數(shù)據(jù)傳輸安全解決方案.doc

數(shù)據(jù)傳輸安全解決方案傳輸安全解決方案1一.總體框架2二.安全需求32.1 應用集成和政務集成中的安全需求32.2 OA 產品的安全需求41安全電子郵件42電子簽章53數(shù)字水印54防拷屏55安全加密文檔52.3方案中解決的安全問題和需求6三 PKI 方案73.1 PKI 簡介7(1) 提供用戶身份合法性驗證機制7(2) 保證敏感數(shù)據(jù)通過公用網絡傳輸時的保密性8(3) 保證數(shù)據(jù)完整性8(4) 提供不可否認性支持83.2 非對稱密鑰加密技術簡介83.3 PKI 的組成部分93.3.1 認證和注冊審核機構(CA/RA)103.3.2 密鑰管理中心113.3.3 安全中間件12四. PMI 部分134.1 什么是PMI134.2 為什么需要PMI144.3 PMI 發(fā)展的幾個階段154.4 PMI 的安全體系模型16二十一世紀是信息化世紀，隨著網絡技術的發(fā)展，特別是Internet 的全球化，信息共享的程度進一步提高。數(shù)字信息越來越深入的影響著社會生活的各個方面，各種基于互聯(lián)網技術的網上應用，如電子政務、電子商務等也得到了迅猛發(fā)展。網絡正逐步成為人們工作、生活中不可分割的一部分。由于互聯(lián)網的開放性和通用性，網上的所有信息對所有人都是公開的，所以網絡上的信息安全問題也日益突出。目前政府部門、金融部門、企事業(yè)單位和個人都日益重視這一重要問題。如何保護信息安全和網絡安全，最大限度的減少或避免因信息泄密、破壞等安全問題所造成的經濟損失及對企業(yè)形象的影響，是擺在我們面前亟需妥善解決的一項具有重大戰(zhàn)略意義的課題。網絡的飛速發(fā)展推動社會的發(fā)展，大批用戶借助網絡極大地提高了工作效率，創(chuàng)造了一些全新的工作方式，尤其是因特網的出現(xiàn)更給用戶帶來了巨大的方便。但另一方面，網絡，特別是因特網存在著極大的安全隱患。近年來，因特網上的安全事故屢有發(fā)生。連入因特網的用戶面臨諸多的安全風險：拒絕服務、信息泄密、信息篡改、資源盜用、聲譽損害等等。類似的風險也存在于其它的互聯(lián)網絡中。這些安全風險的存在阻礙了計算機網絡的應用與發(fā)展。在網絡化、信息化的進程不可逆轉的形勢下，建立安全可靠的網絡信息系統(tǒng)是一種必然選擇。一.總體框架構建平臺統(tǒng)一、系統(tǒng)安全、投資合理、運行高效的系統(tǒng)平臺，提供服務于應用集成、數(shù)據(jù)集成和表現(xiàn)集成的全線產品，為企事業(yè)單位信息化構建動態(tài)協(xié)同的基礎設施。圖11產品框圖辦公系統(tǒng)滿足企事業(yè)單位日常辦公的各種業(yè)務需要，是政府、企業(yè)信息化的基礎應用系統(tǒng)；數(shù)據(jù)交換平臺提供各系統(tǒng)間的業(yè)務集成，是企事業(yè)單位實施全方位信息化和數(shù)據(jù)共享的基礎中間件平臺；一站式服務平臺實現(xiàn)政府跨部門的網上行政、網上辦公和網上審批，是實現(xiàn)陽光行政、高效行政、依法行政的關鍵平臺；統(tǒng)一信息門戶提供豐富的內容表現(xiàn)方式、全方位的訪問接入方式和個性化服務，是企事業(yè)單位信息化的統(tǒng)一入口，是領導決策的信息來源，是政府、企業(yè)的形象的集中表現(xiàn)。安全中間件作為PKI的主要組成部分是連接CA與各應用系統(tǒng)的橋梁，使得各應用系統(tǒng)與CA之間實現(xiàn)松散連接。安全中間件是以公鑰基礎設施（PKI）為核心、建立在一系列相關國際安全標準之上的一個開放式應用開發(fā)平臺，并對PKI基本功能如對稱加密與解密、非對稱加密與解密、信息摘要、單向散列、數(shù)字簽名、簽名驗證、證書從證，以及密鑰生成、存儲、銷毀等進一步擴充，進而形成系統(tǒng)安全服務器接口，和通信安全服務接口。安全中間件可以跨平臺操作，為不同操作系統(tǒng)上的應用軟件集成提供方便，滿足用戶對系統(tǒng)伸縮性和可擴展性的要求。