慧点安全解决方案白皮书

网络的飞速发展推动社会的发展，大批用户借助网络极大地提高了工作效率，创造了一些全新的工作方式，尤其是因特网的出现更给用户带来了巨大的方便。但另一方面，网络，特别是因特网存在着极大的安全隐患。近年来，因特网上的安全事故屡有发生。连入因特网的用户面临诸多的安全风险：拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在阻碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下，建立安全可靠的网络信息系统是一种必然选择。

为此，慧点科技以PKI 为核心，配合PMI 可以有效地解决信息安全问题，从而确保网上信息的保密性、完整性、防抵赖性，以及信息来源的可靠性，为各企事业单位的信息化建设与实施提供了卓有成效的安全防护。

一. 慧点产品总体框架

慧点科技致力于为企事业单位提供完整的电子政务、电子商务核心解决方案，构建平台统一、系统安全、投资合理、运行高效的系统平台，提供服务于应用集成、数据集成和表现集成的全线产品，为企事业单位信息化构建动态协同的基础设施。

慧点科技的办公系统满足企事业单位日常办公的各种业务需要，是政府、企业信息化的基础应用系统；数据交换平台提供各系统间的业务集成，是企事业单位实施全方位信息化和数据共享的基础中间件平台；一站式服务平台实现政府跨部门的网上行政、网上办公和网上审批，是实现阳光行政、高效行政、依法行政的关键平台；统一信息门户提供丰富的内容表现方式、全方位的访问接入方式和个性化服务，是企事业单位信息化的统一入口，是领导决策的信息来源，是政府、企业的形象的集中表现。

慧点安全解决方案是慧点全线产品的安全基础。安全中间件作为PKI 的主要组成部分是连接CA 与各应用系统的桥梁，使得各应用系统与CA 之间实现松散连接。安全中间件是以公钥基础设施（PKI）为核心、建立在一系列相关国际安全标准之上的一个开放式应用开发平台，并对PKI 基本功能如对称加密与解密、非对称加密与解密、信息摘要、单向散列、数字签名、签名验证、证书从证，以及密钥生成、存储、销毁等进一步扩充，进而形成系统安全服务器接口，和通信安全服务接口。安全中间件可以跨平台操作，为不同操作系统上的应用软件集成提供方便，满足用户对系统伸缩性和可扩展性的要求。在频繁变化的企业计算机环境中，安全中间件能够将不同的应用程序无缝地融合在一起，使用户业务不会因计算环境的改变遭受损失。同时，安全中间件屏蔽了安全技术的复杂性，使设计开发人员无须具备专业的安全知识背景就能够构造高安全性的应用。慧点科技全线产品建立在PKI、PMI、安全中间件的基础上，是一个典型的安全应用集成平台。

二.安全需求

2.1 应用集成和政务集成中的安全需求

随着网络技术的发展，特别是Internet 的全球化，各种基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。应用的需求越来越复杂，迫切需要各种独立的异构分布式应用之间能够进行协同互操作，传统的分布式构件方案如DCOM 和CORBA 难以满足应用开发的需要，于是由于XML 技术的逐渐成熟，出现了一种新的分布式、松耦合、自描述的分布式组件服务Web Service。因为Web Service 具有跨平台、易开发的优良特性，因此在应用系统集成领域和网络服务领域成为了一个广泛应用的标准。慧点的DCI 产品框架平台就是这一个完全基于J2EE 平台和Web Service 的完整的企业应用和电子政务应用的集成平台。

但是因为Web Service 的开放性和通用性，为了能够保护信息系统的安全，对Web Service 的安全性提出了很高的要求。Web Service 迫切需要一个完整的安全服务框架，来为上层应用开发提供全面的安全服务。构建Web Service 的安全框架的困难在于：web service 是非常分布式的，并且关键的安全实现和算法都是由不同提供商实现的。将各分散的业务部门和它们原先的异构的安全系统和架构统一集成到Web Service 安全和业务平台上，并且能够以一种信任关系在各部门应用之间共享用户信息、描述和权限是一个摆在面前的巨大挑战。

为什么需要安全的可信的Web Services与过去十年中客户/服务器和基于Web 的应用一样，XML Web Services 给应用开发和信息系统的构建带来了革命性的影响。通过使用标准协议，如XML、SOAP、WSDL 和UDDI，应用能够更容易的相互通讯，并且更快、更便宜的进行应用集成，供应链集成，实现分布式的服务模型。

XML Web Service 接口是基于XML 和松耦合的。XML 和SOAP 允许任意系统间进行相互通讯，无论它是一个Office XP 桌面还是一个大型主机系统。随着自动化业务流程集成的越来越普及，越来越多各式各样的系统通过Web Service加入到一个广泛的Web Service 集成环境中去，因此出现了以下一些问题：

非集中的架构
非集中的管理
用异构的技术实现
多个部门间相互连接
多个企业间相互连接
天然的对等的架构
有可能对Internet 开放

上面的每一个问题都是对系统安全的严峻挑战。如何跨越多个异构系统在整个环境中实施一个安全策略？如何为一个不了解安全系统的外部提供商提供安全服务？如何监视和审计跨越多个异构系统的安全活动事件? 要解决上述问题，仅依赖于传统的防火墙和入侵监测系统是不足够的，即使加上了SSL 和VPN 也只是解决了数据在网络中安全传输的问题，并没有解决跨系统的认证和访问授权问题，也没能解决面向Internet 的服务安全问题。要解决这些问题，需要提供一个完整的基于Web Service 的安全和企业应用集成架构。慧点的DCI 架构以及产品系列提供了对上述问题的完整解决方案（完整的架构说明请看另文）。

2.2 OA 产品的安全需求

1．安全电子邮件

电子邮件已经是现在最常使用的文本通讯手段，是OA 系统中的核心功能之一。为了保证电子邮件的安全，需要能够使用数字证书对邮件进行数字签名和数字加密。安全电子邮件是在原有的MIME 邮件规范的基础上，新增了许多强有力的安全功能。通过基于¡°S/MIME¡±协议来实现，可以与各种支持相同协议的常用邮件程序（如OutLook 系列、Netscape 系列）兼容互通。

2．电子签章

在办公和文档管理中，需要将传统的印章、签名方法同现代的数字签名技术相结合，用电子数据安全来支持用户的传统使用习惯，使整个系统具有更好的易用性，同时又具有完善的安全性。这种结合被称为电子签章。在电子签章系统中需要PKI 提供的数字证书和数字签名服务，并结合智能卡或其他身份识别技术，实现各种常用应用文档编写程序的签署插件，并通过OA 系统进行公文文档的工作流传递。

同时随着Web 化办公的兴起，迫切需要用户能够安全的通过浏览器来传递数据，同时能够验明自己的身份，因此需要有能够对网页上用户提交的数据进行数字签名和加密的能力。

3．数字水印

由于多媒体信息很容易被未授权的用户复制，特别是图片性文档，因此采用传统密码方法并不能完全解决以上问题,于是人们开始通过永久性数字水印来解决这一难题。数字水印技术是指用信号处理的方法在数字化的多媒体数据中嵌入隐含的标记。数字水印(Digital Watermarking)广泛应用于数字作品版权保护、隐蔽通讯、电子商务等领域。

通过在OA 系统中应用数字水印技术，对发给不同用户的需要保密的图片文档使用该用户的印章进行水印加注，日后一旦图片原本泄漏，可以追查图片的泄漏来源，进而得到防范和威慑效果。

