基于J2EE的安全技术研究

J2EE安全技术为基于J2EE架构的应用系统提供了多种安全服务，但是，J2EE安全仍然存在一些不足之处。如J2EE安全体系结构中提供的基于角色的类级粗粒度访问控制已经不能满足当前企业级应用实际需求；J2EE规范定义的安全域范围内单点登录在使用中存在很多不便等。由此，本文针对J2EE安全体系结构、J2EE访问控制模型以及基于J2EE的安全技术进行了深入地研究，重点从认证与授权、数据存储安全、数据传输安全等方面对J2EE安全技术进行了分析，并指出了J2EE安全中存在的一些不足。 在此研究的基础上，基于J2EE分层体系结构提出了一套可行的安全增强方案，同时给出了该方案的设计与部分实现。在增强方案的服务器端安全中，设计并实现了集中式认证架构CAA(Central Authentication Architecture)，CAA在不使用Cookie机制的情况下实现了单点登录和集中认证功能；建立了基于角色的实例级访问控制RBIAC(Role-based Instance-level Access Control)模型，并进行了实现；其次，提出了一种实现用户多角色访问系统的实现方法。最后安全增强方案在军队办公自动化信息平台得到了应用。