1、天天文档在线 联系 qq:744421982 密 级: 文档编号: 项目代号: 中国移动中国移动 DominoDomino 数据库数据库 安全配置手册安全配置手册 Version 1.1 中国移动通信有限公司 二零零四年十一月 Domino 数据库安全配置手册 拟拟 制制: : 审审 核核: : 批批 准准: : 会会 签签: : 标准化标准化: : Domino 数据库安全配置手册 版本控制版本控制 版本号版本号日期日期参与人员参与人员更新说明更新说明 分发控制分发控制 编号编号读者读者文档权限文档权限与文档的主要关系与文档的主要关系 1 创建、修改、读 取 负责编制、修改、审核 2 批准负
2、责本文档的批准程序 3 标准化审核作为本项目的标准化负 责人,负责对本文档进行标 准化审核 4 读取 5 读取 Domino 数据库安全配置手册 目目 录录 第一章第一章 概述概述.1 第二章第二章 数据库存取控制数据库存取控制.2 2.1 使用 ACL 限制访问数据库.3 2.1.1ACL中的存取级别.3 2.1.2配置数据库 ACL.6 2.2 强制实现 ACL 的一致性.7 2.3 加密数据库.9 2.4 为数据库或模板签名.11 第三章第三章 NOTES/DOMINO 认证认证.12 3.1ID 文件.14 3.1.1 ID文件的类型.14 3.1.2 Notes ID的内容.15 3
3、.13验证字.16 3.2 交叉验证字.18 第四章第四章 INTERNET 客户认证客户认证.19 4.1 基本的用户名加口令认证.21 4.2 基于会话的用户名加口令认证.21 4.3 SSL 认证.23 4.3.1 服务器认证.24 4.3.2客户端认证.25 第五章第五章 安全检安全检查查列表列表.25 术语表术语表.26 Domino 数据库安全配置手册 第 1 页 共 25 页 第一章第一章 概述概述 Notes/Domino 提供了一个健壮的安全模型,可以通过裁剪来满足您所在组 织的需求。Notes/Domino 拥有一个六层的安全系统。 网络 网络安全性可以防止对服务器端网络未
4、经授权的访问。如果在网络层阻塞 了访问, 未经授权的用户就不能访问任何 Domino 服务器。 网络访问典型情况下是使用网络硬件和软件进行控制的,但是可以通过对 Domino 服务器端口的数据进行加密来提供进一步的安全性。 对网络端口数据加密可以阻止未经授权用户通过使用网络协议分析器来读 取数据。 对网络传输加密,可以使用端口加密或者 SSL。 用户认证 用户认证是一个在客户端试图访问 Domino 服务器时 Notes 客户端和 Domino 服务器用来进行相互确认和鉴定的过程。 Notes 和 Domino 使用存储在 Notes ID 文件中的验证字来进行确认和鉴定。 当使用 Inter
5、net 协议时,可以使 用基于 X.509 的验证字或者用户名加口令来认证。 服务器 服务器安全性控制对 Domino 服务器的访问。在校验服务器安全性之前用户 必须要通过认证。服务器访问通过在 Domino 目录中的服务器访问列表来进行 控制。 数据库 数据库安全性控制对 Domino 服务器上数据库的访问。在校验数据库安全性 之前用户必需访问到了服务器并且通过了认证。 数据库访问通过数据库访问控 制列表(ACL)进行控制。本地数据库可以通过加密来确保只有拥有正确口令和 ID 文件的用户才能进行访问。 设计元素 Domino 数据库安全配置手册 第 2 页 共 25 页 设计元素安全性控制对
6、表单、视图和文件夹的访问。在设计元素安全性发 生作用前用户必需要访问到数据库。使用设计元素安全性,可以允许用户查看 数据库中某些类型的文档而阻塞其它类型。控制表单访问,使用表单访问列表 和密钥。控制视图和文件夹访问,使用视图和文件夹访问列表。设计元素安全 性也可以用来限制运行在 Notes 工作站上的公式和脚本的行为 。控制工作站的 访问,使用执行控制列表。 文档 文档安全性控制对文档中域、节和段或者整个文档的访问。这是最细粒度 的安全性。可以使用读者和作者域控制对整个文档的访问。控制对节和段的访 问,使用“当时候隐藏(hide-when)”公式。控制对域的访问,使用密钥。 本地数据库安全 上
