【正文】 個(gè)步驟。 下圖是方案實(shí)施完成后所帶來的變化。在慧點(diǎn)的 PMI 實(shí)施完成后，整個(gè)系統(tǒng)將會由一個(gè)分散的用戶管理和應(yīng)用訪問轉(zhuǎn)變成一個(gè)基于門戶的，集中管理和訪問的，能進(jìn)行 Single Sign On 的集成的系統(tǒng)。進(jìn)一步的可以伴隨 PMI 和 PKI 的建設(shè)，建設(shè)和實(shí)施慧點(diǎn)的基于可信 WebService 的安全應(yīng)用集成平臺框架，無縫的集成企業(yè)內(nèi)部和外部的業(yè)務(wù)流程，為客戶提供新的，滿意的服務(wù)。 安全方案的網(wǎng)絡(luò)部署 上圖是一 個(gè)在簡化的慧點(diǎn)安全解決方案的網(wǎng)絡(luò)部署拓?fù)鋱D。在圖中， Inter 上的用戶可以通過瀏覽器訪問企業(yè)的門戶服務(wù)器 (Portal Server)。用戶在門戶上進(jìn)行單點(diǎn)登錄，并根據(jù)授權(quán)訪問內(nèi)部應(yīng)用系統(tǒng)提供的服務(wù)。在圖中部署有 CA Server 和 RA Server，提供證書的申請、創(chuàng)建、管理和發(fā)布服務(wù)，同時(shí)安全中間件運(yùn)行在各個(gè)服務(wù)器上，為應(yīng)用透明地提供數(shù)據(jù)加解密、數(shù)字簽名等安全服務(wù)，而不需要直接與底層的安全算法 /硬件提供者打交道。 Policy Agent 運(yùn)行在各個(gè)應(yīng)用服務(wù)器和 Web 服務(wù)器上，并通過 Policy Server 進(jìn)行身份認(rèn)證和授權(quán)決策。在系統(tǒng)中 Policy Server 和存儲用戶信息和授權(quán)信息的 LDAP Server 使用群集來實(shí)現(xiàn)負(fù)載均衡和高可用性。 六 .慧點(diǎn)產(chǎn)品安全方案的關(guān)鍵特性和優(yōu)勢 慧點(diǎn) PKI 方案的關(guān)鍵特性和優(yōu)勢 作為一個(gè)方案提供商，慧點(diǎn)科技的 PKI 方案與來自其它廠商的PKI 方案相比，在可擴(kuò)展能力、可定制能力、可開發(fā)能力和可集成能力等方面具有顯著的特色。 可擴(kuò)展能力是指用戶在完成 PKI 方案的建設(shè)和部署之后，如果在安全性方面具有新的需求，可以對 PKI 方案中的多個(gè)關(guān)鍵環(huán)節(jié)，如CA 服務(wù)器軟件 、加密硬件設(shè)備、加密軟件設(shè)備等進(jìn)行獨(dú)立的擴(kuò)展，而建構(gòu)在目前的 PKI 方案基礎(chǔ)上的應(yīng)用系統(tǒng)無需進(jìn)行修改即可與擴(kuò)展后的系統(tǒng)協(xié)同運(yùn)行，從而可以大幅度的降低用戶在未來可能的遷移成本，同時(shí)保證了當(dāng)前建設(shè)的 PKI 方案在未來不至于成為限制應(yīng)用系統(tǒng)的安全性的一個(gè)因素。而事實(shí)上，很多已經(jīng)建設(shè)了 PKI 的機(jī)構(gòu)所采用的 PKI 方案本身的可擴(kuò)展能力不足，正日益成為進(jìn)一步提高新建設(shè)的應(yīng)用系統(tǒng)的安全性的障礙。而慧點(diǎn)的 PKI 方案在設(shè)計(jì)時(shí)即對此加以了特殊的考慮，具有很好的可擴(kuò)展能力。 可定制能力是指用戶在建設(shè) PKI 方案時(shí)，可以根據(jù)自身對安全 性需要對 CA 服務(wù)器及相關(guān)軟件、加密算法、加密軟件和硬件系統(tǒng)等進(jìn)行自由的選擇。每個(gè)需要建設(shè) PKI 的用戶在安全性方面都有其特殊的需要，然后，當(dāng)用戶選擇很多 PKI 方案時(shí)，卻常常囿于這些 PKI 方案的限制，對 PKI 方案中的各個(gè)組成部分只有很少的幾種選擇，或者根本沒有選擇。而慧點(diǎn)的 PKI 方案在設(shè)計(jì)就考慮了集成多種不同的CA 服務(wù)器、加密軟件和硬件系統(tǒng)的能力，具有很好的可定制能力，能夠滿足不同用戶對安全性的不同需求。 可開發(fā)能力是 PKI 方案得以有效實(shí)施的一個(gè)重要保證。