Oracle8i安全性新特性和安全解决方案.doc
《Oracle8i安全性新特性和安全解决方案.doc》由会员分享,可在线阅读,更多相关《Oracle8i安全性新特性和安全解决方案.doc(15页珍藏版)》请在三一文库上搜索。
1、Oracle 8i 安全性:新特性和安全解决方案 1999 年 11 月简介电子商务的流行和 Internet 的普遍性改变了机构运营商务的方式、人们进行通信的手段,以及世纪之交的业界状况。这些改变带来了推动商业决策的新技术。安全性从内部集成解决方案组转变成了电子商务实施的主要必需条件。资源丰富的机构正在充分利用 Internet,优化运作,并以相同的方式与供应商、合作伙伴、内部用户和客户直接进行通信。然而,这些能力为它们带来了各种挑战。不同类的用户需要以不同的方式访问数据。合作伙伴必须能够看到某些有限的数据,员工能够浏览公司机密信息,而客户能够看到,也只能看到其帐户信息。而且,Oracle
2、产品的可伸缩性以及 Internet 的可扩展性使访问存储在数据库服务器中数据的用户数呈指数级增长。简而言之,用户特定的挑战包括:了解用户、设置用户访问权限、对机密数据进行保密。技术挑战包括:配置机构所采用标准之间的互操作、管理不同域的用户、用户访问权限和数据库本身。借助 Oracle8i 和 Oracle Advanced Security 的功能,管理员和集成商能够克服这些 Internet 安全性挑战,Oracle8i 和 Oracle Advanced Security 为放置基于 Internet 的企业范围解决方案提供了极其安全的环境。本白皮书介绍了新版 Oracle8i 中的五个
3、基于安全性的领域: Public Key Infrastructure,包括 Oracle 的 Secure Socket Layer (SSL) 实施,以及与领先 PKI 解决方案集成的主要管理工具 支持目录的 Oracle 企业,获得非常高的安全度、集中的用户管理和更低的总体成本 Java 实施,利用 Java Database Connectivity (JDBC) 接口确保事务的安全 RADIUS 协议集成带来的领先验证 Virtual Private Database,提供数据服务器实施的粒度访问控制在当今侧重于 intranet 和 extranet 的应用程序中,安全性问题推动了
4、技术决策和实施过程。新型 Oracle8i 版本 8.1.6 安全性特性使 Oracle 为 Internet 驱动的电子商务提供了最安全、可靠和灵活的数据库。Public Key Infrastructure新兴的 Public Key Infrastructure (PKI) 通过提供安全性基石:验证、加密、完整性和认可,为安全电子商务和 Internet 安全性奠定了基础。验证,就是证实用户和机器的身份,在机构向 Internet 敞开大门时,它的重要性非常关键。强大的验证机制能够确保个人和机器真正是其本身。加密算法来确保通信的安全,并对从一台计算机发送到另一台计算机的数据进行保密。数据
5、完整性通常与加密是一致的,因为该算法将检验接收数据包的顺序,以便避免诸如修改数据、多次尝试和移动数据包的攻击。安全基本设施采用了各种技术来确保认可的安全,认可能够证明指定用户在一定时刻进行了某一操作。这些元件组合在一起,从公司 intranet 到基于 Internet 的电子商务应用程序,为部署电子商务提供了安全、不间断的环境,并为几乎所有类型的电子事务提供了可靠的环境。Public Key Infrastructure 的主要组成部分包括: Digital Certificate,用于验证用户和机器,被安全地存储在 wallet 中 Public Key 和 Private Key,组成了
6、 PKI 的基础,支持基于密钥和与算术相关的公钥的安全通信 Secure Socket Layer (SSL),符合安全协议的 Internet 标准 Certificate Authority (CA),作为 Digital Certificate 的可信、独立的提供商支持 PKI 部署的其它重要组件为:证书和密钥的安全存储、请求证书的管理工具、访问 wallet 和管理用户,以及作为用户和机器识别和验证的集中库的目录服务。Digital Certificate使用最广泛的公钥证书遵循 X.509 格式,X.509 版本 3 证书是现行行业标准格式。Public Key Infrastruc
