慧点安全解决方案白皮书模板

慧点安全处理方案白皮书慧点安全处理方案白皮书二十一世纪是信息化世纪,伴随网络技术发展,尤其是Internet全球化,信息共享程度深入提升。数字信息越来越深入影响着社会生活各个方面,多种基于互联网技术网上应用,如电子政务、电子商务等也得到了迅猛发展。网络正逐步成为大家工作、生活中不可分割一部分。因为互联网开放性和通用性,网上全部信息对全部些人全部是公开,所以网络上信息安全问题也日益突出。目前政府部门、金融部门、企机关和个人全部日益重视这一关键问题。大、中型企业怎样保护信息安全和网络安全,最大程度降低或避免因信息泄密、破坏等安全问题所造成经济损失及对企业形象影响,是摆在我们面前亟需妥善处理一项含有重大战略意义课题。网络飞速发展推进社会发展,大批用户借助网络极大地提升了工作效率,发明了部分全新工作方法,尤其是因特网出现更给用户带来了巨大方便。但其次,网络,尤其是因特网存在着极大安全隐患。多年来,因特网上安全事故屡有发生。连入因特网用户面临很多安全风险:拒绝服务、信息泄密、信息篡改、资源盗用、声誉损害等等。类似风险也存在于其它互联网络中。这些安全风险存在阻碍了计算机网络应用和发展。在网络化、信息化进程不可逆转形势下,建立安全可靠网络信息系统是一个肯定选择。为此,慧点科技以PKI为关键,配合PMI能够有效地处理信息安全问题,从而确保网上信息保密性、完整性、防抵赖性,和信息起源可靠性,为各企机关信息化建设和实施提供了卓有成效安全防护。一.慧点产品总体框架慧点科技致力于为企机关提供完整电子政务、电子商务关键处理方案,构建平台统一、系统安全、投资合理、运行高效系统平台,提供服务于应用集成、数据集成和表现集成全线产品,为企机关信息化构建动态协同基础设施。慧点科技办公系统满足企机关日常办公多种业务需要,是政府、企业信息化基础应用系统;数据交换平台提供各系统间业务集成,是企机关实施全方位信息化和数据共享基础中间件平台;一站式服务平台实现政府跨部门网上行政、网上办公和网上审批,是实现阳光行政、高效行政、依法行政关键平台;统一信息门户提供丰富内容表现方法、全方位访问接入方法和个性化服务,是企机关信息化统一入口,是领导决议信息起源,是政府、企业形象集中表现。慧点安全处理方案是慧点全线产品安全基础。安全中间件作为PKI关键组成部分是连接CA和各应用系统桥梁,使得各应用系统和CA之间实现松散连接。安全中间件是以公钥基础设施(PKI)为关键、建立在一系列相关国际安全标准之上一个开放式应用开发平台,并对PKI基础功效如对称加密和解密、非对称加密和解密、信息摘要、单向散列、数字署名、署名验证、证书从证,和密钥生成、存放、销毁等深入扩充,进而形成系统安全服务器接口,和通信安全服务接口。安全中间件能够跨平台操作,为不一样操作系统上应用软件集成提供方便,满足用户对系统伸缩性和可扩展性要求。在频繁改变企业计算机环境中,安全中间件能够将不一样应用程序无缝地融合在一起,使用户业务不会因计算环境改变遭受损失。同时,安全中间件屏蔽了安全技术复杂性,使设计开发人员无须含有专业安全知识背景就能够结构高安全性应用。慧点科技全线产品建立在PKI、PMI、安全中间件基础上,是一个经典安全应用集成平台。二.安全需求2.1应用集成和政务集成中安全需求伴随网络技术发展,尤其是Internet全球化,多种基于互联网技术网上应用,如电子政务、电子商务等得到了迅猛发展。应用需求越来越复杂,迫切需要多种独立异构分布式应用之间能够进行协同互操作,传统分布式构件方案如DCOM和CORBA难以满足应用开发需要,于是因为XML技术逐步成熟,出现了一个新分布式、松耦合、自描述分布式组件服务WebService。因为WebService含有跨平台、易开发优良特征,所以在应用系统集成领域和网络服务领域成为了一个广泛应用标准。慧点DCI产品框架平台就是这一个完全基于J2EE平台和WebService完整企业应用和电子政务应用集成平台。可是因为WebService开放性和通用性,为了能够保护信息系统安全,对WebService安全性提出了很高要求。WebService迫切需要一个完整安全服务框架,来为上层应用开发提供全方面安全服务。构建WebService安全框架困难在于:webservice是很分布式,而且关键安全实现和算法全部是由不一样提供商实现。将各分散业务部门和它们原先异构安全系统和架构统一集成到WebService安全和业务平台上,而且能够以一个信任关系在各部门应用之间共享用户信息、描述和权限是一个摆在面前巨大挑战。为何需要安全可信WebServices和过去十年中用户/服务器和基于Web应用一样,XMLWebServices给应用开发和信息系统构建带来了革命性影响。经过使用标准协议,如XML、SOAP、WSDL和UDDI,应用能够更轻易相互通讯,而且愈加快、更廉价进行应用集成,供给链集成,实现分布式服务模型。XMLWebService接口是基于XML和松耦合。XML和SOAP许可任意系统间进行相互通讯,不管它是一个OfficeXP桌面还是一个大型主机系统。伴随自动化业务步骤集成越来越普及,越来越多各式各样系统经过WebService加入到一个广泛WebService集成环境中去,所以出现了以下部分问题:非集中架构非集中管理用异构技术实现多个部门间相互连接多个企业间相互连接天然对等架构有可能对Internet开放上面每一个问题全部是对系统安全严峻挑战。怎样跨越多个异构系统在整个环境中实施一个安全策略?怎样为一个不了解安全系统外部提供商提供安全服务?怎样监视和审计跨越多个异构系统安全活动事件?要处理上述问题,仅依靠于传统防火墙和入侵监测系统是不足够,即使加上了SSL和VPN也只是处理了数据在网络中安全传输问题,并没有处理跨系统认证和访问授权问题,也没能处理面向Internet服务安全问题。要处理这些问题,需要提供一个完整基于WebService安全和企业应用集成架构。慧点DCI架构和产品系列提供了对上述问题完整处理方案(完整架构说明请看另文)。2.2OA产品安全需求1．安全电子邮件电子邮件已经是现在最常使用文本通讯手段,是OA系统中关键功效之一。为了确保电子邮件安全,需要能够使用数字证书对邮件进行数字署名和数字加密。安全电子邮件是在原有MIME邮件规范基础上,新增了很多强有力安全功效。