【正文】 ? CA，Certificate Authority ，驗(yàn)證字(證書)權(quán)威機(jī)構(gòu)。? ECL：execution control list，執(zhí)行控制列表，用來描述哪些別人創(chuàng)建的公式和腳本可以在你的 Notes 工作站上運(yùn)行。? SSL：Secure Sockets Layer，安全套接層，一種用于 Inter 和 intra的安全協(xié)議，可以用來提供在 TCP 上的秘密和經(jīng)過認(rèn)證的通信。? MIME,Multipurpose Inter Mail Extensions,多用途 Inter 郵件擴(kuò)展，允許在郵件消息中附加非文本的文件。? LDAP ，Lightweight Directory Access Protocol，輕量級(jí)目錄訪問協(xié)議，是一個(gè)訪問目錄信息的協(xié)議集。 ? 防御垃圾郵件可以采用一些第三方的軟件。? 防病毒在服務(wù)端和客戶端都安裝防病毒軟件。第五章 安全檢查列表為 Domino/Notes 安全請(qǐng)執(zhí)行下面安全檢查：? 更新服務(wù)器軟件26 / 31請(qǐng)?jiān)L問 IBM 的 Domino/Notes 網(wǎng)站，檢索相關(guān)安全補(bǔ)丁，及時(shí)下載更新? 啟用兩層防火墻架構(gòu)與外部網(wǎng)絡(luò)的接口以及與內(nèi)部網(wǎng)絡(luò)的接口部分使用防火墻，進(jìn)行特定模式IP 包的過濾、內(nèi)部結(jié)構(gòu)隱藏和地址過濾等防護(hù)，在網(wǎng)絡(luò)和應(yīng)用兩個(gè)層次上提供安全保障。對(duì)于服務(wù)器認(rèn)證，Inter 客戶端使用由 CA 簽署的 Inter 驗(yàn)證字。 客戶端認(rèn)證使用客戶端認(rèn)證，Notes 和 Domino 進(jìn)行更進(jìn)一步的認(rèn)證。從 Inter 客戶端使用 SSL 連接服務(wù)器這個(gè)視圖的端點(diǎn)看上去，整個(gè)得商議和認(rèn)證的過程都是透明的?？蛻舳藦尿?yàn)證字權(quán)威機(jī)構(gòu)（CA）獲得可信任的驗(yàn)證字。只有服務(wù)器要求 Inter驗(yàn)證字，客戶端需要和驗(yàn)證字建立信任，但是不要求 Inter 驗(yàn)證字。例如，可以在客戶端通過 HTTP 協(xié)議連接服務(wù)器時(shí)使用 SSL，但通過 LDAP 協(xié)議時(shí)不使用 SSL?？蛇x地，服務(wù)器也可以對(duì)客戶端進(jìn)行認(rèn)證。c 最大活動(dòng)會(huì)話出于對(duì)性能的考慮，管理員可以調(diào)整服務(wù)器上同時(shí)允許的最大活動(dòng)會(huì)話數(shù)。自動(dòng)將用戶從服務(wù)器注銷可以防止其它人使用沒有注銷 Web 客戶端冒充合法的用戶。Domino 提供了一個(gè)默認(rèn)的 HTML 表單，它在配置數(shù)據(jù)庫(kù) ()中創(chuàng)建和配置，并且可以通過進(jìn)行定制來包含額外的信息。a 定制化 HTML 登錄表單HTML 登錄表單允許用戶輸入用戶名和密碼，然后在整個(gè)會(huì)話期間使用這個(gè)用戶名和密碼。基于會(huì)話的用戶名加口令認(rèn)證包括基本的用戶名加口令認(rèn)證沒有的附加功能。這樣,系統(tǒng)會(huì)在使用SSL 連接到安全的會(huì)話前提示用戶輸入用戶名和口令?？蛻舳吮蛔R(shí)別后，就可以確定對(duì)數(shù)據(jù)庫(kù)的訪問。用戶名加口令認(rèn)證允許 Domino 定位那些要訪問服務(wù)器的客戶端的個(gè)人文檔。數(shù)據(jù)庫(kù)管理器可以使用 Domino 安全性分配 Inter/intra 客戶端訪問數(shù)據(jù)庫(kù)前，系統(tǒng)管理員必需在 Domino 目錄中創(chuàng)建那個(gè)客戶端的個(gè)人文檔。采用這種設(shè)置的情況下，僅當(dāng) Inter/intra 客戶端試圖執(zhí)行訪問受限制資源的任務(wù)時(shí)，Domino 才要求用戶名和口令。要獲得 驗(yàn)證字更多的信息，清參考 IBM 紅皮書《Lotus Notes and 21 / 31Domino Security Infrastructure Revealed》，這本書可以通過訪問站點(diǎn)獲得。SSL使用 格式的 Inter 驗(yàn)證字， 是一個(gè)包括 Domino 等大多數(shù)應(yīng)用都使用的工業(yè)標(biāo)準(zhǔn)。與 Notes 和Domino 認(rèn)證不同的是，SSL 不要求客戶端和服務(wù)器必需相互認(rèn)證。SSL 客戶端提供一個(gè)驗(yàn)證字給Domino 服務(wù)器。管理員可以定制用戶輸入用戶名和口令信息的表單，并且用戶可以在不關(guān)閉瀏覽器的情況下注銷會(huì)話。當(dāng)為訪問 HTTP 服務(wù)器而設(shè)置用戶名加口令認(rèn)證時(shí)，管理員可以使用基于會(huì)話的用戶名加口令認(rèn)證。