7、面的六层安全性应用于存放在 Domino 服务器上的数据库,并且用户是通 过网络来进行访问。如果某个人未经授权地访问到了用户的计算机或服务器, 他可以绕过安全设置直接读取本地数据库。为了避免未经授权的访问,Notes 可 以加密数据库并且加强本地数据库的 ACL。 第二章第二章 数据库存取控制数据库存取控制 限制对 Domino 数据库的访问可以防止未经授权的用户访问信息有以下几 种方式。 任务用途用途 使用 ACL 限制访问数据库控制 Notes 和 Internet/Intranet 用户以及 Domino 服务器对数据库的访问。 强制实现 ACL 的一致性 通过强制在一个位置进行全部的
8、ACL 更改,来保护服务器上的数据库 和模板。 加密数据库防止未经授权的用户访问服务器 Domino 数据库安全配置手册 第 3 页 共 25 页 或工作站本地的数据库。 对数据库或模板进行签名 识别数据库或模板的创建者。当 用户访问数据库时,系统会检查签名 以确定是否允许执行此操作。 例如,在 Domino 服务器上,代 理管理器会检验代理的签名并检查签 名者是否有权执行此操作。在 Notes 客户机上,对照工作站 ECL 中对签 名者设定的权限来检查签名。 2.12.1 使用使用 ACLACL 限制访问数据库限制访问数据库 每个数据库都有一个 ACL(存取控制列表)用来指定用户和服务器对该
9、数 据库的存取级别。尽管用户和服务器的存取级别的名称是一样的,但是指定给 用户的级别决定用户在数据库中所能执行的任务,而指定给服务器的级别则决 定服务器可以复制数据库中的哪些信息。只有具有“管理者”存取级别的用户 才能创建或修改 ACL。 要控制 Notes 用户的访问权限,应为每位用户或群组选择在数据库中的存 取级别、用户类型和存取级别权限。创建数据库时可以设置 ACL 中的缺省项 目。如果数据库设计者确定需要对数据库细分存取级别,则您还可以指定角色。 将数据库投入使用前,应与设计者以及数据库的用户代表一起规划正确的存取 级别。 对于 ACL 中的每个用户名、服务器名或群组名,可以指定: 存
10、取级别 存取级别权限 用户类型 角色 2.1.1ACL 中的存取级别中的存取级别 Domino 数据库安全配置手册 第 4 页 共 25 页 在数据库 ACL 中指定给用户的存取级别能够控制用户在数据库中可以执 行哪些任务。存取级别权限增强或限制了授予 ACL.中每个名称的存取级别。 对于 ACL 中的每个用户、群组或服务器,可以选择基本的存取级别和用户类 型。要进一步细化访问权限,可以选择一系列访问权限。如果数据库设计者创 建了角色,请将其分配给相应的用户、群组或服务器。 在数据库 ACL 中分配给服务器的存取级别用于控制服务器可以复制数据 库中的哪些信息。 要访问特定服务器上的数据库,No
11、tes 用户必须既具有相应数据库的访问权 限,又具有相应服务器的访问权限(在 Domino 目录的“服务器”文档中指定) 。 要查看数据库的 ACL,用户必须至少具有“读者”存取级别。 下表按从高到低的顺序列出了用户存取级别下表按从高到低的顺序列出了用户存取级别。 存取级别存取级别 允许用户进行以下允许用户进行以下 操作操作 分配给分配给 管理者 修改数据库 ACL。 加密数据库。 修改复制设置。 删除数据库。 执行较低存取级别 允许的所有任务。 负责数据库的两个 人。这样,如果一个人 不在,可以由另一个人 管理数据库。 设计者 修改所有的数据库 设计元素。 创建全文搜索索引。 执行较低存取级
12、别 允许的所有任务。 数据库设计者和/或 负责未来设计更新的人 员 “编辑者”存取级 别 创建文档。 编辑所有文档(包 括其他人创建的文档) 读取所有的文档, 除非表单中包含“读者” 域。如果编辑者未在 “读者”域中列出,则 允许在数据库中创 建和编辑文档的任何用 户 Domino 数据库安全配置手册 第 5 页 共 25 页 具有“编辑者”ACL 存 取级别的用户将无法读 取或编辑文档。 作者 创建文档(如果用 户或服务器还具有“创 建文档”存取级别权限) 在为用户或服务器指定 “作者”存取级别的同 时,还必须指定“创建 文档”存取级别权限。 编辑包含“作者” 域并且在该“作者”域 中指定该