歸根到底， PKI 方案只有得到應(yīng)用系統(tǒng)的全面的支持才能 有效的提高機(jī)構(gòu)的IT 系統(tǒng)的安全性，否則只能是用來擺設(shè)的花瓶，并不能為客戶帶來實(shí)際的價(jià)值?；埸c(diǎn)的 PKI 方案為應(yīng)用系統(tǒng)提供了一致的安全中間件接口，安全中間件接口本身對來自不同的 CA 服務(wù)器和相關(guān)軟件、加密算法、加密軟件和硬件系統(tǒng)均保持一致，從而簡化了應(yīng)用系統(tǒng)的開發(fā)。 可集成能力是 PKI 方案可以與應(yīng)用系統(tǒng)密切結(jié)合，協(xié)同工作。PKI 不是 IT 系統(tǒng)中孤立的一環(huán)，僅僅部署 PKI 不能夠在任何程度上提高 IT 系統(tǒng)的安全性，而必須于應(yīng)用系統(tǒng)結(jié)合。慧點(diǎn)科技不僅僅是一個(gè)安全方案的提供商，同時(shí)也是一個(gè)電子商務(wù)和電子政務(wù)解決方案的提供 商。慧點(diǎn)科技的 PKI 方案與 PMI、 DCI 等平臺緊密集成，能夠在每個(gè)環(huán)節(jié)滿足用戶對安全性的要求。 慧點(diǎn) PMI 的關(guān)鍵特性和優(yōu)勢集中管理、隨處訪問 提供集中的用戶和權(quán)限管理和控制服務(wù)，支持多個(gè)異構(gòu)系統(tǒng)平臺，支持不同的操作系統(tǒng)，支持多種的 WebServer，支持多種應(yīng)用服務(wù)器。通過門戶和 Single SignOn，實(shí)現(xiàn)了隨處訪問，用戶可以從不同的訪問地點(diǎn)去進(jìn)行認(rèn)證和服務(wù)訪問，如在內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程訪問，或不同的建筑物間。用戶可以使用不同的終端設(shè)備來訪問服務(wù)，這些設(shè)備可以是 PC,手機(jī)，語音電話， PDA 等。 Single Sign On 完整地實(shí)現(xiàn)了 Single Sign On。不僅能夠?qū)Ω鞣N類型的 Web Application(ASP,Java Servlet, JSP 等 )， WebServer(Apache, IIS, Domino)，以及各種 JavaApplication Server（ WebLogic, WebSphere, Sun Application Server），通過 Policy Agent 實(shí)現(xiàn) Single Sign On場景，而且對于傳統(tǒng)的數(shù)據(jù)庫應(yīng)用也能通過門戶（ Portal）上的 Proxy Portlet 來實(shí)現(xiàn)這些傳統(tǒng)應(yīng)用的 Single Sign On。 通過 Portal 提供對應(yīng)用的良好集成支持?；埸c(diǎn) PMI 可以通過慧點(diǎn)的門戶產(chǎn)品 快速方便地設(shè) Single Sign On 的登錄和身份驗(yàn)證網(wǎng)頁，并通過 Portal 訪問各個(gè)參與 Single Sign On 的應(yīng)用系統(tǒng)提供的服務(wù)。 提供多種級別的安全認(rèn)證服務(wù)。支持多種認(rèn)證機(jī)制，包括Windows NT/2021 和智能卡、指紋識別、動態(tài)密碼、 SafeWord 卡等認(rèn)證機(jī)制。可以配置不同的應(yīng)用需要使用不同的認(rèn)證級別，如果Single Sign On 當(dāng)前的認(rèn)證級別低于應(yīng)用系統(tǒng)所需要的認(rèn)證級別，Single Sign On 會要求用戶重新到新的級別上進(jìn)行認(rèn)證。支持為一個(gè)程序配置同時(shí)使用多種認(rèn)證機(jī)制。 對于安全性重要的傳統(tǒng)應(yīng)用提供本地角色映射支持。某些參加Single Sign On 的傳統(tǒng)應(yīng)用程序擁有自己的用戶帳號信息，并自己管理著用戶對該應(yīng)用的訪問授權(quán)。在某些場景下，這些應(yīng)用的機(jī)密的用戶帳號信息不允許在外部服務(wù)器上存放或在網(wǎng)絡(luò)傳輸，要實(shí)現(xiàn)這些應(yīng)用的 Single Sign On。