慧点安全解决方案白皮书.doc

天马行空官方博客：http:/t.qq.com/tmxk_docin ；QQ:1318241189；QQ群：175569632慧点安全解决方案白皮书 二十一世纪是信息化世纪，随着网络技术的发展，特别是Internet的全球化，信息共享的程度进一步提高。数字信息越来越深入的影响着社会生活的各个方面，各种基于互联网技术的网上应用，如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的所有信息对所有人都是公开的，所以网络上的信息安全问题也日益突出。目前政府部门、金融部门、企事业单位和个人都日益重视这一重要问题。大、中型企业如何保护信息安全和网络安全，最大限度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对企业形象的影响，是摆在我们面前亟需妥善解决的一项具有重大战略意义的课题。网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创造了一些全新的工作方式，尤其是因特网的出现更给用户带来了巨大的方便。但另一方面，网络，特别是因特网存在着极大的安全隐患。近年来，因特网上的安全事故屡有发生。连入因特网的用户面临诸多的安全风险：拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在阻碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下，建立安全可靠的网络信息系统是一种必然选择。为此，慧点科技以PKI为核心，配合PMI可以有效地解决信息安全问题，从而确保网上信息的保密性、完整性、防抵赖性，以及信息来源的可靠性，为各企事业单位的信息化建设与实施提供了卓有成效的安全防护。一.慧点产品总体框架慧点科技致力于为企事业单位提供完整的电子政务、电子商务核心解决方案，构建平台统一、系统安全、投资合理、运行高效的系统平台，提供服务于应用集成、数据集成和表现集成的全线产品，为企事业单位信息化构建动态协同的基础设施。慧点科技的办公系统满足企事业单位日常办公的各种业务需要，是政府、企业信息化的基础应用系统；数据交换平台提供各系统间的业务集成，是企事业单位实施全方位信息化和数据共享的基础中间件平台；一站式服务平台实现政府跨部门的网上行政、网上办公和网上审批，是实现阳光行政、高效行政、依法行政的关键平台；统一信息门户提供丰富的内容表现方式、全方位的访问接入方式和个性化服务，是企事业单位信息化的统一入口，是领导决策的信息来源，是政府、企业的形象的集中表现。慧点安全解决方案是慧点全线产品的安全基础。安全中间件作为PKI的主要组成部分是连接CA与各应用系统的桥梁，使得各应用系统与CA之间实现松散连接。安全中间件是以公钥基础设施（PKI）为核心、建立在一系列相关国际安全标准之上的一个开放式应用开发平台，并对PKI基本功能如对称加密与解密、非对称加密与解密、信息摘要、单向散列、数字签名、签名验证、证书从证，以及密钥生成、存储、销毁等进一步扩充，进而形成系统安全服务器接口，和通信安全服务接口。安全中间件可以跨平台操作，为不同操作系统上的应用软件集成提供方便，满足用户对系统伸缩性和可扩展性的要求。在频繁变化的企业计算机环境中，安全中间件能够将不同的应用程序无缝地融合在一起，使用户业务不会因计算环境的改变遭受损失。同时，安全中间件屏蔽了安全技术的复杂性，使设计开发人员无须具备专业的安全知识背景就能够构造高安全性的应用。慧点科技全线产品建立在PKI、PMI、安全中间件的基础上，是一个典型的安全应用集成平台。二.安全需求2.1应用集成和政务集成中的安全需求随着网络技术的发展，特别是Internet的全球化，各种基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。应用的需求越来越复杂，迫切需要各种独立的异构分布式应用之间能够进行协同互操作，传统的分布式构件方案如DCOM和CORBA难以满足应用开发的需要，于是由于XML技术的逐渐成熟，出现了一种新的分布式、松耦合、自描述的分布式组件服务Web Service。因为Web Service具有跨平台、易开发的优良特性，因此在应用系统集成领域和网络服务领域成为了一个广泛应用的标准。慧点的DCI产品框架平台就是这一个完全基于J2EE平台和Web Service的完整的企业应用和电子政务应用的集成平台。但是因为Web Service的开放性和通用性，为了能够保护信息系统的安全，对Web Service的安全性提出了很高的要求。Web Service迫切需要一个完整的安全服务框架，来为上层应用开发提供全面的安全服务。构建Web Service的安全框架的困难在于：web service是非常分布式的，并且关键的安全实现和算法都是由不同提供商实现的。将各分散的业务部门和它们原先的异构的安全系统和架构统一集成到Web Service安全和业务平台上，并且能够以一种信任关系在各部门应用之间共享用户信息、描述和权限是一个摆在面前的巨大挑战。为什么需要安全的可信的Web Services与过去十年中客户/服务器和基于Web的应用一样，XML Web Services给应用开发和信息系统的构建带来了革命性的影响。通过使用标准协议，如XML、SOAP、WSDL和UDDI，应用能够更容易的相互通讯，并且更快、更便宜的进行应用集成，供应链集成，实现分布式的服务模型。XML Web Service接口是基于XML和松耦合的。XML和SOAP允许任意系统间进行相互通讯，无论它是一个Office XP桌面还是一个大型主机系统。