Oracle安全方面的标准建议书模板).doc

Oracle9i Security Reusable Proposal 提交人:Oracle Sales Consultant 提交日期:Feb. 5, 2002 版本号:v1.0 Oracle9i Security Solution 第 1 页 Copyright 2002 Oracle Corporation All rights reserved. 目目 录录 1概述概述 3 2ORACLE9I 安全解决方案安全解决方案 提供端到端的安全体系结构提供端到端的安全体系结构.4 2.1ORACLE9I DATABASE 安全机制 4 2.2强壮的三层安全. 5 2.3托管环境的安全. 5 2.4基于标准的公共密钥体系结构 (PKI) . 7 2.5先进的用户和安全策略管理. 10 2.6数据加密和标签安全. 13 3ORACLE9I 安全解决方案遵循的安全协议和标准安全解决方案遵循的安全协议和标准.15 3.1ORACLE9I 安全解决方案遵循的安全协议和标准15 3.1.1满足NCSC的C2级安全标准. 15 3.1.2支持X.509协议 15 3.1.3支持Secure Socket Layer(SSL)协议15 3.1.4支持LDAP协议. 15 3.1.5支持PKI标准. 16 3.1.6支持多种验证, 加密和数据完整性标准16 4ORACLE 安全解决方案实际案例参考安全解决方案实际案例参考 17 4.1.1PayPal . 17 Oracle9i Security Solution 第 2 页 Copyright 2002 Oracle Corporation All rights reserved. 1 概述概述 电子商务的流行和 Internet 的普遍性改变了机构运营商务的方式、 人们进行通信的手段。这些改变带来了推动商业决策的新技术。安 全性渐渐从内部集成解决方案组转变成了电子商务实施的主要必需 条件。 目前世界上很多企业和机构正在充分利用 Internet，优化运作，并 以相同的方式与供应商、合作伙伴、内部用户和客户直接进行通 信。然而，这些新的商业运作模式为它们带来了机遇同时也带来了 各种挑战。不同类别的用户需要以不同的方式访问数据。合作伙伴 必须能够看到某些有限的数据，员工能够浏览公司机密信息，而客 户只能看到与其相关的信息; 同时Internet 的发展使企业级应用系统 的用户数量呈指数级增长, 为企业级的用户管理带来了挑战。简而 言之，Internet时代安全性的挑战包括：了解用户、设置用户访问权 限、对机密数据进行保密、提供安全的网络服务。 借助 Oracle9i、Oracle9i Advanced Security和Oracle Label Security 的 功能，管理员和集成商能够克服这些 Internet 安全性挑战，Oracle 为基于 Internet 的企业范围应用解决方案提供了极其安全的环境。 本文档是为了提供可以重复使用在方案建议书、答标书中的关于 Oracle9i安全解决方案所关注的焦点领域，所遵循的安全协议和标 准和解决方案的成功案例等。 Oracle9i Security Solution 第 3 页 Copyright 2002 Oracle Corporation All rights reserved. 2 Oracle9i 安全解决方案安全解决方案 提供端到端的安全体系结构提供端到端的安全体系结构 Oracle9i 继续提供业界最安全的应用程序开发和部署平台, 它所 包含的安全解决方案主要关注以下几个关键聚焦领域： Oracle9i Database 安全机制 强壮的三层安全 托管环境的安全 基于标准的公共密钥体系结构(PKI) 先进的用户和安全策略管理 数据加密和标签安全 2.12.1 Oracle9iOracle9i DatabaseDatabase 安全机制安全机制 Oracle9i数据库权限管理包括系统权限、数据权限、角色权限三级 结构，并且角色形成树形结构，能动态生效或无效，从而实现动态 的权限处理。基于角色的安全性管理机制，可以给一组数据库权限 命名。引入角色概念后，机密性管理机制可以把表或其它数据库对 象上的一些权限进行组合，授予某一个用户或一组用户，从而显著 地降低机密性机制的负担和成本。数据库管理员只需一条 GRANT 命令，就可以授权用户运行整个应用。Oracle 角色定义已经被ISO 和ANSI标准SQL委员会接受作为SQL安全标准的基础。 Oracle9i提供了强有力的用户名口令验证机制，可以强制口令的数 字和字母组合，最小长度，口令过期等，如果用户对口令处理有特 殊要求，还可以通过PL/SQL编写自己的口令处理程序。 另外，Oracle9i可按系统和用户的要求，可对表及视图进行各种审 计，完成对数据库系统的审计追踪，如：什么用户参与了哪些操 作，操作的对象，操作数据的记录及操作成功与否等。