×
Namespaces

Variants
Actions
(Difference between revisions)

Java Security Domains

From Nokia Developer Wiki
Jump to: navigation, search
nassern51 (Talk | contribs)
hartti (Talk | contribs)
m (Reverted edits by Nassern51 (Talk) to last revision by hartti )
Line 1: Line 1:
[[Category:Flash Lite]][[Category:Java ME]][[Category:Ovi]][[Category:Python]][[Category:Qt]][[Category:Qt for Maemo]][[Category:Qt for Symbian]][[Category:Qt Mobility]][[Category:Qt Quick]][[Category:Security]][[Category:Series 40]][[Category:Symbian]][[Category:Symbian C++]][[Category:Web Technology]][[Category:Browsing]][[Category:Web Runtime (WRT)]]
+
[[Category:Java ME]][[Category:Security]]
{{}} FeaturedArticle
+
{{FeaturedArticle}}
  
  
== مقدمة ==
+
==Introduction==
هناك بعض القيود للوصول إلى استدعاءات الأسلوب بعض واجهات برمجة التطبيقات من MIDlets. في تلك الحالات من الممكن أن يكون المستخدم إما تأكيد المطالبة للسماح استدعاء أسلوب معين أو يتم حظر الوصول تماما ، مما أدى إلى طرح SecurityException.
+
There are some restrictions for accessing certain method calls and APIs from MIDlets. In those cases it is possible that the user will either be prompted for confirmation to allow a certain method call or the access is blocked altogether, resulting a SecurityException to be thrown.
  
مما يجعل هذه المطالبات تبدو أقل كثيرا يتطلب المطور للتوقيع على MIDlet والمستخدم لتغيير الإعدادات يدويا الوصول المعهد. سوف توقيع إلى المجال المشغل أو الصانع يطالب بإزالة تماما ، ولكن هذا يتطلب تعاون وثيق مع تلك الأطراف.
+
Making these prompts appear less frequently requires the developer to sign the MIDlet and the user to manually change the API access settings. Signing to the operator or manufacturer domain will remove the prompts completely, but this requires close collaboration with those parties.
  
== مجالات الأمن ==
+
==Security domains==
  
الجهاز المحمول الملف المعلومات (ميدب) 2.0 مواصفات تحدد المجالات الامنية الرباعية التي يمكن تركيبها على MIDlet :
+
Mobile information device profile (MIDP) 2.0 specification defines four security domains to which the MIDlet can be installed:
* حماية الطرف الثالث المجال (3 موثوق به الطرف)
+
* Third party protection domain (untrusted 3rd party)
* الحماية المحددة طرف ثالث المجال (3 موثوق الطرف)
+
* Identified third party protection domain (trusted 3rd party)
* مجال حماية المشغل
+
* Operator protection domain
* مجال حماية مورد
+
* Manufacturer protection domain
  
== جماعات حماية المعهد ==
+
==API protection groups==
  
كل واحد من مجالات حماية ومستوى معين من الوصول إلى (واجهات برمجة التطبيقات الحساسة) المحمية. يتم تجميع حقوق الوصول إلى مجموعات الدالة :
+
Each of the protection domains have certain level of access to the protected (sensitive APIs). The access rights are grouped to a function groups:
* صافي وصول (ميدب مواصفات يعرف أيضا بالوصول إلى الشبكة منخفضة المستوى ، ولكن تم الجمع بين هذا على العديد من الهواتف الوصول إلى مجموعة وظيفة صافي)
+
* Net access (MIDP specification also defines low-level net access, but this has been combined on many phones to the Net access function group)
* الرسائل (ميدب مواصفات يعرف أيضا تقييد الرسائل)
+
* Messaging (MIDP specification also defines restricted messaging)
* التطبيق التلقائي بدء
+
* Application auto-start
* الاتصال المحلية
+
* Local connectivity
* الوسائط المتعددة تسجيل
+
* Multimedia recording
* قراءة بيانات المستخدم (بما في ذلك الملفات ونظام إدارة المعلومات الشخصية)
+
* Read user data (including files and PIM)
* الكتابة / تحرير بيانات المستخدم (بما في ذلك الملفات ونظام إدارة المعلومات الشخصية)
+
* Write/Edit user data (including files and PIM)
* المكان
+
* Location
* لاندمارك للتخزين
+
* Landmark store
* الاتصالات البطاقة الذكية
+
* Smart card communication
* المصادقة
+
* Authentication
* (دعوة مراقبة)
+
* (Call control)
* (مكالمة هاتفية)
+
* (Phone call)
  