随着自动化业务流程集成的越来越普及，越来越多各式各样的系统通过Web Service加入到一个广泛的Web Service集成环境中去，因此出现了以下一些问题：非集中的架构非集中的管理用异构的技术实现多个部门间相互连接多个企业间相互连接天然的对等的架构有可能对Internet开放上面的每一个问题都是对系统安全的严峻挑战。如何跨越多个异构系统在整个环境中实施一个安全策略？如何为一个不了解安全系统的外部提供商提供安全服务？如何监视和审计跨越多个异构系统的安全活动事件?要解决上述问题，仅依赖于传统的防火墙和入侵监测系统是不足够的，即使加上了SSL和VPN也只是解决了数据在网络中安全传输的问题，并没有解决跨系统的认证和访问授权问题，也没能解决面向Internet的服务安全问题。要解决这些问题，需要提供一个完整的基于Web Service的安全和企业应用集成架构。慧点的DCI架构以及产品系列提供了对上述问题的完整解决方案（完整的架构说明请看另文）。2.2 OA产品的安全需求1安全电子邮件电子邮件已经是现在最常使用的文本通讯手段，是OA系统中的核心功能之一。为了保证电子邮件的安全，需要能够使用数字证书对邮件进行数字签名和数字加密。安全电子邮件是在原有的MIME邮件规范的基础上，新增了许多强有力的安全功能。通过基于?S/MIME?协议来实现，可以与各种支持相同协议的常用邮件程序（如OutLook系列、Netscape系列）兼容互通。2电子签章在办公和文档管理中，需要将传统的印章、签名方法同现代的数字签名技术相结合，用电子数据安全来支持用户的传统使用习惯，使整个系统具有更好的易用性，同时又具有完善的安全性。这种结合被称为电子签章。在电子签章系统中需要PKI提供的数字证书和数字签名服务，并结合智能卡或其他身份识别技术，实现各种常用应用文档编写程序的签署插件，并通过OA系统进行公文文档的工作流传递。同时随着Web化办公的兴起，迫切需要用户能够安全的通过浏览器来传递数据，同时能够验明自己的身份，因此需要有能够对网页上用户提交的数据进行数字签名和加密的能力。3数字水印由于多媒体信息很容易被未授权的用户复制，特别是图片性文档，因此采用传统密码方法并不能完全解决以上问题,于是人们开始通过永久性数字水印来解决这一难题。数字水印技术是指用信号处理的方法在数字化的多媒体数据中嵌入隐含的标记。数字水印(Digital Watermarking)广泛应用于数字作品版权保护、隐蔽通讯、电子商务等领域。通过在OA系统中应用数字水印技术，对发给不同用户的需要保密的图片文档使用该用户的印章进行水印加注，日后一旦图片原本泄漏，可以追查图片的泄漏来源，进而得到防范和威慑效果。4防拷屏某些秘密文档需要特定人于特定机器才能进行浏览，为了防止用户用拷屏的手段复制屏幕上已经解密的秘密信息并泄密，需要提供一些辅助的软件工具来阻止用户进行拷屏操作。5安全加密文档在办公系统中，某些秘密文档不允许以解密后的明文文档方式存在，要求必须在存储时，文档必须是加密的。这就需要办公系统中提供一些文档目录的加解密客户端工具。这些加解密的客户端工具软件能够自动加解密整个文件目录。2.3慧点产品方案中解决的安全问题和需求身份认证通常我们在Web应用中使用口令、证书、Kerberos、LDAP等不同验证方式来认证服务的请求者，并且在更高的安全级，要需要请求者通过SmartCard或生物指纹技术进行验证。同样服务的请求者也需要认证服务的提供者。授权/访问控制Web Service很容易进行访问，因此授权并限制外部对该Web Service的访问是相当重要的。不仅要能够控制应用/用户能够访问哪些信息，还要控制应用或用户有权执行哪些操作。此外能够对管理权进行委托，以能够管理大型组织结构的跨应用的访问授权。特别的对于不同域之间，如B2B的场景中，系统间需要能够相互认证并能够交换授权断言。单点登录（Single Sign On）在Web Service环境中，单点登录扮演着非常重要的角色。在Web Service环境中，各式各样的系统间需要相互通讯，但要求每个系统都维护彼此之间的访问控制列表是不实际的。用户也需要更好的体验以不需要繁琐的多次登录和身份验证来使用一个业务过程中涉及到的不同系统。在Web Service的单点登录环境下，还包含这样一些系统，它们有着自己的认证和授权实现，因此需要解决用户的信任状在不同系统间进行映射的问题，并且需要保证一旦一个用户被删除，则该用户将不能访问所有参与的系统。SAML是一个将认证和授权信息以XML格式编码的标准。一个Web Service因此能够从一个SAML兼容的认证和授权服务中请求并收到SAML断言，并据此验证和授权一个服务请求者。SAML可以用来在多个系统间传递信任状，并因此被用于单点登录的方案中。数据加密标准的安全通信协议，如使用SSL来实现端到端的数据加密。但是在Web Service的环境的许多情形下，一个消息的不同部分可能会被多个Web Service消息中介进行处理，因此需要XML Encryption加密标准来允许对一个消息的不同部分进行加密，同时可以不对路由的目的消息头进行加密，以减少敏感的加密性能损失。数字签名和防止否认在系统间消息通讯中，特别是对那些跨越企业或不同行政单位的消息，需要保证消息的完整性、防篡改，还要保证该消息确定来自于所期望的源。这一切都可以通过数字签名来实现。XML Signature标准提供了签名XML文档的一部分的方法，它提供了跨越多个系统的端到端的数据完整性。同时数字签名和时间戳还能防止对已发生交易的否认。重放攻击为了防止网络截听者拦截并拷贝有效的消息，特别是身份验证消息，并在随后的时间重放该消息，以获得非法利益的情况发生，必须实现两次握手的身份验证过程，并保证身份信息数据是机密传输的。