3.5.3 MIDlet安全

作者: Christopher Steel, Ramesh Nagappan, Ray Lai 出处:机械工业出版社 　2007-07-18 16:19　   砖    好    评论  条 　进入论坛

阅读提示：《J2EE、Web服务和身份管理最佳实践与策略》是一本安全从业者实用指南，介绍在J2EE企业应用、Web服务、身份管理、服务供应和身份识别解决方案中，如何建立健壮的端到端安全性。本书由三位杰出的Java安全架构师编写，其中的模式驱动方法全面反映了确保大型应用安全的最佳实践。本文是MIDlet安全 介绍。

3.5.3 MIDlet安全     
MIDP1.0规范引入了基本安全特性，要求所有MIDlet套件都必须在基于沙箱的安全模型 中运行。这样做的主要目的是，确保MIDlet不能访问设备的敏感API和函数，从而避免给设备 资源带来任何风险。
MIDP2.0引入了可信MIDlet的概念，进而提供了一种灵活、一致的安全模 型，该模型还支持使用域策略定义的访问控制机制。对于可信的MIDlet套件，设备根据定义 的域策略对其实施访问控制。当设备无法验证和信任MIDlet套件的JAR文件的来源和完整性时 ，便将其视为不可信的。MIDP2.0还规定了如何对MIDlet套件进行加密签名，以便能够验证其 真实性和来源。
可信的MIDlet      以保护域（Protection Domain）的概念为基础，MIDP为可信的MIDlet定义了一个安全 模型。每个保护域都将一个MIDlet同一组权限及相关的交互模式关联起来，使MIDlet可以根 据授予的权限来访问域。保护域包含授予权限和用户权限:     授予权限（allowed permissions）定义了一组无需任何用户交互就可以执行的操作。    
用户权限定义了一组需要用户明确批准的权限。MIDlet受保护域的限制，仅在提示用户 并获得他们的批准后才允许或拒绝访问功能。    

在用户权限的情况下，MIDlet在首次需要权限时会询问用户应该授予还是拒绝。用户权 限用于授予允许或拒绝对特定API函数的权限，有以下3种交互模式:     全部:MIDlet每次调用都是有效的，直到其权限被用户撤销或从设备中删除MIDlet。    
会话:在关闭前，MIDlet套件每次调用都是有效的。每次会话初始化或首次调用前都将提 示用户。一次性:MIDlet对受限方法的单一一次调用是有效的，每次执行这样的调用时都会提 示用户。    
所有用户权限都有默认交互模式和一组可选的交互模式。这些交互模式由安全策略决定 ，而策略由域定义和别名组成。每个域都由授予权限和用户权限的定义组成，别名使命名权 限组可在多个域中重复使用，从而有助于简化策略。别名也可能只在单个策略文件中定义和 使用。    
域是由一个域标识符和一系列权限定义的。域标识符随实现而异。每项权限都以允许或 拒绝用户权限开始，并为随后指定的权限列表指定交互模式，如全部、会话和一次性。范例 3ˉ33是一个策略文件。
范例3ˉ33 MIDlet策略文件

要为执行MIDlet套件请求权限，可以使用JAD描述文件中的属性（如MIDletˉPermiss ions和MIDletˉPermissionsˉopt）来说明MIDlet套件对请求某些权限的依赖。这些特殊的 JAD属性描述了MIDlet套件的访问控制信息:MIDlet套件将尝试执行哪些操作，安装时，将这 些访问控制信息提供给设备。例如，假设MIDlet套件试图建立HTTP连接，并随意建立套接字 连接，则JAD描述文件中的属性大致如下:
设备试图将MIDlet套件安装到保护域中时，如果该保护域不允许MIDlet套件的JAD文件指 定的所需权限，那么安装将自动失败。从而，可信的MIDlet提供了保护机制，使设备免受可 能导致故障的错误或恶意Java代码的侵害。
签名的MIDlet套件     
从MIDP2.0起，可以对MIDlet套件进行加密签名，以验证其真实性和来源，从而将其视 为可信的。这是一种增强型MIDP应用安全模型，可以通过数字签名和PKI实现。和任何PKI认 证一样，它也要求使用零个或更多根CA证书来验证其他证书。对MIDlet套件进行签名与对Ap plet进行签名非常类似，其中也涉及签名者和公钥证书。MIDlet的签名者负责分发和支持MI Dlet。签名者需要持有一份公钥证书，该证书通过了设备中某个保护域的根证书的验证。签 名MIDlet套件通常包括一份由著名CA颁发的证书。需要注意的是，除非客户端设备能对签名 进行验证，否则对MIDlet套件进行签名将毫无意义。    
从开发人员的角度看，对MIDlet套件进行签名是将签名者的证书及JAR文件的数字签名加 入到JAD文件中。对MIDlet套件进行签名会在JAD文件中添加新属性，该属性为使用Base64编 码的值。
J2ME无线工具包使用户能够使用从CA获得的公/私钥对来对MIDlet套件进行签名，也可以使用以自签名证书方式生成的新密钥对进行签名测试。每个密钥对都与一份证书相关。通过为证书指定安全域，将为证书持有者指定访问受保护API的信任级别和对这些API的访问权限。
JADTool是随J2ME工具包提供的一个命令行工具，用于对MIDlet套件进行签名。JADTool只能使用J2SE密钥库中的证书和密钥。正如前面所讨论的，J2SE复合包为管理密钥库提供了密钥管理工具。
将JADTool工具打包成一个JAR文件，要从命令行界面运行它，需要将目录切换到｛j2metoolkitˉdir｝\ bin，然后执行下面的命令:
范例3ˉ34将给定的J2SE密钥库中的密钥对证书添加到指定的JAD文件中。范例3ˉ34 将证书添加到JAD文件中
范例3ˉ35将给定JAR文件的数字签名添加到指定的JAD文件中。
范例3ˉ35 将数字签名添加到JAD文件
范例3ˉ36显示了一个给定JAD文件中的证书列表。
范例3ˉ36 显示给定JAD文件中的证书列表
如果不想使用命令行工具JADtool，则J2ME工具包还提供了一个基于GUI的工具（Ktoolb ar），它使用户无需使用命令行选项就能完成整个签名过程。最后，还可以使用工具Ktoolb ar来发布MIDlet套件，然后使用在无线服务部署中广泛采用的无线下载（OverˉTheˉAir， OTA）供应技术直接安装MIDlet套件。OTA供应机制支持以无线方式部署应用，该方式与应用 发送、接收消息或浏览Internet的方式相同。    
J2ME平台［J2ME］还提供支持如下功能的机制:使用加密算法、使用SSL/TLS协议保护网 络通信安全及验证代码的来源、完整性和机密性。这些内容将在第4章“Java可扩展安全架构 与API”中再做详细讨论。

回书目   上一节