JVM虚拟机安全浅析.pptx

JVM虚拟机安全 名将传奇-李媛 概述内容 安全性的重要 java沙箱 class的检验 签名与认证 安全策略 安全性的重要 多用于网络的技术 从网络下载程序 恶意代码 保护程序的完整 .class文件 保护主机的安全 对主机操作的权限控制 沙箱 不限制代码的来源 自动限制恶意代码可能破坏系统的操作 自动限制恶意软件的下载 沙箱的结构 类装载器结构 Class文件检验器 内置于java虚拟机（及语言）的安全特性 安全管理器及javaAPI 其中类装载器和安全管理器可以由用户定制 Java2之后提供了默认的安全策略 类装载器体系结构 第一道防线 通过命名空间阻止恶意代码随意调用本地代码 类装载的过程 装载从启动类装载器开始。 不同装载器装载的类，即使路径相同，也不属于同一个运行时包 启动类装载器装载API内的文件。 例子： Class文件检验 四趟扫描 class文件的结构检查 类型数据的语义检查 字节码验证 符号引用的验证 第一趟扫描 class文件的结构检查 magic num：0xCAFEBABE 检测版本号 每个组成部分声明了它的长度和类型。 保证这个字节序列正确的定义了一个新类型。 第一趟扫描  major.minor version 第二趟扫描 类型数据的语义检查 检查器查看每个组成部分，确认他们是否是其所属类型的实例，他们的结构是否正确。 检测特定条件 除Object都要有super Final不能被覆盖 第三趟扫描 字节码验证 对字节流进行数据流分析， 字节流代表的是类的方法。 第三趟扫描 确保字节流获得正确的操作码 确保操作数栈包含正确的数值和类型 不精确的让每个安全的程序都通过检查 字节码验证 字节码检验器，确保才用任何路径在字节码流中都得到一个确定的操作码，确保操作数栈总是包含正确的数值以及正确的类型。 第四趟扫描 符号引用的验证 跟踪引用，验证class的引用是正确的