在頻繁變化的企業(yè)計算機環(huán)境中，安全中間件能夠將不同的應用程序無縫地融合在一起，使用戶業(yè)務不會因計算環(huán)境的改變遭受損失。同時，安全中間件屏蔽了安全技術的復雜性，使設計開發(fā)人員無須具備專業(yè)的安全知識背景就能夠構造高安全性的應用。二.安全需求2.1 應用集成和政務集成中的安全需求隨著網絡技術的發(fā)展，特別是Internet 的全球化，各種基于互聯(lián)網技術的網上應用，如電子政務、電子商務等得到了迅猛發(fā)展。應用的需求越來越復雜，迫切需要各種獨立的異構分布式應用之間能夠進行協(xié)同互操作，傳統(tǒng)的分布式構件方案如DCOM 和CORBA 難以滿足應用開發(fā)的需要，于是由于XML 技術的逐漸成熟，出現(xiàn)了一種新的分布式、松耦合、自描述的分布式組件服務Web Service 。因為Web Service 具有跨平臺、易開發(fā)的優(yōu)良特性，因此在應用系統(tǒng)集成領域和網絡服務領域成為了一個廣泛應用的標準。DCI 產品框架平臺就是這樣一個完全基于J2EE 平臺和Web Service 的完整的企業(yè)應用和電子政務應用的集成平臺。但是因為Web Service 的開放性和通用性，為了能夠保護信息系統(tǒng)的安全，對Web Service 的安全性提出了很高的要求。Web Service 迫切需要一個完整的安全服務框架，來為上層應用開發(fā)提供全面的安全服務。構建Web Service 的安全框架的困難在于：web service 是非常分布式的，并且關鍵的安全實現(xiàn)和算法都是由不同提供商實現(xiàn)的。將各分散的業(yè)務部門和它們原先的異構的安全系統(tǒng)和架構統(tǒng)一集成到Web Service 安全和業(yè)務平臺上，并且能夠以一種信任關系在各部門應用之間共享用戶信息、描述和權限是一個擺在面前的巨大挑戰(zhàn)。為什么需要安全的可信的Web Services 與過去十年中客戶/服務器和基于Web 的應用一樣，XML Web Services 給應用開發(fā)和信息系統(tǒng)的構建帶來了革命性的影響。通過使用標準協(xié)議，如XML、SOAP、WSDL 和UDDI，應用能夠更容易的相互通訊，并且更快、更便宜的進行應用集成，供應鏈集成，實現(xiàn)分布式的服務模型。XML Web Service 接口是基于XML 和松耦合的。XML 和SOAP 允許任意系統(tǒng)間進行相互通訊，無論它是一個Office XP 桌面還是一個大型主機系統(tǒng)。隨著自動化業(yè)務流程集成的越來越普及，越來越多各式各樣的系統(tǒng)通過Web Service 加入到一個廣泛的Web Service 集成環(huán)境中去，因此出現(xiàn)了以下一些問題： 非集中的架構 非集中的管理 用異構的技術實現(xiàn) 多個部門間相互連接 多個企業(yè)間相互連接 天然的對等的架構 有可能對Internet 開放上面的每一個問題都是對系統(tǒng)安全的嚴峻挑戰(zhàn)。如何跨越多個異構系統(tǒng)在整個環(huán)境中實施一個安全策略？如何為一個不了解安全系統(tǒng)的外部提供商提供安全服務？如何監(jiān)視和審計跨越多個異構系統(tǒng)的安全活動事件? 要解決上述問題，僅依賴于傳統(tǒng)的防火墻和入侵監(jiān)測系統(tǒng)是不足夠的，即使加上了SSL 和VPN 也只是解決了數(shù)據(jù)在網絡中安全傳輸?shù)膯栴}，并沒有解決跨系統(tǒng)的認證和訪問授權問題，也沒能解決面向Internet 的服務安全問題。要解決這些問題，需要提供一個完整的基于Web Service 的安全和企業(yè)應用集成架構。DCI 架構以及產品系列提供了對上述問題的完整解決方案（完整的架構說明請看另文）。2.2 OA 產品的安全需求1安全電子郵件電子郵件已經是現(xiàn)在最常使用的文本通訊手段，是OA 系統(tǒng)中的核心功能之一。為了保證電子郵件的安全，需要能夠使用數(shù)字證書對郵件進行數(shù)字簽名和數(shù)字加密。