【正文】 ucture (PKI) 通過提供：驗證、加密、完整性和認(rèn)可，為安全電子商務(wù)和 Inter 安全性奠定了基礎(chǔ)。Public Key Infrastructure 的主要組成部分包括：???Digital Certificate，用于驗證用戶和機(jī)器，它被安全地存儲在 wallet 中。???Public Key 和 Private Key，組成了 PKI 的基礎(chǔ)，支持基于密鑰和與算術(shù)相關(guān)的公鑰的安全通信???Secure Socket Layer (SSL)， 符合安全協(xié)議的 Inter 標(biāo)準(zhǔn)???Certificate Authority (CA)， 作為 Digital Certificate 的可信、獨立的提供商28 / 36Oracle 數(shù)據(jù)庫完全支持標(biāo)準(zhǔn)的公共密鑰體系結(jié)構(gòu) (PKI), 除支持 PKI 的主要組成部分還支持其它重要組件為：證書和密鑰的安全存儲、請求證書的管理工具、訪問 wallet 和管理用戶，以及作為用戶和機(jī)器識別和驗證的集中管理的目錄服務(wù)。Digital Certificate目前使用最廣泛的公鑰證書遵循 格式， 版本 3 證書是現(xiàn)行行業(yè)標(biāo)準(zhǔn)格式。Public Key Infrastructure 依賴于 證書來進(jìn)行公鑰驗證， 也稱為 Digital Certificate 或公鑰證書。通過證書來驗證用戶或機(jī)器有點類似于檢查駕駛執(zhí)照或護(hù)照，服務(wù)器和客戶機(jī)通過出示其驗證憑證來證明其身份。Oracle 的 Digital Certificate 遵循 協(xié)議, 同時 Oracle 環(huán)境中的 Digital Certificate 使用還提供了 Single Sign On，從而使用戶一旦通過驗證，就可以在不提供其它憑證的情況下連接至多個應(yīng)用程序和數(shù)據(jù)庫。Single Sign On 易于使用，提高了系統(tǒng)的安全性，因為用戶不必記憶多個密碼，每個用戶或機(jī)器僅需用一個密碼進(jìn)行管理，從而提供了集中的安全性。SSL 協(xié)議的支持Secure Socket Layer 協(xié)議廣泛用于 Inter 上，以便為用戶提供安全的數(shù)字身份，并避免數(shù)據(jù)竊聽、篡改或偽造。Oracle Advanced Security 支持 Secure Socket Layer, 其中 SSL 支持包括網(wǎng)絡(luò)通信進(jìn)行加密，并提供了完整性檢查、驗證 Oracle 客戶機(jī)和服務(wù)器，為 Oracle 環(huán)境提供基于公鑰的 Single SignOn。SSL 通過使用密碼組，提供加密和數(shù)據(jù)完整性.Oracle Advanced Security 選項 SSL 支持的加密算法是 RCDES 和 Triple DES。其中 Triple DES (3DES) 算法是一種保護(hù)數(shù)據(jù)的非常強(qiáng)大的方法，因為它使用了一個以上的標(biāo)準(zhǔn) DES 所采用的 56 位密鑰。Triple DES 越來越廣泛地用于各種機(jī)構(gòu)，如需要強(qiáng)大安全性的銀行和金融機(jī)構(gòu)。SHA (Secure Hashing Algorithm) 為 Oracle 環(huán)境提供了一種新的數(shù)據(jù)完整性檢查方法。它生成無用數(shù)據(jù)來保護(hù)數(shù)據(jù)傳輸，并確保數(shù)據(jù)包在傳輸過程中未被修改或篡改。SSL 不僅確保了 Oracle Net8 的安全，而且確保了諸如 IIOP (Inter InterORB Protocol) 等其它協(xié)議的安全。通過利用 Java 支持，Oracle Advanced Security 確保了 IIOP 連接的安全。密鑰和證書的安全存儲29 / 36為了驗證用戶，SSL 必須擁有提供的密鑰和證書。因此，在 Oracle 環(huán)境中，客戶機(jī)或服務(wù)器需要通過一些方法來存儲這一信息，并將其提供給 SSL，也即 Oracle Wallet。Wallet 存儲了 證書、密鑰和其它數(shù)據(jù)，如由 SSL 處理的可信證書。這些憑證可用于驗證至多種服務(wù)的用戶，諸如數(shù)據(jù)服務(wù)器和應(yīng)用程序服務(wù)器。用戶只須記憶獲得 Wallet 的一個密碼，這個密碼可用于解除對 Wallet 的鎖定。Oracle Wallet Manager 可管理 Wallet，并從 Certificate Authority 請求證書。它使用戶和數(shù)據(jù)庫管理員能夠控制其 Wallet 的內(nèi)容。管理員能夠集中管理有關(guān)應(yīng)用程序和數(shù)據(jù)庫的 Wallet 信息。