4．防拷屏

某些秘密文档需要特定人于特定机器才能进行浏览，为了防止用户用拷屏的手段复制屏幕上已经解密的秘密信息并泄密，需要提供一些辅助的软件工具来阻止用户进行拷屏操作。

5．安全加密文档

在办公系统中，某些秘密文档不允许以解密后的明文文档方式存在，要求必须在存储时，文档必须是加密的。这就需要办公系统中提供一些文档目录的加解密客户端工具。这些加解密的客户端工具软件能够自动加解密整个文件目录。

2.3 慧点产品方案中解决的安全问题和需求

身份认证

通常我们在Web 应用中使用口令、证书、Kerberos、LDAP 等不同验证方式来认证服务的请求者，并且在更高的安全级，要需要请求者通过SmartCard 或生物指纹技术进行验证。同样服务的请求者也需要认证服务的提供者。

授权/ 访问控制

Web Service 很容易进行访问，因此授权并限制外部对该Web Service 的访问是相当重要的。不仅要能够控制应用/用户能够访问哪些信息，还要控制应用或用户有权执行哪些操作。此外能够对管理权进行委托，以能够管理大型组织结构的跨应用的访问授权。特别的对于不同域之间，如B2B 的场景中，系统间需要能够相互认证并能够交换授权断言。

单点登录（Single Sign On ）

在Web Service 环境中，单点登录扮演着非常重要的角色。在Web Service 环境中，各式各样的系统间需要相互通讯，但要求每个系统都维护彼此之间的访问控制列表是不实际的。用户也需要更好的体验以不需要繁琐的多次登录和身份验证来使用一个业务过程中涉及到的不同系统。在Web Service 的单点登录环境下，还包含这样一些系统，它们有着自己的认证和授权实现，因此需要解决用户的信任状在不同系统间进行映射的问题，并且需要保证一旦一个用户被删除，则该用户将不能访问所有参与的系统。

SAML 是一个将认证和授权信息以XML 格式编码的标准。一个Web Service 因此能够从一个SAML 兼容的认证和授权服务中请求并收到SAML 断言，并据此验证和授权一个服务请求者。SAML 可以用来在多个系统间传递信任状，并因此被用于单点登录的方案中。

数据加密

标准的安全通信协议，如使用SSL 来实现端到端的数据加密。但是在Web Service的环境的许多情形下，一个消息的不同部分可能会被多个Web Service 消息中介进行处理，因此需要XML Encryption 加密标准来允许对一个消息的不同部分进行加密，同时可以不对路由的目的消息头进行加密，以减少敏感的加密性能损失。

数字签名和防止否认

在系统间消息通讯中，特别是对那些跨越企业或不同行政单位的消息，需要保证消息的完整性、防篡改，还要保证该消息确定来自于所期望的源。这一切都可以通过数字签名来实现。

XML Signature 标准提供了签名XML 文档的一部分的方法，它提供了跨越多个系统的端到端的数据完整性。同时数字签名和时间戳还能防止对已发生交易的否认。

重放攻击

为了防止网络截听者拦截并拷贝有效的消息，特别是身份验证消息，并在随后的时间重放该消息，以获得非法利益的情况发生，必须实现两次握手的身份验证过程，并保证身份信息数据是机密传输的。这样的验证过程可以是基于SSL 的，也可以是自定义的。

恶意和拒绝服务攻击

Web Service 是如此容易进行调用，一般来说Web Service 都是通过HTTP 和HTTPS 协议进行调用的，而大多数防火墙又开放80 和443 端口以作为标准的Web 消息通道。防火墙一般不会检查在通道上传输的SOAP 消息的合法性。这就需要Web Service 的基础设施是稳固可靠的，不会因为消息中非法的错误数据而出现内部错误，从而拒绝服务，也不会因为不合法的超长消息而导致系统资源耗尽而拒绝服务。

入侵检测

要整理出所有对庞大的Web Service 方法的误用是一个非常困难的任务。通过安全策略和访问控制管理可以减少对系统的非法入侵。要防止系统入侵，需要很好的智能化分析手段，并借助于专家系统来帮助检测恶意的行为。

安全系统管理

如何对在Web Services 环境中各个异构系统的安全配置进行管理，并能够监控其安全状态是一个需要解决的问题。这就需要各个系统能够按照统一的系统管理标准进行远程管理并提供系统的安全状态信息。

三.慧点PKI 方案

3.1 PKI 简介

PKI 是Public Key Infrastructure (公共密钥体系)的缩写，是一个使用非对称密钥加密原理和相关技术实现的安全基础设施。PKI 为组织机构建立和维护一个可信赖的安全环境，为应用系统提供对身份认证、数据保密性和完整性、不可否认等特性的支持，以满足应用系统对安全性的需求。在基于Internet 技术的电子政务和电子商务场景下，应用系统对安全性的需求在技术上最终都归于以下四个方面：

(1) 提供用户身份合法性验证机制

身份认证(Authentication)是分布式部署的信息系统首先面临的安全问题。举一个简单的例子，当用户B 接收到一封来自用户A 的重要文件，那么用户B 首先需要确认的是该文件的确是由用户A 本人发出的，而不是第三者以用户A 的名义发出的，如果这一点无法保证，那么即使能够确认文件本身的数据完整性和保密性，也没有任何意义。

在分布式部署的企业信息系统中，用户的交互往往是非面对面的，因此提供一个可靠的身份认证过程将是讨论一切安全措施的前提条件。传统的用户名+密码的身份认证方式在安全性方面存在各种缺陷，应用系统需要采用其它更为有效的身份验证机制。

(2) 保证敏感数据通过公用网络传输时的保密性

保密性(Confidentiality)需求是指应用系统需要能够确保敏感数据只被特定的用户查看。以前面的例子为例，用户A 需要保证所发出的文件的内容只有用户B 才能查看。很多时候，用户A 通过公共网络，比如以电子邮件的形式将文件发给用户B，这时，保证文件的内容不被第三者查看变得尤为重要。

(3) 保证数据完整性

保证数据完整性(Integrity)就是确认我们所接收到的来自某一用户的数据是完整的和未被篡改的。以上面的例子为例，用户B 除了需要确认该文件的确是由用户A 发出的以外，还需要确认这封文件在传输过程中没有被有意或无意的篡改，即用户B 接收到的文件和用户A 发出的文件是完全一致的。

(4) 提供不可否认性支持

安全的信息系统常常要求实现用户在系统中的行为的不可否认性(Non-Repudiation)。以前面的例子为例，当用户A 发出该文件之后，用户A 将再不能否认曾经发出该文件这一事实。在需要用户对自己在系统中的行为承担责任的场合，不可否认性显得非常的重要。PKI 为从技术上实现以上需求提供了原理上的保证，我们对此在下一小节中加以简单的介绍。

3.2 非对称密钥加密技术简介

PKI 基于非对称密钥加密技术来实现应用系统对身份认证、数据保密性和完整性、不可否认性的支持。理解非对称密钥加密技术的基本原理是理解PKI 为什么安全的基本前提，也只有在对PKI 的原理有一定程度的了解之后，才能有效的部署和实施PKI。

基本的加密和解密过程如图3-1 所示。

在传统的加密算法中，接收密文的一方使用与加密密钥相同的密钥作为解密密钥，这种加密技术因此被称为对称密钥加密技术。对称密钥加密算法本身是非常安全的，问题出在如何传递加密所使用的密钥上。为了解决这一问题，提出了非对称加密技术。非对称加密在加密时和解密时使用不同的密钥，设为密钥p和q。使用密钥p 加密的数据必须使用密钥q 才能解密，而使用密钥q 加密的数据必须使用密钥p 才能解密。但是从密钥p 本身计算出密钥q 是不可行的。