这样的验证过程可以是基于SSL的，也可以是自定义的。恶意和拒绝服务攻击Web Service是如此容易进行调用，一般来说Web Service都是通过HTTP和HTTPS协议进行调用的，而大多数防火墙又开放80和443端口以作为标准的Web消息通道。防火墙一般不会检查在通道上传输的SOAP消息的合法性。这就需要Web Service的基础设施是稳固可靠的，不会因为消息中非法的错误数据而出现内部错误，从而拒绝服务，也不会因为不合法的超长消息而导致系统资源耗尽而拒绝服务。入侵检测要整理出所有对庞大的Web Service方法的误用是一个非常困难的任务。通过安全策略和访问控制管理可以减少对系统的非法入侵。要防止系统入侵，需要很好的智能化分析手段，并借助于专家系统来帮助检测恶意的行为。安全系统管理如何对在Web Services环境中各个异构系统的安全配置进行管理，并能够监控其安全状态是一个需要解决的问题。这就需要各个系统能够按照统一的系统管理标准进行远程管理并提供系统的安全状态信息。三.慧点PKI方案 3.1 PKI简介PKI是Public Key Infrastructure (公共密钥体系)的缩写，是一个使用非对称密钥加密原理和相关技术实现的安全基础设施。PKI为组织机构建立和维护一个可信赖的安全环境，为应用系统提供对身份认证、数据保密性和完整性、不可否认等特性的支持，以满足应用系统对安全性的需求。在基于Internet技术的电子政务和电子商务场景下，应用系统对安全性的需求在技术上最终都归于以下四个方面：(1)提供用户身份合法性验证机制身份认证(Authentication)是分布式部署的信息系统首先面临的安全问题。举一个简单的例子，当用户B接收到一封来自用户A的重要文件，那么用户B首先需要确认的是该文件的确是由用户A本人发出的，而不是第三者以用户A的名义发出的，如果这一点无法保证，那么即使能够确认文件本身的数据完整性和保密性，也没有任何意义。在分布式部署的企业信息系统中，用户的交互往往是非面对面的，因此提供一个可靠的身份认证过程将是讨论一切安全措施的前提条件。传统的用户名+密码的身份认证方式在安全性方面存在各种缺陷，应用系统需要采用其它更为有效的身份验证机制。(2)保证敏感数据通过公用网络传输时的保密性保密性(Confidentiality)需求是指应用系统需要能够确保敏感数据只被特定的用户查看。以前面的例子为例，用户A需要保证所发出的文件的内容只有用户B才能查看。很多时候，用户A通过公共网络，比如以电子邮件的形式将文件发给用户B，这时，保证文件的内容不被第三者查看变得尤为重要。(3)保证数据完整性保证数据完整性(Integrity)就是确认我们所接收到的来自某一用户的数据是完整的和未被篡改的。以上面的例子为例，用户B除了需要确认该文件的确是由用户A发出的以外，还需要确认这封文件在传输过程中没有被有意或无意的篡改，即用户B接收到的文件和用户A发出的文件是完全一致的。(4)提供不可否认性支持安全的信息系统常常要求实现用户在系统中的行为的不可否认性(Non-Repudiation)。以前面的例子为例，当用户A发出该文件之后，用户A将再不能否认曾经发出该文件这一事实。在需要用户对自己在系统中的行为承担责任的场合，不可否认性显得非常的重要。PKI为从技术上实现以上需求提供了原理上的保证，我们对此在下一小节中加以简单的介绍。3.2非对称密钥加密技术简介PKI基于非对称密钥加密技术来实现应用系统对身份认证、数据保密性和完整性、不可否认性的支持。理解非对称密钥加密技术的基本原理是理解PKI为什么安全的基本前提，也只有在对PKI的原理有一定程度的了解之后，才能有效的部署和实施PKI。在传统的加密算法中，接收密文的一方使用与加密密钥相同的密钥作为解密密钥，这种加密技术因此被称为对称密钥加密技术。对称密钥加密算法本身是非常安全的，问题出在如何传递加密所使用的密钥上。为了解决这一问题，提出了非对称加密技术。非对称加密在加密时和解密时使用不同的密钥，设为密钥p和q。使用密钥p加密的数据必须使用密钥q才能解密，而使用密钥q加密的数据必须使用密钥p才能解密。但是从密钥p本身计算出密钥q是不可行的。PKI使用了非对称加密技术，其中的一个密钥称为私钥，由证书的持有者妥善保管，必须严格保密，另一个密钥称为公钥，通过CA公布，无须保密。当用户A需要将数据以加密的方式传递给用户B时，用户A使用用户B的公钥加密数据，加密后的数据必须使用用户B的私钥才能解密，因此可以保证数据传输过程的保密性。为了验证数据的真实性，用户A使用自己的私钥对数据的哈希值加密，用户B使用用户A的公钥对哈希值解密，并与接收到的数据的哈希值进行对比。由于私钥不在公共网络上传播，所以PKI有很高的安全性。CA和RA相互配合，负责PKI系统中的数字证书的申请、审核、签发和管理。密钥管理中心与IT系统中的用户管理中心协同工作，负责PKI中的密钥对的生成、备份和恢复。IT系统中的应用系统通过安全中间件使用PKI系统提供的各种安全服务。PKI中的加密服务组件负责驱动系统底层的加密软件和硬件。安全中间件为应用系统隔离了PKI系统中的复杂技术细节，而加密服务组件实现了PKI系统与来自第三方的加密软件和硬件集成的能力。PKI系统中可以配置多套加密服务组件，以驱动不同的加软件和硬件。安全中间件与加密服务组件的组合方式通过安全策略管理中心配置，而不由应用系统控制，因此保证了PKI方案的可扩展能力和可定制能力。3.3.1认证和注册审核机构(CA/RA)认证机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括签发证书、规定证书的有效期和通过发布证书废除列表(CRL)来确保必要时可以废除证书。