以此可以检 测异常或可疑用户的操作，以及未授权的访问。 Oracle9i Security Solution 第 4 页 Copyright 2002 Oracle Corporation All rights reserved. 2.22.2 强壮的三层安全强壮的三层安全 Oracle9i 通过代理认证增强了三层安全，包括 X.509 许可证文件或 判别名 (DN) 的信用代理、应用程序用户的连接共享（胖 JDBC 和 瘦 JDBC、OCI）和与 LDAP 的集成。一个可扩展的、安全的应用 程序角色可以强制用户只能通过中间层应用服务器访问数据库, 使 应用程序的所有层中都能安全地维护用户身份。 2.32.3 托管环境的安全托管环境的安全 Virtual Private Database是基于Oracle数据库技术为托管环境的应用 系统提供极其安全的环境。Virtual Private Database提供的细微访问 控制与安全应用程序上下文一起，能够确保 数据库服务器中数据 的安全，并可保证无论用户访问数据的方式如何（通过应用程序、 报告编写工具或 SQL*Plus），都将实施同一种访问控制政 策。Virtual Private Database能够帮助银行确保客户仅能看到与其帐 户相关的信息、电信公司能够安全地隔离客户记录、人力资源应用 程序能够支持员工记录的复杂数据访问规则。此外，安全性只需在 数据服务器中构建一次，不必在访问数据的每个应用程序中进行构 建，因此，Virtual Private Database还能够降低您的开发成本。 Oracle 数据库中Virtual Private Database 的功能 细微访问控制和 相关特性安全应用程序上下文为托管环境的应用系统提供了高效, 简便的安全控制方式, 它的功能和特点主要体现在以下几个方面: 动态修改查询动态修改查询 细微访问控制依赖于“动态查询修改”来对相关的对象实施安全策 略. 直接或间接访问表或视图的用户拥有与此相关的安全策略，使 服务器能够根据实施安全策略的功能所返回的“WHERE”条件 （即判定），动态地对语句进行修改。使用任何表示的条件或由功 能返回的条件，对用户的 SQL 语句进行动态修改，这一处理对用 户来说是透明的。返回判定的功能还可以包括操作系统信息。灵活 的安全策略实施，可以为每位用户、每组用户或每个应用程序返回 不同的判定。 Oracle9i Security Solution 第 5 页 Copyright 2002 Oracle Corporation All rights reserved. 例如人力资源部的一位员工只能看到 Aircraft Division 的员工记 录。当该用户启动查询“SELECT * FROM EMP”实施安全性政策 的功能将返回判定“division = AIRCRAFT”时，数据库以透明的 方式重新编写查询，因此实际执行的查询就变成了“SELECT * FROM EMP WHERE division = AIRCRAFT”。 安全应用程序上下文安全应用程序上下文 许多机构都想根据有关用户的信息来制定访问控制决策，诸如用户 在机构中的角色、所在机构部门以及他是客户还是合作伙伴。应用 程序上下文为应用程序开发商提供了一种简单的机制，以定义、设 置和确认安全性属性，并据此实施细微访问控制，从而增强开发商 在 Oracle数据库中实施 Virtual Private Database 的能力。应用程序 上下文提供了可扩展性、易于使用和安全性的优势。 可扩展性可扩展性 应用程序上下文作为其属性，完全由用户定义，每个应用程序均可 以拥有其自己的上下文，具有不同的属性。例如，应用程序可以根 据客户号和订单号来制定访问权限，人力资源应用程序可以根据职 位、机构部门和管理分层属性来制定访问控制。 易于使用易于使用 应用程序上下文使细微访问控制易于实施，例如，人力资源访问控 制可能基于“职位”和“机构部门”。客户能够使用应用程序上下 文，以确保位于“经理”职位的用户能够看到其“机构部门”内所 有员工的员工记录，但位于“员工”职位的用户只能看到其自己的 记录。或者，你可以使用访问控制条件中的上下文属性，例如使客 户只能看到与其“客户号”属性相匹配的记录，每位用户的“客户 号”属性均不相同。应用程序能够方便、清楚地设置、确认和检索 任何上下文属性。 安全性安全性 应用程序上下文可安全地用于实施细微访问控制，因为上下文本身 是安全的。Oracle数据库 确保整个数据库的上下文名称都是唯一 Oracle9i Security Solution 第 6 页 Copyright 2002 Oracle Corporation All rights reserved. 的，因此不可以复制或伪造上下文。此外，建立安全性上下文的需 要相应的系统权限, 同时Oracle数据库提供相应的程序包来轻松安 全地设置上下文属性. 