PKI 使用了非对称加密技术，其中的一个密钥称为私钥，由证书的持有者妥善保管，必须严格保密，另一个密钥称为公钥，通过CA 公布，无须保密。当用户A 需要将数据以加密的方式传递给用户B 时，用户A 使用用户B 的公钥加密数据，加密后的数据必须使用用户B 的私钥才能解密，因此可以保证数据传输过程的保密性。为了验证数据的真实性，用户A 使用自己的私钥对数据的哈希值加密，用户B 使用用户A 的公钥对哈希值解密，并与接收到的数据的哈希值进行对比。由于私钥不在公共网络上传播，所以PKI 有很高的安全性。

3.3 PKI 的组成部分

慧点PKI 方案的基本结构如图3-2 所示。

CA 和RA 相互配合，负责PKI 系统中的数字证书的申请、审核、签发和管理。密钥管理中心与IT 系统中的用户管理中心协同工作，负责PKI 中的密钥对的生成、备份和恢复。IT 系统中的应用系统通过安全中间件使用PKI 系统提供的各种安全服务。PKI 中的加密服务组件负责驱动系统底层的加密软件和硬件。安全中间件为应用系统隔离了PKI 系统中的复杂技术细节，而加密服务组件实现了PKI 系统与来自第三方的加密软件和硬件集成的能力。PKI 系统中可以配置多套加密服务组件，以驱动不同的加软件和硬件。安全中间件与加密服务组件的组合方式通过安全策略管理中心配置，而不由应用系统控制，因此保证了PKI方案的可扩展能力和可定制能力。

3.3.1 认证和注册审核机构(CA/RA)

认证机构CA 是PKI 的信任基础，它管理公钥的整个生命周期，其作用包括签发证书、规定证书的有效期和通过发布证书废除列表(CRL)来确保必要时可以废除证书。

注册审核机构RA 提供用户和CA 之间的接口，主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证机构(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。RA 接受用户的注册申请，审查用户的申请资格，并决定是否同意CA 给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA 可以设置在直接面对用户的业务部门。

对于一个规模较小的PKI 应用系统来说，可把注册管理的职能由认证中心CA 来完成，而不设立独立运行的RA。但这并不是取消了PKI 的注册功能，而只是将其作为CA 的一项功能而已。慧点的PKI 方案推荐由一个独立的RA 来完成注册管理的任务，通过保证CA 和IT 系统其余部分的物理隔绝，可以增强应用系统的安全。

CA 签发的数字证书一般由RA 通过LDAP 服务器发布，供PKI 系统中的用户需要时进行检索和获取。

CA/RA 服务器使用数据库服务器保存相关的数据。

图3-3 描述了CA、RA、数据库和LDAP 服务器之间的关系。

3.3.2 密钥管理中心

密钥管理也是PKI (主要指CA)中的一个核心问题，主要是指密钥对的安全管理，包括密钥产生、密钥备份和密钥恢复等。

密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由用户保留，公钥和其他信息则通过RA 交于CA 中心进行签名，供生成数字证书使用。

在一个PKI 系统中，维护密钥对的备份至关重要。如果没有这种措施，当密钥丢失后，将意味着加密数据的完全丢失，对于一些重要数据，这将是灾难性的。使用PKI 的企业和组织必须能够得到确认：即使密钥丢失，受密钥加密保护的重要信息也必须能够恢复，并且不能让一个独立的个人完全控制最重要的主密钥，否则将引起严重后果。

在某些情况下用户可能有多对密钥，至少应该有两对密钥：一对用于加密，一对用于签名。签名密钥不需要备份，因为用于验证签名的公钥(或公钥证书)广泛发布，即使签名私钥丢失，任何用于相应公钥的人都可以对已签名的文档进行验证。PKI 系统需要备份用于加密的密钥对，并允许用户进行恢复。

因此，企业级的PKI 产品至少应该支持用于加密的安全密钥的存储、备份和恢复。密钥的备份一般用口令进行保护，而口令丢失则是管理员最常见的安全疏漏之一。即使口令丢失，使用密钥管理中心提供的密钥恢复功能，也能够让用户在一定条件下恢复该密钥，并设置新的口令。

当用户的私钥被泄漏时，用户应该更新私钥。这时用户可以废除证书，产生新的密钥对，申请新的证书。

密钥管理中心需要与PKI 系统中的其它加密软件系统和硬件设备协同工作。

3.3.3 安全中间件

安全中间件是慧点PKI 方案的一个重要组成部分，是PKI 系统与应用系统的桥梁。各个应用系统通过安全中间件与底层的PKI 服务组件相互作用，协同工作，从而保证整个IT 系统的安全性。

安全中间件实现以下功能：

为应用系统提供一致的安全应用程序编程接口(API)通过加密服务组件驱动不同的CA 服务器产品、加密软件和硬件安全中间件与相关组件之间的关系如图3-4 所示。

安全中间件包括以下部分：

安全应用程序编程接口
安全应用程序编程接口屏蔽了PKI 系统复杂的技术细节，将PKI 系统与具体的应用系统有机的集成在一起，从而构成结构良好的企业分布式安全应用环境。当PKI 系统中具体的CA 服务器、加密软件和加密硬件发生改变时，基于安全中间件的应用系统不需要进行修改，只需要使用安全配置和管理组件对安全中间件的行为重新进行配置即可。

安全实体映射组件

安全实体映射组件维护IT 系统中用户与PKI 系统中的安全实体之间的映射关系。当用户采用不同的PKI 技术方案时，PKI 系统中的安全实体与IT 系统中的用户之间的映射关系可能会发生改变，这种情况在当用户采用专用的加密算法和非标准的证书系统时尤其明显。由安全中间件集中维护IT 系统中的用户与PKI系统中的安全实体之间的映射关系能够有效的简化应用系统的开发和实施。

加密服务组件

在安全中间件中，加密服务组件负责驱动PKI 中的第三方软件系统和硬件设备，向安全中间件提供用户身份验证、数据加密和解密的底层实现。用户通过安全应用程序编程接口发出的数据加密和解密请求实际上由加密服务组件负责具体的实现。

加密服务组件是慧点PKI 方案实现与来自第三方的CA 服务器产品、加密软件、加密硬件的集成的途径。慧点PKI 方案具有集成来自不同厂商的CA 服务器产品、加密软件和加密硬件的能力，这种能力是通过部署不同的加密服务组件来实现的。加密服务组件向安全中间件提供支持，在加密服务组件之上的安全中间件为应用系统屏蔽了底层的复杂的PKI 组件。

安全配置和管理组件

安全应用程序编程接口提供了完成独立于具体的PKI 系统组件的选型的接口，然后，随着用户对CA 服务器及相关软件、加密软件和硬件的选择不同，应用系统在使用PKI 系统提供的安全服务也会有所不同。这也即是为什么目前的大多数安全中间件事实上无法实现底层平台无关性的最主要原因。慧点科技的PKI 方案通过提供独立于安全应用程序编程接口的安全配置和管理组件来解决这一问题。当用户选择不同的CA 服务器及相关软件、加密软件和硬件时，PKI系统仍然需要进行新的配置，这是通过安全配置和管理组件实现的，应用系统不需要进行配置，安全中间件与安全配置和管理组件协同工作，真正的实现了PKI方案的可扩展能力、可定制能力、可开发能力和可集成能力。