注册审核机构RA提供用户和CA之间的接口，主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证机构(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。RA接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对用户的业务部门。对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。慧点的PKI方案推荐由一个独立的RA来完成注册管理的任务，通过保证CA和IT系统其余部分的物理隔绝，可以增强应用系统的安全。CA签发的数字证书一般由RA通过LDAP服务器发布，供PKI系统中的用户需要时进行检索和获取。CA/RA服务器使用数据库服务器保存相关的数据。3.3.2密钥管理中心密钥管理也是PKI (主要指CA)中的一个核心问题，主要是指密钥对的安全管理，包括密钥产生、密钥备份和密钥恢复等。密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其他信息则通过RA交于CA中心进行签名，供生成数字证书使用。在一个PKI系统中，维护密钥对的备份至关重要。如果没有这种措施，当密钥丢失后，将意味着加密数据的完全丢失，对于一些重要数据，这将是灾难性的。使用PKI的企业和组织必须能够得到确认：即使密钥丢失，受密钥加密保护的重要信息也必须能够恢复，并且不能让一个独立的个人完全控制最重要的主密钥，否则将引起严重后果。在某些情况下用户可能有多对密钥，至少应该有两对密钥：一对用于加密，一对用于签名。签名密钥不需要备份，因为用于验证签名的公钥(或公钥证书)广泛发布，即使签名私钥丢失，任何用于相应公钥的人都可以对已签名的文档进行验证。PKI系统需要备份用于加密的密钥对，并允许用户进行恢复。因此，企业级的PKI产品至少应该支持用于加密的安全密钥的存储、备份和恢复。密钥的备份一般用口令进行保护，而口令丢失则是管理员最常见的安全疏漏之一。即使口令丢失，使用密钥管理中心提供的密钥恢复功能，也能够让用户在一定条件下恢复该密钥，并设置新的口令。当用户的私钥被泄漏时，用户应该更新私钥。这时用户可以废除证书，产生新的密钥对，申请新的证书。密钥管理中心需要与PKI系统中的其它加密软件系统和硬件设备协同工作。3.3.3安全中间件安全中间件是慧点PKI方案的一个重要组成部分，是PKI系统与应用系统的桥梁。各个应用系统通过安全中间件与底层的PKI服务组件相互作用，协同工作，从而保证整个IT系统的安全性。安全中间件实现以下功能：为应用系统提供一致的安全应用程序编程接口(API)通过加密服务组件驱动不同的CA服务器产品、加密软件和硬件安全中间件与相关组件之间的关系如图3-4所示。安全中间件包括以下部分：安全应用程序编程接口安全应用程序编程接口屏蔽了PKI系统复杂的技术细节，将PKI系统与具体的应用系统有机的集成在一起，从而构成结构良好的企业分布式安全应用环境。当PKI系统中具体的CA服务器、加密软件和加密硬件发生改变时，基于安全中间件的应用系统不需要进行修改，只需要使用安全配置和管理组件对安全中间件的行为重新进行配置即可。安全实体映射组件安全实体映射组件维护IT系统中用户与PKI系统中的安全实体之间的映射关系。当用户采用不同的PKI技术方案时，PKI系统中的安全实体与IT系统中的用户之间的映射关系可能会发生改变，这种情况在当用户采用专用的加密算法和非标准的证书系统时尤其明显。由安全中间件集中维护IT系统中的用户与PKI系统中的安全实体之间的映射关系能够有效的简化应用系统的开发和实施。加密服务组件在安全中间件中，加密服务组件负责驱动PKI中的第三方软件系统和硬件设备，向安全中间件提供用户身份验证、数据加密和解密的底层实现。用户通过安全应用程序编程接口发出的数据加密和解密请求实际上由加密服务组件负责具体的实现。加密服务组件是慧点PKI方案实现与来自第三方的CA服务器产品、加密软件、加密硬件的集成的途径。慧点PKI方案具有集成来自不同厂商的CA服务器产品、加密软件和加密硬件的能力，这种能力是通过部署不同的加密服务组件来实现的。加密服务组件向安全中间件提供支持，在加密服务组件之上的安全中间件为应用系统屏蔽了底层的复杂的PKI组件。安全配置和管理组件安全应用程序编程接口提供了完成独立于具体的PKI系统组件的选型的接口，然后，随着用户对CA服务器及相关软件、加密软件和硬件的选择不同，应用系统在使用PKI系统提供的安全服务也会有所不同。这也即是为什么目前的大多数安全中间件事实上无法实现底层平台无关性的最主要原因。慧点科技的PKI方案通过提供独立于安全应用程序编程接口的安全配置和管理组件来解决这一问题。当用户选择不同的CA服务器及相关软件、加密软件和硬件时，PKI系统仍然需要进行新的配置，这是通过安全配置和管理组件实现的，应用系统不需要进行配置，安全中间件与安全配置和管理组件协同工作，真正的实现了PKI方案的可扩展能力、可定制能力、可开发能力和可集成能力。 四. PMI部分4.1什么是PMIPMI是Privilege Management Infrastructures的英文缩写，意为授权管理基础设施。PMI建立在PKI基础上，与PKI相结合，提供实体身份到应用权限的映射，实现对系统资源访问的统一管理。PKI证明实体身份的合法性；PMI证明实体具有什么权限，能以何种方式访问什么资源。典型的场景中，如下面图41所示，如果某个用户或应用需要在某一个资源上行使某个操作。