【重回基础】序列化、序列化攻击与序列化代理

本文探讨了序列化的概念、目的及其实现方式,重点分析了JDK序列化的复杂性和潜在的安全风险,包括序列化攻击及其防御策略。介绍了序列化代理模式作为提高序列化安全性的方法。

一、what、why、how 序列化

**什么是序列化?**简单讲就是将对象按照序列化协议编码成字节流,相反的过程就称为反序列化。譬如我们常见的JSON序列化:

public class A {
	   private int x = 1;
	   private String y = "2";
}

经过JSON序列化为:

{
	"x" : 1,
	"y" : "2"
}

**为什么需要序列化?**简单讲就是在对象进行传输、存储时压缩空间,并且做到语言无关。通讯双方只需按照约定的序列化协议进行序列化/反序列化,而无需关注对方用的是什么变成语言。

**怎么序列化?**现有的序列化协议很多,比如xml、json、fastjson、protobuf、protostuff等。除此之外,还有Java经常接触的JDK序列化(JDK序列化是无法跨语言)。这些序列化方式各有长短,非本篇重点,不再赘述,感兴趣可以看 几种流行的序列化协议比较

二、JDK 序列化并不简单

JDK 序列化很简单,只要在类的声明中增加 implements Serializable ,实现可序列化接口即可。但是正因为简单,经常可以看到被随处滥用。实际上JDK序列化是复杂的,并且为了序列化的开销是长期的。

为什么?

第一,降低了类的灵活性,类的演变受到限制。一旦实现可序列化,其序列化的字节流就像是API的一部分,你必须一直支持序列化/反序列化,如果其中某个通讯方修改了该类结构并发布出去,将会出现不兼容,进而导致错误。

另外,类中还有个序列版本UID(serial version UID),反序列化时,会首先根据UID进行版本确认,若版本不一致则反序列化失败,抛出InvalidClassException异常。该UID若无显示提供,则会在运行时结合类名、所有公有和受保护的成员名称计算生成。这就是建议实现可序列化显示提供UID的原因,因为倘若其中某个通讯方在该类上增加了某个无关的变量或方法,同样会使得隐式生成的UID不一致,进而导致不兼容异常,其次隐式生成的计算也是一笔不小的开销。

第二,增加出现BUG和安全漏洞可能性。反序列化机制就像一个“隐式构造器”,若没有采用一定措施保证,很容易被攻击者利用,构造出违反“真正构造器”的约束关系。

第三,随着实现可序列化类的新版本发布,相关测试负担增加

三、序列化攻击

既然序列化是将对象转换成字节流,反序列化将该字节流恢复为对象,那中间的字节流是否可以伪造?答案是肯定的:

比如,我们的对象Period限制了成员日期变量start必须要在end之前:

public class Period implements Serializable {
    private static final long serialVersionUID = 4647424730390249716L;
    private Date start;
    private Date end;
    public Period(Date start, Date end) {
        if (start.after(end)) {
            throw new IllegalArgumentException();
        }
        this.start = start;
        this.end = end;
    }
    @Override
    public String toString() {
        return "PeriodA{" +
                "start=" + start +
                ", end=" + end +
                '}';
    }
}

现在我们伪造了如下字节流:

public class SerializeTest {
    private static final byte[] serializedForm = new byte[] {
            (byte)0xac, (byte)0xed, 0x00, 0x05, 0x73, 0x72, 0x00, 0x06,
            0x50, 0x65, 0x72, 0x69, 0x6f, 0x64, 0x40, 0x7e, (byte)0xf8,
            0x2b, 0x4f, 0x46, (byte)0xc0, (byte)0xf4, 0x02, 0x00, 0x02,
            0x4c, 0x00, 0x03, 0x65, 0x6e, 0x64, 0x74, 0x00, 0x10, 0x4c,
            0x6a, 0x61, 0x76, 0x61, 0x2f, 0x75, 0x74, 0x69, 0x6c, 0x2f,
            0x44, 0x61, 0x74, 0x65, 0x3b, 0x4c, 0x00, 0x05, 0x73, 0x74,
            0x61, 0x72, 0x74, 0x71, 0x00, 0x7e, 0x00, 0x01, 0x78, 0x70,
            0x73, 0x72, 0x00, 0x0e, 0x6a, 0x61, 0x76, 0x61, 0x2e, 0x75,
            0x74, 0x69, 0x6c, 0x2e, 0x44, 0x61, 0x74, 0x65, 0x68, 0x6a,
            (byte)0x81, 0x01, 0x4b, 0x59, 0x74, 0x19, 0x03, 0x00, 0x00,
            0x78, 0x70, 0x77, 0x08, 0x00, 0x00, 0x00, 0x66, (byte)0xdf,
            0x6e, 0x1e, 0x00, 0x78, 0x73, 0x71, 0x00, 0x7e, 0x00, 0x03,
            0x77, 0x08, 0x00, 0x00, 0x00, (byte)0xd5, 0x17, 0x69, 0x22,
            0x00, 0x78
    };
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Period p = (Period) deserialize(serializedForm);
        System.out.println(p);
    }
    public static Object deserialize(byte[] sf) {
        try {
            InputStream is = new ByteArrayInputStream(sf);
            ObjectInputStream ois = new ObjectInputStream(is);
            return ois.readObject();
        } catch (Exception e) {
            throw new IllegalArgumentException(e.toString());
        }
    }
}