四. PMI 部分

4.1 什么是PMI

PMI 是Privilege Management Infrastructures 的英文缩写，意为授权管理基础设施。PMI 建立在PKI 基础上，与PKI 相结合，提供实体身份到应用权限的映射，实现对系统资源访问的统一管理。PKI 证明实体身份的合法性；PMI 证明实体具有什么权限，能以何种方式访问什么资源。

典型的场景中，如下面图4－1 所示，如果某个用户或应用需要在某一个资源上行使某个操作。用户将向实际保护该资源的系统（如一个文件系统或一个Web Server ） 发出请求， 该提供保护的系统称为策略实施点PEP(PolicyEnforcement Point)。随后PEP 将基于请求者的属性、所请求的资源和所要行使的操作以及其它信息，来形成一个请求并发送到一个策略决策点PDP(PolicyDecision Point)。在PDP, 将查看该请求，并计算将有哪些策略应用到该请求，从而计算得出是否允许访问。决策的结果将会返回给PEP, 并由PEP 来执行对该访问请求的许可或拒绝。需要注意的是PEP 和PDP 是逻辑上的概念，它们可以就包含在一个单独的应用中，也可以分布在不同的服务器上。

4.2 为什么需要PMI

1. 控制和降低商业渠道扩展时所涉及的费用，并提供更灵活的通道。这就要求无需考虑最终用户的位置（例如客户，供应商，伙伴，或雇员），用户可以动态的使用多种交互方式（浏览器、PDA、无线设备等）来使用系统并获得相同的信息内容和质量。为实现这些不同的渠道和交互方式而采用重复复制框架和应用的做法将大大提高建设和维护费用，并因为一个实际的用户在多个系统中都拥有用户帐号，因此难以识别一个唯一的用户标识，并提供更好的关联服务。

2. 需要加快对系统的访问并能够安全有效地保护个人信息隐私，从而提高客户对企业的信任

3. 在基于Internet 的方案中，可以通过多个访问点来访问机密信息。如果没有一个适当的安全策略和高级的安全控制，机密信息泄漏和数据保护被破坏的可能性将大大增加。

4. 需要一个设备和应用独立的灵活而标准的用户标识（identity）管理方案。其实现必须支持多种技术和设备，并具有关键任务级的伸缩性和可靠性。

5. 需要提高操作效率而不降低安全性，需要提高个性化程度并能有效地进行活动用户管理。

4.3 PMI 发展的几个阶段

根据对身份认证和授权的处理方式的不同，以及技术发展提供的条件，身份验证和授权的实现经历了如下几个阶段，如图4－2 所示

在第一个阶段，即原始阶段，一个用户在多个用户系统中都有各自的账号，并需要分别登录验证。整个企业系统环境中，安全问题往往出现在最薄弱的系统中，由于需要保证和维护多个系统的不同的安全级别，大大增加了维护的费用和成本，并且出现安全漏洞的机会也大大增加。

在第二个阶段，为解决后台系统间互操作的问题，需要在各应用系统间建立信任连接。建立该信任连接往往是在应用系统开发时就进行决策。这样的方案一方面受到开发约束，另一方面，存在着比较大的安全隐患。

在第三阶段，整个企业已经建立起PMI 架构，各应用间包括传统应用能够通过统一的架构服务实现集中的身份验证和授权管理，因此大大降低了管理和维护的成本。同时可以集中的提高所有应用在身份验证和授权管理上的安全性。整个企业环境实现了Single Sign On。

在第四个阶段，PMI 扩展到了更大的架构，不同企业，不同地域间的应用和用户能够实现相互认证和授权。有多个用户标识管理和验证授权中心存在，相互间能够实现远程委托的身份验证和授权。通过该架构为用户提供了唯一可信的网络身份标识并为企业间的B2B 实现提供坚强的安全保证。

4.4 慧点PMI 的安全体系模型

在可信赖的Web Service 的安全架构中，完全需要集中地对用户的身份进行认证并且能够集中地进行授权管理和授权决策。Single Sign On 能提高和加强Web Service 参与的各系统的安全，并简化企业中各个异构系统的安全管理和维护。因此实现一个完整的，先进的PMI(Privilege Management Infrastructures)是实现可信赖的Web Service 的安全架构的重要基础。慧点的Trusted Web Service PMI就是这样一个先进的PMI 架构。在慧点PMI 的框架实现中，对于身份验证和授权服务都提供了基于SAML, XACML 的Web Service 访问方法。慧点的PMI 框架还可提供对Legacy Application 和Web application 的支持，并实现对这些应用的Single Sign On。

在下图中显示的是慧点PMI 框架的结构示意图。

在慧点的PMI 框架的软件产品中， 提供

1． 目录服务使用LDAP 协议进行访问。提供对系统元数据目录、用户身份和属性信息、用户授权信息、资源和服务信息、组织和角色信息、系统安全策略等重要信息的层次化存储和查询服务。LDAP 目录服务可以进行分布式部署，并通过群集实现负载均衡和高可用性

2． 管理服务（提供JMX 管理接口）提供对系统元数据目录、用户身份和属性信息、用户授权信息、资源和服务信息、组织和角色信息、系统安全策略等重要信息的创建管理和维护工作。在整个管理服务中，还实现了JxdyaManagement Extension（Jxdya 管理扩展接口），能够和整个慧点安全应用集成框架的顶层管理相集成。

3． 策略服务提供单点登录、身份验证、授权决策、以及会话管理和审核日志服务。在策略服务中，为应用系统的授权决策请求提供决策服务。

4． Policy Agent Policy Agent 充当受保护Web 服务器以及应用服务器和应用程序的安全策略代理。它能安装在各种类型的Web Server，如Apache、IIS、Domino 等服务器上，截听用户的访问请求，并通过访问Policy Server 的策略服务，来确定用户是否具允许该访问。Policy Agent 还能为参与Single Sign On场景中的原有的遗留应用提供Single Sign On 的支持。

在PMI Policy Server 的策略服务中包括

Single Sign On 提供对单点登录的支持

身份认证服务通过Plugable 方式提供对多种验证机制的身份认证服务

授权和访问控制服务判断和决策用户对应用的访问是否具有所需的权限。

Session 服务维护用户的Session 信息和有效期。该Session 信息被用于校验Single Sign On 令牌。

Logging 服务将各种安全事件记入日志，并提供对日志的浏览和分析服务。

SmartDot PMI 的Policy Server 通过Policy 中ACL 来保护一个组织机构的数据和Web 资源受到未被授权的访问。如果一个用户想要访问这些资源，它必须先提交起信任状并通过Policy Server 的Authentication 服务进行身份验证。该用户通过验证后，Policy Server 将会根据应用于该用户的一系列policy 来确定用户对该资源的访问授权。Policy Server 还给用户提供了Single Sign On 的能力，通过Session 服务和SSOToken 来记录和证明用户已经在一个站点/应用登录验证过，该用户在访问其他站点/应用时无需再次认证。

在PMI Policy Server的管理服务中包括

Policy 管理是用来为组织或用户创建和维护访问控制规则（rule）以及策略的，授予或拒绝用户对资源的访问。
Identity 管理是用来创建和维护用户，角色，用户组，组织和组织单元的。
Config 管理用来配置和管理Policy Server本身的元数据的。
Resource 管理是用来注册维护应用服务信息，以便在第一层能够控制用户对应用的访问。同时Resource 还能够管理和维护某些需要保护的资源（如Web 页面）。

