert包
11.2.14 java.security.interfaces包
11.3 JCE API
11.3.1 javax.crypto.Cipher類(lèi)
11.3.2 javax.crypto包的CipherInputStream類(lèi)和CipherOutputStream類(lèi)
11.3.3 javax.crypto.SecreKey接口
11.3.4 javax.crypto.spec.SecretKeySpec類(lèi)
11.3.5 javax.crypto.KeyGenerator類(lèi)
11.3.6 javax.crypto.seretKeyFactory類(lèi)
11.3.7 javax.crypto.SealedObject類(lèi)
11.3.8 javax.crypto.KeyAgreement類(lèi)
11.3.9 javax.crypto.Mac類(lèi)
11.4 實(shí)踐中的JCE
11.4.1 Bob的程序
11.4.2 Alice的程序
11.5 安全考慮
第12章 J2EE中的PKCS與S/MIME
12.1 PKCE概述
12.1.1 PKCS#1：RSA加密標(biāo)準(zhǔn)
12.1.2 PKCS#5：基于密碼的加密標(biāo)準(zhǔn)
12.1.3 PKCS#7：加密消息語(yǔ)法標(biāo)準(zhǔn)
12.1.4 PKCS#8：私有密鑰信息語(yǔ)法標(biāo)準(zhǔn)
12.1.5 PKCS#9：選擇屬性類(lèi)型
12.1.6 PKCS#10：證書(shū)申請(qǐng)語(yǔ)法標(biāo)準(zhǔn)
12.1.7 PKCS#12：個(gè)人信息交換語(yǔ)法標(biāo)準(zhǔn)
12.2 S/MIME概述
12.3 PKCS和S/MIME的簽名和驗(yàn)證事務(wù)
12.3.1 有關(guān)PKCS#7標(biāo)準(zhǔn)的思考
12.3.2 使用PKCS和S/MIME
12.4 帶PKCS和S/MIME的加密事務(wù)
12.5 安全考慮
12.6 展望未來(lái)
第13章 J2EE環(huán)境下的SSL和TLS協(xié)議
13.1 SSL和TLS協(xié)議
13.1.1 record協(xié)議
13.1.2 handshake(握手)協(xié)議
13.2 HTTPS
13.3 通過(guò)SSL支持構(gòu)建J2EE產(chǎn)品
13.3.1 使用SSL保護(hù)認(rèn)證期間的用戶(hù)ID和密碼
13.3.2 基于證書(shū)認(rèn)證的SSL
13.3.3 反向代理服務(wù)器和WAS的相互認(rèn)證
13.3.4 SSL中基于Cookie的單點(diǎn)登錄
13.3.5 基于證書(shū)認(rèn)證的單點(diǎn)登錄
13.3.6 SSL保護(hù)通信信道
13.4 在J2EE程序中使用SSL
13.4.1 JSSE
13.4.2 信任管理員
13.4.3 信任庫(kù)
13.5 示例
13.5.1 無(wú)SSL的基本場(chǎng)景
13.5.2 帶SSL的場(chǎng)景
13.6 小結(jié)
第V部分 高級(jí)專(zhuān)題
第14章 Web服務(wù)的企業(yè)級(jí)安全
14.1 XML
14.2 SOAP
14.3 WSKL
14.4 Web服務(wù)的安全：動(dòng)機(jī)
14.5 安全技術(shù)
14.5.1 XML與加密技術(shù)
14.5.2 WS-Security
14.6 Web服務(wù)安全模型的原則
14.6.1 Web服務(wù)消息安全
14.6.2 WS-Policy
14.6.3 WS-Trust
14.6.4 WS-SecureConversation
14.6.5 WS-Privacy
14.6.6 WS-Federation
14.6.7 WS-Authorization
14.6.8 示例
14.7 應(yīng)用模式
14.8 使用場(chǎng)景
14.9 Web服務(wù)提供者安全
14.9.1 用戶(hù)認(rèn)證
14.9.2 強(qiáng)制授權(quán)
14.10 安全考慮
14.11 前景
第15章 對(duì)容器提供者的安全考慮
15.1 理解環(huán)境
15.2 認(rèn)證
15.2.1 認(rèn)證機(jī)制
15.2.2 使用JAAS LoginModule
15.2.3 用戶(hù)信息
15.2.4 單點(diǎn)登錄
15.3 授權(quán)
15.4 安全通信
15.4.1 使用JSSE
15.4.2 客戶(hù)證書(shū)
15.5 安全相關(guān)
15.6 訪問(wèn)系統(tǒng)資源
15.7 在連接器邊界匹配身份
第16章 后記
第VI部分 附錄
附錄A 分布式對(duì)象體系結(jié)構(gòu)的安全
A.1 RMI
A.2 存根和框架
A.3 RMI注冊(cè)
A.4 RMI的安全
附錄B X.509數(shù)字證書(shū)
附錄C 中英文對(duì)照縮略詞表
附錄D 參考文獻(xiàn)