WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（上）

核心提示： 应用程序隔离：这将单独进行详细讨论，因为它涉及到的问题比较复杂，WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（上）(9)，在每个部分中，都按优先级顺序排列各种技术，持有私钥就是身份的证明，公钥是密钥对的一部分，当然，优先级是主

应用程序隔离：这将单独进行详细讨论，因为它涉及到的问题比较复杂。

在每个部分中，都按优先级顺序排列各种技术。当然，优先级是主观的，但是我们尝试使用这种方法大致确定每个领域中威胁的优先级：

基于计算机的威胁比网络威胁的可能性小，因为生产环境中的计算机通常是限制访问的。如果您的环境中不是这种情况，那么这些威胁很有可能会出现，应该首先限制对这些计算机的访问。

最严重的攻击是只使用 IP 连接执行的远程攻击。这意味着所有通信都必须是经过身份验证的。

要保护通信流，应该对其进行加密，但对 WebSphere Application Server 内部通信流进行加密不如对出入 WebSphere Application Server 的通信流进行加密那么重要。这是因为后一种通信流可能会穿越更多的节点，黑客可以在这些节点上窥探通信流。

SSL/TLS 概述

在本文的余下部分提到 SSL 或 TLS 时，都使用 SSL。在可以使用 SSL 的所有地方，也可以使用 TLS；实际上如果连接的两端都支持 TLS，在默认情况下会使用 TLS。

SSL/TLS（后面统称为 SSL）是 WebSphere Application Server 安全性架构的一个关键组件，广泛用于安全通信。SSL 用于保护 HTTP 通信流、IIOP 通信流、LDAP 通信流和 SOAP 通信流。SSL 需要使用公钥/私钥对，对于 WebSphere Application Server，这些密钥存储在密钥存储库中。因为 SSL 对于保护基础设施具有重要作用，所以我们暂时离开本文的主线，介绍 SSL 的一些与 WebSphere Application Server 相关的重要方面。（这一讨论有意只做简要介绍，只讨论正确配置 SSL 所需的关键点。）

公钥密码术 (Public Key Cryptography) 从根本上讲是基于公钥/私钥对的。这两个密钥在密码学意义上是相关联的。关键的问题是这些密钥是非对称的；使用一个密钥加密的信息可以使用另一个密钥来解密。私钥自然是私有的。也就是说，您必须始终保护私钥。如果其他任何人能够访问私钥，他们接下来就可以用它来 “证明” 身份，并以您的名义进行活动；私钥很像密码，只是更安全，更改比较困难。持有私钥就是身份的证明。公钥是密钥对的一部分，它可以与其他人分享。