此外，Oracle 還提供了 Oracle Enterprise Login Assistant 這一易于使用的工具，以便使最終用戶能夠訪問其 wallet。此工具使用戶能夠簡單、透明地獲得 Single Signon，從而使用證書來進(jìn)行驗證。Wallet 和管理工具可以一并使用，以安全地存儲和管理至證書服務(wù)器的證書、密鑰和請求。證書不僅驗證客戶機(jī)到服務(wù)器，而且也在服務(wù)器之間進(jìn)行驗證。這通過用于服務(wù)器相互驗證的安全數(shù)據(jù)庫鏈接，擴(kuò)展了整個系統(tǒng)的安全性。借助 SSL 部署，所有客戶機(jī)和服務(wù)器，包括數(shù)據(jù)庫服務(wù)器和應(yīng)用程序服務(wù)器，都具有憑證，以便向與其進(jìn)行通信的所有其它機(jī)器和服務(wù)證實自己的身份。 Entrust 集成Entrust Technologies, Inc. 是通過其 Entrust/PKI 軟件提供 Public Key Infrastructure 解決方案的市場領(lǐng)先提供商。Entrust/PKI 包括許多產(chǎn)品，諸如確保用戶 PKI 憑證安全的 Entrust Profile，以及 Entrust 的認(rèn)證產(chǎn)品 Entrust Authority。Oracle Advanced Security 提供 Entrust/PKI 支持，從而使客戶能夠使用 Entrust 的“Wallet ”機(jī)制 Entrust Profile 來存儲證書和密鑰，并支持安全憑證管理。Oracle Advanced Security 通過用戶的 Entrust Profile 來進(jìn)行驗證和 Single SignOn，而不是從 Oracle Wallet 處獲得用戶憑證（密鑰和證書） 。Oracle9i 擴(kuò)展了對 PKI 的支持 , 增加對 PKCS12 許可證文件的支持，允許現(xiàn)有的 PKI 信用和 Oracle Wallet 共享，從而降低 PKI 部署成本并增強(qiáng)交互的操作性?？梢詮?LDAP 目錄下載 Wallet，以支持移動或 “Hot Desked”用30 / 36戶。在 Oracle9i 中使用的 SSL 庫目前支持硬件加速, 以獲得改進(jìn)的性能。 先進(jìn)的用戶和安全策略管理先進(jìn)的用戶和安全策略管理隨著 Inter 的不斷發(fā)展，用戶驗證和用戶管理的問題已成為企業(yè)安全管理的所面臨的重要問題。一方面企業(yè)用戶擁有太多的密碼，因此，往往他們將這些密碼記錄下來，或者所有賬號均選擇同一密碼。另一方面企業(yè)必須管理每個用戶的多個密碼。因此，他們投入了重要的資源來進(jìn)行用戶管理，或投資于網(wǎng)絡(luò)驗證服務(wù)上。同時多個應(yīng)用程序使用的通用信息，如用戶名、用戶辦公地點和電話號碼，通?？缭狡髽I(yè)進(jìn)行分割，從而導(dǎo)致數(shù)據(jù)冗余、不一致和管理成本浩大。企業(yè)缺乏集中的用戶管理會帶來安全的風(fēng)險, 為了解決這些挑戰(zhàn)，Oracle 提供企業(yè)集中用戶管理的解決方案Oracle Advanced Security 選件通過標(biāo)準(zhǔn)的 Single SignOn 實現(xiàn)安全性和目錄服務(wù)集成，提供了強(qiáng)大的用戶認(rèn)證，減少了用戶擁有太多密碼的所帶來的安全風(fēng)險。管理員花在管理用戶賬號的時間很少，因為他們能夠跨越多個數(shù)據(jù)庫，對用戶進(jìn)行集中管理。企業(yè)可根據(jù)用戶在企業(yè)中的角色在整個企業(yè)范圍內(nèi)為每位用戶建立一個賬號的。Oracle 可實現(xiàn)在目錄服務(wù)中存儲用戶的整個定義，以及用戶的角色和權(quán)限。單一的企業(yè)用戶管理使部署 Inter 應(yīng)用程序的機(jī)構(gòu)能夠以更低的成本，安全地支持?jǐn)?shù)以千計的用戶，并通過分布式企業(yè)，擴(kuò)展至數(shù)萬、數(shù)十萬甚至數(shù)百萬用戶。Oracle 提供了高效, 簡便, 安全的企業(yè)集中用戶管理, 它的功能和特點主要體現(xiàn)在以下幾個方面:用戶/方案分割用戶不需要在數(shù)據(jù)庫中擁有其自己的賬號 ― 或自己的方案，他們只需訪問應(yīng)用程序方案。例如，用戶 Jane、Cindy 和 Rakesh 是 Payroll 應(yīng)用程序的所有用戶，并需要訪問金融數(shù)據(jù)庫上的 Payroll 方案。他們都不需要在數(shù)據(jù)庫中創(chuàng)建他或她自己的對象，實際上，他們只需訪問 Payroll 對象。用戶與方案分割開來，使許多企業(yè)用戶都能夠訪問單個共享的應(yīng)用程序方案。管理員只需在目錄中創(chuàng)建企業(yè)用戶，并將用戶“指向”其它企業(yè)用戶同樣能夠訪問的共享方案，而不是在每個用戶需要訪問的數(shù)據(jù)庫中創(chuàng)建用戶賬號31 / 36（也即用戶方案） 。