freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

某公司安全解決方案白皮書-文庫吧資料

2025-05-09 12:07本頁面
  

【正文】 和關(guān)聯(lián)站點(diǎn)之間的session是分離的  每個(gè)參與Single Sign On的關(guān)聯(lián)站點(diǎn)都有自己的休閑超時(shí)和最大超時(shí)值。由于提供了基于SAML的WebService服務(wù),因此慧點(diǎn)的PMI很容易與第三方的站點(diǎn)應(yīng)用程序?qū)崿F(xiàn)互操作。利用LDAP方式的JAAS實(shí)現(xiàn),能夠集中的管理用戶以及訪問控制策略,并能夠有很好的伸縮性支持?jǐn)?shù)量龐大的用戶。因?yàn)镴AAS對于授權(quán)的檢查構(gòu)成了一個(gè)檢查堆棧,因此通過JAAS的驗(yàn)證和授權(quán)框架可以全面的保護(hù)Java應(yīng)用程序的每一部分,而不僅僅是只能在應(yīng)用程序的用戶訪問接口上。JAAS實(shí)現(xiàn)了一個(gè)Plugable的驗(yàn)證和授權(quán)框架?! ‘?dāng)用戶通過Web Portal訪問非Partner的應(yīng)用系統(tǒng)時(shí),可以通過Portal提供的Proxy Portlet來自動(dòng)地登錄這些應(yīng)用系統(tǒng),并通過Proxy Portlet訪問這些應(yīng)用系統(tǒng)。代理也能被放在服務(wù)器上面,在服務(wù)器的認(rèn)證系統(tǒng)和客戶端認(rèn)證方法之間充當(dāng)一個(gè)翻譯。這個(gè)代理程序需要設(shè)計(jì)有不同的功能??梢酝ㄟ^Java GSSAPI使用Kerberos來實(shí)現(xiàn)統(tǒng)一認(rèn)證方式的Single SignOn。要成為Single Sign On的Partner,應(yīng)用系統(tǒng)需要使用慧點(diǎn)PMI的客戶端組件或能夠處理SAML。應(yīng)用系統(tǒng)信任該令牌并根據(jù)該令牌提供的用戶信息決策用戶的授權(quán)。    慧點(diǎn)PMI Single Sign On支持基于統(tǒng)一認(rèn)證方式的Single Sign On和基于代理的認(rèn)證方式的Single Sign On:  對于統(tǒng)一認(rèn)證方式的Single Sign On  存在一個(gè)集中的用戶登錄域,用戶在該域上登錄,驗(yàn)證通過后,系統(tǒng)將會(huì)生成一個(gè)訪問令牌?;埸c(diǎn)PMI Single Sing On支持多種第三方用戶認(rèn)證和應(yīng)用授權(quán)方法?! ∈褂肧ingle Sign On可以集中地提高整個(gè)系統(tǒng)的安全性  可以對Single Sign On定義多個(gè)認(rèn)證和安全級別,通過配置或用戶訪問敏感應(yīng)用時(shí),Single Sign On會(huì)要求用戶通過嚴(yán)格的認(rèn)證機(jī)制進(jìn)行認(rèn)證,如基于智能卡、指紋識別等,系統(tǒng)能根據(jù)被保護(hù)資源的密級制定和加強(qiáng)登錄過程并結(jié)合數(shù)字證書對用戶的身份進(jìn)行有效的驗(yàn)證。隨著這些獨(dú)立應(yīng)用系統(tǒng)的增加,用戶帳號管理將會(huì)帶來很大的管理負(fù)擔(dān),并由此可能造成系統(tǒng)的安全漏洞。  需要簡化用戶帳號和口令的系統(tǒng)管理  如果沒有使用Single Sign On,則各個(gè)系統(tǒng)將存在各自獨(dú)立的用戶和授權(quán)管理。一旦認(rèn)證結(jié)束,用戶可以立即訪問所有被授權(quán)的系統(tǒng)和應(yīng)用軟件?! 《ㄟ^Single Sign On,用戶可以設(shè)置并僅需要記住一個(gè)復(fù)雜的口令,并且可以根據(jù)策略可以定期更換該口令,從而提高了用戶口令的安全性。列表?177。最終用戶必須請求管理員幫助,在重新獲得口令之前只能等待,這樣造成了系統(tǒng)和安全管理員資源的浪費(fèi)。