在慧点PMI中，身份标识，属性，权限等信息都在一个基于策略的可信WebService网络框架中维护。通过提供PMI的软件框架，来管理这些信息的生命周期以及其属性，权限的使用。通过PMI，能提供对分离的网络应用的单点登录能力，并保证在用户管理中，用户和身份的一对一关系。身份管理和目录服务、策略控制、访问管理一起构成了慧点的可信的基于Web Service的PMI框架基础，并且与PKI安全平台一起，通过提供数字证书、身份识别、基于角色的授权服务构成PMI的服务体系。慧点PMI还可与外部的基于Liberty标准的身份服务互操作。从而建立联邦方式的网络身份管理服务

4.5 慧点PMI 的Single Sign On 实现

Single Sing On(单点登录)就是要实现通过一次登录自动访问的所有授权的应用软件系统，从而提高整体安全性，而且无需记忆多种登录过程、ID或口令。通过单点登录能即时访问最终用户执行任务所需的资源，从而提高生产效率。从管理角度看， Single Sing-on有助于减少口令重复设置请求，使技术人员有时间去集中精力执行更重要的任务。

4.5.1 为什么需要Single Sign On

口令越多，安全风险越大

在当今分布式计算环境中，用户每天都要登录到许多不同的应用软件和系绕，包括电子邮件、网络、数据库和Web服务器。每个系统一般都要求遵照一定的安全程序，即要求用户输入用户ID和口令。用户漫游的系统越多，出错的可能性就越大，安全性相应地也就越低。如果用户忘记了口令，就不能执行任务，从而降低生产效率。最终用户必须请求管理员帮助，在重新获得口令之前只能等待，这样造成了系统和安全管理员资源的浪费。为牢记登录信息，用户一般会简化密码，为多个系统使用相同的口令，或创建一个口令¡°列表¡±¡ª¡ª这是会危及公司信息保密性的几种常用做法。

而通过Single Sign On，用户可以设置并仅需要记住一个复杂的口令，并且可以根据策略可以定期更换该口令，从而提高了用户口令的安全性。

需要简化用户访问

借助慧点PMI Single Sing-On，用户只需一个用户ID和口令。一旦认证结束，用户可以立即访问所有被授权的系统和应用软件。在此条件下，管理员无需修改或干涉用户登录就能实施希望得到的安全控制。

需要简化用户帐号和口令的系统管理

如果没有使用Single Sign On， 则各个系统将存在各自独立的用户和授权管理。这样就出现了在企业中，如果增加一个用户，则每个应用系统都要添加；删除一个用户，则每个应用系统都要删除。随着这些独立应用系统的增加，用户帐号管理将会带来很大的管理负担，并由此可能造成系统的安全漏洞。并且由于系统间的用户信息没有办法相互共享或信任，一个系统的用户无法直接访问另一个系统。

使用Single Sign On可以集中地提高整个系统的安全性

可以对Single Sign On定义多个认证和安全级别，通过配置或用户访问敏感应用时，Single Sign On会要求用户通过严格的认证机制进行认证，如基于智能卡、指纹识别等，系统能根据被保护资源的密级制定和加强登录过程并结合数字证书对用户的身份进行有效的验证。这样就统一提高了原本只通过简单用户名和口令方式进行用户验证的安全性弱的应用的安全性，并为整个系统的应用统一提供了可靠的安全服务，而不需要每个应用程序单独开发复杂的高难度的登录和验证程序。慧点PMI Single Sing On支持多种第三方用户认证和应用授权方法。

4.5.2 Single Sign On 的实现

慧点PMI Single Sign On 采用了灵活的可插式（Plugable）的框架，支持多种单点登录的实现方式，可根据系统实施中的应用类型和应用分布的实际情况来灵活的进行部署和使用。

4.5.2.1 访问方式

慧点PMI Single Sign On 支持基于统一认证方式的Single Sign On 和基于代理的认证方式的Single Sign On:

对于统一认证方式的Single Sign On

存在一个集中的用户登录域，用户在该域上登录，验证通过后，系统将会生成一个访问令牌。在随后的访问中，这个访问令牌将会直接传递到要访问的应用系统中。应用系统信任该令牌并根据该令牌提供的用户信息决策用户的授权。对参加统一认证方式的应用系统，称这些应用系统为SingleSign On 的Partner（伙伴）。要成为Single Sign On 的Partner，应用系统需要使用慧点PMI 的客户端组件或能够处理SAML。因此对于Partner, 一般都是新开发的应用或能够进行改造的应用。可以通过Jxdya GSS-API 使用Kerberos 来实现统一认证方式的Single SignOn。

基于代理访问方式的Single Sign On

在一个基于代理Single Sign On 中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如, 它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理也能被放在服务器上面，在服务器的认证系统和客户端认证方法之间充当一个"翻译"。用户单点登录提供的认证信息被代理用来获取相应应用程序的映射用户认证和授权信息。

当用户通过Web Portal 访问非Partner 的应用系统时，可以通过Portal 提供的Proxy Portlet 来自动地登录这些应用系统，并通过Proxy Portlet 访问这些应用系统。

4.5.2.2 JAAS(Jxdya Authentication and Authorization Service)

慧点PMI 使用JAAS 来为jxdya 应用实现Single Sign On。JAAS 实现了一个Plugable 的验证和授权框架。能够将现有的安全服务作为插件插入。因为JAAS对于授权的检查构成了一个检查堆栈，因此通过JAAS 的验证和授权框架可以全面的保护Jxdya 应用程序的每一部分，而不仅仅是只能在应用程序的用户访问接口上。JAAS 支持层次化的，基于角色的访问控制，并全面支持Jxdya2 的权限模型。利用LDAP 方式的JAAS 实现，能够集中的管理用户以及访问控制策略，并能够有很好的伸缩性支持数量庞大的用户。

4.5.2.3 SAML(Security Assertion Markup Language)

慧点PMI 还实现了基于SAML 和WebService 的Single Sign On 服务，通过使用WebService 封装了底层的安全架构、实现、部署和维护都很容易。由于提供了基于SAML 的WebService 服务，因此慧点的PMI 很容易与第三方的站点应用程序实现互操作。

4.5.2.4 Single Sign On 的Session 管理

在慧点的PMI 的Session 管理中，支持对分离Session，活动Session，以及Single Sign Off。

Single Sign On Portal 和关联站点之间的session 是分离的

每个参与Single Sign On 的关联站点都有自己的休闲超时和最大超时值。当超过最大超时值，用户将被迫再次登录以访问那个站点。

Single Sign On, Portal 上的活动session

该模型允许关联站点的sessions 可以续借（renew），只要门户上的session还活动。如果一个关联站点的session 超时，并且又收到了该用户的一个后继请求，关联站点上的安全代理将会发送一个消息给门户。如果门户仍然有该用户的活动的session，关联站点上的该session 将会被重新激活。

Single Sign Off

在该模型中，当用户从门户注销，session 将中止，并且该用户将无法访问其他属于Single Sign ON 圈子内的其他站点。同样的，当用户从一个关联站点注销，关联站点上的安全代里将会发送一条消息到门户，并且涉及到本次Single Sign ON 圈子的关联站点的session 将会被终止。