وسوف يكون MIDlet إعدادات الوصول إلى تعريف كل مجموعة من المجموعات المذكورة أعلاه وظيفة معتمدة التي عن طريق الهاتف. ويمكن للوضع أن يكون أحد الخيارات التالية ، التي تحددها السياسة الأمنية مجال الهاتف :
+
The MIDlet will have access settings defined to each of the function groups above that are supported by the phone. The setting can be one of the following, defined by the security domain policy of the phone:
* السماح دوما / بطانيات وصول
+
* Always allow / Blanket access
* اسأل مرة الأولى / إسأل مرة واحدة في الدورة
+
* Ask first time / Ask once per session
* اسأل كل مرة
+
* Ask every time
* غير مسموح
+
* Not allowed
  
== تعريفات الوصول المعهد في الشرق الأوسط معايير جافا ==
+
==API access definitions in Java ME standards==
مواصفات جافا تشمل عددا من الإصدارات لحقوق الوصول المتاحة المعهد (لاحظ أنه من الممكن أن قد لا يكون هناك جهاز المتاحة التي من شأنها دعم حقوق الوصول المعهد بالضبط الطريقة التي تم تعريفها في مواصفات!)
+
Java specifications include a number of versions for the available API access rights (Note that it is possible that there might not be a device available which would support the API access rights exactly the way they are defined in the specification!)
* [[ميدب الوصول المعهد 2،0 حقوق]]
+
* [[MIDP 2.0 API access rights]]
* [[ميدب الوصول المعهد 2.0.1 حقوق]]
+
* [[MIDP 2.0.1 API access rights]]
* [[ميدب الوصول المعهد 2،1 حقوق]] (في نفس زارة الشؤون الإجتماعية)
+
* [[MIDP 2.1 API access rights]] (same as in MSA)
* [[JTWI المعهد حقوق الوصول]] (يعرف فقط حقوق الوصول المعهد للغير موثوق بها 3 نطاق الحزب)
+
* [[JTWI API access rights]] (only defines API access rights for the untrusted 3rd party domain)
  
ملاحظة : مواصفات ميدب يعرف أنه حتى موثوق 3 MIDlet الطرف لا يمكن أن يكون التواصل والبدء التلقائي الأذونات في وقت واحد ما هو مسموح به دائما!
+
NOTE: The MIDP specification defines that even a trusted 3rd party MIDlet cannot have networking and auto-start permissions simultaneously as Always Allowed!
  
وسوف توضع MIDlet الذي لم يوقع في مجال موثوق به ، حيث يوجد معظم القيود المفروضة على الوصول إلى واجهات برمجة التطبيقات معينة. إذا MIDlet تم توقيع ويتم تخزين شهادة المطابقة في مخزن الشهادات للهاتف ، وسيتم وضع MIDlet في مجال الحماية التي ارتبطت الشهادة إلى (هناك بعض الفحوصات المعقدة التي تتم في وقت التثبيت الرجاء مراجعة 2 ميدب مواصفات لمزيد من المعلومات).
+
A MIDlet which has not been signed will be placed in the untrusted domain, which has most restrictions for accessing certain APIs. If the MIDlet has been signed and the corresponding certificate is stored in the certificate store of the phone, the MIDlet will be placed in the protection domain to which the certificate has been tied to (there are some complex checks which are done at the installation time, please see the MIDP 2 specification for more info).
  