13、用户为作者的 文档。 读取所有的文档, 除非表单中包含“读者” 域。 需要向数据库发布 文档的用户 读者 读取包含“读者” 域并且在该“读者”域 中指定该用户为读者的 文档。 只需要阅读数据库 中的文档,而不需要创 建和编辑文档的用户。 存放者 创建文档,并且除 “读取公用文档”及 “写入公用文档”两项 权限以外,不再具有其 他任何权限。这两个权 限是设计者可能选择要 授予的权限。 只需要发布文档, 而不需要阅读或编辑自 己或其他用户的文档的 用户。例如,为投票箱 数据库使用“存放者” 存取级别。 不能存取者 除“读取公用文档” 和“写入公用文档”选 项以外不具有其他任何 权限。这两个权限是设
14、 计者可能选择要授予的 权限。 已终止的用户、不 需要访问数据库的用户 或在特定基础上能访问 数据库的用户。 注意注意 Note 如果某 些用户是某个群组的成 员,并且该群组的成员 都可以访问数据库,而 该用户不应该具有数据 Domino 数据库安全配置手册 第 6 页 共 25 页 库访问权限,则需要专 门为这些用户指定“不 能存取者”存取级别。 2.1.2 配置数据库配置数据库 ACL 在向数据库 ACL 中添加用户、群组或服务器之前,应先针对应用程序规 划数据库访问。在将名称添加到 ACL 中后,应为该名称指定存取级别。尽管 指定用户类型是可选的操作,但它可以提供附加的安全性级别。如果应
15、用程序 需要,请添加存取级别权限和角色。在配置了数据库 ACL 后,用户可以通过 在 Notes 客户机上单击 ACL 对话框中的“有效权限”按钮来查看自己对数据 库的存取级别。 操作步骤: 1.确保您满足下列条件: 数据库 ACL 中的“管理者”存取级别 创建了希望在 ACL 中使用的角色和群组。 2.从 Domino Administrator 的“服务器”窗格中,选择存储数据库的 服务器。 3.单击“文件”,然后从 Domino 数据目录中选择一个或多个数据库。 注意注意 可以添加同一个项目到多个数据库中。还可以在多个数据库中编辑 和删除项目。请参阅本章后面的“编辑多个 ACL 中的项目
16、”主题。 从“工具”窗格中,选择“数据库”“管理 ACL”。 Domino 数据库安全配置手册 第 7 页 共 25 页 5.为 Notes 用户、服务器、群组以及经过验证的 Internet 用户添加 项目。 6.为每个项目设置存取级别。 7.(可选)为提高安全性,为每个项目选择一个用户类型。 8.(可选)通过限制或允许附加的存取级别权限来细化项目。 9.(可选)为 ACL 项目指定角色。选定的角色将显示复选标记。 10.(可选)在数据库的多个复本之间强制实现 ACL 的一致性。 11.(可选)指定管理服务器自动更新 ACL 项目。 12.(可选)为了防止具有“存放者”或“不能存取者”存取级
17、别的用 户利用操作系统进行数据库拷贝,可以通过“本地加密”选项使用服务器标识 符对数据库进行加密。这样,即使数据库被拷贝,也可以确保对服务器标识符 没有访问权限的任何用户都无法使用该数据库。 13. 单击“确定”保存更改。 2.22.2 强制实现强制实现 ACLACL 的一致性的一致性 Domino 数据库安全配置手册 第 8 页 共 25 页 可以确保服务器上所有数据库复本的 ACL 完全相同,同时还可以确保用 户在工作站或便携式计算机上制作的所有本地复本的 ACL 完全相同。 要保持数据库在所有服务器上的复本的存取控制列表相同,可以在某个复 本(该复本所在的服务器对其他复本拥有“管理者”存
18、取级别)上选择“强制 使用一致的存取控制列表”设置。如果选择的复本所在的服务器对其他复本没 有“管理者”存取级别,那么复制将失败,因为该服务器不具有复制 ACL 所 需的足够权限。 如果用户在本地复制数据库,数据库 ACL 将识别出该用户的存取级别, 因为该存取级别对于服务器来说是已知的。在进行本地复制时,这种情况是自 动发生的,而不必考虑是否启用了“强制使用一致的存取控制列表”。 应该注意的是,启用了“强制使用一致的存取控制列表”的本地复本将试 图遵从 ACL 中的信息并相应地确定用户可以执行的操作。但是,这也存在一 些限制。一个限制是群组信息是在服务器上生成的,而不是在本地复本中生成 的。
