安全性和類載入程序體系結構

2019-11-18 15:12:51

字體：大中小

來源：轉載

供稿：網友

　　─ 類載入程序在JVM整體安全模式中的作用

--------------------------------------------------------------------------------

摘要： java 技術之所以適用于網絡是因為它有完備的、設計到其結構中的安全模式。本文先討論Java 沙箱中的創新程序，然后討論安全模式中Java 虛擬機（JVM）的類載入程序結構。類載入程序結構能將從不同來源下載的代碼隔離開來，并防止載入那些看似是某個已被確認的庫的一部分而實際上并未獲得確認的類。

沙箱刷新程序
Java 安全模式的重點在于保護最終用戶不受從網上下載的破壞性程序的干擾。為達到這個目的，Java 提供了一個專用的運行Java 程序的沙箱。Java 程序在它的沙箱內可做任何事情，但出此邊界就不能有任何操作。例如，未經確認的Java Applet 的沙箱禁止許多操作，其中包括：

禁止對本地磁盤的讀寫；

除了下載此Applet 的主機外不能與任何別的主機連接；

禁止建立一個新的進程；

禁止載入一個直接調用本地方法的新的動態庫。
通過限定下載代碼的可執行操作的范圍，Java 安全模式可使用戶免受破壞性程序的威脅。

類載入程序體系結構
在安全沙箱中JVM 的一個重要方面是其類載入程序結構。在JVM 中，類載入程序負責輸入那些定義運行程序的類和接口的二進制數據。在圖1 中只有一塊被標記為“ 類載入程序”，但事實上，在JVM 內部可能有多個類載入程序。可以說，圖中的類載入程序實際代表了一個可能涉及許多類載入程序的系統。JVM 有非常靈活的類載入結構，它允許Java 應用程序自己定義裝載類的方式。

圖1 Java類載入程序體系結構
Java 應用能用二種類載入程序：“ 原始的” 類載入程序和類載入程序對象。原始的類載入程序（只有一個）是JVM 的一部分。例如，如果JVM 在某個操作系統上作為C 程序被啟用，那么原始的類載入程序就是那個C 程序的一部分。原始的類載入程序裝載獲得確認的類，其中包括Java API 類，它們通常取自本地的硬盤。

在程序運行時Java 應用裝入類載入程序對象，它們能以自定義的方式載入類，例如通過網絡來下載類文件。JVM 認為它用原始的類載入程序裝入的任何一個類都是已經確認的，不管它是否是Java API 的一部分。然而它對那些通過類載入對象裝入的類則持另一種態度。在默認的情況下它認為它們是未獲確認的。雖然原始的類載入程序是虛擬機運行的本質部分，但類載入對象不是。恰恰相反，類載入程序是用Java 寫的，編譯成類文件，載入虛擬機中，然后象別的對象一樣被實例化。實際上它們只是一個運行中的程序的部分執行代碼。圖2 描述了這種結構。

圖2 Java類載入程序體系結構
因為有了類載入程序對象，在編譯時你不必知道都有哪些類最終加入了Java 應用程序。這樣，你能在運行時動態地擴展Java 應用程序。當你運行應用程序時，它能判斷需要別的什么類，然后通過一個或多個類載入程序對象來裝入它們。因為你是用Java 編寫類載入程序的，所以你能用任何方式安裝類：可通過網絡下載，從某些數據庫中取得，甚至在乘飛機時把它算出來。

類載入程序和命名空間
JVM 對每個它所載入的類都記下了是用哪種類載入程序裝入的，當一個被載入的程序引用另一個類時，虛擬機要求用同一個類載入程序裝入被引入的類。如果虛擬機用某一個類載入程序裝入了Volcano 類，它將用同樣的類載入程序來裝入Volcano 類引用的所有類。如果Volcano 引用了一個叫Java 的類，也許調用了Java 類的方法，虛擬機就會向裝入Volcano 類的載入程序要求獲得Java 類。載入程序返回的Java 類與Volcano 類是動態鏈接的。

因為JVM 用這種方法裝載類，在默認條件下某個類只能看見用同一個類載入程序裝入的其它類。Java 體系結構用這種方法在單個Java 應用中建立多個命名空間。命名空間是一些由特定的類載入程序裝入的類的獨一無二的名字集合。JVM 為每個類載入程序維護一個命名空間，所有由該類載入程序裝入的類的名字組成了這個命名空間。

