前 言 欢迎阅读本书。本书将介绍一般性安全知识，并重点讲述Java安全，另外还将介绍加密技术、算法和体系结构。本书为安全问题提供了实用解决方案，不仅介绍了各种安全技术，还解释了这些技术的必要性和使用方法，以及如何扩充Java来提供更高的安全。书中的源代码是用Java编写的，旨在说明在Java中安全的实现方式。本书的内容包括：如何使用Java组件，如何扩充这些组件，诸如RSA之类的算法的重要性，以及有关基本协议的一些内容。简言之，它要回答何时、如何以及为什么在安全解决方案中使用Java组件。 学习目标 本书所涉及的一些规范包括J2EE、WebServices、CORBA、JAAS、RMI、JSSE、SKIP、SASL、GSS-API、IPSec、X.509证书、加密技术、RSA、椭圆曲线加密技术、DSS、DSA、Kerberos、LDAP、TLS、WTLS、消息摘要、密钥协定、密钥管理、Java访问、密码、防火墙、网络安全和PKI等。旨在帮助您： 扮演成一个黑客，以找出那些可能被黑客利用的安全漏洞 理解安全构件块，以充分利用安全功能 学习如何高效充分应用Java安全功能 实际接触安全算法及其实现方式 了解在企业内部确保安全通信的过程 学习如何为企业应用程序添加安全功能 了解密码 确保消息验证和数据完整性 了解网络安全体系结构 纵览整个解决方案，并逐步找出易受攻击之处 Java的作用 当前，Java是开发Web应用程序和企业解决方案的首选语言。解决方案需要有在组件中进行分布式通信的分布式系统，支持这种分布式通信的有CORBA、RMI或IIOP之上的RMI，这些技术和Java提供了一个用于开发安全解决方案的工具集。从Java语言出现以来，安全就一直是一个主要的设计目的。Java提供了开发语言、运行时环境、API以及非常适用于安全系统开发的工具。由于Java开发包(JDK)1.4包含许多加密组件和支持与开发安全解决方案相关的技术，因而成为技术标准。这些技术包括X.509证书、密钥协定、指定安全策略的方法、身份验证、授权、代码标记和加密支持。 JDK 1.4在它的分发版中集成了用作加密组件的Java Cryptography Extension(Java加密扩充，JCE)，以及Java Authentication and Authorization Services(Java身份验证和授权服务，JAAS)。Java还提供了Java Secure Socket Extension(Java安全套接字扩充，JSSE)。尽管不使用这些技术，您仍可以创建解决方案，但这些解决方案和使用JDK 1.4创建的方案相比，移动性差，而且更加昂贵。毫无疑问，花时间学习Java技术是非常必要的。为了理解这些技术的用法，您需要了解各种Java组件出现的原因、时机、使用方式以及内容。这就是本书的目标。 读者对象 本书面向所有想了解安全问题和如何防止安全侵犯的读者。如果您想了解如何阐述安全利害关系，以及如何用Java实现许多标准和协议，那么本书就是为您所著的。本书适用于想要成为高级Java开发人员、Java体系结构师和系统体系结构师的人员。学习本书前，您应当具备基本Java编程知识，了解EJB部署、Java语言构造、HTML、Web服务器和应用程序服务器技术等概念。本书将从安全角度来阐述这些概念，而不只是停留在介绍层次。 全书结构 本书从各个角度讨论了安全性。首先介绍了安全性及其要求，然后阐述了满足这些要求的Java组件，及其用法，最后介绍了资源、企业和网络安全。 本书共分为9个部分。