中国移动Domino数据库安全配置手册

密 级：文档编号号：项目代号号：中国移动动Domminoo数据库库安全配置置手册Verssionn 1.1中国移动动通信有有限公司司二零零四四年十一月拟制:审核:批准:会签:标准化:版本控制制版本号日期参与人员员更新说明明分发控制制编号读者文档权限限与文档的的主要关关系1创建、修修改、读读取负责编制制、修改改、审核核2批准负责本文文档的批批准程序序3标准化审审核作为本项项目的标标准化负负责人，负负责对本本文档进进行标准准化审核核4读取5读取目 录第一章概概述1第二章数数据库存存取控制制22.1使使用 AACL 限制访访问数据据库32.1.1ACCL中的的存取级级别32.1.2配置置数据库库 ACCL62.2强强制实现现ACLL的一致致性72.3加加密数据据库92.4为为数据库库或模板板签名111第三章NNOTEES/DDOMIINO认认证1223.1IID文件件143.1.1 IID文件件的类型型143.1.2 NNotees IID的内内容1553.133验证字字163.2交交叉验证证字188第四章 INTTERNNET客客户认证证194.1基基本的用用户名加加口令认认证2114.2基基于会话话的用户户名加口口令认证证214.3 SSLL认证2334.3.1 服服务器认认证2444.3.2客户户端认证证25第五章安安全检查查列表255术语表226第一章 概述Notees/DDomiino 提供了了一个健健壮的安安全模型型，可以以通过裁裁剪来满满足您所所在组织织的需求求。Nootess/Doominno 拥拥有一个个六层的的安全系系统。l 网络网络安全全性可以以防止对对服务器器端网络络未经授授权的访访问。如如果在网网络层阻阻塞了访访问，未未经授权权的用户户就不能能访问任任何Doominno服务务器。网络访问问典型情情况下是是使用网网络硬件件和软件件进行控控制的，但但是可以以通过对对Domminoo服务器器端口的的数据进进行加密密来提供供进一步步的安全全性。对网络端端口数据据加密可可以阻止止未经授授权用户户通过使使用网络络协议分分析器来来读取数数据。对网络传传输加密密，可以以使用端端口加密密或者SSSL。l 用户认证证用户认证证是一个个在客户户端试图图访问DDomiino服服务器时时Nottes客客户端和和Domminoo服务器器用来进进行相互互确认和和鉴定的的过程。 Notes和Domino使用存储在Notes ID文件中的验证字来进行确认和鉴定。当使用Internet协议时，可以使用基于X.509的验证字或者用户名加口令来认证。l 服务器服务器安安全性控控制对DDomiino服服务器的的访问。在在校验服服务器安安全性之之前用户户必须要要通过认认证。服服务器访访问通过过在Doominno目录录中的服服务器访访问列表表来进行行控制。l 数据库数据库安安全性控控制对DDomiino服服务器上上数据库库的访问问。在校校验数据据库安全全性之前前用户必必需访问问到了服服务器并并且通过过了认证证。数据据库访问问通过数数据库访访问控制制列表(ACLL)进行行控制。本本地数据据库可以以通过加加密来确确保只有有拥有正正确口令令和IDD文件的的用户才才能进行行访问。l 设计元素素设计元素素安全性性控制对对表单、视视图和文文件夹的的访问。在在设计元元素安全全性发生生作用前前用户必必需要访访问到数数据库。使使用设计计元素安安全性，可可以允许许用户查查看数据据库中某某些类型型的文档档而阻塞塞其它类类型。控控制表单单访问，使使用表单单访问列列表和密密钥。控控制视图图和文件件夹访问问，使用用视图和和文件夹夹访问列列表。设设计元素素安全性性也可以以用来限限制运行行在Nootess工作站站上的公公式和脚脚本的行行为。控控制工作作站的访访问，使使用执行行控制列列表。l 文档文档安全全性控制制对文档档中域、节节和段或或者整个个文档的的访问。这这是最细细粒度的的安全性性。可以以使用读读者和作作者域控控制对整整个文档档的访问问。控制制对节和和段的访访问，使使用“当时候隐隐藏（hhidee-whhen）”公式。控控制对域域的访问问，使用用密钥。l 本地数据据库安全全上面的六六层安全全性应用用于存放放在Doominno服务务器上的的数据库库，并且且用户是是通过网网络来进进行访问问。如果果某个人人未经授授权地访访问到了了用户的的计算机机或服务务器，他他可以绕绕过安全全设置直直接读取取本地数数据库。为为了避免免未经授授权的访访问,Nottes可可以加密密数据库库并且加加强本地地数据库库的ACL。第二章 数据库库存取控控制限制对 Domminoo 数据据库的访访问可以以防止未未经授权权的用户户访问信信息有以以下几种种方式。任务用途使用 AACL 限制访访问数据据库控制 NNotees 和和 Innterrnett/Inntraanett 用户户以及 Domminoo 服务务器对数数据库的的访问。