科博安全认证平台.docVIP

科博安全认证平台 （CopSap） 技术白皮书 中铁信息工程集团 中铁信安（北京）信息安全技术有限公司 2004 年 5 月 目录 1. 应该做点什么 3 2. CopSap为您排忧解难 4 3. CopSap组成 4 4. CopSap功能描述 6 CopSap身份认证功能 6 CopSap访问控制与权限管理 7 CopSap单点登录功能 7 5. CopSap基本工作流程 8 用户申请 8 用户激活 9 用户认证 9 6. CopSap特点 10 7. CopSap技术指标描述 12 身份认证 12 安全数据库 12 性能指标 12 API 13 可扩展性 13 8. CopSap应用 13 9. CopSap典型应用案例 13 9.1. 北京市信息资源管理中心 13 9.2. 深圳市工商局 15 9.3. 深圳市财政局 16 10. 联系我们 17 应该做点什么 随着社会信息化程度不断提高，人们生活越来越依赖于网络。以Internet为代表的信息网络必将在２１世纪成为人类生产、生活、生存的一个基本方式。飞速发展的网络互联技术诱发的无限商机、社会需求和政治需求正受到了整个社会的关注。商务电子化、政务电子化、办公自动化掀起的热潮，引起了人民生活方式、生产方式和思想观念的巨大变化。2000年，中共中央十五届五中全会提出：以信息化带动工业化，实现跳跃式发展。北京市委八届六中全会和今年初的北京市电子政务工作会议则进一步提出：在全国率先实现政务信息化，带动社会与经济发展的信息化。这反映了党和国家对信息化社会主义建设的充分认识和肯定。然而人们在享受信息化所带来的方便性和高效性的同时，也不得不承受由此带来的潜在安全威胁。 要避免这些问题，首先需要解决的就是网络通信中的身份认证问题。身份认证是提供其他安全服务的基础。如果不能提供准确的身份认证服务，密钥管理、数据加密等等安全服务将成为空中楼阁。 需要为用户解决的第二个问题是用户使用网络信息系统的方便性问题。身份认证固然重要，但不要因为身份认证而损害系统使用的方便性。目前一个突出的问题是各个应用系统都具有自己的身份认证方式。用户为了使用这些系统，需要记忆不同的用户名、口令，或者携带这样那样的身份卡。因此，需要找到一种方式，能够将系统中纷繁复杂的认证方式统一起来，使得用户能够一次性身份认证以后，能方便访问网络资源。 在系统中应用类型各有不同。有很多应用都需要完成额外的安全服务。如安全电子邮件，可能需要对邮件进行签名和加密。如何为这些应用提供一个方便的安全运行基础环境变得十分重要。正如在日常生活当中，用户打开水龙头就能得到自来水煮饭烧菜，如何能够在各种应用需要的时候，提供安全服务所需要的密钥，并能使应用系统方便获取密钥的有效性及其他相关属性信息是我们值得解决的另一个具有意义的事情。 CopSap为您排忧解难 CopSap平台是中铁信安（北京）信息安全技术有限公司自行研制、开发的集身份认证、访问控制和权限管理于一体的安全基础平台。另外，CopSap平台还具有单点登录（SSO）机制。 身份认证作为应用系统或网络访问的第一层的最基本的安全机制，起到了至关重要的作用，它为后续的应用提供了可信的身份属性。正是因为这样，CopSap利用高强度的身份认证机制保证认证主体的真实性，成功的解决了应用系统的安全认证要求。一般的认证系统只解决了用户的认证问题，往往不涉及后续应用的访问控制等一系列的问题。即只解决了告诉系统用户是谁，但没有提供用户能干什么的问题。CopSap平台利用用户属性数据库的概念，解决了用户的基于角色的访问控制。 CopSap平台利用用户属性数据库、门户网站、USB Key，成功实现了基于SSO的认证机制。 利用CopSap平台，可以保证应用及网络环境的认证安全；可以保证系统有效的访问控制机制；可以提供安全、高效的单点登录机制，免去复杂的登录工作。 CopSap组成 CopSap系统的组成结构见下表： CopSap服务器由以下部分组成： CopSap认证服务器：负责完成用户认证； CopSap应用服务器：负责与认证服务、管理服务通讯，获取请求并与直接访问数据库，完成请求； 存放用户身份信息、角色信息、应用系统认证信息等，保证应用的访问控制及SSO机制的实现。 CopSap用户管理：用户申请、确认、USB分发，用户注销、更新等； CopSap用户角色管理：维护CopSap用户在应用中的角色信息，维护角色映射机制，完成用户角色的自动转换功能等； CopSap应用认证管理：维护CopSap系统支持认证的应用系统信息，CopSap用户在各个应用中的认证信息等。 CopSap客户端包含两部分： CopSap认证客户端：客户端COM对象，完成用户的安全认证； CopSap单点登录客