可伸缩的安全性可伸缩的安全性 Virtual Private Database 的细微访问控制经过优化设计，具有高伸缩 性，并可使用数据库最佳特性。在大多数情况下，为表添加安全性 策略不会影响性能。在优化语句之前，需动态地为语句添加额外的 WHERE 子句。这意味着，全语句（包括附加的 WHERE 条件）均 进行了优化，因此对其进行了有效地语法分析和执行。当然，全语 句可参与到共享内存当中，这样任何执行同一语句（包括 WHERE 条件）的用户均无需重新对其进行语法分析即可重新执行该语句。 Oracle9i 针对Virtual Private Database (VPD) 增强新特性, 其中包括 小粒度审计和基于 web 的 single sign-on 提供托管安全。VPD 增强 特性包括分区的应用程序上下文（取决于哪个应用程序访问数据的 安全强制）和通过全局或共享应用程序上下文的连接共享。小粒度 审计用赋值变量提供了 SELECT 语句的选择性审计，基于“相 关”列的访问，大大增强了每个用户的可计算性。 2.42.4 基于标准的公共密钥体系结构基于标准的公共密钥体系结构 (PKI)(PKI) 标准的 Public Key Infrastructure (PKI) 通过提供：验证、加密、完整 性和认可，为安全电子商务和 Internet 安全性奠定了基础。 Public Key Infrastructure 的主要组成部分包括： Digital Certificate，用于验证用户和机器，它被安全地存储在 wallet 中。 Public Key 和 Private Key，组成了 PKI 的基础，支持基于密钥和 与算术相关的公钥的安全通信 Secure Socket Layer (SSL)，符合安全协议的 Internet 标准 Certificate Authority (CA)，作为 Digital Certificate 的可信、独立的 提供商 Oracle9i Security Solution 第 7 页 Copyright 2002 Oracle Corporation All rights reserved. Oracle 数据库完全支持标准的公共密钥体系结构 (PKI), 除支持 PKI 的主要组成部分还支持其它重要组件为：证书和密钥的安全存储、 请求证书的管理工具、访问 wallet 和管理用户，以及作为用户和机 器识别和验证的集中管理的目录服务。 Digital Certificate 目前使用最广泛的公钥证书遵循 X.509 格式，X.509 版本 3 证书是 现行行业标准格式。Public Key Infrastructure 依赖于 X.509 证书来 进行公钥验证，X.509 也称为 Digital Certificate 或公钥证书。通过 证书来验证用户或机器有点类似于检查驾驶执照或护照，服务器和 客户机通过出示其验证凭证来证明其身份。Oracle的Digital Certificate遵循X.509协议, 同时Oracle环境中的Digital Certificate使用 还提供了Single Sign On，从而使用户一旦通过验证，就可以在不提 供其它凭证的情况下连接至多个应用程序和数据库。Single Sign On 易于使用，提高了系统的安全性，因为用户不必记忆多个密码，每 个用户或机器仅需用一个密码进行管理，从而提供了集中的安全 性。 SSL 协议的支持协议的支持 Secure Socket Layer 协议广泛用于 Internet 上，以便为用户提供安全 的数字身份，并避免数据窃听、篡改或伪造。Oracle Advanced Security 支持Secure Socket Layer, 其中SSL支持包括网络通信进行加 密，并提供了完整性检查、验证 Oracle 客户机和服务器，为 Oracle 环境提供基于公钥的Single Sign-On。SSL 通过使用密码组，提供 加密和数据完整性. Oracle Advanced Security 选项SSL支持的加密算法是 RC4、DES 和 Triple DES。其中Triple DES (3DES) 算法是一种保护数据的非常强 大的方法，因为它使用了一个以上的标准 DES 所采用的 56 位密 钥。Triple DES 越来越广泛地用于各种机构，如需要强大安全性的 银行和金融机构。SHA (Secure Hashing Algorithm) 为 Oracle 环境提 供了一种新的数据完整性检查方法。它生成无用数据来保护数据传 输，并确保数据包在传输过程中未被修改或篡改。 Oracle9i Security Solution 第 8 页 Copyright 2002 Oracle Corporation All rights reserved. SSL 不仅确保了 Oracle Net8 的安全，而且确保了诸如 IIOP (Internet Inter-ORB Protocol) 等其它协议的安全。