== للتوقيع على شهادات موثوق 3 نطاق الطرف ==
+
== Certificates to sign to a trusted 3rd party domain ==
  
إذا كان التطبيق يمر [http://www.javaverified.com/ql_test_providers.jsp جافا التحقق] الاختبار ، سيتم التوقيع عليه مع الشهادة الجذر التهاب المسالك البولية ، والذي سيضع MIDlet الخاص بك إلى 3 موثوق المجال الطرف. شهادات أخرى شائعة MIDlet ذلك المكان الخاص إلى المجال طرف ثالث موثوق به 3 متوفرة من :
+
If your application passes [http://www.javaverified.com/ql_test_providers.jsp Java Verified] testing, it will be signed with UTI root certificate, which will place your MIDlet to the trusted 3rd party domain. Other common certificates that place your MIDlet to the trusted 3rd party domain are available from:
  
* [الشبكي : / / www.thawte.com/ssl-digital-certificates/code-signing/ Thawte]
+
* [https://www.thawte.com/ssl-digital-certificates/code-signing/ Thawte]
* [الشبكي : / / www.verisign.com/products-services/security-services/code-signing/digital-ids-code-signing/ فيريساين] -- التثبيت [Signed_HelloWorld_example_MIDlet | اختبار MIDlet]] لهذه الشهادة
+
* [https://www.verisign.com/products-services/security-services/code-signing/digital-ids-code-signing/ Verisign] - installation [[Signed_HelloWorld_example_MIDlet|test MIDlet]] for this certificate
  
''' لاحظ بأن هناك اختلافات بين مختلف طرازات الهواتف التي يتم تثبيت الشهادات على الهواتف. بالإضافة إلى ذلك ، قد طراز الهاتف نفسه ومجموعة مختلفة من الشهادات اعتمادا على المنطقة التي كان يباع فيها مختلف المشغلين من الهواتف يمكن أن يكون أيضا تغييرات إضافية في توفر الشهادة.
+
'''Note''' that there are differences between different phone models on which certificates are installed on the phones. Additionally, the same phone model may have a different set of certificates depending on which region it was sold in. Operator variants of the phones can also have additional changes in the certificate availability.
  
لاحظ أيضا أن مواصفات ميدب لا تسمح الشهادات الجديدة التي ستضاف على الهواتف للسماح للتوقيع على ثقة 3 نطاق الحزب. هذا ، مع ذلك ، ممكن على أجهزة S60 الإصدار 2 بسبب [http://wiki.forum.nokia.com/index.php/KIJ000555_-_Signing_certificates_for_MIDlets غير صحيحة التنفيذ] ([http://browndrf.blogspot.com/2006/ 06/build-and-install-singed-midlet.html تعليمات]). وقد نفذت بعض مشغلي أيضا شهادات المطور ما يسمى لأجهزتهم ([[أمن جافا المجالات سبرينت | سبرينت]] و [[الصين المجالات الأمنية جافا يونيكوم | تشاينا يونيكوم]]). وبناء على ذلك ، تأكد من [[كيفية العثور على شهادات التوقيع جافا على الهواتف | الاختيار المتاحة رمز لتوقيع شهادات كاليفورنيا ،]] (أو الاختيار http://discussion.forum.nokia.com/forum/showthread.php [ ؟ ف = 374306 # post374306 هذا] نشر).
+
Also note that the MIDP specification does not allow new certificates to be added on the phones to allow signing to the trusted 3rd party domain. This is, however, possible on S60 2nd Edition devices due to [http://wiki.forum.nokia.com/index.php/KIJ000555_-_Signing_certificates_for_MIDlets incorrect] implementation ([http://browndrf.blogspot.com/2006/06/build-and-install-singed-midlet.html instructions]). Some operators have also implemented so-called developer certificates for their devices ([[Sprint Java security domains|Sprint]] and [[China Unicom Java security domains|China Unicom]]). Consequently, make sure to [[How to find the Java signing certificates on the phones|check the available code-signing CA-certificates]] (or check [http://discussion.forum.nokia.com/forum/showthread.php?p=374306#post374306 this posting]).
  
