Security:
身份验证,授权,
多系统会话管理
安全认证
认证、授权
提供核心的标识服务简化实现在一个网络架构中的透明单点登录,包括集中式/分布式的单点登录
AAA协议:计算机安全领域的协议,AAA指:鉴权,授权,计费(Authentication, Authorization, Accounting)
联合认证系统
协议:XAML、OAuth、OpenID
SSO标准:SAML
为放置在不同安全域(security domain)中的web应用程序安全地传播Federation Token。
用来marshal/unmarshal一个Federation Token,默认提供一个SAML兼容的编排器(Marshaller) 。
身份管管理框架(Identity Management Framework)用来连接中中央身份存储库(Identity Store),默认提供一个Provider来连接基于LDAP的身份存储库。
统一身份管理框架
权限以及权限验证框架
验证和账号管理
登录身份鉴别
访问控制策略引擎
SASL (Simple Authentication Security Layer)简单认证安全层,功能主要是用于SMTP认证
开源的联合身份认证管理.它提供了实现SAML,ID-FF和WS-Federation安全协议的工具包与项目
J2EE Web应用程序安全框架,
核心部分:拦截器,它允许在安全事件发生(如登录/登出)的前后运行相应的代码.
认证器,依赖一个后台用 户系统来验证一个用户.
控制器,这个控制器用来管理安全机制是否启用和失效.角色权限设置等.
Java Web层验证机制,
包括HTTP基本身份验证与OpenID身份验证、facebook或您公司的Kerberos设置。验证模块可合并起来,甚至在将在运行时改变。
允许您使用的所有容器管理的安全性而不被约束于提供简单登录的方法。
将Web发布的证书资料的多份拷贝缓存在分布式的地点来保存对这些资源的访问,使用缓存池系统来修复破损的信息并对信息进行保护。
针对Java Persistence API设计开发的访问控制解决方案
高效的查询性能:查询过程中避免了通过数据库查询方式控制访问的策略,而是直接在查询之前将不符合策略的实体过滤调,然后才发送数据库请求。
此时配合数据库缓 存,实体是直接从内存中被过滤调的并且构造使用的,效率比通过数据库查询方式过滤要提高很多;
可以灵活的配置访问控制:所有访问控制都可以通过Java Annotation或者XML完成;
支持多种访问控制策略:可以混合各种访问控制策略整合JavaEE Security和Spring Security
管理用户、组的认证和授权,支持 LDAP、数据库以及 Google Mail 账号来进行授权
基于位运算的授权框架
SSO的通行证审查服务(Passport Check Service)和会话验证代理(Session Validation Agent),也可以xx分开形成独立的认证服务和认证Partner应用程序;
有效地将目前流行的两种统一身份认证的方式融合到了一起
在认证过程中,提出一个新的资源管理方式,即:将一个应用中的资源分别划分为Public、Protected和Private三种,Public资 源表示xx公开的资源,
即:匿名和登录用户都可以访问,并且访问到的结果也xx一样,这种页面比较典型的是登录页面;
Protected类型描述的资源具 有如下特性:匿名用户和登录用户都可以访问,但是访问的结果不xx一样,可以看到的内容也不同,
这种资源在论坛等应用中比较常见;Private资源描述 那些匿名用户xx不能访问的资源,一旦一个匿名用户访问到了Private的资源,系统将自动将用户导向到登录页面。
5、授权框架也是基于Cosmos框架,因此授权框架基于在Cosmos框架中的概念,DOMAIN(域)和COMMAND(命令),通过控制命令的访问 权限达到权限控制的目的。
CAS服务器
对远程用户进行认证和记帐的一种协议,主要用在ISP处,可以集中对用户进行认证和记费。
RFC2865、RFC2866定义了 RADIUS的认证和记帐标准。
证书(Credentials)-用于验证用户的身份;
访问控制(Access Control)-决定是否允许用户去执行某一个任务;
管理(Management)-用于修改基础数据;
概要(Profile)-用户的个人详细资料和数据。
用户身份联合认证.
java Servlet过滤器,可以配置管理安全的容器的格式
J2EE Servlet容器的安全框架,页面级和代码级的授权机制。
基于关系型数据库的用户、用户组、权限组管理界面和基于XML文件的权限管理。
基于JAAS(java authentication and authorization security)的Java安全框架,简单地解决Web应用程序访问控制问题.
