【正文】 ner 的應(yīng)用系統(tǒng)時，可以通過 Portal 提供的 Proxy Portlet 來自動地登錄這些應(yīng)用系統(tǒng)，并通過Proxy Portlet 訪問這些應(yīng)用系統(tǒng)。因?yàn)?JAAS 對于授權(quán)的檢查構(gòu)成了一個檢查堆棧，因此通過 JAAS 的驗(yàn)證和授權(quán)框架可以全面的保護(hù) Java 應(yīng)用程序的每一部分，而不僅僅是只能在應(yīng)用程序的用戶訪問接口上。由于提供了基于 SAML 的 WebService 服務(wù)，因此慧點(diǎn)的 PMI 很容易與第三方的站點(diǎn)應(yīng)用程序?qū)崿F(xiàn)互操作。 Single Sign On, Portal 上的活動 session 該模型允許關(guān)聯(lián)站點(diǎn)的 sessions 可以續(xù)借（ renew），只要門戶上的 session 還活動。同樣的，當(dāng)用戶從一個關(guān)聯(lián)站點(diǎn)注銷，關(guān)聯(lián)站點(diǎn)上的安全代里將會發(fā)送一條消息到門戶，并且涉及到本次 Single Sign ON 圈子的關(guān)聯(lián)站點(diǎn)的session 將會被終止。通過用戶帳號管理代理（對于用關(guān)系數(shù)據(jù)庫來管理和存儲用戶帳號信息的應(yīng)用系統(tǒng)，可以使用慧點(diǎn)的數(shù)據(jù)交換平臺服務(wù)來快速實(shí)現(xiàn)用戶帳號管理代理的功能），系統(tǒng)管理員只需要在 Portal上進(jìn)行一次的用戶添加或刪除操作，就可以自動地在外部應(yīng)用系統(tǒng)上添加 /刪除相關(guān)的用戶。 ”建立簡單的策略這一點(diǎn)非常的重要。必須制定合適的策略和實(shí)施步驟，否則制定了人們也不會執(zhí)行。對這些安全性問題和需求進(jìn)行評估，指出解決技術(shù)和管理途徑。完全來自于管理層的安全策略常常由于得不到具體的執(zhí)行人員的理解和支持而變得形同虛設(shè)，這是很多建立了PKI 系統(tǒng)的機(jī)構(gòu)正在面臨的尷尬處境。根據(jù)用戶實(shí)際情況的不同，對 CA服務(wù)器軟件的選擇有著相應(yīng)的變化。 在 Linux操作系統(tǒng)下運(yùn)行應(yīng)用系統(tǒng)的中小企業(yè)用戶可以考慮選用SmartdotCA。在慧點(diǎn)科技的 PKI 方案中，用戶可以根據(jù)自身的需要選擇不同的 CA 產(chǎn)品。 認(rèn)證機(jī)構(gòu)的部署包括： (1) RA 服務(wù)器的部署 RA 服務(wù)器負(fù)責(zé)接收和審核用戶的證書申請請求。密鑰管理服務(wù)器與數(shù)據(jù)庫服務(wù)器協(xié)同工作，負(fù)責(zé)完成用戶的密鑰對的產(chǎn)生、備份和恢復(fù)等。當(dāng)用戶重試超過一定次數(shù)后， IC 卡或 USB 設(shè)備將被鎖定，需要由管理員解鎖后才能繼續(xù)使用，因此保護(hù)了用戶的私鑰的安全性。在線申請就是通過瀏覽器或?qū)ｉT的應(yīng)用系統(tǒng)通過在線的方式申請數(shù)字證書，這種方式主要用于申請普通用戶的證書或申請測試證書。 (3) CA發(fā)行證書注冊機(jī)構(gòu) RA通過硬拷貝的方式向 CA用戶的證書申請和注冊機(jī)構(gòu)的數(shù)字簽名，如果數(shù)字簽名驗(yàn)證通過， CA 操作員同意用戶的證書申請，簽發(fā)證書，然后由 CA 將證書輸出。 (3)用戶不可信賴 如果用戶在信息系統(tǒng)中的行為與其在機(jī)構(gòu)中的角色和職責(zé)不符，將可能會導(dǎo)致用戶在安全的信息系統(tǒng)中不可信賴。 (3) CA 更新 CRL，然后將 CRL 以多種格式輸出。 PKI 技術(shù)的廣泛應(yīng)用能、夠滿足人們對網(wǎng)絡(luò)安全保障的需求。借助于慧點(diǎn) PKI 方案的支持，安全電子郵件可以保證敏感數(shù)據(jù)的真實(shí)性、保密性，也可以不可否認(rèn)性。 