4.5.2.5 Single Sign On 的Event Notification

关联站点能够通知Portal 该站点上某个特定的URL 正在被访问。该信息可用来在门户上记录用户在关联站点上的活动或驱动门户的相关业务逻辑。

4.5.2.6 提供对传统或独立应用的用户帐号管理的集成

慧点的PMI 中提供了传统或独立应用的用户帐号管理的集成能力。通过用户帐号管理代理（对于用关系数据库来管理和存储用户帐号信息的应用系统，可以使用慧点的数据交换平台服务来快速实现用户帐号管理代理的功能），系统管理员只需要在Portal 上进行一次的用户添加或删除操作，就可以自动地在外部应用系统上添加/删除相关的用户。

五. 方案的建设步骤和实施

5.1 PKI 方案的建设和实施

PKI 方案的建设和实施一般包含三个阶段：第一阶段是制定负责机构的实际情况的、易于操作的安全策略；第二阶段是完成PKI 基础设施的部署；第三阶段是完成与PKI 协同工作的应用系统的部署和改造。

5.1.1 制定安全策略

大多数机构在安全方面所犯的最大的错误就是没能建立良好的策略和实施步骤，也没有采取保证这些策略得以执行的措施。

美国麻省的Forrester 研究中心在1999 年1 月的一份报告中指出：“公司要避免复杂，建立简单的策略，使用用户看不到的技术。”建立简单的策略这一点非常的重要。因为如果策略对于执行它的人显得过于的繁琐和复杂，那么这些策略本身就非常可能不会得到有效的贯彻。来自纽约一家开发PKI 服务的公司¡ª¡ªIdetrus 公司的Paul Donfried 指出：“公司有的时候需要寻求平衡和折衷。不能制定让每个人都有管理员的权限，也不能把什么都设成密码，那样的话，用户会把密码写下来，就更不安全了。必须制定合适的策略和实施步骤，否则制定了人们也不会执行。”

制定一个简单的策略并不是一件简单的事情，因为制定安全策略需要考虑太多的问题。对于一个需要建设PKI 系统的机构来说，需要评估企业的所有工作流程中存在安全隐患和危机的每一个环节，寻找对应的解决途径，这一工作可以从两个方面展开。

一方面，企业和机构需要来自提供专业的PKI 服务公司的技术咨询，一起分析机构所面临的潜在的安全性问题，收集和汇总机构中各部门的安全性需求。对这些安全性问题和需求进行评估，指出解决技术和管理途径。很多安全性问题的解决并不是依赖于技术手段，而是依赖于管理手段。制定安全策略时需要针对不同的安全性问题，指出具体的解决问题的方法。

另一方面，制定安全策略需要机构中每一个成员的参与，把相关领域的人员都召集起来，一起制定策略的实施步骤，这样执行和实施这个策略的可能性才会高。完全来自于管理层的安全策略常常由于得不到具体的执行人员的理解和支持而变得形同虚设，这是很多建立了PKI 系统的机构正在面临的尴尬处境。

5.1.2 PKI 基础设施的部署

CA 及相关组件的部署是PKI 系统基础设施的部署的一个核心内容。机构需要用户自身对安全性的需要，首先对CA 服务器及相关软件进行选择，完成CA及相关服务器的部署，进一步的制定证书的申请、存储和撤销流程。

5.1.2.1 CA 产品的选择

CA 的部署中的一个重要内容是CA 服务器软件的选择。根据用户实际情况的不同，对CA 服务器软件的选择有着相应的变化。慧点科技的PKI 方案可以很好的与多种CA 服务器软件协同部署，能够根据用户自身的需求进行定制。

对于基于Microsoft Windows 2000 部署企业的IT 系统的中小企业，可以考虑选用Microsoft Certificate Services。Microsoft Certificate Services 与Windows2000 和Active Directory 紧密集成，无需作为一个单独的软件系统购买和维护，管理、配置和使用都非常简单，对于希望建立一个低成本的、易于维护的PKI环境的用户具有相当的吸引力。

在Linux 操作系统下运行应用系统的中小企业用户可以考虑选用SmartdotCA。Smartdot CA 在开放源码项目OpenCA 的基础上对易用性和可维护性进行了增强。Smartdot CA 可以采用RA 和CA 分离部署的方式，提供了较高的安全性支持。

对应用系统安全有更高的要求的用户可以选用其它的第三方CA 产品。在慧点科技的PKI 方案中，用户可以根据自身的需要选择不同的CA 产品。具有对多种PKI 产品的集成和协作能力，是慧点科技的PKI 方案与其它厂商提供的PKI 方案相比的一个显著特点。

5.1.2.2 认证机构的部署

认证机构的部署是PKI 方案的实施的核心。在基于PKI 的方案中，所有与用户的身份验证有关的过程都需要在认证机构的参与下完成。

认证机构的部署包括：

(1) RA 服务器的部署

RA 服务器负责接收和审核用户的证书申请请求。

(2) CA 服务器的部署

CA 服务器负责证书的签发和撤销。

(3) LDAP 服务器的部署

安全中间件和PKI 系统中的其它组件通过LDAP 服务器获取应用系统中所需的用户证书。

(4) 数据库服务器和密钥管理服务器的部署

数据库服务器用于存储和管理认证机构的各类数据，包括用户的密钥、用户信息、证书、日志及统计信息等。密钥管理服务器与数据库服务器协同工作，负责完成用户的密钥对的产生、备份和恢复等。

5.1.2.3 证书的存储

数字证书作为一种电子数据格式，可以以多种方式存储，不同的存储方式在安全性、易用性等多方面存在不同，用户可以根据自身对安全性的需要进行选用。

常见的用户证书存储方式包括以下几种：

(1) 使用IC 卡存储用户证书

(2) 使用USB 设备存储用户证书

(3) 使用磁盘文件存储用户证书

用户在PKI 系统中的私钥一般也随用户证书保存在IC 卡、USB 设备或磁盘文件。保存在IC 卡或USB 设备中的私钥使用PIN 码保护。当用户重试超过一定次数后，IC 卡或USB 设备将被锁定，需要由管理员解锁后才能继续使用，因此保护了用户的私钥的安全性。在磁盘文件中存储的用户证书一般可以设置密码保护，如果磁盘文件被第三者获取，存在用暴力法破解的可能性，因此只能使用在对安全性要求不高的场合。在这种情况下，使用复杂的密码能够在一定程度提高用户的私钥的安全性，但是也造成了用户使用上的不便。

5.1.2.4 证书的申请和撤销

证书的申请一般有两种方式：一种是在线申请，另外一种是离线申请。在线申请就是通过浏览器或专门的应用系统通过在线的方式申请数字证书，这种方式主要用于申请普通用户的证书或申请测试证书。离线方式一般使用人工的方式到证书颁发机构办理证书申请手续，通过审核后获取数字证书，这种方式主要用于比较正式和重要的场合。

证书申请的流程如下：

(1) 用户申请

用户在申请证书时，先生成公钥和私钥对，将私钥以特定的方式保存，将公钥和个人信息提交到注册机构服务器。

(2) 注册机构审核

用户提交公钥和个人信息后，与注册机构人员联系，证明自己的真实身份，注册机构如果同意用户的证书申请请求，对用户的证书申请添加注册机构的数字签名。

(3) CA 发行证书

注册机构RA 通过硬拷贝的方式向CA 用户的证书申请和注册机构的数字签名，如果数字签名验证通过，CA 操作员同意用户的证书申请，签发证书，然后由CA 将证书输出。

