数据传输安全解决方案

数据传输安全解决方案TOC\o"1-4"\h\z\u数据传输安全解决方案 1一.总体框架 2二.安全需求 32.1应用集成和政务集成中的安全需求 32.2OA产品的安全需求 41．安全电子邮件 42．电子签章 53．数字水印 54．防拷屏 55．安全加密文档 52.3方案中解决的安全问题和需求 6三PKI方案 73.1PKI介绍 7(1)提供顾客身份正当性验证机制 7(2)确保敏感数据通过公用网络传输时的保密性 8(3)确保数据完整性 8(4)提供不可否认性支持 83.2非对称密钥加密技术介绍 83.3PKI的构成部分 93.3.1认证和注册审核机构(CA/RA) 103.3.2密钥管理中心 113.3.3安全中间件 12四.PMI部分 134.1什么是PMI 134.2为什么需要PMI 144.3PMI发展的几个阶段 154.4PMI的安全体系模型 1621世纪是信息化世纪，随着网络技术的发展，特别是Internet的全球化，信息共享的程度进一步提高。数字信息越来越进一步的影响着社会生活的各个方面，多个基于互联网技术的网上应用，如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为人们工作、生活中不可分割的一部分。由于互联网的开放性和通用性，网上的全部信息对全部人都是公开的，因此网络上的信息安全问题也日益突出。现在政府部门、金融部门、企事业单位和个人都日益重视这一重要问题。如何保护信息安全和网络安全，最大程度的减少或避免因信息泄密、破坏等安全问题所造成的经济损失及对公司形象的影响，是摆在我们面前亟需妥善解决的一项含有重大战略意义的课题。网络的飞速发展推动社会的发展，大批顾客借助网络极大地提高了工作效率，发明了某些全新的工作方式，特别是因特网的出现更给顾客带来了巨大的方便。但另首先，网络，特别是因特网存在着极大的安全隐患。近年来，因特网上的安全事故屡有发生。连入因特网的顾客面临诸多的安全风险：回绝服务、信息泄密、信息篡改、资源盗用、名誉损害等等。类似的风险也存在于其它的互联网络中。这些安全风险的存在妨碍了计算机网络的应用与发展。在网络化、信息化的进程不可逆转的形势下，建立安全可靠的网络信息系统是一种必然选择。一.总体框架构建平台统一、系统安全、投资合理、运行高效的系统平台，提供服务于应用集成、数据集成和体现集成的全线产品，为企事业单位信息化构建动态协同的基础设施。图1－1产品框图办公系统满足企事业单位日常办公的多个业务需要，是政府、公司信息化的基础应用系统；数据交换平台提供各系统间的业务集成，是企事业单位实施全方位信息化和数据共享的基础中间件平台；一站式服务平台实现政府跨部门的网上行政、网上办公和网上审批，是实现阳光行政、高效行政、依法行政的核心平台；统一信息门户提供丰富的内容体现方式、全方位的访问接入方式和个性化服务，是企事业单位信息化的统一入口，是领导决策的信息来源，是政府、公司的形象的集中体现。安全中间件作为PKI的重要构成部分是连接CA与各应用系统的桥梁，使得各应用系统与CA之间实现松散连接。安全中间件是以公钥基础设施（PKI）为核心、建立在一系列有关国际安全原则之上的一种开放式应用开发平台，并对PKI基本功效如对称加密与解密、非对称加密与解密、信息摘要、单向散列、数字签名、签名验证、证书从证，以及密钥生成、存储、销毁等进一步扩充，进而形成系统安全服务器接口，和通信安全服务接口。安全中间件能够跨平台操作，为不同操作系统上的应用软件集成提供方便，满足顾客对系统伸缩性和可扩展性的规定。在频繁变化的公司计算机环境中，安全中间件能够将不同的应用程序无缝地融合在一起，使顾客业务不会因计算环境的变化遭受损失。同时，安全中间件屏蔽了安全技术的复杂性，使设计开发人员不必含有专业的安全知识背景就能够构造高安全性的应用。二.安全需求2.1应用集成和政务集成中的安全需求随着网络技术的发展，特别是Internet的全球化，多个基于互联网技术的网上应用，如电子政务、电子商务等得到了迅猛发展。