servlet过滤器,用于保存受访问的资源,该过滤器能够自动处理所有SAML信息。
SAML(Security Assertion Markup Language)是一个XML框架,也就是一组协议,可以用来传输安全申明。
比如,两台远程机器之前要通讯,为了保证安全,我们可以采用加密等措施,也可以采用SAML来传输,
传输的数据以XML形式,符合SAML规范,这样我们就可以不要求两台机器采用什么样的系统,只要求能理解SAML规范即可,显然比传统的方式更好。
SAML 规范是一组Schema 定义。
在Web Service 领域,schema就是规范,在Java领域,API就是规范。
SAML 主要包括三个方面:
1.认证申明。表明用户是否已经认证,通常用于单点登录。
2.属性申明。表明某个Subject 的属性。
3.授权申明。表明某个资源的权限。
SAML就是客户向服务器发送SAML 请求,然后服务器返回SAML响应。数据的传输以符合SAML规范的XML格式表示。
SAML 可以建立在SOAP上传输,也可以建立在其他协议上传输。 因为SAML的规范由几个部分构成:SAML Assertion,SAML Prototol,SAML binding等。
SAML就是为了解决安全问题提出的。SAML 基于 XML 签名规范,所以整个XML传输虽然是明文,但无法被修改。显然,也可以将XML加密后在传输了。
Kerberos协议是一种计算机网络授权协议,用来在非安全网路中,对个人通信以安全的手段进行身份认证。
软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,
是一种应用对称密钥体制进行密钥管理的系统。Kerberos的扩展产品也使用公开密钥加密方法进行认证。
当有N个人使用该系统时,为确保在任意两个人之间进行秘密对话,系统至少保存有它与每个人的共享密钥,所需的最少会话密钥数为N个。
Client与KDC, KDC与Service 在协议工作前已经有了各自的共享密钥,并且由于协议中的消息无法穿透防火墙,这些条件就限制了Kerberos协议往往用于一个组织的内部,
使其应用场景不同于X.509 PKI。
小型的 PHP 登录网关,简单易用而且安全,可用来嵌入到已有的Web应用中的每一个页面。
提供一组Hibernate自定义数据类型用来将加密功能集成到数据访问层 DAO 中。
加密算法库
CA 系统:CA Server、RA Server 和RA Operator。
多级CA
多个CA和多级CA,在一个EJBCA实例中建立一个或者多个完整的基础设施
SSL/TLS 加密高级封装的 C++ 接口
jCryption 在网页上使用 JavaScript 对将提交的表单数据进行 RSA 加密,提交到服务器后,在PHP中对数据进行解密,以保证数据在传输过程中的安全性。
SPKI/SDSI 加密标准的 Java 类库。
Radius 认证服务器,主要用于 VoIP 应用
提供一个统一的简单的应用接口来验证 OpenPGP 的签名
基于X.509证书的企业级PKI开源解决方案
搭建PKI系统:OpenSSL、密钥管理、LDAP、工作流
OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,它还是一个多用途的、跨平台的密码工具。
OpenSSL有许多的特征,而且还有SSL客户端和服务端特征,OpenSSL还有:
美国xx政府NIST FIPS 140-2一级评估确认
TLS,下一代SSL协议
X.509密钥和证书的生成
X.509证书权力
S/MIME加密
文件加密和粉碎
打乱UNIX密码
9个不同的商业密码
快速的、具有双协议实现的 SSL
实现TLS加密协议的函数库
基于问题和回答的一个注册验证码系统,适用于任何想要防止垃圾信息发布机器人的信息提交。
基于Java的认证与授权框架.它提供一个完善的,易于管理的许可方案来与你应用程序相结合的;
密码Digest认证,文本和对象加密,集成hibernate,Spring Security(Acegi)来增强密码管理。
Java加密工具Jasypt 1.4,它可与Spring Framework、Hibernate和Acegi Security集成。
加密属性文件(encryptable properties files)、Spring Framework集成、加密Hibernate数据源配置、新的命令行工具、URL加密的Apache wicket集成以及升级文档。
用于加密任务与应用程序,例如加密密码、敏感信息和数据通信、创建完整检查数据的sums.
