セキュリティは、アプリケーション開発の最も重要な部分の1つです。 Java言語は、アプリケーションを安全にする多くのオプションと機能を提供することにより、安全なアプリケーションの開発を容易にします。これは大きなトピックであるため、この記事では、Javaプラットフォームで利用可能なセキュリティ機能とAPIのいくつかの重要な側面に触れます。
概要
Javaプラットフォームは、セキュリティを念頭に置いてゼロから構築されています。言語のタイプセーフプロパティと自動ガベージコレクションは、Javaアーキテクチャがセキュリティ機能をコアから直接吸収しようとしたことを示しています。
近年、セキュリティが大きな焦点となっています。たとえば、最近のブラウザは、Java、Silverlight、Flashなどのプラグインサポートを制限または削減するために取り組んでいます。これは、悪意のあるコードを無害に見えるアドオンに組み込むために悪用される可能性があるためです。 Java環境はクリーンですが、アプレットの性質上、信頼できないコードをパブリックネットワークからダウンロードします。これは重大なセキュリティ違反になる可能性があります。また、ブラウザの世界はここ数年で大きく変化しました。アプレットの絶対的な必要性はほとんど時代遅れになっています。おそらく、これと主にセキュリティ上の懸念の高まりにより、アプレットはJava9から非推奨になりました。
Javaセキュリティフレームワーク
Javaセキュリティサービスは拡張され、アプリケーションプログラミングインターフェイス(API)、ツール、多数のセキュリティアルゴリズムの実装、メカニズム、およびプロトコルの大規模なセットが含まれています。これにより、安全なアプリケーションを開発し、それに応じて管理するための包括的な環境が提供されます。
JavaセキュリティAPIの範囲は広範です。安全なアプリケーションを開発するための基礎は、暗号化および公開鍵インフラストラクチャ(PKI)インターフェース、複数の相互運用可能な共通アルゴリズムの実装、およびその他のセキュリティサービスにあります。認証とアクセス制御を実行するためのインターフェースがあります。これにより、アプリケーションは保護されたリソースへの不正アクセスを防ぐことができます。
言語セキュリティ
まず、言語自体は、セキュリティをコアに組み込むことを考慮して構築されています。最も単純な例は、おそらく型安全性の組み込みです。 タイプセーフ これは、プログラムが実行時にメモリへのアクセスを制限していることを意味します。これは、メモリをJavaオブジェクトにのみ関連付けることによって実現されます。オブジェクトには、その動作を定義する対応するクラスがあります。これにより、プログラムは定義された動作に従ってのみ動作できるようになります。このアイデアは動的型チェックと共鳴しますが、Javaは、動的型チェックの制限を克服するために、可能な限り複雑な静的型チェックも組み込んでいます。たとえば、バイトコードベリファイアは、コンパイル時にあらゆるタイプのエラーを表面化し、開発者にプロアクティブに報告するために使用される効果的な静的タイプチェッカーです。バイトコードベリファイアは、Java言語仕様に準拠することにより、正当なバイトコードが実行されることを保証します。これとは別に、メモリ違反、スタックアンダー/オーバーフロー、適切なタイプキャストなどもチェックします。これに加えて、制限付きアクセスをアサートするためのprivate、protected、publicなどの修飾子があります。
セキュリティプロバイダー
これらのサービスは、セキュリティのプロバイダーとして機能します。これらは、標準インターフェースを介してJavaプラットフォームに接続すると、アプリケーションがセキュリティサービスを簡単に取得できるようにします。このメカニズムの利点は、開発者が複雑な詳細について知る必要がなく、代わりにセキュリティ機能をアプリケーションに統合することに集中できることです。このアイデアは、 java.security.Providerと呼ばれる抽象クラス内にカプセル化されています。 。セキュリティサービスは、 getInstance()を介して取得されます。 プロバイダーが提供するメソッド 。多くのプロバイダーが構成され、それぞれにインストールされているランタイムごとに名前とバージョン番号が構成されている場合があります。たとえば、プログラムは、オプションで次のように名前で特定のプロバイダーを要求することにより、特定のメッセージダイジェストアルゴリズムを取得できます。
MessageDigest messageDigest = MessageDigest.getInstance("MD5",
"MyProvider1");
暗号化
Java暗号化APIは、次の2つのパッケージに分散されています: java.security およびjavax.crypto 。 Javaは、多数の暗号化アルゴリズムを実装することにより、多種多様な暗号化サービスを提供します。それらのいくつかは次のとおりです:
- java.security.MessageDigest: このクラスは、任意のサイズのデータを取得し、固定長のハッシュ値を出力する一方向ハッシュ関数の実装を提供します。アルゴリズムの名前はSHA-1またはSHA-256です。
- java.security.Signature: このクラスは、SHA-256メッセージダイジェストアルゴリズムを使用して、DSA、RSA、またはDSAアルゴリズムなどのデジタル署名アルゴリズムの機能を提供するために使用されます。デジタル署名は、デジタルデータの整合性と信頼性を確保するために特に使用されます。
- java.security.SecureRandom: このクラスは、暗号的に強力なランダムな数値を生成する機能を提供します。
公開鍵インフラストラクチャ(PKI)
PKIインフラストラクチャは、公開鍵暗号を使用したデータの安全な交換を可能にします。これには、キー、証明書、公開キー暗号化、およびデジタル証明書が含まれます。 PKIに関連するクラスは、 java.securityに保存されます。 およびjava.security.cert パッケージ。
認証
認証 ユーザーIDを確認するプロセスです。 Javaを使用すると、アプリケーションはプラガブルモジュールを使用してユーザー認証を実行できます。 LoginContextというクラスがあります javax.security.auth.login内 パッケージ。このクラスは名前でインスタンス化されます およびCallbackHandler。 LoginContext 名前を構成のインデックスとして使用します。構成によって、特定の LoginModule が決まります ( javax.security.auth.spi.LoginModule )。 CallbackHandler LoginModuleに渡されます たとえば、GUIでユーザー名とパスワードの入力を求めるプロンプトを表示します。
安全な通信
Javaプラットフォームは、メッセージの整合性、データ暗号化、およびクライアントとサーバーの認証のための機能を提供するSSLおよびTLSプロトコルを実装します。これは、HTTPまたはTCP/IPプロトコルに加えてピア間のデータ通信の安全な通過を確立するために使用できます。実装のAPIサポートは、 javax.net.sslにあります。 パッケージ。多くのサポートクラスがあります。たとえば、 SSLSocket クラスはjava.net.Socketの拡張です SSL/TLSプロトコルを使用して安全なソケットを提供するクラス。これは、トランスポート層プロトコル(TCP)に保護層が追加された通常のストリームソケットに他なりません。
アクセス制御
アクセス制御クラスは、ローカルファイルなどの機密性の高いリソースへのアクセスを保護します。 java.lang.SecurityManager クラスはすべてのアクセスを仲介します。このクラスにより、アプリケーションはセキュリティポリシーを実装できます。したがって、安全でない可能性のある操作が試行で制限される可能性があり、アプリケーションは許可された操作を完全に制御できます。
結論
これは、Javaプラットフォームのセキュリティ機能、機能、およびAPIに関するクイックツアーです。 Javaは、アプリケーションにセキュリティを実装するための包括的なサポートを提供します。この場合、開発者は、セキュリティの実装に伴う複雑さに気づかずに、そのメリットを享受できます。これにより、すべてを最初から作成しなくても、製品を迅速かつ効率的に提供できます。
参照
- JavaAPIドキュメント
- Javaセキュリティの概要