【正文】 務(wù)應(yīng)用集成的全套解決方案。完成一個(gè)PMI的建設(shè)，通常需要六個(gè)步驟。　　　　下圖是方案實(shí)施完成后所帶來(lái)的變化。在慧點(diǎn)的PMI實(shí)施完成后，整個(gè)系統(tǒng)將會(huì)由一個(gè)分散的用戶管理和應(yīng)用訪問(wèn)轉(zhuǎn)變成一個(gè)基于門戶的，集中管理和訪問(wèn)的，能進(jìn)行Single Sign On的集成的系統(tǒng)。進(jìn)一步的可以伴隨PMI和PKI的建設(shè)，建設(shè)和實(shí)施慧點(diǎn)的基于可信WebService的安全應(yīng)用集成平臺(tái)框架，無(wú)縫的集成企業(yè)內(nèi)部和外部的業(yè)務(wù)流程，為客戶提供新的，滿意的服務(wù)?！　　　　　　　∩蠄D是一個(gè)在簡(jiǎn)化的慧點(diǎn)安全解決方案的網(wǎng)絡(luò)部署拓?fù)鋱D。在圖中，Internet上的用戶可以通過(guò)瀏覽器訪問(wèn)企業(yè)的門戶服務(wù)器(Portal Server)。用戶在門戶上進(jìn)行單點(diǎn)登錄，并根據(jù)授權(quán)訪問(wèn)內(nèi)部應(yīng)用系統(tǒng)提供的服務(wù)。在圖中部署有CA Server和RA Server，提供證書的申請(qǐng)、創(chuàng)建、管理和發(fā)布服務(wù)，同時(shí)安全中間件運(yùn)行在各個(gè)服務(wù)器上，為應(yīng)用透明地提供數(shù)據(jù)加解密、數(shù)字簽名等安全服務(wù)，而不需要直接與底層的安全算法/硬件提供者打交道。Policy Agent運(yùn)行在各個(gè)應(yīng)用服務(wù)器和Web服務(wù)器上，并通過(guò)Policy Server進(jìn)行身份認(rèn)證和授權(quán)決策。在系統(tǒng)中Policy Server和存儲(chǔ)用戶信息和授權(quán)信息的LDAP Server使用群集來(lái)實(shí)現(xiàn)負(fù)載均衡和高可用性?！　　　∽鳛橐粋€(gè)方案提供商，慧點(diǎn)科技的PKI方案與來(lái)自其它廠商的PKI方案相比，在可擴(kuò)展能力、可定制能力、可開(kāi)發(fā)能力和可集成能力等方面具有顯著的特色。　　可擴(kuò)展能力是指用戶在完成PKI方案的建設(shè)和部署之后，如果在安全性方面具有新的需求，可以對(duì)PKI方案中的多個(gè)關(guān)鍵環(huán)節(jié)，如CA服務(wù)器軟件、加密硬件設(shè)備、加密軟件設(shè)備等進(jìn)行獨(dú)立的擴(kuò)展，而建構(gòu)在目前的PKI方案基礎(chǔ)上的應(yīng)用系統(tǒng)無(wú)需進(jìn)行修改即可與擴(kuò)展后的系統(tǒng)協(xié)同運(yùn)行，從而可以大幅度的降低用戶在未來(lái)可能的遷移成本，同時(shí)保證了當(dāng)前建設(shè)的PKI方案在未來(lái)不至于成為限制應(yīng)用系統(tǒng)的安全性的一個(gè)因素。而事實(shí)上，很多已經(jīng)建設(shè)了PKI的機(jī)構(gòu)所采用的PKI方案本身的可擴(kuò)展能力不足，正日益成為進(jìn)一步提高新建設(shè)的應(yīng)用系統(tǒng)的安全性的障礙。而慧點(diǎn)的PKI方案在設(shè)計(jì)時(shí)即對(duì)此加以了特殊的考慮，具有很好的可擴(kuò)展能力?！　