7、ture 依赖于 X.509 证书来进行公钥验证,X.509 也称为 Digital Certificate 或公钥证书。通过证书来验证用户或机器有点类似于检查驾驶执照或护照,服务器和客户机通过出示其验证凭证来证明其身份。Oracle 环境中的证书使用还提供了 single sign-on,从而使用户一旦通过验证,就可以在不提供其它凭证的情况下连接至多个应用程序和数据库。single sign-on 易于使用,提高了系统的安全性,因为用户不必记忆多个密码,每个用户或机器仅限用一个密码进行管理,从而提供了集中的安全性。X.509v3 证书包含用户的验证信息: 鉴定所有者的标识名称 (DN),这是
8、识别所有者的唯一标识 证书发行者的 (Certificate Authority) 标识名称,这是识别发行者的唯一途径 证书所有者的公钥 发行者的签名 证书的有效期 序列号,每个证书只有唯一的序列号密钥和证书的安全存储为了验证用户,SSL 必须拥有提供的密钥和证书。因此,在 Oracle 环境中,客户机或服务器需要通过一些方法来存储这一信息,并将其提供给 SSL,也即 Oracle wallet。wallet 存储了 X.509 证书、密钥和其它数据,如由 SSL 处理的可信证书。这些凭证可用于验证至多种服务的用户,诸如数据服务器和应用程序服务器。用户只须记忆一个密码,这个密码可用于解除其 w
9、allet 的锁定。Oracle Wallet Manager 可管理 wallet,并从Certificate Authority 请求证书。它使用户和数据库管理员能够控制其 wallet 的内容。管理员能够集中管理有关应用程序和数据库的 wallet 信息。此外,Oracle 还提供了 Oracle Enterprise Login Assistant 这一易于使用的工具,以便使最终用户能够访问其 wallet。此工具使用户能够简单、透明地获得 single sign-on,从而使用证书来进行验证。wallet 和管理工具可以一并使用,以安全地存储和管理至证书服务器的证书、密钥和请求。SS
10、L 协议Secure Socket Layer 协议广泛用于 Internet 上,以便为用户提供已建立的数字身份,并避免窃听、篡改或伪造讯息。Oracle Advanced Security 中的 SSL 支持对网络通信进行加密,并提供了完整性检查、验证 Oracle 客户机和服务器,为 Oracle 环境提供基于公钥的 single sign-on。SSL 通过使用密码组,提供加密和数据完整性,密码组是一组验证、加密和数据完整性类型。每个客户机和服务器都拥有一系列其支持的密码组,它们需要协商在连接过程中使用哪个密码。说明密码组的范例有:用于验证的 RSA,用于加密的 3DES 和用于数据完
11、整性的 SHA-1。其中由 SSL 提供的至 Oracle Advanced Security 选项的加密算法是 RC4、DES 和Triple DES。Triple DES (3DES) 算法是一种保护数据的非常强大的方法,因为它使用了一个以上的标准 DES 所采用的 56 位密钥。Triple DES 越来越广泛地用于各种机构,如需要强大安全性的银行和金融机构。SHA (Secure Hashing Algorithm) 为 Oracle 环境提供了一种新的数据完整性检查方法。它生成无用数据来保护数据传输,并确保数据包在传输过程中未被修改或篡改。SSL 握手采用 SSL 协议,当客户机试图
12、连接至服务器时,它启动握手来建立 SSL 会话。客户机进程将其 X.509 证书发送至服务器进程,两者均参与验证客户机到服务器的身份的握手中。握手对用户来说是透明的。如果握手成功了,则授予客户机访问权,会话由握手过程所选择的加密和数据完整性来提供保护。一旦客户机和服务器被配置为使用 SSL 作为通信协议,Net8 客户机将进行下列处理:1. 安装 wallet,在这一点上,用户必须为 Oracle Wallet Manager 提供一个密码。该密码用于创建公钥和密钥对。密钥存储在 wallet 中。2. Oracle Wallet Manager 从证书服务器处请求证书。然后下载证书,存储在客