19、在本地复制数据库时,执行复制的个人的群组成员信息将存储在数据库中 以供 ACL 检查使用。如果执行复制的用户之外的个人/标识符访问本地复本, 将没有关于该用户的群组成员信息可用,ACL 仅能使用该用户标识符而不是群 组成员备份进行访问权限的检查。 另外,强制使用一致的存取控制列表并不能为本地复本提供额外的安全性。 要保持本地复本数据的安全性,应对数据库进行加密。 注意注意 当选中了“强制使用一致的存取控制列表”选项时,如果用户更改 了本地或远程服务器数据库复本的 ACL,数据库将停止复制。日志文件 (LOG.NSF) 记录一条消息,说明由于程序无法在复本中维持一致的 ACL,因 此复制无法进行
20、下去。 操作步骤: a.确保在选定的所有数据库的 ACL 中都具有“管理者”存取级别。 b从 Domino Administrator 的“服务器”窗格中,选择对希望强制使用一 致的 ACL 的数据库有“管理者”存取级别的服务器。 c单击“文件”,然后从 Domino 数据目录中选择一个或多个数据库。 d单击“工具”“数据库”“管理 ACL”。 Domino 数据库安全配置手册 第 9 页 共 25 页 e单击“高级”。 f选择“修改一致的 ACL 设置”选项。 要强制使用一致的 ACL,请选择“强制此数据库的所有复本使用一致的存 取控制列表”。 要禁止使用一致的 ACL,请选择“不执行一致的
21、 ACL 设置”。 g单击“确定”。 2.32.3 加密数据库加密数据库 a打开本地数据库。 b选择“文件”“数据库”“属性”。 Domino 数据库安全配置手册 第 10 页 共 25 页 c单击“基本”附签,然后单击“加密设置”按钮。 d选择“此数据库的本地加密方式”,然后选择下列选项之一: “普通加密对临时窥探提供了有限的保密。” “中等加密提供了良好的安全,保证了访问文档的速度。”对于 大多数用户,此级别可能是正确选择。 “当主要考虑文档的保密性时才使用强度加密。” e(可选)缺省情况下,仅列出您的用户标识符在数据库加密后只有您的 用户标识符可以打开此数据库。如果希望将访问此数据库的权
22、限授予另 一个用户,请单击“持续时间”按钮,然后从“选择名称”对话框中选 择一个通讯录和用户。 Domino 数据库安全配置手册 第 11 页 共 25 页 警告警告 如果选择另一个用户使其具有访问此数据库的权限,您将丧失对此 数据库的访问权限。 提示提示 要关闭对此本地数据库的加密,请选择“不在本地对数据库进行加 密”。 2.42.4 为数据库或模板签名为数据库或模板签名 可以为模板或数据库签名,以确保其完整性。例如,您可以通过这种方法 为某个代理签名,以便服务器上的代理管理器可以验证签名者是否具备执行代 理的权限。或者,您可以为数据库或模板签名,以便 Notes 客户机上的 ECL 评估哪
23、些数据库操作是可以执行的。如果为模板签名,则由该模板创建的所有 数据库都会继承此签名。 注意注意 如果只想为一个特定的设计文档或某个文档中的一个设计元素签名 (如特定的代理),则必须首先确定该文档的注释标识符。要确定文档的注释 标识符,请选择该文档,并选择“文件”“文档属性”,然后单击属性框的最 后一个附签。最后一行为注释标识符,例如,NT00000902。 a选择存储要签名的数据库或模板的服务器。 b在“文件”附签上,选择需要签名的数据库或模板。 c选择“工具”“数据库”“签名”。 Domino 数据库安全配置手册 第 12 页 共 25 页 d请选择其中之一: 选择“当前用户标识符”以使用
24、您的标识符签名。 选择“当前服务器标识符”以使用存储数据库或模板的服务器的标识符签 名。 e选择下列选项之一,以指定要签名的元素: 选择“所有设计文档”为每个设计元素签名。如果为多个数据库或模板签 名并选择此选项,则签名过程可能要花费一段时间。 选择“所有数据文档”为数据文档中的所有当前内容(热点)签名。 选择“所有文档类型”为特定的设计元素类型签名。 选择“指定 Notes 标识符”为特定的设计元素签名。 f选择“仅更新现有的签名(快速)”以便只更新以前签名过的设计元素。 使用此选项将更改以前签名过的设计元素上的签名。 g单击“确定”。对话框将显示已处理的数据库及所出现错误(如果有) 的数目
