保证系统核心.class不被篡改。通过委托方式,不会去篡改核心.class,即使篡改也不会去加载,即使加载也不会是同一个.class对象了。不同的加载器加载同一个.class也不是同一个class对象,这样保证了class执行安全。
沙箱安全机制 什么是沙箱 java安全模型的核心就是java沙箱(sandbox)。
沙箱是一个限制程序运行的环境。沙箱机制就是将java代码限定在虚拟机特定的运行范围中,并且严格限制代码对本地系统资源的访问,通过这样的措施来保证对代码的有效隔离,防止对本地系统的破坏。
沙箱主要限制系统资源访问,包括CPU、内存、文件系统、网络。不同级别的沙箱对这些资源访问的限制也不一样。
所有的java程序运行都可以指定沙箱,可以定制安全策略。
java中安全模型的演进 在java中将执行程序分为本地代码和远程代码两种:本地代码可信任,可以访问一起本地资源。远程代码不可信任,在早期的java实现中,安全依赖于沙箱机制。
如此严格的安全机制也给程序的功能扩展带来障碍,比如当用户希望远程代码访问本地系统文件的时候,就无法实现。因此在后续的java1.1中,针对安全机制做了改进,增加了安全策略,允许用户指定代码对本地资源的访问权限。
在java1.2版本中,再次改进了安全机制,增加了代码签名。不论本地代码或者远程代码,都会按照用户的安全策略设定,由类加载器加载到虚拟机中权限不同的运行空间,来实现差异化的代码执行权限控制。
当前最新的安全机制实现,则引入了域(Domain)的概念。虚拟机会把所有的代码加载到不同的系统域和应用域,系统域部分专门负责与关键资源进行交互,应用域部分则通过系统域的部分代理来对各种需要的资源进行访问。虚拟机中不同的受保护域对应不一样的权限,存在于不同域中的类文件就具有了当前域的全部权限。
组成沙箱的基本组件
字节码校验器(bytecode verifier)
确保java类文件遵循java语言规范。这样可以帮助java程序实现内存保护。但并不是所有的类文件都会经过字节码校验,比如核心类。
类装载器(class loader)
类装载器在3个方面对java沙箱起作用
防止恶意代码去干涉善意的代码
守护了被信任的类库边界
将代码归入保护域,确定了代码可以进行哪些操作。
虚拟机为不同的类加载器载入的类提供不同的命名空间,命名空间由一系列唯一的名称组成,每一个被装载的类将有一个名字,这个命名空间是由java虚拟机为每一个类装载器维护的,他们互相之间甚至不可见。
存取控制器(access controller):存取控制器可以控制核心API对操作系统的存取权限,而这个控制的策略设定可以由用户指定。
安全管理器(security manager):是核心API和操作系统之间的主要接口。实现权限控制,比如存取控制器优先级高。
安全软件包(security package):java.security下的类和扩展包下的类,允许用户为自己的应用增加新的安全特性,包括安全提供者、消息摘要、数字签名、加密、鉴别。
Native本地方法接口 JNI:java native interface
本地接口的作用是融合不同的编程语言为java所用,它的初衷是融合C/C++程序。
凡是带native关键字的,就说明java的作用范围达不到了,会去调用底层c语言库,进入本地方法栈,调用本地方法接口JNI,拓展java的使用,融合不同的语言为java所用。
java诞生的时候C/C++横行,为了立足,必须要能够调用C/C++程序,于是在内存区域中专门开辟了一块标记区域:Native Method Stack,登记Native方法,最终在执行引擎上执行的时候通过JNI加载本地方法库中的方法。目前该方法的使用越来越少了,除非是与硬件有关的应用,比如通过java程序驱动打印机或者java系统管理生产设备,在企业级应用中已经比较少见。因为现在的异构领域间通信很发达,比如可以用Socket通信,也可以使用Web Service等。
运行时数据区 PC寄存器(Program Counter Register) 每个线程都有一个程序计数器,是线程私有的,就是一个指针,指向方法区中的方法字节码(用来存储指向像一条指令的地址,也即将要执行的指令代码),在执行引擎读取下一条指令,是一个非常小的内存空间,几乎可以忽略不计。
方法区(Method Area) 方法区与java堆一样,是各个线程共享的内存区域,用于存储已被虚拟机加载的类信息、常量、静态变量、即时编译器遍以后的代码等数据。虽然java虚拟机规范把方法区描述为堆的一个逻辑部分,但是它却有一个别名Non-Heap,因此实际上应该和堆区分开。
方法区中有啥?静态变量(static)
常量(final)
类信息(构造方法,接口定义)