应用的需求越来越复杂，迫切需要多个独立的异构分布式应用之间能够进行协同互操作，传统的分布式构件方案如DCOM和CORBA难以满足应用开发的需要，于是由于XML技术的逐步成熟，出现了一种新的分布式、松耦合、自描述的分布式组件服务WebService。由于WebService含有跨平台、易开发的优良特性，因此在应用系统集成领域和网络服务领域成为了一种广泛应用的原则。DCI产品框架平台就是这样一种完全基于J2EE平台和WebService的完整的公司应用和电子政务应用的集成平台。但是由于WebService的开放性和通用性，为了能够保护信息系统的安全，对WebService的安全性提出了很高的规定。WebService迫切需要一种完整的安全服务框架，来为上层应用开发提供全方面的安全服务。构建WebService的安全框架的困难在于：webservice是非常分布式的，并且核心的安全实现和算法都是由不同提供商实现的。将各分散的业务部门和它们原先的异构的安全系统和架构统一集成到WebService安全和业务平台上，并且能够以一种信任关系在各部门应用之间共享顾客信息、描述和权限是一种摆在面前的巨大挑战。为什么需要安全的可信的WebServices与过去十年中客户/服务器和基于Web的应用同样，XMLWebServices给应用开发和信息系统的构建带来了革命性的影响。通过使用原则合同，如XML、SOAP、WSDL和UDDI，应用能够更容易的互相通讯，并且更快、更便宜的进行应用集成，供应链集成，实现分布式的服务模型。XMLWebService接口是基于XML和松耦合的。XML和SOAP允许任意系统间进行互相通讯，无论它是一种OfficeXP桌面还是一种大型主机系统。随着自动化业务流程集成的越来越普及，越来越多各式各样的系统通过WebService加入到一种广泛的WebService集成环境中去，因此出现了下列某些问题：非集中的架构非集中的管理用异构的技术实现多个部门间互相连接多个公司间互相连接天然的对等的架构有可能对Internet开放上面的每一种问题都是对系统安全的严峻挑战。如何跨越多个异构系统在整个环境中实施一种安全方略？如何为一种不理解安全系统的外部提供商提供安全服务？如何监视和审计跨越多个异构系统的安全活动事件?要解决上述问题，仅依赖于传统的防火墙和入侵监测系统是局限性够的，即使加上了SSL和VPN也只是解决了数据在网络中安全传输的问题，并没有解决跨系统的认证和访问授权问题，也没能解决面对Internet的服务安全问题。要解决这些问题，需要提供一种完整的基于WebService的安全和公司应用集成架构。DCI架构以及产品系列提供了对上述问题的完整解决方案（完整的架构阐明请看另文）。2.2OA产品的安全需求1．安全电子邮件电子邮件已经是现在最常使用的文本通讯手段，是OA系统中的核心功效之一。为了确保电子邮件的安全，需要能够使用数字证书对邮件进行数字签名和数字加密。安全电子邮件是在原有的MIME邮件规范的基础上，新增了许多强有力的安全功效。通过基于“S/MIME”合同来实现，能够与多个支持相似合同的惯用邮件程序（如OutLook系列、Netscape系列）兼容互通。2．电子签章在办公和文档管理中，需要将传统的印章、签名办法同当代的数字签名技术相结合，用电子数据安全来支持顾客的传统使用习惯，使整个系统含有更加好的易用性，同时又含有完善的安全性。这种结合被称为电子签章。在电子签章系统中需要PKI提供的数字证书和数字签名服务，并结合智能卡或其它身份识别技术，实现多个惯用应用文档编写程序的订立插件，并通过OA系统进行公文文档的工作流传递。同时随着Web化办公的兴起，迫切需要顾客能够安全的通过浏览器来传递数据，同时能够验明自己的身份，因此需要有能够对网页上顾客提交的数据进行数字签名和加密的能力。3．数字水印由于多媒体信息很容易被未授权的顾客复制，特别是图片性文档，因此采用传统密码办法并不能完全解决以上问题,于是人们开始通过永久性数字水印来解决这一难题。