强制实现现 ACCL 的的一致性性通过强制制在一个个位置进进行全部部的 AACL 更改，来来保护服服务器上上的数据据库和模模板。加密数据据库防止未经经授权的的用户访访问服务务器或工工作站本本地的数数据库。对数据库库或模板板进行签签名识别数据据库或模模板的创创建者。当当用户访访问数据据库时，系系统会检检查签名名以确定定是否允允许执行行此操作作。例如，在在 Doominno 服服务器上上，代理理管理器器会检验验代理的的签名并并检查签签名者是是否有权权执行此此操作。在在 Nootess 客户户机上，对对照工作作站 EECL 中对签签名者设设定的权权限来检检查签名名。2.1使使用 AACL 限制访访问数据据库每个数据据库都有有一个 ACLL（存取取控制列列表）用用来指定定用户和和服务器器对该数数据库的的存取级级别。尽尽管用户户和服务务器的存存取级别别的名称称是一样样的，但但是指定定给用户户的级别别决定用用户在数数据库中中所能执执行的任任务，而而指定给给服务器器的级别别则决定定服务器器可以复复制数据据库中的的哪些信信息。只只有具有有“管理者者”存取级级别的用用户才能能创建或或修改 ACLL。要控制 Nottes 用户的的访问权权限，应应为每位位用户或或群组选选择在数数据库中中的存取取级别、用用户类型型和存取取级别权权限。创创建数据据库时可可以设置置 ACCL 中中的缺省省项目。如如果数据据库设计计者确定定需要对对数据库库细分存存取级别别，则您您还可以以指定角角色。将将数据库库投入使使用前，应应与设计计者以及及数据库库的用户户代表一一起规划划正确的的存取级级别。对于 AACL 中的每每个用户户名、服服务器名名或群组组名，可可以指定定：l 存取级别别l 存取级别别权限l 用户类型型l 角色2.1.1ACCL中的的存取级级别在数据库库 ACCL 中中指定给给用户的的存取级级别能够够控制用用户在数数据库中中可以执执行哪些些任务。存存取级别别权限增增强或限限制了授授予 AACL.中每个个名称的的存取级级别。对对于 AACL 中的每每个用户户、群组组或服务务器，可可以选择择基本的的存取级级别和用用户类型型。要进进一步细细化访问问权限，可可以选择择一系列列访问权权限。如如果数据据库设计计者创建建了角色色，请将将其分配配给相应应的用户户、群组组或服务务器。在数据库库 ACCL 中中分配给给服务器器的存取取级别用用于控制制服务器器可以复复制数据据库中的的哪些信信息。要访问特特定服务务器上的的数据库库，Nootess 用户户必须既既具有相相应数据据库的访访问权限限，又具具有相应应服务器器的访问问权限（在在 Doominno 目目录的“服务器器”文档中中指定）。要查看数数据库的的 ACCL，用用户必须须至少具具有“读者”存取级级别。下表按从从高到低低的顺序序列出了了用户存存取级别别。存取级别别允许用户户进行以以下操作作分配给管理者修改数据据库 AACL。加密数据据库。修改复制制设置。删除数据据库。执行较低低存取级级别允许许的所有有任务。负责数据据库的两两个人。这这样，如如果一个个人不在在，可以以由另一一个人管管理数据据库。设计者修改所有有的数据据库设计计元素。创建全文文搜索索索引。执行较低低存取级级别允许许的所有有任务。数据库设设计者和和/或负责责未来设设计更新新的人员员“编辑者者”存取级级别创建文档档。编辑所有有文档（包包括其他他人创建建的文档档）读取所有有的文档档，除非非表单中中包含“读者”域。如如果编辑辑者未在在“读者”域中列列出，则则具有“编辑者者”ACLL 存取取级别的的用户将将无法读读取或编编辑文档档。允许在数数据库中中创建和和编辑文文档的任任何用户户作者创建文档档（如果果用户或或服务器器还具有有“创建文文档”存取级级别权限限）在为为用户或或服务器器指定“作者”存取级级别的同同时，还还必须指指定“创建文文档”存取级级别权限限。编辑包含含“作者”域并且且在该“作者”域中指指定该用用户为作作者的文文档。读取所有有的文档档，除非非表单中中包含“读者”域。需要向数数据库发发布文档档的用户户读者读取包含含“读者”域并且且在该“读者”域中指指定该用用户为读读者的文文档。只需要阅阅读数据据库中的的文档，而而不需要要创建和和编辑文文档的用用户。存放者创建文档档，并且且除“读取公公用文档档”及“写入公公用文档档”两项权权限以外外，不再再具有其其他任何何权限。这这两个权权限是设设计者可可能选择择要授予予的权限限。只需要发发布文档档，而不不需要阅阅读或编编辑自己己或其他他用户的的文档的的用户。例例如，为为投票箱箱数据库库使用“存放者者”存取级级别。不能存取取者除“读取取公用文文档”和“写入公公用文档档”选项以以外不具具有其他他任何权权限。这这两个权权限是设设计者可可能选择择要授予予的权限限。