數(shù)據(jù)傳輸安全解決方案.doc

數(shù)據(jù)傳輸安全解決方案?jìng)鬏敯踩鉀Q方案1一.總體框架2二.安全需求32.1 應(yīng)用集成和政務(wù)集成中的安全需求32.2 OA 產(chǎn)品的安全需求41安全電子郵件42電子簽章53數(shù)字水印54防拷屏55安全加密文檔52.3方案中解決的安全問(wèn)題和需求6三 PKI 方案73.1 PKI 簡(jiǎn)介7(1) 提供用戶身份合法性驗(yàn)證機(jī)制7(2) 保證敏感數(shù)據(jù)通過(guò)公用網(wǎng)絡(luò)傳輸時(shí)的保密性8(3) 保證數(shù)據(jù)完整性8(4) 提供不可否認(rèn)性支持83.2 非對(duì)稱密鑰加密技術(shù)簡(jiǎn)介83.3 PKI 的組成部分93.3.1 認(rèn)證和注冊(cè)審核機(jī)構(gòu)(CA/RA)103.3.2 密鑰管理中心113.3.3 安全中間件12四. PMI 部分134.1 什么是PMI134.2 為什么需要PMI144.3 PMI 發(fā)展的幾個(gè)階段154.4 PMI 的安全體系模型16二十一世紀(jì)是信息化世紀(jì)，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet 的全球化，信息共享的程度進(jìn)一步提高。數(shù)字信息越來(lái)越深入的影響著社會(huì)生活的各個(gè)方面，各種基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)上應(yīng)用，如電子政務(wù)、電子商務(wù)等也得到了迅猛發(fā)展。網(wǎng)絡(luò)正逐步成為人們工作、生活中不可分割的一部分。由于互聯(lián)網(wǎng)的開(kāi)放性和通用性，網(wǎng)上的所有信息對(duì)所有人都是公開(kāi)的，所以網(wǎng)絡(luò)上的信息安全問(wèn)題也日益突出。目前政府部門、金融部門、企事業(yè)單位和個(gè)人都日益重視這一重要問(wèn)題。如何保護(hù)信息安全和網(wǎng)絡(luò)安全，最大限度的減少或避免因信息泄密、破壞等安全問(wèn)題所造成的經(jīng)濟(jì)損失及對(duì)企業(yè)形象的影響，是擺在我們面前亟需妥善解決的一項(xiàng)具有重大戰(zhàn)略意義的課題。網(wǎng)絡(luò)的飛速發(fā)展推動(dòng)社會(huì)的發(fā)展，大批用戶借助網(wǎng)絡(luò)極大地提高了工作效率，創(chuàng)造了一些全新的工作方式，尤其是因特網(wǎng)的出現(xiàn)更給用戶帶來(lái)了巨大的方便。但另一方面，網(wǎng)絡(luò)，特別是因特網(wǎng)存在著極大的安全隱患。近年來(lái)，因特網(wǎng)上的安全事故屢有發(fā)生。連入因特網(wǎng)的用戶面臨諸多的安全風(fēng)險(xiǎn)：拒絕服務(wù)、信息泄密、信息篡改、資源盜用、聲譽(yù)損害等等。類似的風(fēng)險(xiǎn)也存在于其它的互聯(lián)網(wǎng)絡(luò)中。這些安全風(fēng)險(xiǎn)的存在阻礙了計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用與發(fā)展。在網(wǎng)絡(luò)化、信息化的進(jìn)程不可逆轉(zhuǎn)的形勢(shì)下，建立安全可靠的網(wǎng)絡(luò)信息系統(tǒng)是一種必然選擇。一.總體框架構(gòu)建平臺(tái)統(tǒng)一、系統(tǒng)安全、投資合理、運(yùn)行高效的系統(tǒng)平臺(tái)，提供服務(wù)于應(yīng)用集成、數(shù)據(jù)集成和表現(xiàn)集成的全線產(chǎn)品，為企事業(yè)單位信息化構(gòu)建動(dòng)態(tài)協(xié)同的基礎(chǔ)設(shè)施。圖11產(chǎn)品框圖辦公系統(tǒng)滿足企事業(yè)單位日常辦公的各種業(yè)務(wù)需要，是政府、企業(yè)信息化的基礎(chǔ)應(yīng)用系統(tǒng)；數(shù)據(jù)交換平臺(tái)提供各系統(tǒng)間的業(yè)務(wù)集成，是企事業(yè)單位實(shí)施全方位信息化和數(shù)據(jù)共享的基礎(chǔ)中間件平臺(tái)；一站式服務(wù)平臺(tái)實(shí)現(xiàn)政府跨部門的網(wǎng)上行政、網(wǎng)上辦公和網(wǎng)上審批，是實(shí)現(xiàn)陽(yáng)光行政、高效行政、依法行政的關(guān)鍵平臺(tái)；統(tǒng)一信息門戶提供豐富的內(nèi)容表現(xiàn)方式、全方位的訪問(wèn)接入方式和個(gè)性化服務(wù)，是企事業(yè)單位信息化的統(tǒng)一入口，是領(lǐng)導(dǎo)決策的信息來(lái)源，是政府、企業(yè)的形象的集中表現(xiàn)。安全中間件作為PKI的主要組成部分是連接CA與各應(yīng)用系統(tǒng)的橋梁，使得各應(yīng)用系統(tǒng)與CA之間實(shí)現(xiàn)松散連接。安全中間件是以公鑰基礎(chǔ)設(shè)施（PKI）為核心、建立在一系列相關(guān)國(guó)際安全標(biāo)準(zhǔn)之上的一個(gè)開(kāi)放式應(yīng)用開(kāi)發(fā)平臺(tái)，并對(duì)PKI基本功能如對(duì)稱加密與解密、非對(duì)稱加密與解密、信息摘要、單向散列、數(shù)字簽名、簽名驗(yàn)證、證書從證，以及密鑰生成、存儲(chǔ)、銷毀等進(jìn)一步擴(kuò)充，進(jìn)而形成系統(tǒng)安全服務(wù)器接口，和通信安全服務(wù)接口。