| 出版日期:2002-05-13 总期号:1116 本年期号:33 |
|
 |
清华得实用“CA+AAs”从应用级保安全
应用级安全功能需求应包括ISO 7498-2提出的身份认证、访问控制、数据机密性、数据完整性、抗否认这五种安全功能,再加上安全审计和安全管理等安全功能。 从去年开始,清华得实与北京数字证书认证中心(BJCA)从技术、产品、市场各个层面通力合作,共同推出面向电子政务的PKI应用安全解决方案。 CA(数字证书认证中心),为(BJCA)电子政务系统提供数字证书的签发和管理。AAs(Authentication Authority、Authorization Authority、Audit Authority……),通过清华得实WebST提供的对CA数字证书的应用安全中间件支持包括:身份认证、授权、审计、数据加密等安全功能。 “CA+AAs”可为电子政务提供完整的应用层安全解决方案。主要体现在:WebST可以实现基于BJCA数字证书的用户身份认证,利用BJCA提供的API实现数字签名、完成抗否认等功能。利用WebST的访问授权、数据机密性、数据完整性、安全审计功能和安全管理提供电子政务所需的其他安全服务。二者结合完成所有电子政务要求的安全功能。下面就WebST和BJCA结合完成的六种安全功能分别加以阐述。 身份认证 NetSEAT和WebST通过对BJCA数字证书的支持,使用SSL协议来完成用户身份认证。 访问控制(授权) 用户经过NetSEAT和WebST完成认证,建立SSL通道后要访问具体的资源时,可通过授权来对用户进行访问控制。 数据机密性 由NetSEAT和WebST之间建立的SSL通道来保证,WebST提供了128位加密算法接口,用户可根据需求采用不同加密算法。 数据完整性 由NetSEAT和WebST之间建立的SSL通道保证,WebST在发送方为传送的信息产生一个校验和并加密此校验和与信息一起传送,接收方收到信息后也算出一个校验和与发送方的校验和比较,如果一致说明数据在传送中未被篡改。 抗否认 抗否认功能由BJCA提供的数字签名功能结合WebST的其它安全机制来完成。 安全审计 安全审计功能由WebST服务器提供的审计功能完成,主要记录用户对资源的访问过程,以及对WebST服务器的管理操作。 CA+AAs已经不是纸面上的而是得到实施的方案。由清华得实承担的“北京市电子政务网上审批试点工程”中的市商委和市民政局项目中的应用级安全解决方案就是采用了CA+AAs,由WebST实现AAs,目前工程进展顺利。 
北京市电子政务信息安全解决方案工程原理 清华得实认为: 
清华得实公司副总经理那日松 1.随着电子政务从初期的信息发布逐步发展为面向广大公众的开放平台,数字证书的应用问题日益突出。基于数字证书的安全机制,只提供了加密和数字签名,而没有一个完善的应用平台。如何为电子政务系统提供基于数字证书的身份认证、访问控制、数据机密性、数据完整性迫在眉睫。 2.出台“CA+AA”的解决方案 从去年开始,清华得实与北京权威数字认证机构——北京数字证书认证中心(BJCA)通力合作,形成功能互补,在业内第一次实现“CA+AAs”的强强联合。CA,能够为电子政务系统提供数字证书的签发和管理;AAs,提供对CA数字证书的应用安全中间件支持。 “CA+AAs”可为电子政务提供完整的应用层安全解决方案。 |
||||||||||||||||||||||||||