安全電子郵件是在原有的 MIME 郵件規(guī)范的基礎上，新增了許多強有力的安全功能。通過基于“S/MIME” 協(xié)議來實現(xiàn)，可以與各種支持相同協(xié)議的常用郵件程序（如OutLook 系列、Netscape 系列）兼容互通。2電子簽章在辦公和文檔管理中，需要將傳統(tǒng)的印章、簽名方法同現(xiàn)代的數(shù)字簽名技術相結合，用電子數(shù)據(jù)安全來支持用戶的傳統(tǒng)使用習慣，使整個系統(tǒng)具有更好的易用性，同時又具有完善的安全性。這種結合被稱為電子簽章。在電子簽章系統(tǒng)中需要PKI 提供的數(shù)字證書和數(shù)字簽名服務，并結合智能卡或其他身份識別技術，實現(xiàn)各種常用應用文檔編寫程序的簽署插件，并通過OA 系統(tǒng)進行公文文檔的工作流傳遞。同時隨著Web 化辦公的興起，迫切需要用戶能夠安全的通過瀏覽器來傳遞數(shù)據(jù)，同時能夠驗明自己的身份，因此需要有能夠對網頁上用戶提交的數(shù)據(jù)進行數(shù)字簽名和加密的能力。3數(shù)字水印由于多媒體信息很容易被未授權的用戶復制，特別是圖片性文檔，因此采用傳統(tǒng)密碼方法并不能完全解決以上問題,于是人們開始通過永久性數(shù)字水印來解決這一難題。數(shù)字水印技術是指用信號處理的方法在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱含的標記。數(shù)字水印(Digital Watermarking)廣泛應用于數(shù)字作品版權保護、隱蔽通訊、電子商務等領域。通過在OA 系統(tǒng)中應用數(shù)字水印技術，對發(fā)給不同用戶的需要保密的圖片文檔使用該用戶的印章進行水印加注，日后一旦圖片原本泄漏，可以追查圖片的泄漏來源，進而得到防范和威懾效果。4防拷屏某些秘密文檔需要特定人于特定機器才能進行瀏覽，為了防止用戶用拷屏的手段復制屏幕上已經解密的秘密信息并泄密，需要提供一些輔助的軟件工具來阻止用戶進行拷屏操作。5安全加密文檔在辦公系統(tǒng)中，某些秘密文檔不允許以解密后的明文文檔方式存在，要求必須在存儲時，文檔必須是加密的。這就需要辦公系統(tǒng)中提供一些文檔目錄的加解密客戶端工具。這些加解密的客戶端工具軟件能夠自動加解密整個文件目錄。2.3方案中解決的安全問題和需求 身份認證通常我們在Web 應用中使用口令、證書、Kerberos、LDAP 等不同驗證方式來認證服務的請求者，并且在更高的安全級，要需要請求者通過SmartCard 或生物指紋技術進行驗證。同樣服務的請求者也需要認證服務的提供者。 授權/訪問控制Web Service 很容易進行訪問，因此授權并限制外部對該Web Service 的訪問是相當重要的。不僅要能夠控制應用/用戶能夠訪問哪些信息，還要控制應用或用戶有權執(zhí)行哪些操作。此外能夠對管理權進行委托，以能夠管理大型組織結構的跨應用的訪問授權。特別的對于不同域之間，如B2B 的場景中，系統(tǒng)間需要能夠相互認證并能夠交換授權斷言。 單點登錄（Single Sign On）在Web Service 環(huán)境中，單點登錄扮演著非常重要的角色。在Web Service 環(huán)境中，各式各樣的系統(tǒng)間需要相互通訊，但要求每個系統(tǒng)都維護彼此之間的訪問控制列表是不實際的。用戶也需要更好的體驗以不需要繁瑣的多次登錄和身份驗證來使用一個業(yè)務過程中涉及到的不同系統(tǒng)。在Web Service 的單點登錄環(huán)境下，還包含這樣一些系統(tǒng)，它們有著自己的認證和授權實現(xiàn)，因此需要解決用戶的信任狀在不同系統(tǒng)間進行映射的問題，并且需要保證一旦一個用戶被刪除，則該用戶將不能訪問所有參與的系統(tǒng)。SAML 是一個將認證和授權信息以XML 格式編碼的標準。一個Web Service 因此能夠從一個SAML 兼容的認證和授權服務中請求并收到SAML 斷言，并據(jù)此驗證和授權一個服務請求者。SAML 可以用來在多個系統(tǒng)間傳遞信任狀，并因此被用于單點登錄的方案中。 