】啥ㄖ颇芰κ侵赣脩粼诮ㄔO(shè)PKI方案時(shí)，可以根據(jù)自身對(duì)安全性需要對(duì)CA服務(wù)器及相關(guān)軟件、加密算法、加密軟件和硬件系統(tǒng)等進(jìn)行自由的選擇。每個(gè)需要建設(shè)PKI的用戶在安全性方面都有其特殊的需要，然后，當(dāng)用戶選擇很多PKI方案時(shí)，卻常常囿于這些PKI方案的限制，對(duì)PKI方案中的各個(gè)組成部分只有很少的幾種選擇，或者根本沒(méi)有選擇。而慧點(diǎn)的PKI方案在設(shè)計(jì)就考慮了集成多種不同的CA服務(wù)器、加密軟件和硬件系統(tǒng)的能力，具有很好的可定制能力，能夠滿足不同用戶對(duì)安全性的不同需求?！　】砷_(kāi)發(fā)能力是PKI方案得以有效實(shí)施的一個(gè)重要保證。歸根到底，PKI方案只有得到應(yīng)用系統(tǒng)的全面的支持才能有效的提高機(jī)構(gòu)的IT系統(tǒng)的安全性，否則只能是用來(lái)擺設(shè)的花瓶，并不能為客戶帶來(lái)實(shí)際的價(jià)值?；埸c(diǎn)的PKI方案為應(yīng)用系統(tǒng)提供了一致的安全中間件接口，安全中間件接口本身對(duì)來(lái)自不同的CA服務(wù)器和相關(guān)軟件、加密算法、加密軟件和硬件系統(tǒng)均保持一致，從而簡(jiǎn)化了應(yīng)用系統(tǒng)的開(kāi)發(fā)?！　】杉赡芰κ荘KI方案可以與應(yīng)用系統(tǒng)密切結(jié)合，協(xié)同工作。PKI不是IT系統(tǒng)中孤立的一環(huán)，僅僅部署PKI不能夠在任何程度上提高IT系統(tǒng)的安全性，而必須于應(yīng)用系統(tǒng)結(jié)合?；埸c(diǎn)科技不僅僅是一個(gè)安全方案的提供商，同時(shí)也是一個(gè)電子商務(wù)和電子政務(wù)解決方案的提供商。慧點(diǎn)科技的PKI方案與PMI、DCI等平臺(tái)緊密集成，能夠在每個(gè)環(huán)節(jié)滿足用戶對(duì)安全性的要求?！　?、隨處訪問(wèn)　　提供集中的用戶和權(quán)限管理和控制服務(wù)，支持多個(gè)異構(gòu)系統(tǒng)平臺(tái)，支持不同的操作系統(tǒng)，支持多種的WebServer，支持多種應(yīng)用服務(wù)器。通過(guò)門戶和Single SignOn，實(shí)現(xiàn)了隨處訪問(wèn)，用戶可以從不同的訪問(wèn)地點(diǎn)去進(jìn)行認(rèn)證和服務(wù)訪問(wèn)，如在內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程訪問(wèn)，或不同的建筑物間。用戶可以使用不同的終端設(shè)備來(lái)訪問(wèn)服務(wù)，這些設(shè)備可以是PC,手機(jī)，語(yǔ)音電話，PDA等?！　ingle Sign On　　完整地實(shí)現(xiàn)了Single Sign On。不僅能夠?qū)Ω鞣N類型的Web Application(ASP,Java Servlet, JSP等)，WebServer(Apache, IIS, Domino)，以及各種JavaApplication Server（WebLogic, WebSphere, Sun Application Server），通過(guò)Policy Agent實(shí)現(xiàn)Single Sign On場(chǎng)景，而且對(duì)于傳統(tǒng)的數(shù)據(jù)庫(kù)應(yīng)用也能通過(guò)門戶（Portal）上的Proxy Portlet來(lái)實(shí)現(xiàn)這些傳統(tǒng)應(yīng)用的Single Sign On?！　