[工程科技]网络信任体系任金强.pptVIP

网络信任体系 内 涵 中办发〔2003〕27号文: 明确提出“要建立协调管理机制，规范和加强以身份认证、授权管理和责任认定为主要内容的网络信任体系建设”。 三项功能 身份认证、授权管理和责任认定 解决的问题 你是谁？ 你能干什么？ 何时做过什么？ 技术基础 公钥基础设施——PKI技术，PKI是“Public Key Infrastructure”的缩写； 授权管理基础设施——PMI技术， PMI是Privilege Management Infrastructure的缩写； 审计技术等 PKI技术的意义 通过PKI可以构建一个可管、可控、安全的互联网络 通过认证机制，建立证书服务系统，通过证书绑定每个网络实体的公钥，使网络的每个实体均可识别，从而有效地解决了网络上“你是谁”的问题 通过PKI可以在互联网中构建一个完整的授权服务体系 PKI通过对数字证书进行扩展，在公钥证书的基础上，给特定的网络实体签发属性证书，用以表征实体的角色和属性的权力，从而解决了在大规模的网络应用中“你能干什么”的授权问题。 通过PKI可以建设一个普适性好、安全性高的统一平台 PKI遵循了一套完整的国际技术标准，可以对物理层、网络层和应用层进行系统的安全结构设计，构建统一的安全域。 PKI的体系结构 认证机构CA（Certificate Authority） CA是PKI的核心执行机构，是PKI的主要组成部分，通常称为认证中心。 证书和证书库 密钥备份及恢复 密钥和证书的更新 证书历史档案 客户端软件 交叉认证 PKI的作用 负责为PMI系统、服务器、网络设备以及使用业务、管理业务系统的用户进行审核、签发、发布并管理其数字证书，证明其身份等服务。 PMI的体系结构 PMI 负责为网络中的用户进行授权，并审核、签发、发布并管理证明用户权限的属性证书。 PMI系统要管理信息资源和系统用户两大类业务，如：电子政务中的所有网页、GUI功能模块、数据库信息（包括表、字段、记录、角色、帐号、IP地址等）、服务器信息（命令、文件、目录、服务进程、帐号、工作组、IP地址等）、网络设备（帐号、命令、IP地址等）、等均被当作信息资源进行编码、分级等统一管理；系统的用户也被进行分组、分域、授权等管理。 PMI与PKI的关系 PKI是PMI的基础 PKI可以认为是为用户提供护照，它证明持有者的身份，有效期往往较长； PMI是PKI的扩展及补充 PMI则可以比作一个签证机关，为用户签证，它完全由另一个认证机关颁发，且有效期往往较短。 二者互相结合，实现网络信任体系的各项功能 电子政务应用的安全需求 信息的保密性 信息的完整性 信息的不可否认性 身份认证 访问控制 在电子政务中的应用 统一的授权管理与审计 电子公文安全分发系统的安全保障 政务信息安全传输系统 关键系统的安全认证与授权 移动办公 应用授权、审计 我们的工作 建设国家电子政务外网信任体系 CA互联互通示范工程——桥CA 国家电子政务外网信任体系 外网信任体系总体框架 总体设计原则 统筹规划，分步实施 统一标准，规范管理 保障安全，突出应用 整合资源，促进发展 安全、可靠 外网PKI总体结构 与已建政务CA之间的关系 针对一些部委、行业和地方都已先后建成了自己的一套独立CA系统的事实。国家政务外网信任体系建设除了按照统一管理、统一规划的思路，建立唯一的政务外网根CA和主CA之外，还必须面对现实，解决与已建或在建的各部委、各省市政务CA之间的互操作性。 提供几种不同的接入模式 通过桥CA模式，实现与已建政务CA之间的共存及信任关系，初步构建起完整的政务外网信任域； 在自愿的基础上，逐步过渡为电子政务外网的二级CA； 在电子政务外网运行CA之下，建设新的RA，为本部门或地方服务。 政务外网桥CA 政务外网桥CA作为一个独立CA，通过桥接技术，一方面与政务外网根CA建立起信任关系，另一方面将与已建的各个部委、省市政务CA之间建立信任关系，这种信任关系是对等的，允许各个CA保留各自的原始信任源。 桥CA职责：桥CA为已经建设的部委CA、省政务CA纳入电子政务外网信任体系服务，该CA的职责为通过与电子政务外网信任体系、已经建设的部委CA、省电子政务CA实现交叉认证，方便的把已经建设部委CA、省电子政务CA纳入到电子政务外网信任体系。 一期建设内容 CA互联互通示范工程 示范工程建设内容 建设桥证书认证中心（BCA） 实现与六家CA互联互通 完成互联互通技术标准规范的草拟、验证 应用系统接口的设计与实现 应用示范 体系结构 遇到的困难 国内相关技术处于空白状态，标准不统一，缺乏建设经验； 六家CA技术体系不同，成为实现互联互通巨大障碍； 六家CA地域分散，合作难度大； 在完成互联互通的