经过基于?°S/MIME?±协议来实现,能够和多种支持相同协议常见邮件程序(如OutLook系列、Netscape系列)兼容互通。2．电子签章在办公和文档管理中,需要将传统印章、署名方法同现代数字署名技术相结合,用电子数据安全来支持用户传统使用习惯,使整个系统含有愈加好易用性,同时又含有完善安全性。这种结合被称为电子签章。在电子签章系统中需要PKI提供数字证书和数字署名服务,并结合智能卡或其它身份识别技术,实现多种常见应用文档编写程序签署插件,并经过OA系统进行公文文档工作流传输。同时伴随Web化办公兴起,迫切需要用户能够安全经过浏览器来传输数据,同时能够验明自己身份,所以需要有能够对网页上用户提交数据进行数字署名和加密能力。3．数字水印因为多媒体信息很轻易被未授权用户复制,尤其是图片性文档,所以采取传统密码方法并不能完全处理以上问题,于是大家开始经过永久性数字水印来处理这一难题。数字水印技术是指用信号处理方法在数字化多媒体数据中嵌入隐含标识。数字水印(DigitalWatermarking)广泛应用于数字作品版权保护、隐蔽通讯、电子商务等领域。经过在OA系统中应用数字水印技术,对发给不一样用户需要保密图片文档使用该用户印章进行水印加注,以后一旦图片原本泄漏,能够追查图片泄漏起源,进而得到防范和威慑效果。4．防拷屏一些秘密文档需要特定人于特定机器才能进行浏览,为了预防用户用拷屏手段复制屏幕上已经解密秘密信息并泄密,需要提供部分辅助软件工具来阻止用户进行拷屏操作。5．安全加密文档在办公系统中,一些秘密文档不许可以解密后明文文档方法存在,要求必需在存放时,文档必需是加密。这就需要办公系统中提供部分文档目录加解密用户端工具。这些加解密用户端工具软件能够自动加解密整个文件目录。2.3慧点产品方案中处理安全问题和需求身份认证通常我们在Web应用中使用口令、证书、Kerberos、LDAP等不一样验证方法来认证服务请求者,而且在更高安全级,要需要请求者经过SmartCard或生物指纹技术进行验证。一样服务请求者也需要认证服务提供者。授权/访问控制WebService很轻易进行访问,所以授权并限制外部对该WebService访问是相当关键。不仅要能够控制应用/用户能够访问哪些信息,还要控制应用或用户有权实施哪些操作。另外能够对管理权进行委托,以能够管理大型组织结构跨应用访问授权。尤其对于不一样域之间,如B2B场景中,系统间需要能够相互认证并能够交换授权断言。单点登录(SingleSignOn)在WebService环境中,单点登录饰演着很关键角色。在WebService环境中,各式各样系统间需要相互通讯,但要求每个系统全部维护相互之间访问控制列表是不实际。用户也需要愈加好体验以不需要繁琐数次登录和身份验证来使用一个业务过程中包含到不一样系统。在WebService单点登录环境下,还包含这么部分系统,它们有着自己认证和授权实现,所以需要处理用户信任状在不一样系统间进行映射问题,而且需要确保一旦一个用户被删除,则该用户将不能访问全部参与系统。SAML是一个将认证和授权信息以XML格式编码标准。一个WebService所以能够从一个SAML兼容认证和授权服务中请求并收到SAML断言,并据此验证和授权一个服务请求者。SAML能够用来在多个系统间传输信任状,并所以被用于单点登录方案中。数据加密标准安全通信协议,如使用SSL来实现端到端数据加密。可是在WebService环境很多情形下,一个消息不一样部分可能会被多个WebService消息中介进行处理,所以需要XMLEncryption加密标准来许可对一个消息不一样部分进行加密,同时能够不对路由目标消息头进行加密,以降低敏感加密性能损失。数字署名和预防否认在系统间消息通讯中,尤其是对那些跨越企业或不一样行政单位消息,需要确保消息完整性、防篡改,还要确保该消息确定来自于所期望源。这一切全部能够经过数字署名来实现。XMLSignature标准提供了署名XML文档一部分方法,它提供了跨越多个系统端到端数据完整性。同时数字署名和时间戳还能预防对已发生交易否认。重放攻击为了预防网络截听者拦截并拷贝有效消息,尤其是身份验证消息,并在随即时间重放该消息,以取得非法利益情况发生,必需实现两次握手身份验证过程,并确保身份信息数据是机密传输。这么验证过程能够是基于SSL,也能够是自定义。恶意和拒绝服务攻击WebService是如此轻易进行调用,通常来说WebService全部是经过HTTP和HTTPS协议进行调用,而大多数防火墙又开放80和443端口以作为标准Web消息通道。防火墙通常不会检验在通道上传输SOAP消息正当性。这就需要WebService基础设施是稳固可靠,不会因为消息中非法错误数据而出现内部错误,从而拒绝服务,也不会因为不正当超长消息而造成系统资源耗尽而拒绝服务。入侵检测要整理出全部对庞大WebService方法误用是一个很困难任务。经过安全策略和访问控制管理能够降低对系统非法入侵。要预防系统入侵,需要很好智能化分析手段,并借助于教授系统来帮助检测恶意行为。安全系统管理怎样对在WebServices环境中各个异构系统安全配置进行管理,并能够监控其安全状态是一个需要处理问题。这就需要各个系统能够根据统一系统管理标准进行远程管理并提供系统安全状态信息。三.慧点PKI方案

3.1PKI介绍PKI是PublicKeyInfrastructure(公共密钥体系)缩写,是一个使用非对称密钥加密原理和相关技术实现安全基础设施。PKI为组织机构建立和维护一个可信赖安全环境,为应用系统提供对身份认证、数据保密性和完整性、不可否认等特征支持,以满足应用系统对安全性需求。在基于Internet技术电子政务和电子商务场景下,应用系统对安全性需求在技术上最终全部归于以下四个方面:(1)提供用户身份正当性验证机制身份认证(Authentication)是分布式布署信息系统首先面临安全问题。举一个简单例子,当用户B接收到一封来自用户A关键文件,那么用户B首先需要确定是该文件确实是由用户A本人发出,而不是第三者以用户A名义发出,假如这一点无法确保,那么即使能够确定文件本身数据完整性和保密性,也没有任何意义。在分布式布署企业信息系统中,用户交互往往是非面对面,所以提供一个可靠身份认证过程将是讨论一切安全方法前提条件。