通过反序列化结果为:

PeriodA{start=Sat Jan 02 04:00:00 CST 1999, end=Mon Jan 02 04:00:00 CST 1984}

已然出现前面所言的反序列化这个“隐式构造器”构建出了一个违反我们构造约束关系的对象,start晚于end,这对于程序来说可能十分危险。至于这个字节流如何伪造,可以看看《Java Object Serialization Specification》,其中有关于序列化格式的描述。

因此,effetive java中多次强调,实现可序列化的类一定要编写 readObject 方法,并且确保约束关系。

private void readObject(ObjectInputStream stream) throws IOException,ClassNotFoundException{
   stream.defaultReadObject();
   if (start.after(end)) {
     throw new IllegalArgumentException();
   }
}

但是,尽管这么做了依然可以通过伪造字节流去打破约束关系,就是字节流除了提供一个有效的Period对象,额外加上两个引用,这两个引用分别指向两个成员变量的实例,这样在实例化后就可以通过这两个引用肆意操作对象。下面演示:

public class MutablePeriod {
    // 有效period对象
    public final Period period;
    // 两个额外的引用
    public final Date start;
    public final Date end;

    public MutablePeriod() {
        try {
            ByteArrayOutputStream bos = new ByteArrayOutputStream();
            ObjectOutputStream out = new ObjectOutputStream(bos);
            out.writeObject(new Period(new Date(), new Date()));
            // 附上额外引用
            byte[] ref = { 0x71, 0, 0x7e, 0, 5 };
            bos.write(ref);
            ref[4] = 4;
            bos.write(ref);

            ObjectInputStream in = new ObjectInputStream(
                    new ByteArrayInputStream(bos.toByteArray()));
            period = (Period) in.readObject();
            start = (Date) in.readObject();
            end = (Date) in.readObject();
        } catch (Exception e) {
            throw new AssertionError(e);
        }
    }

    public static void main(String[] args) {
        MutablePeriod mp = new MutablePeriod();
        Period p = mp.period;
        Date pEnd = mp.end;
      
        pEnd.setYear(78);
        System.out.println(p);
        pEnd.setYear(69);
        System.out.println(p);
    }
}

结果为:

PeriodA{start=Fri Aug 23 12:26:53 CST 2019, end=Wed Aug 23 12:26:53 CST 1978}
PeriodA{start=Fri Aug 23 12:26:53 CST 2019, end=Sat Aug 23 12:26:53 CST 1969}

发生上面问题的根源在于readObject方法没有进行保护性拷贝,即构造时,新建成员变量对象,并将反序列化出来的对象进行保护性拷贝到新建成员变量对象,这样,攻击者额外的两个引用修改的就不是实例化对象中的变量:

 private void readObject(ObjectInputStream stream) throws IOException,ClassNotFoundException {
   stream.defaultReadObject();
   // 保护性拷贝
   start = new Date(start.getTime());
   end = new Date(end.getTime());
   if (start.after(end)) {
     throw new IllegalArgumentException();
   }
}

需要注意的是,保护性拷贝要在检验约束关系之前,并且不是使用clone等浅拷贝方式。

除此之外,还有更常用的方法,那就是序列化代理模式,见下文。

四、序列化代理模式

序列化代理十分简单,即套上了一个可序列化的私有静态类的壳,这个壳就叫做序列化代理,其拥有一个构造器,该构造器的参数即被代理类,在构造时复制被代理类的参数。序列化时通过提供writeReplace,实际上序列化的是代理类,并且在readObject接口拒绝直接序列化,只允许通过代理反序列化。而代理类通过提供readResolve反序列化为被代理类。具体见代码:

public class Period implements Serializable {

    private static final long serialVersionUID = 4647424730390249716L;
    private Date start;
    private Date end;

    public Period(Date start, Date end) {
        if (start.after(end)) {
            throw new IllegalArgumentException();
        }
        this.start = start;
        this.end = end;
    }

