【正文】 困難的任務(wù)。要防止系統(tǒng)入侵，需要很好的智能化分析手段，并借助于專家系統(tǒng)來幫助檢測惡意的行為。這就需要各個系統(tǒng)能夠按照統(tǒng)一的系統(tǒng)管理標準進行遠程管理并提 供系統(tǒng)的安全狀態(tài)信息。 PKI 為組織機構(gòu)建立和維護一個可信賴的安全環(huán)境，為應(yīng)用系統(tǒng)提供對身份認證、數(shù)據(jù)保密性和完整性、不可否認等特性的支持，以滿足應(yīng)用系統(tǒng)對安全性的需求。舉一個簡單的例子，當用戶 B 接收到一封來自用戶 A 的重要文件，那么用戶 B 首先需要確認的是該文件的確是由用戶 A 本人發(fā)出的，而不是第三者以用戶 A 的名義發(fā)出的，如果這一點無法保證，那么即使能夠確認文件本身的數(shù)據(jù)完整性和保密性，也沒有任何意義。傳統(tǒng)的用戶名 +密碼的身份認證方式在安全性方面存在各種缺陷，應(yīng)用系 統(tǒng)需要采用其它更為有效的身份驗證機制。以前面的例子為例，用戶 A 需要保證所發(fā)出的文件的內(nèi)容只有用戶 B 才能查看。 (3)保證數(shù)據(jù)完整性 保證數(shù)據(jù)完整性 (Integrity)就是確認我們所接收到的來自某一用戶的數(shù)據(jù)是完整的和未被篡改的。 (4)提供不可否認性支持 安全的信息系統(tǒng)常常要求實現(xiàn)用戶在系統(tǒng)中的行為的不可否認性 (NonRepudiation)。在需要用戶對自己在系統(tǒng)中的行為承擔(dān)責(zé)任的場合，不可否認性顯得非常的重要。 非對稱密鑰加密技術(shù)簡介 PKI 基于非對稱密鑰加密技術(shù)來實現(xiàn)應(yīng)用系統(tǒng)對身份認證、數(shù)據(jù)保密性和完整性、不可否認性的支持。 在傳統(tǒng)的加密算法中，接收密文的一方使用與加密密鑰相同的密鑰作為解密密鑰，這種加密技術(shù)因此被稱為對稱密鑰加密技術(shù)。為了解決這一問題，提出了非對 稱加密技術(shù)。使用密鑰 p 加密的數(shù)據(jù)必須使用密鑰 q 才能解密，而使用密鑰 q 加密的數(shù)據(jù)必須使用密鑰 p 才能解密。 PKI 使用了非對稱加密技術(shù)，其中的一個密鑰稱為私鑰，由證書的持有者妥善保管，必須嚴格保密，另一個密鑰稱為公鑰，通過 CA公布，無須保密。為了驗證數(shù)據(jù)的真實 性，用戶 A 使用自己的私鑰對數(shù)據(jù)的哈希值加密，用戶 B 使用用戶 A 的公鑰對哈希值解密，并與接收到的數(shù)據(jù)的哈希值進行對比。 CA 和 RA 相互配合，負責(zé) PKI 系統(tǒng)中的數(shù)字證書的申請、審核、簽發(fā)和管理。 IT 系統(tǒng)中的應(yīng)用系統(tǒng)通過安全中間件使用 PKI 系統(tǒng)提供的各種安全服務(wù)。安全中間件為應(yīng)用系統(tǒng)隔離了 PKI 系統(tǒng)中的復(fù)雜技術(shù)細節(jié) ，而加密服務(wù)組件實現(xiàn)了 PKI 系統(tǒng)與來自第三方的加密軟件和硬件集成的能力。安全中間件與加密服務(wù)組件的組合方式通過安全策略管理中心配置，而不由應(yīng)用系統(tǒng)控制，因此保證了 PKI 方案的可擴展能力和可定制能力。 注冊審核機構(gòu) RA提供用戶和 CA 之間的接 口，主要完成收集用戶信息和確認用戶身份的功能。 RA 接受用戶的注冊申請，審查用戶的申請資格，并決定是否同意 CA給其簽發(fā)數(shù)字證書。因此， RA 可以設(shè)置在直接面對用戶的業(yè)務(wù)部門。但這并不是取消了PKI 的注冊功能，而只是將其作為 CA的一項功能而已。 CA 簽發(fā)的數(shù)字證書一般由 RA 通過 LDAP 服務(wù)器發(fā)布，供 PKI系統(tǒng)中的用戶需要時進行檢索和獲取。 