数字水印技术是指用信号解决的办法在数字化的多媒体数据中嵌入隐含的标记。数字水印(DigitalWatermarking)广泛应用于数字作品版权保护、隐蔽通讯、电子商务等领域。通过在OA系统中应用数字水印技术，对发给不同顾客的需要保密的图片文档使用该顾客的印章进行水印加注，后来一旦图片原本泄漏，能够追查图片的泄漏来源，进而得到防备和威慑效果。4．防拷屏某些秘密文档需要特定人于特定机器才干进行浏览，为了避免顾客用拷屏的手段复制屏幕上已经解密的秘密信息并泄密，需要提供某些辅助的软件工具来制止顾客进行拷屏操作。5．安全加密文档在办公系统中，某些秘密文档不允许以解密后的明文文档方式存在，规定必须在存储时，文档必须是加密的。这就需要办公系统中提供某些文档目录的加解密客户端工具。这些加解密的客户端工具软件能够自动加解密整个文献目录。2.3方案中解决的安全问题和需求身份认证普通我们在Web应用中使用口令、证书、Kerberos、LDAP等不同验证方式来认证服务的请求者，并且在更高的安全级，要需要请求者通过SmartCard或生物指纹技术进行验证。同样服务的请求者也需要认证服务的提供者。授权/访问控制WebService很容易进行访问，因此授权并限制外部对该WebService的访问是相称重要的。不仅要能够控制应用/顾客能够访问哪些信息，还要控制应用或顾客有权执行哪些操作。另外能够对管理权进行委托，以能够管理大型组织构造的跨应用的访问授权。特别的对于不同域之间，如B2B的场景中，系统间需要能够互相认证并能够交换授权断言。单点登录（SingleSignOn）在WebService环境中，单点登录扮演着非常重要的角色。在WebService环境中，各式各样的系统间需要互相通讯，但规定每个系统都维护彼此之间的访问控制列表是不实际的。顾客也需要更加好的体验以不需要繁琐的多次登录和身份验证来使用一种业务过程中涉及到的不同系统。在WebService的单点登录环境下，还包含这样某些系统，它们有着自己的认证和授权实现，因此需要解决顾客的信任状在不同系统间进行映射的问题，并且需要确保一旦一种顾客被删除，则该顾客将不能访问全部参加的系统。SAML是一种将认证和授权信息以XML格式编码的原则。一种WebService因此能够从一种SAML兼容的认证和授权服务中请求并收到SAML断言，并据此验证和授权一种服务请求者。SAML能够用来在多个系统间传递信任状，并因此被用于单点登录的方案中。数据加密原则的安全通信合同，如使用SSL来实现端到端的数据加密。但是在WebService的环境的许多情形下，一种消息的不同部分可能会被多个WebService消息中介进行解决，因此需要XMLEncryption加密原则来允许对一种消息的不同部分进行加密，同时能够不对路由的目的消息头进行加密，以减少敏感的加密性能损失。数字签名和避免否认在系统间消息通讯中，特别是对那些跨越公司或不同行政单位的消息，需要确保消息的完整性、防篡改，还要确保该消息拟定来自于所盼望的源。这一切都能够通过数字签名来实现。XMLSignature原则提供了签名XML文档的一部分的办法，它提供了跨越多个系统的端到端的数据完整性。同时数字签名和时间戳还能避免对已发生交易的否认。重放攻击为了避免网络截听者拦截并拷贝有效的消息，特别是身份验证消息，并在随即的时间重放该消息，以获得非法利益的状况发生，必须实现两次握手的身份验证过程，并确保身份信息数据是机密传输的。这样的验证过程能够是基于SSL的，也能够是自定义的。恶意和回绝服务攻击WebService是如此容易进行调用，普通来说WebService都是通过HTTP和HTTPS合同进行调用的，而大多数防火墙又开放80和443端口以作为原则的Web消息通道。防火墙普通不会检查在通道上传输的SOAP消息的正当性。这就需要WebService的基础设施是稳固可靠的，不会由于消息中非法的错误数据而出现内部错误，从而回绝服务，也不会由于不正当的超长消息而造成系统资源耗尽而回绝服务。