Java2的安全新特性下的Applet数字签名具体实现方法（2）

2．2　证书、钥匙库及其相关工具

　　 在Java2的安全体系下，1个Applet开发和运行的过程如下：
　　 在代码的分发端：
　　 （1）开发Java源程序并对其进行编译。
　　 （2）用JAR工具对类文件和资源文件进行封装。
　　 （3）用keytool创建公钥和密钥，生成X。509V1签名证书，输出证书。
　　 （4）通过jarsigner工具用生成的密钥对JAR文件进行数字签名。
　　 在代码的接收端：
　　 （1）用keytool输入证书视其为可信任。
　　 （2）用policytool创建和修改安全性策略配置文件，授权请求的访问权限。
　　 （3）从网络取得字节码，用公钥验证数字签名证书和文档代码的完整性。
　　 （4）验证字节码的合法性，根据策略文件分配相应权限。
　　 （5）执行代码，完成后被垃圾回收器回收内存。

　　 在用公钥验证数字签名证书之前，接收方需要确认公钥自身的可靠性，因此通常情况是提供一个包含公钥的证书而不是公钥自身。1个证书包括：
　　 （1）1个公钥。
　　 （2）1个唯一的名字实体（个人或公司），它是证书的所有者，包含用户名字、公司、组织、城市、地址、国家代码、省份等信息。
　　 （3）数字签名：1个证书被1个分发者的实体签名，保证证书确实包含另1个实体（所有者）的公钥。
　　 （4）分发者的标识名信息。

　　 对于接收者可以用分发者的公钥来验证他的数字签名，检查证书的合法性。然而公钥可能包含在另一个证书中，而数字签名需要用另一个证书的分发者的公钥来验证，这样嵌套下去，直到一个公钥被接收者确认是可信任的。如果接收者不能建立信任链，例如：1个分发者的证书不合法，那么可以用keytool－import命令来计算指纹，每个指纹是一个相关的短数字，它唯一可靠地标识证书（指纹是一个用信息摘要算法计算的证书信息的哈希值），接收者可以呼叫证书的所有者，并比较发出的证书和接收证书的指纹，如果指纹相同，则证书不同。因此能够保证证书在传递的过程中未被修改。另一个潜在的问题是发送者身份的标识，有时一个证书是自签名的，即使用证书中的公钥相对应的密钥进行签名，如果接收者已经知道或信任发送者，那么就没有任何问题。

否则发送者需要从一个可信任的第3方得到证书，这个第3方通常是一个证书的授权机构CA，那么首先发送一个自签名的证书签名请求CSR给CA，由CA验证CSR的签名及发送CSR的身份、许可证以及其它信息。然后CA通过一个用CA的密钥进行签名的证书，授权CSR的发送者作为公钥的所有者，任何人只要信任CA的公钥，都可以用之来验证证书的签名，很多情况下CA自身有一个来自更高一级的CA的证书，从而构成证书链。所有信任的证书实体都可以作为信任证书被引入钥匙库，每个证书中的公钥都可以用来验证用相应的密钥生成的签名。
　　 发送者在发送签名的代码和文档时还相应提供包含与签名的密钥相应的公钥证书。用keytool－export命令或API函数可以从钥匙库中输出证书到文件中，然后将这个文件发送给需要的接收者，由接收者用keytool－import命令或API函数将其引入钥匙库中。如果用jarsigner工具为JAR文件生成签名，他会从钥匙库中取出证书及证书链，并和签名一起放入JAR文件。

　　 密钥和相应的公钥证书存放在一个由口令保护的数据库中，称为钥匙库（keystore）。1个钥匙库包含2种类型的条目，可信任的证书条目，钥匙和证书条目，每个都包含1个密钥和与密钥相应的公钥证书，在钥匙库中的每个条目都有1个别名进行标识。1个钥匙库的所有者在钥匙库中可以有多个钥匙，可以通过不同的别名进行访问，每个别名通常是用钥匙库的所有者使用的钥匙的特定角色来命名，别名也可以标识钥匙的目的。例如：SignPersonalEmail可以被用来标识1个钥匙库的条目，它的密钥用于签名个人邮件，SignJarFiles用于标识1个条目，它的密钥用于签名JAR文件。

· 3　Applet的数字签名认证实现的具体方法、步骤

· 3．1 结合我自己开发的基于JAVA2的Applet

我的项目是使用APPLET制作一个实时消息队列监控程序，由于涉及到了本地资源，对APPLET一定要进行数字签名和认证。我使用的环境是WINDOWS2000，应用服务器是WEBLOGIC6.0，开发环境是JBUILDER4.0。之前我提醒大家一定要注意服务器端和客户端的概念。那些文件应该在服务器端，那些文件应该在客户端。
首先在客户端使用JRE1.3.0_01（JAVA运行环境1.3.0.1版本）以取代IE的JVM(JAVA虚拟机)，可以到WWW.JAVA.SUN.COM网站上去下载，下载好了先在客户端安装好，安装过程非常简单。
在服务器端的调用APPLET的HTML文件中也需要将它包含进来，以便没有事先安装JRE的客户端下载，具体的写法，请接着往下看；

具体步骤如下:

服务器端：

1．将程序需要用到的各种包文件全部解压(我这儿要用到WEBLOGIC的JMS包使用命令jar xf weblogiclearcase/" target="_blank" >cc.jar)，然后使用JDK的打包命令将编译好的监控程序.class和刚才解压的包一起打包到一个包中。(前提我已经将监控程序和解开的包都放在同一个目录下了)，都是dos状态下的命令，具体命令见jdk1.3(1.2)的bin目录下，
命令如下：
jar cvf monitor.jar *.class 此命令生成一个名为monitor.jar的包

