數(shù)據(jù)庫LDAP和售后服務(wù)器安全

1、安全協(xié)議與標(biāo)準(zhǔn)2009, 9ToC 1 : 應(yīng)用服務(wù)器安全WebSphereWeblogicJbossTomcatopenEJBspring + struts/ webworkToC 2 : 數(shù)據(jù)庫安全關(guān)系數(shù)據(jù)庫MS SQL Server 2008 MySQL 5Oracle Database 11gIBM DB2 v9.7目錄服務(wù)/LDAPIBM | Sun Directory ServerOpenLDAPWebSphereWebSphere 是 IBM 的集成軟件平臺。它包含了編寫、運(yùn)行和監(jiān)視全天候的工業(yè)強(qiáng)度的隨需應(yīng)變 Web 應(yīng)用程序和跨平臺、跨產(chǎn)品解決方案所需要的整個中間件基礎(chǔ)設(shè)施，如

2、服務(wù)器、服務(wù)和工具。WebSphere 提供了可靠、靈活和健壯的集成軟件。WebSphere 是一個模塊化的平臺，基于業(yè)界支持的開放標(biāo)準(zhǔn)。WebSphere 可以在許多平臺上運(yùn)行，包括 Intel、Linux 和 z/OS。WebSphere Application Server 是該基礎(chǔ)設(shè)施的基礎(chǔ)，其他所有產(chǎn)品都在它之上運(yùn)行。WebSphere Process Server 基于 WebSphere Application Server 和 WebSphere Enterprise Service Bus，它為面向服務(wù)的體系結(jié)構(gòu) (SOA) 的模塊化應(yīng)用程序提供了基礎(chǔ)，并支持應(yīng)用業(yè)務(wù)規(guī)則，以

3、驅(qū)動支持業(yè)務(wù)流程的應(yīng)用程序。其他 WebSphere 產(chǎn)品提供了廣泛的其他服務(wù)。WebSphere功能人員集成（交互功能）流程集成信息集成應(yīng)用程序集成應(yīng)用程序基礎(chǔ)設(shè)施加速器 Websphere安裝創(chuàng)建概要文件管理控制臺:9043/ibm/console/logon.jsp樣本庫:9080/WSsamples/SOA/WS with WebSphere在 Service Oriented Architecture (SOA)理念開始深入人心的時候，Web Services 作為實(shí)現(xiàn) SOA 的首選技術(shù)備受業(yè)界關(guān)注。隨著 Java EE 5 的出現(xiàn)，Web Services 編程模型、標(biāo)準(zhǔn)和規(guī)范也

4、不斷推新?；谧⑨尩男戮幊棠Ｐ?JAX-WS 2.0（Java API for XML Web Services）簡化了 Web Services 應(yīng)用的開發(fā)，其數(shù)據(jù)模型 JAX-B 2.0（Java Architecture for XML binding）所提供的 XML 和 Java 數(shù)據(jù)的綁定規(guī)則使得 XML 到 Java 對象的轉(zhuǎn)換更加簡潔易用。此外，MTOM、SAAJ 1.3、StAX 1.0、SOAP 1.2 等標(biāo)準(zhǔn)和規(guī)范，有效地擴(kuò)展了 Web Services 的功能和易用性。 Websphere安全體系認(rèn)證授權(quán)傳輸平臺安全：操作系統(tǒng)安全和網(wǎng)絡(luò)安全Java 安全：J2EE 安全

