应用系统用户可信认证管理的利器：安信天元统一用户信息管理和接

1、应用系统用户可信认证管理的利器:安信天元应用系统统一用户信息管理和统一身份认证完整解决方案一、解决方案要解决的问题随着网络信息化普及程度的提高,企业都建设了各种应用系统,例如邮件系统、办公业务系统、门户网站等,网络架设、信息系统建设给这些企业带来了很多便利,如上传下达、资源共享、办公自动化以及方便的信息传递等等,极大地提高了工作效率。但是随着封闭系统的开放化程度提高,越来越多的信息安全问题也同时浮现出来。企业没有建设应用系统安全可信认证平台,会存在如下众多严重问题和安全风险:1、身份认证风险和问题:口令简单,身份假冒传统的口令认证方式极易被猜测、非法获取或截获,假冒身份非法访问信息系统,导致机

2、密信息泄露,或破坏信息系统,使系统运行不正常。口令繁多随着信息技术和网络技术的迅猛发展,单位内部的应用系统越来越多,由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。2、信息无法共享,形成信息孤岛各个应用系统用户身份信息内容和数据格式不统一,没有统一的用户身份信息,无法进行信息共享,无法实现互连互通用户在所有应用系统中都存在用户信息,而由于对用户信息的管理没有统一的规划设计,造成一个用户在多个应用系统中有不同的用户信息,信息重复且不准确,用户管理十分繁琐,没有统一共享的用户信息,造成许多共享资源信

3、息系统无法向更多的用户开放,或无法确认用户可信的身份,共享信息系统的价值不能体现出来。同时,由于应用系统建设单位不同、设计思路不同,所以各应用系统中的用户信息存储在异构的操作系统上(Windows, UNIX,LINUX,以不同的数据格式存储(Oracle, SQL Server, MySql, LDAP,而且数据结构不同,这些信息不能共享,形成信息孤岛。3、数据安全风险缺乏完整性不能确保文件是真正的原文,是否被无意或是恶意的篡改,在内容和长度上与原始数据是否保持一致。缺乏数据来源的真实性和不可否认性发送方在送出文件后,可以否认他曾送出这份文件。不能够确认文件的来源,确实是传送者本人,不是被别

4、人伪造的。4、实现安全策略的方法风险用户需要的这些安全策略,应用系统开发商并不知道如何去实现这些安全策略。让原来的应用系统开发商去完成这些工作,由于他们对安全并不熟悉,会大大增加开发周期,或不能设计出符合信息安全要求的安全解决方案。例如,应用系统开发商在验证用户的签名时,可能只知道验证了值的签名,而对证书没有有效验证,或者证书登录只是提交了一个证书,没有做别的操作,相对用户名、口令反而降低了应用系统的安全强度。二、系统构成USBKEY三、系统功能以PKI为基础,基于公开密码体系,完成信息的保密性、完整性、不可否认性和身份认证功能;为应用系统开发商提供一个调用简单、安全可靠的密码安全子系统,简化

5、应用系统开发商的开发难度;完成用户的统一管理和统一认证,提供一个安全可靠的认证服务和平台。同时自带一个独立的认证管理系统(CA,帮助用户进行证书管理和密钥管理。应用系统开发商不必了解密码技术、复杂的PKI协议,通过调用基础密码安全服务提供的简单的API函数就可以为应用系统提供密码安全保护,增强应用系统的安全性。认证管理中心CA:管理数字证书和加密密钥(PKI CA公钥基础实施,管理用户数字证书、证书吊销列表和加密公私钥对。 用户管理:从CA获得基本用户信息,并分解成用户所在的行政区划、单位信息,配置用户所属部门、职务、岗位、级别、组织机构代码(身份证号码、级别、秘密等级等用户信息。单点登录系统

6、:实现统一身份认证,对用户登录应用系统进行基于PKI密码技术的强认证。数字签名服务:进行业务数据数字签名应用安全服务,确保业务数据和文档的真实不可否认性,防止对业务数据的篡改。四、系统特点1、方案的综合完整性特点本方案从用户的整体安全性需求上出发,考虑到涉及应用系统安全的方方面面,通过认证、签名、加密等措施保护应用系统的安全,站在一个完整的角度指导用户的安全建设,而不是简单的罗列一些零零碎碎的安全产品。本方案的最终目的要引起用户在系统安全建设方面的思考,综合各方面的因素来给目前和将来的系统安全制定一个可持续性发展的建设策略,能在业务系统发生安全故障之前未雨绸缪,尽可能在当下条件允许的情况下建立

7、起一个综合的密码安全服务支撑平台和完善的安全保障体系。2.安全特点:1产品经过国密办鉴定。2真正的基于密码技术的双向强身份认证,不管是客户端还是服务端都是通过硬件密码设备来产生随机数、计算摘要、签名和验签。3屏蔽复杂的密码安全技术,不需要应用开发商再去学习密码安全知识,在集成上不存在任何安全上的缺陷。4支持与第三方CA的对接。5硬件密码设备的无关性。6客户端密码安全服务组件,用户终端无缝集成。7支持多重签名、可识别签名属性、多重加密、带算法标识的数字信封规范。8认证管理和应用密码安全服务一体化。9与密码技术的无缝集成。公司作为一个开发安全系统多年的产商,对于如何在应用系统中集成密码安全技术有多年的经验。所有产品方案都实现了与密码技术的无缝集成。3.使用特点:安信天元公司在电子政务领域扎根多年,对用户的安全需求有很深入的理解,开发完善了一整套适合于用户安全需求的系统。(1友好性。系统适于企事业单位办公人员的使用习惯。(2易用性。在保证满足业务安全的前提下,尽量减少用户的操作复杂度。(3适用性。系统适合包括企业、金融、电子政务等在内的各个领域。(4可靠性。保证系统的安全可靠性。(5标准性。系统符合国际及国家的相关标准。4.技术特