25、。有关详细信息,请参阅 Notes 日志。 第三章第三章 Notes/Domino 认证认证 所有 Notes/Domino 安全性都是基于用户认证的。认证非常重要,因为它可 Domino 数据库安全配置手册 第 13 页 共 25 页 以将一个用户和其他的区分开来;没有它就无法识别一个用户是否就是他声称 的那个。因此它是提供对 Notes 和 Domino 资源进行访问限制的关键。 Notes 认证过程依赖于一个由验证者加到 ID 文件中的验证字。每个 Notes 客户端使用一个 ID 文件来进行识别。 验证和识别是个复杂地过程。熟悉下面的术语有助于进一步理解这些过程。 公钥加密 公钥加密也
26、称非对称加密。使用公钥加密用户拥有一对密钥私钥和公钥。 公钥分发给所有和你通信的人。在Domino中,公钥发布在Domino目录中。 对称加密 对称加密,通常指的是密钥加密,使用一个通用的密钥和相同的数学运算 法则来对信息进行加密和解密。如果两个人想和对方通信,双方都要在对数据 加密和解密的数学运算法则上达成协议,他们还需要一个通用的密钥。 数字签名 数字签名是一个手写签名的等价物,它是一个附加在一条信息上可以校验 身份的唯一文字块。它可以确认发送者的身份和信息的完整性。这个文字块使 用公钥和私钥进行加密和解密。 公钥验证字 验证字是一个存储在 Notes 或 Domino ID 文件中使用公
27、钥和一个名字关联 的唯一电子印记。验证字允许用户和服务器访问特定的 Domino 服务器。一个 ID 文件可以有多个验证字。 SSL 验证字使服务器用 Domino 验证字应用程序创建的验证字可以让 Domino 和其它应用程序更容易地交换验证字。SSL 验证字包含一个公钥、一个 名字、一个过期日期和一个数字签名并且存储在一个叫做钥匙圈的文件中。钥 匙圈文件是被口令保护的,并且存储了一个或多个验证字,位于客户端或服务 器的硬盘上。公钥和私钥是一对用来初始化 SSL 加密事务的有数学运算关系的 唯一密钥。 层次命名 层次命名一个和 Notes ID 相关的命名系统,用来表现一个组织中验证者名 D
28、omino 数据库安全配置手册 第 14 页 共 25 页 称间的关系。 层次命名的格式是: 通用名称/组织单元/组织/国家代码 例如, OA 邮件管理员/湖北省公司/中国移动/CN 所有的层次命名必需包含通用名称和组织部分。组织单元(最多可以四层) 和国家代码是可选部分。 层次命名有助于区分具有相同通用名称的用户从而提供额外的安全性并且 允许验证字的分散管理。 3.1ID3.1ID 文件文件 当注册一个用户时,管理员输入用户名、口令、过期日期和其他默认选项。 注册进程创建一个 ID,放在 Domino 目录中或者(并且)放在文件中,这个 ID 文件需要放到用户的 Notes 工作站中。 Do
29、mino 数据库安全配置手册 第 15 页 共 25 页 3.1.1 ID 文件的类型文件的类型 Notes ID 本质上是存储验证字和密钥的。有三种不同类型的 Notes ID: 用户、 服务器和验证者。 用户 ID 是供 Notes 客户端使用的,服务器 ID 是供 Domino 服务器使用的。 验证者 ID 用法则不同, 它仅用于验证其它 Notes ID 并不能用来运行客户端或 者服务器。然而,验证者 ID 对于一个组织却更重要,因为很多的 Notes 安全性 是基于签名和认证的并且两者都使用验证字。验证者 ID 因该存放在另外的安全 位置,而不是放在未经授权用户可能访问到的服务器硬盘