用戶漫游的系統(tǒng)越多,出錯(cuò)的可能性就越大,安全性相應(yīng)地也就越低?! ?Sign On  口令越多,安全風(fēng)險(xiǎn)越大  在當(dāng)今分布式計(jì)算環(huán)境中,用戶每天都要登錄到許多不同的應(yīng)用軟件和系繞,包括電子郵件、網(wǎng)絡(luò)、數(shù)據(jù)庫和Web服務(wù)器。通過單點(diǎn)登錄能即時(shí)訪問最終用戶執(zhí)行任務(wù)所需的資源,從而提高生產(chǎn)效率?;埸c(diǎn)PMI還可與外部的基于Liberty標(biāo)準(zhǔn)的身份服務(wù)互操作。通過PMI,能提供對分離的網(wǎng)絡(luò)應(yīng)用的單點(diǎn)登錄能力,并保證在用戶管理中,用戶和身份的一對一關(guān)系?! ≡诨埸c(diǎn)PMI中,身份標(biāo)識,屬性,權(quán)限等信息都在一個(gè)基于策略的可信WebService網(wǎng)絡(luò)框架中維護(hù)?! esource管理是用來注冊維護(hù)應(yīng)用服務(wù)信息,以便在第一層能夠控制用戶對應(yīng)用的訪問?! dentity管理是用來創(chuàng)建和維護(hù)用戶,角色,用戶組,組織和組織單元的。Policy Server還給用戶提供了Single Sign On的能力,通過Session服務(wù)和SSOToken來記錄和證明用戶已經(jīng)在一個(gè)站點(diǎn)/應(yīng)用登錄驗(yàn)證過,該用戶在訪問其他站點(diǎn)/應(yīng)用時(shí)無需再次認(rèn)證。如果一個(gè)用戶想要訪問這些資源,它必須先提交起信任狀并通過Policy Server的Authentication服務(wù)進(jìn)行身份驗(yàn)證?! ogging服務(wù)將各種安全事件記入日志,并提供對日志的瀏覽和分析服務(wù)。  Session服務(wù)維護(hù)用戶的Session信息和有效期。Policy Agent還能為參與Single Sign On場景中的原有的遺留應(yīng)用提供Single Sign On的支持。  4.Policy Agent Policy Agent充當(dāng)受保護(hù)Web服務(wù)器以及應(yīng)用服務(wù)器和應(yīng)用程序的安全策略代理。  3.策略服務(wù)提供單點(diǎn)登錄、身份驗(yàn)證、授權(quán)決策、以及會(huì)話管理和審核日志服務(wù)。LDAP目錄服務(wù)可以進(jìn)行分布式部署,并通過群集實(shí)現(xiàn)負(fù)載均衡和高可用性  2.管理服務(wù)(提供JMX管理接口)提供對系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權(quán)信息、資源和服務(wù)信息、組織和角色信息、系統(tǒng)安全策略等重要信息的創(chuàng)建管理和維護(hù)工作?!  ≡诨埸c(diǎn)的PMI框架的軟件產(chǎn)品中,提供  1.目錄服務(wù)使用LDAP協(xié)議進(jìn)行訪問。在慧點(diǎn)PMI的框架實(shí)現(xiàn)中,對于身份驗(yàn)證和授權(quán)服務(wù)都提供了基于SAML, XACML的Web Service訪問方法。因此實(shí)現(xiàn)一個(gè)完整的,先進(jìn)的PMI(Privilege Management Infrastructures)是實(shí)現(xiàn)可信賴的Web Service的安全架構(gòu)的重要基礎(chǔ)。    在可信賴的Web Service的安全架構(gòu)中,完全需要集中地對用戶的身份進(jìn)行認(rèn)證并且能夠集中地進(jìn)行授權(quán)管理和授權(quán)決策。有多個(gè)用戶標(biāo)識管理和驗(yàn)證授權(quán)中心存在,相互間能夠?qū)崿F(xiàn)遠(yuǎn)程委托的身份驗(yàn)證和授權(quán)。整個(gè)企業(yè)環(huán)境實(shí)現(xiàn)了Single Sign On?! ≡诘谌A段,整個(gè)企業(yè)已經(jīng)建立起PMI架構(gòu),各應(yīng)用間包括傳統(tǒng)應(yīng)用能夠通過統(tǒng)一的架構(gòu)服務(wù)實(shí)現(xiàn)集中的身份驗(yàn)證和授權(quán)管理,因此大大降低了管理和維護(hù)的成本。