安全中間件可以跨平臺(tái)操作，為不同操作系統(tǒng)上的應(yīng)用軟件集成提供方便，滿足用戶對(duì)系統(tǒng)伸縮性和可擴(kuò)展性的要求。在頻繁變化的企業(yè)計(jì)算機(jī)環(huán)境中，安全中間件能夠?qū)⒉煌膽?yīng)用程序無(wú)縫地融合在一起，使用戶業(yè)務(wù)不會(huì)因計(jì)算環(huán)境的改變?cè)馐軗p失。同時(shí)，安全中間件屏蔽了安全技術(shù)的復(fù)雜性，使設(shè)計(jì)開(kāi)發(fā)人員無(wú)須具備專業(yè)的安全知識(shí)背景就能夠構(gòu)造高安全性的應(yīng)用。二.安全需求2.1 應(yīng)用集成和政務(wù)集成中的安全需求隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet 的全球化，各種基于互聯(lián)網(wǎng)技術(shù)的網(wǎng)上應(yīng)用，如電子政務(wù)、電子商務(wù)等得到了迅猛發(fā)展。應(yīng)用的需求越來(lái)越復(fù)雜，迫切需要各種獨(dú)立的異構(gòu)分布式應(yīng)用之間能夠進(jìn)行協(xié)同互操作，傳統(tǒng)的分布式構(gòu)件方案如DCOM 和CORBA 難以滿足應(yīng)用開(kāi)發(fā)的需要，于是由于XML 技術(shù)的逐漸成熟，出現(xiàn)了一種新的分布式、松耦合、自描述的分布式組件服務(wù)Web Service 。因?yàn)閃eb Service 具有跨平臺(tái)、易開(kāi)發(fā)的優(yōu)良特性，因此在應(yīng)用系統(tǒng)集成領(lǐng)域和網(wǎng)絡(luò)服務(wù)領(lǐng)域成為了一個(gè)廣泛應(yīng)用的標(biāo)準(zhǔn)。DCI 產(chǎn)品框架平臺(tái)就是這樣一個(gè)完全基于J2EE 平臺(tái)和Web Service 的完整的企業(yè)應(yīng)用和電子政務(wù)應(yīng)用的集成平臺(tái)。但是因?yàn)閃eb Service 的開(kāi)放性和通用性，為了能夠保護(hù)信息系統(tǒng)的安全，對(duì)Web Service 的安全性提出了很高的要求。Web Service 迫切需要一個(gè)完整的安全服務(wù)框架，來(lái)為上層應(yīng)用開(kāi)發(fā)提供全面的安全服務(wù)。構(gòu)建Web Service 的安全框架的困難在于：web service 是非常分布式的，并且關(guān)鍵的安全實(shí)現(xiàn)和算法都是由不同提供商實(shí)現(xiàn)的。將各分散的業(yè)務(wù)部門和它們?cè)鹊漠悩?gòu)的安全系統(tǒng)和架構(gòu)統(tǒng)一集成到Web Service 安全和業(yè)務(wù)平臺(tái)上，并且能夠以一種信任關(guān)系在各部門應(yīng)用之間共享用戶信息、描述和權(quán)限是一個(gè)擺在面前的巨大挑戰(zhàn)。為什么需要安全的可信的Web Services 與過(guò)去十年中客戶/服務(wù)器和基于Web 的應(yīng)用一樣，XML Web Services 給應(yīng)用開(kāi)發(fā)和信息系統(tǒng)的構(gòu)建帶來(lái)了革命性的影響。通過(guò)使用標(biāo)準(zhǔn)協(xié)議，如XML、SOAP、WSDL 和UDDI，應(yīng)用能夠更容易的相互通訊，并且更快、更便宜的進(jìn)行應(yīng)用集成，供應(yīng)鏈集成，實(shí)現(xiàn)分布式的服務(wù)模型。XML Web Service 接口是基于XML 和松耦合的。XML 和SOAP 允許任意系統(tǒng)間進(jìn)行相互通訊，無(wú)論它是一個(gè)Office XP 桌面還是一個(gè)大型主機(jī)系統(tǒng)。隨著自動(dòng)化業(yè)務(wù)流程集成的越來(lái)越普及，越來(lái)越多各式各樣的系統(tǒng)通過(guò)Web Service 加入到一個(gè)廣泛的Web Service 集成環(huán)境中去，因此出現(xiàn)了以下一些問(wèn)題： 非集中的架構(gòu) 非集中的管理 用異構(gòu)的技術(shù)實(shí)現(xiàn) 多個(gè)部門間相互連接 多個(gè)企業(yè)間相互連接 天然的對(duì)等的架構(gòu) 有可能對(duì)Internet 開(kāi)放上面的每一個(gè)問(wèn)題都是對(duì)系統(tǒng)安全的嚴(yán)峻挑戰(zhàn)。如何跨越多個(gè)異構(gòu)系統(tǒng)在整個(gè)環(huán)境中實(shí)施一個(gè)安全策略？如何為一個(gè)不了解安全系統(tǒng)的外部提供商提供安全服務(wù)？如何監(jiān)視和審計(jì)跨越多個(gè)異構(gòu)系統(tǒng)的安全活動(dòng)事件? 要解決上述問(wèn)題，僅依賴于傳統(tǒng)的防火墻和入侵監(jiān)測(cè)系統(tǒng)是不足夠的，即使加上了SSL 和VPN 也只是解決了數(shù)據(jù)在網(wǎng)絡(luò)中安全傳輸?shù)膯?wèn)題，并沒(méi)有解決跨系統(tǒng)的認(rèn)證和訪問(wèn)授權(quán)問(wèn)題，也沒(méi)能解決面向Internet 的服務(wù)安全問(wèn)題。要解決這些問(wèn)題，需要提供一個(gè)完整的基于Web Service 的安全和企業(yè)應(yīng)用集成架構(gòu)。DCI 架構(gòu)以及產(chǎn)品系列提供了對(duì)上述問(wèn)題的完整解決方案（完整的架構(gòu)說(shuō)明請(qǐng)看另文）。