例如，如果 Jane、Cindy 和 Rakesh 均訪問銷售數(shù)據(jù)庫，您可以創(chuàng)建單個方案，如‘sales_application’，這三位用戶都可以對其進(jìn)行訪問，而不用在銷售數(shù)據(jù)庫上為每位用戶都建立一個賬號。管理員在目錄中建立企業(yè)用戶的次數(shù)只有一次。盡管如此，企業(yè)用戶能夠使用從事工作所需的唯一權(quán)限，來訪問多個數(shù)據(jù)庫，從而降低了管理企業(yè)內(nèi)用戶的成本。Oracle 的目錄服務(wù)器 Oracle Inter Directory (支持 LDAP 協(xié)議)與 Oracle數(shù)據(jù)庫全面集成，支持商業(yè)化企業(yè)用戶管理。其它 LDAP 目錄服務(wù)器，包括 Novell Directory Service (NDS) 和 Microsoft 的 Active Directory for Windows 2022 經(jīng)認(rèn)證，也可與 Oracle 數(shù)據(jù)庫相互集成。企業(yè)集中的用戶管理提供了下列優(yōu)勢：? ?更少的用戶賬號 — 企業(yè)用戶再也不必是數(shù)據(jù)庫用戶或擁有可識別的方案。? Inter 可伸縮性 — 您可以支持?jǐn)?shù)以百計的用戶，這些用戶均為多個數(shù)據(jù)庫所知，? 可在多個數(shù)據(jù)庫中記帳（審核） ，同時不需要創(chuàng)建數(shù)以千計的數(shù)據(jù)庫用戶賬號。? ?輕松實施安全性 — 如果用戶更換工作或離職，其權(quán)限可被更改或取消，只需在 Oracle Inter Directory 中改變其用戶項。機(jī)構(gòu)再也不需要擔(dān)心舊的、未使用的賬號 或過時的權(quán)限會消耗寶貴的系統(tǒng)資源，并成為黑客攻擊的目標(biāo)。? ?減少成本— 機(jī)構(gòu)通過管理 Single Enterprise User 賬號并一次分配企業(yè)角色，大大節(jié)約了重要資源，完全不用創(chuàng)建多個用戶賬號和多個密碼而每個密碼擁有多個認(rèn)證權(quán)。集成的安全性和目錄服務(wù)Oracle Inter Directory 基于標(biāo)準(zhǔn)的 LDAP 協(xié)議，它將 Oracle 數(shù)據(jù)庫技術(shù)的關(guān)鍵任務(wù)優(yōu)勢與 Inter 標(biāo)準(zhǔn)的靈活性完美組合在一起。Oracle Inter Directory 實現(xiàn)企業(yè)用戶的集中管理，用于管理企業(yè)用戶信息，包括企業(yè)角色和共享方案信息。32 / 36Oracle Inter Directory 可提供靈活、高粒度訪問控制機(jī)制，以保護(hù)通用應(yīng)用程序信息的敏感性，以及 Oracle 的企業(yè)用戶信息。Oracle Inter Directory 的 Access Control List (ACL) 根據(jù)屬性級別，規(guī)定用戶的訪問權(quán)限和允許訪問的類型。例如，用戶的經(jīng)理可以對用戶的薪水屬性進(jìn)行讀寫訪問，用戶可以讀取自己的薪水，但任何其它用戶卻不可以讀取。Oracle Inter Directory 還提供了可配置缺省、客戶和超級用戶權(quán)限，以便使用戶擁有“最低權(quán)限”— 只是其從事工作所需的權(quán)限。Oracle Inter Directory 能自動配置方案和所需的 Access Control List (ACL)，Oracle 數(shù)據(jù)庫需要 ACL 來進(jìn)行企業(yè)用戶管理。Oracle Inter Directory 利用了基本 Oracle 數(shù)據(jù)庫的內(nèi)置的可用性和性能，并提供了目錄項的批量載入、刪除和目錄入口的更新、高速備份和恢復(fù)工具，在不中斷服務(wù)的情況下添加或刪除目錄節(jié)點的能力，以及其它高可用性特性。集成安全性和目錄服務(wù)的優(yōu)勢包括：? 整個企業(yè)到多個 Oracle 數(shù)據(jù)庫的 Single SignOn? 單個企業(yè)用戶賬號，而不是每個用戶都有多個賬號? 通過 Single Station Administration (SSA) 減少總體成本 ? 全面集成的、基于標(biāo)準(zhǔn)的 Public Key Infrastructure (PKI)? 通過集中的授權(quán)管理和強(qiáng)大的驗證來實現(xiàn)更強(qiáng)大的安全性。Oracle9i 增強(qiáng)了用戶和安全策略管理，包括在 LDAP 目錄中管理基于口令的用戶和 VPD 策略同時可以將 VPD 的應(yīng)用程序上下文外部化并保存在 LDAP 目錄中，以獲得更好的控制和用戶可伸縮性。