(4) 注册机构转发证书

注册机构RA 操作员将CA 签发的证书输出到LDAP 服务器，以提供用户证书浏览服务，最后通知用户以特定的方式获取用户证书。

(5) 用户获取证书

用户通过指定的方式获取由CA 签发的证书，完成证书申请的流程。用于标识用户身份的证书可能会因为多种原因失效，在此情况下需要执行证书撤销的操作：

(1) 用户丢失或泄漏与证书对应的私钥

(2) 用户信息变动
如果用户的工作岗位等发生变动导致用户在机构中的角色和职责发生变化，则可能会需要撤销用户所持有的数字证书，颁发新的符合用户身份的数字证书。

(3) 用户不可信赖

如果用户在信息系统中的行为与其在机构中的角色和职责不符，将可能会导致用户在安全的信息系统中不可信赖。认证机构可能会需要撤销用户所持有的数字证书。

证书撤销的流程如下：

(1) 用户向注册审核机构提出证书撤销申请。

(2) 注册审核机构同意证书撤销申请。

(3) CA 更新CRL，然后将CRL 以多种格式输出。

(4) 注册审核机构转发CRL，以多种不同的方式将CRL 公诸于众。

(5) 用户通过安全服务器下载CRL，验证会话中的数字证书是否有效。

5.1.3 应用系统的部署

PKI 方案需要在应用系统的支持下才能有效的运行。PKI 技术的广泛应用能、够满足人们对网络安全保障的需求。PKI 的应用范围非常广泛，并且在不断发展中。基于慧点的PKI 方案，用户可以部署：

虚拟专用网络(VPN)

由于传输的是私有的敏感数据，用户对于VPN 的安全性有较高的要求，基于慧点PKI 系统，可以使用隧道技术、加密和解密技术、密钥管理技术、使用者和设备身份认证技术等多种技术提高VPN 的安全性。

安全电子邮件

安全电子邮件允许用户通过普通的电子邮件来传递敏感数据。借助于慧点PKI 方案的支持，安全电子邮件可以保证敏感数据的真实性、保密性，也可以不可否认性。安全电子邮件提供基于S/MIME 标准的安全电子邮件和基于Web 的安全电子邮件。

安全公文传输与交换

安全公文传输与交换允许用户通过公共网络(Internet)安全的传输各类文档。安全公文传输与交换在公共网络中传输加密和签名后的电子文档，提供基于Web的文档接收、解密和验证界面。

SSL 与Web 安全

SSL (Security Socket Layer)是由Netscape 公司首先发表的网络安全传输协议。SSL 从会话层向应用系统提供安全保障。SSL 可以为各种应用系统提供通过公共网络的加密数据传输，基于慧点PKI 方案，还可以进一步的实现对客户端和服务器端的双向的身份认证。基于SSL 的HTTP 协议¡ª¡ªHTTPS 为IT 系统中的基于Web 的应用系统提供了易于实现的安全保障。

应用系统与安全中间件

应用系统通过安全中间件提供的安全应用程序编程接口来使用PKI 系统提供的各种安全服务。安全中间件有效的屏蔽了PKI 系统中复杂的技术细节，并保证了当PKI 系统的底层实现发生改变时，应用系统无需进行修改，即可以与改变后的PKI 系统协同工作。

5.2 慧点PMI 建设实现

5.2.1 建设步骤

下图是方案实施完成后所带来的变化。在慧点的PMI 实施完成后，整个系统将会由一个分散的用户管理和应用访问转变成一个基于门户的，集中管理和访问的，能进行Single Sign On 的集成的系统。进一步的可以伴随PMI 和PKI 的建设，建设和实施慧点的基于可信WebService 的安全应用集成平台框架，无缝的集成企业内部和外部的业务流程，为客户提供新的，满意的服务。

5.2.2 安全方案的网络部署

上图是一个在简化的慧点安全解决方案的网络部署拓扑图。在图中，Internet 上的用户可以通过浏览器访问企业的门户服务器(Portal Server)。用户在门户上进行单点登录，并根据授权访问内部应用系统提供的服务。在图中部署有CA Server和RA Server，提供证书的申请、创建、管理和发布服务，同时安全中间件运行在各个服务器上，为应用透明地提供数据加解密、数字签名等安全服务，而不需要直接与底层的安全算法/硬件提供者打交道。Policy Agent 运行在各个应用服务器和Web 服务器上，并通过Policy Server 进行身份认证和授权决策。在系统中Policy Server 和存储用户信息和授权信息的LDAP Server 使用群集来实现负载均衡和高可用性。

六. 慧点产品安全方案的关键特性和优势

6.1 慧点PKI 方案的关键特性和优势

作为一个方案提供商，慧点科技的PKI 方案与来自其它厂商的PKI 方案相比，在可扩展能力、可定制能力、可开发能力和可集成能力等方面具有显著的特色。

可扩展能力是指用户在完成PKI 方案的建设和部署之后，如果在安全性方面具有新的需求，可以对PKI 方案中的多个关键环节，如CA 服务器软件、加密硬件设备、加密软件设备等进行独立的扩展，而建构在目前的PKI 方案基础上的应用系统无需进行修改即可与扩展后的系统协同运行，从而可以大幅度的降低用户在未来可能的迁移成本，同时保证了当前建设的PKI 方案在未来不至于成为限制应用系统的安全性的一个因素。而事实上，很多已经建设了PKI 的机构所采用的PKI 方案本身的可扩展能力不足，正日益成为进一步提高新建设的应用系统的安全性的障碍。而慧点的PKI 方案在设计时即对此加以了特殊的考虑，具有很好的可扩展能力。

可定制能力是指用户在建设PKI 方案时，可以根据自身对安全性需要对CA服务器及相关软件、加密算法、加密软件和硬件系统等进行自由的选择。每个需要建设PKI 的用户在安全性方面都有其特殊的需要，然后，当用户选择很多PKI方案时，却常常囿于这些PKI 方案的限制，对PKI 方案中的各个组成部分只有很少的几种选择，或者根本没有选择。而慧点的PKI 方案在设计就考虑了集成多种不同的CA 服务器、加密软件和硬件系统的能力，具有很好的可定制能力，能够满足不同用户对安全性的不同需求。

可开发能力是PKI 方案得以有效实施的一个重要保证。归根到底，PKI 方案只有得到应用系统的全面的支持才能有效的提高机构的IT 系统的安全性，否则只能是用来摆设的花瓶，并不能为客户带来实际的价值。慧点的PKI 方案为应用系统提供了一致的安全中间件接口，安全中间件接口本身对来自不同的CA 服务器和相关软件、加密算法、加密软件和硬件系统均保持一致，从而简化了应用系统的开发。

可集成能力是PKI 方案可以与应用系统密切结合，协同工作。PKI 不是IT系统中孤立的一环，仅仅部署PKI 不能够在任何程度上提高IT 系统的安全性，而必须于应用系统结合。慧点科技不仅仅是一个安全方案的提供商，同时也是一个电子商务和电子政务解决方案的提供商。慧点科技的PKI 方案与PMI、DCI等平台紧密集成，能够在每个环节满足用户对安全性的要求。

6.2 慧点PMI 的关键特性和优势

集中管理、随处访问

提供集中的用户和权限管理和控制服务，支持多个异构系统平台，支持不同的操作系统，支持多种的WebServer，支持多种应用服务器。通过门户和Single SignOn，实现了随处访问，用户可以从不同的访问地点去进行认证和服务访问，如在内部网络，远程访问，或不同的建筑物间。用户可以使用不同的终端设备来访问服务，这些设备可以是PC, 手机，语音电话，PDA 等。

