當計算機將我們包圍、當網絡無處不在時，安全問題也成為我們日益關心的問題。我們依賴于網絡，同時又受限于網絡，而網絡本身卻是不安全的！如今越來越多的企業應用都架設在網絡平臺之上，雖然能為用戶提供更快捷和便利的服務支持，但這些服務支持也越來越龐大。與此同時，為了滿足用戶日益增長的服務需求，企業應用不斷在如何提供更好的服務支持和更大信息量的傳輸方面加大技術投入。而與此失衡的是，企業應用的安全性卻未能受到足夠的重視。單憑用戶名和口令鑒別用戶身份，繼而授權用戶使用的方式難以確保數據的安全性。

我們身邊的安全問題

安全，似乎是個問題。但是，我們覺得這個話題似乎不是那么關鍵！通常情況下，我們為用戶提供用戶名和口令驗證的方式就可以避免這個問題，但這不是最佳答案，因為這樣做是遠遠不夠的。安全隱患無處不在，還是先來看看我們所處環境的安全狀況吧！

存儲問題

閃存芯片的快速革命使得移動存儲行業發生了質的變化，各種數據存儲在各種不同的移動存儲設備上。當一部優盤塞滿了公司的年度報表、下一年企劃策略等各種商業機密后，突然不翼而飛時，我們才會猛然驚醒—優盤中的數據沒有任何安全措施，甚至連口令都沒有！

通信問題

我們習慣于通過IM工具與好友聊天、交換心情、透漏隱私，甚至通過IM工具與合作公司交換公司私密數據！當你的隱私成為公共話題，當你的公司的商業數據被曝光，你突然發現原來IM工具是不安全的！沒錯，不管是哪一種IM工具，都在不遺余力地告誡用戶聊天信息可能被盜取，“安全提示：不要將銀行卡號暴露在您的聊天信息中！”相信大家都不會對這條提示信息感到陌生。

B2C、B2B交易問題

到郵局排隊匯款的日子已經一去不復返了，取而代之的是網上銀行，輕松地點擊一下按鈕就能順利完成轉賬的操作。網上銀行的確為我們的生活帶來了便利，但是，如果我們有被釣魚網站騙取銀行卡號和密碼的不幸遭遇，現在想起來是不是仍然心有余悸難道沒有一種辦法能確保我們輸入的信息被發送到安全的地方嗎 服務交互問題隨著大型應用對交互性的需求越來越高，這些應用之間的數據交互也越來越頻繁，甚至是大批量、高負荷的數據交互。當你公司的應用通過Web Service接口與合作伙伴交互數據的時候，你該如何確定對方就是你所信賴的合作伙伴呢你的Web Service接口安全嗎

移動應用服務問題

3G時代已經來臨，在不遠的某一天，你將完全可以通過手機完成現在只能通過PC完成的事情。視頻聊天、B2C購物、銀行轉賬，等等。3G時代預示著智能手機將無所不能！其實手機也是計算機，只不過它與你熟悉的PC在體積上有較大的差別而已。3G手機一樣要通過網絡完成你要執行的操作，將平臺由PC轉換為手機，并不能保證手機平臺就能比PC平臺有著更高的安全性！

用手機在WAP網站上下載一款軟件，是再平常不過的事情了。但是，如何避免用戶因不夠信任該軟件而取消下載呢下載后，手機如何鑒別這個軟件是安全的呢如何避免發布的軟件在被客戶成功下載之前被篡改呢

內部人為問題

前面列舉的問題都來源于外部，我們往往忽略了內部人為問題。現在的企業應用都能為用戶提供用戶名和口令來確保用戶的數據安全，但很多時候用戶名和口令在數據庫中卻一目了然，甚至有的是以明文方式存儲的！企業內部任何能訪問數據庫的員工都能輕而易舉地盜取用戶的用戶名口令，冒充用戶的身份完成各種合乎用戶行為的操作，侵害用戶的利益。企業因此被用戶投訴之后，卻又找不到任何蛛絲馬跡。