传统用户名+密码身份认证方法在安全性方面存在多种缺点,应用系统需要采取其它更为有效身份验证机制。(2)确保敏感数据经过公用网络传输时保密性保密性(Confidentiality)需求是指应用系统需要能够确保敏感数据只被特定用户查看。以前面例子为例,用户A需要确保所发出文件内容只有用户B才能查看。很多时候,用户A经过公共网络,比如以电子邮件形式将文件发给用户B,这时,确保文件内容不被第三者查看变得尤为关键。(3)确保数据完整性确保数据完整性(Integrity)就是确定我们所接收到来自某一用户数据是完整和未被篡改。以上面例子为例,用户B除了需要确定该文件确实是由用户A发出以外,还需要确定这封文件在传输过程中没有被有意或无意篡改,即用户B接收到文件和用户A发出文件是完全一致。(4)提供不可否认性支持安全信息系统常常要求实现用户在系统中行为不可否认性(Non-Repudiation)。以前面例子为例,当用户A发出该文件以后,用户A将再不能否认曾经发出该文件这一事实。在需要用户对自己在系统中行为负担责任场所,不可否认性显得很关键。PKI为从技术上实现以上需求提供了原理上确保,我们对此在下一小节中加以简单介绍。3.2非对称密钥加密技术介绍PKI基于非对称密钥加密技术来实现应用系统对身份认证、数据保密性和完整性、不可否认性支持。了解非对称密钥加密技术基础原理是了解PKI为何安全基础前提,也只有在对PKI原理有一定程度了解以后,才能有效布署和实施PKI。在传统加密算法中,接收密文一方使用和加密密钥相同密钥作为解密密钥,这种加密技术所以被称为对称密钥加密技术。对称密钥加密算法本身是很安全,问题出在怎样传输加密所使用密钥上。为了处理这一问题,提出了非对称加密技术。非对称加密在加密时和解密时使用不一样密钥,设为密钥p和q。使用密钥p加密数据必需使用密钥q才能解密,而使用密钥q加密数据必需使用密钥p才能解密。可是从密钥p本身计算出密钥q是不可行。PKI使用了非对称加密技术,其中一个密钥称为私钥,由证书持有者妥善保管,必需严格保密,另一个密钥称为公钥,经过CA公布,无须保密。当用户A需要将数据以加密方法传输给用户B时,用户A使用用户B公钥加密数据,加密后数据必需使用用户B私钥才能解密,所以能够确保数据传输过程保密性。为了验证数据真实性,用户A使用自己私钥对数据哈希值加密,用户B使用用户A公钥对哈希值解密,并和接收到数据哈希值进行对比。因为私钥不在公共网络上传输,所以PKI有很高安全性。CA和RA相互配合,负责PKI系统中数字证书申请、审核、签发和管理。密钥管理中心和IT系统中用户管理中心协同工作,负责PKI中密钥正确生成、备份和恢复。IT系统中应用系统经过安全中间件使用PKI系统提供多种安全服务。PKI中加密服务组件负责驱动系统底层加密软件和硬件。安全中间件为应用系统隔离了PKI系统中复杂技术细节,而加密服务组件实现了PKI系统和来自第三方加密软件和硬件集成能力。PKI系统中能够配置多套加密服务组件,以驱动不一样加软件和硬件。安全中间件和加密服务组件组合方法经过安全策略管理中心配置,而不由应用系统控制,所以确保了PKI方案可扩展能力和可定制能力。3.3.1认证和注册审核机构(CA/RA)认证机构CA是PKI信任基础,它管理公钥整个生命周期,其作用包含签发证书、要求证书使用期和经过公布证书废除列表(CRL)来确保必需时能够废除证书。注册审核机构RA提供用户和CA之间接口,关键完成搜集用户信息和确定用户身份功效。这里指用户,是指将要向认证机构(即CA)申请数字证书用户,能够是个人,也能够是集团或团体、某政府机构等。RA接收用户注册申请,审查用户申请资格,并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书,而只是对用户进行资格审查。所以,RA能够设置在直接面对用户业务部门。对于一个规模较小PKI应用系统来说,可把注册管理职能由认证中心CA来完成,而不设置独立运行RA。但这并不是取消了PKI注册功效,而只是将其作为CA一项功效而已。慧点PKI方案推荐由一个独立RA来完成注册管理任务,经过确保CA和IT系统其它部分物理隔绝,能够增强应用系统安全。CA签发数字证书通常由RA经过LDAP服务器公布,供PKI系统中用户需要时进行检索和获取。CA/RA服务器使用数据库服务器保留相关数据。3.3.2密钥管理中心密钥管理也是PKI(关键指CA)中一个关键问题,关键是指密钥正确安全管理,包含密钥产生、密钥备份和密钥恢复等。密钥正确产生是证书申请过程中关键一步,其中产生私钥由用户保留,公钥和其它信息则经过RA交于CA中心进行署名,供生成数字证书使用。在一个PKI系统中,维护密钥正确备份至关关键。假如没有这种方法,当密钥丢失后,将意味着加密数据完全丢失,对于部分关键数据,这将是灾难性。使用PKI企业和组织必需能够得到确定:即使密钥丢失,受密钥加密保护关键信息也必需能够恢复,而且不能让一个独立个人完全控制最关键主密钥,不然将引发严重后果。在一些情况下用户可能有多对密钥,最少应该有两对密钥:一对用于加密,一对用于署名。署名密钥不需要备份,因为用于验证署名公钥(或公钥证书)广泛公布,即使署名私钥丢失,任何用于对应公钥人全部能够对已署名文档进行验证。PKI系统需要备份用于加密密钥对,并许可用户进行恢复。所以,企业级PKI产品最少应该支持用于加密安全密钥存放、备份和恢复。密钥备份通常见口令进行保护,而口令丢失则是管理员最常见安全疏漏之一。即使口令丢失,使用密钥管理中心提供密钥恢复功效,也能够让用户在一定条件下恢复该密钥,并设置新口令。当用户私钥被泄漏时,用户应该更新私钥。这时用户能够废除证书,产生新密钥对,申请新证书。密钥管理中心需要和PKI系统中其它加密软件系统和硬件设备协同工作。3.3.3安全中间件安全中间件是慧点PKI方案一个关键组成部分,是PKI系统和应用系统桥梁。各个应用系统经过安全中间件和底层PKI服务组件相互作用,协同工作,从而确保整个IT系统安全性。安全中间件实现以下功效:为应用系统提供一致安全应用程序编程接口(API)经过加密服务组件驱动不一样CA服务器产品、加密软件和硬件安全中间件和相关组件之间关系图3-4所表示。