已终止的的用户、不不需要访访问数据据库的用用户或在在特定基基础上能能访问数数据库的的用户。注意 Notte 如如果某些些用户是是某个群群组的成成员，并并且该群群组的成成员都可可以访问问数据库库，而该该用户不不应该具具有数据据库访问问权限，则则需要专专门为这这些用户户指定“不能存存取者”存取级级别。2.1.2配置置数据库库 ACCL在向数据据库 AACL 中添加加用户、群群组或服服务器之之前，应应先针对对应用程程序规划划数据库库访问。在在将名称称添加到到 ACCL 中中后，应应为该名名称指定定存取级级别。尽尽管指定定用户类类型是可可选的操操作，但但它可以以提供附附加的安安全性级级别。如如果应用用程序需需要，请请添加存存取级别别权限和和角色。在在配置了了数据库库 ACCL 后，用用户可以以通过在在 Nootess 客户户机上单单击 AACL 对话框框中的“有效权权限”按钮来来查看自自己对数数据库的的存取级级别。操作步骤骤： 1.确保您您满足下下列条件件：数据库 ACLL 中的的“管理者者”存取级级别创建了希希望在 ACLL 中使使用的角角色和群群组。2.从从 Doominno AAdmiinisstraatorr 的“服务器器”窗格中中，选择择存储数数据库的的服务器器。 3.单击“文件”，然后后从 DDomiino 数据目目录中选选择一个个或多个个数据库库。注意可以以添加同同一个项项目到多多个数据据库中。还还可以在在多个数数据库中中编辑和和删除项项目。请请参阅本本章后面面的“编辑多多个 AACL 中的项项目”主题。从“工具具”窗格中中，选择择“数据库库”“管理理 ACCL”。 5.为 Nootess 用户户、服务务器、群群组以及及经过验验证的 Intternnet 用户添添加项目目。 6.为每个个项目设设置存取取级别。 7.（可选选）为提提高安全全性，为为每个项项目选择择一个用用户类型型。 8.（可选选）通过过限制或或允许附附加的存存取级别别权限来来细化项项目。 9.（可选选）为 ACLL 项目目指定角角色。选选定的角角色将显显示复选选标记。 10.（可选选）在数数据库的的多个复复本之间间强制实实现 AACL 的一致致性。11.（可选选）指定定管理服服务器自自动更新新 ACCL 项项目。 12.（可选选）为了了防止具具有“存放者者”或“不能存存取者”存取级级别的用用户利用用操作系系统进行行数据库库拷贝，可可以通过过“本地加加密”选项使使用服务务器标识识符对数数据库进进行加密密。这样样，即使使数据库库被拷贝贝，也可可以确保保对服务务器标识识符没有有访问权权限的任任何用户户都无法法使用该该数据库库。 13.单击“确定”保存更更改。2.2强强制实现现ACLL的一致致性可以确保保服务器器上所有有数据库库复本的的 ACCL 完完全相同同，同时时还可以以确保用用户在工工作站或或便携式式计算机机上制作作的所有有本地复复本的 ACLL 完全全相同。要保持数数据库在在所有服服务器上上的复本本的存取取控制列列表相同同，可以以在某个个复本（该该复本所所在的服服务器对对其他复复本拥有有“管理者者”存取级级别）上上选择“强制使使用一致致的存取取控制列列表”设置。如如果选择择的复本本所在的的服务器器对其他他复本没没有“管理者者”存取级级别，那那么复制制将失败败，因为为该服务务器不具具有复制制 ACCL 所所需的足足够权限限。如果用户户在本地地复制数数据库，数数据库 ACLL 将识识别出该该用户的的存取级级别，因因为该存存取级别别对于服服务器来来说是已已知的。在在进行本本地复制制时，这这种情况况是自动动发生的的，而不不必考虑虑是否启启用了“强制使使用一致致的存取取控制列列表”。应该注意意的是，启启用了“强制使使用一致致的存取取控制列列表”的本地地复本将将试图遵遵从 AACL 中的信信息并相相应地确确定用户户可以执执行的操操作。但但是，这这也存在在一些限限制。一一个限制制是群组组信息是是在服务务器上生生成的，而而不是在在本地复复本中生生成的。在在本地复复制数据据库时，执执行复制制的个人人的群组组成员信信息将存存储在数数据库中中以供 ACLL 检查查使用。如如果执行行复制的的用户之之外的个个人/标识符符访问本本地复本本，将没没有关于于该用户户的群组组成员信信息可用用，ACCL 仅仅能使用用该用户户标识符符而不是是群组成成员备份份进行访访问权限限的检查查。另外，强强制使用用一致的的存取控控制列表表并不能能为本地地复本提提供额外外的安全全性。要要保持本本地复本本数据的的安全性性，应对对数据库库进行加加密。注意当选选中了“强制使使用一致致的存取取控制列列表”选项时时，如果果用户更更改了本本地或远远程服务务器数据据库复本本的 AACL，数数据库将将停止复复制。日日志文件件 (LLOG.NSFF) 记记录一条条消息，说说明由于于程序无无法在复复本中维维持一致致的 AACL，因因此复制制无法进进行下去去。