安全协议与标准06B-数据库LDAP和应用服务器安全

ΓВ安全协议与标准linfb@sdu.edu.cn2009,9ΓВToC1:应用服务器安全•WebSphere↓•Weblogic•Jboss•Tomcat•openEJB•spring+struts/webworkΓВToC2:数据库安全•关系数据库–MSSQLServer2008↓–MySQL5–OracleDatabase11g↓–IBMDB2v9.7•目录服务/LDAP↓–IBM|SunDirectoryServer–OpenLDAPΓВWebSphere•WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施，如服务器、服务和工具。WebSphere提供了可靠、灵活和健壮的集成软件。WebSphere是一个模块化的平台，基于业界支持的开放标准。WebSphere可以在许多平台上运行，包括Intel、Linux和z/OS。•WebSphereApplicationServer是该基础设施的基础，其他所有产品都在它之上运行。•WebSphereProcessServer基于WebSphereApplicationServer和WebSphereEnterpriseServiceBus，它为面向服务的体系结构(SOA)的模块化应用程序提供了基础，并支持应用业务规则，以驱动支持业务流程的应用程序。•…•其他WebSphere产品提供了广泛的其他服务。ΓВWebSphere功能•人员集成（交互功能）•流程集成•信息集成•应用程序集成•应用程序基础设施•加速器ΓВ•ΓВWebsphere安装•创建概要文件•管理控制台–•样本库–ΓВSOA/WSwithWebSphere•在ServiceOrientedArchitecture(SOA)理念开始深入人心的时候，WebServices作为实现SOA的首选技术备受业界关注。•随着JavaEE5的出现，WebServices编程模型、标准和规范也不断推新。基于注释的新编程模型JAX-WS2.0（JavaAPIforXMLWebServices）简化了WebServices应用的开发，其数据模型JAX-B2.0（JavaArchitectureforXMLbinding）所提供的XML和Java数据的绑定规则使得XML到Java对象的转换更加简洁易用。•此外，MTOM、SAAJ1.3、StAX1.0、SOAP1.2等标准和规范，有效地扩展了WebServices的功能和易用性。ΓВWebsphere安全体系•认证•授权•传输•平台安全：操作系统安全和网络安全•Java安全：J2EE安全体系、JAAS、类级别的安全授权模型•WAS安全ΓВ•ΓВ认证、授权、传输的实现•对于Web认证由操作系统用户认证方式、JAAS认证模型，以及WAS统一的LTPA等的认证机制；•对于Web安全授权分别由JAVA安全层次中的J2EE安全模型，Java2安全模型来完成；•对于Web传输则主要SSL传输安全机制来完成。ΓВJAAS•PAM（PluggableAuthenticationModule）是一种认证授权框架，提供了一种认证机制，使得上层业务应用程序的开发使用不依赖于底层的认证授权机制。•JavaAuthenticationandAuthorizationService(JAAS)JAVA认证与授权服务，是PAM的JAVA版应用框架。•JAAS的认证机制–通过检查Servlet、应用程序、Applet等JAVA代码的执行者身份，确保执行者有足够权限进行相应的操作。ΓВ•ΓВWAS控制台的角色•监视员–监视员可以查看WAS中的各种配置信息，运行状态，但是不能做任何更改•操作员–操作员可以触发运行时状态改变，例如启动、停止服务器，但是不能做任何配置的改变•配置员–配置员可以修改配置信息，但是不能更改运行状态。•管理员–管理员具有操作员和配置员的权限，除此之外还能修改敏感的安全配置信息和服务器安全策略等，例如服务器ID和密码，启动和禁用管理安全，JAVA2安全等等。ΓВWebServices环境的安全离开安全机制，WebServices便无法成功应用于生产环境。通常，可以由以下两种机制确保WebServices环境的安全：•传输层安全性–TLS/SSL•消息级别安全性ΓВSOAP+HTTP+SSL•HTTP是最常用的SOAP消息传送机制，而SSL(HTTPS)可以保证HTTP消息（包含SOAP消息）在传输层的安全性，进而保证SOAP消息的安全性，包括：认证机制、机密性和完整性。•但是SSL有以下几点局限性：–只适用于HTTP，不适用于JMS,SMTP等其他消息传送机制；–只提供点对点(Point-to-Point)的安全性；–只能对整个消息进行加密，不能针对消息的某一部分进行加密。ΓВWS-Security•2002年，IBM与Microsoft联合发布了WS-Securityv1.0的草案，后来这一草案被OASIS看好，并进一步修改，2004年发布为正式的WS-Security规范。•WS-Security通过认证(Authentication)、加密(Encryption)和数字签名(DigitalSignature)等方式保证了WebServices在消息级别的认证机制、机密性和完整性。•并且，跟SSL相比，WS-Security具有以下优势–提供端到端(End-to-End)的安全性。–独立于传输方式，可用于HTTP,JMS,SMTP,FTP等。