Java安全手册

第一部分　Java安全基础
第1章　安全性基础
1.1 基本安全模型
1.2 加密
1.2.1 加密类
l.2.2 消息摘要
1.2.3 对称密钥
1.2.4 非对称密钥
1.3 验证与非否认
1.3.1 验证类型
1.3.2非否认
1.4 访问控制
1.4.1 自由选择访问控制
1.4.2 基于角色的访问控制
1.4.3 强制访问控制
1.4.4 防火墙访问控制
1.5 域
1.6 审计
1.7 策略与管理
1.8 小结
第2章 Java安全概述
2.1 Java安全历史
2.2 Java安全体系结构
2.2.1 Java 2安全体系结构的核心
2.2.2 Java加密体系结构
2.2.3 Java加密扩展
2.2.4 Java安全套接扩展
2.2.5 Java验证与授权服务
2.3 字节码验证器
2.4 类装入器
2.4.1 类装火器体系结构与安全性
2.4.2 类装入器接口
2.5 安全管理器
2.5.1 安全管理器接口
2.5.2 定制安全管理器
2.6 Java加密体系结构
2.6.1 JCA体系结构
2.6.2 加密引擎
2.6.3 加密服务提供者
2.7 小结
第3章　Java应用程序安全访问控制
3.1　权限
3.1.1　权限体系结构
3.1.2 权限类型
3.1.3 定制权限类型
3.2 安全策略
3.2.1 安全策略文件格式
3.2.2 在策略文件中引用属性
3.2.3 使用安全策略文件
3.2.4 安全策略工具
3.2.5 安全策略 API
3.3 Java访问控制
3.3.1 访问控制体系结构
3.3.2 保护对象
3.3.3 SecurityManager访问控制映射
3.3.4　微调与可配置访问控制举例
3.4　小结
第4章　小程序安全性
4.1　扩展沙袋
4.1.1　JDK1.0沙袋
4.1.2 JDK1.1沙袋
4.1.3 JDK1.2最低权限
4.2 指定小程序安全策略
4.2.1 安全策略文件内容
4.2.2 提供项目语法
4.3 使用签名小程序
4.3.1 生成JAR文件
4.3.2 签名JAR文件
4.3.3 指定签名小程序策略
4.4 取得签名证书
4.5 使用不同的浏览器
4.6小结
第二部分 加密安全
第5章 加密简介
5.1 密写简史
5.2 加密技术与密码分析
5.3 密码
5.3.1 凯撒密码
5.3.2 简单替换密码
5.4 秘密密钥加密
5.4.1 数据加密标准
5.4.2 DESede
5.4.3 Blowfish
5.4.4 Rivest密码
5.5 公开密钥加密法
5.5.1 Rivest、Shamir、Adleman（RSA）算法
5.5.2 EIGamal算法
5.6 消息摘要
5.6.1 MD5
5.6.2 SHA—1
5.6.3 Base 64编码
5.7 数字签名
5.7.1 数字签名算法
5.8 数字证书
5.9 小结
第6章　密钥管理与数字证书
6.1　密钥管理的重要性
6.2 密钥表示
6.3 密钥产生
6.3.1 KeyPairGenerator类
6.3.2 KeyGenerator类
6.3.3 KeyGeneratorApp程序
6.3.4 安全随机数与密钥生成
6.3.5 密钥转换
6.4 密钥协商
6.4.1 Internet简单密钥管理协议
6.4.2 密钥协商的JCE支持.
