管理 Lotus Workplace 2.0 版的安全性

IBM Lotus Workplace 包含基于 WebSphere Portal 构建的协作应用程序套件。这些应用程序包括邮件、日历、即时通讯、Web 会议、文档管理和其他小组协作工具。（有关 Lotus Workplace 的详细信息，请参阅 developerWorks：Lotus 专题 “ Lotus Workplace 是什么？”）

在 Lotus Workplace 2.0 版中，我们添加了 IBM Workplace Client Technology。IBM Workplace Client Technology 是以 Eclipse（一种具有开放源代码性质的、基于 Java 的可扩展开发平台）为基础的。IBM Workplace Client Technology 有两个版本，即宏版本（用于 PvC 设备）和富客户机版本（用于桌面 PC）。本文讨论了 IBM Workplace Client Technology 和富客户机版本（常常简称为富客户机）。

可以使用富客户机访问 Lotus Workplace Messaging 和 Lotus Workplace Documents，并将此作为通过 Web 浏览器访问这些产品的一种备用方法。这种方法提供了 IBM Workplace Client Technology 功能，如同步、脱机支持、搜索和文档编辑器，而且还提供了比浏览器功能更完善的富客户机体验。富客户机可以在用户的本地桌面上运行，但由 Lotus Workplace 服务器管理。有关富客户机、IBM Workplace Client Technology 和 2.0 版中添加的其他新功能的说明，请参阅“ IBM Lotus Workplace 2.0 版的新特性”。

Lotus Workplace 的协作应用程序需要例行访问组织的重要信息，如 LDAP 数据、公司文档和消息信息。保护这些信息是非常重要，有时这是一项非常复杂的任务。因为 Lotus Workplace 产品是基于 WebSphere Portal 构建的 portlet，人们往往会认为 WebSphere Portal 管理工具是为这些产品配置安全性的最好方法。虽然这对于一些安全性任务是可行的，但大部分的 Lotus Workplace 安全性管理都是在 Lotus Workplace 内部通过管理控制台完成的。管理控制台提供了简单、直观并且灵活的界面。管理控制台还提供单一位置，从该位置可以配置许多富客户机安全性设置。

本文描述了如何在 Lotus Workplace 2.0 版中实现整体安全性，特别强调了富客户机安全性。本文重点介绍了 Lotus Workplace 环境特有的安全性特性（而不是一般的 WebSphere Portal 安全性问题）。本文不要求读者有 Lotus Workplace 方面的经验。不过，有一些 LDAP 和 WebSphere Portal 等软件技术的基本知识会对理解本文有所帮助。

Lotus Workplace 安全基本知识

Lotus Workplace 由众多的应用程序、处理和内容组成，可以使用不同的安全性技术保护这些项。默认 Lotus Workplace 安全性设置（以及默认 Java 安全性、安全性策略、安全传输协议、数据库管理等等）帮助保护其中大部分项。不过，需要执行其他配置来定制安全性设置，以满足组织的需要。要保护 Lotus Workplace 应用程序，首先需要了解与 Lotus Workplace 相关的各种安全性概念。

验证与授权

身份验证和授权是安全性中的两个重要方面。身份验证是验证用户的身份的过程，授权是确认用户对信息的访问权的过程。这两个过程合在一起，使用户只能访问允许其访问的信息。Lotus Workplace 是基于 WebSphere Application Server 和 WebSphere Portal 技术构建的。它与 WebSphere Application Server 和 WebSphere Portal 身份验证和策略功能紧密集成在一起。

