基于PKI/PMI技术的信任体系建设方案

　　基于PKI/PMI技术的信任体系建设方案

　　-----认证、授权、责任认定

　　关键字：身份认证　授权管理

　　方案提供商：吉大正元

　　背景描述：

　　随着政府信息安全工作的不断开展，网络信任体系作为信息化安全保障体系的一项基础性工作，也越来越受到重视。中办发2002年17号文件提出“建立电子政务信任体系，加强关键性安全技术产品的研究和开发”；中办发2003年27号文件进一步强调“加强以密码技术为基础的信息保护和网络信任体系建设”；国信办2006年2号文件对信任体系提出了明确要求，“完善密钥管理基础设施，充分利用密码、访问控制等技术保护电子政务安全，促进应用系统的互联互通和信息共享”；国家密码管理局2007年2号文件直接将电子政务网络信任体系提升为信息安全基础设施的高度，提出总体规划要求。总体上看来，建设网络信任体系主要解决如下三个方面的重点和难点问题：

　　1。身份认证问题。电子政务信息化的应用种类繁多，业务系统的身份认证方法也各式各样，但是总体上都存在认证强度不够，认证机制不统一的问题，急需一种高强度的身份认证机制来统一用户在网络上身份的唯一性。

　　2。授权管理问题。由于业务应用系统开发的时间，开发厂商的技术水平以及解决的业务问题均不尽相同，在客观上也就造就了授权模式的分散和不统一，以及授权管理安全强度不均的情况，给防止越权访问带来了难题。

　　3。责任认定问题。责任认定涉及事后追查，业务操作自身的真实性，以及业务数据的防篡改性多方面的安全问题，需要多方位多层次的技术手段保障，现有的方法大都存在安全强度不够的问题。

　　解决方案：

　　吉大正元公司长期致力于关信息安全技术的研究，通过长期的项目经验制定了一套基于PKI/PMI技术的网络信任体系解决方案，通过对认证、授权、责任认定相关安全技术的融合，以“三位一体”的方式直接满足政府对信息化对网络信任体系的需求，解决了建设过程中的重点和难点问题。

　　1。通过PKI/CA系统为应用系统的所有用户颁发网络身份，由于该系统才有了高强度的非对称密码技术和数字证书技术，使得用户网络身份的安全性和唯一性得到了保障；而集中认证服务技术则为面向业务应用的融合提供了方便之门。

　　2。通过用户授权服务，为所有的业务应用系统提供集中的授权管理平台，统一和兼容不同业务的授权管理模式，同时通过采用PMI的架构，依托属性证书的技术，提高了权限的安全强度。

　　3。通过证书行为审计和签名服务，既从全局角度对用户访问行为进行宏观统计分析，同时又从微观的业务操作行为自身进行防篡改等设计，全方位提高了责任认定强度。

方案架构图

　　方案优势：

　　吉大正元公司基于PKI/PMI技术的网络信任体系建设方案在解决政府信息安全问题的过程中具备如下优势：

　　1。高强度安全技术依托。PKI和PMI技术都是国际和国内信息安全领域中到目前为止安全强度最高的技术，吉大正元公司则是国内在该技术领域中技术储备最深的公司之一，从事解决该类问题的项目多达数百个，有丰富的工程经验。

　　2。“三位一体”的集成化信任体系。通过将多种安全技术进行融合，方案从内容上涵盖身份认证、授权管理、责任认定多个层面，为信息安全保障提供整体性的解决方案。

　　3。多层次的责任认定机制。除了集成化的解决方案外，在具体问题的解决上，为管理者和应用系统提供了不同层次的责任认定技术和手段，方便领导者从不同粒度上进行责任认定管理。