6.5 密钥存储与基于口令加密
6.6 JDK1.1与JDK1.2密钥管理的差别
6.6.1 JDK1.1密钥管理
6.6.2 JDK1.2密钥管理
6.7 keytool
6.8 小结
第7章　消息摘要与数字签名
7.1 消息摘要类与接口
7.1.1 MessageDigestSpi
7.1.2 MessageDigeSt
7.1.3 DigestInputStream与DigestOutputStream
7.1.4 使用摘要流
7.1.5 DigestException
7.2 消息验证代码
7.2.1 MacSpi
7.2.2 Mac
7.2.3 MAC操作
7.3 签名类与接口
7.3.1 SignatureSpi
7.3.2 Signature
7.3.3 SignedObject
7.3.4 Signer
7.3.5 SignatureException
7.4 小结
第8章　Java加密扩展
8.1 JCE内幕
8.2 CryptiX JCE
8.3 安全提供者与算法独立性
8.4 如何组织安全提供者
8.4.1 引擎类
8.4.2 SPI类
8.4.3 提供者类
8.5 生成新提供者
8.5.1 扩展SPI类
8.5.2 扩展Provider类
8.5.3 安装Provider类
8.6 使用提供者
8.7 小结
第9章 SSL与JSSE
9.1 SSL概述
9.2 Java安全套接扩展概述
9.2.1 JSSE包与类概述
9.3 JSSE提供者
9.4 JSSE SSL服务器套接
9.4.1 取得SSL服务器套接工厂
9.4.2 生成SSL服务器套接
9.4.3 SSL服务器套接听取
9.4.4 客户机验证
9.5 JSSE SSL客户机套接
9.5.1 取得SSL套接工厂
9.5.2 生成SSL客户机套接
9.6 JSSE SSL对话
9.7 小结
第三部分 分布式系统安全
第10章 分布式企业安全概述
10.1 分布式企业系统技术
10.1.1 企业数据库连接
10.1.2 企业通信
10.1.3 企业通信服务
10.1.4 基于容器的企业组件
10.2 企业数据库连接安全性
10.3 企业通信安全
10.3.1 基本网络安全
10.3.2 RMI安全性
10.3.3 CORBA安全性
10.4 企业通信服务安全
10.4.1 JNDI安全
10.4.2 Jini安全性
10.4.3 JMS安全性
10.4.4 JavaMail安全性
10.5 基于容器的企业组件安全性
10.5.1 Web组件安全
10.5.2 EJB安全性
10.6 小结
第11章　数据库与数据库安全
11.1 何谓数据库
11.2 关系型数据库
11.2.1 使用关键字
11.3 结构化查询语言
11.4 远程数据库访问
11.4.1 CDBC与 JDBC驱动器
11.5 用jsva.sql包连接数据库
11.5.1 建立数据库连接
11.5.2 执行 SQL语句
11.5.3 StatementApp程序
11.6 数据库安全问题
11.6.1 保护数据库连接
11.6.2 保护用户连接
11.6.3 审计
11.6.4 数据库扫描
11.7 小结
第12章 Java验证与授权服务
12.1 JAAS概述
12.2  JAAS主题
12.2.1 主题关系
12.2.2 生成主题
12.2.3 操纵主题属性
12.2.4 专门主题证书
12.3 用JAAS验证
12.3.1 登录模块配置与初始化
12.3.2 验证过程
12.3.3 回拨处理
12.4 用JAAS授权
12.4.1 JAAS安全策略文件格式
12.4.2 使用JAAS安全策略文件
12.4.3 进行安全关键操作
12.4.4 JAAS安全授权抽象
12.4.5 标准Java安全策略与JAAS权限
12.5 小结
第13章 CORBA安全性
13.1 CORBA Security概述
13.1.1 CORBA Secutity包
13.1.2 CORBA安全体系结构
13.1.3 核心 CORBA Security接口
13.2 验证
13.3 代理
13.4 授权
13.5 审计
13.6 非否认
13.7 加密
13.8 安全策略
13.9 安全管理
13.10　小结
第14章 企业JavaBeans安全
14.1 EJB安全概述
14.2 标准编程EJB访问控制
14.3 标准声明性EJB访问控制
14.4 厂家特定EJB访问控制
14.5 厂家特定EJB标识与验证
14.6 EJB安全通信、代理与审计
14.6.1 EJB连接安全性
14.6.2 EJB主体代理
14.6.3 EJB安全审计
14.7 小结
第15章 JSP与Java servlet安全
15.1 公用网关接口
15.1.1 Web服务器与CGI程序通信
15.1.2 CGI程序——Web服务器通信
15.2 对话状态维护
15.2.1 cookie
15.2.2 URL改写
15.2.3 隐藏窗体字段
15.3 服务器方编程安全问题
15.3.1 截获对话状态信息
15.3.2 伪造对话状态信息
15.3.3 缓冲区溢出
15.3.4 数据验证
15.3.5 页面序列化
15.3.6 对话超时
15.3.7 信息报表
15.3.8 浏览器残余
15.3.9 用户验证
15.3.10 登记敏感信息
15.3.11 最低权限
15.4 Java servlet
15.4.1 为什么使用servlet
15.4.2 Servlet API
15.4.3 Servlet如何工作
15.4.4 Servlet举例
15.4.5 Servlet安全性
15.5 JavaServerPages
15.6 小结
第四部分 附录
附录A Java安全缺陷
附录B RSA算法
附录C 下戴与安装JCE
附录D Java 2 SecurityAPI
附录E 下载与安装Cryptix JCE 1.2
附录F 使用Keytool
附录G 使用Jsrsigner工具