【正文】 字簽名)? 發(fā)行者名稱(驗證字權威機構名稱)? 有效期? 主體名稱 — 用戶或服務器? 主體公鑰信息：算法標識和公鑰值? 發(fā)行者唯一標識? 主體唯一標識? 擴展? 發(fā)行者對上面域的數(shù)字簽名Inter 驗證字可以由第三方驗證字權威機構(CA)發(fā)行，例如 VeriSign，或者管理員可以使用 Domino 驗證字權威機構應用程序建立一個 CA。要獲得 驗證字更多的信息，清參考 IBM 紅皮書《Lotus Notes and 21 / 31Domino Security Infrastructure Revealed》，這本書可以通過訪問站點獲得。c Inter 協(xié)議受支持的認證方法下面的表格列出了 Domino 支持的 Inter 協(xié)議以及每個協(xié)議可以使用得認證類型 基本的用戶名加口令認證用戶名加口令認證使用一個基本的質(zhì)詢/響應協(xié)議要求用戶的用戶名和口令并且通過和存儲在 Domino 目錄中的人員文檔中的口令進行比較來校驗輸入口令的正確性。采用這種設置的情況下，僅當 Inter/intra 客戶端試圖執(zhí)行訪問受限制資源的任務時，Domino 才要求用戶名和口令。 Inter/intra 訪問不同于當一個客戶端或服務器最初嘗試訪問 Domino 服務器時, Domino 服務器要求這個 Notes 客戶端或者服務器提供用戶名和密碼的情況。數(shù)據(jù)庫管理器可以使用 Domino 安全性分配 Inter/intra 客戶端訪問數(shù)據(jù)庫前，系統(tǒng)管理員必需在 Domino 目錄中創(chuàng)建那個客戶端的個人文檔。沒有個人文檔的客戶端被當作匿名用戶并且只能訪問那些允許匿名訪問的服務器和數(shù)據(jù)庫。用戶名加口令認證允許 Domino 定位那些要訪問服務器的客戶端的個人文檔。Domino 使用這個個人文檔識別客戶端?？蛻舳吮蛔R別后，就可以確定對數(shù)據(jù)庫的訪問。有些 Inter 協(xié)議可以在用戶名加口令認證上使用 SSL。這樣,系統(tǒng)會在使用SSL 連接到安全的會話前提示用戶輸入用戶名和口令。22 / 31 基于會話的用戶名加口令認證會話是 Web 客戶端活動地登錄在服務器上的一段時期?；跁挼挠脩裘涌诹钫J證包括基本的用戶名加口令認證沒有的附加功能。Domino 目錄中的服務器文檔包含啟用和控制會話認證的設置。a 定制化 HTML 登錄表單HTML 登錄表單允許用戶輸入用戶名和密碼，然后在整個會話期間使用這個用戶名和密碼。瀏覽器將這個用戶名和密碼按照服務器的字符集發(fā)送到服務器；因此，用戶可以用不同于 ASCII 或 Latin1 的其它字符集輸入用戶名和密碼。Domino 提供了一個默認的 HTML 表單，它在配置數(shù)據(jù)庫 ()中創(chuàng)建和配置，并且可以通過進行定制來包含額外的信息。b 空閑超時時間當會話保持非活動狀態(tài)超過空閑超時時間后，Web 客戶端將會從服務器被注銷。自動將用戶從服務器注銷可以防止其它人使用沒有注銷 Web 客戶端冒充合法的用戶。用戶也可以在 URL 的后面輸入?logout 參數(shù)注銷會話。c 最大活動會話出于對性能的考慮，管理員可以調(diào)整服務器上同時允許的最大活動會話數(shù)。23 / 31 SSL 認證如果一個協(xié)議上啟用了 SSL，客戶端必需對服務器進行認證?？蛇x地，服務器也可以對客戶端進行認證。Domino 可以在一個個的協(xié)議基礎上建立 SSL。例如，可以在客戶端通過 HTTP 協(xié)議連接服務器時使用 SSL，但通過 LDAP 協(xié)議時不使用 SSL。24 / 3125 / 31 服務器認證如果連接到服務器得 Inter 客戶端已經(jīng)獲得了和服務器共同的可信任的驗證字，那么 Inter 客戶端就可以確信服務器所說的。只有服務器要求 Inter驗證字，客戶端需要和驗證字建立信任，但是不要求 Inter 驗證字。