5、體系、JAAS 、類級別的安全授權(quán)模型WAS 安全 認(rèn)證、授權(quán)、傳輸?shù)膶?shí)現(xiàn)對于 Web 認(rèn)證由操作系統(tǒng)用戶認(rèn)證方式、JAAS 認(rèn)證模型，以及 WAS 統(tǒng)一的 LTPA 等的認(rèn)證機(jī)制；對于 Web 安全授權(quán)分別由 JAVA 安全層次中的 J2EE 安全模型， Java2 安全模型來完成；對于 Web 傳輸則主要SSL 傳輸安全機(jī)制來完成。JAASPAM（Pluggable Authentication Module）是一種認(rèn)證授權(quán)框架，提供了一種認(rèn)證機(jī)制，使得上層業(yè)務(wù)應(yīng)用程序的開發(fā)使用不依賴于底層的認(rèn)證授權(quán)機(jī)制。Java Authentication and Authorization Serv

6、ice (JAAS) JAVA 認(rèn)證與授權(quán)服務(wù)， 是 PAM 的 JAVA 版應(yīng)用框架。JAAS 的認(rèn)證機(jī)制通過檢查Servlet、應(yīng)用程序、Applet 等JAVA 代碼的執(zhí)行者身份，確保執(zhí)行者有足夠權(quán)限進(jìn)行相應(yīng)的操作。 WAS 控制臺的角色監(jiān)視員監(jiān)視員可以查看 WAS 中的各種配置信息，運(yùn)行狀態(tài)，但是不能做任何更改 操作員操作員可以觸發(fā)運(yùn)行時狀態(tài)改變，例如啟動、停止服務(wù)器，但是不能做任何配置的改變 配置員配置員可以修改配置信息，但是不能更改運(yùn)行狀態(tài)。 管理員管理員具有操作員和配置員的權(quán)限，除此之外還能修改敏感的安全配置信息和服務(wù)器安全策略等，例如服務(wù)器 ID 和密碼，啟動和禁用管理安全，J

7、AVA2 安全等等。 Web Services 環(huán)境的安全離開安全機(jī)制，Web Services 便無法成功應(yīng)用于生產(chǎn)環(huán)境。通常，可以由以下兩種機(jī)制確保 Web Services 環(huán)境的安全：傳輸層安全性 TLS/SSL 消息級別安全性 SOAP+HTTP+SSLHTTP 是最常用的 SOAP 消息傳送機(jī)制，而 SSL(HTTPS)可以保證 HTTP 消息（包含SOAP消息）在傳輸層的安全性，進(jìn)而保證 SOAP 消息的安全性，包括：認(rèn)證機(jī)制、機(jī)密性和完整性。但是 SSL 有以下幾點(diǎn)局限性：只適用于 HTTP，不適用于 JMS,SMTP 等其他消息傳送機(jī)制； 只提供點(diǎn)對點(diǎn)(Point-to-Po

8、int)的安全性； 只能對整個消息進(jìn)行加密，不能針對消息的某一部分進(jìn)行加密。 WS-Security2002 年，IBM 與 Microsoft 聯(lián)合發(fā)布了 WS-Security v1.0 的草案，后來這一草案被OASIS看好，并進(jìn)一步修改，2004 年發(fā)布為正式的 WS-Security 規(guī)范。WS-Security 通過認(rèn)證(Authentication)、加密(Encryption)和數(shù)字簽名(Digital Signature)等方式保證了 Web Services 在消息級別的認(rèn)證機(jī)制、機(jī)密性和完整性。并且，跟 SSL 相比，WS-Security 具有以下優(yōu)勢 提供端到端(End

9、-to-End)的安全性。 獨(dú)立于傳輸方式，可用于 HTTP, JMS, SMTP, FTP 等。 支持 WS-SecurityWAS V6.1 支持 WS-Security，并對其進(jìn)行了擴(kuò)展WAS V6.1 Feature Pack for Web Services 對 Web Services 安全的支持可選安裝，擴(kuò)展了 WAS V6.1 的功能，支持 Java EE 5，提供了一些新特性，主要表現(xiàn)在異步性(Asynchronously)、可靠性(Reliably)、安全性(Securely)及與其他軟件產(chǎn)品的交互性(Interoperably)。支持基于 JAX-WS 2.0 的 Web