密鑰管理中心 密鑰管理也是 PKI (主要指 CA)中的一個核心問題，主要是指密鑰對的安全管理，包括密鑰產(chǎn)生、密鑰備份和密鑰恢復(fù)等。 在一個 PKI 系統(tǒng)中，維護密鑰對的備份至關(guān)重要。使用 PKI 的企業(yè)和組織必須能夠得到確認：即使密鑰丟失，受密鑰加密保護的重要信息也必須能夠恢復(fù)，并且不能讓一個獨立的個人完全控制最重要的主密鑰，否則將引起嚴重后果。簽名密鑰不需要備份，因為用于驗證簽名的公鑰 (或公鑰證書 )廣泛發(fā) 布，即使簽名私鑰丟失，任何用于相應(yīng)公鑰的人都可以對已簽名的文檔進行驗證。 因此，企業(yè)級的 PKI 產(chǎn)品至少應(yīng)該支持用于加密的安全密鑰的存儲、備份和恢復(fù)。即使口令丟失，使用密鑰管理中心提供的密鑰恢復(fù)功能，也能夠讓用戶在一定條件下恢復(fù)該密鑰，并設(shè)置新的口令。這時用戶可以廢除證書，產(chǎn)生新的密鑰對，申請新的證書。 安全中間件 安全中間件是慧點 PKI 方案的一個重要組成部分，是 PKI 系統(tǒng)與應(yīng)用系統(tǒng)的橋梁。 安全中間件實現(xiàn)以下功能： 為應(yīng)用系統(tǒng)提供一致的安全應(yīng)用程序編程接口 (API)通過加密服務(wù)組件驅(qū)動不同的 CA服務(wù)器產(chǎn)品、加密軟件和硬件安全中間件與相關(guān)組件之間的關(guān)系如圖 34 所示。當 PKI 系統(tǒng)中具體的CA 服務(wù)器、加密軟件和加密硬件發(fā)生改變時，基于安全中間件的應(yīng)用系統(tǒng)不需要進行修改，只需要使用安全配置和管理組件對安全中間件的行為重新進行配置即可。當用戶采用不同的 PKI 技術(shù)方案時， PKI 系統(tǒng)中的安全實體與 IT 系統(tǒng)中的用戶之間的映射關(guān)系可能會發(fā)生改變，這種情況在當用戶采用 專用的加密算法和非標準的證書系統(tǒng)時尤其明顯。 加密服務(wù)組件 在安全中間件中，加密服務(wù)組件負責(zé)驅(qū)動 PKI 中的第三方軟件系統(tǒng)和硬件設(shè)備，向安全中間件提供用戶身份驗證、數(shù)據(jù)加密和解密的底層實現(xiàn)。 加密服務(wù)組件是慧點 PKI方案實現(xiàn)與來自第三方的 CA服務(wù)器產(chǎn)品、加密軟件、加密硬件的集成的途徑。加密服務(wù)組件向安全中間件提供支持，在加密服務(wù)組件之上的安全中間件為應(yīng)用系統(tǒng)屏蔽了底層的復(fù)雜的 PKI 組件。這也即是為什么目前的大多數(shù)安全中間件事實上無法實現(xiàn)底 層平臺無關(guān)性的最主要原因。當用戶選擇不同的 CA服務(wù)器及相關(guān)軟件、加密軟件和硬件時， PKI 系統(tǒng)仍然需要進行新的配置，這是通過安全配置和管理組件實現(xiàn)的，應(yīng)用系統(tǒng)不需要進行配置，安全中間件與安全配置和管理組件協(xié)同工作，真正的實現(xiàn)了 PKI 方案的可擴展能力、可定制能力、可開發(fā)能力和可集成能力。 PMI 建立在 PKI 基礎(chǔ)上，與 PKI 相結(jié)合，提供實體身份到應(yīng)用權(quán)限的映射，實現(xiàn)對系統(tǒng)資源訪問的統(tǒng)一管理。 典型的場景中，如下面圖 4－ 1 所示，如果某個用戶或應(yīng)用需要在某一個資源上行使某個操作。隨后 PEP 將基于請求者的屬性、所請求的資源和所要行使的操作以及其它信息， 來形成一個請求并發(fā)送到一個策略決策點 PDP(PolicyDecision Point)。決策的結(jié)果將會返回給 PEP,并由 PEP 來執(zhí)行對該訪問請求的許可或拒絕。 為什么需要 PMI ，并提供更靈活的通道。