入侵检测要整顿出全部对庞大的WebService办法的误用是一种非常困难的任务。通过安全方略和访问控制管理能够减少对系统的非法入侵。要避免系统入侵，需要较好的智能化分析手段，并借助于专家系统来协助检测恶意的行为。安全系统管理如何对在WebServices环境中各个异构系统的安全配备进行管理，并能够监控其安全状态是一种需要解决的问题。这就需要各个系统能够按照统一的系统管理原则进行远程管理并提供系统的安全状态信息。三PKI方案3.1PKI介绍PKI是PublicKeyInfrastructure(公共密钥体系)的缩写，是一种使用非对称密钥加密原理和有关技术实现的安全基础设施。PKI为组织机构建立和维护一种可信赖的安全环境，为应用系统提供对身份认证、数据保密性和完整性、不可否认等特性的支持，以满足应用系统对安全性的需求。在基于Internet技术的电子政务和电子商务场景下，应用系统对安全性的需求在技术上最后都归于下列四个方面：(1)提供顾客身份正当性验证机制身份认证(Authentication)是分布式布署的信息系统首先面临的安全问题。举一种简朴的例子，当顾客B接受到一封来自顾客A的重要文献，那么顾客B首先需要确认的是该文献确实是由顾客A本人发出的，而不是第三者以顾客A的名义发出的，如果这一点无法确保，那么即使能够确认文献本身的数据完整性和保密性，也没有任何意义。在分布式布署的公司信息系统中，顾客的交互往往是非面对面的，因此提供一种可靠的身份认证过程将是讨论一切安全方法的前提条件。传统的顾客名+密码的身份认证方式在安全性方面存在多个缺点，应用系统需要采用其它更为有效的身份验证机制。(2)确保敏感数据通过公用网络传输时的保密性保密性(Confidentiality)需求是指应用系统需要能够确保敏感数据只被特定的顾客查看。以前面的例子为例，顾客A需要确保所发出的文献的内容只有顾客B才干查看。诸多时候，顾客A通过公共网络，例如以电子邮件的形式将文献发给顾客B，这时，确保文献的内容不被第三者查看变得尤为重要。(3)确保数据完整性确保数据完整性(Integrity)就是确认我们所接受到的来自某一顾客的数据是完整的和未被篡改的。以上面的例子为例，顾客B除了需要确认该文献确实是由顾客A发出的以外，还需要确认这封文献在传输过程中没有被故意或无意的篡改，即顾客B接受到的文献和顾客A发出的文献是完全一致的。(4)提供不可否认性支持安全的信息系统经常规定实现顾客在系统中的行为的不可否认性(Non-Repudiation)。以前面的例子为例，当顾客A发出该文献之后，顾客A将再不能否认曾经发出该文献这一事实。在需要顾客对自己在系统中的行为承当责任的场合，不可否认性显得非常的重要。PKI为从技术上实现以上需求提供了原理上的确保，我们对此在下一小节中加以简朴的介绍。3.2非对称密钥加密技术介绍PKI基于非对称密钥加密技术来实现应用系统对身份认证、数据保密性和完整性、不可否认性的支持。理解非对称密钥加密技术的基本原理是理解PKI为什么安全的基本前提，也只有在对PKI的原理有一定程度的理解之后，才干有效的布署和实施PKI。在传统的加密算法中，接受密文的一方使用与加密密钥相似的密钥作为解密密钥，这种加密技术因此被称为对称密钥加密技术。对称密钥加密算法本身是非常安全的，问题出在如何传递加密所使用的密钥上。为理解决这一问题，提出了非对称加密技术。非对称加密在加密时和解密时使用不同的密钥，设为密钥p和q。使用密钥p加密的数据必须使用密钥q才干解密，而使用密钥q加密的数据必须使用密钥p才干解密。但是从密钥p本身计算出密钥q是不可行的。PKI使用了非对称加密技术，其中的一种密钥称为私钥，由证书的持有者妥善保管，必须严格保密，另一种密钥称为公钥，通过CA公布，不必保密。当顾客A需要将数据以加密的方式传递给顾客B时，顾客A使用顾客B的公钥加密数据，加密后的数据必须使用顾客B的私钥才干解密，因此能够确保数据传输过程的保密性。