随着我国经济的发展,信息技术得到广泛应用,网络与信息系统的作用进一步增强,成为国家的关键基础设施。与此同时,信息安全问题日益增加、日渐突出。作为网络分布式计算环境中的主流中间件的Web应用服务器(WAS)的安全就显得特别重要。本文研究J2EE Web应用服务器的安全框架及其关键技术。 很多软件系统在安全服务的可定制和配置能力上,虽然提供了一定的支持,但是仍不够充分。面向多样化的应用需求和发展趋势,Web应用服务器有必要提供灵活性的安全机制。本文给出了一个Web应用服务器的安全参考模型,并在此参考模型的基础上实现了一个可扩展的安全框架。该安全框架采用了分层的结构:安全服务接口层、安全服务层、安全提供者接口层和安全提供者层。 本文还研究了安全框架中的一些关键技术。安全框架通过JSSE为RMI提供自定义的安全套接字(SSL)工厂类,这样通过使用SSL进行连接,从而达到RMI调用的机密性和完整性。CSIv2是由OMG组织完成的关于安全互操作的协议,我们通过ORB中可移植的拦截器实现了CSIv2规范,为服务器和其他系统的互操作提供了安全保证。现有系统的安全服务普遍存在着一个授权实现混乱的问题,这造成了安全服务不容易复用,也不容易扩展和替换。JACC规范是J2EE1.4新加进来的规范,为Web应用服务器容器定义了统一的授权模型。我们在该规范的基础上实现了统一的授权模型的框架;整个授权处理框架清晰,有利于维护和扩展,另一方面,客户也可以实现自己的授权机制,以适应自己特殊的安全需求。 我们将安全框架集成到中科院软件所自主开发的基于J2EE1.4规范的Web应用服务器——OnceAS中,为实现EJB容器、Web容器以及JCA等的安全需求提供了具体支持。