安全支撑层是在基础设施层之上所形成的面向应用的安全服务层,主要完成安全基础设施的服务提供及延伸服务。其主要功能包括认证、授权、责任认定、身份管理、属性管理、及数据签验等服务。可对应用系统进行“零开发”支持,也可通过HTTP Header、Session、XML、Webservice等标准协议、报文或服务为上层应用提供支持服务。安全支撑层可为上层应用提供丰富的、灵活的、标准化的技术支持,同时可使用户摆脱以往基于PKI /PMI私有API接口进行应用开发的局限性和束缚性。
应用安全层则是由安全应用和应用安全共同组成的。安全应用是指基于1、2层安全技术开发的直接可供使用的安全应用。它们包括基于密码技术的主机防护及文件保险箱类应用,基于文件级的文档保护类应用及基于数据级签名服务的数据签验类应用。而应用安全则是指我们传统的WEB、Portal、MIS、BI、ERP、GIS等各类应用系统,应用在底层的技术所提供的支持进行应用改造,通过调用各种算法及接口,而使其成为具有高强度的认证、授权、责任认定及数据防护能力的安全应用。
从而,通过上述三个层次的系统建设,使我们的信息系统真正做到从用户到网络到服务、从人到系统到数据、从数据的产生到传递到存储,全过程、端对端的可信、可控。只有可信基石的强壮及稳固,我们的其它信息安全设施才能找到其可靠的基础。
4.3 可信应用安全架构作用
通过可信应用安全架构体系的建设可为信息系统带来以下好处:
1、可信身份提供: 主要通过PKI技术解决“你是谁?”的问题。彻底解决原来用户名、口令、IP、MAC易假冒、易劫持的问题,为用户、单位、岗位、服务器提供各类高强度的可信身份。
2、有效访问授权:主要通过PMI技术,为网络对象提供权威的、防篡改、抗抵赖的、高强度的对象属性、应用操作码等属性权威,以完成“你能做什么?”的可信授权。可支持支持包括RABC和ABAC在内的多种授权方式。
3、抗抵赖:通过数据签名技术,采用用户私钥对行为数据或挑战数据及时间数据进行签名从而达到抗抵赖的目的。结合用户数字证书进行全程数据审计,任何行为或动作皆可定位到人。可信解决”你做了什么?”的问题。
4、数据完整及保密:通过隧道加密、数据签名及数字信封从信道层到数据层全方位保护数据的完整及保密性。
5、安全合规:上述认证、授权、抗抵赖及数据防护均是建立在数字证书、数据签名的安全体系支持之下完成,可充分满足《电子签名法》及《企业内控》的相关要求。
从而,通过上述服务及功能的提供真正建立起信息系统的:可信身份、可信授权、可信数据和可信审计。充分保证信息的保密、完整及可信控制下的可用。
5、结语
计算机、通信、网络构筑了虚拟空间,建立了数字社会,解放了生产力,促进了社会的发展。传统的网络安全建立并维护了基本的安全秩序。但可信的网络身份以及基于可信身份基础之上的可信授权、可信审计及可信数据防护却成了当前信息安全体系中的薄弱环节。基于密码技术的PKI、PMI及构建于其之上的安全应用支撑平台在可信身份、可信授权、可信审计及可信数据防护上为我们提供了一种好的框架及选择。在病毒、蠕虫肆虐,安全失泄密事件频发的的今天,以密码算法为核心,具有自主知识产权的认证、授权、责任认定及数据保护技术及产品必将在中国新一轮的信息化建设浪潮中发挥其应有的作用。