13、户机的本地wallet 中,wallet 位于文件系统中。3. 启动具有 SSL 的 Net8 连接。SSL 握手作为连接的一部分进行。4. 如果 SSL 握手成功,则允许连接。结果是:服务器从 SSL 获得用户的身份,并对该身份进行验证。对 SSL 协议的支持增加了 Oracle Advanced Security 的安全性和互操作性,从传播全面安全性服务到允许更强大的数据保护,无一例外。Entrust 集成Entrust Technologies, Inc. 是通过其 Entrust/PKI 软件提供 Public Key Infrastructure 解决方案的市场领先提供商。Entru
14、st/PKI 包括许多产品,诸如确保用户 PKI 凭证安全的 Entrust Profile,以及 Entrust 的认证产品 Entrust Authority。Oracle 将对 Oracle Advanced Security 进行专门的产品修改,以便使 Oracle 和 Entrust 的客户能够将基于 Entrust 的 single sign-on 集成到其 Oracle 应用程序当中。通过集成 Entrust/PKI,Oracle 增强了其为大客户提供基于 X.509 的 single sign-on 的能力,这些客户需要广泛的密钥管理、证书废除及 Entrust 公司提供的其它
15、特性。Oracle 将在 Oracle Advanced Security 版本 8.1.6 中实施 Entrust/PKI 支持,从而使客户能够使用 Entrust 的“wallet”机制 Entrust Profile 来存储证书和密钥,并支持安全凭证管理。Oracle Advanced Security 通过用户的 Entrust Profile 来进行验证和 single sign-on,而不是从 Oracle wallet 处获得用户凭证(密钥和证书)。Entrust 集成同时需要 8.1.6 版的 Oracle Advanced Security 和 Entrust Authori
16、ty 5。Oracle Advanced Security 版本 8.1.6 全面上市之后,这一特性将用于生产。用于安全 Single Sign-on 的 PKI 支持随着部署 Public Key Infrastructure 次数越来越频繁,以确保诸如电子邮件和电子商务等应用程序的安全,使得 PKI 成为最重要投资公司的投资对象之一。因为所有客户机、应用程序服务器和数据服务器都可以相互进行验证,所以 PKI 为网络提供了重要的安全性基本设施。SSL 不仅确保了 Net8 的安全,而且确保了诸如 IIOP (Internet Inter-ORB Protocol) 等其它协议的安全。通过利用
17、 Java 支持,Oracle Advanced Security 确保了 IIOP 连接的安全,从而使 Oracle 能够与 thin client 和企业 JavaBeans (EJB) 协同运作。Oracle Advanced Security 中的 SSL 支持接通了任何客户机、web 服务器或应用程序服务器,以及任何 Oracle8i RDBMS 之间安全端到端通信的环路。例如,当用户希望连接至其金融机构来进行资金转帐时,她必须能够确切证实她将诸如密码和帐号等敏感信息提供给了适当的服务器。通过 SSL 和公钥验证,服务器能够证实其至浏览器的身份,而且客户机能够向服务器证实自己。既然机
18、构正在实施应用程序服务器和防火墙来保护其网络,连接处理也就扩展了。用同一个例子来说明,金融信息可被存储在防火墙之后的安全 Oracle8 dataserver 中。用户连接至利用 SSL 在 Internet 上进行连接的数据库,并连接至应用程序服务器,该服务器将连接请求与其金融帐户信息一起,通过 Net8(仍受 SSL 保护)从防火墙传送到安全的 Oracle8i 服务器上。证书不仅验证客户机到服务器,而且也在服务器之间进行验证。这通过用于服务器相互验证的安全数据库链接,扩展了整个系统的安全性。借助 SSL 部署,所有客户机和服务器,包括数据库服务器和应用程序服务器,都具有凭证,以便向与其进