為實現(xiàn)這些不同的渠道和交互方式而采用重復(fù)復(fù)制框架和應(yīng)用的做法將大大提高建設(shè)和維護費用，并因為一個實際的用戶在多個系統(tǒng)中都擁有用戶帳號，因此難以識別一個唯一的用戶標識，并提供更好的關(guān)聯(lián)服務(wù)。如果沒有一個適當?shù)陌踩呗院透呒壍陌踩刂疲瑱C密信息泄漏和數(shù)據(jù)保 護被破壞的可能性將大大增加。其實現(xiàn)必須支持多種技術(shù)和設(shè)備，并具有關(guān)鍵任務(wù)級的伸縮性和可靠性。 PMI 發(fā)展的幾個階段根據(jù)對身份認證和授權(quán)的處理方式的不同，以及技術(shù)發(fā)展提供的條件，身份驗證和授權(quán)的實現(xiàn)經(jīng)歷了如下幾個階段， 在第一個階段，即原始階段，一個用戶在多個用戶系統(tǒng)中都有各自的賬號，并需要分別登錄驗證。 在第二個階段，為解決后臺系統(tǒng)間互操作的問題，需要在各應(yīng)用系統(tǒng)間建立信任連接。這樣的方案一方面受到開發(fā)約束，另一方面，存在著比較大的安全隱患。同時可以集中的提高所有 應(yīng)用在身份驗證和授權(quán)管理上的安全性。 在第四個階段， PMI 擴展到了更大的架構(gòu)，不同企業(yè)，不同地域間的應(yīng)用和用戶能夠?qū)崿F(xiàn)相互認證和授權(quán)。通過該架構(gòu)為用戶提供了唯一可信的網(wǎng)絡(luò)身份標識并為企業(yè)間的 B2B 實現(xiàn)提供堅強的安全保證。 Single Sign On 能提高和加強 Web Service 參與的各系統(tǒng)的安全，并簡化企業(yè)中各個異構(gòu)系統(tǒng)的安全管理和維護?；埸c的 Trusted Web Service PMI就是這樣一個先進的 PMI 架構(gòu)?；埸c的 PMI 框架還可提供對 Legacy Application 和 Web application 的支持，并實現(xiàn)對這些應(yīng)用的 Single Sign On。提供對系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權(quán)信息、資源和服務(wù)信息、組織和角色信息、系統(tǒng)安全策略等重要信息的層次化存儲和查詢服務(wù)。在整個管理服務(wù)中，還實現(xiàn)了 JavaManagement Extension（ Java 管理擴展接口），能夠和整個慧點安全應(yīng)用集成框架的頂層管理相集成。在策略服務(wù)中，為應(yīng)用系統(tǒng)的授權(quán)決策請求提供決策服務(wù)。它能安裝在各種類型的 Web Server，如 Apache、 IIS、 Domino 等服務(wù)器上，截聽用戶的訪問請求，并通過訪問 Policy Server 的策略服務(wù)，來確定用戶是否具允許該訪問。 在 PMI Policy Server 的策略服務(wù)中包括 Single Sign On 提供對單點登錄的支持 身份認證服務(wù)通過 Plugable 方式提供對多種驗證機制的身份認證服務(wù) 授權(quán)和訪問控制服務(wù)判斷和決策用戶對應(yīng)用的訪問是 否具有所需的權(quán)限。該 Session 信息被用于校驗 Single Sign On 令牌。 SmartDot PMI 的 Policy Server 通過 Policy 中 ACL 來保護一個組織機構(gòu)的數(shù)據(jù)和 Web 資源受到未被授權(quán)的訪問。該用戶通過驗證后， Policy Server將會根據(jù)應(yīng)用于該用戶的一系列 policy 來確定用戶對該資源的訪問授權(quán)。 在 PMI Policy Server 的管理服務(wù)中包括 Policy 管理是用來為組織或用戶創(chuàng)建和維護訪問控制規(guī)則（ rule）以及策略的，授予或拒絕用戶對資源的訪問。 Config 管理用來配置和管理 Policy Server 本身的元數(shù)據(jù)的。