需要在應(yīng)用程序本地，將 Single Sign On 的 用戶帳號映射成該用戶的本地應(yīng)用程序賬號并實(shí)現(xiàn)自動登錄?；埸c(diǎn)的PMI 能夠很靈活方便地通過部署實(shí)現(xiàn)這種方式的 Single Sign On。 提供對基于 Form 表單登錄的傳統(tǒng) Web 應(yīng)用程序的 Single Sign On 支持。傳統(tǒng)的基于 Form表單方式登錄的應(yīng)用程序無需修改代碼，通過慧點(diǎn)的 PMI，就能夠加入到 Single Sign On 中來?；埸c(diǎn) PMI 的Policy Agent 支持應(yīng)用登錄插件，通過應(yīng)用登錄插件的支持，能夠自動模仿瀏覽器，生成并提交應(yīng)用所需的登錄表單結(jié)果（自動填寫表單 域中的用戶名和密碼），并同時(shí) 維護(hù)應(yīng)用登錄成功后自己產(chǎn)生的SessionID 和該用戶 Single Sign On 令牌之間的關(guān)系。 柔性的授權(quán)管理平臺 方便建立有效的管理模型和存儲模型 (LDAP 目錄樹 )，如用戶，角色，組，組織結(jié)構(gòu)，組織單元，策略。使用基于瀏覽器的界面來在LDAP 中創(chuàng)建管理用戶帳號，服務(wù)屬性，和訪問規(guī)則。用戶并不需要了解后臺的 LDAP。 提供動態(tài)組（ dynamic group）定義能力。通過屬性過濾器來動態(tài)控制哪些用戶是該組的成員。例如可以將所有工作崗位屬性為“辦事員”的用戶動態(tài)地分為一組。 據(jù)有委托管理的 能力，對每個(gè)組織都內(nèi)置有組織管理員角色，該角色被授予能夠并且只能管理本組織內(nèi)的對象。 提供通過模板來創(chuàng)建 LDAP 上的目錄結(jié)構(gòu)的能力。并且可以通過慧點(diǎn)的數(shù)據(jù)交換平臺服務(wù)的支持，快速的從傳統(tǒng)應(yīng)用（如人力資源管理）中導(dǎo)入大量的原有用戶，免去了管理人員重新守東新建用戶信息的繁瑣操作。 高可用性 方便地通過熱備份和負(fù)載平衡來實(shí)現(xiàn)在大規(guī)模企業(yè)應(yīng)用中所需要的伸縮性和高可用性，并保證了系統(tǒng)不會出現(xiàn)單點(diǎn)失效的問題。 安全網(wǎng)絡(luò)通訊 瀏覽器客戶機(jī)使用 SSL 來在門戶系統(tǒng)上登錄和使用 Single Sign On,以保護(hù)登錄過程的安全。在后臺應(yīng)用系統(tǒng)的 Policy Agent 和Policy Server 之間的通訊也是經(jīng)過加密的。 帶來高價(jià)值 整個(gè)慧點(diǎn)可信的 WebService PMI 構(gòu)成的環(huán)境中，可以統(tǒng)看成有兩類角色參與。一個(gè)是使用者 (consumer)，如客戶、供應(yīng)商、伙伴、和雇員。一類是提供者，如設(shè)備制造商、身份標(biāo)識驗(yàn)證和授權(quán)服務(wù)提供者、以及應(yīng)用服務(wù)提供者。 對于使用者來說 慧點(diǎn) PMI 提供和培育了使用者間建立信任的業(yè)務(wù)環(huán)境，在該環(huán)境中，個(gè)人數(shù)據(jù)信息安全并且信息共享策略是清晰的。信息共享策略提交給授 權(quán)管理服務(wù)進(jìn)行有效的管理。通過 Single Sign On，信息可以在任何地點(diǎn)，任何設(shè)備，任何時(shí)間安全地被訪問和提交。這將帶來新的商業(yè)機(jī)會，刺激著出現(xiàn)更廣泛地使用新服務(wù)，新的商業(yè)以及更多滿意的客戶，同時(shí)將加速 Inter 和網(wǎng)絡(luò)服務(wù)的采納和廣泛使用。 對于提供商 : 消除任何時(shí)候一個(gè)應(yīng)用或服務(wù)被訪問時(shí)自己實(shí)現(xiàn)身份鑒別和驗(yàn)證的需要，慧點(diǎn)的可信 WebService 的 PMI 給服務(wù)和設(shè)備提供者帶來了空前的價(jià)值。 慧點(diǎn)的可信 WebService 的 PMI 能提供多個(gè)驗(yàn)證和信任安全級別，降低了欺騙發(fā)生的可能性并 減少了服務(wù)供應(yīng)商自己保存客戶隱私信息所面臨的風(fēng)險(xiǎn)。 