安全中间件包含以下部分:安全应用程序编程接口安全应用程序编程接口屏蔽了PKI系统复杂技术细节,将PKI系统和具体应用系统有机集成在一起,从而组成结构良好企业分布式安全应用环境。当PKI系统中具体CA服务器、加密软件和加密硬件发生改变时,基于安全中间件应用系统不需要进行修改,只需要使用安全配置和管理组件对安全中间件行为重新进行配置即可。安全实体映射组件安全实体映射组件维护IT系统中用户和PKI系统中安全实体之间映射关系。当用户采取不一样PKI技术方案时,PKI系统中安全实体和IT系统中用户之间映射关系可能会发生改变,这种情况在当用户采取专用加密算法和非标准证书系统时尤其显著。由安全中间件集中维护IT系统中用户和PKI系统中安全实体之间映射关系能够有效简化应用系统开发和实施。加密服务组件在安全中间件中,加密服务组件负责驱动PKI中第三方软件系统和硬件设备,向安全中间件提供用户身份验证、数据加密和解密底层实现。用户经过安全应用程序编程接口发出数据加密和解密请求实际上由加密服务组件负责具体实现。加密服务组件是慧点PKI方案实现和来自第三方CA服务器产品、加密软件、加密硬件集成路径。慧点PKI方案含有集成来自不一样厂商CA服务器产品、加密软件和加密硬件能力,这种能力是经过布署不一样加密服务组件来实现。加密服务组件向安全中间件提供支持,在加密服务组件之上安全中间件为应用系统屏蔽了底层复杂PKI组件。安全配置和管理组件安全应用程序编程接口提供了完成独立于具体PKI系统组件选型接口,然后,伴随用户对CA服务器及相关软件、加密软件和硬件选择不一样,应用系统在使用PKI系统提供安全服务也会有所不一样。这也即是为何目前大多数安全中间件实际上无法实现底层平台无关性最关键原因。慧点科技PKI方案经过提供独立于安全应用程序编程接口安全配置和管理组件来处理这一问题。当用户选择不一样CA服务器及相关软件、加密软件和硬件时,PKI系统仍然需要进行新配置,这是经过安全配置和管理组件实现,应用系统不需要进行配置,安全中间件和安全配置和管理组件协同工作,真正实现了PKI方案可扩展能力、可定制能力、可开发能力和可集成能力。

四.PMI部分4.1什么是PMIPMI是PrivilegeManagementInfrastructures英文缩写,意为授权管理基础设施。PMI建立在PKI基础上,和PKI相结合,提供实体身份到应用权限映射,实现对系统资源访问统一管理。PKI证实实体身份正当性;PMI证实实体含有什么权限,能以何种方法访问什么资源。经典场景中,以下面图4－1所表示,假如某个用户或应用需要在某一个资源上行使某个操作。用户将向实际保护该资源系统(如一个文件系统或一个WebServer)发出请求,该提供保护系统称为策略实施点PEP(PolicyEnforcementPoint)。随即PEP将基于请求者属性、所请求资源和所要行使操作和其它信息,来形成一个请求并发送到一个策略决议点PDP(PolicyDecisionPoint)。在PDP,将查看该请求,并计算将有哪些策略应用到该请求,从而计算得出是否许可访问。决议结果将会返回给PEP,并由PEP来实施对该访问请求许可或拒绝。需要注意是PEP和PDP是逻辑上概念,它们能够就包含在一个单独应用中,也能够分布在不一样服务器上。4.2为何需要PMI1.控制和降低商业渠道扩展时所包含费用,并提供更灵活通道。这就要求无需考虑最终用户位置(比如用户,供给商,伙伴,或雇员),用户能够动态使用多个交互方法(浏览器、PDA、无线设备等)来使用系统并取得相同信息内容和质量。为实现这些不一样渠道和交互方法而采取反复复制框架和应用做法将大大提升建设和维护费用,并因为一个实际用户在多个系统中全部拥有用户帐号,所以难以识别一个唯一用户标识,并提供愈加好关联服务。2.需要加紧对系统访问并能够安全有效地保护个人信息隐私,从而提升用户对企业信任3.在基于Internet方案中,能够经过多个访问点来访问机密信息。假如没有一个合适安全策略和高级安全控制,机密信息泄漏和数据保护被破坏可能性将大大增加。4.需要一个设备和应用独立灵活而标准用户标识(identity)管理方案。其实现必需支持多个技术和设备,并含相关键任务级伸缩性和可靠性。5.需要提升操作效率而不降低安全性,需要提升个性化程度并能有效地进行活动用户管理。4.3PMI发展多个阶段依据对身份认证和授权处理方法不一样,和技术发展提供条件,身份验证和授权实现经历了以下多个阶段,在第一个阶段,即原始阶段,一个用户在多个用户系统中全部有各自账号,并需要分别登录验证。整个企业系统环境中,安全问题往往出现在最微弱系统中,因为需要确保和维护多个系统不一样安全等级,大大增加了维护费用和成本,而且出现安全漏洞机会也大大增加。在第二个阶段,为处理后台系统间互操作问题,需要在各应用系统间建立信任连接。建立该信任连接往往是在应用系统开发时就进行决议。这么方案首先受到开发约束,其次,存在着比较大安全隐患。在第三阶段,整个企业已经建立起PMI架构,各应用间包含传统应用能够经过统一架构服务实现集中身份验证和授权管理,所以大大降低了管理和维护成本。同时能够集中提升全部应用在身份验证和授权管理上安全性。整个企业环境实现了SingleSignOn。在第四个阶段,PMI扩展到了更大架构,不一样企业,不一样地域间应用和用户能够实现相互认证和授权。有多个用户标识管理和验证授权中心存在,相互间能够实现远程委托身份验证和授权。经过该架构为用户提供了唯一可信网络身份标识并为企业间B2B实现提供坚强安全确保。4.4慧点PMI安全体系模型在可信赖WebService安全架构中,完全需要集中地对用户身份进行认证而且能够集中地进行授权管理和授权决议。SingleSignOn能提升和加强WebService参与各系统安全,并简化企业中各个异构系统安全管理和维护。所以实现一个完整,优异PMI(PrivilegeManagementInfrastructures)是实现可信赖WebService安全架构关键基础。慧点TrustedWebServicePMI就是这么一个优异PMI架构。在慧点PMI框架实现中,对于身份验证和授权服务全部提供了基于SAML,XACMLWebService访问方法。慧点PMI框架还可提供对LegacyApplication和Webapplication支持,并实现对这些应用SingleSignOn。