无缝身份验证是一种安全性设置，它允许 WebSphere Application Server/WebSphere Portal 体系结构仅提示输入一次凭证，然后当用户在每个 Lotus Workplace 应用程序（和其他 WebSphere 企业应用程序）中导航时，自动使用户登录到不同的应用程序中。当在 ebSphere Application Server 中设置全局安全性，选择 Lightweight Third Party Authentication (LTPA) 作为身份验证机制，并为单一登录 (SSO) 配置 LTPA 令牌之后，可以获得无缝身份验证。实际服务器实现包括创建 LTPA 令牌 cookie，该 cookie 被发送到客户机，然后，当用户在指定的 SSO 域中的不同应用程序之间进行导航时，该 cookie 被四处传递。当调用远程 EJB 方法或访问其他任何 Web 容器时，服务器还使用 LTPA 令牌进行身份验证。浏览器或其他客户机必须支持 LTPA 令牌 cookie 才能工作。

一些应用程序（如 IMAP 和 POP3）使用程序化登录，不使用 J2EE 类型的身份验证。这些应用程序使用标准 IMAP 和 POP3 命令传送用户名和口令，然后后端应用程序服务器对这些用户名和口令进行处理。

WebSphere Application Server 信任关联拦截器（trust association interceptor，TAI）支持 HTTP 的外部 SSO 提供者（例如 Netegrity Siteminder）。现在，Lotus Workplace Messaging 仅部分支持 Tivoli Access Manager WebSeal SSO 提供者。（必须禁用 WebSeal 的即时消息才能使用。）请参阅 developerWorks：Lotus 专题 “ Integrating Lotus Workplace Messaging 2.0 with Tivoli Access Manager 5.1”。

用户策略和授权

如前所述，Team Spaces、Web Conferences 和 Mail 等 Lotus Workplace 应用程序都是 portlet。因此，基本 WebSphere Portal 访问控制（定义继承、操作/权限、角色、拥有权等的层次访问控制模型）也适用于 Lotus Workplace 环境。该访问控制将确定用户可以进行的操作，并防止对应用程序资源的未授权访问。这些访问控制由用户策略设置和许可证控制。策略设置和许可证一起确定用户对 Lotus Workplace 产品具有的访问级别。可以使用 WebSphere Portal 管理控制台设置策略和许可证。运行时，WebSphere Application Server 按照这些设置指定的程序化地执行用户对资源的权限。

WebSphere Portal 管理控制台中的用户策略和授权设置适用于运行富客户机或浏览器的 Lotus Workplace 用户。富客户机用户在本地 PC 上有这些策略的重复存储；即使用户脱机时，本地服务器也会执行这些规则。如果更改服务器上应用于该用户的策略设置，当重新建立在线连接时，会更新本地用户策略信息。（即将发行的 Lotus Workplace 版本将为一直在线的用户提供策略刷新计划。）

Lotus Workplace 提供了默认策略和默认策略指定方法。共有两种策略指定方法：专有名称（distinguished name，DN）范围方法（默认）和目录策略属性方法。

专有名称范围方法
使用专有名称 (DN) 范围方法，策略将基于在策略中指定的 DN 范围。每个策略的范围都必须是惟一的，这些范围定义了使用策略的用户集合。虽然可以指定包含交叉用户集合的范围，但不能为两个不同的策略指定同一范围字符串。

DN 是许多由逗号分隔的名称-值对（name-value pair）。这些对按从最具体到最笼统排序。在 DN 示例 cn=John Smith, ou=Marketing, ou=Boston, o=Acme, c=US 中，cn 是最具体的，c 是最笼统的。您将为用户分配使用用户专有名称中的任何或所有名称-值对的策略。

如果用户的 DN 与多个策略定义的 DN 匹配，Lotus Workplace 将用户指定给包含与用户的 DN 匹配的属性数最多的策略。例如，如果将用户 cn=John Smith, ou=Marketing, ou=Boston, o=Acme, c=US 与某个策略匹配，Lotus Workplace 会按此顺序将下列 DN 与具有下列范围的策略进行匹配：

cn=John Smith, ou=Marketing, ou=Boston, o=Acme, c=US
ou=Marketing, ou=Boston, o=Acme, c=US
ou=Boston, o=Acme, c=US
o=Acme, c=US
c=US