19、行通信的所有其它机器和服务证实自己的身份。 Oracle 交付的完整数据包提供了基于标准的方法,以避免窃听、篡改或伪造在网络上进行发送的讯息,同时在网络中和 Internet 上提供 single sign-on 和强大的客户机和服务器的验证。Public Key Infrastructure 为信息时代的安全电子商务和电子商业奠定了基础。支持目录的 ORACLE 企业企业用户管理当今企业在管理有关用户信息、保持最新用户信息以及确保访问企业内所有信息的安全方面,面临着巨大的挑战。每位用户在不同的数据库上可能拥有多个帐户,从而要求她记忆所有这些帐户的密码。用户不仅有许多密码,而且管理员也需要管理
20、太多的帐户。此外,缺乏集中是一种安全性风险,因为可能会误用旧的或未使用的帐户和权限。为了解决这些挑战,版本 8.1.6 推出了企业用户管理。利用通过 Oracle Enterprise Manager 获得的工具 Oracle Enterprise Security Manager,在 Oracle Internet Directory 中对企业用户及其授权进行管理,Oracle Internet Directory 是一种基于 Lightweight Directory Protocol (LDAP) 的目录服务。您可以将企业角色分配给企业用户,企业角色包括数据库指定的全局角色,决定了他们在
21、数据库中的访问权限。例如,企业角色 MANAGER 包含人力资源数据库上的全局角色 HRMANAGER 和 Payroll 数据库上的全局角色 ANALYST。您可以将企业角色授予一个或多个企业用户,也可以撤消一个或多个企业用户的企业角色。例如,管理员能够将企业角色 MANAGER 授予许多从事同一工作的企业用户。利用 Access Control List (ACL),可以保护目录中有关用户和角色的信息,从而确保只有授权管理员才能够管理用户、授予和撤消角色。用户/方案分割通常,用户不需要在数据库中拥有其自己的帐户 或自己的方案,他们只需访问应用程序方案。例如,用户 Jane、Cindy 和
22、Rakesh 是 Payroll 应用程序的所有用户,并需要访问金融数据库上的 Payroll 方案。他们都不需要在数据库中创建他或她自己的对象,实际上,他们只需访问 Payroll 对象。版本 8.1.6 使用户与方案分割开来,从而使许多企业用户都能够访问单个共享的应用程序方案。管理员只需在目录中创建企业用户,并将用户“指向”其它企业用户同样能够访问的共享方案,而不是在每个用户需要访问的数据库中创建用户帐户(也即用户方案)。例如,如果 Jane、Cindy 和 Rakesh 均访问销售数据库,您可以创建单个方案,如sales_application,这三位用户都可以对其进行访问,而不用在销售
23、数据库上为每位用户都建立一个帐户。现在,管理员在目录中建立企业用户的次数只有一次。尽管如此,企业用户能够使用从事工作所需的唯一权限,来访问多个数据库,从而降低了管理企业内用户的成本。Oracle 的 LDAP 版本 3 目录服务器 Oracle Internet Directory 与 Oracle8i 全面集成,并支持商业化企业用户管理。其它 LDAP 目录,包括 Novell Directory Service (NDS) 和Microsoft 的 Active Directory for Windows 2000 经认证,可与版本 8.1.6. 进行操作。将用户与方案分离确实是部署目录服
24、务的结果。数以千计的用户能够连接至数据库,被数据库所知(在数据库中进行审核),在数据库中具有指定权限,无需在数据库中进行创建。现在,您一旦在目录 a single enterprise user account 中真正创建了企业用户,该用户就能够访问多个数据库,利用所需的唯一权限来进行工作。因此,企业用户管理提供了下列优势: 更少的用户帐户 企业用户再也不必是数据库用户或拥有可识别的方案。 Internet 可伸缩性 您可以支持数以百计的用户,这些用户均为多个数据库所知,可在多个数据库中记帐(审核),同时不需要创建数以千计的数据库用户帐户。 轻松实施安全性 如果用户更换工作或离职,其权限可被更
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Oracle8i 安全性 特性 安全 解决方案
链接地址:https://www.31doc.com/p-2510737.html