|
|
|
| 成果名称: | 网络应用安全平台WebST |
| 鉴定编号: | 2003017 |
| 完成单位: | 北京清华得实科技股份有限公司 |
| 所属领域: | 计算机 |
| 成果摘要: |
技术原理:WebST以安全中间件的形式存在,并提供相关安全功能。WebST采用横向安全服务模式,克服了纵向安全服务模式的弊端。纵向安全服务模式的安全功能实现介于应用系统与操作系统之间,以API程序接口形式为应用系统提供安全功能。因此,应用系统需要进行二次开发,通过API调用安全功能模块,来最后实现应用系统的信息安全保护。横向安全服务模式的安全功能实现介于应用客户端和应用服务器之间,以安全过滤器形式为应用系统提供安全功能。因此,无API程序接口,也不需要应用系统进行二次开发,而是通过对具有集中管理和分布控制功能的安全过滤器,按照应用的安全策略,进行安装和配置即可。该系统由安全认证服务器、安全控制服务器、安全管理服务器、安全管理控制台和安全客户端,以及用户注册数据库和授权策略数据库组成。WebST的工作过程如下:系统配置:系统管理员利用安全管理控制台通过安全管理服务器在用户注册数据库中建立用户帐号和资源目录,并根据应用的安全管理策略设置注册用户对被保护资源的访问权限。身份认证:当用户通过应用客户端访问应用系统,输入访问请求时,安装在应用客户端上的安全客户端软件捕获该请求,然后与安全控制服务器和安全认证服务器建立安全通道,利用安全通道完成身份认证的过程。首先要求用户提供必要的用户身份信息(如用户注册名/密码或数字证书),然后采用Kerberos V5(对称密钥技术)或PKI(非对称密钥技术)身份认证机制完成认证,并返回一个用户凭证。该认证过程既支持用户对服务器的身份认证,也支持服务器对用户的身份认证,即双向身份认证。访问控制:身份认证通过后,安全控制服务器得到来自安全认证服务器的用户凭证和来自安全客户端的访问请求。安全控制服务器查看授权策略数据库,决定用户是否具有对所请求资源的访问权限。如果有,则把该访问请求提交给后面的应用服务器,得到访问结果后,再通过安全通道返回给应用客户端。安全审计:上述系统管理员和用户的操作全过程均以日志文件的形式记录在案。
性能指标WebST的主要性能指标及其实现机制如下:
1、基于先进而成熟的分布式计算环境,具有集中管理和分布控制的功能。
2、参考ISO 7498-2等国际信息安全标准和GB/T 9387.2、GB/T 18336-2001等国家信息安全标准。
3、以完全独立于应用系统的横向安全服务模式与其集成,无需应用系统做二次开发。
4、支持在统一安全策略下对用户、资源、授权和审计进行管理。
5、同时支持基于公钥密码体制的PKI/CA(Public Key Infrastructure / Certificate Authority)数字证书和基于对称密码体制的Kerberos这两种身份认证方式,可单独使用也可组合使用,实现用户与资源的双向身份认证。
6、支持标准的X.509数字证书。既可以使用互联网上开放的数字证书,也能够使用北京数字证书认证中心(BJCA)等CA机构发放的个性化数字证书,完成身份认证、数据加密、数字签名等安全功能。
7、同时支持粗粒度和细粒度两种访问控制。粗粒度访问控制保护传统协议和软件(如FTP)下访问的资源,可控制到服务端口。细粒度访问控制保护Web协议和软件(即HTTP和HTML)下访问的资源,可控制到数据文件。
8、在控制对资源的访问上,具有比传统操作系统更丰富的权限类型。
9、除自身带有通用的加密算法之外,可以集成第三方提供的软硬件加密算法,支持硬件加密卡,包括核密、普密和商密。
10、支持基于消息认证码(MAC,Message Authentication Code)技术的数据完整性校验。
11、支持对HTML表单进行数字签名并归档,以此作为抗否认的证据。
12、在安全域中提供统一的资源名字空间,可以方便地进行资源目录查询。
13、提供记录警告和出错信息的日志文件,以及记录安全服务器活动的审计跟踪文件。
14、支持分级管理,可以实现管理权限分立的安全管理策略,避免超级管理员的存在。
15、具有安全功能复制机制,可以分布式地部署高可用性和高可靠性的安全系统。
16、提供可视化的、友好的、通用的管理控制台,易于管理员掌握和操作,便于实施集中安全管理。 |
| 鉴定意见: |
|
1.该平台由安全认证服务器、安全控制服务器、安全管理服务器、安全管理控制台、用户注册数据库、授权策略数据库和安全客户端组成,提供了身份认证、访问控制、数据机密性、数据完整性、抗否认、安全审计和安全管理等面向应用的整体安全解决方案。2.该平台采用横向安全服务模式,并提供了分级管理功能,可促进安全系统与应用系统的结合,降低结合过程中的安全风险。3.该平台在实现中采用了身份认证与授权访问分离技术,统一资源命名空间技术,稀疏ACL技术,安全复制技术等。4.该平台实施集中管理、分布控制,易于管理员掌握和操作。鉴定委员会认为,"网络应用安全平台WebST"产品定位明确、功能完备、性能稳定,已在有关单位实际应用。该平台技术处于国内领先水平、达到国际先进水平。同意该平台通过技术鉴定。建议加强市场推广工作。 |
|
|
| 版权所有: | 北京市科学技术奖励工作办公室 | | 通信地址: | 北京市西直门南大街16号 | | 办公地点: | 北京市西直门南大街16号北楼一层西侧 | | 电 话: | 010-66188227 010-66186832 010-66187932 | | 传 真: | 010-66187932 | | 邮 编: | 100035 |
|