使用上例，如果要将市场营销组织中的所有成员指定给同一策略，请在策略中输入 DN：ou=Marketing, ou=Boston, o=Acme, c=US。

除了特殊设置星号 (*) 外，不支持通配符，当策略在没有更具体的范围的情况下无法应用时，可以使用星号将所有用户都指定给该策略。如果要指定 WebSphere Member Manager 目录中的所有用户都使用默认用户策略，那么不进行任何操作即可；如果其他策略不包含更详细的 DN 范围设置，用户会指定给默认用户策略。在策略中输入 DN 范围时，避免在名称和值之间输入额外空格。使用 WebSphere Member Manager 中的 DN 格式，字母大小写没有影响。

属性方法
另一种策略指定方法是目录策略属性方法。使用这种方法，策略由存储在“后备”数据库或 LDAP 目录中的属性驱动。WebSphere Member Manager 在后备数据库中存储每个用户的其他属性。默认情况下，策略信息存储在后备数据库中的名为 ibm-lwpUserPolicy 的属性中。如果要使用目录属性存储策略信息，而不将策略信息存储在后备数据库中，可以进行下列操作：

1. 从 LDAP 人员模式中选择可以存储策略信息的属性，或者扩展人员模型来创建新的属性。
2. 将后备属性 ibm-lwpUserPolicy 映射到上面的 LDAP 属性，这样，WebSphere Member Manager 将使用 LDAP 属性。

此方法比 DN 范围方法更灵活，因为它允许为将共享相同 DN 范围的两个用户分配不同的策略。使用命令行工具 lmadmin，可以轻松地根据需要随时使用新的策略名称更新成员配置文件。如果要禁用特定用户对电子邮件的访问权，创建没有邮件访问权的、名为 Suspended mail policy 的策略。然后，在创建策略后，为该特定用户运行 lmadmin updateaccount 命令。这是一种将策略指定给用户的快速而方便的方法。除非组织是相似的，同时您想在组织中为整个 DN 创建同一级别的 Lotus Workplace 访问权，否则应该选择目录策略属性方法来指定策略。

更改策略指定方法时，必须重新启动 WebSphere Application Server 和 WebSphere Portal 来使更改生效。而且进行此更改后，必须重新指定之前已经分配了策略的所有用户。因此，在创建策略之前，必须仔细确定策略指定方法。选择策略指定方法之后，就可以通过使用 WebSphere Portal 管理控制台或 lmadmin CreatePolicy 命令来创建用户策略。

创建策略时，要为每个 Lotus Workplace 产品指定策略设置。这些设置中的大多数设置都是自我解释的（self-explanatory），策略设置旁边都有简短的描述。在创建策略之后，可以向该策略添加用户。

许可证和其他设置
在 WebSphere Portal 管理控制台的 Lotus Workplace/Licenses 页面中指定的设置会影响任何用户的功能可用性。另外，还需要其他一些 portlet/页面权限来定制 Lotus Workplace Collaborative Learning。要进行此操作，可以使用 WebSphere Portal Administrative page。根据需要，向用户提供对 Learning Page 和 Learning Portlet 的 Privileged User Access 或 Administrative Access。

其他安全性标准

WebSphere Application Server 遵守的其他安全性标准包括 Federal Information Processing Standards (FIPS) 140-2。该标准指定产品中使用的加密模块必须满足的安全性要求。已经证明 IBM Tivoli 软件组开发的 Java Cryptography Extension (JCE) 和 Java Secure Socket Extension (JSSE) 代码符合 FIPS 140-2 标准。Lotus Workplace 位于 WebSphere Application Server version 5.0.2 之上，WebSphere Application Server version 5.0.2 使用 JSSE 和 JCE 包的 FIPS 兼容版本。这意味着可以配置 Lotus Workplace 来实现 FIPS 140-2 加密标准。将来的 Lotus Workplace 版本还计划支持 IT 安全性评估的通用标准。