2.2 OA 產(chǎn)品的安全需求1安全電子郵件電子郵件已經(jīng)是現(xiàn)在最常使用的文本通訊手段，是OA 系統(tǒng)中的核心功能之一。為了保證電子郵件的安全，需要能夠使用數(shù)字證書對(duì)郵件進(jìn)行數(shù)字簽名和數(shù)字加密。安全電子郵件是在原有的 MIME 郵件規(guī)范的基礎(chǔ)上，新增了許多強(qiáng)有力的安全功能。通過(guò)基于“S/MIME” 協(xié)議來(lái)實(shí)現(xiàn)，可以與各種支持相同協(xié)議的常用郵件程序（如OutLook 系列、Netscape 系列）兼容互通。2電子簽章在辦公和文檔管理中，需要將傳統(tǒng)的印章、簽名方法同現(xiàn)代的數(shù)字簽名技術(shù)相結(jié)合，用電子數(shù)據(jù)安全來(lái)支持用戶的傳統(tǒng)使用習(xí)慣，使整個(gè)系統(tǒng)具有更好的易用性，同時(shí)又具有完善的安全性。這種結(jié)合被稱為電子簽章。在電子簽章系統(tǒng)中需要PKI 提供的數(shù)字證書和數(shù)字簽名服務(wù)，并結(jié)合智能卡或其他身份識(shí)別技術(shù)，實(shí)現(xiàn)各種常用應(yīng)用文檔編寫程序的簽署插件，并通過(guò)OA 系統(tǒng)進(jìn)行公文文檔的工作流傳遞。同時(shí)隨著Web 化辦公的興起，迫切需要用戶能夠安全的通過(guò)瀏覽器來(lái)傳遞數(shù)據(jù)，同時(shí)能夠驗(yàn)明自己的身份，因此需要有能夠?qū)W(wǎng)頁(yè)上用戶提交的數(shù)據(jù)進(jìn)行數(shù)字簽名和加密的能力。3數(shù)字水印由于多媒體信息很容易被未授權(quán)的用戶復(fù)制，特別是圖片性文檔，因此采用傳統(tǒng)密碼方法并不能完全解決以上問(wèn)題,于是人們開(kāi)始通過(guò)永久性數(shù)字水印來(lái)解決這一難題。數(shù)字水印技術(shù)是指用信號(hào)處理的方法在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱含的標(biāo)記。數(shù)字水印(Digital Watermarking)廣泛應(yīng)用于數(shù)字作品版權(quán)保護(hù)、隱蔽通訊、電子商務(wù)等領(lǐng)域。通過(guò)在OA 系統(tǒng)中應(yīng)用數(shù)字水印技術(shù)，對(duì)發(fā)給不同用戶的需要保密的圖片文檔使用該用戶的印章進(jìn)行水印加注，日后一旦圖片原本泄漏，可以追查圖片的泄漏來(lái)源，進(jìn)而得到防范和威懾效果。4防拷屏某些秘密文檔需要特定人于特定機(jī)器才能進(jìn)行瀏覽，為了防止用戶用拷屏的手段復(fù)制屏幕上已經(jīng)解密的秘密信息并泄密，需要提供一些輔助的軟件工具來(lái)阻止用戶進(jìn)行拷屏操作。5安全加密文檔在辦公系統(tǒng)中，某些秘密文檔不允許以解密后的明文文檔方式存在，要求必須在存儲(chǔ)時(shí)，文檔必須是加密的。這就需要辦公系統(tǒng)中提供一些文檔目錄的加解密客戶端工具。這些加解密的客戶端工具軟件能夠自動(dòng)加解密整個(gè)文件目錄。2.3方案中解決的安全問(wèn)題和需求 身份認(rèn)證通常我們?cè)赪eb 應(yīng)用中使用口令、證書、Kerberos、LDAP 等不同驗(yàn)證方式來(lái)認(rèn)證服務(wù)的請(qǐng)求者，并且在更高的安全級(jí)，要需要請(qǐng)求者通過(guò)SmartCard 或生物指紋技術(shù)進(jìn)行驗(yàn)證。同樣服務(wù)的請(qǐng)求者也需要認(rèn)證服務(wù)的提供者。 授權(quán)/訪問(wèn)控制Web Service 很容易進(jìn)行訪問(wèn)，因此授權(quán)并限制外部對(duì)該Web Service 的訪問(wèn)是相當(dāng)重要的。不僅要能夠控制應(yīng)用/用戶能夠訪問(wèn)哪些信息，還要控制應(yīng)用或用戶有權(quán)執(zhí)行哪些操作。此外能夠?qū)芾頇?quán)進(jìn)行委托，以能夠管理大型組織結(jié)構(gòu)的跨應(yīng)用的訪問(wèn)授權(quán)。特別的對(duì)于不同域之間，如B2B 的場(chǎng)景中，系統(tǒng)間需要能夠相互認(rèn)證并能夠交換授權(quán)斷言。 單點(diǎn)登錄（Single Sign On）在Web Service 環(huán)境中，單點(diǎn)登錄扮演著非常重要的角色。在Web Service 環(huán)境中，各式各樣的系統(tǒng)間需要相互通訊，但要求每個(gè)系統(tǒng)都維護(hù)彼此之間的訪問(wèn)控制列表是不實(shí)際的。用戶也需要更好的體驗(yàn)以不需要繁瑣的多次登錄和身份驗(yàn)證來(lái)使用一個(gè)業(yè)務(wù)過(guò)程中涉及到的不同系統(tǒng)。在Web Service 的單點(diǎn)登錄環(huán)境下，還包含這樣一些系統(tǒng)，它們有著自己的認(rèn)證和授權(quán)實(shí)現(xiàn)，因此需要解決用戶的信任狀在不同系統(tǒng)間進(jìn)行映射的問(wèn)題，并且需要保證一旦一個(gè)用戶被刪除，則該用戶將不能訪問(wèn)所有參與的系統(tǒng)。SAML 是一個(gè)將認(rèn)證和授權(quán)信息以XML 格式編碼的標(biāo)準(zhǔn)。一個(gè)Web Service 因此能夠從一個(gè)SAML 兼容的認(rèn)證和授權(quán)服務(wù)中請(qǐng)求并收到SAML 斷言，并據(jù)此驗(yàn)證和授權(quán)一個(gè)服務(wù)請(qǐng)求者。