操作步骤骤：a .确保在在选定的的所有数数据库的的 ACCL 中中都具有有“管理者者”存取级级别。b 从 Doominno AAdmiinisstraatorr 的“服务器器”窗格中中，选择择对希望望强制使使用一致致的 AACL 的数据据库有“管理者者”存取级级别的服服务器。c 单击“文文件”，然后后从 DDomiino 数据目目录中选选择一个个或多个个数据库库。d 单击“工工具”“数据据库”“管理理 ACCL”。e 单击“高高级”。f 选择“修修改一致致的 AACL 设置”选项。要强制使使用一致致的 AACL，请请选择“强制此此数据库库的所有有复本使使用一致致的存取取控制列列表”。要禁止使使用一致致的 AACL，请请选择“不执行行一致的的 ACCL 设设置”。g 单击“确确定”。2.3加加密数据据库a 打开本地地数据库库。b 选择“文文件”“数据据库”“属性性”。c 单击“基基本”附签，然然后单击击“加密设设置”按钮。d 选择“此此数据库库的本地地加密方方式”，然后后选择下下列选项项之一：“普通加加密对临临时窥探探提供了了有限的的保密。”“中等加加密提供供了良好好的安全全，保证证了访问问文档的的速度。”对于大多数用户，此级别可能是正确选择。“当主要要考虑文文档的保保密性时时才使用用强度加加密。”e （可选）缺缺省情况况下，仅仅列出您您的用户户标识符符在数据据库加密密后只有有您的用用户标识识符可以以打开此此数据库库。如果果希望将将访问此此数据库库的权限限授予另另一个用用户，请请单击“持续时时间”按钮，然然后从“选择名名称”对话框框中选择择一个通通讯录和和用户。警告如果果选择另另一个用用户使其其具有访访问此数数据库的的权限，您您将丧失失对此数数据库的的访问权权限。提示要关关闭对此此本地数数据库的的加密，请请选择“不在本本地对数数据库进进行加密密”。2.4为为数据库库或模板板签名可以为模模板或数数据库签签名，以以确保其其完整性性。例如如，您可可以通过过这种方方法为某某个代理理签名，以以便服务务器上的的代理管管理器可可以验证证签名者者是否具具备执行行代理的的权限。或或者，您您可以为为数据库库或模板板签名，以以便 NNotees 客客户机上上的 EECL 评估哪哪些数据据库操作作是可以以执行的的。如果果为模板板签名，则则由该模模板创建建的所有有数据库库都会继继承此签签名。注意如果果只想为为一个特特定的设设计文档档或某个个文档中中的一个个设计元元素签名名（如特特定的代代理），则则必须首首先确定定该文档档的注释释标识符符。要确确定文档档的注释释标识符符，请选选择该文文档，并并选择“文件”“文档档属性”，然后后单击属属性框的的最后一一个附签签。最后后一行为为注释标标识符，例例如，NNT00000009022。a 选择存储储要签名名的数据据库或模模板的服服务器。b 在“文件件”附签上上，选择择需要签签名的数数据库或或模板。c 选择“工工具”“数据据库”“签名名”。d 请选择其其中之一一：选择“当当前用户户标识符符”以使用用您的标标识符签签名。选择“当当前服务务器标识识符”以使用用存储数数据库或或模板的的服务器器的标识识符签名名。e 选择下列列选项之之一，以以指定要要签名的的元素：选择“所所有设计计文档”为每个个设计元元素签名名。如果果为多个个数据库库或模板板签名并并选择此此选项，则则签名过过程可能能要花费费一段时时间。选择“所所有数据据文档”为数据据文档中中的所有有当前内内容（热热点）签签名。选择“所所有文档档类型”为特定定的设计计元素类类型签名名。选择“指指定 NNotees 标标识符”为特定定的设计计元素签签名。f 选择“仅仅更新现现有的签签名（快快速）”以便只只更新以以前签名名过的设设计元素素。使用用此选项项将更改改以前签签名过的的设计元元素上的的签名。g 单击“确确定”。对话话框将显显示已处处理的数数据库及及所出现现错误（如如果有）的的数目。有有关详细细信息，请请参阅 Nottes 日志。第三章NNotees/DDomiino认认证所有Nootess/Doominno安全全性都是是基于用用户认证证的。认认证非常常重要，因因为它可可以将一一个用户户和其他他的区分分开来；没有它它就无法法识别一一个用户户是否就就是他声声称的那那个。因因此它是是提供对对Nottes和和Domminoo资源进进行访问问限制的的关键。Notees认证证过程依依赖于一一个由验验证者加加到IDD文件中中的验证证字。每每个Nootess客户端端使用一一个IDD文件来来进行识识别。验证和识识别是个个复杂地地过程。熟熟悉下面面的术语语有助于于进一步步理解这这些过程程。l 公钥加密密公钥加密密也称非非对称加加密。使使用公钥钥加密用用户拥有有一对密密钥私钥和和公钥。公公钥分发发给所有有和你通通信的人人。在DDomiino中中，公钥钥发布在在Domminoo目录中中。