在慧点PMI框架软件产品中,提供1．目录服务使用LDAP协议进行访问。提供对系统元数据目录、用户身份和属性信息、用户授权信息、资源和服务信息、组织和角色信息、系统安全策略等关键信息层次化存放和查询服务。LDAP目录服务能够进行分布式布署,并经过群集实现负载均衡和高可用性2．管理服务(提供JMX管理接口)提供对系统元数据目录、用户身份和属性信息、用户授权信息、资源和服务信息、组织和角色信息、系统安全策略等关键信息创建管理和维护工作。在整个管理服务中,还实现了JavaManagementExtension(Java管理扩展接口),能够和整个慧点安全应用集成框架顶层管理相集成。3．策略服务提供单点登录、身份验证、授权决议、和会话管理和审核日志服务。在策略服务中,为应用系统授权决议请求提供决议服务。4．PolicyAgentPolicyAgent充当受保护Web服务器和应用服务器和应用程序安全策略代理。它能安装在多种类型WebServer,如Apache、IIS、Domino等服务器上,截听用户访问请求,并经过访问PolicyServer策略服务,来确定用户是否具许可该访问。PolicyAgent还能为参与SingleSignOn场景中原有遗留应用提供SingleSignOn支持。在PMIPolicyServer策略服务中包含SingleSignOn提供对单点登录支持身份认证服务经过Plugable方法提供对多个验证机制身份认证服务授权和访问控制服务判定和决议用户对应用访问是否含有所需权限。Session服务维护用户Session信息和使用期。该Session信息被用于校验SingleSignOn令牌。Logging服务将多种安全事件记入日志,并提供对日志浏览和分析服务。SmartDotPMIPolicyServer经过Policy中ACL来保护一个组织机构数据和Web资源受到未被授权访问。假如一个用户想要访问这些资源,它必需先提交起信任状并经过PolicyServerAuthentication服务进行身份验证。该用户经过验证后,PolicyServer将会依据应用于该用户一系列policy来确定用户对该资源访问授权。PolicyServer还给用户提供了SingleSignOn能力,经过Session服务和SSOToken来统计和证实用户已经在一个站点/应用登录验证过,该用户在访问其它站点/应用时无需再次认证。在PMIPolicyServer管理服务中包含Policy管理是用来为组织或用户创建和维护访问控制规则(rule)和策略,授予或拒绝用户对资源访问。Identity管理是用来创建和维护用户,角色,用户组,组织和组织单元。Config管理用来配置和管理PolicyServer本身元数据。Resource管理是用来注册维护应用服务信息,方便在第一层能够控制用户对应用访问。同时Resource还能够管理和维护一些需要保护资源(如Web页面)。在慧点PMI中,身份标识,属性,权限等信息全部在一个基于策略可信WebService网络框架中维护。经过提供PMI软件框架,来管理这些信息生命周期和其属性,权限使用。经过PMI,能提供对分离网络应用单点登录能力,并确保在用户管理中,用户和身份一对一关系。身份管理和目录服务、策略控制、访问管理一起组成了慧点可信基于WebServicePMI框架基础,而且和PKI安全平台一起,经过提供数字证书、身份识别、基于角色授权服务组成PMI服务体系。慧点PMI还可和外部基于Liberty标准身份服务互操作。从而建立联邦方法网络身份管理服务4.5慧点PMISingleSignOn实现SingleSingOn(单点登录)就是要实现经过一次登录自动访问全部授权应用软件系统,从而提升整体安全性,而且无需记忆多个登录过程、ID或口令。经过单点登录能即时访问最终用户实施任务所需资源,从而提升生产效率。从管理角度看,SingleSing-on有利于降低口令反复设置请求,使技术人员有时间去集中精力实施更关键任务。4.5.1为何需要SingleSignOn口令越多,安全风险越大在当今分布式计算环境中,用户天天全部要登录到很多不一样应用软件和系绕,包含电子邮件、网络、数据库和Web服务器。每个系统通常全部要求遵照一定安全程序,即要求用户输入用户ID和口令。用户漫游系统越多,犯错可能性就越大,安全性对应地也就越低。假如用户忘记了口令,就不能实施任务,从而降低生产效率。最终用户必需请求管理员帮助,在重新取得口令之前只能等候,这么造成了系统和安全管理员资源浪费。为切记登录信息,用户通常会简化密码,为多个系统使用相同口令,或创建一个口令?°列表?±?a?a这是会危及企业信息保密性多个常见做法。而经过SingleSignOn,用户能够设置并仅需要记住一个复杂口令,而且能够依据策略能够定时更换该口令,从而提升了用户口令安全性。需要简化用户访问借助慧点PMISingleSing-On,用户只需一个用户ID和口令。一旦认证结束,用户能够立即访问全部被授权系统和应用软件。在此条件下,管理员无需修改或干涉用户登录就能实施期望得到安全控制。需要简化用户帐号和口令系统管理假如没有使用SingleSignOn,则各个系统将存在各自独立用户和授权管理。这么就出现了在企业中,假如增加一个用户,则每个应用系统全部要添加;删除一个用户,则每个应用系统全部要删除。伴随这些独立应用系统增加,用户帐号管理将会带来很大管理负担,并由此可能造成系统安全漏洞。而且因为系统间用户信息没有措施相互共享或信任,一个系统用户无法直接访问另一个系统。使用SingleSignOn能够集中地提升整个系统安全性能够对SingleSignOn定义多个认证和安全等级,经过配置或用户访问敏感应用时,SingleSignOn会要求用户经过严格认证机制进行认证,如基于智能卡、指纹识别等,系统能依据被保护资源密级制订和加强登录过程并结合数字证书对用户身份进行有效验证。这么就统一提升了原本只经过简单用户名和口令方法进行用户验证安全性弱应用安全性,并为整个系统应用统一提供了可靠安全服务,而不需要每个应用程序单独开发复杂高难度登录和验证程序。慧点PMISingleSingOn支持多个第三方用户认证和应用授权方法。