JVM系列之沙箱安全机制笔记

1.沙箱机制的概念

2.沙箱的作用

主要限制系统资源(CPU、内存、文件系统、网络)的访问。不同级别的沙箱对系统资源访问的限制也有差异。

网站建设、成都网站制作介绍好的网站是理念、设计和技术的结合。创新互联公司拥有的网站设计理念、多方位的设计风格、经验丰富的设计团队。提供PC端+手机端网站建设，用营销思维进行网站设计、采用先进技术开源代码、注重用户体验与SEO基础，将技术与创意整合到网站之中，以契合客户的方式做到创意性的视觉化效果。

3.本地代码和远程代码

Java的执行程序分为：本地代码和远程代码。，本地代码：默认视为可信任的，可以访问一切本地资源。远程代码：被看作是不受信的。对于授信的本地代码，对于非授信的远程代码在早期的Java实现中,安全依赖于沙箱(Sandbox)机制。

4.沙箱安全机制模型

4.1 JDK1 .0安全模型

JDK1 .0安全模型本地代码可以访问系统资源，远程代码无法访问系统资源，比如用户希望远程代码访问本地系统的文件时候，就无法实现。

4.2 JDK1 .1安全模型

JDK1 .1 安全模型版本中，针对安全机制做了改进，增加了受信任安全策略，允许用户指定代码对本地资源的访问权限

4.3 JDK1 .2安全模型

JDK1 .2安全模型改进了安全机制，增加了代码签名。不论本地代码或是远程代码，统一按照用户的安全策略设定，由类加载器加载到虚拟机中权限不同的运行空间，从而来实现差异化的代码执行权限控制。

4.4 目前最新的安全模型

目前最新的安全模型引入了域 (Domain) 的概念。JVM虚拟机会把所有代码加载到不同的系统域和应用域，系统域部分专门负责与关键资源系统进行交互，而每个应用域部分则通过系统域的部分代理来对各种需要的资源进行精细划分然后可以进行访问。JVM虚拟机中不同的受保护域 (Protected Domain)对应不一样的权限 (Permission)。存在于不同域中的类文件就拥有了它所包含应用域所有可访问资源之和。

5.沙箱安全机制的基本组件

5.1 字节码校验器(bytecode verifier)

确保lava类文件遵循lava语言规范。这样可以帮助Java程序实现内存保护。但并不是所有的类文件都会经过字节码校验，比如核心类。

5.2 类装载器(class loader)

防止恶意代码去干涉善意的代码，比如：双亲委派机制

守护了被信任的类库边界;

将代码归入保护域，确定了代码的权限范围可以进行哪些资源操作

5.3 存取控制器(access controller)

存取控制器可以控制核心API对操作系统的存取权限，用户可以设定控制策略。

5.4 安全管理器(security manager)

安全管理器主要是核心API和操作系统之间的主要接口。比如实现权限控制，比存取控制器优先级高。

5.5 安全软件包(security package) :

java.security下的类和扩展包下的类，允许用户为应用增加所需要安全特性：安全提供者、消息摘要、数字签名keytools、加密、鉴别。

当前名称：JVM系列之沙箱安全机制笔记
URL分享：http://www.mswzjz.cn/qtweb/news13/19963.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能