这包括了 Lotus Workplace 内的一般安全性概念。现在我们来看一下 Lotus Workplace 两个特定区域的安全性：Messaging 和富客户机。

回页首

Lotus Workplace Messaging 安全性

因为从 Internet 接收消息/附件，所以电子邮件是最常见的安全性攻击点。为了帮助您解除这种威胁，Lotus Workplace Messaging 提供了许多安全性相关功能。下面分别讲述了这些功能。

垃圾邮件和病毒保护

Lotus Workplace Messaging 中有两种基本机制，可以用它们来保护用户不受垃圾邮件和 email-borne 病毒的攻击。一种机制是 Lotus Workplace Messaging 自有的标识和过滤垃圾邮件的能力。另一种机制是“可插入的”组件体系结构，该体系结构允许外部组件通过 Lotus Workplace 扩展来定制处理垃圾邮件和病毒。

Lotus Workplace Messaging 自有垃圾邮件保护
要阻止垃圾邮件和防止滥用消息系统，可以配置 Lotus Workplace Messaging ，有选择地允许一个或多个服务器/域的入站或出站流量。发送到 Lotus Workplace Messaging 中的邮件可以分类为匿名、已验证、信任、怀疑或已阻止。每一类都有一组过滤条件，可以通过管理控制台 SMTP Inbound Connections 选项的 Lotus Workplace - Mail Cell-Wide Settings - Filters 来定制这些过滤条件。这使您可以指定总是处理来自未被阻止的域的邮件或指定除非邮件来自信任实体，否则不接受该邮件。

其他安全性措施包括通过配置 SMTP 入站过滤条件防止使用 Lotus Workplace Messaging 服务器进行邮件转发。虽然该配置是阻止垃圾邮件的非常有效的工具，但指定的过滤条件将仅基于发件人的来源，而不是基于消息的实际内容，保护系统不接受未经请求的商业邮件或垃圾邮件。

要基于消息的实际内容过滤邮件，一种方法是启用 Lotus Workplace Messaging 的自有智能垃圾邮件过滤器。要进行此操作，需要设置下列服务器属性，然后重新启动 Lotus Workplace Messaging 服务器：

enable=true; initialState=START in was_root>\config\cells\(cellname)\nodes\(nodename)
   \server\LotusWorkplace_Server\lwpspamfilter.xml
enable=true; initialState=STOP in <was_root>\config\cells\(cellname)\nodes\(nodename)
   \server\WebSphere_Portal\lwpspamfilter.xml

智能垃圾邮件过滤器包含基于两个不同的标准工作的过滤引擎。一个是初始引导数据库，它包含电子邮件示例认为的垃圾邮件。另一个基于用户的选择操作。通过选择 Delete as junk action inbox ，或通过将邮件移至 Junk 文件夹，用户可以将特定邮件标识为垃圾邮件。在将消息传送给用户之前，Lotus Workplace Messaging 服务器先将消息提交给过滤引擎，然后，过滤引擎基于上面讲述的所有标准，确定消息的垃圾邮件权重。接着，根据权重系数，将消息定向到用户的收件箱文件夹或垃圾邮件文件夹。如果启用了智能垃圾邮件过滤器，而且用户接收了第一个电子邮件，那么无论垃圾邮件是否已经到达，都会创建名为 Junk 的文件夹。

扩展 Lotus Workplace Messaging 电子邮件保护
有两种扩展 Lotus Workplace Messaging 垃圾邮件和病毒保护的方法：

• 在 DMZ 中添加第三方程序，如果定制 SMTP 转发，那么该程序会在消息进入 Lotus Workplace Messaging 环境之前运行防病毒和垃圾邮件内容保护。
• 扩展 Lotus Workplace Messaging 以支持内容过滤、利用它的可插入组件体系结构。

