基于Java 2运行时安全模型的线程协作 - 编程入门网

基于Java 2运行时安全模型的线程协作

本文配套源码

在Java 2之前的版本，运行时的安全模型使用非常严格受限的沙箱模型（Sandbox）。读者应该熟悉，Java 不受信的Applet代码就是基于这个严格受限的沙箱模型来提供运行时的安全检查。沙箱模型的本质是，任何本地运行的代码都是受信的，有完全的权限来存取关键的系统资源。而对于Applet，则属于不受信的代码，只能访问沙箱范围内有限的资源。当然，您可以通过数字签名的方式配置您的Applet为受信的代码，具有同本地代码一样的权限。

从Java 2开始，Java 提供了基于策略（Policy）与堆栈授权的运行时安全模型，它是一个更加细粒度的存取控制，易于配置与扩展，其总体的架构如图 1 所示：

图 1.Java 2安全模型

简单来讲，当类由类装载器（Class Loader）载入到 JVM 运行，这些运行时的类会根据 Java Policy 文件的配置，被赋予不同的权限。当这些类要访问某些系统资源（例如打开 Socket、读写文件等），或者执行某些敏感的操作（例如存取密码）时，Java 的安全管理器（ava.lang.SecuirtyManager）的检查权限方法将被调用，检查这些类是否具有必要的权限来执行该操作。

在继续深入讨论之前，我们先来澄清下面的几个概念：

策略，即系统安全策略，由用户或者管理员配置，用来配置执行代码的权限。运行时的 java.security.Policy 对象用来代表该策略文件。

权限，Java 定义了层次结构的权限对象，所有权限对象的根类是 java.security.Permission。权限的定义涉及两个核心属性：目标（Target）与动作 (Action)。例如对于文件相关的权限定义，其目标就是文件或者目录，其动作包括：读，写，删除等。

保护域，保护域可以理解为具有共同的权限集的类的集合。

在Java 2里，权限实际上是被赋予保护域的，而不是直接赋给类。权限、保护域和类之间的映射关系如图 2。

图 2. 类，保护域，权限的映射关系

如图 2 所示，当前运行时堆栈是从 a.class 到 e.class。在运行时堆栈上的每一帧（Stack Frame）都会被 Java 划归为某个保护域（保护域是 Java 根据 Policy 文件配置构建出来的）。Java 的安全管理器在执行权限检查时，会对堆栈上的每个 Stack Frame 做权限检查，当且仅当每个 Stack Frame 被赋予的权限集都暗含（Imply）了所要求的权限时，该操作才被允许执行，否则 java.security.AccessControlException 异常将被抛出，该操作执行失败。

基于Java 2运行时安全模型的线程协作(2)

有关Java 2安全模型，有几点需要特别说明：

该模型是基于堆栈授权的，这在多线程的环境下，同样适用。例如当父线程创建了子线程，子线程的执行被看作是父线程执行的继续，所以 Java 的安全管理器在权限检查时，所检查的运行时堆栈，既包括当前子线程的，也包括从父线程那里继承过来的运行时堆栈。这意味着，用户不可能通过线程的创建来获得额外的权限。

Java 的开发者可以使用 AccessController.doPrivileged 来优化权限检查带来的额外性能开销。如图 3 所示，Java 的权限检查将从堆栈的顶部开始，逐一向下，直到碰到 doPrivileged 的方法调用，或者到达堆栈底部为止。使用 doPrivileged 可以避免不必要的栈遍历（Stack Traverse），提高程序的性能。

在该模型中，有一个特殊的保护域，系统域（System Domain）。所有被 null类装载器所装载的类都被称为系统代码，其自动拥有所有的权限。而且，所有的重要的受保护的外部资源，如文件系统、网络、屏幕、键盘等只能通过系统代码获得。

图 3. doPrivileged Stack Frame

接下来，本文会给出一个简单的示例，然后我们根据这个示例，进一步深入，来创建一个线程间安全协作的应用。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!