當我們的利益受到侵犯時我們才會想起安全問題，安全原來如此重要！一不小心，你的企業應用就會因為數據泄露而喪失良機、引發投訴，甚至是巨額賠款！安全問題關系著企業的生死存亡！#p#

拿什么來拯救你，我的應用

“拿什么來保護你，我的應用”這幾乎是每一位架構師和安全工作者所關注的問題。看了上面那么多讓人不寒而栗的安全問題，免不了讓我們心里發怵。道高一尺，魔高一丈，我們先來看看有什么武器可以應對企業應用的安全問題。接下來會討論安全技術目標、OSI安全體系結構與TCP/IP安全體系結構這三方面的內容。

安全技術目標

國際標準化組織（ISO）對“計算機安全”的定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄露。”根據美國國家信息基礎設施（NII）提供的文獻，安全技術目標包含保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、可靠性（Reliability）和抗否認性（Non-Repudiation）。

保密性：也稱做機密性。保密性確保數據僅能被合法的用戶訪問，即數據不能被未授權的第三方使用。

完整性：主要確保數據只能由授權方或以授權的方式進行修改，即數據在傳輸過程中不能被未授權方修改。

可用性：主要確保所有數據僅在適當的時候可以由授權方訪問。

可靠性：主要確保系統能在規定條件下、規定時間內、完成規定功能時具有穩定的概率。

抗否認性：也稱做抗抵賴性，主要確保發送方與接收方在執行各自操作后，對所做的操作不可否認。

除此之外，計算機網絡信息系統的其他安全技術目標還包括：

可控性：主要是對信息及信息系統實施安全監控。

可審查性：主要是通過審計、監控、抗否認性等安全機制，確保數據訪問者（包括合法用戶、攻擊者、破壞者、抵賴者）的行為有證可查，當網絡出現安全問題時，提供調查依據和手段。

認證（鑒別）：主要確保數據訪問者和信息服務者的身份真實有效。

訪問控制：主要確保數據不被非授權方或以未授權方式使用。

安全技術目標制定的主旨在于預防安全隱患的發生。安全技術目標是構建安全體系結構的基礎。

OSI安全體系結構

OSI參考模型是由國際標準化組織制定的開放式通信系統互聯參考模型（ Open SystemInterconnection Reference Model，OSI/RM）。OSI參考模型包括網絡通信、安全服務和安全機制。網絡通信共分七層，按照由下至上的次序分別由物理層（Physical Layer）、數據鏈路層（Data Link Layer）、網絡層（Network Layer）、傳輸層（Transport Layer）、會話層（SessionLayer）、表示層（Presentation Layer）和應用層（Application Layer）構成。其中，數據鏈路層通常簡稱為鏈路層。國際標準化組織于1989年在原有網絡通信協議七層模型的基礎上擴充了OSI參考模型，確立了信息安全體系結構，并于1995年再次在技術上進行了修正。OSI安全體系結構包括五類安全服務以及八類安全機制。

五類安全服務包括認證（鑒別）服務、訪問控制服務、數據保密性服務、數據完整性服務和抗否認性服務。

認證（鑒別）服務：在網絡交互過程中，對收發雙方的身份及數據來源進行驗證。

訪問控制服務：防止未授權用戶非法訪問資源，包括用戶身份認證和用戶權限確認。

數據保密性服務：防止數據在傳輸過程中被破解、泄露。

數據完整性服務：防止數據在傳輸過程中被篡改。

抗否認性服務：也稱為抗抵賴服務或確認服務。防止發送方與接收方雙方在執行各自操作后，否認各自所做的操作。

從上述對安全服務的詳細描述中我們不難看出，OSI參考模型安全服務緊扣安全技術目標。八類安全機制包括加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、業務流填充機制、路由控制機制和公證機制。