例如：一旦某個JVM 把一個叫Volcano 的類裝入到某一特定的命名空間后，就不能再把別一Volcano 類裝入那個命名空間。然而你可以把多個Volcano 類裝入JVM，因為你只要建立多個類載入程序就能在某個Java 應用中建立多個命名空間。如果你在某個運行著的Java 應用中建立了三個單獨的命名空間（三個類載入程序每個載入程序一個），那么給每個命名空間裝入一個Volcano 類，你的應用中就有三個不同的Volcano。

Java 應用能使多個類載入程序對象實例化，不管它是否來自同一個類。因此它能根據需要建立多個類載入程序對象。用不同的類載入程序裝入的類在不同的命名空間中，并且除非明確許可外都不能互相訪問。當你開發Java 應用時，你可以把從不同來源載入的類隔離到不同的命名空間中。這樣用Java 的類載入程序體系結構就可控制不同來源的代碼間的訪問，你可以防止破壞性代碼的訪問正常的代碼。

Applet 的類載入程序
Web 瀏覽器是用類載入程序進行動態擴展的一個例子，它用類載入程序對象從網上為某個applet 下載類文件。Web 瀏覽器啟動一個裝入類載入程序對象（通常稱作applet 類載入程序）的Java 應用，這種類載入程序對象知道怎樣從HTTP 服務器獲得類文件。Applet 是動態擴展的一個例子，因為當Java 應用啟動時，它并不知道瀏覽器會要它從網上下載哪些類文件。要下載的類文件是在運行中瀏覽器遇上含有Java applet 的網頁時決定的。

Web 瀏覽器啟動的Java 應用通常為它索取類文件的網上站點建立不同的applet 類載入程序對象。因而不同來源的類文件由不同的類載入程序對象裝入，并被放入主Java 應用內不同的命名空間中。因為不同來源的applet 類文件放在隔離開的命名空間中，所以破壞性的代碼就不能與從其他來源下載的代碼直接接觸。

類載入程序間的合作
通常情況下，類載入程序對象都是互相依賴以完成各自遇到的類載入需求，至少它們都依賴于原始的類載入程序。例如，假設你寫了個Java 應用，它安裝了一個通過從網上下載類文件來獲取類的載入程序。假定在運行Java 應用期間要求你的類載入程序裝入一個叫Volcano 的類。一種實現方法是，首先讓原始的類載入程序在已經確認的類庫中尋找并裝入該類。由于Volcano 不是Java API 的一部分，那么原始的類載入程序就找不到它，這樣你的類載入程序就會用它自定義的方式從網上下載Volcano 類，假定你的類載入程序能下載Volcano 類，那么它就可以在將來的應用程序的執行中發揮作用。

下面繼續同一個例子，假定一段時間后Volcano 類的某個方法第一次被調用，它引用了Java API 中的String 類，由于這是第一次調用，虛擬機要求你的類載入程序（載入Volcano 的那個）裝入String 類。和前面一樣，你的類載入程序先把要求傳遞給原始的類載入程序，不過這一次原始的類載入程序能直接返回String 類，因為String 類是很基本的類，它肯定已被用過，因此也已被裝入了。大多數情況下原始的類載入程序會返回從正獲確認中預先裝入的String 類。這樣，類載入程序就不會再從網上下載它，而只是把原始的類載入程序返回的類傳遞給虛擬機。以后不管什么時候Volcano 類要引用String 類，虛擬機都會調用已載入的這個類。

沙箱中的類載入程序
在Java 沙箱中，類載入程序體系結構是阻擋破壞性代碼的第一道防線。不過也正是類載入程序把可能造成破壞的代碼帶進JVM 中。

類載入程序體系結構對Java 水箱的作用有：

它阻止了破壞性代碼干擾良好的代碼。

它保護已獲得確認的類庫。
類載入程序結構通過識別類是否獲得確認來保護類庫。如果某個破壞性的類能成功地欺騙JVM，使JVM 相信它是來自于Java API 的已獲確認的類，那么它就會突破沙箱的防線。而類載入程序結構能防止未獲確認的類模仿已獲得確認的類，這種預防辦法保障了Java 運行時的安全。

命名空間和保護屏
類載入程序結構給不同的類載入程序裝入的類提供了受保護的命名空間，這阻止了破壞性的代碼干擾正常的代碼。前面提到過，命名空間是JVM 維護的被載入類的名字集合。

命名空間有助于安全性是因為你能在不同命名空間的類間放置保護屏。在JVM 內部，同一個命名空間中的類能直接地互相交互，但不同命名間中的類甚至不知道對方的存在，除非明確地提供允許訪問的機制。如果某個破壞性的類被裝入后獲得了對目前其它裝入類的訪問權，那這個類就有可能知道它不該知道的東西，或有可能干擾你的程序運行。