SAML 可以用來(lái)在多個(gè)系統(tǒng)間傳遞信任狀，并因此被用于單點(diǎn)登錄的方案中。 數(shù)據(jù)加密標(biāo)準(zhǔn)的安全通信協(xié)議，如使用SSL 來(lái)實(shí)現(xiàn)端到端的數(shù)據(jù)加密。但是在Web Service 的環(huán)境的許多情形下，一個(gè)消息的不同部分可能會(huì)被多個(gè)Web Service 消息中介進(jìn)行處理，因此需要XML Encryption 加密標(biāo)準(zhǔn)來(lái)允許對(duì)一個(gè)消息的不同部分進(jìn)行加密，同時(shí)可以不對(duì)路由的目的消息頭進(jìn)行加密，以減少敏感的加密性能損失。 數(shù)字簽名和防止否認(rèn)在系統(tǒng)間消息通訊中，特別是對(duì)那些跨越企業(yè)或不同行政單位的消息，需要保證消息的完整性、防篡改，還要保證該消息確定來(lái)自于所期望的源。這一切都可以通過(guò)數(shù)字簽名來(lái)實(shí)現(xiàn)。XML Signature 標(biāo)準(zhǔn)提供了簽名XML 文檔的一部分的方法，它提供了跨越多個(gè)系統(tǒng)的端到端的數(shù)據(jù)完整性。同時(shí)數(shù)字簽名和時(shí)間戳還能防止對(duì)已發(fā)生交易的否認(rèn)。 重放攻擊為了防止網(wǎng)絡(luò)截聽(tīng)者攔截并拷貝有效的消息，特別是身份驗(yàn)證消息，并在隨后的時(shí)間重放該消息，以獲得非法利益的情況發(fā)生，必須實(shí)現(xiàn)兩次握手的身份驗(yàn)證過(guò)程，并保證身份信息數(shù)據(jù)是機(jī)密傳輸?shù)摹＿@樣的驗(yàn)證過(guò)程可以是基于SSL 的，也可以是自定義的。 惡意和拒絕服務(wù)攻擊Web Service 是如此容易進(jìn)行調(diào)用，一般來(lái)說(shuō)Web Service 都是通過(guò)HTTP 和HTTPS 協(xié)議進(jìn)行調(diào)用的，而大多數(shù)防火墻又開(kāi)放80 和443 端口以作為標(biāo)準(zhǔn)的Web 消息通道。防火墻一般不會(huì)檢查在通道上傳輸?shù)腟OAP 消息的合法性。這就需要Web Service 的基礎(chǔ)設(shè)施是穩(wěn)固可靠的，不會(huì)因?yàn)橄⒅蟹欠ǖ腻e(cuò)誤數(shù)據(jù)而出現(xiàn)內(nèi)部錯(cuò)誤，從而拒絕服務(wù)，也不會(huì)因?yàn)椴缓戏ǖ某L(zhǎng)消息而導(dǎo)致系統(tǒng)資源耗盡而拒絕服務(wù)。 入侵檢測(cè)要整理出所有對(duì)龐大的Web Service 方法的誤用是一個(gè)非常困難的任務(wù)。通過(guò)安全策略和訪問(wèn)控制管理可以減少對(duì)系統(tǒng)的非法入侵。要防止系統(tǒng)入侵，需要很好的智能化分析手段，并借助于專家系統(tǒng)來(lái)幫助檢測(cè)惡意的行為。 安全系統(tǒng)管理如何對(duì)在Web Services 環(huán)境中各個(gè)異構(gòu)系統(tǒng)的安全配置進(jìn)行管理，并能夠監(jiān)控其安全狀態(tài)是一個(gè)需要解決的問(wèn)題。這就需要各個(gè)系統(tǒng)能夠按照統(tǒng)一的系統(tǒng)管理標(biāo)準(zhǔn)進(jìn)行遠(yuǎn)程管理并提供系統(tǒng)的安全狀態(tài)信息。三 PKI 方案3.1 PKI 簡(jiǎn)介PKI 是Public Key Infrastructure ( 公共密鑰體系)的縮寫，是一個(gè)使用非對(duì)稱密鑰加密原理和相關(guān)技術(shù)實(shí)現(xiàn)的安全基礎(chǔ)設(shè)施。PKI 為組織機(jī)構(gòu)建立和維護(hù)一個(gè)可信賴的安全環(huán)境，為應(yīng)用系統(tǒng)提供對(duì)身份認(rèn)證、數(shù)據(jù)保密性和完整性、不可否認(rèn)等特性的支持，以滿足應(yīng)用系統(tǒng)對(duì)安全性的需求。在基于Internet 技術(shù)的電子政務(wù)和電子商務(wù)場(chǎng)景下，應(yīng)用系統(tǒng)對(duì)安全性的需求在技術(shù)上最終都?xì)w于以下四個(gè)方面：(1) 提供用戶身份合法性驗(yàn)證機(jī)制身份認(rèn)證(Authentication)是分布式部署的信息系統(tǒng)首先面臨的安全問(wèn)題。舉一個(gè)簡(jiǎn)單的例子，當(dāng)用戶B 接收到一封來(lái)自用戶A 的重要文件，那么用戶B 首先需要確認(rèn)的是該文件的確是由用戶A 本人發(fā)出的，而不是第三者以用戶A 的名義發(fā)出的，如果這一點(diǎn)無(wú)法保證，那么即使能夠確認(rèn)文件本身的數(shù)據(jù)完整性和保密性，也沒(méi)有任何意義。在分布式部署的企業(yè)信息系統(tǒng)中，用戶的交互往往是非面對(duì)面的，因此提供一個(gè)可靠的身份認(rèn)證過(guò)程將是討論一切安全措施的前提條件。傳統(tǒng)的用戶名+密碼的身份認(rèn)證方式在安全性方面存在各種缺陷，應(yīng)用系統(tǒng)需要采用其它更為有效的身份驗(yàn)證機(jī)制。(2) 保證敏感數(shù)據(jù)通過(guò)公用網(wǎng)絡(luò)傳輸時(shí)的保密性保密性(Confidentiality) 需求是指應(yīng)用系統(tǒng)需要能夠確保敏感數(shù)據(jù)只被特定的用戶查看。