數(shù)據(jù)加密標準的安全通信協(xié)議，如使用SSL 來實現(xiàn)端到端的數(shù)據(jù)加密。但是在Web Service 的環(huán)境的許多情形下，一個消息的不同部分可能會被多個Web Service 消息中介進行處理，因此需要XML Encryption 加密標準來允許對一個消息的不同部分進行加密，同時可以不對路由的目的消息頭進行加密，以減少敏感的加密性能損失。 數(shù)字簽名和防止否認在系統(tǒng)間消息通訊中，特別是對那些跨越企業(yè)或不同行政單位的消息，需要保證消息的完整性、防篡改，還要保證該消息確定來自于所期望的源。這一切都可以通過數(shù)字簽名來實現(xiàn)。XML Signature 標準提供了簽名XML 文檔的一部分的方法，它提供了跨越多個系統(tǒng)的端到端的數(shù)據(jù)完整性。同時數(shù)字簽名和時間戳還能防止對已發(fā)生交易的否認。 重放攻擊為了防止網絡截聽者攔截并拷貝有效的消息，特別是身份驗證消息，并在隨后的時間重放該消息，以獲得非法利益的情況發(fā)生，必須實現(xiàn)兩次握手的身份驗證過程，并保證身份信息數(shù)據(jù)是機密傳輸?shù)?。這樣的驗證過程可以是基于SSL 的，也可以是自定義的。 惡意和拒絕服務攻擊Web Service 是如此容易進行調用，一般來說Web Service 都是通過HTTP 和HTTPS 協(xié)議進行調用的，而大多數(shù)防火墻又開放80 和443 端口以作為標準的Web 消息通道。防火墻一般不會檢查在通道上傳輸?shù)腟OAP 消息的合法性。這就需要Web Service 的基礎設施是穩(wěn)固可靠的，不會因為消息中非法的錯誤數(shù)據(jù)而出現(xiàn)內部錯誤，從而拒絕服務，也不會因為不合法的超長消息而導致系統(tǒng)資源耗盡而拒絕服務。 入侵檢測要整理出所有對龐大的Web Service 方法的誤用是一個非常困難的任務。通過安全策略和訪問控制管理可以減少對系統(tǒng)的非法入侵。要防止系統(tǒng)入侵，需要很好的智能化分析手段，并借助于專家系統(tǒng)來幫助檢測惡意的行為。 安全系統(tǒng)管理如何對在Web Services 環(huán)境中各個異構系統(tǒng)的安全配置進行管理，并能夠監(jiān)控其安全狀態(tài)是一個需要解決的問題。這就需要各個系統(tǒng)能夠按照統(tǒng)一的系統(tǒng)管理標準進行遠程管理并提供系統(tǒng)的安全狀態(tài)信息。三 PKI 方案3.1 PKI 簡介PKI 是Public Key Infrastructure ( 公共密鑰體系)的縮寫，是一個使用非對稱密鑰加密原理和相關技術實現(xiàn)的安全基礎設施。PKI 為組織機構建立和維護一個可信賴的安全環(huán)境，為應用系統(tǒng)提供對身份認證、數(shù)據(jù)保密性和完整性、不可否認等特性的支持，以滿足應用系統(tǒng)對安全性的需求。在基于Internet 技術的電子政務和電子商務場景下，應用系統(tǒng)對安全性的需求在技術上最終都歸于以下四個方面：(1) 提供用戶身份合法性驗證機制身份認證(Authentication)是分布式部署的信息系統(tǒng)首先面臨的安全問題。舉一個簡單的例子，當用戶B 接收到一封來自用戶A 的重要文件，那么用戶B 首先需要確認的是該文件的確是由用戶A 本人發(fā)出的，而不是第三者以用戶A 的名義發(fā)出的，如果這一點無法保證，那么即使能夠確認文件本身的數(shù)據(jù)完整性和保密性，也沒有任何意義。在分布式部署的企業(yè)信息系統(tǒng)中，用戶的交互往往是非面對面的，因此提供一個可靠的身份認證過程將是討論一切安全措施的前提條件。傳統(tǒng)的用戶名+密碼的身份認證方式在安全性方面存在各種缺陷，應用系統(tǒng)需要采用其它更為有效的身份驗證機制。(2) 保證敏感數(shù)據(jù)通過公用網絡傳輸時的保密性保密性(Confidentiality) 需求是指應用系統(tǒng)需要能夠確保敏感數(shù)據(jù)只被特定的用戶查看。