建立一個安全的環境
當你寫一個使用類載入程序的應用時，你就建立了一個運行被動態裝入的代碼的環境。如果你想讓它沒有漏洞，在編寫應用和類載入程序時必須遵守一些規則。總的來說要隔離破壞性的代碼和正常的代碼，并象保護Java API 一樣保護獲得確認的類庫。

命名空間和代碼來源
為了發揮命名空間對安全性的作用，你要確保用不同的類載入程序從不同的來源裝入類。這就是支持Java 的Web 瀏覽器所采用的體制。Web 瀏覽器所啟動的Java 應用通常為它從網上下載類的每個來源建立不同的applet 類載入程序對象。例如，某個瀏覽器用一個類載入程序對象從http://www.riscapplets.com 下載類，而用另一個從http://www.meanapplets.com 下載類。

保護受限制的包
Java 允許同一個包中的類互相授予某些訪問權利，但不能對包外的類授予訪問權。因此，如果你的類載入程序接到請求，要裝入一個從名字上看似是Java API 一部分的類（如名為Java.lang.virus 的類），它就要小心處理這一請示。如果這樣的類被裝入的話，它就有權訪問Java.lang 這個已獲確認的類庫，從而有可能搞破壞。

因此，你應該正式地寫這樣一個類載入程序，它能很簡單地阻絕裝入那些看似是Java API 一部分（或任何其它已獲信任的庫），卻不在本地已獲確認的庫中的類。換名說，當你的類載入程序把請示傳遞給原始的類載入程序后，后者表示它不能裝入這個類，你的類載入程序就應查看一下這個類有沒有聲明為某個已獲確認的包中的一員。如果它聲明了，那你的類載入程序就應該發出安全性異常消息，而不是從網上下載它。

保護被禁止的包
此外，你也許在獲得信任的庫中安裝了一些包，你只希望你的應用通過原始的類載入程序來裝入其中的類，而不想讓那些你的類載入程序裝入的類有訪問權利。例如，假定你已經建立了一個叫absolutepower 的包，并把它裝到原始的類載入程序有權訪問的本地庫中，再假定你不希望自己的類載入程序裝入的類能裝入absolutepower 包中的任何一個類。在這種情況下，你所寫的類載入程序要做的第一件事是確保所需要的類沒有聲明是absolutepower 包中的一員。如果這樣的類有需求的話，你的類載入程序就應發出安全性異常消息，而不是把類名傳給原始的類載入程序。

類載入程序區分某個類是來自受限制的包還是來自被禁止的包的唯一辦法是看它的名字。因此必須給類載入程序一張受限制的和被禁止的包的名單。因為類名java.lang.virus 表示它是來自java.lang 的包，而java.lang 是受限制的包，所以如果原始的類載入程序不能載入它的話，你的類載入程序就應該發出一條安全異常消息。因為類名absolutepwer.FaneyClassloader 說明它屬于被禁止的包absolutepwer，你的類載入程序也應該發出安全異常消息。

注重安全性的類載入程序
寫注重安全性的類載入程序的方法一般是用以下四步：

如果有類載入程序無權訪問的類，那么類載入程序就檢查需要的類是否屬于上面提到的被禁止的包。如果是，就發一條安全性異常消息，如果不是則繼續第二步；

類載入程序把要求轉給原始的類載入程序，如果它成功地返回了類，類載入程序就返回它，否則的話繼續第三步；

如果有獲得信任的包禁止類載入程序加入這個類，那么類載入程序就檢查所要求的類是否屬于受限制的包，如果是，它就發安全異常消息，否則繼續第四步；

類載入程序最后試著用自定義的方法裝入類，例如從網上下載。如果成功的話就返回這個類，否則報告有“ 沒有發現類定義” 的錯誤。
類載入程序執行上述第一步和第三步保護了已獲確認的包。第一步徹底防止了裝入被禁止的包中的類，第三步禁止未獲得確認的類把它自己添加到已獲信任的包中。

結論
類載入程序的體系結構用二種方法幫助建立Java 的安全模式：

把代碼分離到不同的命名空間并在不同命名空間的代碼間設置保護屏；

保護象Java API 這樣已獲確認的庫。
為了發揮Java 類載入程序體系結構在安全性方面的作用，程序員們必須正確使用它的上述二種功能。為利用命名空間所形成的保護，不同來源的代碼應用不同的類載入程序對象來裝入；為利用受信任的包得到的保護，編寫的類載入程序必須對照受限制的和被禁止的包的名單來檢查所需求的類的命名。

上一篇：安全的基礎----學習java安全之前的準備

下一篇：XP精華-如何使 Java 項目獲得更大成功