⊥ㄟ^(guò)Portal提供對(duì)應(yīng)用的良好集成支持。 Sign On的登錄和身份驗(yàn)證網(wǎng)頁(yè)，并通過(guò)Portal訪問(wèn)各個(gè)參與Single Sign On的應(yīng)用系統(tǒng)提供的服務(wù)?！　√峁┒喾N級(jí)別的安全認(rèn)證服務(wù)。支持多種認(rèn)證機(jī)制，包括Windows NT/2000和智能卡、指紋識(shí)別、動(dòng)態(tài)密碼、SafeWord卡等認(rèn)證機(jī)制?？梢耘渲貌煌膽?yīng)用需要使用不同的認(rèn)證級(jí)別，如果Single Sign On當(dāng)前的認(rèn)證級(jí)別低于應(yīng)用系統(tǒng)所需要的認(rèn)證級(jí)別，Single Sign On會(huì)要求用戶重新到新的級(jí)別上進(jìn)行認(rèn)證。支持為一個(gè)程序配置同時(shí)使用多種認(rèn)證機(jī)制?！　?duì)于安全性重要的傳統(tǒng)應(yīng)用提供本地角色映射支持。某些參加Single Sign On的傳統(tǒng)應(yīng)用程序擁有自己的用戶帳號(hào)信息，并自己管理著用戶對(duì)該應(yīng)用的訪問(wèn)授權(quán)。在某些場(chǎng)景下，這些應(yīng)用的機(jī)密的用戶帳號(hào)信息不允許在外部服務(wù)器上存放或在網(wǎng)絡(luò)傳輸，要實(shí)現(xiàn)這些應(yīng)用的Single Sign On。需要在應(yīng)用程序本地，將Single Sign On的用戶帳號(hào)映射成該用戶的本地應(yīng)用程序賬號(hào)并實(shí)現(xiàn)自動(dòng)登錄?；埸c(diǎn)的PMI能夠很靈活方便地通過(guò)部署實(shí)現(xiàn)這種方式的Single Sign On?！　√峁?duì)基于Form表單登錄的傳統(tǒng)Web應(yīng)用程序的Single Sign On支持。傳統(tǒng)的基于Form表單方式登錄的應(yīng)用程序無(wú)需修改代碼，通過(guò)慧點(diǎn)的PMI，就能夠加入到Single Sign On中來(lái)?；埸c(diǎn)PMI的Policy Agent支持應(yīng)用登錄插件，通過(guò)應(yīng)用登錄插件的支持，能夠自動(dòng)模仿瀏覽器，生成并提交應(yīng)用所需的登錄表單結(jié)果（自動(dòng)填寫表單域中的用戶名和密碼），并同時(shí)維護(hù)應(yīng)用登錄成功后自己產(chǎn)生的SessionID和該用戶Single Sign On令牌之間的關(guān)系?！　∪嵝缘氖跈?quán)管理平臺(tái)　　方便建立有效的管理模型和存儲(chǔ)模型(LDAP目錄樹(shù))，如用戶，角色，組，組織結(jié)構(gòu)，組織單元，策略。使用基于瀏覽器的界面來(lái)在LDAP中創(chuàng)建管理用戶帳號(hào)，服務(wù)屬性，和訪問(wèn)規(guī)則。用戶并不需要了解后臺(tái)的LDAP?！　√峁﹦?dòng)態(tài)組（dynamic group）定義能力。通過(guò)屬性過(guò)濾器來(lái)動(dòng)態(tài)控制哪些用戶是該組的成員。例如可以將所有工作崗位屬性為“辦事員”的用戶動(dòng)態(tài)地分為一組?！　?jù)有委托管理的能力，對(duì)每個(gè)組織都內(nèi)置有組織管理員角色，該角色被授予能夠并且只能管理本組織內(nèi)的對(duì)象?！　