以前面的例子為例，用戶A 需要保證所發(fā)出的文件的內(nèi)容只有用戶B 才能查看。很多時(shí)候，用戶A 通過(guò)公共網(wǎng)絡(luò)，比如以電子郵件的形式將文件發(fā)給用戶B，這時(shí)，保證文件的內(nèi)容不被第三者查看變得尤為重要。(3) 保證數(shù)據(jù)完整性保證數(shù)據(jù)完整性(Integrity)就是確認(rèn)我們所接收到的來(lái)自某一用戶的數(shù)據(jù)是完整的和未被篡改的。以上面的例子為例，用戶B 除了需要確認(rèn)該文件的確是由用戶A 發(fā)出的以外，還需要確認(rèn)這封文件在傳輸過(guò)程中沒(méi)有被有意或無(wú)意的篡改，即用戶B 接收到的文件和用戶A 發(fā)出的文件是完全一致的。(4) 提供不可否認(rèn)性支持安全的信息系統(tǒng)常常要求實(shí)現(xiàn)用戶在系統(tǒng)中的行為的不可否認(rèn)性(Non-Repudiation)。以前面的例子為例，當(dāng)用戶A 發(fā)出該文件之后，用戶A 將再不能否認(rèn)曾經(jīng)發(fā)出該文件這一事實(shí)。在需要用戶對(duì)自己在系統(tǒng)中的行為承擔(dān)責(zé)任的場(chǎng)合，不可否認(rèn)性顯得非常的重要。PKI 為從技術(shù)上實(shí)現(xiàn)以上需求提供了原理上的保證，我們對(duì)此在下一小節(jié)中加以簡(jiǎn)單的介紹。3.2 非對(duì)稱密鑰加密技術(shù)簡(jiǎn)介PKI 基于非對(duì)稱密鑰加密技術(shù)來(lái)實(shí)現(xiàn)應(yīng)用系統(tǒng)對(duì)身份認(rèn)證、數(shù)據(jù)保密性和完整性、不可否認(rèn)性的支持。理解非對(duì)稱密鑰加密技術(shù)的基本原理是理解PKI 為什么安全的基本前提，也只有在對(duì)PKI 的原理有一定程度的了解之后，才能有效的部署和實(shí)施PKI。在傳統(tǒng)的加密算法中，接收密文的一方使用與加密密鑰相同的密鑰作為解密密鑰，這種加密技術(shù)因此被稱為對(duì)稱密鑰加密技術(shù)。對(duì)稱密鑰加密算法本身是非常安全的，問(wèn)題出在如何傳遞加密所使用的密鑰上。為了解決這一問(wèn)題，提出了非對(duì)稱加密技術(shù)。非對(duì)稱加密在加密時(shí)和解密時(shí)使用不同的密鑰，設(shè)為密鑰p 和q。使用密鑰p 加密的數(shù)據(jù)必須使用密鑰q 才能解密，而使用密鑰q 加密的數(shù)據(jù)必須使用密鑰p 才能解密。但是從密鑰p 本身計(jì)算出密鑰q 是不可行的。PKI 使用了非對(duì)稱加密技術(shù)，其中的一個(gè)密鑰稱為私鑰，由證書的持有者妥善保管，必須嚴(yán)格保密，另一個(gè)密鑰稱為公鑰，通過(guò)CA 公布，無(wú)須保密。當(dāng)用戶A 需要將數(shù)據(jù)以加密的方式傳遞給用戶B 時(shí)，用戶A 使用用戶B 的公鑰加密數(shù)據(jù)，加密后的數(shù)據(jù)必須使用用戶B 的私鑰才能解密，因此可以保證數(shù)據(jù)傳輸過(guò)程的保密性。為了驗(yàn)證數(shù)據(jù)的真實(shí)性，用戶A 使用自己的私鑰對(duì)數(shù)據(jù)的哈希值加密，用戶B 使用用戶A 的公鑰對(duì)哈希值解密，并與接收到的數(shù)據(jù)的哈希值進(jìn)行對(duì)比。由于私鑰不在公共網(wǎng)絡(luò)上傳播，所以PKI 有很高的安全性。3.3 PKI 的組成部分PKI 方案的基本結(jié)構(gòu)如圖3-2 所示。圖3-2 PKI 的基本結(jié)構(gòu)CA 和RA 相互配合，負(fù)責(zé)PKI 系統(tǒng)中的數(shù)字證書的申請(qǐng)、審核、簽發(fā)和管理。密鑰管理中心與IT 系統(tǒng)中的用戶管理中心協(xié)同工作，負(fù)責(zé)PKI 中的密鑰對(duì)的生成、備份和恢復(fù)。IT 系統(tǒng)中的應(yīng)用系統(tǒng)通過(guò)安全中間件使用PKI 系統(tǒng)提供的各種安全服務(wù)。PKI 中的加密服務(wù)組件負(fù)責(zé)驅(qū)動(dòng)系統(tǒng)底層的加密軟件和硬件。安全中間件為應(yīng)用系統(tǒng)隔離了PKI 系統(tǒng)中的復(fù)雜技術(shù)細(xì)節(jié)，而加密服務(wù)組件實(shí)現(xiàn)了PKI 系統(tǒng)與來(lái)自第三方的加密軟件和硬件集成的能力。PKI 系統(tǒng)中可以配置多套加密服務(wù)組件，以驅(qū)動(dòng)不同的加軟件和硬件。安全中間件與加密服務(wù)組件的組合方式通過(guò)安全策略管理中心配置，而不由應(yīng)用系統(tǒng)控制，因此保證了PKI 方案的可擴(kuò)展能力和可定制能力。3.3.1 認(rèn)證和注冊(cè)審核機(jī)構(gòu)(CA/RA) 認(rèn)證機(jī)構(gòu)CA 是PKI 的信任基礎(chǔ)，它管理公鑰的整個(gè)生命周期，其作用包括簽發(fā)證書、規(guī)定證書的有效期和通過(guò)發(fā)布證書廢除列表(CRL)來(lái)確保必要時(shí)可以廢除證書。注冊(cè)審核機(jī)構(gòu)RA 提供用戶和CA 之間的接口，主要完成收集用戶信息和確認(rèn)用戶身份的功能。這里指的用戶，是指將要向認(rèn)證機(jī)構(gòu)(即CA)申請(qǐng)數(shù)字證書的客戶，可以是個(gè)人，也可以是集團(tuán)或團(tuán)體、某政府機(jī)構(gòu)等。RA 接受用戶的注冊(cè)申請(qǐng)，審查用戶的申請(qǐng)資格，并決定是否同意CA 給其簽發(fā)數(shù)字證書。