10、 Services，以及 WS-Security 和一系列擴(kuò)展安全策略：WS-Secure Conversation, WS-Reliable Messaging, WS-Addressing, WS-Transaction 等。WAS V7.0 對 Web Services 安全的支持WebSphereThe WebSphere Application Server security model is based on the services provided in the operating system and the Java EE security model. WebSphere

11、 Application Server provides implementations of user authentication and authorization mechanisms providing support for various user registries:Local operating system user registry LDAP user registry Federated user registry (as of version 6.1) Custom user registry The authentication mechanisms suppor

12、ted by WebSphere areLightweight Third Party Authentication (LTPA) Websphere安全文檔1. WebSphere Security Fundamentals redbook2. IBM WebSphere Application Server V6.1 Security Handbook3. WebSphere Application Server V7.0 Security GuideJ2EE 安全文檔JAVA Security/javase/technologies/security/JAVA Security Refe

13、rence Documentation/security/reference/docs/index.htmlSun Security Services/software/security/resources.html/security/ Weblogic主要的J2EE應(yīng)用服務(wù)器軟件之一Owned by Oracle Corporation, Oracle WebLogic consists of a JavaEE platform product family that includes:a JavaEE application server, WebLogic Application Ser

14、ver an enterprise portal, WebLogic Portal an Enterprise Application Integration platform a transaction server and infrastructure, WebLogic Tuxedo a telecommunication platform, WebLogic Communication Platform an HTTP web serverJBossJBoss Application Server (or JBoss AS) is a free software/open-source

15、 Java EE-based application server. Because it is Java-based, the JBoss application server operates cross-platform: usable on any operating system that Java supports. JBoss AS was developed by JBoss, now a division of Red Hat.TomcatFREETomcat 是一個小型的輕量級應(yīng)用服務(wù)器，最新的Servlet 和JSP 規(guī)范總是能在Tomcat 中得到體現(xiàn)。Tomcat的S

16、ervlet引擎通常與Apache或者其他Web服務(wù)器一起工作。OpenEJBOpenEJB是一個嵌入式，輕量級EJB3.0實(shí)現(xiàn)。既可以作為單獨(dú)服務(wù)器使用，也可以嵌入到Tomcat、JUnit、Eclipse、Intellij、Maven、Ant和其它任何IDE與應(yīng)用程序中OpenEJB 被用于Apache的Geronimo 、 IBM的WebSphere、 Apple的WebObjects應(yīng)用服務(wù)器中。數(shù)據(jù)庫安全關(guān)系數(shù)據(jù)庫 Relational Database Management System數(shù)據(jù)庫安全問題數(shù)據(jù)丟失、備份、日志入侵：竊取、篡改、刪除加密加密技術(shù)用于數(shù)據(jù)庫傳輸期間：SSL、

17、VPN存儲與備份期間數(shù)據(jù)庫用戶和操作系統(tǒng)用戶對應(yīng)關(guān)系角色與群組口令權(quán)限SELECT(讀)， INSERT(追加)， UPDATE(寫)，DELETE， RULE(規(guī)則)，REFERENCES(外鍵)，和TRIGGER數(shù)據(jù)庫數(shù)據(jù)的加密對數(shù)據(jù)庫數(shù)據(jù)的加密三個不同層次OS層DBMS內(nèi)核層（在服務(wù)器端）DBMS外層（在客戶端）數(shù)據(jù)庫備份技術(shù)備份的層次表、庫、文件系統(tǒng)損壞與恢復(fù)工具與支持內(nèi)置工具第三方工具SQLStandardizationMS SQL Server 2008Microsoft SQL Server是由美國微軟公司所推出的關(guān)系數(shù)據(jù)庫解決方案，最新的版本是SQL Server 2008，已