通過將標(biāo)識和授權(quán)管理從應(yīng)用和設(shè)備中分離出來，就能夠容易地對來自不同供應(yīng)商的增值服務(wù)進(jìn)行集成從而給客戶提供一個(gè)全面綜合的產(chǎn)品。 采納慧點(diǎn)的可信 Web Service 的 PMI 可以減少在線交易的欺騙行為，并減少所有參與業(yè)務(wù)交易的價(jià)值鏈上的合作伙伴的集成和支持費(fèi)用。此外，在慧點(diǎn)可信 PMI 的支持下，增加客戶忠誠度、滿意度和提高員工的生產(chǎn)率，培育新的商業(yè)合作伙伴將是一件容易的事情。 慧點(diǎn) OA 產(chǎn)品安全應(yīng)用的關(guān)鍵特性和優(yōu)勢安全電子郵件 在一般的企業(yè)信 息系統(tǒng)中，電子郵件的使用包括兩類場景： 使用電子郵件客戶程序 (如 Outlook、 Outlook Express和 Foxmail等 ) 使用基于 Web 的電子郵件系統(tǒng) 慧點(diǎn)科技基于 PKI 實(shí)現(xiàn)的安全電子郵件，可以實(shí)現(xiàn)以上兩種情況下的郵件安全。 基于電子郵件客戶程序部署安全電子郵件 目前得到普遍使用的電子郵件加密手段有： PGP、 S/MIME。 PGP和 S/MIME 主要基于電子郵件客戶程序部署，一般情況下不適用部署在基于 Web 的電子郵件系統(tǒng)中?；埸c(diǎn)安全電子郵件可實(shí)現(xiàn)在電子郵件客戶程序的部署。 基于 Web 電子郵件系統(tǒng)部署安全電子郵件 通過數(shù)字簽名和數(shù)字加密的方式，確保您的電子郵件只有指定的收件人才能閱讀，并且杜絕他人冒用你的名義發(fā)送郵件，不再有偷窺、冒用等煩惱。 電子簽章 插件，以 COM 控件的方式和 Microsoft Word 軟件實(shí)現(xiàn)無縫接入的?？蓪?shí)現(xiàn)一人或多人（單位）會簽；且經(jīng)過簽署后的文檔可設(shè)置打印份數(shù)。電子簽章系統(tǒng)為 Word 文檔提供了簽署及驗(yàn)證的功能，實(shí)現(xiàn)了對 Word 文檔簽署者的防抵賴和文檔信息完整性驗(yàn)證。實(shí)現(xiàn)了文檔簽章、文檔驗(yàn)證、撤消簽章、身 份認(rèn)證、查看證書、簽章時(shí)間、刪除樣章、打印控制、版本信息等功能。 Web 網(wǎng)頁的簽名和加密插件，對在頁面提交的信息進(jìn)行簽名，提供對提交者的身份合法性的認(rèn)證以及對所提交信息的完整性驗(yàn)證，以及保護(hù)和加密所提交的信息。 總結(jié) 由于 PKI 是在公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來的一種綜合安全平臺，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。 利用 PKI 可以方便地 建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境，從而使得人們在這個(gè)無法直接相互面對的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事業(yè)務(wù)活動。安全中間件作為 PKI 的組成部分，為應(yīng)用程序和認(rèn)證機(jī)構(gòu)之間搭建起一座橋梁，授權(quán)管理體系（ PMI， Privilege Management Infrastructures）是信息安全系統(tǒng)中重要的基礎(chǔ)設(shè)施，它向應(yīng)用系統(tǒng)提供對實(shí)體（用戶、程序等）的授權(quán)服務(wù)管理，提供實(shí)體身份到應(yīng)用權(quán)限的映射，提供與實(shí)際應(yīng)用處理模式相應(yīng)的、與具體應(yīng)用系統(tǒng)開發(fā)和管理無關(guān)的授權(quán)和訪問控制機(jī)制，簡化具體應(yīng)用 系統(tǒng)的開發(fā)與維護(hù)。不難看出，建立以 PKI 為基礎(chǔ)的安全解決方案，無論是對在 Intra 上開展的無紙辦公等內(nèi)部業(yè)務(wù)，還是對電子支付、網(wǎng)上證券交易、網(wǎng)上購物、網(wǎng)上教育、網(wǎng)上娛樂、電子政府等網(wǎng)絡(luò)應(yīng)用，都是一種安全可靠的選擇。