数据库LDAP和应用服务器安全

ΓВ安全协议与标准linfb@sdu.edu.cn2009,9ΓВToC1:应用服务器安全•WebSphere↓•Weblogic•Jboss•Tomcat•openEJB•spring+struts/webworkΓВToC2:数据库安全•关系数据库–MSSQLServer2008↓–MySQL5–OracleDatabase11g↓–IBMDB2v9.7•目录服务/LDAP↓–IBM|SunDirectoryServer–OpenLDAPΓВWebSphere•WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施，如服务器、服务和工具。WebSphere提供了可靠、灵活和健壮的集成软件。WebSphere是一个模块化的平台，基于业界支持的开放标准。您可以使用受信任和持久的接口，将现有资产插入WebSphere，并且可以随着需要的增长继续扩展您的环境。WebSphere可以在许多平台上运行，包括Intel、Linux和z/OS。•WebSphereApplicationServer是该基础设施的基础，其他所有产品都在它之上运行。•WebSphereProcessServer基于WebSphereApplicationServer和WebSphereEnterpriseServiceBus，它为面向服务的体系结构(SOA)的模块化应用程序提供了基础，并支持应用业务规则，以驱动支持业务流程的应用程序。•高性能环境还使用WebSphereExtendedDeployment作为其基本基础设施的一部分。•其他WebSphere产品提供了广泛的其他服务。ΓВWebSphere功能•人员集成（交互功能）•流程集成•信息集成•应用程序集成•应用程序基础设施•加速器ΓВ•ΓВSOA/WSwithWebSphere•在ServiceOrientedArchitecture(SOA)理念开始深入人心的时候，WebServices作为实现SOA的首选技术备受业界关注。•随着JavaEE5的出现，WebServices编程模型、标准和规范也不断推新。基于注释的新编程模型JAX-WS2.0（JavaAPIforXMLWebServices）简化了WebServices应用的开发，其数据模型JAX-B2.0（JavaArchitectureforXMLbinding）所提供的XML和Java数据的绑定规则使得XML到Java对象的转换更加简洁易用。•此外，MTOM、SAAJ1.3、StAX1.0、SOAP1.2等标准和规范，有效地扩展了WebServices的功能和易用性。ΓВWebServices环境的安全离开安全机制，WebServices便无法成功应用于生产环境。通常，可以由以下两种机制确保WebServices环境的安全：•传输层安全性–TLS/SSL•消息级别安全性ΓВSOAP+HTTP+SSL•HTTP是最常用的SOAP消息传送机制，而SSL(HTTPS)可以保证HTTP消息（包含SOAP消息）在传输层的安全性，进而保证SOAP消息的安全性，包括：认证机制、机密性和完整性。•但是SSL有以下几点局限性：–只适用于HTTP，不适用于JMS,SMTP等其他消息传送机制；–只提供点对点(Point-to-Point)的安全性；–只能对整个消息进行加密，不能针对消息的某一部分进行加密。ΓВWS-Security•2002年，IBM与Microsoft联合发布了WS-Securityv1.0的草案，后来这一草案被OASIS看好，并进一步修改，2004年发布为正式的WS-Security规范。•WS-Security通过认证(Authentication)、加密(Encryption)和数字签名(DigitalSignature)等方式保证了WebServices在消息级别的认证机制、机密性和完整性。•并且，跟SSL相比，WS-Security具有以下优势–提供端到端(End-to-End)的安全性。–独立于传输方式，可用于HTTP,JMS,SMTP,FTP等。ΓВ支持WS-Security•WASV6.1支持WS-Security，并对其进行了扩展•WASV6.1FeaturePackforWebServices对WebServices安全的支持–可选安装，扩展了WASV6.1的功能，支持JavaEE5，提供了一些新特性，主要表现在异步性(Asynchronously)、可靠性(Reliably)、安全性(Securely)及与其他软件产品的交互性(Interoperably)。–支持基于JAX-WS2.0的WebServices，以及WS-Security和一系列扩展安全策略：WS-SecureConversation,WS-ReliableMessaging,WS-Addressing,WS-Transaction等。•WASV7.0对WebServices安全的支持ΓВWebSphere•TheWebSphereApplicationServersecuritymodelisbasedontheservicesprovidedintheoperatingsystemandtheJavaEEsecuritymodel.