l 对称加密密对称加密密，通常常指的是是密钥加加密，使使用一个个通用的的密钥和和相同的的数学运运算法则则来对信信息进行行加密和和解密。如如果两个个人想和和对方通通信，双双方都要要在对数数据加密密和解密密的数学学运算法法则上达达成协议议，他们们还需要要一个通通用的密密钥。l 数字签名名数字签名名是一个个手写签签名的等等价物，它它是一个个附加在在一条信信息上可可以校验验身份的的唯一文文字块。它它可以确确认发送送者的身身份和信信息的完完整性。这这个文字字块使用用公钥和和私钥进进行加密密和解密密。l 公钥验证证字验证字是是一个存存储在NNotees或Domminoo IDD文件中中使用公公钥和一一个名字字关联的的唯一电电子印记记。验证证字允许许用户和和服务器器访问特特定的DDomiino服服务器。一一个IDD文件可可以有多多个验证证字。SSL验验证字使使服务器器用Doominno验证证字应用用程序创创建的验验证字可可以让DDomiino和和其它应应用程序序更容易易地交换换验证字字。SSSL验证证字包含含一个公公钥、一一个名字字、一个个过期日日期和一一个数字字签名并并且存储储在一个个叫做钥钥匙圈的的文件中中。钥匙匙圈文件件是被口口令保护护的，并并且存储储了一个个或多个个验证字字，位于于客户端端或服务务器的硬硬盘上。公公钥和私私钥是一一对用来来初始化化SSLL加密事事务的有有数学运运算关系系的唯一一密钥。l 层次命名名层次命名名一个和和Nottes ID相相关的命命名系统统，用来来表现一一个组织织中验证证者名称称间的关关系。层次命名名的格式式是:通用名称称/组织单单元/组织/国家代代码例如, OA邮件件管理员员/湖北省省公司/中国移移动/CCN所有的层层次命名名必需包包含通用用名称和和组织部部分。组组织单元元（最多多可以四四层）和和国家代代码是可可选部分分。层次命名名有助于于区分具具有相同同通用名名称的用用户从而而提供额额外的安安全性并并且允许许验证字字的分散散管理。3.1IID文件件当注册一一个用户户时，管管理员输输入用户户名、口口令、过过期日期期和其他他默认选选项。注注册进程程创建一一个IDD，放在在Domminoo目录中中或者（并并且）放放在文件件中，这这个IDD文件需需要放到到用户的的Nottes工工作站中中。3.1.1 IID文件件的类型型Notees IID本质质上是存存储验证证字和密密钥的。有有三种不不同类型型的NootessID: 用户户、服务务器和验验证者。用户IDD是供Nootess客户端端使用的的,服务务器IDD是供Doominno服务务器使用用的。验验证者IID用法法则不同同，它仅仅用于验验证其它它Nottes ID并并不能用用来运行行客户端端或者服服务器。然然而，验验证者IID对于于一个组组织却更更重要，因因为很多多的Nootess安全性性是基于于签名和和认证的的并且两两者都使使用验证证字。验验证者IID因该该存放在在另外的的安全位位置，而而不是放放在未经经授权用用户可能能访问到到的服务务器硬盘盘上。任任何不能能信赖的的人员获获得对验验证者IID的访访问都可可以轻而而易举访访问信任任这验证证者的系系统。3.1.2 NNotees IID的内内容当管理员员试图注注册一个个新的用用户或服服务器时时，Doominno管理理端为这这个条目目产生两两个RSSA密钥钥对。一一个 5512位位长度的的密钥用用于美国国和加拿拿大之外外国家的的数据加加密。另另一个6630-bitt长度的的密钥用于美国国和加拿拿大的数数据加密密，并且且用来作作为世界界范围的的签名和和认证。Domino 管理端然后建立一个验证字并用验证者的私钥签署这个验证字。这个签署过的验证字接下来被放进Notes ID文件。注册过程程后，IID文件件包含：l 用户名和和Noteess授权号号l 两个公钥钥和私钥钥对l 两个用户户验证字字l 一个祖先先验证者者的验证证字l (可选的的)IDD文件的的恢复信信息公钥和私私钥有数数学运算算关系并并且唯一一识别一一个用户户。信息息使用公公钥加密密后只能能使用同同一密钥钥对中的的私钥解解密。使用公钥钥加密最最大的好好处是不不用担心心谁来访访问公钥钥，因为为没有私私钥它没没有什么么用处。因因此可以以使公钥钥对所有有人可用用，而不不会危害害到安全全。Notees可以以存储恢恢复信息息到Nootess IDD文件中中。使用用恢复信信息，如如果如果果用户忘忘记了口口令，管管理员可可以恢复复ID文件件，或者者如果IID ffilee被损坏坏，可以以从一个个加密的的备份中中恢复IID文件件。注册后，应应用开发发者分发发的密钥钥可能已已经加到到了IDD文件中中来允许许加密和和解密文文档中的的域。私私钥和IID文件件中的其其它密钥钥用用户户口令计计算出的的密钥进进行了加加密，所所以只有有所有者者才能使使用这个个ID文件件。