通过利用 Java 支 持，Oracle Advanced Security 确保了 IIOP 连接的安全。 密钥和证书的安全存储密钥和证书的安全存储 为了验证用户，SSL 必须拥有提供的密钥和证书。因此，在 Oracle 环境中，客户机或服务器需要通过一些方法来存储这一信息，并将 其提供给 SSL，也即 Oracle Wallet。Wallet 存储了 X.509 证书、密 钥和其它数据，如由 SSL 处理的可信证书。这些凭证可用于验证 至多种服务的用户，诸如数据服务器和应用程序服务器。用户只须 记忆获得Wallet的一个密码，这个密码可用于解除对Wallet 的锁 定。 Oracle Wallet Manager 可管理 Wallet，并从Certificate Authority 请求 证书。它使用户和数据库管理员能够控制其 Wallet 的内容。管理 员能够集中管理有关应用程序和数据库的 Wallet 信息。此 外，Oracle 还提供了 Oracle Enterprise Login Assistant 这一易于使用 的工具，以便使最终用户能够访问其 wallet。此工具使用户能够简 单、透明地获得 Single Sign-on，从而使用证书来进行验证。Wallet 和管理工具可以一并使用，以安全地存储和管理至证书服务器的证 书、密钥和请求。 证书不仅验证客户机到服务器，而且也在服务器之间进行验证。这 通过用于服务器相互验证的安全数据库链接，扩展了整个系统的安 全性。借助 SSL 部署，所有客户机和服务器，包括数据库服务器 和应用程序服务器，都具有凭证，以便向与其进行通信的所有其它 机器和服务证实自己的身份。 Entrust 集成集成 Entrust Technologies, Inc. 是通过其 Entrust/PKI 软件提供 Public Key Infrastructure 解决方案的市场领先提供商。Entrust/PKI 包括许多产 品，诸如确保用户 PKI 凭证安全的 Entrust Profile，以及 Entrust 的 认证产品 Entrust Authority。 Oracle9i Security Solution 第 9 页 Copyright 2002 Oracle Corporation All rights reserved. Oracle Advanced Security提供 Entrust/PKI 支持，从而使客户能够使 用 Entrust 的“Wallet”机制 Entrust Profile 来存储证书和密钥，并 支持安全凭证管理。Oracle Advanced Security 通过用户的 Entrust Profile 来进行验证和 Single Sign-On，而不是从 Oracle Wallet 处获 得用户凭证（密钥和证书）。 Oracle9i扩展了对PKI的支持, 增加对 PKCS#12 许可证文件的支持， 允许现有的 PKI 信用和 Oracle Wallet 共享，从而降低 PKI 部署成 本并增强交互的操作性。可以从 LDAP 目录下载 Wallet，以支持移 动或“Hot - Desked”用户。在 Oracle9i 中使用的 SSL 库目前支持 硬件加速, 以获得改进的性能。 2.52.5 先先进的用户和安全策略管理进的用户和安全策略管理 随着Internet的不断发展，用户验证和用户管理的问题已成为企业安 全管理的所面临的重要问题。一方面企业用户拥有太多的密码，因 此，往往他们将这些密码记录下来，或者所有帐户均选择同一密 码。另一方面企业必须管理每个用户的多个密码。因此，他们投入 了重要的资源来进行用户管理，或投资于网络验证服务上。同时多 个应用程序使用的通用信息，如用户名、用户办公地点和电话号 码，通常跨越企业进行分割，从而导致数据冗余、不一致和管理成 本浩大。企业缺乏集中的用户管理会带来安全的风险, 为了解决这 些挑战，Oracle提供企业集中用户管理的解决方案 Oracle Advanced Security 选件通过标准的 Single Sign-On实现安全 性和目录服务集成，提供了强大的用户认证，减少了用户拥有太多 密码的所带来的安全风险。管理员花在管理用户帐户的时间很少， 因为他们能够跨越多个数据库，对用户进行集中管理。企业可根据 用户在企业中的角色在整个企业范围内为每位用户建立一个帐户 的。Oracle 可实现在目录服务中存储用户的整个定义，以及用户的 角色和权限。单一的企业用户管理使部署 Internet 应用程序的机构 能够以更低的成本，安全地支持数以千计的用户，并通过分布式企 业，扩展至数万、数十万甚至数百万用户。 Oracle9i Security Solution 第 10 页 Copyright 2002 Oracle Corporation All rights reserved. Oracle提供了高效, 简便, 安全的企业集中用户管理, 它的功能和特 点主要体现在以下几个方面: 用户用户/方案分割方案分割 用户不需要在数据库中拥有其自己的帐户 或自己的方案，他们 只需访问应用程序方案。