•WebSphereApplicationServerprovidesimplementationsofuserauthenticationandauthorizationmechanismsprovidingsupportforvarioususerregistries:–Localoperatingsystemuserregistry–LDAPuserregistry–Federateduserregistry(asofversion6.1)–Customuserregistry•TheauthenticationmechanismssupportedbyWebSphereare–LightweightThirdPartyAuthentication(LTPA)ΓВWebsphere安全文档•1.WebSphereSecurityFundamentalsredbook•2.IBMWebSphereApplicationServerV6.1SecurityHandbook•3.WebSphereApplicationServerV7.0SecurityGuide•↓ΓВJ2EE安全文档•JAVASecurity–•JAVASecurityReferenceDocumentation–•SunSecurityServices––•ΓВWeblogic•主要的J2EE应用服务器软件之一•OwnedbyOracleCorporation,OracleWebLogicconsistsofaJavaEEplatformproductfamilythatincludes:–aJavaEEapplicationserver,WebLogicApplicationServer–anenterpriseportal,WebLogicPortal–anEnterpriseApplicationIntegrationplatform–atransactionserverandinfrastructure,WebLogicTuxedo–atelecommunicationplatform,WebLogicCommunicationPlatform–anHTTPwebserverΓВJBoss•JBossApplicationServer(orJBossAS)isafreesoftware/open-sourceJavaEE-basedapplicationserver.BecauseitisJava-based,theJBossapplicationserveroperatescross-platform:usableonanyoperatingsystemthatJavasupports.JBossASwasdevelopedbyJBoss,nowadivisionofRedHat.ΓВTomcat•FREE•Tomcat是一个小型的轻量级应用服务器，最新的Servlet和JSP规范总是能在Tomcat中得到体现。•Tomcat的Servlet引擎通常与Apache或者其他Web服务器一起工作。ΓВOpenEJB•OpenEJB是一个嵌入式，轻量级EJB3.0实现。既可以作为单独服务器使用，也可以嵌入到Tomcat、JUnit、Eclipse、Intellij、Maven、Ant和其它任何IDE与应用程序中•OpenEJB被用于Apache的Geronimo、IBM的WebSphere、Apple的WebObjects应用服务器中。ΓВ数据库安全•关系数据库RelationalDatabaseManagementSystem•数据库安全问题–数据丢失、备份、日志–入侵：窃取、篡改、删除–加密•加密技术用于数据库–传输期间：SSL、VPN–存储与备份期间ΓВ数据库用户•和操作系统用户对应关系•角色与群组•口令•权限–SELECT(读)，INSERT(追加)，UPDATE(写)，DELETE，RULE(规则)，REFERENCES(外键)，和TRIGGERΓВ数据库数据的加密对数据库数据的加密三个不同层次•OS层•DBMS内核层（在服务器端）•DBMS外层（在客户端）ΓВ数据库备份技术•备份的层次–表、库、、文件系统•损坏与恢复•工具与支持–内置工具–第三方工具ΓВSQL•StandardizationΓВMSSQLServer2008•MicrosoftSQLServer是由美国微软公司所推出的关系数据库解决方案，最新的版本是SQLServer2008，已经在2008年8月6日上市。•MicrosoftSQLServer数据库的内置语言是由美国标准局（ANSI）和国际标准组织（ISO）所定义的SQL语言，微软公司对它进行了部分扩充而成为作业用SQL（Transact-SQL）。•MicrosoftSQLServer几个初始版本适用于中小企业的数据库管理，但是近年来它的应用范围有所扩展，已经触及到大型、跨国企业的数据库管理。ΓВMSSQLServer2008Security•Authentication–SQLServerAuthenticationprovidesauthenticationfornon-Windows®-basedclientsorforapplicationsusingasimpleconnectionstringcontaininguserIDsandpasswords.Whilethislogoniseasytouseandpopularwithapplicationdevelopers,itisnotassecureasWindowsauthenticationandisnottherecommendedauthenticationmechanism•AuthorizationΓВEncryptionandKeyManagement•SQLServer2008hasrichsupportforvarioustypesofdataencryptionusingsymmetricandasymmetrickeys,anddigitalcertificat