Lotus Workplace Messaging 支持扩展处理程序，这些扩展处理程序与 Domino 服务器中的那些类似。这些扩展指定明确的位置来插入一个或多个组件，该组件将可以访问所有入站消息，包括标题（还可以包括内容）。然后 Lotus Workplace Messaging 将使预先配置的处理程序可以对消息进行操作，包括拒绝该消息。处理程序有两个 API。一个 API 使处理程序可以查看标题，以确定它们是否需要进一步地检查消息。另一个 API 使处理程序可以处理消息流，从而可以分析和修改该消息流。此 API 功能非常强大，因为您可以检查可疑内容，用预先定制的文本替代该内容，以通知收件用户已经对消息进行了操作，或者拒绝全部消息。（Lotus Workplace Messaging 仅提供扩展支持和已发布的 API；客户必须创建垃圾邮件和病毒处理程序。）

危险 URL 保护

在 portlet 应用程序中，如电子邮件，每个按钮的背后都是一个 URL。任何可以删除或修改潜在的敏感信息的 URL 链接都可以认为是危险 URL。例如，如果使用不当，Delete 文件夹链接就会是危险 URL。危险 URL 会产生安全性威胁，因为它们对系统进行的更改将无法还原。这些 URL 可能会被窃听客户机/服务器对话的第三方看到，从而可能导致以电子邮件或即时消息文本的形式向用户发送恶意活动内容。然后用户可能会受链接周围的可视文本吸引，而且（未意识到该链接的危险性）可能单击该链接，对邮箱造成无法弥补的损害。应该保护危险 URL。

在 Lotus Workplace Messaging 中，当用户选择链接时，客户机将 URL 发送给消息服务器，该服务器将此 URL 解释为操作 URL 并予以执行。如果是危险 URL，消息服务器中的操作处理程序会查找和验证该 URL 附加的当前编号。该编号是每个会话动态生成的随机编号，仅在很短的时间内有效，从而使以前复制的 URL 完全失效。

活动内容过滤

活动内容是可以执行操作的任何内容。因为所有 Lotus Workplace 应用程序都是基于 HTML 的，所以其他人能够以包含活动内容的 HTML 向您发送电子邮件。HTML 片断可能包含可以执行代码的各种指令。例如，HTML 可以包含嵌入的 JavaScript 代码（<script> 标签）或者可以包含 HTML 形式的语法（一些标签中的 src 属性），该语法可以调用 JavaScript 来执行操作。HTML 内还有其他一些可以执行代码的标签。这样的内容可能会破坏数据或发送敏感信息给第三方。应该保护用户免受任何有害的活动内容的侵害。Lotus Workplace Messaging 会在提供 HTML 给用户前对其进行筛选，以消除有害活动内容。

默认电子邮件 MIME 格式会转换为 HTML，以显示在 Web 页面中。转换后，HTML 在传送给客户机之前要经历多个阶段。首先，它要通过 JTIDY 过滤器。JTIDY 是开放源代码的 HTML 语法检查器和“非常好的”打印机。它格式化 HTML，更正在提供该 HTML 时可能会导致问题的任何语义错误。在此之后，HTML 将具有正确格式，并且可以轻松对其进行分析。

在第二个阶段，HTML 通过内容过滤器，该过滤器分析 HTML，并根据预先定义的配置过滤出特定内容。Lotus Workplace Messaging 提供了驱动内容过滤器的标准配置文件。过滤器名为 acf-config.xml，位于 JAR 文件 lwpacf.jar 中。该配置文件包含配置信息，比如，应该处理哪些语法，以及在此处理过程中应该采取哪些操作。我们建议使用此标准配置文件。可以定制此配置文件，并通过在 workplace.properties 文件中的属性 workplace.security.acf.configfile= 中声明该配置文件的路径，让用户的工作台使用此配置文件。修改此文件要非常小心，因为任何更改都可能删除默认保护。

活动内容过滤在 HTML 中经过处理的位置上生成 HTML 备注。而且它还会在服务器日志中记录此信息。备注说明 HTML 已经进行了扫描和重新格式化。不过，如果不选择查看 Web 页面的源代码，用户无法看见 HTML 备注。