30、上。任何不能信赖的 人员获得对验证者 ID 的访问都可以轻而易举访问信任这验证者的系统。 3.1.2 Notes ID 的内容的内容 当管理员试图注册一个新的用户或服务器时,Domino 管理端为这个条目产 生两个 RSA 密钥对。一个 512 位长度的密钥用于美国和加拿大之外国家的数 据加密。另一个 630-bit 长度的密钥 用于美国和加拿大的数据加密,并且用来作为世界范围的签名和认证。 Domino 管理端然后建立一个验证字并用验证者的私钥签署这个验证字。这个 签署过的验证字接下来被放进 Notes ID 文件。 注册过程后,ID 文件包含: 用户名和 Notess 授权号 两个公钥和私
31、钥对 两个用户验证字 一个祖先验证者的验证字 (可选的)ID 文件的恢复信息 公钥和私钥有数学运算关系并且唯一识别一个用户。信息使用公钥加密后 只能使用同一密钥对中的私钥解密。 使用公钥加密最大的好处是不用担心谁来访问公钥,因为没有私钥它没有 什么用处。因此可以使公钥对所有人可用,而不会危害到安全。 Domino 数据库安全配置手册 第 16 页 共 25 页 Notes 可以存储恢复信息到 Notes ID 文件中。使用恢复信息,如果如果用户 忘记了口令,管理员可以恢复 ID 文件,或者如果 ID file 被损坏,可以从一个 加密的备份中恢复 ID 文件。 注册后,应用开发者分发的密钥可能
32、已经加到了 ID 文件中来允许加密和解 密文档中的域。 私钥和 ID 文件中的其它密钥用用户口令计算出的密钥进行了 加密,所以只有所有者才能使用这个 ID 文件。象用户名和公钥这些公用信息是 没有加密过的。 下图显示了用户 Bob 和服务器 ServerA 的 ID 文件内容 3.13 验证字验证字 一个验证字包含: 验证字所有者名称 验证字所有者公钥 验证者名称 验证者公钥 Domino 数据库安全配置手册 第 17 页 共 25 页 验证字过期日期 一个使用验证者私钥生成的数字签名。这给签名提供验证字的真实性 验证字存储在 Notes ID 文件和 Domino 目录中。当所有属于这个 D
33、omino 域 的用户和服务器试图加密和签署消息或文档数据时,他们都可以查阅注册到 Domino 目录的验证字。 注意,验证字本身并不包含任何秘密信息;因此它可以公开并且分发到任 何地方。 Domino 数据库安全配置手册 第 18 页 共 25 页 下图显示验证字怎样放置在ID文件和Domino目录中。 3.23.2 交叉验证字交叉验证字 交叉验证字用来在不同验证层次的组织中建立信任关系。 典型地,用户建立信任取决于他们是否有共同的祖先。在不同验证层次的 组织中,用户是没有共同祖先的;因此用户需要交叉验证字来建立信任关系。 交叉验证字存储在用户个人通讯录和服务器 Domino 目录的文档中。
34、交叉验 证字拥有“发布者”和“发布给”域。 “发布者”指示谁信任这个验证字。如 果验证字是由 Bob Smith/East/Acme 发布的,只有使用这个 Notes ID 名字的用户 会信任这个验证字。“发布给”指示这个验证字应该信任那个 Notes。一个发布 给/Acme 的验证字信任所有包含/Acmes 层次结构的用户和服务器例如, /East/Acme 和/West/Acme。一个发布给/East/Acme 的验证字则信任较少范围的 用户和服务器例如,/East/Acme 和/Sales/East/Acme,而不是/West/Acme。 例如,用户 Bob Smith/East/Acm
35、e 想访问 ServerA/Central/Widgets。/East/Acme 和/Central/Widgets 不在同一个层次,因此 Domino 数据库安全配置手册 第 19 页 共 25 页 不能被信任。ServerA 通过获得对/Acme 的交叉验证字建立信任,并且 Bob 通 过获得对/Widgets 的交叉验证字建立信任。 ServerA 也可以通过获得对 /East/Acme 的交叉验证字建立信任,并且 Bob 可以通过获得对/Central/Widgets 的交叉验证字建立信任;然而,这样做会限制可以信任的其它服务器和用户的 范围。 交叉验证字也被用于建立对数字签名的信任和