加密機制：加密機制對應數據保密性服務。加密是提高數據安全性的最簡便方法。通過對數據進行加密，有效提高了數據的保密性，能防止數據在傳輸過程中被竊取。常用的加密算法有對稱加密算法（如DES算法）和非對稱加密算法（如RSA算法）。

數字簽名機制：數字簽名機制對應認證（鑒別）服務。數字簽名是有效的鑒別方法，利用數字簽名技術可以實施用戶身份認證和消息認證，它具有解決收發雙方糾紛的能力，是認證（鑒別）服務最核心的技術。在數字簽名技術的基礎上，為了鑒別軟件的有效性，又產生了代碼簽名技術。常用的簽名算法有RSA算法和DSA算法等。

訪問控制機制：訪問控制機制對應訪問控制服務。通過預先設定的規則對用戶所訪問的數據進行限制。通常，首先是通過用戶的用戶名和口令進行驗證，其次是通過用戶角色、用戶組等規則進行驗證，最后用戶才能訪問相應的限制資源。一般的應用常使用基于用戶角色的訪問控制方式，如RBAC（Role Basic Access Control，基于用戶角色的訪問控制）。

數據完整性機制：數據完整性機制對應數據完整性服務。數據完整性的作用是為了避免數據在傳輸過程中受到干擾，同時防止數據在傳輸過程中被篡改，以提高數據傳輸完整性。通常可以使用單向加密算法對數據加密，生成唯一驗證碼，用以校驗數據完整性。常用的加密算法有MD5算法和SHA算法等。

認證機制：認證機制對應認證（鑒別）服務。認證的目的在于驗證接收方所接收到的數據是否來源于所期望的發送方，通常可使用數字簽名來進行認證。常用算法有RSA算法和DSA算法等。

業務流填充機制：也稱為傳輸流填充機制。業務流填充機制對應數據保密性服務。業務流填充機制通過在數據傳輸過程中傳送隨機數的方式，混淆真實的數據，加大數據破解的難度，提高數據的保密性。

路由控制機制：路由控制機制對應訪問控制服務。路由控制機制為數據發送方選擇安全網絡通信路徑，避免發送方使用不安全路徑發送數據，提高數據的安全性。

公證機制：公正機制對應抗否認性服務。公證機制的作用在于解決收發雙方的糾紛問題，確保兩方利益不受損害。類似于現實生活中，合同雙方簽署合同的同時，需要將合同的第三份交由第三方公證機構進行公證。

安全機制對安全服務做了詳盡的補充，針對各種服務選擇相應的安全機制可以有效地提高應用安全性。隨著技術的不斷發展，各項安全機制相關的技術不斷提高，尤其是結合加密理論之后，應用安全性得到了顯著提高。本書的后續章節將以加密理論及其相應實現為基礎，逐步闡述如何通過加密技術確保企業應用的安全。

TCP/IP安全體系結構

OSI參考模型為解決網絡問題提供了行之有效的方法，但是衛星和無線網絡的出現，使得現有的協議在與衛星和無線網絡互聯時出現了問題，由此產生了TCP/IP參考模型。TCP/IP從字面上看是兩個Internet上的網絡協議（TCP是傳輸控制協議，IP是網際協議），但實際上TCP/IP是一組網絡協議，通常包括TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP、TFTP等協議。TCP/IP參考模型由下至上分為網絡接口層、網絡層、傳輸層和應用層。#p#

捍衛企業應用安全的銀彈

通過對1.2節的學習，我們已經找到了處理安全問題的武器。但是，我們還缺少一枚解決安全問題的銀彈—密碼學。的確，密碼學是企業應用安全問題領域的一枚銀彈，是解決安全問題的核心所在。

密碼學在安全領域中的身影

安全領域離不開密碼學的支持。例如，在OSI安全體系結構中通過數據加密確保數據的保密性，在TCP/IP安全體系結構中以加密算法為基礎構建SSL/TLS協議，這些都說明密碼學與安全問題密不可分。