回页首

富客户机安全性

IBM Workplace Client Technology 富客户机版本是网络管理的桌面应用程序，其中构建了许多安全性功能。虽然该版本是网络管理的，但它通常是独立的。它能够在脱机模式下运行，而且可以在重新建立连接后执行在线任务。可以从服务器直接对该版本执行多个管理和维护任务，无需在本地桌面上对其进行配置。下面的主题将描述富客户机安全性功能。

初始客户机下载和引导

当用户打开他们的工作台时，如果他们有权下载富客户机（根据为他们指定的策略设置），那么他们会看到名为 Rich Client 的附签：

他们可以选择此附签来下载该客户机。当用户开始下载时，Microsoft Internet Explorer 将检查 ActiveX 签名并显示 IBM SSL 证书。单击 Yes 信任签名之后，就可以开始下载。

完成下载之后，Lotus Workplace 会将身份验证屏幕显示给用户。默认屏幕将显示预先填充的服务器名称和端口字段。该端口是默认 IIOP 通信端口。用户需要输入适当的用户名和口令。（此时必须运行 Lotus Workplace 服务器。）IBM Workplace Client Technology 对服务器进行 CORBA IIOP 调用（Java 富客户机编程模型的标准协议）。

在服务器上对用户进行了身份验证之后，会在桌面上为该用户生成凭证存储。IBM Workplace Client Technology 在该存储中存储用户名、口令、服务器名称和其他信息，从而用户可以登录到富客户机中，无需进行在线网络连接。该存储与 Lotus Domino 服务器环境中的 Notes.ID 文件类似。同时，IBM Workplace Client Technology 还连接到 WebSphere Portal，下载关于用户根据用户策略有权访问的所有应用程序的信息。该引导过程中的所有通信都是通过 SSL 进行的。在现在的引导实现中，取消了 SSL 警告。

下载完应用程序后，富客户机应用程序会自动重启。然后提示用户输入用户名和口令。这是因为富客户机现在使用本地工作台凭证存储进行验证。此时，用户是向本地富客户机应用程序进行身份验证，而不是向 Lotus Workplace 服务器。通过本地存储身份验证之后，IBM Workplace Client Technology 使用 IIOP 通过 SSL 重新与服务器进行通信（在线模式下）。如果 Lotus Workplace 服务器使用默认硬编码证书，而客户机中的信任根文件中没有该证书，那么系统可能会提示用户信任服务器证书。要避免该提示，可以配置 Lotus Workplace 服务器，在初始引导过程中将服务器证书下载到客户机的 CA 信任文件中。

身份验证和网络保护

富客户机使用多种类型的安全身份验证协议与服务器通信。这非常重要，因为有多种类型的应用程序在富客户机中运行，而每种应用程序可能都有特定的要求。对于基本登录，富客户机通过 IIOP 使用 CSIv2/SAS 验证，如前所述。不支持 IIOP 验证的一些组件（如富客户机中的同步处理）使用 HTTP J2EE 表单验证。

即时通讯将使用 Session Initiation Protocol (SIP)；摘要身份验证是 SIP 的行业标准。Lotus Workplace 服务器支持的一些目录不支持摘要验证。富客户机通过使用 SIP 与这些目录互相操作来支持基本和摘要验证。所有网络通信都通过 SSL/TLS 进行以在传输过程中保护数据。

凭证存储

Lotus Workplace 凭证存储是安全性凭证的容器，这些安全性凭证包括用户的用户名和口令、私有密钥、证书等。要使用富客户机应用程序，所有这些信息都是必需的。例如，富客户机在登录过程中使用用户名/口令信息。对于所有 SSL 连接，富客户机检查该存储中的信任根。它还在安全电子邮件 (S/MIME) 中使用存储的私有密钥和证书。