例如，用户 Jane、Cindy 和 Rakesh 是 Payroll 应用程序的所有用户，并需要访问金融数据库上的 Payroll 方案。他们都不需要在数据库中创建他或她自己的对象，实际上， 他们只需访问 Payroll 对象。 用户与方案分割开来，使许多企业用户都能够访问单个共享的应用 程序方案。管理员只需在目录中创建企业用户，并将用户“指向” 其它企业用户同样能够访问的共享方案，而不是在每个用户需要访 问的数据库中创建用户帐户（也即用户方案）。例如，如果 Jane、Cindy 和 Rakesh 均访问销售数据库，您可以创建单个方案， 如sales_application，这三位用户都可以对其进行访问，而不用在 销售数据库上为每位用户都建立一个帐户。 管理员在目录中建立企业用户的次数只有一次。尽管如此，企业用 户能够使用从事工作所需的唯一权限，来访问多个数据库，从而降 低了管理企业内用户的成本。 Oracle 的目录服务器 Oracle Internet Directory (支持LDAP协议)与 Oracle数据库全面集成，支持商业化企业用户管理。其它 LDAP 目 录服务器，包括 Novell Directory Service (NDS) 和Microsoft 的 Active Directory for Windows 2000 经认证，也可与Oracle数据库相 互集成。 企业集中的用户管理提供了下列优势： 更少的用户帐户 企业用户再也不必是数据库用户或拥有可 识别的方案。 Internet 可伸缩性 您可以支持数以百计的用户，这些用户均 为多个数据库所知， Oracle9i Security Solution 第 11 页 Copyright 2002 Oracle Corporation All rights reserved. 可在多个数据库中记帐（审核），同时不需要创建数以千计的 数据库用户帐户。 轻松实施安全性 如果用户更换工作或离职，其权限可被更 改或取消，只需在Oracle Internet Directory 中改变其用户项。机 构再也不需要担心旧的、未使用的帐户 或过时的权限会消耗宝 贵的系统资源，并成为黑客攻击的目标。 减少成本 机构通过管理 Single Enterprise User 帐户并一次 分配企业角色，大大节约了重要资源，完全不用创建多个用户 帐户和多个密码而每个密码拥有多个认证权。 集成的安全性和目录服务集成的安全性和目录服务 Oracle Internet Directory 基于标准的LDAP协议，它将 Oracle 数据库 技术的关键任务优势与 Internet 标准的灵活性完美组合在一 起。Oracle Internet Directory 实现企业用户的集中管理，用于管理 企业用户信息，包括企业角色和共享方案信息。 Oracle Internet Directory 可提供灵活、高粒度访问控制机制，以保 护通用应用程序信息的敏感性，以及 Oracle 的企业用户信 息。Oracle Internet Directory 的 Access Control List (ACL) 根据属性 级别，规定用户的访问权限和允许访问的类型。例如，用户的经理 可以对用户的薪水属性进行读写访问，用户可以读取自己的薪水， 但任何其它用户却不可以读取。Oracle Internet Directory 还提供了 可配置缺省、客户和超级用户权限，以便使用户拥有“最低权限” 只是其从事工作所需的权限。Oracle Internet Directory 能自动配 置方案和所需的 Access Control List (ACL)，Oracle 数据库需要 ACL 来进行企业用户管理。 Oracle Internet Directory 利用了基本 Oracle数据库的内置的可用性 和性能，并提供了目录项的批量载入、删除和目录入口的更新、高 速备份和恢复工具，在不中断服务的情况下添加或删除目录节点的 能力，以及其它高可用性特性。 集成安全性和目录服务的优势包括： Oracle9i Security Solution 第 12 页 Copyright 2002 Oracle Corporation All rights reserved. 整个企业到多个 Oracle 数据库的 Single Sign-On 单个企业用户帐户，而不是每个用户都有多个帐户 通过 Single Station Administration (SSA) 减少总体成本 全面集成的、基于标准的 Public Key Infrastructure (PKI) 通过集中的授权管理和强大的验证来实现更强大的安全性。 Oracle9i增强了用户和安全策略管理，包括在 LDAP 目录中管理基 于口令的用户和 VPD 策略同时可以将 VPD 的应用程序上下文外部 化并保存在 LDAP 目录中，以获得更好的控制和用户可伸缩性。 