建立該信任連接往往是在應(yīng)用系統(tǒng)開發(fā)時(shí)就進(jìn)行決策。整個(gè)企業(yè)系統(tǒng)環(huán)境中,安全問題往往出現(xiàn)在最薄弱的系統(tǒng)中,由于需要保證和維護(hù)多個(gè)系統(tǒng)的不同的安全級別,大大增加了維護(hù)的費(fèi)用和成本,并且出現(xiàn)安全漏洞的機(jī)會(huì)也大大增加?! ?,需要提高個(gè)性化程度并能有效地進(jìn)行活動(dòng)用戶管理?! 。╥dentity)管理方案?! 。瑥亩岣呖蛻魧ζ髽I(yè)的信任  ,可以通過多個(gè)訪問點(diǎn)來訪問機(jī)密信息。這就要求無需考慮最終用戶的位置(例如客戶,供應(yīng)商,伙伴,或雇員),用戶可以動(dòng)態(tài)的使用多種交互方式(瀏覽器、PDA、無線設(shè)備等)來使用系統(tǒng)并獲得相同的信息內(nèi)容和質(zhì)量。需要注意的是PEP和PDP是邏輯上的概念,它們可以就包含在一個(gè)單獨(dú)的應(yīng)用中,也可以分布在不同的服務(wù)器上。在PDP,將查看該請求,并計(jì)算將有哪些策略應(yīng)用到該請求,從而計(jì)算得出是否允許訪問。用戶將向?qū)嶋H保護(hù)該資源的系統(tǒng)(如一個(gè)文件系統(tǒng)或一個(gè)Web Server)發(fā)出請求,該提供保護(hù)的系統(tǒng)稱為策略實(shí)施點(diǎn)PEP(PolicyEnforcement Point)。PKI證明實(shí)體身份的合法性;PMI證明實(shí)體具有什么權(quán)限,能以何種方式訪問什么資源。 四.   PMI是Privilege Management Infrastructures的英文縮寫,意為授權(quán)管理基礎(chǔ)設(shè)施。當(dāng)用戶選擇不同的CA服務(wù)器及相關(guān)軟件、加密軟件和硬件時(shí),PKI系統(tǒng)仍然需要進(jìn)行新的配置,這是通過安全配置和管理組件實(shí)現(xiàn)的,應(yīng)用系統(tǒng)不需要進(jìn)行配置,安全中間件與安全配置和管理組件協(xié)同工作,真正的實(shí)現(xiàn)了PKI方案的可擴(kuò)展能力、可定制能力、可開發(fā)能力和可集成能力。這也即是為什么目前的大多數(shù)安全中間件事實(shí)上無法實(shí)現(xiàn)底層平臺無關(guān)性的最主要原因。加密服務(wù)組件向安全中間件提供支持,在加密服務(wù)組件之上的安全中間件為應(yīng)用系統(tǒng)屏蔽了底層的復(fù)雜的PKI組件?! 〖用芊?wù)組件是慧點(diǎn)PKI方案實(shí)現(xiàn)與來自第三方的CA服務(wù)器產(chǎn)品、加密軟件、加密硬件的集成的途徑。  加密服務(wù)組件  在安全中間件中,加密服務(wù)組件負(fù)責(zé)驅(qū)動(dòng)PKI中的第三方軟件系統(tǒng)和硬件設(shè)備,向安全中間件提供用戶身份驗(yàn)證、數(shù)據(jù)加密和解密的底層實(shí)現(xiàn)。當(dāng)用戶采用不同的PKI技術(shù)方案時(shí),PKI系統(tǒng)中的安全實(shí)體與IT系統(tǒng)中的用戶之間的映射關(guān)系可能會(huì)發(fā)生改變,這種情況在當(dāng)用戶采用專用的加密算法和非標(biāo)準(zhǔn)的證書系統(tǒng)時(shí)尤其明顯。當(dāng)PKI系統(tǒng)中具體的CA服務(wù)器、加密軟件和加密硬件發(fā)生改變時(shí),基于安全中間件的應(yīng)用系統(tǒng)不需要進(jìn)行修改,只需要使用安全配置和管理組件對安全中間件的行為重新進(jìn)行配置即可。  安全中間件實(shí)現(xiàn)以下功能:  為應(yīng)用系統(tǒng)提供一致的安全應(yīng)用程序編程接口(API)通過加密服務(wù)組件驅(qū)動(dòng)不同的CA服務(wù)器產(chǎn)品、加密軟件和硬件安全中間件與相關(guān)組件之間的關(guān)系如圖34所示。    安全中間件是慧點(diǎn)PKI方案的一個(gè)重要組成部分,是PKI系統(tǒng)與應(yīng)用系統(tǒng)的橋梁。這時(shí)用戶可以廢除證書,產(chǎn)生新的密鑰對,申請新的證書。