Concetti
Caratteristiche delle specifiche Oracle
Oracle Security Server si adatta alla sicurezza di un vasto numero di società e allo standard Oracle, per facilitare l'interfaccia con altri prodotti e diversi sistemi.
Autenticazione
Oracle Security Server supporta una versione di SKEME [2] come suo protocollo di autenticazione.
Certificati di Oracle Security Server
Oracle Security Server supporta la versione 1 dei certificati X.509.
Tre documenti definiscono gli standard per i certificati X.509:
- Il documento X.509 originale fornisce la definizione formale dei certificati ed il tipo di lista di revoca dei certificati (CRL) che Oracle Security Server perfezionerà in futuro.
- Il documento degli aggiornamenti dello X.509, definisce gli aggiornamenti dello X.509 verso i quali le future versioni di Oracle Security Server s'indirizzeranno.
- Il documento X.500 definisce il servizio di directory che serve come genitore dello standard X.509
Firme Digitali di Oracle Security Server
Oracle Security Server usa l'algoritmo di crittografia RSA [4] e la funzione hash one-way Message Digest 5 (MD5)
per generare e verificare le firme digitali. L'implementazione software di questi algoritmi e
realizzata con il toolkit di sicurezza del RSA TIPEM [5] e
del RSA BSAFE [6] .
MD5 produce un valore hash di 128-bit.
Due degli standard di RSA sulla crittografia a chiave pubblica, Public Key Cryptography Standard [7]
(PKCS), sono usati da Oracle Security Server per le firme digitali.
- Lo standard PKCS#1, descrive un metodo di cifratura e decifratura RSA che viene usato insieme alle firme digitali, e descrive la sintassi associata alla combinazione di RSA e MD5.
- Lo standard PKCS#7, descrive la sintassi generale per i dati che possono essere firmati con il sistema della firma digitale.
Nomi Distinti (DNs)
Oracle Security Server supporta lo standard X.509 per nomi distinti pienamente-qualificati
( fully-qualified distinguished names ) nei certificati.
Un fully-qualified DN è una stringa che identifica univocamente un soggetto. Questa stringa può
anche definire un path. I nomi dei soggetti contenuti nei certificati X.509 sono definiti
attraverso lo standard X.500.
Oracle Security Server limita la sintassi dei DN, rendendo i certificati conformi ad una
configurazione più ristretta, come definito nella seguente templete:
DN=([Country,][Organization,][OrganizationUnit,][State,][Locality,] CommonName)In questo template, ogni DN deve avere un CommonName, gli altri valori sono opzionali.
| Nota: |
|---|
| L'ordine con il quale i valori appaiono nel DN è importante per la definizione di utenti globali su un Oracle8 Server |
La Tabella 1 fornisce un esempio delle informazioni che si dovrebbero inserire nel definire un DN per un'entità che utilizzerà con Oracle Security Server.
| CAMPO NOME | INFORMAZIONE |
|---|---|
| Country ( C ) | US |
| Organization ( O ) | Oracle Corporation |
| Organizational Unit ( OU ) | Network Management Products |
| State ( ST ) | California |
| Locality ( L ) | Belmont |
| Common Name ( CN ) | Lisa |
Coppie di chiavi pubbliche-private
Oracle Security Server genera coppie di chiavi pubbliche-private usando la libreria TIPEM di RSA Data Security Inc.
Autentificazione e Autorizzazione Intranet globale
Oracle Security Server consente l'uso della tecnologia della crittografia a chiave pubblica per i prodotti Oracle e per quelli non Oracle. Questa tecnologia fornisce:- Identità definite in modo centralizzato, certificati e tutti i ruoli che migliorano il supporto ad un single sign-on (sistema capace di assicurare agli utenti l'accesso ad un numero di applicazioni senza avere un log o avere una password su ogni applicazione) e il controllo amministrativo centralizzato sulla generazione e la revoca di chiavi private e la certificazione dei soggetti
- Autenticazioni distribuite di entità che utilizzano i certificati X.509.
- Autorizzazioni centralizzate di utenti che hanno il ruolo di global per eseguire ruoli identificati globalmente
Identità, certificati e ruoli
Oracle Security Server di Oracle consente ad un amministratore di definire l'identità di molti tipi
di soggetti, inclusi utenti, DB servers e Oracle WebServers. Queste identità, insieme alle
chiavi pubbliche, sono catturate in certificati che, usati in assieme a chiavi private,
permettono all'entità di autenticarsi
l'uno con l'altro usando la crittografia a chiave pubblica . I certificati possono essere revocati
per l'entità che non fanno più parte dell'impresa.
L'amministratore può anche definire i ruoli
(collezione di privilegi) che possono essere usati sui DB.
Oracle Security Server supporta anche l'implementazione del
single sign-on
sostituendo l'autenticazione della password con l'autenticazione del certificato.
Autenticazione di Entità
L'autenticazione fornisce l'assicurazione che l'identità di una parte che desidera comunicare
con un'altra parte su una rete è valida.
Una volta che un certificato è stato assegnato a un'entità, essa può usare il suo certificato
per autenticarlo agli altri soggetti coi quali desidera comunicare. Per esempio, un Oracle8
Server può scoprire con un alto grado di certezza che un utente dato è, chi dice di essere,
mentre l'utente può essere sicuro che sta comunicando con il server corretto.
Autorizzazioni di Entità
L'autorizzazione assicura che un'entità data può operare in accordo con i privilegi che sono stati definiti per quell'entità, nel contesto del Oracle Security Server, dall'amministratore.Gli utenti globali sono utenti che hanno bisogno di accedere a più di uno Oracle8 Server usando un set di credenziali. Ruoli globali (anche noto come ruoli globalmente identificati) sono ruoli che gli utenti globali eseguono attraverso Oracle8 Servers. L'Oracle Security Server mantiene un riferimento di tutti gli utenti globali di un'impresa distribuita con Oracle ai ruoli identificati globalmente che questi utenti possono eseguire per ogni DB dell'impresa. (si nota che il significato di un ruolo globalmente identificato, riguardante uno specifico Oracle8 Server, dipende dal DBA).
Si veda il manuale di Oracle8 Server Distributed Database System per avere più informazioni sugli utenti globali e ruoli globali.
 |
 |
 |
DIA - Dipartimento
di
Informatica ed Applicazioni |
 |