2.62.6 数据加密和标签安全数据加密和标签安全 Oracle对于应用系统中比较关键和敏感的数据，可以使用密文的形 式进行存储。Oracle Advanced Security中提供了用于开发加密应用 的程序包Cryptographic Toolkit。在Cryptographic Toolkit包含了得到 RSA Data Security, Inc.公司授权使用的加密算法，包括数字签名、 数字认证、MD5加密算法、随机数生成等。用户可以使用PL/SQL 语言或Oracle Call Interface (OCI)调用Cryptographic Toolkit中的加密 /解密函数，编写加密/解密程序，并通过这些过程存取敏感数据。 这样，存储在数据库中的是经过加密的密文数据。未经得到相应授 权的使用者如果只有打开数据表的权限而没有相应的密码，则只能 看到加密后的密文。 Oracle Advanced Security 选件将网络服务与Oracle服务器集成， 它 所提供的网络服务使得企业级客户机/服务器网络区别于基本的客 户机/服务器连接。通过Oracle的Advanced Networking Option能够真 正的实现在C/S,S/S之间的数据通道的加密。 Oracle数据库从Oracle 8.1.6版本增加了数据加密存储功能, 可以存储 对安全要求较高的数据(如信用卡信息), Oracle数据库提供PL/SQL程 序包对数据加密和解密, 其中Oracle 8.1.6支持的加密算法包含DES 和3DES, 在Oracle 8.1.7中增加了MD5加密算法. Oracle9i Security Solution 第 13 页 Copyright 2002 Oracle Corporation All rights reserved. Oracle9i加密增强特性包括 Java Cryptographic Architecture (JCA)/Java Cryptographic Extensions (JCE)，支持加密和数据 完整性的大多数流行算法。 Oracle9i Label Security 选件是一个小粒度访问控制产品。它将 一个特殊的标签添加到数据行中，提供复杂而灵活的标签安全。它 建立在 Oracle9i Virtual Private Database 技术的基础之 上。Oracle Label Security 基于政府和防御组织用来保护敏感信 息和提供数据分隔的标注概念。应用程序托管、保健和其他行业也 可以利用数据标注来帮助解决 Internet 时代的安全要求。例如， 在应用程序托管中，预订者标签可用来分隔同一应用程序中的预订 者的数据。在数据库中强制执行 Oracle Label Security，即使绕 过应用程序也会提供安全。标签提供了一种使用现有的应用程序数 据不易达到的访问控制维。Oracle Label Security 还包括一个复 杂的策略管理工具，以管理策略、标签和用户标签授权。Oracle Label Security 是杰出的小粒度访问控制解决方案。 Oracle9i Security Solution 第 14 页 Copyright 2002 Oracle Corporation All rights reserved. 3 Oracle9i 安全解决方案遵循的安全协议和标准安全解决方案遵循的安全协议和标准 3.13.1 Oracle9iOracle9i 安全解决方案遵循的安全协议和标准安全解决方案遵循的安全协议和标准 3.1.1 满足满足NCSC的的C2级安全标准级安全标准 Oracle在C2级的操作系统上(如商用UNIX,VMS操作系统)，不仅满 足NCSC C2级安全标准，而且已经正式通过了NCSC C2标准的测 试。在B1级的操作系统上不仅满足NCSC B1级安全标准，而且已 经通过了NCSC B1级标准的测试。 3.1.2 支持支持X.509协议协议 目前使用最广泛的公钥证书遵循 X.509 协议格式，X.509 版本 3 证 书是现行行业标准格式。 Oracle 环境中的证书完全遵循X.509 版本 3。 3.1.3 支持支持Secure Socket Layer(SSL)协议协议 Secure Socket Layer 协议广泛用于 Internet 上，以便为用户提供已建 立的数字身份，并避免窃听、篡改或伪造讯息。Oracle Advanced Security 中的 SSL 支持对网络通信进行加密，并提供了完整性检 查、验证 Oracle 客户机和服务器，为 Oracle 环境提供基于公钥的 single sign-on。 3.1.4 支持支持LDAP协议协议 Oracle 目录服务器 Oracle Internet Directory全面支持LDAP 版本 3并 与 Oracle数据