ΓВ支持WS-Security•WASV6.1支持WS-Security，并对其进行了扩展•WASV6.1FeaturePackforWebServices对WebServices安全的支持–可选安装，扩展了WASV6.1的功能，支持JavaEE5，提供了一些新特性，主要表现在异步性(Asynchronously)、可靠性(Reliably)、安全性(Securely)及与其他软件产品的交互性(Interoperably)。–支持基于JAX-WS2.0的WebServices，以及WS-Security和一系列扩展安全策略：WS-SecureConversation,WS-ReliableMessaging,WS-Addressing,WS-Transaction等。•WASV7.0对WebServices安全的支持ΓВWebSphere•TheWebSphereApplicationServersecuritymodelisbasedontheservicesprovidedintheoperatingsystemandtheJavaEEsecuritymodel.•WebSphereApplicationServerprovidesimplementationsofuserauthenticationandauthorizationmechanismsprovidingsupportforvarioususerregistries:–Localoperatingsystemuserregistry–LDAPuserregistry–Federateduserregistry(asofversion6.1)–Customuserregistry•TheauthenticationmechanismssupportedbyWebSphereare–LightweightThirdPartyAuthentication(LTPA)ΓВWebsphere安全文档•1.WebSphereSecurityFundamentalsredbook•2.IBMWebSphereApplicationServerV6.1SecurityHandbook•3.WebSphereApplicationServerV7.0SecurityGuide•↓ΓВJ2EE安全文档•JAVASecurity–•JAVASecurityReferenceDocumentation–•SunSecurityServices––•ΓВWeblogic•主要的J2EE应用服务器软件之一•OwnedbyOracleCorporation,OracleWebLogicconsistsofaJavaEEplatformproductfamilythatincludes:–aJavaEEapplicationserver,WebLogicApplicationServer–anenterpriseportal,WebLogicPortal–anEnterpriseApplicationIntegrationplatform–atransactionserverandinfrastructure,WebLogicTuxedo–atelecommunicationplatform,WebLogicCommunicationPlatform–anHTTPwebserverΓВJBoss•JBossApplicationServer(orJBossAS)isafreesoftware/open-sourceJavaEE-basedapplicationserver.BecauseitisJava-based,theJBossapplicationserveroperatescross-platform:usableonanyoperatingsystemthatJavasupports.JBossASwasdevelopedbyJBoss,nowadivisionofRedHat.ΓВTomcat•FREE•Tomcat是一个小型的轻量级应用服务器，最新的Servlet和JSP规范总是能在Tomcat中得到体现。•Tomcat的Servlet引擎通常与Apache或者其他Web服务器一起工作。ΓВOpenEJB•OpenEJB是一个嵌入式，轻量级EJB3.0实现。既可以作为单独服务器使用，也可以嵌入到Tomcat、JUnit、Eclipse、Intellij、Maven、Ant和其它任何IDE与应用程序中•OpenEJB被用于Apache的Geronimo、IBM的WebSphere、Apple的WebObjects应用服务器中。ΓВ数据库安全•关系数据库RelationalDatabaseManagementSystem•数据库安全问题–数据丢失、备份、日志–入侵：窃取、篡改、删除–加密•加密技术用于数据库–传输期间：SSL、VPN–存储与备份期间ΓВ数据库用户•和操作系统用户对应关系•角色与群组•口令•权限–SELECT(读)，INSERT(追加)，UPDATE(写)，DELETE，RULE(规则)，REFERENCES(外键)，和TRIGGERΓВ数据库数据的加密对数据库数据的加密三个不同层次•OS层•DBMS内核层（在服务器端）•DBMS外层（在客户端）ΓВ数据库备份技术•备份的层次–表、库、、文件系统•损坏与恢复•工具与支持–内置工具–第三方工具ΓВSQL•StandardizationΓВMSSQLServer2008•MicrosoftSQLServer是由美国微软公司所推出的关系数据库解决方案，最新的版本是SQLServer2008，已经在2008年8月6日上市。•Micro