同時 Resource 還能夠管理和維護某些需要保護的資源（如 Web 頁面）。通過提供 PMI 的軟件框架，來管理這些信息的生命周期以及其屬性，權(quán)限的使用。身份管理和目錄服務(wù)、策略控制、訪問管理一起構(gòu)成了慧點的可信的基于 Web Service 的 PMI 框架基礎(chǔ)，并且與PKI 安全平臺一起，通過提供數(shù)字證書、身份識別、基于角色的授權(quán)服務(wù)構(gòu)成 PMI 的服務(wù)體系。從而建立聯(lián)邦方式的網(wǎng)絡(luò)身份管理服務(wù) 慧點PMI 的 Single Sign On 實現(xiàn) Single Sing On(單點登錄 )就是要實現(xiàn)通過一次登錄自動訪問的所有授權(quán)的應(yīng)用軟件系統(tǒng)，從而提高整體安全 性，而且無需記憶多種 登錄過程、 ID 或口令。從管理角度看， Single Singon有助于減少口令重復(fù)設(shè)置請求，使技術(shù)人員有時間去集中精力執(zhí)行更重要的任務(wù)。每個系統(tǒng)一般都要求遵照一定的安全程序，即要求用戶輸入用戶 ID 和口令。如果用戶忘記了口令，就不能執(zhí)行任務(wù)，從而降低生產(chǎn)效率。為牢記登錄信息，用戶一般會簡化密碼，為多個系統(tǒng)使用相同的口令，或創(chuàng)建一個口令 ?176。 ?a?a這是會危及公司信息保密性的幾種常用做法。 需要簡化用戶訪問 借助慧點 PMI Single SingOn，用戶只需一個用戶 ID 和口令。在此條件下，管理員無需修改或干涉用戶登錄就能實施希望得到的安全控制。這樣就出現(xiàn)了在企業(yè)中，如果增加一個用戶，則每個 應(yīng)用系統(tǒng)都要添加；刪除一個用戶，則每個應(yīng)用系統(tǒng)都要刪除。并且由于系統(tǒng)間的用戶信 息沒有辦法相互共享或信任，一個系統(tǒng)的用戶無法直接訪問另一個系統(tǒng)。這樣就統(tǒng)一提高了原本只通過簡單用戶名和口令方式進行用戶驗證的安全性弱的應(yīng)用的安全性，并為整個系統(tǒng)的應(yīng)用統(tǒng)一提 供了可靠的安全服務(wù)，而不需要每個應(yīng)用程序單獨開發(fā)復(fù)雜的高難度的登錄和驗證程序。 Single Sign On 的實現(xiàn) 慧點 PMI Single Sign On 采用了靈活的可插式（ Plugable）的框架，支持多種單點登錄的實現(xiàn)方式，可根據(jù)系統(tǒng)實施中的應(yīng)用類型和應(yīng)用分布的實際情況來靈活的進行部署和使用。在隨后的訪問中，這個訪問令牌將會直接傳遞到要訪問的應(yīng)用系統(tǒng)中。對參加統(tǒng)一認證方式的應(yīng)用系統(tǒng)，稱 這些應(yīng)用系統(tǒng)為 SingleSign On 的 Partner（伙伴）。因此對于 Partner,一般都是新開發(fā)的應(yīng)用或能夠進行改造的應(yīng)用。 基于代理訪問方式的 Single Sign On 在一個基于代理 Single Sign On 中，有一個自動地為不同的應(yīng)用程序認證用戶身份的代理程序。比如 ,它可以使用口令表或加密密鑰來自動地將認證的負擔(dān)從用戶移開。用戶單點登錄提供的認證信息被代理用來獲取相應(yīng)應(yīng)用程序的映射用戶認證和授權(quán)信息。 JAAS(Java Authentication and Authorization Service) 慧點 PMI 使用 JAAS 來為 java 應(yīng)用實現(xiàn) Single Sign On。能夠?qū)F(xiàn)有的安全服務(wù)作為插件插入。 JAAS 支持層次化的，基于角色的訪問控制，并全面支持 Java2 的權(quán)限模型。 SAML(Security Ass