PKI/CA体系建设的最终目的是为应用系统提供安全保障,新疆CA是一个面向全疆电子政务、电子商务应用的CA系统,作为全疆电子政务、电子商务认证中心,为全疆电子政务、电子商务应用系统提供安全服务的统一安全平台,新疆CA证书可以被应用到不同行业的不同应用中。新疆CA可以通过该安全平台实现跨行业应用的互联互通,即用户使用相同的设备和方法就能跨行业使用应用,实现对应用的统一安全管理。
应用系统在利用PKI机构提供安全服务时,往往要求用户提交访问该应用的特定用户属性信息,不同的应用所需要的用户属性信息可能是不同的。由于不同行业的应用系统所需要的用户属性信息是不同的,为了实现新疆CA证书这种跨行业应用,真正发挥新疆CA的作用,解决使用一张新疆CA证书登录不同应用的要求。新疆CA结合应用证书技术,扩展了传统的CA体系,提出了一种新型的CA信任体系架构,实现了“一证通”跨业务域应用的互联互通。该体系不仅能满足新疆CA对跨行业应用的要求,而且在今后的发展中可以通过扩展用户权限信息到应用证书中,提供PMI的功能。
“一证通”采用独立的应用证书来管理用户属性信息,应用需要的用户属性信息通过应用证书保存并发布,用户属性的验证不再由应用完成而是由认证网关通过验证用户的应用证书完成。通过颁发应用证书可以实现对用户使用不同应用的控制,它是对用户身份安全认证的一种补充,它将用户身份认证和对应用加载的灵活控制有机地结合在一起,在所有应用中实现了使用同一张证书完成对用户身份的安全认证的“一证通”。
新疆CA中心信任体系总体逻辑结构如下图所示:
点击查看大图