象用用户名和和公钥这这些公用用信息是是没有加加密过的的。下图显示示了用户户Bobb和服务务器SeerveerA的的ID文件件内容3.133验证字字一个验证证字包含含：l 验证字所所有者名名称l 验证字所所有者公公钥l 验证者名名称l 验证者公公钥l 验证字过过期日期期l 一个使用用验证者者私钥生生成的数数字签名名。这给给签名提提供验证证字的真真实性验证字存存储在NNotees IID文件件和Doominno目录录中。当当所有属属于这个个Domminoo域的用用户和服服务器试试图加密密和签署署消息或或文档数数据时，他他们都可可以查阅阅注册到到Domminoo目录的的验证字字。注意，验验证字本本身并不不包含任任何秘密密信息；因此它它可以公公开并且且分发到到任何地地方。下图显示示验证字字怎样放放置在IID文件件和Doominno目录录中。3.2交交叉验证证字交叉验证证字用来来在不同同验证层层次的组组织中建建立信任任关系。典型地，用用户建立立信任取取决于他他们是否否有共同同的祖先先。在不不同验证证层次的的组织中中，用户户是没有有共同祖祖先的；因此用用户需要要交叉验验证字来来建立信信任关系系。交叉验证证字存储储在用户户个人通通讯录和和服务器器Domminoo目录的的文档中中。交叉叉验证字字拥有“发布者者”和“发布给给”域。“发布者者”指示谁谁信任这这个验证证字。如如果验证证字是由由Bobb Smmithh/Eaast/Acmme发布布的，只只有使用用这个NNotees IID名字字的用户户会信任任这个验验证字。“发布给”指示这个验证字应该信任那个Notes。一个发布给/Acme的验证字信任所有包含/Acmes层次结构的用户和服务器例如，/East/Acme和/West/Acme。一个发布给/East/Acme的验证字则信任较少范围的用户和服务器例如，/East/Acme和/Sales/East/Acme，而不是/West/Acme。例如，用用户Boob SSmitth/EEastt/Accme想想访问SServverAA/Ceentrral/Widdgetts。/Eaast/Acmme和/Ceentrral/Widdgetts不在在同一个个层次，因因此不能能被信任任。SeerveerA通通过获得得对/AAcmee的交叉叉验证字字建立信信任，并并且Boob通过过获得对对/Wiidgeets的的交叉验验证字建建立信任任。 SServverAA也可以以通过获获得对/Easst/AAcmee的交叉叉验证字字建立信信任，并并且Boob可以以通过获获得对/Cenntraal/WWidggetss的交叉叉验证字字建立信信任；然然而，这这样做会会限制可可以信任任的其它它服务器器和用户户的范围围。交叉验证证字也被被用于建建立对数数字签名名的信任任和加密密通过IInteerneet发送送的S/MIMME消息息。这种种情况下下的数字字签名，只只有使用用数字签签名的文文档容器器需要对对这个签签名者的的交叉验验证字。这这种情况况下的IInteerneet消息息加密，发发送消息息的用户户需要交交叉验证证字来加加密消息息。第四章 Intternnet客客户认证证对Intternnet客客户端有有两种认认证方法法：用户户名加口口令和SSSL。a 用户名加加口令认认证用户名加加口令认认证有两两种类型型：l 基本的用用户名加加口令认认证l 基于会话话的用户户名加口口令认证证用户名加加口令认认证，也也称作基基本口令令认证，它它使用一一个基本本的质询询/响应协协议。只只要用户户试图访访问受限限制的信信息，他他们就会会被提示示输入用用户名和和口令。然然而在TTCP/IP端端口上用用户名加加口令认认证并不不十分安安全。在在客户端端和服务务器之间间传递的的信息，包包括用户户名和口口令，是是没有经经过加密密的。任任何人只只要在任任何地方方沿着会会话路径径使用网网络嗅探探器或者者跟踪工工具都可可以截获获信息。为为阻止这这种类型型的攻击击，用户户名加口口令认证证可以在在SSLL端口上上使用。当为访问问HTTTP服务务器而设设置用户户名加口口令认证证时，管管理员可可以使用用基于会会话的用用户名加加口令认认证。基基于会话话的用户户名加口口令认证证在用户户交互方方面提供供了比基基本的用用户名加加口令认认证更大大的控制制力。管管理员可可以定制制用户输输入用户户名和口口令信息息的表单单，并且且用户可可以在不不关闭浏浏览器的的情况下下注销会会话。b SSL认认证SSL认认证类似似于Nootess和Domminoo认证。SSSL客客户端提提供一个个验证字字给Doominno服务务器。服服务器使使用验证证字认证证客户端端，反之之亦然。与与Nottes和和Domminoo认证不不同的是是，SSSL不要要求客户户端和服服务器必必需相互互认证。