用户将向实际保护该资源的系统（如一个文件系统或一个Web Server）发出请求，该提供保护的系统称为策略实施点PEP(PolicyEnforcement Point)。随后PEP将基于请求者的属性、所请求的资源和所要行使的操作以及其它信息，来形成一个请求并发送到一个策略决策点PDP(PolicyDecision Point)。在PDP,将查看该请求，并计算将有哪些策略应用到该请求，从而计算得出是否允许访问。决策的结果将会返回给PEP,并由PEP来执行对该访问请求的许可或拒绝。需要注意的是PEP和PDP是逻辑上的概念，它们可以就包含在一个单独的应用中，也可以分布在不同的服务器上。4.2为什么需要PMI1.控制和降低商业渠道扩展时所涉及的费用，并提供更灵活的通道。这就要求无需考虑最终用户的位置（例如客户，供应商，伙伴，或雇员），用户可以动态的使用多种交互方式（浏览器、PDA、无线设备等）来使用系统并获得相同的信息内容和质量。为实现这些不同的渠道和交互方式而采用重复复制框架和应用的做法将大大提高建设和维护费用，并因为一个实际的用户在多个系统中都拥有用户帐号，因此难以识别一个唯一的用户标识，并提供更好的关联服务。2.需要加快对系统的访问并能够安全有效地保护个人信息隐私，从而提高客户对企业的信任3.在基于Internet的方案中，可以通过多个访问点来访问机密信息。如果没有一个适当的安全策略和高级的安全控制，机密信息泄漏和数据保护被破坏的可能性将大大增加。4.需要一个设备和应用独立的灵活而标准的用户标识（identity）管理方案。其实现必须支持多种技术和设备，并具有关键任务级的伸缩性和可靠性。5.需要提高操作效率而不降低安全性，需要提高个性化程度并能有效地进行活动用户管理。4.3 PMI发展的几个阶段根据对身份认证和授权的处理方式的不同，以及技术发展提供的条件，身份验证和授权的实现经历了如下几个阶段，在第一个阶段，即原始阶段，一个用户在多个用户系统中都有各自的账号，并需要分别登录验证。整个企业系统环境中，安全问题往往出现在最薄弱的系统中，由于需要保证和维护多个系统的不同的安全级别，大大增加了维护的费用和成本，并且出现安全漏洞的机会也大大增加。在第二个阶段，为解决后台系统间互操作的问题，需要在各应用系统间建立信任连接。建立该信任连接往往是在应用系统开发时就进行决策。这样的方案一方面受到开发约束，另一方面，存在着比较大的安全隐患。在第三阶段，整个企业已经建立起PMI架构，各应用间包括传统应用能够通过统一的架构服务实现集中的身份验证和授权管理，因此大大降低了管理和维护的成本。同时可以集中的提高所有应用在身份验证和授权管理上的安全性。整个企业环境实现了Single Sign On。在第四个阶段，PMI扩展到了更大的架构，不同企业，不同地域间的应用和用户能够实现相互认证和授权。有多个用户标识管理和验证授权中心存在，相互间能够实现远程委托的身份验证和授权。通过该架构为用户提供了唯一可信的网络身份标识并为企业间的B2B实现提供坚强的安全保证。4.4慧点PMI的安全体系模型在可信赖的Web Service的安全架构中，完全需要集中地对用户的身份进行认证并且能够集中地进行授权管理和授权决策。Single Sign On能提高和加强Web Service参与的各系统的安全，并简化企业中各个异构系统的安全管理和维护。因此实现一个完整的，先进的PMI(Privilege Management Infrastructures)是实现可信赖的Web Service的安全架构的重要基础。慧点的Trusted Web Service PMI就是这样一个先进的PMI架构。在慧点PMI的框架实现中，对于身份验证和授权服务都提供了基于SAML, XACML的Web Service访问方法。慧点的PMI框架还可提供对Legacy Application和Web application的支持，并实现对这些应用的Single Sign On。在慧点的PMI框架的软件产品中，提供1目录服务使用LDAP协议进行访问。提供对系统元数据目录、用户身份和属性信息、用户授权信息、资源和服务信息、组织和角色信息、系统安全策略等重要信息的层次化存储和查询服务。LDAP目录服务可以进行分布式部署，并通过群集实现负载均衡和高可用性2管理服务（提供JMX管理接口）提供对系统元数据目录、用户身份和属性信息、用户授权信息、资源和服务信息、组织和角色信息、系统安全策略等重要信息的创建管理和维护工作。在整个管理服务中，还实现了JavaManagement Extension（Java管理扩展接口），能够和整个慧点安全应用集成框架的顶层管理相集成。3策略服务提供单点登录、身份验证、授权决策、以及会话管理和审核日志服务。在策略服务中，为应用系统的授权决策请求提供决策服务。4Policy Agent Policy Agent充当受保护Web服务器以及应用服务器和应用程序的安全策略代理。它能安装在各种类型的Web Server，如Apache、IIS、Domino等服务器上，截听用户的访问请求，并通过访问Policy Server的策略服务，来确定用户是否具允许该访问。Policy Agent还能为参与Single Sign On场景中的原有的遗留应用提供Single Sign On的支持。在PMI Policy Server的策略服务中包括Single Sign On提供对单点登录的支持身份认证服务通过Plugable方式提供对多种验证机制的身份认证服务授权和访问控制服务判断和决策用户对应用的访问是否具有所需的权限。Session服务维护用户的Session信息和有效期。