密碼學在加密算法上大體可分為單向加密算法、對稱加密算法、非對稱加密算法三大類。MD5、SHA算法是單向加密算法的代表，單向加密算法是數據完整性驗證的常用算法。DES算法是典型的對稱加密算法的代表，對稱加密算法是數據存儲加密的常用算法。RSA算法是典型的非對稱加密算法的代表，非對稱加密算法是數據傳輸加密的常用算法。對稱加密算法也可以用做數據傳輸加密，但非對稱加密算法在密鑰管理方面更有優勢。相對對稱加密算法而言，非對稱加密算法在安全級別上等級更高，但非對稱加密算法在時間效率上遠不如對稱加密算法。以密碼學為基礎的各種安全實現相繼出現，如HTTPS協議和一系列的“數字技術”（數字摘要、數字信封、數字簽名、數字證書等），這些構成了認證技術的基礎。

密碼學為安全領域筑起了一道銅墻鐵壁。

密碼學與Java EE

Java EE對密碼學的支持是相當廣泛的，主要表現在如下幾個方面：

Java API支持：Java API支持多種加密算法。如MessageDigest類，可以構建MD5、SHA兩種加密算法；Mac類可以構建HMAC加密算法；Cipher類可以構建多種加密算法，如DES、AES、Blowfish對稱加密算法，以及RSA、DSA、DH等多種非對稱加密算法；Signature類可以用于數字簽名和簽名驗證；Certificate類可用于操作證書；等等。

JSP容器支持：常用的應用服務器（如Tomcat）可以通過簡單的配置支持SSL/TLS協議，獲取證書配置，有效地構建HTTPS應用。

Java工具支持：通過KeyTool可以很好地完成密鑰管理、證書管理等；通過JarSigner可以完成代碼簽名。

為你的企業應用上把鎖

終于，我們準備好了應對企業應用安全問題的良策。現在，讓我們為自己的企業應用裝上這一道道的安全鎖。

訪問控制：通過為用戶設定用戶名和口令控制用戶訪問權限。這是我們最常用的，也是最簡單的防范措施。隨著企業應用業務的不斷細化，如何劃分用戶訪問控制權限，如何控制不同類型的用戶（如超級管理員、普通用戶、VIP用戶）訪問受限資源成為新的問題。通常依靠各種理論基礎來劃分，常用的劃分方式有：以用戶組為單位劃分某組用戶可以訪問某些資源（Linux操作系統是這種劃分方式的典型代表）；以用戶角色為單位劃分具有何種角色的用戶可以訪問哪些相應的資源，如我們已經提到過的RBAC。訪問控制通常沒有固定的算法，由架構師根據系統設計需求進行相應的設計。訪問控制僅僅能起到企業應用第一層屏障的作用，最易實現也最不安全，適用于安全系數較低的企業應用。

數據加密：通過對數據的加密、解密可以有效地提高企業應用的安全性。數據加密可以應用在企業應用中的多個環節。例如，可對機要數據進行加密后再存儲，對用戶的口令加密后存儲可有效避免口令盜取導致的用戶利益侵犯問題；對網絡傳數據加密，對用戶聊天信息加密傳輸可以確保用戶隱私不易被破譯；對要傳輸的數據做加密摘要，各種通過網絡傳播的光盤文件（ISO文件）同時附有摘要信息作為驗證，可以驗證數據完整性。數據加密適用于多種企業應用，架構師可根據具體要求實施相應的加密防范措施。

證書認證：通過數字證書認證可以鑒別用戶身份、消息來源的可靠性，加上HTTPS協議的支持可達到高度的數據安全性。數字證書由權威的數字證書認證中心（CertificateAuthority，CA)頒布。數字證書經認證中心簽名處理，任何第三方都無法修改證書的內容。數字證書自身帶有公鑰信息，可以對數據進行加密、解密和數字簽名驗證。同時，帶有MD5、SHA的消息摘要信息可做自身有效性驗證。數字證書鑒于自身高度的安全性通常以文件形式存儲，可通過網絡、物理存儲載體發送給用戶使用。通過讀取數字證書信息，HTTPS協議得以發揮安全信道通信的作用，確保數據交互的安全性。當然，安全總是有代價的。通過數字證書對數據做處理后，網絡交互時間會相應延遲，主要是因為非對稱加密算法的時間效應。但為了更高的安全性，犧牲系統響應時間是有必要的。通常在電子商務中，使用數字證書是最好的選擇，也是確保安全交易的唯一選擇。而大型企業應用之間的大批量機要數據的交互，通常采用數字證書認證的方式。架構師可根據企業應用的相應領域，不同的業務需求選擇有效的數字證書確保企業應用安全。#p#