Single Sign On

完整地实现了Single Sign On。不仅能够对各种类型的Web Application(ASP,Jxdya Servlet, JSP 等)， WebServer(Apache, IIS, Domino)，以及各种JxdyaApplication Server（WebLogic, WebSphere, Sun Application Server），通过Policy Agent 实现Single Sign On 场景，而且对于传统的数据库应用也能通过门户（Portal）上的Proxy Portlet 来实现这些传统应用的Single Sign On。

通过Portal 提供对应用的良好集成支持。慧点PMI 可以通过慧点的门户产品Indi.Portal 快速方便地设Single Sign On 的登录和身份验证网页，并通过Portal 访问各个参与Single Sign On 的应用系统提供的服务。

提供多种级别的安全认证服务。支持多种认证机制，包括Windows NT/2000和智能卡、指纹识别、动态密码、SafeWord 卡等认证机制。可以配置不同的应用需要使用不同的认证级别，如果Single Sign On 当前的认证级别低于应用系统所需要的认证级别，Single Sign On 会要求用户重新到新的级别上进行认证。支持为一个程序配置同时使用多种认证机制。

对于安全性重要的传统应用提供本地角色映射支持。某些参加Single Sign On的传统应用程序拥有自己的用户帐号信息，并自己管理着用户对该应用的访问授权。在某些场景下，这些应用的机密的用户帐号信息不允许在外部服务器上存放或在网络传输，要实现这些应用的Single Sign On。需要在应用程序本地，将Single Sign On 的用户帐号映射成该用户的本地应用程序账号并实现自动登录。慧点的PMI 能够很灵活方便地通过部署实现这种方式的Single Sign On。

提供对基于Form 表单登录的传统Web 应用程序的Single Sign On 支持。传统的基于Form 表单方式登录的应用程序无需修改代码，通过慧点的PMI，就能够加入到Single Sign On 中来。慧点PMI 的Policy Agent 支持应用登录插件，通过应用登录插件的支持，能够自动模仿浏览器，生成并提交应用所需的登录表单结果（自动填写表单域中的用户名和密码），并同时维护应用登录成功后自己产生的SessionID 和该用户Single Sign On 令牌之间的关系。

柔性的授权管理平台

方便建立有效的管理模型和存储模型(LDAP 目录树)，如用户，角色，组，组织结构，组织单元，策略。使用基于浏览器的界面来在LDAP 中创建管理用户帐号，服务属性，和访问规则。用户并不需要了解后台的LDAP。

提供动态组（dynamic group）定义能力。通过属性过滤器来动态控制哪些用户是该组的成员。例如可以将所有工作岗位属性为“办事员”的用户动态地分为一组。

据有委托管理的能力，对每个组织都内置有组织管理员角色，该角色被授予能够并且只能管理本组织内的对象。

提供通过模板来创建LDAP 上的目录结构的能力。并且可以通过慧点的数据交换平台服务的支持，快速的从传统应用（如人力资源管理）中导入大量的原有用户，免去了管理人员重新守东新建用户信息的繁琐操作。

高可用性

方便地通过热备份和负载平衡来实现在大规模企业应用中所需要的伸缩性和高可用性，并保证了系统不会出现单点失效的问题。

安全网络通讯

浏览器客户机使用SSL 来在门户系统上登录和使用Single Sign On, 以保护登录过程的安全。在后台应用系统的Policy Agent 和Policy Server 之间的通讯也是经过加密的。

带来高价值

整个慧点可信的WebService PMI 构成的环境中，可以统看成有两类角色参与。一个是使用者(consumer)，如客户、供应商、伙伴、和雇员。一类是提供者，如设备制造商、身份标识验证和授权服务提供者、以及应用服务提供者。

对于使用者来说

慧点PMI提供和培育了使用者间建立信任的业务环境，在该环境中，个人数据信息安全并且信息共享策略是清晰的。信息共享策略提交给授权管理服务进行有效的管理。通过Single Sign On ，信息可以在任何地点，任何设备，任何时间安全地被访问和提交。这将带来新的商业机会，刺激着出现更广泛地使用新服务，新的商业以及更多满意的客户，同时将加速Internet和网络服务的采纳和广泛使用。

对于提供商:

消除任何时候一个应用或服务被访问时自己实现身份鉴别和验证的需要，慧点的可信WebService的PMI给服务和设备提供者带来了空前的价值。

慧点的可信WebService 的PMI能提供多个验证和信任安全级别，降低了欺骗发生的可能性并减少了服务供应商自己保存客户隐私信息所面临的风险。

通过将标识和授权管理从应用和设备中分离出来，就能够容易地对来自不同供应商的增值服务进行集成从而给客户提供一个全面综合的产品。

采纳慧点的可信Web Service 的PMI 可以减少在线交易的欺骗行为，并减少所有参与业务交易的价值链上的合作伙伴的集成和支持费用。此外，在慧点可信PMI的支持下，增加客户忠诚度、满意度和提高员工的生产率，培育新的商业合作伙伴将是一件容易的事情。

6.3 慧点OA 产品安全应用的关键特性和优势

安全电子邮件

在一般的企业信息系统中，电子邮件的使用包括两类场景：

使用电子邮件客户程序(如Outlook、Outlook Express 和Foxmail 等)

使用基于Web 的电子邮件系统

慧点科技基于PKI 实现的安全电子邮件，可以实现以上两种情况下的邮件安全。

基于电子邮件客户程序部署安全电子邮件

目前得到普遍使用的电子邮件加密手段有：PGP、S/MIME。PGP 和S/MIME主要基于电子邮件客户程序部署，一般情况下不适用部署在基于Web 的电子邮件系统中。慧点安全电子邮件可实现在电子邮件客户程序的部署。

基于Web 电子邮件系统部署安全电子邮件

通过数字签名和数字加密的方式，确保您的电子邮件只有指定的收件人才能阅读，并且杜绝他人冒用你的名义发送邮件，不再有偷窥、冒用等烦恼。

电子签章

1. 提供Indi.WordSign 插件，以COM 控件的方式和Microsoft Word 软件实现无缝接入的。可实现一人或多人（单位）会签；且经过签署后的文档可设置打印份数。电子签章系统为Word 文档提供了签署及验证的功能，实现了对Word文档签署者的防抵赖和文档信息完整性验证。实现了文档签章、文档验证、撤消签章、身份认证、查看证书、签章时间、删除样章、打印控制、版本信息等功能。

2. 提供Indi.SecurityBrowser Web 网页的签名和加密插件，对在页面提交的信息进行签名，提供对提交者的身份合法性的认证以及对所提交信息的完整性验证，以及保护和加密所提交的信息。

总结

由于PKI 是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。

利用PKI 可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事业务活动。安全中间件作为PKI 的组成部分，为应用程序和认证机构之间搭建起一座桥梁，授权管理体系（PMI，Privilege Management Infrastructures）是信息安全系统中重要的基础设施，它向应用系统提供对实体（用户、程序等）的授权服务管理，提供实体身份到应用权限的映射，提供与实际应用处理模式相应的、与具体应用系统开发和管理无关的授权和访问控制机制，简化具体应用系统的开发与维护。不难看出，建立以PKI 为基础的安全解决方案，无论是对在Intranet 上开展的无纸办公等内部业务，还是对电子支付、网上证券交易、网上购物、网上教育、网上娱乐、电子政府等网络应用，都是一种安全可靠的选择。