注冊(cè)機(jī)構(gòu)并不給用戶簽發(fā)證書，而只是對(duì)用戶進(jìn)行資格審查。因此，RA 可以設(shè)置在直接面對(duì)用戶的業(yè)務(wù)部門。對(duì)于一個(gè)規(guī)模較小的PKI 應(yīng)用系統(tǒng)來(lái)說(shuō)，可把注冊(cè)管理的職能由認(rèn)證中心CA 來(lái)完成，而不設(shè)立獨(dú)立運(yùn)行的RA。但這并不是取消了PKI 的注冊(cè)功能，而只是將其作為CA 的一項(xiàng)功能而已。PKI 方案推薦由一個(gè)獨(dú)立的RA 來(lái)完成注冊(cè)管理的任務(wù)，通過(guò)保證CA 和IT 系統(tǒng)其余部分的物理隔絕，可以增強(qiáng)應(yīng)用系統(tǒng)的安全。CA 簽發(fā)的數(shù)字證書一般由RA 通過(guò)LDAP 服務(wù)器發(fā)布，供PKI 系統(tǒng)中的用戶需要時(shí)進(jìn)行檢索和獲取。CA/RA 服務(wù)器使用數(shù)據(jù)庫(kù)服務(wù)器保存相關(guān)的數(shù)據(jù)。圖3-3 描述了CA、RA、數(shù)據(jù)庫(kù)和LDAP 服務(wù)器之間的關(guān)系。圖3-3 證書機(jī)構(gòu)和注冊(cè)審核機(jī)構(gòu)(CA/RA) 3.3.2 密鑰管理中心密鑰管理也是PKI (主要指CA)中的一個(gè)核心問(wèn)題，主要是指密鑰對(duì)的安全管理，包括密鑰產(chǎn)生、密鑰備份和密鑰恢復(fù)等。密鑰對(duì)的產(chǎn)生是證書申請(qǐng)過(guò)程中重要的一步，其中產(chǎn)生的私鑰由用戶保留，公鑰和其他信息則通過(guò)RA 交于CA 中心進(jìn)行簽名，供生成數(shù)字證書使用。在一個(gè)PKI 系統(tǒng)中，維護(hù)密鑰對(duì)的備份至關(guān)重要。如果沒(méi)有這種措施，當(dāng)密鑰丟失后，將意味著加密數(shù)據(jù)的完全丟失，對(duì)于一些重要數(shù)據(jù)，這將是災(zāi)難性的。使用PKI 的企業(yè)和組織必須能夠得到確認(rèn)：即使密鑰丟失，受密鑰加密保護(hù)的重要信息也必須能夠恢復(fù)，并且不能讓一個(gè)獨(dú)立的個(gè)人完全控制最重要的主密鑰，否則將引起嚴(yán)重后果。在某些情況下用戶可能有多對(duì)密鑰，至少應(yīng)該有兩對(duì)密鑰：一對(duì)用于加密，一對(duì)用于簽名。簽名密鑰不需要備份，因?yàn)橛糜隍?yàn)證簽名的公鑰(或公鑰證書)廣泛發(fā)布，即使簽名私鑰丟失，任何用于相應(yīng)公鑰的人都可以對(duì)已簽名的文檔進(jìn)行驗(yàn)證。PKI 系統(tǒng)需要備份用于加密的密鑰對(duì)，并允許用戶進(jìn)行恢復(fù)。因此，企業(yè)級(jí)的PKI 產(chǎn)品至少應(yīng)該支持用于加密的安全密鑰的存儲(chǔ)、備份和恢復(fù)。密鑰的備份一般用口令進(jìn)行保護(hù)，而口令丟失則是管理員最常見(jiàn)的安全疏漏之一。即使口令丟失，使用密鑰管理中心提供的密鑰恢復(fù)功能，也能夠讓用戶在一定條件下恢復(fù)該密鑰，并設(shè)置新的口令。當(dāng)用戶的私鑰被泄漏時(shí)，用戶應(yīng)該更新私鑰。這時(shí)用戶可以廢除證書，產(chǎn)生新的密鑰對(duì)，申請(qǐng)新的證書。密鑰管理中心需要與PKI 系統(tǒng)中的其它加密軟件系統(tǒng)和硬件設(shè)備協(xié)同工作。3.3.3 安全中間件安全中間件是PKI 方案的一個(gè)重要組成部分，是PKI 系統(tǒng)與應(yīng)用系統(tǒng)的橋梁。各個(gè)應(yīng)用系統(tǒng)通過(guò)安全中間件與底層的PKI 服務(wù)組件相互作用，協(xié)同工作，從而保證整個(gè)IT 系統(tǒng)的安全性。安全中間件實(shí)現(xiàn)以下功能： 為應(yīng)用系統(tǒng)提供一致的安全應(yīng)用程序編程接口(API) 通過(guò)加密服務(wù)組件驅(qū)動(dòng)不同的CA 服務(wù)器產(chǎn)品、加密軟件和硬件安全中間件與相關(guān)組件之間的關(guān)系如圖3-4 所示。安全中間件包括以下部分： 安全應(yīng)用程序編程接口安全應(yīng)用程序編程接口屏蔽了PKI 系統(tǒng)復(fù)雜的技術(shù)細(xì)節(jié)，將PKI 系統(tǒng)與具體的應(yīng)用系統(tǒng)有機(jī)的集成在一起，從而構(gòu)成結(jié)構(gòu)良好的企業(yè)分布式安全應(yīng)用環(huán)境。當(dāng)PKI 系統(tǒng)中具體的CA 服務(wù)器、加密軟件和加密硬件發(fā)生改變時(shí)，基于安全中間件的應(yīng)用系統(tǒng)不需要進(jìn)行修改，只需要使用安全配置和管理組件對(duì)安全中間件的行為重新進(jìn)行配置即可。 安全實(shí)體映射組件安全實(shí)體映射組件維護(hù)IT 系統(tǒng)中用戶與PKI 系統(tǒng)中的安全實(shí)體之間的映射關(guān)系。當(dāng)用戶采用不同的PKI 技術(shù)方案時(shí)，PKI 系統(tǒng)中的安全實(shí)體與IT 系統(tǒng)中的用戶之間的映射關(guān)系可能會(huì)發(fā)生改變，這種情況在當(dāng)用戶采用專用的加密算法和非標(biāo)準(zhǔn)的證書系統(tǒng)時(shí)尤其明顯。