OpenJ9项目中FIPS模式下安全属性设置限制的技术分析

背景介绍

在OpenJ9项目的测试过程中，发现了一个与FIPS(联邦信息处理标准)模式相关的安全限制问题。该问题出现在测试套件jdk_security3_0中，具体测试用例为sun/security/ssl/X509TrustManagerImpl/distrust/Camerfirma.java。

问题现象

当Java虚拟机运行在FIPS模式下时，测试用例尝试通过程序方式设置安全属性jdk.certpath.disabledAlgorithms时，系统会抛出SecurityException异常，提示"Property 'jdk.certpath.disabledAlgorithms' cannot be set programmatically when in FIPS mode"。

技术分析

FIPS模式的安全限制

FIPS模式是一种严格的安全合规模式，它对加密算法和密钥管理有着严格的要求。在这种模式下，OpenJ9实现了一个名为RestrictedSecurity的安全检查机制，它会阻止某些可能影响系统安全性的操作。

具体到这个问题，RestrictedSecurity.checkSetSecurityProperty方法会检查当前是否处于FIPS模式，如果是，则禁止通过程序方式修改安全属性。这种设计是为了确保FIPS认证环境中的配置不会被运行时修改，从而保持安全策略的一致性。

测试用例分析

Camerfirma测试用例原本设计用于测试对特定证书颁发机构(Camerfirma)证书的信任管理。测试中会尝试修改jdk.certpath.disabledAlgorithms属性来模拟不信任特定证书链的场景。

然而，在FIPS模式下，这种动态修改安全属性的行为被明确禁止，因为：

1. 可能破坏FIPS认证要求
2. 可能导致安全策略不一致
3. 可能引入潜在的安全漏洞

解决方案

经过技术评估，决定在所有受影响的Java版本(8-24)中排除这个测试用例在FIPS模式下的执行。这是因为：

1. 测试用例的行为与FIPS模式的安全要求存在根本性冲突
2. 在FIPS环境中，安全策略应该通过配置而非运行时修改来管理
3. 这种限制是FIPS合规性的必要部分，不是需要修复的缺陷

扩展讨论

值得注意的是，即使在非FIPS模式下，这个测试用例也可能因为证书信任链问题而失败。这反映了现代Java安全策略中对某些历史证书颁发机构的逐步淘汰。

对于开发者来说，这个案例提醒我们：

1. 在FIPS模式下工作时，需要注意额外的安全限制
2. 安全属性的管理方式在不同模式下可能有显著差异
3. 测试用例需要考虑不同安全环境下的兼容性

结论

OpenJ9在FIPS模式下对安全属性修改的限制是出于安全合规性的合理设计。开发者在使用FIPS功能时应当了解这些限制，并相应地调整应用程序的设计和测试策略。对于必须修改安全属性的场景，应考虑在非FIPS环境下执行，或通过配置而非运行时修改来实现需求。