== الأمن نهج المجال بعض شركات الطيران التي تحيد عن المعايير ==
+
==Security Domain policies some carriers that deviate from the standard==
  
كما المجال ميدب الأمن المواصفات السياسة هو مجرد توصية ، وحددت بعض مشغلي المجالات الأمنية الخاصة بها ، وحقوق الوصول المعهد. وهذه تشمل :
+
As the MIDP spec security domain policy is just a recommendation, some operators have defined their own security domains and API access rights. These include:
* [[ايه تي اند تي جافا المجالات الأمنية]] (وقالت سينجيولار) ([http://blogs.forum.nokia.com/view_entry.html؟id=360 الدخول على بلوق الجبهة الوطنية])
+
* [[AT&T Java security domains]] (Cingular) ([http://blogs.forum.nokia.com/view_entry.html?id=360 entry on FN blogs])
* [[الصين جافا المجالات الأمنية يونيكوم]] ([http://blogs.forum.nokia.com/view_entry.html؟id=430 الدخول على بلوق الجبهة الوطنية])
+
* [[China Unicom Java security domains]] ([http://blogs.forum.nokia.com/view_entry.html?id=430 entry on FN blogs])
* [[هاتشينسون المجالات الأمنية 3G]] ([http://blogs.forum.nokia.com/view_entry.html؟id=400 الدخول على بلوق الجبهة الوطنية]) -- لاحظ ، أن إسرائيل أورانج يلي المبادئ التوجيهية هاتشينسون الجيل الثالث 3G للغاية
+
* [[Hutchinson 3G security domains]]([http://blogs.forum.nokia.com/view_entry.html?id=400 entry on FN blogs]) - note, that Orange Israel follows the Hutchinson 3G guidelines too
* [[أمن جافا المجالات سبرينت]] ([http://blogs.forum.nokia.com/view_entry.html؟id=428 الدخول على بلوق الجبهة الوطنية])
+
* [[Sprint Java security domains]] ([http://blogs.forum.nokia.com/view_entry.html?id=428 entry on FN blogs])
* [تي [موبايل مجالات أمن الولايات المتحدة جاوا]] ([http://blogs.forum.nokia.com/view_entry.html؟id=379 الدخول على بلوق الجبهة الوطنية])
+
* [[T-Mobile U.S. Java security domains]] ([http://blogs.forum.nokia.com/view_entry.html?id=379 entry on FN blogs])
  
== معلومات نطاق الأمن من الشركات المصنعة الأخرى من نوكيا ==
+
==Security domain information from other manufacturers than Nokia==
  
* موتورولا [http://developer.motorola.com/docstools/developerguides/Motorola_OS_Devguide.pdf جافا الشرق الأوسط دليل المطور] (يتطلب تسجيل مجاني) وhttp://developer.motorola.com/docstools/technicalarticles/application_testing_and_signing/؟WT [ . ميلان = الأخبار 001-062008 اختبار و] توقيع وثائق
+
* Motorola [http://developer.motorola.com/docstools/developerguides/Motorola_OS_Devguide.pdf Java ME Developer Guide] (requires free registration) and [http://developer.motorola.com/docstools/technicalarticles/application_testing_and_signing/?WT.ac=NEWS-001-062008 Testing and Signing documentation]
p_sid / / support.developer.motorola.com / المجموعة الاستشارية لاندونيسيا بن / motodev.cfg / فب / enduser / popup_adp.php a256j_kj = = وp_lva : ملاحظة : أجهزة موتورولا لا تعتمد الشهادات Thawte أو فيريساين ، فقط موتس موتورولا والشبكي JavaVerified [؟ وp_li = & 568 = & p_faqid p_created = 1170297506 & p_sp =]
+
Note: Motorola handsets do not support Thawte or VeriSign Certificates, only Motorola certs and JavaVerified [https://support.developer.motorola.com/cgi-bin/motodev.cfg/php/enduser/popup_adp.php?p_sid=a256j_kj&p_lva=&p_li=&p_faqid=568&p_created=1170297506&p_sp=]
* سوني اريكسون [http://developer.sonyericsson.com/getDocument.do؟docId=65067 المطورين المبادئ التوجيهية جاوة الأوسط أخرى إدارة المعلومات الشخصية (ميدب 2)] وhttp://developer.sonyericsson.com/getDocument.do؟docId [= ] 99421 إذن لي إعدادات جافا في الهواتف سوني اريكسون
+
* Sony Ericsson [http://developer.sonyericsson.com/getDocument.do?docId=65067 Developers' Guidelines Java ME CLDC (MIDP 2)] and [http://developer.sonyericsson.com/getDocument.do?docId=99421 Java ME Permission settings in Sony Ericsson phones]
  