由安全中間件集中維護(hù)IT 系統(tǒng)中的用戶與PKI 系統(tǒng)中的安全實(shí)體之間的映射關(guān)系能夠有效的簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā)和實(shí)施。 加密服務(wù)組件在安全中間件中，加密服務(wù)組件負(fù)責(zé)驅(qū)動(dòng)PKI 中的第三方軟件系統(tǒng)和硬件設(shè)備，向安全中間件提供用戶身份驗(yàn)證、數(shù)據(jù)加密和解密的底層實(shí)現(xiàn)。用戶通過(guò)安全應(yīng)用程序編程接口發(fā)出的數(shù)據(jù)加密和解密請(qǐng)求實(shí)際上由加密服務(wù)組件負(fù)責(zé)具體的實(shí)現(xiàn)。加密服務(wù)組件是PKI 方案實(shí)現(xiàn)與來(lái)自第三方的CA 服務(wù)器產(chǎn)品、加密軟件、加密硬件的集成的途徑。PKI 方案具有集成來(lái)自不同廠商的CA 服務(wù)器產(chǎn)品、加密軟件和加密硬件的能力，這種能力是通過(guò)部署不同的加密服務(wù)組件來(lái)實(shí)現(xiàn)的。加密服務(wù)組件向安全中間件提供支持，在加密服務(wù)組件之上的安全中間件為應(yīng)用系統(tǒng)屏蔽了底層的復(fù)雜的PKI 組件。 安全配置和管理組件安全應(yīng)用程序編程接口提供了完成獨(dú)立于具體的PKI 系統(tǒng)組件的選型的接口，然后，隨著用戶對(duì)CA 服務(wù)器及相關(guān)軟件、加密軟件和硬件的選擇不同，應(yīng)用系統(tǒng)在使用PKI 系統(tǒng)提供的安全服務(wù)也會(huì)有所不同。這也即是為什么目前的大多數(shù)安全中間件事實(shí)上無(wú)法實(shí)現(xiàn)底層平臺(tái)無(wú)關(guān)性的最主要原因。PKI 方案通過(guò)提供獨(dú)立于安全應(yīng)用程序編程接口的安全配置和管理組件來(lái)解決這一問(wèn)題。當(dāng)用戶選擇不同的CA 服務(wù)器及相關(guān)軟件、加密軟件和硬件時(shí)，PKI 系統(tǒng)仍然需要進(jìn)行新的配置，這是通過(guò)安全配置和管理組件實(shí)現(xiàn)的，應(yīng)用系統(tǒng)不需要進(jìn)行配置，安全中間件與安全配置和管理組件協(xié)同工作，真正的實(shí)現(xiàn)了PKI 方案的可擴(kuò)展能力、可定制能力、可開(kāi)發(fā)能力和可集成能力。安全中間件向應(yīng)用系統(tǒng)提供以下應(yīng)用程序編程接口：l 數(shù)據(jù)加密和解密 l 信息摘要計(jì)算 l 數(shù)字簽名及驗(yàn)證 l 生成高質(zhì)量隨機(jī)數(shù) l 其它與安全有關(guān)的系統(tǒng)功能的實(shí)現(xiàn)四. PMI 部分4.1 什么是PMI PMI 是Privilege Management Infrastructures 的英文縮寫，意為授權(quán)管理基礎(chǔ)設(shè)施。PMI 建立在PKI 基礎(chǔ)上，與PKI 相結(jié)合，提供實(shí)體身份到應(yīng)用權(quán)限的映射，實(shí)現(xiàn)對(duì)系統(tǒng)資源訪問(wèn)的統(tǒng)一管理。PKI 證明實(shí)體身份的合法性；PMI 證明實(shí)體具有什么權(quán)限，能以何種方式訪問(wèn)什么資源。典型的場(chǎng)景中，如下面圖41 所示，如果某個(gè)用戶或應(yīng)用需要在某一個(gè)資源上行使某個(gè)操作。用戶將向?qū)嶋H保護(hù)該資源的系統(tǒng)（如一個(gè)文件系統(tǒng)或一個(gè)Web Server ）發(fā)出請(qǐng)求，該提供保護(hù)的系統(tǒng)稱為策略實(shí)施點(diǎn)PEP(Policy Enforcement Point) 。隨后PEP 將基于請(qǐng)求者的屬性、所請(qǐng)求的資源和所要行使的操作以及其它信息，來(lái)形成一個(gè)請(qǐng)求并發(fā)送到一個(gè)策略決策點(diǎn)PDP(Policy Decision Point) 。在PDP, 將查看該請(qǐng)求，并計(jì)算將有哪些策略應(yīng)用到該請(qǐng)求，從而計(jì)算得出是否允許訪問(wèn)。決策的結(jié)果將會(huì)返回給PEP, 并由PEP 來(lái)執(zhí)行對(duì)該訪問(wèn)請(qǐng)求的許可或拒絕。需要注意的是PEP 和PDP 是邏輯上的概念，它們可以就包含在一個(gè)單獨(dú)的應(yīng)用中，也可以分布在不同的服務(wù)器上。圖41 PMI 邏輯結(jié)構(gòu)示意圖4.2 為什么需要PMI 11. 控制和降低商業(yè)渠道擴(kuò)展時(shí)所涉及的費(fèi)用，并提供更靈活的通道。這就要求無(wú)需考慮最終用戶的位置（例如客戶，供應(yīng)商，伙伴，或雇員），用戶可以動(dòng)態(tài)的使用多種交互方式（瀏覽器、PDA、無(wú)線設(shè)備等）來(lái)使用系統(tǒng)并獲得相同的信息內(nèi)容和質(zhì)量。為實(shí)現(xiàn)這些不同的渠道和交互方式而采用重復(fù)復(fù)制框架和應(yīng)用的做法將大大提高建設(shè)和維護(hù)費(fèi)用，并因?yàn)橐粋€(gè)實(shí)際的用戶在多個(gè)系統(tǒng)中都擁有用戶帳號(hào)，因此難以識(shí)別一個(gè)唯一的用戶標(biāo)識(shí)，并提供更好的關(guān)聯(lián)服務(wù)。2. 需要加快對(duì)系統(tǒng)的訪問(wèn)并能夠安全有效地保護(hù)個(gè)人信息隱私，從而提高客戶對(duì)企業(yè)的信任3. 