为了验证数据的真实性，顾客A使用自己的私钥对数据的哈希值加密，顾客B使用顾客A的公钥对哈希值解密，并与接受到的数据的哈希值进行对比。由于私钥不在公共网络上传输，因此PKI有很高的安全性。3.3PKI的构成部分PKI方案的基本构造如图3-2所示。图3-2PKI的基本构造CA和RA互相配合，负责PKI系统中的数字证书的申请、审核、签发和管理。密钥管理中心与IT系统中的顾客管理中心协同工作，负责PKI中的密钥对的生成、备份和恢复。IT系统中的应用系统通过安全中间件使用PKI系统提供的多个安全服务。PKI中的加密服务组件负责驱动系统底层的加密软件和硬件。安全中间件为应用系统隔离了PKI系统中的复杂技术细节，而加密服务组件实现了PKI系统与来自第三方的加密软件和硬件集成的能力。PKI系统中能够配备多套加密服务组件，以驱动不同的加软件和硬件。安全中间件与加密服务组件的组合方式通过安全方略管理中心配备，而不由应用系统控制，因此确保了PKI方案的可扩展能力和可定制能力。3.3.1认证和注册审核机构(CA/RA)认证机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用涉及签发证书、规定证书的使用期和通过公布证书废除列表(CRL)来确保必要时能够废除证书。注册审核机构RA提供顾客和CA之间的接口，重要完毕收集顾客信息和确认顾客身份的功效。这里指的顾客，是指将要向认证机构(即CA)申请数字证书的客户，能够是个人，也能够是集团或团体、某政府机构等。RA接受顾客的注册申请，审查顾客的申请资格，并决定与否同意CA给其签发数字证书。注册机构并不给顾客签发证书，而只是对顾客进行资格审查。因此，RA能够设立在直接面对顾客的业务部门。对于一种规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完毕，而不设立独立运行的RA。但这并不是取消了PKI的注册功效，而只是将其作为CA的一项功效而已。PKI方案推荐由一种独立的RA来完毕注册管理的任务，通过确保CA和IT系统其它部分的物理隔绝，能够增强应用系统的安全。CA签发的数字证书普通由RA通过LDAP服务器公布，供PKI系统中的顾客需要时进行检索和获取。CA/RA服务器使用数据库服务器保存有关的数据。图3-3描述了CA、RA、数据库和LDAP服务器之间的关系。图3-3证书机构和注册审核机构(CA/RA)3.3.2密钥管理中心密钥管理也是PKI(重要指CA)中的一种核心问题，重要是指密钥对的安全管理，涉及密钥产生、密钥备份和密钥恢复等。密钥对的产生是证书申请过程中重要的一步，其中产生的私钥由顾客保存，公钥和其它信息则通过RA交于CA中心进行签名，供生成数字证书使用。在一种PKI系统中，维护密钥对的备份至关重要。如果没有这种方法，当密钥丢失后，将意味着加密数据的完全丢失，对于某些重要数据，这将是灾难性的。使用PKI的公司和组织必须能够得到确认：即使密钥丢失，受密钥加密保护的重要信息也必须能够恢复，并且不能让一种独立的个人完全控制最重要的主密钥，否则将引发严重后果。在某些状况下顾客可能有多对密钥，最少应当有两对密钥：一对用于加密，一对用于签名。签名密钥不需要备份，由于用于验证签名的公钥(或公钥证书)广泛公布，即使签名私钥丢失，任何用于对应公钥的人都能够对已签名的文档进行验证。PKI系统需要备份用于加密的密钥对，并允许顾客进行恢复。因此，公司级的PKI产品最少应当支持用于加密的安全密钥的存储、备份和恢复。密钥的备份普通用口令进行保护，而口令丢失则是管理员最常见的安全疏漏之一。即使口令丢失，使用密钥管理中心提供的密钥恢复功效，也能够让顾客在一定条件下恢复该密钥，并设立新的口令。当顾客的私钥被泄漏时，顾客应当更新私钥。这时顾客能够废除证书，产生新的密钥对，申请新的证书。密钥管理中心需要与PKI系统中的其它加密软件系统和硬件设备协同工作。3.3.3安全中间件安全中间件是PKI方案的一种重要构成部分，是PKI系统与应用系统的桥梁。