4.5.2SingleSignOn实现慧点PMISingleSignOn采取了灵活可插式(Plugable)框架,支持多个单点登录实现方法,可依据系统实施中应用类型和应用分布实际情况来灵活进行布署和使用。访问方法慧点PMISingleSignOn支持基于统一认证方法SingleSignOn和基于代理认证方法SingleSignOn:对于统一认证方法SingleSignOn存在一个集中用户登录域,用户在该域上登录,验证经过后,系统将会生成一个访问令牌。在随即访问中,这个访问令牌将会直接传输到要访问应用系统中。应用系统信任该令牌并依据该令牌提供用户信息决议用户授权。对参与统一认证方法应用系统,称这些应用系统为SingleSignOnPartner(伙伴)。要成为SingleSignOnPartner,应用系统需要使用慧点PMI用户端组件或能够处理SAML。所以对于Partner,通常全部是新开发应用或能够进行改造应用。能够经过JavaGSS-API使用Kerberos来实现统一认证方法SingleSignOn。基于代理访问方法SingleSignOn在一个基于代理SingleSignOn中,有一个自动地为不一样应用程序认证用户身份代理程序。这个代理程序需要设计有不一样功效。比如,它能够使用口令表或加密密钥来自动地将认证负担从用户移开。代理也能被放在服务器上面,在服务器认证系统和用户端认证方法之间充当一个"翻译"。用户单点登录提供认证信息被代理用来获取对应应用程序映射用户认证和授权信息。当用户经过WebPortal访问非Partner应用系统时,能够经过Portal提供ProxyPortlet来自动地登录这些应用系统,并经过ProxyPortlet访问这些应用系统。JAAS(JavaAuthenticationandAuthorizationService)慧点PMI使用JAAS来为java应用实现SingleSignOn。JAAS实现了一个Plugable验证和授权框架。能够将现有安全服务作为插件插入。因为JAAS对于授权检验组成了一个检验堆栈,所以经过JAAS验证和授权框架能够全方面保护Java应用程序每一部分,而不仅仅是只能在应用程序用户访问接口上。JAAS支持层次化,基于角色访问控制,并全方面支持Java2权限模型。利用LDAP方法JAAS实现,能够集中管理用户和访问控制策略,并能够有很好伸缩性支持数量庞大用户。SAML(SecurityAssertionMarkupLanguage)慧点PMI还实现了基于SAML和WebServiceSingleSignOn服务,经过使用WebService封装了底层安全架构、实现、布署和维护全部很轻易。因为提供了基于SAMLWebService服务,所以慧点PMI很轻易和第三方站点应用程序实现互操作。SingleSignOnSession管理在慧点PMISession管理中,支持对分离Session,活动Session,和SingleSignOff。SingleSignOnPortal和关联站点之间session是分离每个参与SingleSignOn关联站点全部有自己休闲超时和最大超时值。当超出最大超时值,用户将被迫再次登录以访问那个站点。SingleSignOn,Portal上活动session该模型许可关联站点sessions能够续借(renew),只要门户上session还活动。假如一个关联站点session超时,而且又收到了该用户一个后继请求,关联站点上安全代理将会发送一个消息给门户。假如门户仍然有该用户活动session,关联站点上该session将会被重新激活。SingleSignOff在该模型中,当用户从门户注销,session将中止,而且该用户将无法访问其它属于SingleSignON圈子内其它站点。一样,当用户从一个关联站点注销,关联站点上安全代里将会发送一条消息到门户,而且包含到此次SingleSignON圈子关联站点session将会被终止。SingleSignOnEventNotification关联站点能够通知Portal该站点上某个特定URL正在被访问。该信息可用来在门户上统计用户在关联站点上活动或驱动门户相关业务逻辑。提供对传统或独立应用用户帐号管理集成慧点PMI中提供了传统或独立应用用户帐号管理集成能力。经过用户帐号管理代理(对于用关系数据库来管理和存放用户帐号信息应用系统,能够使用慧点数据交换平台服务来快速实现用户帐号管理代理功效),系统管理员只需要在Portal上进行一次用户添加或删除操作,就能够自动地在外部应用系统上添加/删除相关用户。五.方案建设步骤和实施

5.1PKI方案建设和实施PKI方案建设和实施通常包含三个阶段:第一阶段是制订负责机构实际情况、易于操作安全策略;第二阶段是完成PKI基础设施布署;第三阶段是完成和PKI协同工作应用系统布署和改造。5.1.1制订安全策略大多数机构在安全方面所犯最大错误就是没能建立良好策略和实施步骤,也没有采取确保这些策略得以实施方法。美国麻省Forrester研究中心在1999年1月一份汇报中指出:”企业要避免复杂,建立简单策略,使用用户看不到技术。”建立简单策略这一点很关键。因为假如策略对于实施它人显得过于繁琐和复杂,那么这些策略本身就很可能不会得到有效落实。来自纽约一家开发PKI服务企业?a?aIdetrus企业PaulDonfried指出:”企业有时候需要寻求平衡和折衷。不能制订让每个人全部有管理员权限,也不能把什么全部设成密码,那样话,用户会把密码写下来,就更不安全了。必需制订适宜策略和实施步骤,不然制订了大家也不会实施。”制订一个简单策略并不是一件简单事情,因为制订安全策略需要考虑太多问题。对于一个需要建设PKI系统机构来说,需要评定企业全部工作步骤中存在安全隐患和危机每一个步骤,寻求对应处理路径,这一工作能够从两个方面展开。首先,企业和机构需要来自提供专业PKI服务企业技术咨询,一起分析机构所面临潜在安全性问题,搜集和汇总机构中各部门安全性需求。对这些安全性问题和需求进行评定,指出处理技术和管理路径。很多安全性问题处理并不是依靠于技术手段,而是依靠于管理手段。制订安全策略时需要针对不一样安全性问题,指出具体处理问题方法。其次,制订安全策略需要机构中每一个组员参与,把相关领域人员全部召集起来,一起制订策略实施步骤,这么实施和实施这个策略可能性才会高。