第10章Java安全技术辩析.ppt

而要将公共密钥导入证书，则需要键入如下代码，生成UseImage.cer证书文件，结果如图10.6所示。 keytool -export -alias UseImage -file UseImage.cer -keystore UseImage.keystore -storepass xueliang 图10.6 生成证书文件UseImage.cer 10.4.2 签名和校验工具 jarsigner用来对JAR文件进行数字签名和校验，这个过程基于keytool生成的keystore。在命令提示符状态下键入jarsigner后按回车键，可以看见用法及选项说明，如图10.7所示。 图10.7 jarsigner工具的用法及选项 常用的签名格式为： jarsigner -keystore keysotre-file -storepass keystore-password jar-file alias 其中： (1) keystore-file为keytool生成的keystore文件。 (2) keystore-password为keystore的密码。 (3) jar-file文件为档案文件而且只能为档案文件。 例如： jar cvf UseImage.jar UseImage.class index_01.gif;//生成JAR文件 jarsigner -keystore UseImage.keystore -storepass xueliang UseImage.jar UseImage//进行签名 10.4.3 PolicyTool Policytool是图形用户界面工具，可帮助用户指定、生成、编辑一个安全策略。命令提示符状态下键入PolicyTool后按回车键，就可调出此图形界面。根据界面指示，可以实现一个policy文件的各种操作。下面来看一下系统默认的policy文件，将D:\j2sdk1.4.0_01\jre\lib\security目录下的java.policy文件拷贝到E:\_Work\Java\sample目录下，在命令行状态运行命令policytool，弹出“规则工具”对话框。单击“文件”菜单中的“打开”项，选择java.policy文件并打开，如图10.8所示。从图10.8中可以看出允许两个CodeBase来源的远程代码。 图10.8 使用policytool工具打开java.policy文件 选中第一个规则项目“CodeBase file:${java.home}/lib/ext/*”，单击“编辑规则项目”按钮，弹出一个“规则项目”的窗口，如图10.9所示，可以看见签名项(SignedBy：)为空，而权限一栏中为 permission java.security.AllPermission; 表示允许这个规则项目下的所有远程代码对系统的所有资源进行访问。 图10.9 全部授权的权限列表 选中第二个规则项目“CodeBase ALL”，单击“编辑规则项目”按钮，弹出如图10.10所示窗口。权限列表中可以看出对普通属性都有读的权限。这是客户端对所有远程代码的默认的安全限制列表。 图10.10 所有远程代码访问的默认权限列表 这个默认的java.policy文件对应的源文件如下： // Standard extensions get all permissions by default grant codeBase file:${java.home}/lib/ext/* { permission java.security.AllPermission; }; // default permissions granted to all domains grant { // Allows any thread to stop itself using the java.lang.Thread.stop() // method that takes no argument. // Note that this permission is granted by default only to remain // backwards compatible. // It is strongly recommended that you either remove this permission