編輯總結

大家都知道安全問題很重要，卻不能很好地處理它。每當安全事故發生時，我們才想起要亡羊補牢，但往往為時已晚。在對安全現狀做了一些簡要總結后，我們發現身邊的安全隱患無處不在，PDA里存的年度報表、好友的聊天信息、網上交易的銀行卡號以及輕易以明文存儲的口令信息等，都可能被盜取、泄露和篡改。

通過安全技術目標的定義，我們知道安全技術目標包含保密性、完整性、可用性、可靠性和抗否認性。這五項技術目標基本上概括了我們所遇到的安全隱患問題，那么我們是否有一整套可行的對策呢安全體系結構對這個問題給予了相當權威的理論支撐。

OSI參考模型在原有網絡通信七層結構的基礎上構建了OSI安全體系結構，它由五類安全服務和八類安全機制構成。其中，五類安全服務以安全技術目標為主旨，包括認證（鑒別）服務、訪問控制服務、數據保密性服務、數據完整性服務和抗否認性服務；八類安全機制針對五類安全服務做了詳盡的補充，包括加密機制、數字簽名機制、訪問控制機制、數據完整性機制、認證機制、業務流填充機制、路由控制機制和公證機制。

隨著衛星和無線網絡的出現，原有OSI參考模式已不能應對這些網絡的安全問題，TCP/IP得以出現，安全問題也隨即突出。為了解決這些安全問題，TCP/IP安全體系結構誕生了，包括網絡接口層安全、網絡層安全、傳輸層安全和應用層安全四項內容。其中，網絡接口層安全和網絡層安全依靠物理硬件來完成，傳輸層安全和應用層安全通過SSL/TLS+HTTP協議（也就是HTTPS協議）來完成。

通過密碼學，我們找到了應對企業應用安全問題的銀彈，在Java EE企業應用中也找到了相應的支持。

雖然通過用戶名和口令的方式來控制用戶訪問是最簡單，甚至是最簡陋的方法，但它仍是企業安全應用的第一道屏障。我們可以合理使用相應的訪問控制理論來提高對用戶訪問控制的安全性。例如基于用戶組與用戶角色的訪問控制方式。在密碼學的支持下，我們可以對數據進行加密和解密，確保數據的保密性，也可以通過信息摘要的方式對數據完整性進行驗證。單向加密算法可以對數據完整性進行驗證，常用算法如MD5、SHA。對稱加密算法可以用于數據加密存儲，常用算法如DES。非對稱加密算法可用于數據加密傳輸，常用算法如RSA。我們制定出了相應的算法，同時也需要相應的載體。數字證書作為一種憑證，一種載體，可以用于數字加密解密、數字簽名驗證、自身有效性驗證，尤其是當數字證書結合HTTPS協議應用于電子商務后，極大地提高了網絡通信安全性。

隨著計算機技術的不斷發展，新的存儲方式、新的網絡結構將層出不窮，相應的商務應用環節也會發生翻天覆地的變化，緊隨其后的安全問題也會“窮追不舍”。雖然我們可以通過各種技術相應提高企業應用的安全性，但這些技術統統基于密碼學理論。同樣，密碼學并不是固若金湯般的堅不可摧，密碼學的破解每一天都有發生。我們應當合理使用各種安全技術，使其有機結合、優勢互補，確保企業應用具有更高的安全性。