J2EE的安全体系的应用

电子平台的安全模式设计
1、    前言
　由于电子平台的办公信息的敏感性以及网络的虚拟性和开放性，决定了电子平台系统需要有强有力的用户访问安全、网络安全、系统安全、应用程序安全、数据库和事务管理器安全来保证电子平台系统的安全。而系统采用J2EE框架正是满足以上需要，它不但将安全任务的一些内容转移给容器，且能够提供应用程序员完成安全任务的功能。
2、    方案的整体设计
1、 用户访问安全：
用户访问安全不仅仅是Web访问，还包括其他类型的访问，例如电子数据交互（EDI，Electronic Data Interchange），在电子平台系统中我们主要用到的是webservice。为了保证用户访问的安全性，我们主要从以下几个方面来考虑
Ø         定义验证方法：这部分包括CAS的验证、系统的基本验证
Ø         定义安全角色：为不同的用户建立不同角色，避免了不同角色之间在权限上的混乱。
Ø         为单个的servlet/jsp定义安全角色引用：为一些比较特殊的或则安全级别比较高的servlet/jsp定义安全角色引用。
1)        Web访问：
将电子平台系统所使用的WEB系统配置成安全的WEB系统，采用要求用户访问时提供数字证书的工作方式，使用HTTPS协议保证信息传输的安全性及完整性；将从用户提交的数字证书中获取的用户信息(如姓名)作为在系统中注册、登录的依据，从而保证了在处理业务的时候具有法律性和不可抵赖性。另一方面，HTTPS协议将Web应用与非授权的访问隔离开来。
1)        Web Service
这一部分内容暂定
2、     网络安全
网络安全主要就是保证机密性和信息完整性，为此我们采用了集中认证的登录模式，将有证书和无证书用户的访问隔开来，从而保证了网络的安全性能。下面就是集中认证模式的一个网络视图，其中CA服务器，是采用第三方CA认证机构信诚通的服务器。
集中认证网络示意图
3、 系统安全
系统的安全主要是在用户登录系统的时候对用户的身份验证。
4、 应用程序安全
为J2EE应用程序提供J2EE安全，由于电子平台系统与集中认证的系统相独立，故只需要在电子平台系统中提供J2EE相关安全就可以保证整个系统的安全性。J2EE应用程序安全使用基于角色的安全机制，在开发期间，我们应当通过为特定的安全角色分配安全资源和方法来确定应用程序的安全策略。在应用程序装配期间，安全角色被影射为真实的用户和组。这种两段式安全管理方法给予应用程序很大的灵活性和可移植性，在运行时，J2EE容器负责强迫执行访问控制安全的资源和方法。J2EE容器支持两类安全：

补充：Jsp教程,J2EE/EJB/服务器