SSL 與 Web 安全 SSL (Security Socket Layer)是由 Netscape 公司首先發(fā)表的網(wǎng)絡(luò)安全傳輸協(xié)議。 應(yīng)用系統(tǒng)與安全中間件 應(yīng)用系統(tǒng)通過安全中間件提供的安全應(yīng)用程序編程接口來使用PKI 系統(tǒng)提供的各種安全服務(wù)。 下圖是方案實(shí)施完成后所帶來的變化。在圖中， Inter 上的用戶可以通過瀏覽器訪問企業(yè)的門戶服務(wù)器 (Portal Server)。在系統(tǒng)中 Policy Server 和存儲用戶信息和授權(quán)信息的 LDAP Server 使用群集來實(shí)現(xiàn)負(fù)載均衡和高可用性。而慧點(diǎn)的 PKI 方案在設(shè)計(jì)時即對此加以了特殊的考慮，具有很好的可擴(kuò)展能力。 可開發(fā)能力是 PKI 方案得以有效實(shí)施的一個重要保證。PKI 不是 IT 系統(tǒng)中孤立的一環(huán)，僅僅部署 PKI 不能夠在任何程度上提高 IT 系統(tǒng)的安全性，而必須于應(yīng)用系統(tǒng)結(jié)合。通過門戶和 Single SignOn，實(shí)現(xiàn)了隨處訪問，用戶可以從不同的訪問地點(diǎn)去進(jìn)行認(rèn)證和服務(wù)訪問，如在內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程訪問，或不同的建筑物間。 通過 Portal 提供對應(yīng)用的良好集成支持?？梢耘渲貌煌膽?yīng)用需要使用不同的認(rèn)證級別，如果Single Sign On 當(dāng)前的認(rèn)證級別低于應(yīng)用系統(tǒng)所需要的認(rèn)證級別，Single Sign On 會要求用戶重新到新的級別上進(jìn)行認(rèn)證。在某些場景下，這些應(yīng)用的機(jī)密的用戶帳號信息不允許在外部服務(wù)器上存放或在網(wǎng)絡(luò)傳輸，要實(shí)現(xiàn)這些應(yīng)用的 Single Sign On。傳統(tǒng)的基于 Form表單方式登錄的應(yīng)用程序無需修改代碼，通過慧點(diǎn)的 PMI，就能夠加入到 Single Sign On 中來。用戶并不需要了解后臺的 LDAP。 據(jù)有委托管理的 能力，對每個組織都內(nèi)置有組織管理員角色，該角色被授予能夠并且只能管理本組織內(nèi)的對象。 安全網(wǎng)絡(luò)通訊 瀏覽器客戶機(jī)使用 SSL 來在門戶系統(tǒng)上登錄和使用 Single Sign On,以保護(hù)登錄過程的安全。一類是提供者，如設(shè)備制造商、身份標(biāo)識驗(yàn)證和授權(quán)服務(wù)提供者、以及應(yīng)用服務(wù)提供者。這將帶來新的商業(yè)機(jī)會，刺激著出現(xiàn)更廣泛地使用新服務(wù)，新的商業(yè)以及更多滿意的客戶，同時將加速 Inter 和網(wǎng)絡(luò)服務(wù)的采納和廣泛使用。 采納慧點(diǎn)的可信 Web Service 的 PMI 可以減少在線交易的欺騙行為，并減少所有參與業(yè)務(wù)交易的價值鏈上的合作伙伴的集成和支持費(fèi)用。 PGP和 S/MIME 主要基于電子郵件客戶程序部署，一般情況下不適用部署在基于 Web 的電子郵件系統(tǒng)中?？蓪?shí)現(xiàn)一人或多人（單位）會簽；且經(jīng)過簽署后的文檔可設(shè)置打印份數(shù)。 總結(jié) 由于 PKI 是在公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來的一種綜合安全平臺，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。 。