36、加密通过 Internet 发送的 S/MIME 消息。这种情况下的数字签名,只有使用数字签名的文档容器需要对 这个签名者的交叉验证字。这种情况下的 Internet 消息加密,发送消息的用户需 要交叉验证字来加密消息。 第四章第四章 Internet 客户认证客户认证 对 Internet 客户端有两种认证方法:用户名加口令和 SSL。 a用户名加口令认证 用户名加口令认证有两种类型: 基本的用户名加口令认证 基于会话的用户名加口令认证 用户名加口令认证,也称作基本口令认证,它使用一个基本的质询/响应协 议。只要用户试图访问受限制的信息,他们就会被提示输入用户名和口令。然 而在 TCP/IP
37、 端口上用户名加口令认证并不十分安全。在客户端和服务器之间传 Domino 数据库安全配置手册 第 20 页 共 25 页 递的信息,包括用户名和口令,是没有经过加密的。任何人只要在任何地方沿 着会话路径使用网络嗅探器或者跟踪工具都可以截获信息。为阻止这种类型的 攻击,用户名加口令认证可以在 SSL 端口上使用。 当为访问 HTTP 服务器而设置用户名加口令认证时,管理员可以使用基于 会话的用户名加口令认证。基于会话的用户名加口令认证在用户交互方面提供 了比基本的用户名加口令认证更大的控制力。管理员可以定制用户输入用户名 和口令信息的表单,并且用户可以在不关闭浏览器的情况下注销会话。 bSSL
38、 认证 SSL 认证类似于 Notes 和 Domino 认证。SSL 客户端提供一个验证字给 Domino 服务器。服务器使用验证字认证客户端,反之亦然。与 Notes 和 Domino 认证不同的是,SSL 不要求客户端和服务器必需相互认证。如果启用了 SSL,Domino 要求客户端认证服务器;然而服务器认证客户端是可选的。SSL 使用 X.509 格式的 Internet 验证字,X.509 是一个包括 Domino 等大多数应用都 使用的工业标准。 一个Internet验证字典型的由下列域组成: 验证字格式版本 验证字序列号 数字签名算法标识(给发行者的数字签名) 发行者名称(验证字
39、权威机构名称) 有效期 主体名称 用户或服务器 主体公钥信息:算法标识和公钥值 发行者唯一标识 主体唯一标识 扩展 发行者对上面域的数字签名 Internet 验证字可以由第三方验证字权威机构(CA)发行,例如 VeriSign,或 者管理员可以使用 Domino 验证字权威机构应用程序建立一个 CA。 要获得 X.509 验证字更多的信息,清参考 IBM 红皮书Lotus Notes and Domino 数据库安全配置手册 第 21 页 共 25 页 Domino R5.0 Security Infrastructure Revealed,这本书可以通过访问 站点获得。 cInternet
40、 协议受支持的认证方法 下面的表格列出了 Domino 支持的 Internet 协议以及每个协议可以使用得认 证类型 4.14.1 基本的用户名加口令认证基本的用户名加口令认证 用户名加口令认证使用一个基本的质询/响应协议要求用户的用户名和口令 并且通过和存储在 Domino 目录中的人员文档中的口令进行比较来校验输入口 令的正确性。采用这种设置的情况下,仅当 Internet/intranet 客户端试图执行访 问受限制资源的任务时,Domino 才要求用户名和口令。Internet/intranet 访问不 同于当一个客户端或服务器最初尝试访问 Domino 服务器时, Domino 服
41、务器要 求这个 Notes 客户端或者服务器提供用户名和密码的情况。 数据库管理器可以使用 Domino 安全性分配 Internet/intranet 客户端访问数据 库前,系统管理员必需在 Domino 目录中创建那个客户端的个人文档。没有个 人文档的客户端被当作匿名用户并且只能访问那些允许匿名访问的服务器和数 据库。 用户名加口令认证允许 Domino 定位那些要访问服务器的客户端的个人文档。 Domino 使用这个个人文档识别客户端。客户端被识别后,就可以确定对数据库 的访问。 有些 Internet 协议可以在用户名加口令认证上使用 SSL。这样,系统会在使用 SSL 连接到安全的会话前提示用户输入用户名和口令。 Domino 数据库安全配置手册