各个应用系统通过安全中间件与底层的PKI服务组件互相作用，协同工作，从而确保整个IT系统的安全性。安全中间件实现下列功效：为应用系统提供一致的安全应用程序编程接口(API)通过加密服务组件驱动不同的CA服务器产品、加密软件和硬件安全中间件与有关组件之间的关系如图3-4所示。安全中间件涉及下列部分：安全应用程序编程接口安全应用程序编程接口屏蔽了PKI系统复杂的技术细节，将PKI系统与具体的应用系统有机的集成在一起，从而构成构造良好的公司分布式安全应用环境。当PKI系统中具体的CA服务器、加密软件和加密硬件发生变化时，基于安全中间件的应用系统不需要进行修改，只需要使用安全配备和管理组件对安全中间件的行为重新进行配备即可。安全实体映射组件安全实体映射组件维护IT系统中顾客与PKI系统中的安全实体之间的映射关系。当顾客采用不同的PKI技术方案时，PKI系统中的安全实体与IT系统中的顾客之间的映射关系可能会发生变化，这种状况在当顾客采用专用的加密算法和非原则的证书系统时特别明显。由安全中间件集中维护IT系统中的顾客与PKI系统中的安全实体之间的映射关系能够有效的简化应用系统的开发和实施。加密服务组件在安全中间件中，加密服务组件负责驱动PKI中的第三方软件系统和硬件设备，向安全中间件提供顾客身份验证、数据加密和解密的底层实现。顾客通过安全应用程序编程接口发出的数据加密和解密请求事实上由加密服务组件负责具体的实现。加密服务组件是PKI方案实现与来自第三方的CA服务器产品、加密软件、加密硬件的集成的途径。PKI方案含有集成来自不同厂商的CA服务器产品、加密软件和加密硬件的能力，这种能力是通过布署不同的加密服务组件来实现的。加密服务组件向安全中间件提供支持，在加密服务组件之上的安全中间件为应用系统屏蔽了底层的复杂的PKI组件。安全配备和管理组件安全应用程序编程接口提供了完毕独立于具体的PKI系统组件的选型的接口，然后，随着顾客对CA服务器及有关软件、加密软件和硬件的选择不同，应用系统在使用PKI系统提供的安全服务也会有所不同。这也即是为什么现在的大多数安全中间件事实上无法实现底层平台无关性的最重要因素。PKI方案通过提供独立于安全应用程序编程接口的安全配备和管理组件来解决这一问题。当顾客选择不同的CA服务器及有关软件、加密软件和硬件时，PKI系统仍然需要进行新的配备，这是通过安全配备和管理组件实现的，应用系统不需要进行配备，安全中间件与安全配备和管理组件协同工作，真正的实现了PKI方案的可扩展能力、可定制能力、可开发能力和可集成能力。安全中间件向应用系统提供下列应用程序编程接口：数据加密和解密信息摘要计算数字签名及验证生成高质量随机数其它与安全有关的系统功效的实现四.PMI部分4.1什么是PMIPMI是PrivilegeManagementInfrastructures的英文缩写，意为授权管理基础设施。PMI建立在PKI基础上，与PKI相结合，提供实体身份到应用权限的映射，实现对系统资源访问的统一管理。PKI证明实体身份的正当性；PMI证明实体含有什么权限，能以何种方式访问什么资源。典型的场景中，以下面图4－1所示，如果某个顾客或应用需要在某一种资源上行使某个操作。顾客将向实际保护该资源的系统（如一种文献系统或一种WebServer）发出请求，该提供保护的系统称为方略实施点PEP(PolicyEnforcementPoint)。随即PEP将基于请求者的属性、所请求的资源和所要行使的操作以及其它信息，来形成一种请求并发送到一种方略决策点PDP(PolicyDecisionPoint)。在PDP,将查看该请求，并计算将有哪些方略应用到该请求，从而计算得出与否允许访问。决策的成果将会返回给PEP,并由PEP来执行对该访问请求的许可或回绝。需要注意的是PEP和PDP是逻辑上的概念，它们能够就包含在一种单独的应用中，也能够分布在不同的服务器上。图4－1PMI逻辑构造示意图4.2为什么需要PMI1.