当前位置: 首页 > 图文教程 > 网络编程 > ASP.NET > JAVA和.NET两个平台对于安全功能的比较

ASP.NET
Asp.net 时间操作基类(支持短日期,长日期,时间差)
asp.net 获取机器硬件信息(cpu频率、磁盘可用空间、内存容量等)
asp.net 数据库备份还原(sqlserver+access)
Asp.Net 数据操作类(附通用数据基类)
Asp.net 弹出对话框基类(输出alet警告框)
Asp.net 文件上传类(取得文件后缀名,保存文件,加入文字水印)
Asp.net Socket客户端(远程发送和接收数据)
Asp.net 字符串操作基类(安全,替换,分解等)
Asp.Net数据输出到EXCEL表格中
asp.net Gridview里添加汇总行
asp.net UpdatePanel的简单用法
asp.net ajaxControlToolkit FilteredTextBoxExtender的简单用法
this connector is disabled错误的解决方法
sql事务应用积累
asp.net Page.Controls对象(找到所有服务器控件)
在asp.NET中字符串替换的五种方法
ASP.NET缓存方法分析和实践示例代码
asp.net 在DNN模块开发中遇到的resx怪问题
ASP.NET State service状态服务的问题解决方法
asp.net 结合mysql存储过程进行分页代码

ASP.NET 中的 JAVA和.NET两个平台对于安全功能的比较


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-09-23   浏览: 105 ::
收藏到网摘: n/a

安全配置和代码封装

安全配置

两个平台的配置都是通过XML或纯文本文件,两个平台最大的区别在于处理安全配置体系的方式不同。

在.NET平台,有图形接口和命令行二种方式来修改安全配置参数。Mscorcfg.msc是图形接口方式,Caspol.exe提供了命令行方式,适用于批处理或配置文本。

Java平台只提供了图形接口的工具policytool.exe。和.NET不同的是,它的目标对象(配置文件)的名字和位置不是固定的。

.NET定义了不同范围的安全配置文件:系统范围,本机范围,本用户范围。在配置有冲突时,原则上小范围的参数有优先权。

Java和J2EE的核心配置文件都保存在固定位置,但扩展配置文件随厂家不同而不同。

代码封装:检验Java 和.NET 的Common Library Runtime (CLR) 都实行内存安全或类型安全的保护机制,在这些平台开发的应用的安全性也是可以检验的。他们的实现机制有很大的不同。

在.NET, CLR总是执行编译好的代码,它不解释代码。但是在中间语言(IL)被编译之前,编译器会有验证和检验的步骤。第一步是检查文件的结构和代码完整性;第二步包括一些扩展的检查,内存安全、堆栈跟踪、数据流分析、类型检查等。在运行阶段,由VES (Virtual Execution System) 来负责安全性检查和出错意外情况处理。

在Java平台,Java虚拟机(JVM)负责类的载入、链接、检验和执行。对于已经编译和优化的代码,JVM也用二个无条件调用堆栈来保留最初的字节代码信息。

小结:和.NET不同,JVM的默认设置是不检验本地代码。另外,JVM保留最初的字节代码供运行时检查,而.NET把静态分析和运行时插入检验代码相结合。

代码封装:应用隔离在.NET, 域隔离建立在内存安全机制的基础上,不同的域不能直接访问彼此的地址空间,只能通过.NET远程通信机制访问。

在Java平台,应用隔离是通过ClassLoaders 和 ProtectionDomains 相结合来实现的,安全类加载是JVM安全机制的基石。

小结:.NET的 AppDomains 就象操作系统的进程一样,使用起来比Java的 ProtectionDomains 更直接、容易一些。

代码封装: 语言特征两个平台基本上差不多,.NET在灵活性上稍微好一点。

总结:

Java在安全配置上有较多的优势,.NET在代码封装的选择性和易用性好一些。

加密和通信

加密法:概论

.NET的加密法主要基于CryptoAPI 和相关扩展。大多数有关加密的类都在System.security.Cryptography, X509Centificates 和XML中。.NET利用基于流的模型来完成加密传输,所有的算法都被默认为最高的安全级别。.NET也允许用户自己在 machine.config 中定义自己的算法。

Java平台的加密算法分二个部分:Java Cryptography Architecture (JCA) 和 Java Cryptography Extension (JCE)。 JCE的出口受到有关法律的限制。如果要使用用户自己的加密算法,必须得到认证机构(SUN 或 IBM)的认证。

加密法:算法

.NET主要提供了下面几大类加密算法:非对称算法、HASH算法、对称算法、随机数生成法。

Java提供的加密算法更多,但是较少第三方厂商可以在Java中提供自己的算法。

安全通信

SSL已经是事实的传输安全的工业标准了。Java和.NET都支持最新版本 SSL 3.0。

安全通信:平台

.NET只在基于IIS的应用中使用SSL来保护HTTP传输,对于非IIS应用,.NET不能保护传输中的数据。

在Java中,JSSE (Java Secure Socket Extensions) 提供了平台级的服务,保证基于TCP/IP的通信安全。

除了IIS,.NET没有提供任何其它平台级的通信保护的标准方案,但是Java在这方面提供了全套的解决方案。

安全通信:应用

.NET通过WSA (Web Service Architecture)和 WSE (Web Service Extension) 包来提供最新的WEB服务安全保证,Java目前还没有提供这方面的支持。

总结:

在加密方法上,Java和.NET基本没有太大的差别;在通信保护方面,Java 比.NET提供了更多的选择方案;但是在WEB服务安全性上,Java明显比.NET落后一些。lili