目前市场存在着各种各样的网络信息安全产品,其中,最成熟和最通用的就是CA认证系统,我们将CA认证系统与目录服务相结合,配套完整的管理与技术规范,建立了一套完善的Internet网络信息安全系统。
网络信息安全系统可以在应用层全面提升各行业信息应用系统的安全性,可以确保用户对网络信息资源合法存取,保证目录、数据、文件、邮件、主页等各种信息资源及其应用的完整性、机密性、抗否认性。
我们称此系统为应用安全基础平台。通过建设应用安全基础平台可以使得电子邮件应用、web应用、C/S模式的应用、数据库应用、甚至是网络设备能够以统一的方式使用此基础平台。在提供安全服务的同时,通过基础平台提供的开放的基于国际标准的接口和统一的集成策略,改变现有的用户和应用系统授权管理模式,改变部分应用系统(web base)的开发模式,为应用系统和信息设备提供便利的集中管理手段。
功能介绍
1.CA电子证书系统
主要功能:
证书的申请、审核申请、证书签发、证书的发放、证书的归档、证书的废止、证书的修复、证书的更新。
系统特点:
CA电子证书管理系统是建立在PKI体系基础上的安全基础平台,信息应用系统可利用CA电子证书管理系统提供的基础服务来实现身份确认、安全通信、访问控制等功能。
应用范围:
作为权威认证机构,电子证书系统主要面向用户进行人员身份信息记录、身份确认、信息加密、邮件的加密与签名、建立安全的WEB应用和其它应用、与目录服务结合应用等。
解决的问题及达到的效果:
在应用层提供基础服务,解决缺乏有效的信息应用、存储和传输的保护手段,实现信息应用的可靠性、安全性、抗否认性。
2.目录服务系统及应用资源管理系统
主要功能:
目录服务系统用来存放人员信息、硬件资源信息、软件资源信息和系统配置信息等信息。应用资源授权管理系统对应用资源进行统一授权管理,统一用户管理。
系统特点:
目录服务系统与应用资源授权管理系统结合使用,由资源管理系统管理具体应用系统在目录服务中的模块、子模块、授权和其它属性,并适当扩展用户属性,以实现基于统一资源管理系统及用户管理系统的访问控制。
解决的问题及达到的效果:
.在应用层提供安全基础服务。
.解决用户身份多样性和不统一的问题,明确用户的真实身份,建立统一信任域。
.解决用户管理管理系统多而杂乱的问题,实现全局范围内分级分权的用户管理。
.建立应用系统资源管理和用户授权的机制,并为新开发的应用系统提供接口规范。
.解决各类信息资源如人员信息、硬件资源信息、软件资源信息和系统配置信息等数据分布散乱,缺乏统一管理的问题。实现此类静态信息资源的统一分级管理。
.完成用户、应用系统、信息资源各管理系统间的关联设计、实现系统的总体集成。
3.网络应用与CA认证结合的应用功能
.安全登录
安全登录方式是指基于数字证书的用户身份自动识别方式,这种方式采用新型的用户登录及身份确认技术,解决密码登录方式烦琐、不安全的弊端。这种登录方式在各种WEB应用中的实现非常简便。安全登录依靠系统的特点,如自动登录、提供信息交换过程的安全保障、有效防止他人冒充登录、防止用户抵赖等,还能够很方便地扩充到例如网管系统、办公自动化系统、网上招标系统等各种应用系统中。
.安全WEB站点
安全WEB站点的应用结合了SSL协议和数字证书。SSL协议允许在浏览器和服务器之间进行加密通信,同时服务器端和浏览器端分别由可信的第三方CA认证中心颁发数字证书,这样在交易时,双方可以通过数字证书确认对方的身份。CA认证技术保证Web交易多方面的安全需求,解决网上交易可能存在的诈骗、泄密、篡改、恶意攻击等问题,使Web上的交易和面对面的交易一样安全。
.安全电子邮件
电子邮件以其使用方便、快捷、容易存储、管理的特点成为交换信息、传递公文、沟通情感的有效工具,是因特网上最常用的通信方式。但是,由于网络的开放性,一封普通的没有加密的邮件就很容易受到网络黑客的攻击,安全电子邮件利用数字证书达到以下目的:对电子邮件加密,确认发件人的身份,保证电子邮件信息在传输过程中不能被人修改,保证已发送邮件的不可否认性。
.安全电子交易(SET)
SET是在开放网络环境中的卡支付安全协议,它采用公钥密码体制(PKI)和X.509数字证书标准,通过相应软件、数字证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。在一个基于SET的交易中,首先要验证或识别参与网上交易活动的各个主体(如持卡消费者、商户、支付网关)的身份,并用相应的数字证书代表他们的身份。
这就需要由权威性的CA认证中心为他们颁发证书。在每次交易活动时还需逐级往上地验证各认证机构证书的真伪。
.无线网络的应用
安全性在无线网络中显得比在有线网络中更重要,用户只有在确认自己不会被欺骗后才会放心的去使用各种无线网络的服务,这其中最重要的就是要鉴别通信双方的身份。WAP协议是目前无线网络中主要的通信协议,这种协议的身份鉴别依靠数字证书来实现。身份鉴别可以在客户端(用户)和服务器(WAP应用提供商)之间进行,也可以在服务器允许的情况下,只由客户端鉴别服务器,服务器还可以要求客户端向服务器证明自己。
4.数字证书与电子邮件结合的应用功能
.保密性:通过使用收件人的数字证书对电子邮件加密,只有收件人才能阅读加密的邮件,这样保证在Internet上传递的电子邮件信息不会被他人窃取,即使发错邮件,收件人由于无法解密而不能够看到邮件内容。
.完整性:利用发件人数字证书在传送前对电子邮件进行数字签名不仅可确定发件人身份,而且可以判断发送的信息在传递的过程中是否被篡改过。
.身份认证:在Internet上传递电子邮件的双方互相不能见面,所以必须有方法确定对方的身份。利用发件人数字证书在传送前对电子邮件进行数字签名即可确定发件人身份,而不是他人冒充的。
.不可否认性:发件人的数字证书只有发件人唯一拥有,故发件人利用其数字证书在传送前对电子邮件进行数字签名后,发件人就无法否认发送过此电子邮件。
5.网络信息安全系统整体应用效果
网络信息安全系统与各种应用系统相结合,可以实现以下整体功能:
.为企业建立统一的信任域,解决同一用户在各系统中身份多样性和不统一的问题,实现企业范围内的统一身份认证,明确用户的真实身份。
.解决缺乏有效的信息应用、存储和传输的保护手段,实现信息应用的可靠性、安全性、抗否认性。
.解决应用管理系统多而杂乱的问题,实现企业分权策略下的统一用户管理。建立统一策略下的用户、信息安全资源分级管理系统,实现集中而灵活的应用系统访问授权,解决用户和资源管理混乱,各自为政的问题。
.可以提高网络信息应用系统的可靠性、安全性、及抗否认性。
.实现企业网络信息安全管理制度化,形成自上而下的安全管理制度体系系统。
