使用 RMI 编写安全的 Java 代码

Question

这似乎是一个非常广泛的问题，但我们将不胜感激。

我有一个用 java 编写的客户端/服务器解决方案，它使用 Cajo 项目（使用 RMI）。考虑到将在服务器和客户端之间传输的敏感数据，我只想尝试使我的解决方案尽可能安全。

到目前为止，我的想法是使我的所有类成为“最终”类，并为服务器中的所有类抛出“不可序列化”异常（RMI 注册表中绑定的对象以及实际需要的任何对象除外）当然要转移）。

有人能想到其他想法吗？

我知道有人可能会编写恶意客户端 - 这并不难，因为您可以使用反射找出远程对象的 API。但是，我可以做些什么来保护恶意客户端访问服务器中不应该访问的类/对象吗？

非常感谢

更新： 感谢大家提供的有用提示，很抱歉花了这么长时间才回复您。我目前的思路是建立一个安全的系统：

• 在客户端和服务器之间使用 OpenVPN。这意味着您需要访问物理客户端才能获得访问权限。 （注意，由于以下两点，VPN实际上将在服务器和办公室LAN之间。我觉得这足够安全）
• 使用用户名和密码（可能使用JBOSS）在服务器和客户端之间进行身份验证。这意味着要在服务器上完成任何操作，攻击者都需要用户名和密码。
• 为所有对象引发“不可序列化”异常，但实际应该通过网络发送的对象除外。这会阻止敏感对象通过网络发送。

这听起来公平吗？如果我遗漏了什么，请纠正我。

进一步更新：看来我试图防止的事情似乎有些混乱。我试图防止的是有人“入侵”服务器。例如，基本上利用服务器转储/删除其整个数据库。

谢谢

Answer 1

保护通过 RMI 与潜在受损系统连接的系统非常困难。首先要做的是使用 java.rmi.server.useCodebaseOnly 系统属性禁用 RMI 的动态代码加载功能 - 不再有移动代码（通过此通道）。正如 RMI 人员 Stuart Marks 所指出的，该属性现在默认情况下是安全的，符合 Oracle 策略。

Answer 2

Cajo 是否只允许您调用导出对象上的方法？如果是这样，只需导出安全远程调用的对象即可。否则，如果您希望主机安全，则必须使用沙箱 。另请参阅此。

您将需要 SSL 来防止网络流量的嗅探/修改。

Answer 3

我将使用自定义套接字工厂来加密所有 RMI 数据。例如，使用 SSL 将防止查看数据、修改数据和重放攻击。

本教程介绍如何创建自定义 RMI 套接字工厂，以及基于 SSL 的 RMI 的一般讨论。

• 使用自定义 RMI 套接字工厂
• RMI 和 SSL 的独家新闻（有点旧，但应该是最相关的。SSL 现在是 JRE 的一部分。）
• 在 JDK 中使用 SSL

这可能看起来需要大量工作，但如果您确实必须向授权者隐藏敏感数据，那么将对象设为 Final 将根本无法提供任何真正的安全性 - 敏感数据仍然可以读。

编辑：这几乎是一个没有实际意义的问题，因为OP在下面的评论中提到正在使用VPN。

Answer 4

您提到您正在使用 VPN，因此恶意客户端要连接到您的服务器，就必须破坏您的 VPN，或者在可以合法访问您的 VPN 的计算机上安装流氓软件。

一旦完成此操作，就没有简单的方法可以区分流氓客户端和授权软件。您可以向客户端软件的每个用户提供额外的凭据以进行额外的身份验证，但如果客户端计算机受到攻击，这些凭据可能会受到损害。更强大的身份验证方案是向每个用户发送一个计算访问代码的小“小部件”。恶意客户端将无法访问此内容，并且它不能单独受到软件的影响，因为它在物理上与客户端计算机是分开的。将其与每个用户的用户名/密码相结合将阻止一个用户窃取另一用户的小部件。

根据您想要的安全程度以及您准备投入多少精力，这可能是多余的。如果您主要关心的是防范来自流氓客户端与使用该软件的普通用户的自动攻击，您可以通过在登录时提供验证码来实现“我是人类”身份验证。