有两种凭证存储类型。一种是在引导过程中由富客户机创建的本地凭证存储。另一种是服务器中存在的网络凭证存储。用户凭证存储是本地凭证存储和网络凭证存储的集合。网络凭证存储帮助 Lotus Workplace 管理员管理富客户机。管理员可以通过 WebSphere Portal 管理控制台的 Lotus Workplace - Workplace client certificate store 选项来管理网络凭证存储。管理员可以通过添加/删除/更改网络凭证存储中的证书信任来更新网络凭证存储。管理员还可以从文件导入证书，指定新的信任根，并将其存储在网络凭证存储中，以下载给所有用户。

本地凭证存储是一个 XML 文件，该文件使用三倍 DES 算法和基于用户口令的密钥进行加密。要对本地存储解密，需要用户的口令。因此，本地凭证存储是安全的，并能防止未经授权的访问。

管理存储

IBM Workplace Client Technology 在本地将服务器应用程序数据的复制副本存储在 Cloudscape 数据库中。该数据库通常称为管理存储。管理存储使用户可以脱机继续工作。例如，在脱机模式下，用户仍可以使用电子邮件和文档。只要重新建立在线连接，客户机就可以执行任何待决任务，比如，将本地应用程序数据复制回服务器，或发送待定电子邮件。

在复制时，所有服务器端访问控制都有效。这意味着仅允许用户将其可以修改和/或创建的信息复制回服务器。同样，用户只能将授权的服务器信息复制到其管理存储中。无论用户是使用富客户机还是浏览器访问应用程序数据，用户的访问控制都是相同的，只是在 IBM Workplace Client Technology 文档管理方面微有差别。富客户机在文档管理中进行复制，而且只遵守文件夹级别访问控制，而不是遵守文档级别设置的访问控制。富客户机不能区分用户具有读取访问权的文档和用户具有读/写访问权的文档，它允许用户编辑文档，即使用户没有权限进行此操作。不过，这只是个可用性问题（不是安全漏洞），因为当富客户机复制回服务器时，服务器不接受对只读文档进行的任何修改。整体经历基本都相同。

Java Authentication and Authorization Service (JAAS) 主题用于对服务器和客户机进行身份验证和授权。在本地，该主题存储在本地凭证存储中，而在远端，该主题存储在远程网络凭证存储中，它适用于任何类型的访问。JAAS API 封装了安全性机制，从而使安全性（例如，LTPA 令牌或 Kerberos）的任何服务器实现更改都不需要更改应用程序代码。应用程序仍使用 JAAS 主题中的用户名，并且对实际服务器实现没有反应。

与凭证存储一样，管理存储也使用 3DES 算法进行加密。用于加密的密钥存储在本地 Lotus Workplace 凭证存储中。要打开管理存储，首先需要进行解密，使用用户的口令打开本地凭证存储，然后从中获取密钥。获得密钥之后，就可以对管理存储进行解密。

管理存储数据是同文件系统隔离的，这意味着任何操作系统级别的病毒都无法破坏富客户机数据。病毒无法读取或破坏以任何特定方式存储在管理存储中的数据（如电子邮件和文档）。这也意味着在信息下载/复制过程中，本地病毒检查器无法扫描数据来查找病毒，在线病毒检查器基本无效。将来的富客户机版本可能会合并病毒检查 API，从而可以在数据存储到管理存储中之前扫描数据，检查病毒。

安全和不安全文档

富客户机将所有电子邮件附件分为安全的、不安全的或未知的。这种分类是基于文档的扩展名以及关联编辑器的属性。如果关联编辑器能够安全地使用文档，无需执行任何活动内容（或对于任何活动内容，都有内置安全性功能，并且可以处理任何已破坏的文档），那么文档类型声明是安全的。另一方面，不与能够处理活动内容的安全编辑器相关联的任何扩展名都被声明为不安全的。还有一些文档既不被声明是安全的，也不被声明是不安全的。

目前，富客户机提供了许多硬编码安全类型（JPG、BMP、GIF、PDF、TXT、SXI、SXC 和 SXW）和不安全类型 (EXE)。富客户机只允许启动安全文档类型。可以使用关联编辑器（外部程序）启动安全类型或使用内部 Document Editor 视图查看安全类型。富客户机允许将不安全文档保存到磁盘中。如果考虑安全性，还可以配置富客户机，完全禁止启动不安全文档。将文档从管理存储导出到文件系统或将文档从文件系统导出到管理存储都受用户策略控制。

安全电子邮件 (S/MIME)

S/MIME 是一种协议，它扩展了 MIME 规范来支持数字签名和加密。S/MIME 的目的是在两个或更多人之间进行安全通信。数字签名验证了发件人的身份，加密保证了所交换数据的保密性和安全性。

S/MIME 仅能由富客户机使用。富客户机消息使用 SHA1/RSA 算法进行签名，使用 3DES 算法对消息进行加密。它使用自动凭证创建和证书，这意味着通过 S/MIME 基础设施在后台生成证书。可以在用户准备过程中按策略中规定的生成证书，也可以根据需要创建证书。可以使用 1024 位 RSA 密钥对对证书签名。这些证书可以是自签名的或是使用 PKI 生成的。S/MIME 基础设施可以提交 PKI 请求，以通过企业 CA，使用相同公有/私有密钥对签名的证书替代初始生成的自签名证书。（PKI 是企业网络安全性体系结构，它使用数字证书、公有密钥口令标准和证书授权来生成通过 Internet 进行的安全通信和业务交易。）富客户机支持 Lotus Workplace 凭证存储 S/MIME 密钥、用户证书和其他用户的证书。如果需要，WebSphere Member Manager 还可以从公司目录中提取其他用户的证书。

富客户机消息电子邮件界面在状态栏中标识已签名的电子邮件。每条消息还有一个邮件选项对话框，进一步描述和标识已加密的消息。用户可以调整富客户机策略设置中的安全性首选项（如果具有该权限）。在管理控制台中定义策略设置。如果策略的签名选项或加密选项设置为 Sign if possible 或 Encrypt if possible，那么用户可以全局覆盖这些设置，或者根据每条消息覆盖这些设置。另一方面，如果选择了 Always 或 Never，那么可以将该设置应用于用户的所有消息。

Lotus Workplace 目前不支持单独的签名和加密凭证。无论采用什么样的策略设置，Lotus Workplace Messaging 中的富客户机都使用单一凭证对消息进行签名和加密。

富客户机中的安全性首选项

富客户机提供了多个首选项。其中包括将验证机制与桌面操作系统集成的设置。要激活此设置，需要打开富客户机，选择 File - Preferences - Security，然后选择“Use my operating system password to log in”。在激活该设置之后，将基于该口令生成新的密钥，并使用该密钥对本地凭证存储重新加密。

富客户机中还包含管理证书的设置。要更改这些设置，请单击 Security 选项左边的“+”号，显示与证书相关的其他三个选项：Certification Authorities、My Certificates 和 Other People’s Certificates：

例如，在 Certificate Authorities 对话框中，可以导入新的证书、查看证书、删除证书或编辑证书的用途。目前，Lotus Workplace 支持以 CER 文件导入 PKCS#12 X.509 证书。可以随时更改证书的用途，以指明是否将其用于签名和/或加密。

回页首

结束语

在本文中，我们简要浏览了 Lotus Workplace 安全性功能和概念。讲述了一般 Lotus Workplace 安全性，以及如何管理该安全性。我们还着重研究了 Lotus Workplace Messaging 安全性，以及 IBM Workplace Client Technology 富客户机安全性。

正如您所看到的，安全性在 Lotus Workplace（与其他任何企业软件环境一样）中是一个复杂的问题。我们希望本文能够帮助您揭开这类主题的神秘面纱，同时能够提供关于这方面的一些了解和建议，帮助您在自己的 Lotus Workplace 环境中实现和管理安全性措施。