安全中間件作為 PKI 的組成部分，為應(yīng)用程序和認(rèn)證機(jī)構(gòu)之間搭建起一座橋梁，授權(quán)管理體系（ PMI， Privilege Management Infrastructures）是信息安全系統(tǒng)中重要的基礎(chǔ)設(shè)施，它向應(yīng)用系統(tǒng)提供對實(shí)體（用戶、程序等）的授權(quán)服務(wù)管理，提供實(shí)體身份到應(yīng)用權(quán)限的映射，提供與實(shí)際應(yīng)用處理模式相應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制，簡化具體應(yīng)用 系統(tǒng)的開發(fā)與維護(hù)。實(shí)現(xiàn)了文檔簽章、文檔驗(yàn)證、撤消簽章、身 份認(rèn)證、查看證書、簽章時間、刪除樣章、打印控制、版本信息等功能。 基于 Web 電子郵件系統(tǒng)部署安全電子郵件 通過數(shù)字簽名和數(shù)字加密的方式，確保您的電子郵件只有指定的收件人才能閱讀，并且杜絕他人冒用你的名義發(fā)送郵件，不再有偷窺、冒用等煩惱。 慧點(diǎn) OA 產(chǎn)品安全應(yīng)用的關(guān)鍵特性和優(yōu)勢安全電子郵件 在一般的企業(yè)信 息系統(tǒng)中，電子郵件的使用包括兩類場景： 使用電子郵件客戶程序 (如 Outlook、 Outlook Express和 Foxmail等 ) 使用基于 Web 的電子郵件系統(tǒng) 慧點(diǎn)科技基于 PKI 實(shí)現(xiàn)的安全電子郵件，可以實(shí)現(xiàn)以上兩種情況下的郵件安全。 慧點(diǎn)的可信 WebService 的 PMI 能提供多個驗(yàn)證和信任安全級別，降低了欺騙發(fā)生的可能性并 減少了服務(wù)供應(yīng)商自己保存客戶隱私信息所面臨的風(fēng)險。信息共享策略提交給授 權(quán)管理服務(wù)進(jìn)行有效的管理。 帶來高價值 整個慧點(diǎn)可信的 WebService PMI 構(gòu)成的環(huán)境中，可以統(tǒng)看成有兩類角色參與。并且可以通過慧點(diǎn)的數(shù)據(jù)交換平臺服務(wù)的支持，快速的從傳統(tǒng)應(yīng)用（如人力資源管理）中導(dǎo)入大量的原有用戶，免去了管理人員重新守東新建用戶信息的繁瑣操作。通過屬性過濾器來動態(tài)控制哪些用戶是該組的成員。 柔性的授權(quán)管理平臺 方便建立有效的管理模型和存儲模型 (LDAP 目錄樹 )，如用戶，角色，組，組織結(jié)構(gòu)，組織單元，策略?；埸c(diǎn)的PMI 能夠很靈活方便地通過部署實(shí)現(xiàn)這種方式的 Single Sign On。 對于安全性重要的傳統(tǒng)應(yīng)用提供本地角色映射支持。 提供多種級別的安全認(rèn)證服務(wù)。 Single Sign On 完整地實(shí)現(xiàn)了 Single Sign On。慧點(diǎn)科技的 PKI 方案與 PMI、 DCI 等平臺緊密集成，能夠在每個環(huán)節(jié)滿足用戶對安全性的要求?；埸c(diǎn)的 PKI 方案為應(yīng)用系統(tǒng)提供了一致的安全中間件接口，安全中間件接口本身對來自不同的 CA 服務(wù)器和相關(guān)軟件、加密算法、加密軟件和硬件系統(tǒng)均保持一致，從而簡化了應(yīng)用系統(tǒng)的開發(fā)。每個需要建設(shè) PKI 的用戶在安全性方面都有其特殊的需要，然后，當(dāng)用戶選擇很多 PKI 方案時，卻常常囿于這些 PKI 方案的限制，對 PKI 方案中的各個組成部分只有很少的幾種選擇，或者根本沒有選擇。 可擴(kuò)展能力是指用戶在完成 PKI 方案的建設(shè)和部署之后，如果在安全性方面具有新的需求，可以對 PKI 方案中的多個關(guān)鍵環(huán)節(jié)，如CA 服務(wù)器軟件 、加密硬件設(shè)備、加密軟件設(shè)備等進(jìn)行獨(dú)立的擴(kuò)展，而建構(gòu)在目前的 PKI 方案基礎(chǔ)上的應(yīng)用系統(tǒng)無需進(jìn)行修改即可與擴(kuò)展后的系統(tǒng)協(xié)同運(yùn)行，從而可以大幅度的降低用戶在未來可能的遷移成本，同時保證了當(dāng)前建設(shè)的 PKI 方案在未來不至于成為限制應(yīng)用系統(tǒng)的安全性的一個因素。