其他性能包括高安全性、基于标准的加密技术、可同时单向和双向加密的加密密码、文本、数字和二进制文件。
Jasypt亦拥有加密应用配置的集成功能,而且提供一个开放的API从而任何一个Java Cryptography Extension都可以使用Jasypt。
Jasypt还符合RSA标准的基于密码的加密,并提供了无配置加密工具以及新的、高可配置标准的加密工具。
在匿名网络环境下进行安全数据传输的框架,数据在传输的过程中经过了多层次的加密。
建立一个匿名的网络,可以匿名的进行诸如IRC聊天,共享文件,发送电子邮件,http下载,bt下载等传统网络应用。
OpenSec 是一个开源的安全API,是 OpenIPSec 项目的一部分。该API包含认证和加密两个主要功能。
认证算法支持:HMAC-MD5-96, HMAC-SHA-1-96 and AES-XCBC-MAC-96 as per RFC2403, RFC2404 and RFC3566 respectively.
加密算法支持:TripleDES-CBC, AES-CBC, AES-CTR and DES-CBC as per RFC2451, RFC3602, RFC3886 and RFC2405 respectively.
OpenDKIM 是一个开源的DKIM发送者认证系统的C语言实现。
DKIM(DomainKeys Identified Mail)是一种电子邮件的验证技术,使用密码学的基础提供了签名与验证的功能。
一般来说,发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开金钥后进行验证。
DKIM是由DomainKeys所改进的协定,大多数的运作方式与DomainKeys相同。在2007年2月时,DKIM被列入互联网工程工作小组(IETF)的标准提案(Proposed Standard),
并于同年5月成为正式标准(Standards Track)。
NSS MySQL Library 可以将 Unix 的系统用户和组存储在 MySQL 数据库的工具,支持包括 Linux、Solaris 和 FreeBSD 系统。
SoftHSM 是一个实现了通过 PKCS#11 的加密存储访问接口。使用 SoftHSM 无需硬件的安全模块,可做为 OpenDNSSEC 项目的一部分,SoftHSM 使用 Botan 做为加密算法。
OpenOTP是一个强大的企业级的双因素与一次性密码认证解决方案。它支持OAuth RFC 2246 HOTP(基于计数器)和TOTP(基于时间的)软件/硬件令牌,短信/邮件一次性密码。
它提供了一个SOAP / XML和RADIUS的API和集成到您的LDAP(OpenLDAP,Novell,在ActiveDirectory)。它与Web应用程序,虚拟专 用网,Unix,微软,等等。
OpenOTP是组成RCDevs WebADM服务器应用程序,OpenOTP SOAP服务,可选的半径桥,和用户自助服务台最终用户的Web应用程序。
网络浏览和安全审计
简化识别软件安全漏洞的繁杂过程
Web漏洞扫描与漏洞利用
SQL注入
跨站脚本
不安全的对象引用
本地路径泄露
不安全的目录权限
服务器漏洞:缓冲区溢出和配置错误
敏感目录和文件扫描
备份文件扫描
源代码泄露
命令执行
文件包含
Web木马后门
敏感信息
对传入的邮件进行解密和队传出的邮件进行加密的邮件服务器(MTA)
强制访问控制系统
基于角色的访问控制系统
对磁盘、磁盘分区、U盘和软盘加密
较快诊断出系统常见故障
修复大多数常见故障
生成扫描报告
自动检测修复功能
便于扩充并能以最小的代价进行扩充
检测和抵御双向ARP欺骗
一次性密码认证解决方案
面向测试渗透的应用程序
文件权限
账户安全
卷安全
端口监视安全
如何使多个机器保持一致性的安全策略配置
设置可执行程序的访问权限,限制程序读写某个目录,限制程序打开、读写某个网络端口
过滤掉私有IP地址在DNS中的反应,与现有的DNS递归解析,以保护网络免受攻击的DNS重新绑定
分析日志文件,发现重复的攻击时,记录IP地址,以达到自动屏蔽IP地址的功能
系统调用安全沙盒
Chrome{wy}IDxx,保护隐私数据
安全评估分析
通过系统日志监控SSH登录
口令审计工具
密码恢复程序
通过对数据的整个传输过程进行监控,保证客户之间数据传输的安全和自动化