该Session信息被用于校验Single Sign On令牌。Logging服务将各种安全事件记入日志，并提供对日志的浏览和分析服务。SmartDot PMI的Policy Server通过Policy中ACL来保护一个组织机构的数据和Web资源受到未被授权的访问。如果一个用户想要访问这些资源，它必须先提交起信任状并通过Policy Server的Authentication服务进行身份验证。该用户通过验证后，Policy Server将会根据应用于该用户的一系列policy来确定用户对该资源的访问授权。Policy Server还给用户提供了Single Sign On的能力，通过Session服务和SSOToken来记录和证明用户已经在一个站点/应用登录验证过，该用户在访问其他站点/应用时无需再次认证。在PMI Policy Server的管理服务中包括Policy管理是用来为组织或用户创建和维护访问控制规则（rule）以及策略的，授予或拒绝用户对资源的访问。Identity管理是用来创建和维护用户，角色，用户组，组织和组织单元的。Config管理用来配置和管理Policy Server本身的元数据的。Resource管理是用来注册维护应用服务信息，以便在第一层能够控制用户对应用的访问。同时Resource还能够管理和维护某些需要保护的资源（如Web页面）。在慧点PMI中，身份标识，属性，权限等信息都在一个基于策略的可信WebService网络框架中维护。通过提供PMI的软件框架，来管理这些信息的生命周期以及其属性，权限的使用。通过PMI，能提供对分离的网络应用的单点登录能力，并保证在用户管理中，用户和身份的一对一关系。身份管理和目录服务、策略控制、访问管理一起构成了慧点的可信的基于Web Service的PMI框架基础，并且与PKI安全平台一起，通过提供数字证书、身份识别、基于角色的授权服务构成PMI的服务体系。慧点PMI还可与外部的基于Liberty标准的身份服务互操作。从而建立联邦方式的网络身份管理服务4.5慧点PMI的Single Sign On实现Single Sing On(单点登录)就是要实现通过一次登录自动访问的所有授权的应用软件系统，从而提高整体安全性，而且无需记忆多种登录过程、ID或口令。通过单点登录能即时访问最终用户执行任务所需的资源，从而提高生产效率。从管理角度看，Single Sing-on有助于减少口令重复设置请求，使技术人员有时间去集中精力执行更重要的任务。4.5.1为什么需要Single Sign On口令越多，安全风险越大在当今分布式计算环境中，用户每天都要登录到许多不同的应用软件和系绕，包括电子邮件、网络、数据库和Web服务器。每个系统一般都要求遵照一定的安全程序，即要求用户输入用户ID和口令。用户漫游的系统越多，出错的可能性就越大，安全性相应地也就越低。如果用户忘记了口令，就不能执行任务，从而降低生产效率。最终用户必须请求管理员帮助，在重新获得口令之前只能等待，这样造成了系统和安全管理员资源的浪费。为牢记登录信息，用户一般会简化密码，为多个系统使用相同的口令，或创建一个口令?列表?a?a这是会危及公司信息保密性的几种常用做法。而通过Single Sign On，用户可以设置并仅需要记住一个复杂的口令，并且可以根据策略可以定期更换该口令，从而提高了用户口令的安全性。需要简化用户访问借助慧点PMI Single Sing-On，用户只需一个用户ID和口令。一旦认证结束，用户可以立即访问所有被授权的系统和应用软件。在此条件下，管理员无需修改或干涉用户登录就能实施希望得到的安全控制。需要简化用户帐号和口令的系统管理如果没有使用Single Sign On，则各个系统将存在各自独立的用户和授权管理。这样就出现了在企业中，如果增加一个用户，则每个应用系统都要添加；删除一个用户，则每个应用系统都要删除。随着这些独立应用系统的增加，用户帐号管理将会带来很大的管理负担，并由此可能造成系统的安全漏洞。并且由于系统间的用户信息没有办法相互共享或信任，一个系统的用户无法直接访问另一个系统。使用Single Sign On可以集中地提高整个系统的安全性可以对Single Sign On定义多个认证和安全级别，通过配置或用户访问敏感应用时，Single Sign On会要求用户通过严格的认证机制进行认证，如基于智能卡、指纹识别等，系统能根据被保护资源的密级制定和加强登录过程并结合数字证书对用户的身份进行有效的验证。这样就统一提高了原本只通过简单用户名和口令方式进行用户验证的安全性弱的应用的安全性，并为整个系统的应用统一提供了可靠的安全服务，而不需要每个应用程序单独开发复杂的高难度的登录和验证程序。慧点PMI Single Sing On支持多种第三方用户认证和应用授权方法。4.5.2 Single Sign On的实现慧点PMI Single Sign On采用了灵活的可插式（Plugable）的框架，支持多种单点登录的实现方式，可根据系统实施中的应用类型和应用分布的实际情况来灵活的进行部署和使用。4.5.2.1访问方式慧点PMI Single Sign On支持基于统一认证方式的Single Sign On和基于代理的认证方式的Single Sign On:对于统一认证方式的Single Sign On存在一个集中的用户登录域，用户在该域上登录，验证通过后，系统将会生成一个访问令牌。在随后的访问中，这个访问令牌将会直接传递到要访问的应用系统中。应用系统信任该令牌并根据该令牌提供的用户信息决策用户的授权。对参加统一认证方式的应用系统，称这些应用系统为SingleSign On的Partner（伙伴）。