以前面的例子為例，用戶A 需要保證所發(fā)出的文件的內容只有用戶B 才能查看。很多時候，用戶A 通過公共網絡，比如以電子郵件的形式將文件發(fā)給用戶B，這時，保證文件的內容不被第三者查看變得尤為重要。(3) 保證數(shù)據(jù)完整性保證數(shù)據(jù)完整性(Integrity)就是確認我們所接收到的來自某一用戶的數(shù)據(jù)是完整的和未被篡改的。以上面的例子為例，用戶B 除了需要確認該文件的確是由用戶A 發(fā)出的以外，還需要確認這封文件在傳輸過程中沒有被有意或無意的篡改，即用戶B 接收到的文件和用戶A 發(fā)出的文件是完全一致的。(4) 提供不可否認性支持安全的信息系統(tǒng)常常要求實現(xiàn)用戶在系統(tǒng)中的行為的不可否認性(Non-Repudiation)。以前面的例子為例，當用戶A 發(fā)出該文件之后，用戶A 將再不能否認曾經發(fā)出該文件這一事實。在需要用戶對自己在系統(tǒng)中的行為承擔責任的場合，不可否認性顯得非常的重要。PKI 為從技術上實現(xiàn)以上需求提供了原理上的保證，我們對此在下一小節(jié)中加以簡單的介紹。3.2 非對稱密鑰加密技術簡介PKI 基于非對稱密鑰加密技術來實現(xiàn)應用系統(tǒng)對身份認證、數(shù)據(jù)保密性和完整性、不可否認性的支持。理解非對稱密鑰加密技術的基本原理是理解PKI 為什么安全的基本前提，也只有在對PKI 的原理有一定程度的了解之后，才能有效的部署和實施PKI。在傳統(tǒng)的加密算法中，接收密文的一方使用與加密密鑰相同的密鑰作為解密密鑰，這種加密技術因此被稱為對稱密鑰加密技術。對稱密鑰加密算法本身是非常安全的，問題出在如何傳遞加密所使用的密鑰上。為了解決這一問題，提出了非對稱加密技術。非對稱加密在加密時和解密時使用不同的密鑰，設為密鑰p 和q。使用密鑰p 加密的數(shù)據(jù)必須使用密鑰q 才能解密，而使用密鑰q 加密的數(shù)據(jù)必須使用密鑰p 才能解密。但是從密鑰p 本身計算出密鑰q 是不可行的。PKI 使用了非對稱加密技術，其中的一個密鑰稱為私鑰，由證書的持有者妥善保管，必須嚴格保密，另一個密鑰稱為公鑰，通過CA 公布，無須保密。當用戶A 需要將數(shù)據(jù)以加密的方式傳遞給用戶B 時，用戶A 使用用戶B 的公鑰加密數(shù)據(jù)，加密后的數(shù)據(jù)必須使用用戶B 的私鑰才能解密，因此可以保證數(shù)據(jù)傳輸過程的保密性。為了驗證數(shù)據(jù)的真實性，用戶A 使用自己的私鑰對數(shù)據(jù)的哈希值加密，用戶B 使用用戶A 的公鑰對哈希值解密，并與接收到的數(shù)據(jù)的哈希值進行對比。由于私鑰不在公共網絡上傳播，所以PKI 有很高的安全性。3.3 PKI 的組成部分PKI 方案的基本結構如圖3-2 所示。圖3-2 PKI 的基本結構CA 和RA 相互配合，負責PKI 系統(tǒng)中的數(shù)字證書的申請、審核、簽發(fā)和管理。密鑰管理中心與IT 系統(tǒng)中的用戶管理中心協(xié)同工作，負責PKI 中的密鑰對的生成、備份和恢復。IT 系統(tǒng)中的應用系統(tǒng)通過安全中間件使用PKI 系統(tǒng)提供的各種安全服務。PKI 中的加密服務組件負責驅動系統(tǒng)底層的加密軟件和硬件。安全中間件為應用系統(tǒng)隔離了PKI 系統(tǒng)中的復雜技術細節(jié)，而加密服務組件實現(xiàn)了PKI 系統(tǒng)與來自第三方的加密軟件和硬件集成的能力。PKI 系統(tǒng)中可以配置多套加密服務組件，以驅動不同的加軟件和硬件。安全中間件與加密服務組件的組合方式通過安全策略管理中心配置，而不由應用系統(tǒng)控制，因此保證了PKI 方案的可擴展能力和可定制能力。3.3.1 認證和注冊審核機構(CA/RA) 認證機構CA 是PKI 的信任基礎，它管理公鑰的整個生命周期，其作用包括簽發(fā)證書、規(guī)定證書的有效期和通過發(fā)布證書廢除列表(CRL)來確保必要時可以廢除證書。注冊審核機構RA 提供用戶和CA 之間的接口，主要完成收集用戶信息和確認用戶身份的功能。