任何人只要在任何地方沿著會(huì)話路徑使用網(wǎng)絡(luò)嗅探器或者跟蹤工具都可以截獲信息。然而在 TCP/IP 端口上用戶名加口令認(rèn)證并不十分安全。a 用戶名加口令認(rèn)證用戶名加口令認(rèn)證有兩種類型：? 基本的用戶名加口令認(rèn)證? 基于會(huì)話的用戶名加口令認(rèn)證用戶名加口令認(rèn)證，也稱作基本口令認(rèn)證，它使用一個(gè)基本的質(zhì)詢/響應(yīng)協(xié)議。這種情況下的 Inter 消息加密，發(fā)送消息的用戶需要交叉驗(yàn)證字來加密消息。交叉驗(yàn)證字也被用于建立對(duì)數(shù)字簽名的信任和加密通過 Inter 發(fā)送的S/MIME 消息。ServerA 通過獲得對(duì) /Acme 的交叉驗(yàn)證字建立信任，并且 Bob 通過獲得對(duì)/Widgets 的交叉驗(yàn)證字建立信任。例如，用戶 Bob Smith/East/Acme 想訪問ServerA/Central/Widgets。一個(gè)發(fā)布給/Acme 的驗(yàn)證字信任所有包含/Acmes 層次結(jié)構(gòu)的用戶和服務(wù)器—例如，/East/Acme 和 /West/Acme。如果驗(yàn)證字是由 Bob Smith/East/Acme 發(fā)布的，只有使用這個(gè) Notes ID 名字的用戶會(huì)信任這個(gè)驗(yàn)證字。交叉驗(yàn)證字擁有“發(fā)布者”和“發(fā)布給”域。在不同驗(yàn)證層次的組織中，用戶是沒有共同祖先的；因此用戶需要交叉驗(yàn)證字來建立信任關(guān)系。 交叉驗(yàn)證字交叉驗(yàn)證字用來在不同驗(yàn)證層次的組織中建立信任關(guān)系。注意，驗(yàn)證字本身并不包含任何秘密信息；因此它可以公開并且分發(fā)到任何地方。這給簽名提供驗(yàn)證字的真實(shí)性驗(yàn)證字存儲(chǔ)在 Notes ID 文件和 Domino 目錄中。象用戶名和公鑰這些公用信息是沒有加密過的。注冊(cè)后，應(yīng)用開發(fā)者分發(fā)的密鑰可能已經(jīng)加到了 ID 文件中來允許加密和解密文檔中的域。16 / 31Notes 可以存儲(chǔ)恢復(fù)信息到 Notes ID 文件中。使用公鑰加密最大的好處是不用擔(dān)心誰來訪問公鑰，因?yàn)闆]有私鑰它沒有什么用處。注冊(cè)過程后，ID 文件包含：? 用戶名和 Notess 授權(quán)號(hào)? 兩個(gè)公鑰和私鑰對(duì)? 兩個(gè)用戶驗(yàn)證字? 一個(gè)祖先驗(yàn)證者的驗(yàn)證字? (可選的 )ID 文件的恢復(fù)信息公鑰和私鑰有數(shù)學(xué)運(yùn)算關(guān)系并且唯一識(shí)別一個(gè)用戶。Domino 管理端然后建立一個(gè)驗(yàn)證字并用驗(yàn)證者的私鑰簽署這個(gè)驗(yàn)證字。一個(gè) 512 位長(zhǎng)度的密鑰用于美國(guó)和加拿大之外國(guó)家的數(shù)據(jù)加密。任何不能信賴的人員獲得對(duì)驗(yàn)證者 ID 的訪問都可以輕而易舉訪問信任這驗(yàn)證者的系統(tǒng)。然而，驗(yàn)證者 ID 對(duì)于一個(gè)組織卻更重要，因?yàn)楹芏嗟?Notes 安全性是基于簽名和認(rèn)證的并且兩者都使用驗(yàn)證字。用戶 ID 是供 Notes 客戶端使用的 ,服務(wù)器 ID 是供 Domino 服務(wù)器使用的。15 / 31 ID 文件的類型Notes ID 本質(zhì)上是存儲(chǔ)驗(yàn)證字和密鑰的。 文件當(dāng)注冊(cè)一個(gè)用戶時(shí)，管理員輸入用戶名、口令、過期日期和其他默認(rèn)選項(xiàng)。組織單元（最多可以四層）和國(guó)家代碼是可選部分。? 層次命名層次命名一個(gè)和 Notes ID 相關(guān)的命名系統(tǒng)，用來表現(xiàn)一個(gè)組織中驗(yàn)證者名14 / 31稱間的關(guān)系。鑰匙圈文件是被口令保護(hù)的，并且存儲(chǔ)了一個(gè)或多個(gè)驗(yàn)證字，位于客戶端或服務(wù)器的硬盤上。SSL 驗(yàn)證字使服務(wù)器用 Domino 驗(yàn)證字應(yīng)用程序創(chuàng)建的驗(yàn)證字可以讓Domino 和其它應(yīng)用程序更容易地交換驗(yàn)證字。驗(yàn)證字允許用戶和服務(wù)器訪問特定的 Domino 服務(wù)器。這個(gè)文字塊使用公鑰和私鑰進(jìn)行加密和解密。? 數(shù)字簽名數(shù)字簽名是一個(gè)手寫簽名的等價(jià)物，它是一個(gè)附加在一條信息上可以校驗(yàn)身份的唯一文字塊。? 對(duì)稱加密對(duì)稱加密，通常指的是密鑰加密，使用一個(gè)通用的密鑰和相同的數(shù)學(xué)運(yùn)算法則來對(duì)信息進(jìn)行加密和解密。公鑰分發(fā)給所有和你通信的人。? 公鑰加密公鑰加密也稱非對(duì)稱加密。