完全来自于管理层安全策略常常因为得不到具体实施人员了解和支持而变得形同虚设,这是很多建立了PKI系统机构正在面临尴尬处境。5.1.2PKI基础设施布署CA及相关组件布署是PKI系统基础设施布署一个关键内容。机构需要用户本身对安全性需要,首先对CA服务器及相关软件进行选择,完成CA及相关服务器布署,深入制订证书申请、存放和撤销步骤。CA产品选择CA布署中一个关键内容是CA服务器软件选择。依据用户实际情况不一样,对CA服务器软件选择有着对应改变。慧点科技PKI方案能够很好和多个CA服务器软件协同布署,能够依据用户本身需求进行定制。对于基于MicrosoftWindows布署企业IT系统中小企业,能够考虑选择MicrosoftCertificateServices。MicrosoftCertificateServices和Windows和ActiveDirectory紧密集成,无需作为一个单独软件系统购置和维护,管理、配置和使用全部很简单,对于期望建立一个低成本、易于维护PKI环境用户含有相当吸引力。在Linux操作系统下运行应用系统中小企业用户能够考虑选择SmartdotCA。SmartdotCA在开放源码项目OpenCA基础上对易用性和可维护性进行了增强。SmartdotCA能够采取RA和CA分离布署方法,提供了较高安全性支持。对应用系统安全有更高要求用户能够选择其它第三方CA产品。在慧点科技PKI方案中,用户能够依据本身需要选择不一样CA产品。含有对多个PKI产品集成和协作能力,是慧点科技PKI方案和其它厂商提供PKI方案相比一个显著特点。认证机构布署认证机构布署是PKI方案实施关键。在基于PKI方案中,全部和用户身份验证相关过程全部需要在认证机构参与下完成。认证机构布署包含:(1)RA服务器布署RA服务器负责接收和审核用户证书申请请求。(2)CA服务器布署CA服务器负责证书签发和撤销。(3)LDAP服务器布署安全中间件和PKI系统中其它组件经过LDAP服务器获取应用系统中所需用户证书。(4)数据库服务器和密钥管理服务器布署数据库服务器用于存放和管理认证机构各类数据,包含用户密钥、用户信息、证书、日志及统计信息等。密钥管理服务器和数据库服务器协同工作,负责完成用户密钥正确产生、备份和恢复等。证书存放数字证书作为一个电子数据格式,能够以多个方法存放,不一样存放方法在安全性、易用性等多方面存在不一样,用户能够依据本身对安全性需要进行选择。常见用户证书存放方法包含以下多个:(1)使用IC卡存放用户证书(2)使用USB设备存放用户证书(3)使用磁盘文件存放用户证书用户在PKI系统中私钥通常也随用户证书保留在IC卡、USB设备或磁盘文件。保留在IC卡或USB设备中私钥使用PIN码保护。当用户重试超出一定次数后,IC卡或USB设备将被锁定,需要由管理员解锁后才能继续使用,所以保护了用户私钥安全性。在磁盘文件中存放用户证书通常能够设置密码保护,假如磁盘文件被第三者获取,存在用暴力法破解可能性,所以只能使用在对安全性要求不高场所。在这种情况下,使用复杂密码能够在一定程度提升用户私钥安全性,可是也造成了用户使用上不便。证书申请和撤销证书申请通常有两种方法:一个是在线申请,另外一个是离线申请。在线申请就是经过浏览器或专门应用系统经过在线方法申请数字证书,这种方法关键用于申请一般用户证书或申请测试证书。离线方法通常使用人工方法到证书颁发机构办理证书申请手续,经过审核后获取数字证书,这种方法关键用于比较正式和关键场所。证书申请步骤以下:(1)用户申请用户在申请证书时,先生成公钥和私钥对,将私钥以特定方法保留,将公钥和个人信息提交到注册机构服务器。(2)注册机构审核用户提交公钥和个人信息后,和注册机构人员联络,证实自己真实身份,注册机构假如同意用户证书申请请求,对用户证书申请添加注册机构数字署名。(3)CA发行证书注册机构RA经过硬拷贝方法向CA用户证书申请和注册机构数字署名,假如数字署名验证经过,CA操作员同意用户证书申请,签发证书,然后由CA将证书输出。(4)注册机构转发证书注册机构RA操作员将CA签发证书输出到LDAP服务器,以提供用户证书浏览服务,最终通知用户以特定方法获取用户证书。(5)用户获取证书用户经过指定方法获取由CA签发证书,完成证书申请步骤。用于标识用户身份证书可能会因为多个原因失效,在此情况下需要实施证书撤销操作:(1)用户丢失或泄漏和证书对应私钥(2)用户信息变动假如用户工作岗位等发生变动造成用户在机构中角色和职责发生改变,则可能会需要撤销用户所持有数字证书,颁发新符适用户身份数字证书。(3)用户不可信赖假如用户在信息系统中行为和其在机构中角色和职责不符,将可能会造成用户在安全信息系统中不可信赖。认证机构可能会需要撤销用户所持有数字证书。证书撤销步骤以下:(1)用户向注册审核机构提出证书撤销申请。(2)注册审核机构同意证书撤销申请。(3)CA更新CRL,然后将CRL以多个格式输出。(4)注册审核机构转发CRL,以多个不一样方法将CRL公诸于众。(5)用户经过安全服务器下载CRL,验证会话中数字证书是否有效。5.1.3应用系统布署PKI方案需要在应用系统支持下才能有效运行。PKI技术广泛应用能、够满足大家对网络安全保障需求。PKI应用范围很广泛,而且在不停发展中。基于慧点PKI方案,用户能够布署:虚拟专用网络(VPN)因为传输是私有敏感数据,用户对于VPN安全性有较高要求,基于慧点PKI系统,能够使用隧道技术、加密和解密技术、密钥管理技术、使用者和设备身份认证技术等多个技术提升VPN安全性。安全电子邮件安全电子邮件许可用户经过一般电子邮件来传输敏感数据。借助于慧点PKI方案支持,安全电子邮件能够确保敏感数据真实性、保密性,也能够不可否认性。安全电子邮件提供基于S/MIME标准安全电子邮件和基于Web安全电子邮件。安全公文传输和交换安全公文传输和交换许可用户经过公共网络(Internet)安全传输各类文档。安全公文传输和交换在公共网络中传输加密和署名后电子文档,提供基于Web文档接收、解密和验证界面。SSL和Web安全SSL(SecuritySocketLayer)是由Netscape企业首先发表网络安全传输协议。SSL从会话层向应用系统提供安全保障。SSL能够为多种应用系统提供经过公共网络加密数据传输,基于慧点PKI方案,还能够深入实现对用户端和服务器端双向身份认证。基于SSLHTTP协议?a?aHTTPS为IT系统中基于Web应用系统提供了易于实现安全保障。应用系统和安全中间件应用系统经过安全中间件提供安全应用程序编程接口来使用PKI系统提供多种安全服务。安全中间件有效屏蔽了PKI系统中复杂技术细节,并确保了当PKI系统底层实现发生改变时,应用系统无需进行修改,即能够和改变后PKI系统协同工作。5.2慧点PMI建设实现