這里指的用戶，是指將要向認證機構(即CA)申請數(shù)字證書的客戶，可以是個人，也可以是集團或團體、某政府機構等。RA 接受用戶的注冊申請，審查用戶的申請資格，并決定是否同意CA 給其簽發(fā)數(shù)字證書。注冊機構并不給用戶簽發(fā)證書，而只是對用戶進行資格審查。因此，RA 可以設置在直接面對用戶的業(yè)務部門。對于一個規(guī)模較小的PKI 應用系統(tǒng)來說，可把注冊管理的職能由認證中心CA 來完成，而不設立獨立運行的RA。但這并不是取消了PKI 的注冊功能，而只是將其作為CA 的一項功能而已。PKI 方案推薦由一個獨立的RA 來完成注冊管理的任務，通過保證CA 和IT 系統(tǒng)其余部分的物理隔絕，可以增強應用系統(tǒng)的安全。CA 簽發(fā)的數(shù)字證書一般由RA 通過LDAP 服務器發(fā)布，供PKI 系統(tǒng)中的用戶需要時進行檢索和獲取。CA/RA 服務器使用數(shù)據(jù)庫服務器保存相關的數(shù)據(jù)。圖3-3 描述了CA、RA、數(shù)據(jù)庫和LDAP 服務器之間的關系。圖3-3 證書機構和注冊審核機構(CA/RA) 3.3.2 密鑰管理中心密鑰管理也是PKI (主要指CA)中的一個核心問題，主要是指密鑰對的安全管理，包括密鑰產生、密鑰備份和密鑰恢復等。密鑰對的產生是證書申請過程中重要的一步，其中產生的私鑰由用戶保留，公鑰和其他信息則通過RA 交于CA 中心進行簽名，供生成數(shù)字證書使用。在一個PKI 系統(tǒng)中，維護密鑰對的備份至關重要。如果沒有這種措施，當密鑰丟失后，將意味著加密數(shù)據(jù)的完全丟失，對于一些重要數(shù)據(jù)，這將是災難性的。使用PKI 的企業(yè)和組織必須能夠得到確認：即使密鑰丟失，受密鑰加密保護的重要信息也必須能夠恢復，并且不能讓一個獨立的個人完全控制最重要的主密鑰，否則將引起嚴重后果。在某些情況下用戶可能有多對密鑰，至少應該有兩對密鑰：一對用于加密，一對用于簽名。簽名密鑰不需要備份，因為用于驗證簽名的公鑰(或公鑰證書)廣泛發(fā)布，即使簽名私鑰丟失，任何用于相應公鑰的人都可以對已簽名的文檔進行驗證。PKI 系統(tǒng)需要備份用于加密的密鑰對，并允許用戶進行恢復。因此，企業(yè)級的PKI 產品至少應該支持用于加密的安全密鑰的存儲、備份和恢復。密鑰的備份一般用口令進行保護，而口令丟失則是管理員最常見的安全疏漏之一。即使口令丟失，使用密鑰管理中心提供的密鑰恢復功能，也能夠讓用戶在一定條件下恢復該密鑰，并設置新的口令。當用戶的私鑰被泄漏時，用戶應該更新私鑰。這時用戶可以廢除證書，產生新的密鑰對，申請新的證書。密鑰管理中心需要與PKI 系統(tǒng)中的其它加密軟件系統(tǒng)和硬件設備協(xié)同工作。3.3.3 安全中間件安全中間件是PKI 方案的一個重要組成部分，是PKI 系統(tǒng)與應用系統(tǒng)的橋梁。各個應用系統(tǒng)通過安全中間件與底層的PKI 服務組件相互作用，協(xié)同工作，從而保證整個IT 系統(tǒng)的安全性。安全中間件實現(xiàn)以下功能： 為應用系統(tǒng)提供一致的安全應用程序編程接口(API) 通過加密服務組件驅動不同的CA 服務器產品、加密軟件和硬件安全中間件與相關組件之間的關系如圖3-4 所示。安全中間件包括以下部分： 安全應用程序編程接口安全應用程序編程接口屏蔽了PKI 系統(tǒng)復雜的技術細節(jié)，將PKI 系統(tǒng)與具體的應用系統(tǒng)有機的集成在一起，從而構成結構良好的企業(yè)分布式安全應用環(huán)境。當PKI 系統(tǒng)中具體的CA 服務器、加密軟件和加密硬件發(fā)生改變時，基于安全中間件的應用系統(tǒng)不需要進行修改，只需要使用安全配置和管理組件對安全中間件的行為重新進行配置即可。 安全實體映射組件安全實體映射組件維護IT 系統(tǒng)中用戶與PKI 系統(tǒng)中的安全實體之間的映射關系。