要成为Single Sign On的Partner，应用系统需要使用慧点PMI的客户端组件或能够处理SAML。因此对于Partner,一般都是新开发的应用或能够进行改造的应用。可以通过Java GSS-API使用Kerberos来实现统一认证方式的Single SignOn。基于代理访问方式的Single Sign On在一个基于代理Single Sign On中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如,它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理也能被放在服务器上面，在服务器的认证系统和客户端认证方法之间充当一个翻译。用户单点登录提供的认证信息被代理用来获取相应应用程序的映射用户认证和授权信息。当用户通过Web Portal访问非Partner的应用系统时，可以通过Portal提供的Proxy Portlet来自动地登录这些应用系统，并通过Proxy Portlet访问这些应用系统。4.5.2.2 JAAS(Java Authentication and Authorization Service)慧点PMI使用JAAS来为java应用实现Single Sign On。JAAS实现了一个Plugable的验证和授权框架。能够将现有的安全服务作为插件插入。因为JAAS对于授权的检查构成了一个检查堆栈，因此通过JAAS的验证和授权框架可以全面的保护Java应用程序的每一部分，而不仅仅是只能在应用程序的用户访问接口上。JAAS支持层次化的，基于角色的访问控制，并全面支持Java2的权限模型。利用LDAP方式的JAAS实现，能够集中的管理用户以及访问控制策略，并能够有很好的伸缩性支持数量庞大的用户。4.5.2.3 SAML(Security Assertion Markup Language)慧点PMI还实现了基于SAML和WebService的Single Sign On服务，通过使用WebService封装了底层的安全架构、实现、部署和维护都很容易。由于提供了基于SAML的WebService服务，因此慧点的PMI很容易与第三方的站点应用程序实现互操作。4.5.2.4 Single Sign On的Session管理在慧点的PMI的Session管理中，支持对分离Session，活动Session，以及Single Sign Off。Single Sign On Portal和关联站点之间的session是分离的每个参与Single Sign On的关联站点都有自己的休闲超时和最大超时值。当超过最大超时值，用户将被迫再次登录以访问那个站点。Single Sign On, Portal上的活动session该模型允许关联站点的sessions可以续借（renew），只要门户上的session还活动。如果一个关联站点的session超时，并且又收到了该用户的一个后继请求，关联站点上的安全代理将会发送一个消息给门户。如果门户仍然有该用户的活动的session，关联站点上的该session将会被重新激活。Single Sign Off在该模型中，当用户从门户注销，session将中止，并且该用户将无法访问其他属于Single Sign ON圈子内的其他站点。同样的，当用户从一个关联站点注销，关联站点上的安全代里将会发送一条消息到门户，并且涉及到本次Single Sign ON圈子的关联站点的session将会被终止。4.5.2.5 Single Sign On的Event Notification关联站点能够通知Portal该站点上某个特定的URL正在被访问。该信息可用来在门户上记录用户在关联站点上的活动或驱动门户的相关业务逻辑。4.5.2.6提供对传统或独立应用的用户帐号管理的集成慧点的PMI中提供了传统或独立应用的用户帐号管理的集成能力。通过用户帐号管理代理（对于用关系数据库来管理和存储用户帐号信息的应用系统，可以使用慧点的数据交换平台服务来快速实现用户帐号管理代理的功能），系统管理员只需要在Portal上进行一次的用户添加或删除操作，就可以自动地在外部应用系统上添加/删除相关的用户。五.方案的建设步骤和实施 5.1 PKI方案的建设和实施PKI方案的建设和实施一般包含三个阶段：第一阶段是制定负责机构的实际情况的、易于操作的安全策略；第二阶段是完成PKI基础设施的部署；第三阶段是完成与PKI协同工作的应用系统的部署和改造。5.1.1制定安全策略大多数机构在安全方面所犯的最大的错误就是没能建立良好的策略和实施步骤，也没有采取保证这些策略得以执行的措施。美国麻省的Forrester研究中心在1999年1月的一份报告中指出：“公司要避免复杂，建立简单的策略，使用用户看不到的技术。”建立简单的策略这一点非常的重要。因为如果策略对于执行它的人显得过于的繁琐和复杂，那么这些策略本身就非常可能不会得到有效的贯彻。来自纽约一家开发PKI服务的公司?a?aIdetrus公司的Paul Donfried指出：“公司有的时候需要寻求平衡和折衷。不能制定让每个人都有管理员的权限，也不能把什么都设成密码，那样的话，用户会把密码写下来，就更不安全了。必须制定合适的策略和实施步骤，否则制定了人们也不会执行。”制定一个简单的策略并不是一件简单的事情，因为制定安全策略需要考虑太多的问题。对于一个需要建设PKI系统的机构来说，需要评估企业的所有工作流程中存在安全隐患和危机的每一个环节，寻找对应的解决途径，这一工作可以从两个方面展开。一方面，企业和机构需要来自提供专业的PKI服务公司的技术咨询，一起分析机构所面临的潜在的安全性问题，收集和汇总机构中各部门的安全性需求。