Lotus Domino/Notes 本地化安全扩展方案
出处:IBM 作者:IBM 时间:2005-7-5 10:04:00
一、Lotus Domino/Notes安全性概述
Lotus Domino/Notes是优秀的办公电子协作平台,具有独特的安全特性,从底层到最上层共有八个层次安全控制,它们分别是:网络信道安全、会话安全、服务器安全、数据库安全、表单视图安全、文档安全、区段安全、域安全。
Lotus Domino/Notes采用了PKI双钥非对称加密方式对用户的身份进行认证,支持标准的X.509CA证书。并提供了网络信道加密的手段防止网络侦听,实现信道传输安全。
Lotus Domino/Notes提供了数十种安全设置管理功能,供用户灵活、安全地使用系统功能。
Lotus Domino/Notes平台不仅支持传统的客户端/服务器(C/S)模式,还对Internet/Intranet提供了较好的支持,因此对于Internet/Intranet方式的安全控制也是Lotus Domino系统安全性的重要方面。
总之,Lotus Domino/Notes系统的安全控制上具有:功能强大,技术面广、控制层次多,配置管理灵活等特点。
二、对Lotus Domino系统进行本地化安全扩展的目的- 适应我国有关政策中对技术自主性的要求
从目前信息技术的发展情况来看,在很多情况下我们不可避免地要采用从国外引进的产品和技术,其中包括办公电子协作平台。而从国家利益来看,又要尽量避免在关键部门、要害环节受制于人。因此,我国政府在有关政策中明确规定:对于核心应用系统和关键环节,必须确保在各类实施方案中的技术自主性。其中,自主技术的软件可以包括直接由国外软件公司编制的软件,但其中的关键算法和重要接口必须为我方人员所掌握。
因此我们需要对Lotus Domino系统进行本地化安全扩展,替换或者屏蔽某些算法和接口。 - 增强Domino系统安全性的要求
在对Lotus Domino/Notes系统进行本地化安全扩展的时候,我们使用具有自主技术的更高强度算法和特殊接口,可以有效增强系统的安全能力。保证数据具有更高安全性。
三、本地化安全扩展方案的总体结构
在notes客户端嵌入的JIT安全扩展系统利用JITCA发布的证书,通过相关的功能,达到了安全应用domino/notes系统的目的。如下图:
- JIT-CA for Domino
为Domino系统量身定制的JIT-CA认证系统,和Domino系统紧密结合,作为Domino系统的第三方CA,提供Domino服务器和客户机之间的相互验证。
JIT-CA和Domino的结合配置方式参考《Notes 5 Administrator 帮助》和JIT-CA的使用文档。
JIT-CA for Domino不仅能够为客户端和服务器提供相互验证的能力,还能为Notes邮件安全扩展功能提供Notes用户的证书发放功能。在CA安装配置完毕后就可以用它来完成SSL和S/MIME等安全功能的配置和使用。 - JIT-Smail for Domino
通过对邮件的签名加密等操作,增强信息的安全性和不可否认行。
使用Lotus Notes C API中提供的Extension Manager编程接口可以截获邮件发送的事件,在此基础上开发Notes邮件安全扩展功能,详细内容参见Lotus Notes C API reference。
发送邮件:截取邮件发送事件,在这之后加入对邮件的安全处理(利用JITCA证书对邮件加密、签名)然后发送。
读取邮件:截获邮件接收事件,检测需要对邮件进行的处理(解密、验证签名),然后阅读。 - JIT-SDoc for Domino
对domino文档(亦指domino网页)进行加密签名操作。
编辑文档:首先设置文档的各个域为可签名加密状态,然后编辑文档,通过菜单栏选择要对文档进行的操作(签名、加密),点击确定后处理并保存该文档。
打开文档:截获文档打开的消息,检测需要对文档的操作(解密、验证签名),然后进行阅读。 - IC卡的应用
虽然Lotus Domino R6对符合PKCS 12标准的IC卡提供直接的支持,但考虑到广大的Lotus Domino R5用户使用IC卡的需求,仍然需要考虑IC卡在Lotus Domino/Notes系统中的挂接使用。另外,在Notes邮件安全扩展功能中对私钥的本地安全存储功能中,IC卡也是一种较好的实现方式。 IC卡的用途: o存储Notes ID o存储用户私钥 IC卡应用的具体实现方式参见公司相关产品。 - Notes口令验证扩展
利用IC卡登录Notes,通过Lotus Notes C API将用户ID里面的密码替换为IC卡当中的随机密码,登录的时候,直接访问IC卡,当IC卡当中的密码和ID当中的密码一致之后,进行对IC卡中证书的验证(是否吊销或者过期等),针对证书的验证通过的话,登录成功,如果没有IC卡、IC卡当中的密码不正确或者证书验证不通过,则不允许登录。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |