Questa sezione fornisce una descrizione dell'architettura e dell'uso di Oracle Security Server. Saranno esaminati i seguenti argomenti:

• Architettura Oracle Security Server
• Uso di Oracle Security Server

Architettura Oracle Security Server

Oracle Security Server consiste nei seguenti principali elementi:

• Oracle Security Server Manager
• Oracle Security Server Repository
• Oracle Security Server Authentication Adapter

La combinazione di Oracle Security Server Manager, dell'amministratore della sicurezza (SA) che usa questo tool, e Oracle Security Server Repository formano l'implementazione di un'autorità di certificazione (CA) di Oracle Security Server.

Oracle Security Server Manager

Oracle Security Server Manager è un'applicazione della struttura Oracle Enterprise Manager, che permette l'amministrazione di Oracle Security Server Repository. Quest'applicazione fornisce un'interfaccia utente grafica (GUI) che un amministratore può usare per definire e mantenere informazioni sull'identità e le autorizzazioni concesse a queste, su un DB dell'impresa. Oracle Security Server Manager è un'applicazione compatibile con il sistema operativo Windows NT 4.0 o Windows 98, su macchine piccole, come 486, cosi come su una larga scala di PC.

Oracle Security Server Repository

Oracle Security Server Repository è su un Oracle7 Server (relase 7.3.2 o superiori) o Oracle8 Server e contiene i dati che un amministratore inserisce usando Oracle Security Server Manager, come pure altri dati come la cifratura di chiavi private. Questo repository è una delle parti primarie dell'autorità di certificazione (CA) per OSS: esso genera e immagazzina certificati in risposta a richieste dell'amministratore; risponde a richieste per informazioni sulle scadenze e le revoche dei certificati; memorizza le richieste dei certificati fatte da Oracle WebServers.

Oracle Security Server Authentication Adapter

Oracle Security Server Authentication Adapter fornisce un'interfaccia fra un client Net8 e un database server Oracle7 o Oracle8 a Oracle Security Server Repository.
Quest'adattatore permette, ai prodotti Oracle, di richiedere, ottenere e usare certificati creati da Oracle Security Server CA. L'adattatore consulta, inoltre, Oracle Security Server Reposotory per lo stato dei certificati e dell'autorizzazione dei dati.

Uso di Oracle Security Server

La figura 2-1 illustra le relazioni tra i componenti di Oracle Security Server e le relazioni con le entità esterne.

Figure 2-1 Oracle Security Server Operations

Se un Oracle WebServer è presente in un'impresa, può richiedere la creazione di identità e dei certificati all'interno di Oracle Security Server. L'amministratore adempie queste richieste utilizzando Oracle Security Server Manager.
Oracle Security Server Manager accede a Oracle Security Server Repository utilizzando la versione di SQL*Net o Net8 distribuite con Oracle Enterprise Manager. Oracle Security Server Authentication Adapter e Oracle Security Server Repository comunicano anche usando SQL*Net/Net8.
La figura 2-1 indica le autenticazioni che occorrono fra i soggetti attraverso l'utilizzo di Oracle Security Server Authentication Adapter. I passi coinvolti in questo processo della autenticazione reciproca, in cui un soggetto sta comportandosi come client e l'altro come server, sono i seguenti:

1. Il client spedisce una copia del suo certificato al server. Il server risponde spedendo il suo certificato al client.
2. Ciascun soggetto utilizza la chiave pubblica di CA per verificare che il CA ha realmente firmato il certificato dato, e poi estrae l'identità e la chiave pubblica dell'altro soggetto
3. Ciascun soggetto controlla con il CA per essere sicuro che il certificato dell'altro soggetto non è scaduto o non è stato revocato.
4. Ciascun soggetto genera una random nonce, un valore binario che è usato solamente una volta, quindi usa la chiave pubblica dell'altro soggetto per cifrare questa nonce e spedirla cifrata agli altri soggetti.
5. Ciascun soggetto usa la sua chiave privata per decrifrare il nonce che è stato ricevuto da altri soggetti.
6. Ciascun soggetto combina il nonce ricevuto con uno generato per creare una chiave hash.
7. Ciascun soggetto usa questa chiave con l'algoritmo MD5, per generare un valore hash che è la combinazione di due nonce, dell'identità del client e di quella del server. Il valore hash ottenuto è spedito ad un altro soggetto.
8. Se ciascun soggetto scopre che il valore hash ricevuto è uguale a quella spedito, allora sia il client, che il server sono sicuri dell'autenticità dell'altro soggetto. Il server recupera poi, con Oracle Security Server Repository, i ruoli che sono stati assegnati al client.

---

DIA - Dipartimento di Informatica ed Applicazioni