在基于Internet 的方案中，可以通過(guò)多個(gè)訪問(wèn)點(diǎn)來(lái)訪問(wèn)機(jī)密信息。如果沒(méi)有一個(gè)適當(dāng)?shù)陌踩呗院透呒?jí)的安全控制，機(jī)密信息泄漏和數(shù)據(jù)保護(hù)被破壞的可能性將大大增加。4. 需要一個(gè)設(shè)備和應(yīng)用獨(dú)立的靈活而標(biāo)準(zhǔn)的用戶標(biāo)識(shí)（identity）管理方案。其實(shí)現(xiàn)必須支持多種技術(shù)和設(shè)備，并具有關(guān)鍵任務(wù)級(jí)的伸縮性和可靠性。5. 需要提高操作效率而不降低安全性，需要提高個(gè)性化程度并能有效地進(jìn)行活動(dòng)用戶管理。4.3 PMI 發(fā)展的幾個(gè)階段根據(jù)對(duì)身份認(rèn)證和授權(quán)的處理方式的不同，以及技術(shù)發(fā)展提供的條件，身份驗(yàn)證和授權(quán)的實(shí)現(xiàn)經(jīng)歷了如下幾個(gè)階段. 在第一個(gè)階段，即原始階段，一個(gè)用戶在多個(gè)用戶系統(tǒng)中都有各自的賬號(hào)，并需要分別登錄驗(yàn)證。整個(gè)企業(yè)系統(tǒng)環(huán)境中，安全問(wèn)題往往出現(xiàn)在最薄弱的系統(tǒng)中，由于需要保證和維護(hù)多個(gè)系統(tǒng)的不同的安全級(jí)別，大大增加了維護(hù)的費(fèi)用和成本，并且出現(xiàn)安全漏洞的機(jī)會(huì)也大大增加。在第二個(gè)階段，為解決后臺(tái)系統(tǒng)間互操作的問(wèn)題，需要在各應(yīng)用系統(tǒng)間建立信任連接。建立該信任連接往往是在應(yīng)用系統(tǒng)開(kāi)發(fā)時(shí)就進(jìn)行決策。這樣的方案一方面受到開(kāi)發(fā)約束，另一方面，存在著比較大的安全隱患。 在第三階段，整個(gè)企業(yè)已經(jīng)建立起PMI 架構(gòu)，各應(yīng)用間包括傳統(tǒng)應(yīng)用能夠通過(guò)統(tǒng)一的架構(gòu)服務(wù)實(shí)現(xiàn)集中的身份驗(yàn)證和授權(quán)管理，因此大大降低了管理和維護(hù)的成本。同時(shí)可以集中的提高所有應(yīng)用在身份驗(yàn)證和授權(quán)管理上的安全性。整個(gè)企業(yè)環(huán)境實(shí)現(xiàn)了Single Sign On。 在第四個(gè)階段，PMI 擴(kuò)展到了更大的架構(gòu)，不同企業(yè)，不同地域間的應(yīng)用和用戶能夠?qū)崿F(xiàn)相互認(rèn)證和授權(quán)。有多個(gè)用戶標(biāo)識(shí)管理和驗(yàn)證授權(quán)中心存在，相互間能夠?qū)崿F(xiàn)遠(yuǎn)程委托的身份驗(yàn)證和授權(quán)。通過(guò)該架構(gòu)為用戶提供了唯一可信的網(wǎng)絡(luò)身份標(biāo)識(shí)并為企業(yè)間的B2B 實(shí)現(xiàn)提供堅(jiān)強(qiáng)的安全保證。4.4 PMI 的安全體系模型在可信賴的Web Service 的安全架構(gòu)中，完全需要集中地對(duì)用戶的身份進(jìn)行認(rèn)證并且能夠集中地進(jìn)行授權(quán)管理和授權(quán)決策。Single Sign On 能提高和加強(qiáng)Web Service 參與的各系統(tǒng)的安全，并簡(jiǎn)化企業(yè)中各個(gè)異構(gòu)系統(tǒng)的安全管理和維護(hù)。因此實(shí)現(xiàn)一個(gè)完整的，先進(jìn)的PMI(Privilege Management Infrastructures) 是實(shí)現(xiàn)可信賴的Web Service 的安全架構(gòu)的重要基礎(chǔ)。Trusted Web Service PMI 就是這樣一個(gè)先進(jìn)的PMI 架構(gòu)。在PMI 的框架實(shí)現(xiàn)中，對(duì)于身份驗(yàn)證和授權(quán)服務(wù)都提供了基于SAML, XACML 的Web Service 訪問(wèn)方法。PMI 框架還可提供對(duì)Legacy Application 和Web application 的支持，并實(shí)現(xiàn)對(duì)這些應(yīng)用的Single Sign On。在PMI 框架的軟件產(chǎn)品中，提供1目錄服務(wù)使用LDAP 協(xié)議進(jìn)行訪問(wèn)。提供對(duì)系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權(quán)信息、資源和服務(wù)信息、組織和角色信息、系統(tǒng)安全策略等重要信息的層次化存儲(chǔ)和查詢服務(wù)。LDAP 目錄服務(wù)可以進(jìn)行分布式部署，并通過(guò)群集實(shí)現(xiàn)負(fù)載均衡和高可用性2管理服務(wù)（提供JMX 管理接口）提供對(duì)系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權(quán)信息、資源和服務(wù)信息、組織和角色信息、系統(tǒng)安全策略等重要信息的創(chuàng)建管理和維護(hù)工作。在整個(gè)管理服務(wù)中，還實(shí)現(xiàn)了Java Management Extension（Java 管理擴(kuò)展接口），能夠和整個(gè)安全應(yīng)用集成框架的頂層管理相集成。3