√峁┩ㄟ^(guò)模板來(lái)創(chuàng)建LDAP上的目錄結(jié)構(gòu)的能力。并且可以通過(guò)慧點(diǎn)的數(shù)據(jù)交換平臺(tái)服務(wù)的支持，快速的從傳統(tǒng)應(yīng)用（如人力資源管理）中導(dǎo)入大量的原有用戶，免去了管理人員重新守東新建用戶信息的繁瑣操作?！　「呖捎眯浴　》奖愕赝ㄟ^(guò)熱備份和負(fù)載平衡來(lái)實(shí)現(xiàn)在大規(guī)模企業(yè)應(yīng)用中所需要的伸縮性和高可用性，并保證了系統(tǒng)不會(huì)出現(xiàn)單點(diǎn)失效的問(wèn)題。　　安全網(wǎng)絡(luò)通訊　　瀏覽器客戶機(jī)使用SSL來(lái)在門戶系統(tǒng)上登錄和使用Single Sign On,以保護(hù)登錄過(guò)程的安全。在后臺(tái)應(yīng)用系統(tǒng)的Policy Agent和Policy Server之間的通訊也是經(jīng)過(guò)加密的。　　帶來(lái)高價(jià)值　　整個(gè)慧點(diǎn)可信的WebService PMI構(gòu)成的環(huán)境中，可以統(tǒng)看成有兩類角色參與。一個(gè)是使用者(consumer)，如客戶、供應(yīng)商、伙伴、和雇員。一類是提供者，如設(shè)備制造商、身份標(biāo)識(shí)驗(yàn)證和授權(quán)服務(wù)提供者、以及應(yīng)用服務(wù)提供者。　　對(duì)于使用者來(lái)說(shuō)　　慧點(diǎn)PMI提供和培育了使用者間建立信任的業(yè)務(wù)環(huán)境，在該環(huán)境中，個(gè)人數(shù)據(jù)信息安全并且信息共享策略是清晰的。信息共享策略提交給授權(quán)管理服務(wù)進(jìn)行有效的管理。通過(guò)Single Sign On，信息可以在任何地點(diǎn)，任何設(shè)備，任何時(shí)間安全地被訪問(wèn)和提交。這將帶來(lái)新的商業(yè)機(jī)會(huì)，刺激著出現(xiàn)更廣泛地使用新服務(wù)，新的商業(yè)以及更多滿意的客戶，同時(shí)將加速Internet和網(wǎng)絡(luò)服務(wù)的采納和廣泛使用?！　?duì)于提供商:　　消除任何時(shí)候一個(gè)應(yīng)用或服務(wù)被訪問(wèn)時(shí)自己實(shí)現(xiàn)身份鑒別和驗(yàn)證的需要，慧點(diǎn)的可信WebService的PMI給服務(wù)和設(shè)備提供者帶來(lái)了空前的價(jià)值?！　』埸c(diǎn)的可信WebService的PMI能提供多個(gè)驗(yàn)證和信任安全級(jí)別，降低了欺騙發(fā)生的可能性并減少了服務(wù)供應(yīng)商自己保存客戶隱私信息所面臨的風(fēng)險(xiǎn)。　　通過(guò)將標(biāo)識(shí)和授權(quán)管理從應(yīng)用和設(shè)備中分離出來(lái)，就能夠容易地對(duì)來(lái)自不同供應(yīng)商的增值服務(wù)進(jìn)行集成從而給客戶提供一個(gè)全面綜合的產(chǎn)品?！　〔杉{慧點(diǎn)的可信Web Service的PMI可以減少在線交易的欺騙行為，并減少所有參與業(yè)務(wù)交易的價(jià)值鏈上的合作伙伴的集成和支持費(fèi)用。此外，在慧點(diǎn)可信PMI的支持下，增加客戶忠誠(chéng)度、滿意度和提高員工的生產(chǎn)率，培育新的商業(yè)合作伙伴將是一件容易的事情?！　　　