    @Override
    public String toString() {
        return "PeriodA{" +
                "start=" + start +
                ", end=" + end +
                '}';
    }
    public Date getStart() {
        return start;
    }
    public Date getEnd() {
        return end;
    }

    private void readObject(ObjectInputStream stream) throws IOException, ClassNotFoundException {
        // 不允许直接反序列化,只能通过反序列化代理实例化
        throw new InvalidObjectException("只允许通过代理反序列化");
    }
    private Object writeReplace() {
        // 序列化代理
        return new SerializeProxy(this);
    }
		
    // 序列化代理类
    private class SerializeProxy implements Serializable {
        private final Date start;
        private final Date end;
        // 通过构造复制代理类变量
        public SerializeProxy(Period period) {
            this.start = period.getStart();
            this.end = period.getEnd();
        }
        // 反序列化为被代理类
        private Object readResolve() {
            return new Period(start, end);
        }
    }

}

参考

[1] Effective Java 第十一章

内容概要:本文聚焦于“面向电网频率稳定的VSG惯量阻尼协同自适应控制策略”研究,深入探讨虚拟同步发电机(VSG)在微电网中的关键作用。通过Simulink仿真平台Matlab编程实现,提出一种能够动态协同调节惯量和阻尼参数的自适应控制方法,旨在有效提升高比例可再生能源接入背景下电网的频率稳定性。研究系统阐述了VSG的核心控制原理,构建了惯量阻尼的动态调节机制,详细分析了系统的动态响应特性,并通过仿真实验验证了所提策略的有效性,成功解决了传统VSG因参数固定而导致的动态响应速度稳态稳定性之间的矛盾问题。; 适合人群:具备电力系统分析、自动控制理论等专业知识背景,熟练掌握Matlab/Simulink仿真工具,从事新能源并网技术、微电网运行控制、电力系统稳定性研究等方向的研究生、高校科研人员及电力行业工程技术人员。; 使用场景及目标:①为微电网中VSG控制策略的优化设计提供理论依据和技术方案;②支撑高渗透率可再生能源电力系统的频率稳定控制研究工程实践;③为相关领域的学术论文复现、创新算法开发及科研项目申报提供完整的仿真模型代码参考;④助力科研人员深入理解VSG动态特性并开展二次创新研究。; 阅读建议:建议学习者结合提供的Simulink仿真模型Matlab源代码进行同步研习,重点剖析惯量阻尼协同调控的逻辑架构及自适应算法的具体实现流程。可通过调整控制器关键参数,观察并分析系统在不同扰动下的频率响应曲线变化,从而深刻掌握VSG的内在动态规律控制精髓。
内容概要:本文系统性地介绍了基于ARIMA-CNN-LSTM混合模型的时间序列预测方法,融合传统统计学模型ARIMA深度学习网络CNN、LSTM的优势,构建高精度预测框架。其中,ARIMA用于捕捉时间序列的线性成分平稳特征,CNN有效提取局部时序模式和空间特征,LSTM则擅长建模长期依赖关系非线性动态。该混合模型特别适用于风电功率、光伏发电、电力负荷、股票价格等非平稳、非线性复杂时序数据的预测任务。文中提供了完整的Python代码实现流程,涵盖数据预处理、模型搭建、训练优化结果评估,强调模型的可复现性和工程实用性,有助于深入理解多模型融合机制实际应用技巧。; 适合人群:具备一定Python编程基础和机器学习知识,从事数据分析、人工智能、电力系统、金融工程、气象预测等相关领域的研究人员、工程技术人员及研究生。; 使用场景及目标:①应用于风电、光伏、负荷、股价等复杂时间序列的高精度预测;②深入理解ARIMA、CNN、LSTM三种模型的特性及其在混合架构中的协同机制;③掌握混合预测模型的设计思路、实现方法参数调优策略,为科研项目或工业级预测系统开发提供可靠的技术方案。; 阅读建议:建议读者结合文中提供的Python代码进行动手实践,逐步调试并理解各模块的功能实现,重点关注数据划分、残差建模、特征融合超参数调整等关键环节。同时,可通过文末提供的网盘链接获取完整代码数据集,以确保实验的可复现性,并鼓励在此基础上进行模型改进创新应用。
