浅谈LotusNotesDomino的安全特性.docVIP

管窥Lotus Notes/Domino 的安全特性刘立宇 前言： Lotus Notes/Domino是业界群件系统的事实标准。尤其是作为大中型企业和事业机关的办公自动化应用平台享誉全球。新出的R5已经屡次出现在美国各个计算机杂志的调查中最受欢迎软件的行列。Notes的一个重要特性就是其强大可靠的安全机制。我曾经用Notes4.6和Notes R5开发过一些Notes/Domino平台上的一些应用程序。现就自己的体会和有关资料从数据加密，身份认证和访问控制两个方面简单谈一些Notes的安全特性。 Notes/Domino结构和基本概念简介 Notes一般用来泛指整个Lotus Notes/Domino平台，而特指Notes是指Notes工作站客 户平台，我们在指后者时一般会特意指出来。以R5为例,Notes由DominoR5,DesignerR5,NotesR5和AdministratorR5四个部分组成。前者是服务器端应用，后三者是客户端。DesignerR5是Notes平台上的应用程序开发环境，NotesR5就是工作站应用环境，Administrator R5是用来对服务器进行管理的客户端，只有对服务器有管理员权限的用户才可以用之对服务器进行管理工作。总的来说，Notes是典型的服务器/客户端结构，当然，用Domino作Web服务器，用浏览器作客户端时也可以称为所谓的B/S结构。值得一提的是，由于Notes服务器和Web服务器在Domino中的统一，用Domino作Web服务器具有安全，开发简单，动态维护等非常其他Web服务器难以比拟的优势。 Notes逻辑结构中最高层是整个单位机构。通常对应系统中的第一台Domino服务器，也是主服务器，主服务器产生整个机构的通讯录，机构验证者ID。机构验证者ID用来对个人和附属服务器进行注册，这个ID包含在以后整个机构中所有ID文件中，它是整个机构所有服务器和用户之间进行协同工作时进行相互验证的信任根。也是本机构用户在外机构进行交叉认证的信任根。机构验证者ID也可以注册子机构验证者ID，子机构验证者ID也可以注册用户和服务器，由于子机构验证者ID包含机构验证者ID，所以，机构验证者ID自然继承下来。这样，系统的用户和服务器的标识形成一个层次结构：用户名/子层机构验证者名称/上一层子机构验证者名称/更上一层子机构验证者名称/……../机构验证者名称。 Notes上的应用程序的基本单位是一个个的文档数据库。一个应用可以由一个或多个文档数据库组成。数据库中的数据以文档为单位，可以看成是关系数据库中的记录（但是，Notes的文档数据库在概念上和关系数据库有非常大的区别，二者也几乎没有什么关联。这里只是为了说明文档和Notes数据库的结构关系），文档中有各种类型的数据项（称为域）可以是文本，数字，时间，也可以是图像，声音甚至可执行的嵌入对象。因此，也有人称Notes是非结构化数据库或对象数据库，这是相对于关系数据库只能存储结构化的数据信息而言的。 Notes中的数据加密 Notes中的加密主要可以对以下内容进行加密： 发送给其他用户的消息。在消息传输过程中，未被授权的用户不能读取它。也可以加密已保存的消息和外来消息。 网络端口。加密信息在 Notes 工作站和 Domino 服务器间或在两台 Domino 服务器间传送时，未授权的用户在消息传输过程中无法读取数据。 SSL 事务。使用 SSL 对在 Internet 客户机和 Domino 服务器间或在 Notes 工作站和 Internet 服务器间传送的信息进行加密时，未授权的用户在消息传输过程中无法读取数据。 域、文档和数据库。应用程序开发者可以对文档中的域、整个文档以及本地数据库进行加密。这样，只有指定的用户才能读取这些信息。 Notes对每个用户和服务器都要进行注册并分发ID，ID中含有该用户或服务器的身份 信息以及注册服务器为之生成的唯一的公用密钥/私有密钥对。公用密钥存储在服务器上的“Domino 通讯录”数据库中，凡是对服务器有访问权限的的用户都可以对该数据库读取信息，但只有用户本人和该数据库管理员（通常是机构管理员）可以修改个人文档。这就有效防止了用假的公用密钥来冒充某个用户。Notes中对数据的加密除了对网络端口的加密，都是使用公用/私有密钥对。Domino 使用两套公用和私有密钥：Notes 和 Internet。Notes 公用和私有密钥用于加密域、文档、数据库以及发送给其他 Notes 用户的消息。Internet 公用和私有密钥用于发送和接收加密的 S/MIME 消息，还用于加密 Notes 工作站和 Internet 服务器之间的 SSL 会话。 2．1 对发送给其他用户的消