如如果启用用了SSSL，Domminoo要求客客户端认认证服务务器；然然而服务务器认证证客户端端是可选选的。SSSL使使用X.5099格式的的Intternnet验验证字，X.509是一个包括Domino等大多数应用都使用的工业标准。一个Innterrnett验证字字典型的的由下列列域组成成：l 验证字格格式版本本l 验证字序序列号l 数字签名名算法标标识(给发行行者的数数字签名名)l 发行者名名称(验证字字权威机机构名称称)l 有效期l 主体名称称 用户或或服务器器l 主体公钥钥信息：算法标标识和公公钥值l 发行者唯唯一标识识l 主体唯一一标识l 扩展l 发行者对对上面域域的数字字签名Inteerneet验证证字可以以由第三三方验证证字权威威机构(CA)发行，例例如VeeriSSignn，或者者管理员员可以使使用Doominno验证证字权威威机构应应用程序序建立一一个CAA。要获得XX.5009验证证字更多多的信息息，清参参考IBBM红皮皮书LLotuus NNotees aand Domminoo R55.0SSecuuritty IInfrrasttruccturre RReveealeed，这这本书可可以通过过访问htttp:/m/boookllistt.httml站站点获得得。c Inteerneet协议议受支持持的认证证方法下面的表表格列出出了Doominno支持持的Innterrnett协议以以及每个个协议可可以使用用得认证证类型4.1基基本的用用户名加加口令认认证用户名加加口令认认证使用用一个基基本的质质询/响应协协议要求求用户的的用户名名和口令令并且通通过和存存储在DDomiino目目录中的的人员文文档中的的口令进进行比较较来校验验输入口口令的正正确性。采采用这种种设置的的情况下下，仅当当Intternnet/inttrannet客客户端试试图执行行访问受受限制资资源的任任务时，DDomiino才才要求用用户名和和口令。Internet/intranet访问不同于当一个客户端或服务器最初尝试访问Domino服务器时, Domino 服务器要求这个Notes客户端或者服务器提供用户名和密码的情况。数据库管管理器可可以使用用Domminoo安全性性分配IInteerneet/iintrraneet客户户端访问问数据库库前，系系统管理理员必需需在Doominno目录录中创建建那个客客户端的的个人文文档。没没有个人人文档的的客户端端被当作作匿名用用户并且且只能访访问那些些允许匿匿名访问问的服务务器和数数据库。用户名加加口令认认证允许许Domminoo定位那那些要访访问服务务器的客客户端的的个人文文档。DDomiino使使用这个个个人文文档识别别客户端端。客户户端被识识别后，就就可以确确定对数数据库的的访问。有些Innterrnett协议可可以在用用户名加加口令认认证上使使用SSSL。这这样,系统会会在使用用SSLL连接到到安全的的会话前前提示用用户输入入用户名名和口令令。4.2基基于会话话的用户户名加口口令认证证会话是WWeb客客户端活活动地登登录在服服务器上上的一段段时期。基基于会话话的用户户名加口口令认证证包括基基本的用用户名加加口令认认证没有有的附加加功能。Domino目录中的服务器文档包含启用和控制会话认证的设置。a 定制化HHTMLL登录表表单HTMLL登录表表单允许许用户输输入用户户名和密密码，然然后在整整个会话话期间使使用这个个用户名名和密码码。浏览览器将这这个用户户名和密密码按照照服务器器的字符符集发送送到服务务器；因因此，用用户可以以用不同同于ASSCIII 或Lattin-1的其其它字符符集输入入用户名名和密码码。Domiino提提供了一一个默认认的HTTML表表单，它它在配置置数据库库(DOOMCFFG.NNSF)中创建建和配置置，并且且可以通通过进行行定制来来包含额额外的信信息。b 空闲超时时时间当会话保保持非活活动状态态超过空空闲超时时时间后后，Weeb客户户端将会会从服务务器被注注销。自自动将用用户从服服务器注注销可以以防止其其它人使使用没有有注销WWeb客客户端冒冒充合法法的用户户。用户户也可以以在URRL的后后面输入入?loogouut参数数注销会会话。c 最大活动动会话出于对性性能的考考虑，管管理员可可以调整整服务器器上同时时允许的的最大活活动会话话数。4.3 SSLL认证如果一个个协议上上启用了了SSLL，客户户端必需需对服务务器进行行认证。可可选地，服服务器也也可以对对客户端端进行认认证。DDomiino可可以在一一个个的的协议基基础上建建立SSSL。例例如，可可以在客客户端通通过HTTTP协协议连接接服务器器时使用用SSLL，但通通过LDDAP协协议时不不使用SSSL。4.3.1 服服务器认认证如果连接接到服务务器得IInteerneet客户户端已经经获得了了和服务务器共同同的可信信任的验验证字，那那么Innterrnett客户端端就可以以确信服服务器所所说的。只只有服务务器要求求Intternnet验验证字，客客户端需需要和验验证字建建立信任任，但是是不要求求Intternnet验验证字。要要控制什什么用户户可以看看到安全全得站点点，无论论如何，管管理员必必需管理理每个用用户的用用户名和和口令或或者要求求用户使使用客户户端认证证来连接接。客户端从从验证字字权威机机构（CCA）获获得可信信任的验验证字。CA可以作为一个第三方机构指示服务器的验证字是可以信任的。从Intternnet客客户端使使用SSSL连接接服务器器这个视视图的端端点看上上去，整整个得商商议和认认证的过过程都是是透明的的。例如如，一个个Webb客户端端要建立立SSLL连接，UURL前前缀必须须从htttp:/改改成htttpss:/。SSL连连接建立立后，浏浏览器会会给用户户一个可可视化的的指示例如，在在IE或Nettscaape Navvigaatorr中关闭闭状态的的挂锁会会出现在在屏幕的的左下角角。4.3.2客户户端认证证使用客户户端认证证，Nootess和Domminoo进行更更进一步步的认证证。客户户端认证证使得管管理员认认证Innterrnett 客户户端对服服务器的的访问并并且使用用基于客客户端身身份的访访问控制制。对于于服务器器认证，Internet 客户端使用由CA签署的Internet验证字。对于客户端验证，管理员不需要管理用户口令，因为由CA担保它们的真实性。第五章 安全检检查列表表为Domminoo/Nootess安全请请执行下下面安全全检查：l 更新服务务器软件件请访问IIBM的的Domminoo/Nootess网站，检检索相关关安全补补丁，及及时下载载更新l 启用两层层防火墙墙架构与外部网网络的接接口以及及与内部部网络的的接口部部分使用用防火墙墙，进行行特定模模式IPP包的过过滤、内内部结构构隐藏和和地址过过滤等防防护，在在网络和和应用两两个层次次上提供供安全保保障。l 外部邮件件过滤在中立区区内设置置邮件过过滤服务务器，所所有进出出的邮件件必须通通过该项项邮件过过滤服务务器进行行邮件过过滤。l 防病毒在服务端端和客户户端都安安装防病病毒软件件。l 在Intternnet客客户端和和服务器器间启用用安全通通信启用SSSL加密密Intternnet客客户端和和服务器器间的通通信l 防御拒绝绝服务攻攻击通过在 SMTTP 服服务器上上配置的的邮件限限制参数数阻止邮邮件传输输过程中中发起的的拒绝服服务攻击击。l 防御垃圾圾邮件可以采用用一些第第三方的的软件。l 设置密码码策略确保用户户密码足足够长和和复杂，并并定期更更改l 建立安全全管理措措施n 建立用户户正规操操作手册册和培训训方案，帮帮助并要要求使用用者按正正确的规规则进行行操作；n 制定安全全管理规规章制度度；n 建立系统统管理流流程；n 建立详细细的Inntraanett用户档档案和IInteerneet访问问用户档档案，用用户档案案变更后后需要及及时更新新；n 制定对违违反操作作、故意意造成损损失的惩惩罚措施施；术语表l Domiino目目录，DDomiino Dirrecttoryy，一个个存放用用户、群群组、服服务器和和其它实实体的目目录数据据库。l LDAPP ，Ligghtwweigght Dirrecttoryy Acccesss PProttocool，轻轻量级目目录访问问协议，是是一个访访问目录录信息的的协议集集。基于于X.5500协协议，但但是支持持访问IInteerneet所必必需的TTCP/IP协协议集。l MIMEE,Mulltippurpposee Innterrnett Maail Exttenssionns,多多用途IInteerneet邮件件扩展，允允许在邮邮件消息息中附加加非文本本的文件件。l S/MIIME,Seccuree/MIIME,安全的的MIMME，MMIMEE的安全全版本，允允许用户户发送机机密的和和包含电电子签名名的邮件件。l SSL：Seccuree Soockeets Layyer，安安全套接接层，一一种用于于Intternnet和和inttrannet的的安全协协议，可可以用来来提供在在TCPP上的秘秘密和经经过认证证的通信信。l ACL：acccesss coontrrol lisst，访访问控制制列表，用用来描述述哪个用用户可以以访问数数据库和和什么任任务可以以执行。l ECL：exeecuttionn coontrrol lisst，执执行控制制列表，用用来描述述哪些别别人创建建的公式式和脚本本可以在在你的NNotees工作作站上运运行。l 验证字，certificate，也称作证书，Notes/Domino习惯上叫做验证字。l CA，CCerttifiicatte AAuthhoriity，验验证字(证书)权威机机构。