5.2.1建设步骤慧点科技不仅提供慧点可信WebServicePMI框架和产品,还提供企业/政务应用集成全套处理方案。完成一个PMI建设,通常需要六个步骤。下图是方案实施完成后所带来改变。在慧点PMI实施完成后,整个系统将会由一个分散用户管理和应用访问转变成一个基于门户,集中管理和访问,能进行SingleSignOn集成系统。深入能够伴随PMI和PKI建设,建设和实施慧点基于可信WebService安全应用集成平台框架,无缝集成企业内部和外部业务步骤,为用户提供新,满意服务。5.2.2安全方案网络布署上图是一个在简化慧点安全处理方案网络布署拓扑图。在图中,Internet上用户能够经过浏览器访问企业门户服务器(PortalServer)。用户在门户上进行单点登录,并依据授权访问内部应用系统提供服务。在图中布署有CAServer和RAServer,提供证书申请、创建、管理和公布服务,同时安全中间件运行在各个服务器上,为应用透明地提供数据加解密、数字署名等安全服务,而不需要直接和底层安全算法/硬件提供者打交道。PolicyAgent运行在各个应用服务器和Web服务器上,并经过PolicyServer进行身份认证和授权决议。在系统中PolicyServer和存放用户信息和授权信息LDAPServer使用群集来实现负载均衡和高可用性。六.慧点产品安全方案关键特征和优势6.1慧点PKI方案关键特征和优势作为一个方案提供商,慧点科技PKI方案和来自其它厂商PKI方案相比,在可扩展能力、可定制能力、可开发能力和可集成能力等方面含有显著特色。可扩展能力是指用户在完成PKI方案建设和布署以后,假如在安全性方面含有新需求,能够对PKI方案中多个关键步骤,如CA服务器软件、加密硬件设备、加密软件设备等进行独立扩展,而建构在目前PKI方案基础上应用系统无需进行修改即可和扩展后系统协同运行,从而能够大幅度降低用户在未来可能迁移成本,同时确保了目前建设PKI方案在未来不至于成为限制应用系统安全性一个原因。而实际上,很多已经建设了PKI机构所采取PKI方案本身可扩展能力不足,正日益成为深入提升新建设应用系统安全性障碍。而慧点PKI方案在设计时即对此加以了特殊考虑,含有很好可扩展能力。可定制能力是指用户在建设PKI方案时,能够依据本身对安全性需要对CA服务器及相关软件、加密算法、加密软件和硬件系统等进行自由选择。每个需要建设PKI用户在安全性方面全部有其特殊需要,然后,当用户选择很多PKI方案时,却常常囿于这些PKI方案限制,对PKI方案中各个组成部分只有极少多个选择,或根本没有选择。而慧点PKI方案在设计就考虑了集成多个不一样CA服务器、加密软件和硬件系统能力,含有很好可定制能力,能够满足不一样用户对安全性不一样需求。可开发能力是PKI方案得以有效实施一个关键确保。归根到底,PKI方案只有得到应用系统全方面支持才能有效提升机构IT系统安全性,不然只能是用来摆设花瓶,并不能为用户带来实际价值。慧点PKI方案为应用系统提供了一致安全中间件接口,安全中间件接口本身对来自不一样CA服务器和相关软件、加密算法、加密软件和硬件系统均保持一致,从而简化了应用系统开发。可集成能力是PKI方案能够和应用系统亲密结合,协同工作。PKI不是IT系统中孤立一环,仅仅布署PKI不能够在任何程度上提升IT系统安全性,而必需于应用系统结合。慧点科技不仅仅是一个安全方案提供商,同时也是一个电子商务和电子政务处理方案提供商。慧点科技PKI方案和PMI、DCI等平台紧密集成,能够在每个步骤满足用户对安全性要求。6.2慧点PMI关键特征和优势集中管理、随地访问提供集中用户和权限管理和控制服务,支持多个异构系统平台,支持不一样操作系统,支持多个WebServer,支持多个应用服务器。经过门户和SingleSignOn,实现了随地访问,用户能够从不一样访问地点去进行认证和服务访问,如在内部网络,远程访问,或不一样建筑物间。用户能够使用不一样终端设备来访问服务,这些设备能够是PC,手机,语音电话,PDA等。SingleSignOn完整地实现了SingleSignOn。不仅能够对多种类型WebApplication(ASP,JavaServlet,JSP等),WebServer(Apache,IIS,Domino),和多种JavaApplicationServer(WebLogic,WebSphere,SunApplicationServer),经过PolicyAgent实现SingleSignOn场景,而且对于传统数据库应用也能经过门户(Portal)上ProxyPortlet来实现这些传统应用SingleSignOn。经过Portal提供对应用良好集成支持。慧点PMI能够经过慧点门户产品Indi.Portal快速方便地设SingleSignOn登录和身份验证网页,并经过Portal访问各个参与SingleSignOn应用系统提供服务。提供多个等级安全认证服务。支持多个认证机制,包含WindowsNT/和智能卡、指纹识别、动态密码、SafeWord卡等认证机制。能够配置不一样应用需要使用不一样认证等级,假如SingleSignOn目前认证等级低于应用系统所需要认证等级,SingleSignOn会要求用户重新到新等级上进行认证。支持为一个程序配置同时使用多个认证机制。对于安全性关键传统应用提供当地角色映射支持。一些参与SingleSignOn传统应用程序拥有自己用户帐号信息,并自己管理着用户对该应用访问授权。在一些场景下,这些应用机密用户帐号信息不许可在外部服务器上存放或在网络传输,要实现这些应用SingleSignOn。需要在应用程序当地,将SingleSignOn用户帐号映射成该用户当地应用程序账号并实现自动登录。慧点PMI能够很灵活方便地经过布署实现这种方法SingleSignOn。提供对基于Form表单登录传统Web应用