== إعدادات الوصول المعهد على الهواتف الحقيقي ==
+
==API access settings on real phones==
  
الهواتف العامة أيضا إصدارات مختلفة من حقوق الوصول المعهد تنفيذها :
+
Generic phones also have different versions of the API access rights implemented:
  
* [وصول المعهد حقوق [على الهواتف ، s60 FP2 2]] ، في عام (2.39.126) 6630
+
* [[API access rights on phones, S60 2nd FP2]], on generic 6630 (2.39.126)
* [وصول المعهد حقوق [على الهواتف ، s60 FP2 ver2 2]] ، في عام 6680 ، 6630 (6.03.40)
+
* [[API access rights on phones, S60 2nd FP2 ver2]], on generic 6680, 6630 (6.03.40)
* [وصول المعهد حقوق [على الهواتف ، s60 FP3 2]] ، على هاتف N72 عامة
+
* [[API access rights on phones, S60 2nd FP3]], on generic N72
* [وصول المعهد حقوق [على الهواتف ، S60 3]] ، في عام E61i
+
* [[API access rights on phones, S60 3rd]], on generic E61i
* [وصول المعهد حقوق [على الهواتف ، S60 FP1 3]] ، على N95 عامة
+
* [[API access rights on phones, S60 3rd FP1]], on generic N95
* [وصول المعهد حقوق [على الهواتف ، S60 3 FP2]] ، في عام 6210 المستكشف
+
* [[API access rights on phones, S60 3rd FP2]], on generic 6210 Navigator
* [وصول المعهد حقوق [على الهواتف ، s60 5]] ، على n97 عامة
+
* [[API access rights on phones, S60 5th]], on generic N97
* [وصول المعهد حقوق [على الهواتف ، 3 سلسلة FP1 40]] ، في عام 6131
+
* [[API access rights on phones, Series 40 3rd FP1]], on generic 6131
* [وصول المعهد حقوق [على الهواتف ، 3 سلسلة FP2 40]] ، على نوكيا عام 5300 ، 6300 ، 7373
+
* [[API access rights on phones, Series 40 3rd FP2]], on generic Nokia 5300, 6300, 7373
* [وصول المعهد حقوق [على الهواتف ، مجموعة 40 5] FP1] ، في عام 6500 شريحة نوكيا
+
* [[API access rights on phones, Series 40 5th FP1]], on generic Nokia 6500 slide
* [وصول المعهد حقوق [على الهواتف ، مجموعة 40 6]]
+
* [[API access rights on phones, Series 40 6th]]
* [وصول المعهد حقوق [على الهواتف ، مجموعة 40 6 FP1]]
+
* [[API access rights on phones, Series 40 6th FP1]]
  
ليس من الممكن لتغيير الإعدادات الافتراضية المتاحة على الهاتف ، ولكن بعد التثبيت MIDlet فمن الممكن لتغيير إعدادات الوصول من المعهد الافتراضي لتلك المتاحة (وليس كل الخيارات متاحة MIDlets غير موثوق بها).
+
It is not possible to change the default settings available on the phone, but after MIDlet installation it is possible to change the API access settings from the default to the the available ones (not all options are available to untrusted MIDlets).
* [[How_to_change_the_Java_API_access_settings_on_S60_phones | S60 تعليمات]]
+
* [[How_to_change_the_Java_API_access_settings_on_S60_phones | S60 instructions]]
* [[How_to_change_the_Java_API_access_settings_on_Series_40_phones | سلسلة تعليمات 40]]
+
* [[How_to_change_the_Java_API_access_settings_on_Series_40_phones | Series 40 instructions]]
  
== مراجع ==
+
==References==
* [ميدب http://www.forum.nokia.com/info/sw.nokia.com/id/3f8c9f9e-e940-4327-8548-49ed023bfe88/MIDP_2_0_Signed_MIDlet_Developers_Guide_v2_0_en.pdf.html 2،0 : توقيع MIDlet المطور دليل] [[تصنيف : توقيع والتصديق]] عنوان [[: من المستوى المتوسط]]
+
* [http://www.forum.nokia.com/info/sw.nokia.com/id/3f8c9f9e-e940-4327-8548-49ed023bfe88/MIDP_2_0_Signed_MIDlet_Developers_Guide_v2_0_en.pdf.html MIDP 2.0: Signed MIDlet Developer's Guide][[Category:Signing and Certification]][[Category:Level-Intermediate]]