≡谝话愕钠髽I(yè)信息系統(tǒng)中，電子郵件的使用包括兩類場(chǎng)景：　　使用電子郵件客戶程序(如Outlook、Outlook Express和Foxmail等)　　使用基于Web的電子郵件系統(tǒng)　　慧點(diǎn)科技基于PKI實(shí)現(xiàn)的安全電子郵件，可以實(shí)現(xiàn)以上兩種情況下的郵件安全?！　　　』陔娮余]件客戶程序部署安全電子郵件　　目前得到普遍使用的電子郵件加密手段有：PGP、S/MIME。PGP和S/MIME主要基于電子郵件客戶程序部署，一般情況下不適用部署在基于Web的電子郵件系統(tǒng)中?；埸c(diǎn)安全電子郵件可實(shí)現(xiàn)在電子郵件客戶程序的部署?！　』赪eb電子郵件系統(tǒng)部署安全電子郵件　　通過(guò)數(shù)字簽名和數(shù)字加密的方式，確保您的電子郵件只有指定的收件人才能閱讀，并且杜絕他人冒用你的名義發(fā)送郵件，不再有偷窺、冒用等煩惱?！　‰娮雍炚隆　?，以COM控件的方式和Microsoft Word軟件實(shí)現(xiàn)無(wú)縫接入的。可實(shí)現(xiàn)一人或多人（單位）會(huì)簽；且經(jīng)過(guò)簽署后的文檔可設(shè)置打印份數(shù)。電子簽章系統(tǒng)為Word文檔提供了簽署及驗(yàn)證的功能，實(shí)現(xiàn)了對(duì)Word文檔簽署者的防抵賴和文檔信息完整性驗(yàn)證。實(shí)現(xiàn)了文檔簽章、文檔驗(yàn)證、撤消簽章、身份認(rèn)證、查看證書、簽章時(shí)間、刪除樣章、打印控制、版本信息等功能?！　?Web網(wǎng)頁(yè)的簽名和加密插件，對(duì)在頁(yè)面提交的信息進(jìn)行簽名，提供對(duì)提交者的身份合法性的認(rèn)證以及對(duì)所提交信息的完整性驗(yàn)證，以及保護(hù)和加密所提交的信息。　　總結(jié)　　由于PKI是在公開(kāi)密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴的目的。　　利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境，從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事業(yè)務(wù)活動(dòng)。安全中間件作為PKI的組成部分，為應(yīng)用程序和認(rèn)證機(jī)構(gòu)之間搭建起一座橋梁，授權(quán)管理體系（PMI，Privilege Management Infrastructures）是信息安全系統(tǒng)中重要的基礎(chǔ)設(shè)施，它向應(yīng)用系統(tǒng)提供對(duì)實(shí)體（用戶、程序等）的授權(quán)服務(wù)管理，提供實(shí)體身份到應(yīng)用權(quán)限的映射，提供與實(shí)際應(yīng)用處理模式相應(yīng)的、與具體應(yīng)用系統(tǒng)開(kāi)發(fā)和管理無(wú)關(guān)的授權(quán)和訪問(wèn)控制機(jī)制，簡(jiǎn)化具體應(yīng)用系統(tǒng)的開(kāi)發(fā)與維護(hù)。不難看出，建立以PKI為基礎(chǔ)的安全解決方案，無(wú)論是對(duì)在Intranet上開(kāi)展的無(wú)紙辦公等內(nèi)部業(yè)務(wù)，還是對(duì)電子支付、網(wǎng)上證券交易、網(wǎng)上購(gòu)物、網(wǎng)上教育、網(wǎng)上娛樂(lè)、電子政府等網(wǎng)絡(luò)應(yīng)用，都是一種安全可靠的選擇。37 / 3