内容概要:LTK8315是一款单通道H桥有刷直流电机驱动器,工作电压范围为2.5V至12V,具备320mΩ低导通电阻和最高3.5A峰值电流驱动能力,支持PWM调速控制。该芯片通过INA和INB两个逻辑输入实现电机正转、反转、制动待机功能,并集成欠压保护(UVLO)、过热保护(TSD)及自动故障恢复机制,提升系统安全性。器件支持低功耗休眠模式,当INA和INB持续为低电平时进入休眠,显著降低静态功耗。采用SOP8封装,适用于小家电、玩具、电子锁、机器人等小型机电设备中对直流或步进电机绕组的驱动控制。; 适合人群:电子工程技术人员、嵌入式硬件开发者、电机控制系统设计人员,以及从事小型智能设备研发的工程师;具备基本电路知识和电机控制基础的设计人员尤为适合。; 使用场景及目标:①用于小功率直流电机的方向速度控制,如智能锁电机启停、玩具车运动控制;②配合微控制器实现PWM调速和节能管理;③作为步进电机双驱动方案中的一相驱动单元,其他驱动器协同工作;④在电池供电设备中利用休眠模式延长续航。; 阅读建议:在实际应用中需注意电源端外接足够容量的去耦电容以抑制电压波动,避免因瞬态电流过大导致芯片损坏;设计时应将VM电源电容尽量靠近芯片布局,减少寄生电感影响;建议参考典型应用电路完成整体系统验证。
内容概要:本文聚焦于面向低碳经济运行目标的多微网能量互联优化调度研究,通过Matlab代码实现相关模型,系统探讨了多微网系统在可再生能源广泛接入背景下的协同调度问题。研究构建了一个兼顾经济性低碳性的多目标优化模型,综合考虑电力供需平衡、设备运行约束、碳排放成本等因素,采用粒子群优化(PSO)、灰狼优化(GWO)等智能算法进行高效求解,实现了多微网间的能量互济资源共享,有效提升了系统整体的能源利用效率运行经济性,降低了碳排放水平。该研究为现代综合能源系统的绿色、高效运行提供了理论依据技术支撑,具有明确的工程应用前景。; 适合人群:适用于具备电力系统基础、优化理论知识及Matlab编程能力的研究生、高校科研人员以及能源领域从事微电网规划、综合能源系统设计的工程技术人员,特别适合需要复现高水平学术论文、完成学位论文或开展相关课题研究的学习者。; 使用场景及目标:①复现验证学术论文中关于多微网协同优化、低碳调度的经典前沿模型;②支撑科研工作者在新能源消纳、多能互补、碳交易机制、需求响应等方向的创新性研究;③为实际微电网群的运行管理、储能系统配置、源-网-荷-储协同控制等工程问题提供可靠的仿真平台决策优化工具。; 阅读建议:建议读者结合提供的Matlab代码相关参考文献,按照研究逻辑循序渐进地学习,重点理解多目标函数的设计理念、各类物理约束的数学表达以及智能优化算法的具体实现过程。务必亲自动手调试、修改参数并运行代码,通过对比不同算法和场景的仿真结果,深入掌握模型的核心思想应用技巧,从而真正提升独立科研工程实践能力。
内容概要:本文提出了一种基于遗传算法的新型任务调度算法,专门针对异构分布式系统中的任务调度问题展开研究。通过Matlab代码实现该算法,旨在优化任务在计算能力不同的节点之间的分配策略,从而提升系统整体的资源利用率和任务执行效率。研究重点包括调度模型的设计、任务映射机制的构建以及遗传算法中编码方式、适应度函数、选择、交叉变异操作等关键参数的优化配置,确保在复杂多变的异构环境下实现高效、低延迟的任务调度。该方法具有良好的可复现性和扩展性,适用于多种智能优化场景的对比改进。; 适合人群:具备一定编程基础和优化算法知识,从事分布式系统、云计算、高性能计算或智能优化算法研究的科研人员及研究生。; 使用场景及目标:①应用于云计算平台、边缘计算网络等异构计算环境中的任务调度优化;②为研究人员提供完整的Matlab代码框架,支持算法复现、性能测试及其他智能调度算法(如粒子群、蚁群等)的对比分析;③支撑高水平学术论文的实验验证科研项目开发。; 阅读建议:建议读者结合Matlab代码深入理解遗传算法在任务调度中的具体实现细节,重点关注染色体编码策略适应度函数设计,并可通过调整种群规模、迭代次数、交叉变异概率等参数进一步优化算法性能,探索引入混合优化策略的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值