要控制什么用戶可以看到安全得站點，無論如何，管理員必需管理每個用戶的用戶名和口令或者要求用戶使用客戶端認證來連接?？蛻舳藦尿炞C字權威機構（CA）獲得可信任的驗證字。 CA 可以作為一個第三方機構指示服務器的驗證字是可以信任的。從 Inter 客戶端使用 SSL 連接服務器這個視圖的端點看上去，整個得商議和認證的過程都是透明的。例如，一個 Web 客戶端要建立 SSL 連接，URL 前綴必須從 SSL 連接建立后，瀏覽器會給用戶一個可視化的指示—例如，在 IE 或Netscape Navigator 中關閉狀態(tài)的掛鎖會出現(xiàn)在屏幕的左下角。 客戶端認證使用客戶端認證，Notes 和 Domino 進行更進一步的認證?？蛻舳苏J證使得管理員認證 Inter 客戶端對服務器的訪問并且使用基于客戶端身份的訪問控制。對于服務器認證，Inter 客戶端使用由 CA 簽署的 Inter 驗證字。對于客戶端驗證，管理員不需要管理用戶口令，因為 由 CA 擔保它們的真實性。第五章 安全檢查列表為 Domino/Notes 安全請執(zhí)行下面安全檢查：? 更新服務器軟件26 / 31請訪問 IBM 的 Domino/Notes 網(wǎng)站，檢索相關安全補丁，及時下載更新? 啟用兩層防火墻架構與外部網(wǎng)絡的接口以及與內(nèi)部網(wǎng)絡的接口部分使用防火墻，進行特定模式IP 包的過濾、內(nèi)部結(jié)構隱藏和地址過濾等防護，在網(wǎng)絡和應用兩個層次上提供安全保障。? 外部郵件過濾在中立區(qū)內(nèi)設置郵件過濾服務器，所有進出的郵件必須通過該項郵件過濾服務器進行郵件過濾。? 防病毒在服務端和客戶端都安裝防病毒軟件。? 在 Inter 客戶端和服務器間啟用安全通信啟用 SSL 加密 Inter 客戶端和服務器間的通信? 防御拒絕服務攻擊通過在 SMTP 服務器上配置的郵件限制參數(shù)阻止郵件傳輸過程中發(fā)起的拒絕服務攻擊。 ? 防御垃圾郵件可以采用一些第三方的軟件。? 設置密碼策略確保用戶密碼足夠長和復雜，并定期更改? 建立安全管理措施? 建立用戶正規(guī)操作手冊和培訓方案，幫助并要求使用者按正確的規(guī)則進行操作；? 制定安全管理規(guī)章制度；? 建立系統(tǒng)管理流程；? 建立詳細的 Intra 用戶檔案和 Inter 訪問用戶檔案，用戶檔案變更后需要及時更新；? 制定對違反操作、故意造成損失的懲罰措施；27 / 31術語表? Domino 目錄，Domino Directory，一個存放用戶、群組、服務器和其它實體的目錄數(shù)據(jù)庫。? LDAP ，Lightweight Directory Access Protocol，輕量級目錄訪問協(xié)議，是一個訪問目錄信息的協(xié)議集?；? 協(xié)議，但是支持訪問 Inter所必需的 TCP/IP 協(xié)議集。? MIME,Multipurpose Inter Mail Extensions,多用途 Inter 郵件擴展，允許在郵件消息中附加非文本的文件。? S/MIME,Secure/MIME,安全的 MIME，MIME 的安全版本，允許用戶發(fā)送機密的和包含電子簽名的郵件。? SSL：Secure Sockets Layer，安全套接層，一種用于 Inter 和 intra的安全協(xié)議，可以用來提供在 TCP 上的秘密和經(jīng)過認證的通信。? ACL：access control list，訪問控制列表，用來描述哪個用戶可以訪問數(shù)據(jù)庫和什么任務可以執(zhí)行。? ECL：execution control list，執(zhí)行控制列表，用來描述哪些別人創(chuàng)建的公式和腳本可以在你的 Notes 工作站上運行。? 驗證字，certificate，也稱作證書，Notes/Domino 習慣上叫做驗證字。? CA，Certificate Authority ，驗證字(證書)權威機構