控制和减少商业渠道扩展时所涉及的费用，并提供更灵活的通道。这就规定无需考虑最后顾客的位置（例如客户，供应商，伙伴，或雇员），顾客能够动态的使用多个交互方式（浏览器、PDA、无线设备等）来使用系统并获得相似的信息内容和质量。为实现这些不同的渠道和交互方式而采用重复复制框架和应用的做法将大大提高建设和维护费用，并由于一种实际的顾客在多个系统中都拥有顾客帐号，因此难以识别一种唯一的顾客标记，并提供更加好的关联服务。2. 需要加紧对系统的访问并能够安全有效地保护个人信息隐私，从而提高客户对公司的信任3.在基于Internet的方案中，能够通过多个访问点来访问机密信息。如果没有一种适宜的安全方略和高级的安全控制，机密信息泄漏和数据保护被破坏的可能性将大大增加。4.需要一种设备和应用独立的灵活而原则的顾客标记（identity）管理方案。其实现必须支持多个技术和设备，并含有核心任务级的伸缩性和可靠性。5. 需要提高操作效率而不减少安全性，需要提高个性化程度并能有效地进行活动顾客管理。4.3PMI发展的几个阶段根据对身份认证和授权的解决方式的不同，以及技术发展提供的条件，身份验证和授权的实现经历了以下几个阶段.在第一种阶段，即原始阶段，一种顾客在多个顾客系统中都有各自的账号，并需要分别登录验证。整个公司系统环境中，安全问题往往出现在最单薄的系统中，由于需要确保和维护多个系统的不同的安全级别，大大增加了维护的费用和成本，并且出现安全漏洞的机会也大大增加。在第二个阶段，为解决后台系统间互操作的问题，需要在各应用系统间建立信任连接。建立该信任连接往往是在应用系统开发时就进行决策。这样的方案首先受到开发约束，另首先，存在着比较大的安全隐患。在第三阶段，整个公司已经建立起PMI架构，各应用间涉及传统应用能够通过统一的架构服务实现集中的身份验证和授权管理，因此大大减少了管理和维护的成本。同时能够集中的提高全部应用在身份验证和授权管理上的安全性。整个公司环境实现了SingleSignOn。在第四个阶段，PMI扩展到了更大的架构，不同公司，不同地区间的应用和顾客能够实现互相认证和授权。有多个顾客标记管理和验证授权中心存在，互相间能够实现远程委托的身份验证和授权。通过该架构为顾客提供了唯一可信的网络身份标记并为公司间的B2B实现提供坚强的安全确保。4.4PMI的安全体系模型在可信赖的WebService的安全架构中，完全需要集中地对顾客的身份进行认证并且能够集中地进行授权管理和授权决策。SingleSignOn能提高和加强WebService参加的各系统的安全，并简化公司中各个异构系统的安全管理和维护。因此实现一种完整的，先进的PMI(PrivilegeManagementInfrastructures)是实现可信赖的WebService的安全架构的重要基础。TrustedWebServicePMI就是这样一种先进的PMI架构。在PMI的框架实现中，对于身份验证和授权服务都提供了基于SAML,XACML的WebService访问办法。PMI框架还可提供对LegacyApplication和Webapplication的支持，并实现对这些应用的SingleSignOn。在PMI框架的软件产品中，提供1．目录服务使用LDAP合同进行访问。提供对系统元数据目录、顾客身份和属性信息、顾客授权信息、资源和服务信息、组织和角色信息、系统安全方略等重要信息的层次化存储和查询服务。LDAP目录服务能够进行分布式布署，并通过群集实现负载均衡和高可用性2．管理服务（提供JMX管理接口）提供对系统元数据目录、顾客身份和属性信息、顾客授权信息、资源和服务信息、组织和角色信息、系统安全方略等重要信息的创立管理和维护工作。在整个管理服务中，还实现了JavaManagementExtension（Java管理扩展接口），能够和整个安全应用集成框架的顶层管理相集成。3．方略服务提供单点登录、身份验证、授权决策、以及会话管理和审核日志服务。在方略服务中，为应用系统的授权决策请求提供决策服