为证据，如给接收人的数据的原始证明或给发送人的数据收据。 　　 　　审计和日志 　　保存已授予或已拒绝的资源访问的记录，可能有助于日后的审计工作。就此目的而言，审计和日志对于防止非法入侵或事后对非法入侵进行分析，是大有用处的。 　　 　　策略和访问控制 　　安全策略着重控制对保护数据的访问，安全执行机制应该足够灵活以执行策略，这一点至关重要。这称为保持策略与机制相分离。尽管作出该决策的依据可能是，按照委托人身份来授权访问某一资源，但是，根据角色来管理访问控制通常更为容易。每个委托人被映射到唯一的一个角色，以达到控制访问的目的。通常这样来实现：用一个列表或矩阵，列举不同的用户/角色所拥有的对不同保护资源的访问权。 　　 　　Java 2 PlatFORM，Enterprise Edition (J2EE) 使用基于角色的认证来执行其策略。考虑到这一点，在 J2EE 中，业务逻辑的开发人员根据角色来限制对特定功能的访问。 　　 　　密码学：保密书写的科学 　　虽然密码学和计算机安全是两个截然不同的主题，但是计算机安全在很多方面都依赖于密码学。 　　 　　Java.security 与几个核心包一起提供了一些 Java 的加密功能。Javax.crypto 是主要的包，它的某些功能部件受出口控制法的控制。此外，javax.net.ssl 包在必要时可用来创建安全套接字传递机密信息。 　　 　　下一步，让我们了解一些与密码学有关的概念。 　　 　　密码分析学 　　密码分析学，与密码学正好相反，是解码或攻击秘密编码信息而无须访问密钥的艺术。密码分析学已经使用理论性攻击发现了许多算法中的安全漏洞，并导致了算法的废弃或重大修改。密码分析学在分析和验证算法，使算法更加安全方面，起着关键性作用。 　　 　　密码学算法 　　有几种算法可以加密信息。一种简单的算法可能要将消息的字符轮换 13 个位置 -- 称为 rot13。虽然 rot13 是不安全的（因为原始消息很容易解密），但是它仍然普遍用于虽不安全但毕竟是已加密了的消息传送。 　　 　　如果以 Kerckhoff 在十九世纪所做的工作为基础，则密码系统的安全应该完全基于密钥的保密，而不是基于算法 上一页  [1] [2]