即使口令丟失,使用密鑰管理中心提供的密鑰恢復(fù)功能,也能夠讓用戶在一定條件下恢復(fù)該密鑰,并設(shè)置新的口令?! ∫虼耍髽I(yè)級的PKI產(chǎn)品至少應(yīng)該支持用于加密的安全密鑰的存儲、備份和恢復(fù)。簽名密鑰不需要備份,因?yàn)橛糜隍?yàn)證簽名的公鑰(或公鑰證書)廣泛發(fā)布,即使簽名私鑰丟失,任何用于相應(yīng)公鑰的人都可以對已簽名的文檔進(jìn)行驗(yàn)證。使用PKI的企業(yè)和組織必須能夠得到確認(rèn):即使密鑰丟失,受密鑰加密保護(hù)的重要信息也必須能夠恢復(fù),并且不能讓一個(gè)獨(dú)立的個(gè)人完全控制最重要的主密鑰,否則將引起嚴(yán)重后果?! ≡谝粋€(gè)PKI系統(tǒng)中,維護(hù)密鑰對的備份至關(guān)重要?!       ∶荑€管理也是PKI (主要指CA)中的一個(gè)核心問題,主要是指密鑰對的安全管理,包括密鑰產(chǎn)生、密鑰備份和密鑰恢復(fù)等?! A簽發(fā)的數(shù)字證書一般由RA通過LDAP服務(wù)器發(fā)布,供PKI系統(tǒng)中的用戶需要時(shí)進(jìn)行檢索和獲取。但這并不是取消了PKI的注冊功能,而只是將其作為CA的一項(xiàng)功能而已。因此,RA可以設(shè)置在直接面對用戶的業(yè)務(wù)部門。RA接受用戶的注冊申請,審查用戶的申請資格,并決定是否同意CA給其簽發(fā)數(shù)字證書?! ∽詫徍藱C(jī)構(gòu)RA提供用戶和CA之間的接口,主要完成收集用戶信息和確認(rèn)用戶身份的功能。安全中間件與加密服務(wù)組件的組合方式通過安全策略管理中心配置,而不由應(yīng)用系統(tǒng)控制,因此保證了PKI方案的可擴(kuò)展能力和可定制能力。安全中間件為應(yīng)用系統(tǒng)隔離了PKI系統(tǒng)中的復(fù)雜技術(shù)細(xì)節(jié),而加密服務(wù)組件實(shí)現(xiàn)了PKI系統(tǒng)與來自第三方的加密軟件和硬件集成的能力。IT系統(tǒng)中的應(yīng)用系統(tǒng)通過安全中間件使用PKI系統(tǒng)提供的各種安全服務(wù)?!  A和RA相互配合,負(fù)責(zé)PKI系統(tǒng)中的數(shù)字證書的申請、審核、簽發(fā)和管理。為了驗(yàn)證數(shù)據(jù)的真實(shí)性,用戶A使用自己的私鑰對數(shù)據(jù)的哈希值加密,用戶B使用用戶A的公鑰對哈希值解密,并與接收到的數(shù)據(jù)的哈希值進(jìn)行對比?! KI使用了非對稱加密技術(shù),其中的一個(gè)密鑰稱為私鑰,由證書的持有者妥善保管,必須嚴(yán)格保密,另一個(gè)密鑰稱為公鑰,通過CA公布,無須保密。使用密鑰p加密的數(shù)據(jù)必須使用密鑰q才能解密,而使用密鑰q加密的數(shù)據(jù)必須使用密鑰p才能解密。為了解決這一問題,提出了非對稱加密技術(shù)?!  ≡趥鹘y(tǒng)的加密算法中,接收密文的一方使用與加密密鑰相同的密鑰作為解密密鑰,這種加密技術(shù)因此被稱為對稱密鑰加密技術(shù)。    PKI基于非對稱密鑰加密技術(shù)來實(shí)現(xiàn)應(yīng)用系統(tǒng)對身份認(rèn)證、數(shù)據(jù)保密性和完整性、不可否認(rèn)性的支持。在需要用戶對自己在系統(tǒng)中的行為承擔(dān)責(zé)任的場合,不可否認(rèn)性顯得非常的重要?! ?4)提供不可否認(rèn)性支持  安全的信息系統(tǒng)常常要求實(shí)現(xiàn)用戶在系統(tǒng)中的行為的不可否認(rèn)性(NonRepudiation)?! ?3)保證數(shù)據(jù)完整性  保證數(shù)據(jù)完整性(Integrity)就是確認(rèn)我們所接收到的來自某一用戶的數(shù)據(jù)是完整的和未被篡改的。以前面的例子為例,用戶A需要保證所發(fā)出的文件的內(nèi)容只有用戶B才能查看。傳統(tǒng)的用戶名+密碼的身份認(rèn)證方式在安全性方面存在各種缺陷,應(yīng)用系統(tǒng)需要采用其它更為有效的身份驗(yàn)證機(jī)制。舉一個(gè)簡單的例子,當(dāng)用戶B接收到一封來自用戶A的重要文件,那么用戶B首先需要確認(rèn)的是該文件的確是由用戶A本人發(fā)出的,而不是第
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1