Revision as of 10:00, 8 December 2010

Featured Article


Contents

Introduction

There are some restrictions for accessing certain method calls and APIs from MIDlets. In those cases it is possible that the user will either be prompted for confirmation to allow a certain method call or the access is blocked altogether, resulting a SecurityException to be thrown.

Making these prompts appear less frequently requires the developer to sign the MIDlet and the user to manually change the API access settings. Signing to the operator or manufacturer domain will remove the prompts completely, but this requires close collaboration with those parties.

Security domains

Mobile information device profile (MIDP) 2.0 specification defines four security domains to which the MIDlet can be installed:

  • Third party protection domain (untrusted 3rd party)
  • Identified third party protection domain (trusted 3rd party)
  • Operator protection domain
  • Manufacturer protection domain

API protection groups

Each of the protection domains have certain level of access to the protected (sensitive APIs). The access rights are grouped to a function groups:

  • Net access (MIDP specification also defines low-level net access, but this has been combined on many phones to the Net access function group)
  • Messaging (MIDP specification also defines restricted messaging)
  • Application auto-start
  • Local connectivity
  • Multimedia recording
  • Read user data (including files and PIM)
  • Write/Edit user data (including files and PIM)
  • Location
  • Landmark store
  • Smart card communication
  • Authentication
  • (Call control)
  • (Phone call)

The MIDlet will have access settings defined to each of the function groups above that are supported by the phone. The setting can be one of the following, defined by the security domain policy of the phone:

  • Always allow / Blanket access
  • Ask first time / Ask once per session
  • Ask every time
  • Not allowed

API access definitions in Java ME standards

Java specifications include a number of versions for the available API access rights (Note that it is possible that there might not be a device available which would support the API access rights exactly the way they are defined in the specification!)

NOTE: The MIDP specification defines that even a trusted 3rd party MIDlet cannot have networking and auto-start permissions simultaneously as Always Allowed!

A MIDlet which has not been signed will be placed in the untrusted domain, which has most restrictions for accessing certain APIs. If the MIDlet has been signed and the corresponding certificate is stored in the certificate store of the phone, the MIDlet will be placed in the protection domain to which the certificate has been tied to (there are some complex checks which are done at the installation time, please see the MIDP 2 specification for more info).

Certificates to sign to a trusted 3rd party domain

If your application passes Java Verified testing, it will be signed with UTI root certificate, which will place your MIDlet to the trusted 3rd party domain. Other common certificates that place your MIDlet to the trusted 3rd party domain are available from:

Note that there are differences between different phone models on which certificates are installed on the phones. Additionally, the same phone model may have a different set of certificates depending on which region it was sold in. Operator variants of the phones can also have additional changes in the certificate availability.

Also note that the MIDP specification does not allow new certificates to be added on the phones to allow signing to the trusted 3rd party domain. This is, however, possible on S60 2nd Edition devices due to incorrect implementation (instructions). Some operators have also implemented so-called developer certificates for their devices (Sprint and China Unicom). Consequently, make sure to check the available code-signing CA-certificates (or check this posting).

Security Domain policies some carriers that deviate from the standard

As the MIDP spec security domain policy is just a recommendation, some operators have defined their own security domains and API access rights. These include:

Security domain information from other manufacturers than Nokia

Note: Motorola handsets do not support Thawte or VeriSign Certificates, only Motorola certs and JavaVerified [1]

API access settings on real phones

Generic phones also have different versions of the API access rights implemented:

It is not possible to change the default settings available on the phone, but after MIDlet installation it is possible to change the API access settings from the default to the the available ones (not all options are available to untrusted MIDlets).

References

890 page views in the last 30 days.

Was this page helpful?

Your feedback about this content is important. Let us know what you think.

 

Thank you!

We appreciate your feedback.

×