对这些安全性问题和需求进行评估，指出解决技术和管理途径。很多安全性问题的解决并不是依赖于技术手段，而是依赖于管理手段。制定安全策略时需要针对不同的安全性问题，指出具体的解决问题的方法。另一方面，制定安全策略需要机构中每一个成员的参与，把相关领域的人员都召集起来，一起制定策略的实施步骤，这样执行和实施这个策略的可能性才会高。完全来自于管理层的安全策略常常由于得不到具体的执行人员的理解和支持而变得形同虚设，这是很多建立了PKI系统的机构正在面临的尴尬处境。5.1.2 PKI基础设施的部署CA及相关组件的部署是PKI系统基础设施的部署的一个核心内容。机构需要用户自身对安全性的需要，首先对CA服务器及相关软件进行选择，完成CA及相关服务器的部署，进一步的制定证书的申请、存储和撤销流程。5.1.2.1 CA产品的选择CA的部署中的一个重要内容是CA服务器软件的选择。根据用户实际情况的不同，对CA服务器软件的选择有着相应的变化。慧点科技的PKI方案可以很好的与多种CA服务器软件协同部署，能够根据用户自身的需求进行定制。对于基于Microsoft Windows 2000部署企业的IT系统的中小企业，可以考虑选用Microsoft Certificate Services。Microsoft Certificate Services与Windows2000和Active Directory紧密集成，无需作为一个单独的软件系统购买和维护，管理、配置和使用都非常简单，对于希望建立一个低成本的、易于维护的PKI环境的用户具有相当的吸引力。在Linux操作系统下运行应用系统的中小企业用户可以考虑选用SmartdotCA。Smartdot CA在开放源码项目OpenCA的基础上对易用性和可维护性进行了增强。Smartdot CA可以采用RA和CA分离部署的方式，提供了较高的安全性支持。对应用系统安全有更高的要求的用户可以选用其它的第三方CA产品。在慧点科技的PKI方案中，用户可以根据自身的需要选择不同的CA产品。具有对多种PKI产品的集成和协作能力，是慧点科技的PKI方案与其它厂商提供的PKI方案相比的一个显著特点。5.1.2.2认证机构的部署认证机构的部署是PKI方案的实施的核心。在基于PKI的方案中，所有与用户的身份验证有关的过程都需要在认证机构的参与下完成。认证机构的部署包括：(1) RA服务器的部署RA服务器负责接收和审核用户的证书申请请求。(2) CA服务器的部署CA服务器负责证书的签发和撤销。(3) LDAP服务器的部署安全中间件和PKI系统中的其它组件通过LDAP服务器获取应用系统中所需的用户证书。(4)数据库服务器和密钥管理服务器的部署数据库服务器用于存储和管理认证机构的各类数据，包括用户的密钥、用户信息、证书、日志及统计信息等。密钥管理服务器与数据库服务器协同工作，负责完成用户的密钥对的产生、备份和恢复等。5.1.2.3证书的存储数字证书作为一种电子数据格式，可以以多种方式存储，不同的存储方式在安全性、易用性等多方面存在不同，用户可以根据自身对安全性的需要进行选用。常见的用户证书存储方式包括以下几种：(1)使用IC卡存储用户证书(2)使用USB设备存储用户证书(3)使用磁盘文件存储用户证书用户在PKI系统中的私钥一般也随用户证书保存在IC卡、USB设备或磁盘文件。保存在IC卡或USB设备中的私钥使用PIN码保护。当用户重试超过一定次数后，IC卡或USB设备将被锁定，需要由管理员解锁后才能继续使用，因此保护了用户的私钥的安全性。在磁盘文件中存储的用户证书一般可以设置密码保护，如果磁盘文件被第三者获取，存在用暴力法破解的可能性，因此只能使用在对安全性要求不高的场合。在这种情况下，使用复杂的密码能够在一定程度提高用户的私钥的安全性，但是也造成了用户使用上的不便。5.1.2.4证书的申请和撤销证书的申请一般有两种方式：一种是在线申请，另外一种是离线申请。在线申请就是通过浏览器或专门的应用系统通过在线的方式申请数字证书，这种方式主要用于申请普通用户的证书或申请测试证书。离线方式一般使用人工的方式到证书颁发机构办理证书申请手续，通过审核后获取数字证书，这种方式主要用于比较正式和重要的场合。证书申请的流程如下：(1)用户申请用户在申请证书时，先生成公钥和私钥对，将私钥以特定的方式保存，将公钥和个人信息提交到注册机构服务器。(2)注册机构审核用户提交公钥和个人信息后，与注册机构人员联系，证明自己的真实身份，注册机构如果同意用户的证书申请请求，对用户的证书申请添加注册机构的数字签名。(3) CA发行证书注册机构RA通过硬拷贝的方式向CA用户的证书申请和注册机构的数字签名，如果数字签名验证通过，CA操作员同意用户的证书申请，签发证书，然后由CA将证书输出。(4)注册机构转发证书注册机构RA操作员将CA签发的证书输出到LDAP服务器，以提供用户证书浏览服务，最后通知用户以特定的方式获取用户证书。(5)用户获取证书用户通过指定的方式获取由CA签发的证书，完成证书申请的流程。用于标识用户身份的证书可能会因为多种原因失效，在此情况下需要执行证书撤销的操作：(1)用户丢失或泄漏与证书对应的私钥(2)用户信息变动如果用户的工作岗位等发生变动导致用户在机构中的角色和职责发生变化，则可能会需要撤销用户所持有的数字证书，颁发新的符合用户身份的数字证书。(3)用户不可信赖如果用户在信息系统中的行为与其在机构中的角色和职责不符，将可能会导致用户在安全的信息系统中不可信赖。认证机构可能会需要撤销用户所持有的数字证书。证书撤销的流程如下：(1)用户向注册审核机构提出证书撤销申请。(2)注册审核机构同意证书撤销申请。(3) CA更新CRL，然后将CRL以多种格式输出。(4)注册审核机构转发