當用戶采用不同的PKI 技術方案時，PKI 系統(tǒng)中的安全實體與IT 系統(tǒng)中的用戶之間的映射關系可能會發(fā)生改變，這種情況在當用戶采用專用的加密算法和非標準的證書系統(tǒng)時尤其明顯。由安全中間件集中維護IT 系統(tǒng)中的用戶與PKI 系統(tǒng)中的安全實體之間的映射關系能夠有效的簡化應用系統(tǒng)的開發(fā)和實施。 加密服務組件在安全中間件中，加密服務組件負責驅動PKI 中的第三方軟件系統(tǒng)和硬件設備，向安全中間件提供用戶身份驗證、數(shù)據(jù)加密和解密的底層實現(xiàn)。用戶通過安全應用程序編程接口發(fā)出的數(shù)據(jù)加密和解密請求實際上由加密服務組件負責具體的實現(xiàn)。加密服務組件是PKI 方案實現(xiàn)與來自第三方的CA 服務器產品、加密軟件、加密硬件的集成的途徑。PKI 方案具有集成來自不同廠商的CA 服務器產品、加密軟件和加密硬件的能力，這種能力是通過部署不同的加密服務組件來實現(xiàn)的。加密服務組件向安全中間件提供支持，在加密服務組件之上的安全中間件為應用系統(tǒng)屏蔽了底層的復雜的PKI 組件。 安全配置和管理組件安全應用程序編程接口提供了完成獨立于具體的PKI 系統(tǒng)組件的選型的接口，然后，隨著用戶對CA 服務器及相關軟件、加密軟件和硬件的選擇不同，應用系統(tǒng)在使用PKI 系統(tǒng)提供的安全服務也會有所不同。這也即是為什么目前的大多數(shù)安全中間件事實上無法實現(xiàn)底層平臺無關性的最主要原因。PKI 方案通過提供獨立于安全應用程序編程接口的安全配置和管理組件來解決這一問題。當用戶選擇不同的CA 服務器及相關軟件、加密軟件和硬件時，PKI 系統(tǒng)仍然需要進行新的配置，這是通過安全配置和管理組件實現(xiàn)的，應用系統(tǒng)不需要進行配置，安全中間件與安全配置和管理組件協(xié)同工作，真正的實現(xiàn)了PKI 方案的可擴展能力、可定制能力、可開發(fā)能力和可集成能力。安全中間件向應用系統(tǒng)提供以下應用程序編程接口：l 數(shù)據(jù)加密和解密 l 信息摘要計算 l 數(shù)字簽名及驗證 l 生成高質量隨機數(shù) l 其它與安全有關的系統(tǒng)功能的實現(xiàn)四. PMI 部分4.1 什么是PMI PMI 是Privilege Management Infrastructures 的英文縮寫，意為授權管理基礎設施。PMI 建立在PKI 基礎上，與PKI 相結合，提供實體身份到應用權限的映射，實現(xiàn)對系統(tǒng)資源訪問的統(tǒng)一管理。PKI 證明實體身份的合法性；PMI 證明實體具有什么權限，能以何種方式訪問什么資源。典型的場景中，如下面圖41 所示，如果某個用戶或應用需要在某一個資源上行使某個操作。用戶將向實際保護該資源的系統(tǒng)（如一個文件系統(tǒng)或一個Web Server ）發(fā)出請求，該提供保護的系統(tǒng)稱為策略實施點PEP(Policy Enforcement Point) 。隨后PEP 將基于請求者的屬性、所請求的資源和所要行使的操作以及其它信息，來形成一個請求并發(fā)送到一個策略決策點PDP(Policy Decision Point) 。在PDP, 將查看該請求，并計算將有哪些策略應用到該請求，從而計算得出是否允許訪問。決策的結果將會返回給PEP, 并由PEP 來執(zhí)行對該訪問請求的許可或拒絕。需要注意的是PEP 和PDP 是邏輯上的概念，它們可以就包含在一個單獨的應用中，也可以分布在不同的服務器上。圖41 PMI 邏輯結構示意圖4.2 為什么需要PMI 11. 控制和降低商業(yè)渠道擴展時所涉及的費用，并提供更靈活的通道。這就要求無需考慮最終用戶的位置（例如客戶，供應商，伙伴，或雇員），用戶可以動態(tài)的使用多種交互方式（瀏覽器、PDA、無線設備等）來使用系統(tǒng)并獲得相同的信息內容和質量。為實現(xiàn)這些不同的渠道和交互方式而采用重復復制框架和應用的做法將大大提高建設和維護費用，并因為一個實際的用戶在多個系統(tǒng)中都擁有用戶帳號，因此難以識別一個唯一的用戶標識，并提供更好的關聯(lián)服務。