2．为刚才创建的包文件（monitor.jar）创建keystore和keys。其中
keystore将用来存放密匙(private keys)和公共钥匙的认证，alias别名这儿取为monitor。
命令如下：
keytool -genkey -keystore monitor.keystore ?alias monitor
此命令生成了一个名为monitor.keystore的keystore文件，
接着这条命令，系统会问你好多问题，比如你的公司名称，你
的地址，你要设定的密码等等，都由自己的随便写。

3．使用刚才生成的钥匙来对jar文件进行签名
命令如下：
jarsigner -keystore monitor.keystore monitor.jar monitor
这个命令将对monitor.jar文件进行签名，不会生成新文件。

4．将公共钥匙导入到一个cer文件中，这个cer文件就是要拷贝到客户端的唯一文件 。
命令如下：
keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
此条命令将生成monitor.cer认证文件，当然这几步都有可能问你刚
才设置的密码。
这样就完成了服务器端的设置。这时你就可以将jar文件和keystore文件以及cer文件(我这儿是monitor.jar,monitor.keystore,monitor.cer)拷贝到服务器的目录下了，我用的是weblogic6.0，所以就拷贝到C:\bea\wlserver6.0\config\mydomain\applications\DefaultWebApp_myserver下的自己建的一个目录下了。

客户端：
1． 首先应该安装jre1.3.0_01，然后将服务器端生成的monitor.cer
文件拷贝到jre的特定目录下，我这儿是：
c:\program files\javasoft\jre\1.3.0_01\lib\security目录下。

2． 将公共钥匙倒入到jre的cacerts（这是jre的默认keystore）
命令如下：
keytool -import -alias monitor -file monitor.cer
-keystore cacerts
注意这儿要你输入的是cacerts的密码，应该是changeit，而不
是你自己设定的keystore的密码。

3． 修改policy策略文件，在dos状态下使用命令 policytool
系统会自动弹出一个policytool的对话框，如图4所示，在这里面首先选择file菜单的open项，
打开c:\program files\javasoft\jre\1.3.0_01\lib\security目录下的java.poliy文件，然后在edit菜单中选择Change keystore ，在对话框中new keystore url:中输入
file:/c:/program files /javasoft/jre/1.3.0_01/lib/security/cacerts,
这儿要注意反斜杠，在new keystore type 中输入JKS，这是cacerts的固定格式，然后单击Add Policy Entry，在出现的对话框中CodeBase中输入：
http://URL:7001/ *
其中的URL是服务器的IP地址，7001是我的weblogic的端口，如果你是在别的应用服务器上比如说是apache，那端口号就可以省略掉。
在SignedBy中输入(别名alias):这儿是Monitor
然后单击add peimission按钮，在出现的对话框中permission中选择你想给这个applet的权限，这儿具体有许多权限，读者可以自己找资料看看。我这儿就选用allpeimission，右边的signedBy中输入别名：monitor
最后保存，在file菜单的save项。
当然你可以看见我已经对多个包实现了签名认证。

这样客户端的设置就完成了。在客户端用ie运行该applet程序时，会询问你是不是对该签名授权，选择授权后，包会自动从服务器下载到本地计算机，而且ie会自动启动jre，在右下栏中可以看见，相当于ie的java控制台。

4．调用applet的html文件
大家都知道由于java2的安全性，对applet的正常调用的html文件已经不能再使用了，而改为ActiveX类型的调用。具体的又分ie和nescape的不同写法，这一些在sun网上都能找到现成的教程。我就不多说了，只是将我的这个小程序为ie写的的html给大家看看。

<html>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html;CHARSET=gb2312">
<center>
<h3>消息中心实时监控平台</h3>
<hr>
<OBJECT classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93"
width="900" height="520" align="baseline" codebase="http://192.168.2.217:7001/j2re-1_3_0_01-win-i.exe#Version=1,3,0,0">
<PARAM NAME="java_code" VALUE="wise.monitor.applet.monitorApplet">
<PARAM NAME="java_codebase" VALUE="monitor/classes">
<PARAM NAME="java_type" VALUE="application/x-java-applet;version=1.3">
<PARAM NAME="ARCHIVE" VALUE="monitor.jar" >
<PARAM NAME="scriptable" VALUE="true">
</OBJECT>
</center>
</html>

其中我要强调一点，因为applet每一次的改动都需要重新打包签名，手续非常繁琐，所以在具体的实现中要将一些会变化参数放到html文件中来，传到applet中去，这一点网上文章好多，自己去看吧。

另外一个就是有朋友问我，那这样不是太麻烦了，每一个客户端都要进行复杂的dos命令操作，我只能说一目前我的水平只能将一个已经做好的客户端文件cer文件和java.policy以及cacerts文件直接拷贝到客户端，当然这也有缺陷，如果别人的计算机已经有了认证，就会丢失。就这些问题我们可以一起探讨。

另外还有一点优化，就是在打包的时候，我这儿只讲了把所有要用的涉及到安全性的包和源程序到要打到一个包中。这样如果包非常大的话，会非常影响下载的速度，如果可以使用本地计算机的包就好了，这一点jre也做到了，具体的要到控制面板的jre控制台上去设置。这个就留着读者自己去摸索吧。

结束语
我发现网上java相关的资料非常少，中文的更少，所以希望自己能将一些小知识和大家共享，省掉许多重复的无用功。如果大家对这个问题还有不清楚的地方，或者就这问题相进一步展开讨论的，请和我联系,我的信箱是afeilb@163.net。希望我们能共同进步！
这篇文章也采纳了一些别的文章的优点，在此要多谢南京东南大学计算机科学与工程系的金胜昔、步俊杰、吉逸。

作者：阿费
email: afeilb@163.net

原文转自：http://www.ltesting.net