在圖中部署有 CA Server 和 RA Server，提供證書的申請、創(chuàng)建、管理和發(fā)布服務(wù)，同時安全中間件運(yùn)行在各個服務(wù)器上，為應(yīng)用透明地提供數(shù)據(jù)加解密、數(shù)字簽名等安全服務(wù)，而不需要直接與底層的安全算法 /硬件提供者打交道。進(jìn)一步的可以伴隨 PMI 和 PKI 的建設(shè)，建設(shè)和實(shí)施慧點(diǎn)的基于可信 WebService 的安全應(yīng)用集成平臺框架，無縫的集成企業(yè)內(nèi)部和外部的業(yè)務(wù)流程，為客戶提供新的，滿意的服務(wù)。 慧點(diǎn) PMI 建設(shè)實(shí)現(xiàn) 建設(shè)步驟 慧點(diǎn)科技不僅提供慧點(diǎn)可信 WebService 的 PMI 框架和 產(chǎn)品，還提供企業(yè) /政務(wù)應(yīng)用集成的全套解決方案。 SSL 可以為各種應(yīng)用系統(tǒng)提供通過公共網(wǎng)絡(luò)的加密數(shù)據(jù)傳輸，基于慧點(diǎn) PKI方案，還可以進(jìn)一步的實(shí)現(xiàn)對客戶端和服務(wù)器端 的雙向的身份認(rèn)證。 安全公文傳輸與交換 安全公文傳輸與交換允許用戶通過公共網(wǎng)絡(luò) (Inter)安全的傳輸各類文檔?；诨埸c(diǎn)的 PKI 方案，用戶可以部署： 虛擬專用網(wǎng)絡(luò) (VPN) 由于傳輸?shù)氖撬接械拿舾袛?shù)據(jù)，用戶對于 VPN 的安全性有較高的要求，基于慧點(diǎn) PKI 系統(tǒng)，可以使用隧道技術(shù)、加密和解密技術(shù)、密鑰管理技術(shù)、使用者和設(shè)備身份認(rèn)證技術(shù)等多種技術(shù)提高 VPN 的安全性。 (5)用戶通過安全服務(wù)器下載 CRL，驗(yàn)證會話中的數(shù)字證書是否有效。 證書撤銷的流程如下： (1)用戶向注冊審核機(jī)構(gòu)提出證書撤銷申請。 (5)用戶獲取證書用戶通過指定的方式獲取由 CA 簽發(fā)的證書，完成證書申請的流程。 證書申請的流程如下： (1)用戶申請 用戶在申請證書時，先生成公鑰和私鑰對，將私鑰以特定的方式保存，將公鑰 和個人信息提交到注冊機(jī)構(gòu)服務(wù)器。在這種情況下，使用復(fù)雜的密碼能夠在一定程度提高用戶的私鑰的安全性，但是也造成了用戶使用上的不便。 常見的用戶證書存儲方式包括以下幾種： (1)使用 IC 卡存儲 用戶證書 (2)使用 USB 設(shè)備存儲用戶證書 (3)使用磁盤文件存儲用戶證書 用戶在 PKI 系統(tǒng)中的私鑰一般也隨用戶證書保存在 IC 卡、 USB設(shè)備或磁盤文件。 (3) LDAP 服務(wù)器的部署 安全中間件和 PKI 系統(tǒng)中的其它組件通過 LDAP 服務(wù)器獲取應(yīng)用系統(tǒng)中所需的用戶證書。 認(rèn)證機(jī)構(gòu)的部署 認(rèn)證機(jī)構(gòu)的部署是 PKI 方案的實(shí)施的核心。 Smartdot CA 可以采用 RA 和 CA 分離部署的方式，提供了較高的安全性支持。 對于基于 Microsoft Windows 2021 部署企業(yè)的 IT系統(tǒng)的中小企業(yè)，可以考慮選用 Microsoft Certificate Services。機(jī)構(gòu)需要用戶自身對安全性的需要，首先對 CA服務(wù)器及相關(guān)軟件進(jìn)行選擇，完成 CA 及相關(guān)服務(wù)器的部署，進(jìn)一步的制定證書的申請、存儲和撤銷流程。制定安全策略時需要針對不同的安全性問題，指出具體的解決問題的方法。對于一個需要建設(shè) PKI 系統(tǒng)的機(jī)構(gòu)來說，需要評估企業(yè)的所有工作流程中存在安全隱患和危機(jī)的每一個環(huán)節(jié)，尋找對應(yīng)的解決途徑，這一工作可以從兩個方面展開。來自紐約一家開發(fā) PKI 服務(wù)的公司 ?a?aIdetrus 公司的 Paul Donfried 指出：“公司有的時候需要尋求平衡和折衷。 制定安全策略 大多數(shù)機(jī)構(gòu)在安全方