18、經(jīng)在2008年8月6日上市。Microsoft SQL Server數(shù)據(jù)庫的內(nèi)置語言是由美國標(biāo)準(zhǔn)局（ANSI）和國際標(biāo)準(zhǔn)組織（ISO）所定義的SQL語言，微軟公司對它進(jìn)行了部分?jǐn)U充而成為作業(yè)用SQL（Transact-SQL）。Microsoft SQL Server幾個初始版本適用于中小企業(yè)的數(shù)據(jù)庫管理，但是近年來它的應(yīng)用范圍有所擴(kuò)展，已經(jīng)觸及到大型、跨國企業(yè)的數(shù)據(jù)庫管理。MS SQL Server 2008 SecurityAuthentication SQL Server Authentication provides authentication for non-Windows-bas

19、ed clients or for applications using a simple connection string containing user IDs and passwords. While this logon is easy to use and popular with application developers, it is not as secure as Windows authentication and is not the recommended authentication mechanismAuthorizationEncryption and Key

20、 ManagementSQL Server 2008 has rich support for various types of data encryption using symmetric and asymmetric keys, and digital certificates.Encryption key hierarchy in SQL Server 2008MySQL SecurityMySQL先被Sun收購，又被Oracle收購。LAMP中的M。/doc/mysql-security-excerpt/5.5/en/index.htmlOracle 11gOracle Databa

21、se，又名Oracle RDBMS，或簡稱Oracle，是甲骨文公司的一款關(guān)系數(shù)據(jù)庫管理系統(tǒng)。到目前仍在數(shù)據(jù)庫市場上占有主要份額。Oracle Wallet ManagerOracle Wallet Manager 是個應(yīng)用程序，Wallet 所有者可以用它管理和編輯 Oracle Wallet 中的安全身份證明。生成公共/私有密鑰對以及創(chuàng)建提交到認(rèn)證機(jī)構(gòu)的認(rèn)證請求。 安裝實(shí)體的證書。 配置實(shí)體的信任證書。 打開 Wallet，使其可訪問基于 PKI 的服務(wù)。創(chuàng)建 Wallet 以將身份證明存儲在文件系統(tǒng)或硬件安全模塊 (如智能卡) 上。 將 Wallet 上載到 LDAP 目錄。 從 LDA

22、P 目錄下載 Wallet。 導(dǎo)入 Wallet。 導(dǎo)出 Wallet。IBM DB2DB2 is one of the families of relational database management system (RDBMS) software products within IBMs broader Information Management Software line. Although there are different editions and versions of DB2, which run on devices ranging from handhelds to

23、 mainframes, most often DB2 refers to the DB2 Enterprise Server Edition, which runs on Unix (AIX), Windows, Linux and z/OS servers. DB2 also powers the different IBM InfoSphere Warehouse editions. Alongside DB2 is another RDBMS: Informix, which was acquired by IBM in 2001.Apache Directory ApacheDS i

24、s an embeddable directory server entirely written in Java, which has been certified LDAPv3 compatible by the Open Group. Besides LDAP it supports Kerberos 5 and the Change Password Protocol. It has been designed to introduce triggers, stored procedures, queues and views to the world of LDAP which ha

25、s lacked these rich constructs.Apache Directory StudioApache Directory Studio is a complete directory tooling platform intended to be used with any LDAP server however it is particularly designed for use with the ApacheDS. It is an Eclipse RCP application, composed of several Eclipse (OSGi) plugins,

26、 that can be easily upgraded with additional ones. These plugins can even run within Eclipse itself.OpenLDAPOpenLDAP Software is an open source implementation of the Lightweight Directory Access Protocol. The suite includes: slapd - stand-alone LDAP daemon (server) libraries implementing the LDAP pr

27、otocol, and utilities, tools, and sample clients. iPlanet Directory ServerThe Directory Server component of Directory Server Enterprise Edition (DSEE) provides the most scalable, high-performance LDAP data store for identity information in the industry and serves as the foundation for the new generation of e-business applications and Web services.The Directory Server provides many advanced security features to achieve compliance with information security policies and to ensure that on