2. 需要加快對系統(tǒng)的訪問并能夠安全有效地保護個人信息隱私，從而提高客戶對企業(yè)的信任3. 在基于Internet 的方案中，可以通過多個訪問點來訪問機密信息。如果沒有一個適當?shù)陌踩呗院透呒壍陌踩刂?，機密信息泄漏和數(shù)據(jù)保護被破壞的可能性將大大增加。4. 需要一個設備和應用獨立的靈活而標準的用戶標識（identity）管理方案。其實現(xiàn)必須支持多種技術和設備，并具有關鍵任務級的伸縮性和可靠性。5. 需要提高操作效率而不降低安全性，需要提高個性化程度并能有效地進行活動用戶管理。4.3 PMI 發(fā)展的幾個階段根據(jù)對身份認證和授權的處理方式的不同，以及技術發(fā)展提供的條件，身份驗證和授權的實現(xiàn)經歷了如下幾個階段. 在第一個階段，即原始階段，一個用戶在多個用戶系統(tǒng)中都有各自的賬號，并需要分別登錄驗證。整個企業(yè)系統(tǒng)環(huán)境中，安全問題往往出現(xiàn)在最薄弱的系統(tǒng)中，由于需要保證和維護多個系統(tǒng)的不同的安全級別，大大增加了維護的費用和成本，并且出現(xiàn)安全漏洞的機會也大大增加。在第二個階段，為解決后臺系統(tǒng)間互操作的問題，需要在各應用系統(tǒng)間建立信任連接。建立該信任連接往往是在應用系統(tǒng)開發(fā)時就進行決策。這樣的方案一方面受到開發(fā)約束，另一方面，存在著比較大的安全隱患。 在第三階段，整個企業(yè)已經建立起PMI 架構，各應用間包括傳統(tǒng)應用能夠通過統(tǒng)一的架構服務實現(xiàn)集中的身份驗證和授權管理，因此大大降低了管理和維護的成本。同時可以集中的提高所有應用在身份驗證和授權管理上的安全性。整個企業(yè)環(huán)境實現(xiàn)了Single Sign On。 在第四個階段，PMI 擴展到了更大的架構，不同企業(yè)，不同地域間的應用和用戶能夠實現(xiàn)相互認證和授權。有多個用戶標識管理和驗證授權中心存在，相互間能夠實現(xiàn)遠程委托的身份驗證和授權。通過該架構為用戶提供了唯一可信的網絡身份標識并為企業(yè)間的B2B 實現(xiàn)提供堅強的安全保證。4.4 PMI 的安全體系模型在可信賴的Web Service 的安全架構中，完全需要集中地對用戶的身份進行認證并且能夠集中地進行授權管理和授權決策。Single Sign On 能提高和加強Web Service 參與的各系統(tǒng)的安全，并簡化企業(yè)中各個異構系統(tǒng)的安全管理和維護。因此實現(xiàn)一個完整的，先進的PMI(Privilege Management Infrastructures) 是實現(xiàn)可信賴的Web Service 的安全架構的重要基礎。Trusted Web Service PMI 就是這樣一個先進的PMI 架構。在PMI 的框架實現(xiàn)中，對于身份驗證和授權服務都提供了基于SAML, XACML 的Web Service 訪問方法。PMI 框架還可提供對Legacy Application 和Web application 的支持，并實現(xiàn)對這些應用的Single Sign On。在PMI 框架的軟件產品中，提供1目錄服務使用LDAP 協(xié)議進行訪問。提供對系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權信息、資源和服務信息、組織和角色信息、系統(tǒng)安全策略等重要信息的層次化存儲和查詢服務。LDAP 目錄服務可以進行分布式部署，并通過群集實現(xiàn)負載均衡和高可用性2管理服務（提供JMX 管理接口）提供對系統(tǒng)元數(shù)據(jù)目錄、用戶身份和屬性信息、用戶授權信息、資源和服務信息、組織和角色信息、系統(tǒng)安全策略等重要信息的創(chuàng)建管理和維護工作。在整個管理服務中，還實現(xiàn)了Java Management Extension（Java 管理擴展接口），能夠和整個安全應用集成框架的頂層管理相集成。3