安全卫士-电子政务身份认证技术

来源：计算机世界网作者：计算机世界网出处：巧巧读书 2007-12-15 进入讨论组

访问地址 http://www.qqread.com/net-saft/u386636.html

一个成功的电子政务项目的实施需要以业务规范化为前提，在此基础上还需要综合考虑安全与成本、保密与共享之间的平衡。只有将电子政务的安全重视起来，才有可能为电子政务的成功运行提供保障。

目前电子政务的安全重点已经由单纯的网络保护，发展到对电子政务网络中应用系统的安全防护上，包括应用系统安全认证、应用系统单点登录和应用系统资源的管理、授权与访问控制等。而除了常用的PKI技术外，目前还有许多新的技术可以被用来解决我国电子政务中应用系统的安全认证和访问控制问题。现列举如下:

权限管理基础设施(PMI)技术

PMI是属性证书、属性权威、属性证书库等部件的集合体，用来实现权限和证书的产生、管理、存储、分发和撤销等功能。X.509定义的属性证书框架提供了一个构建权限管理基础设施的基础，这些结构支持访问控制等应用。

单点登录(SSO)技术

SSO的机制就是在电子政务网络用户访问政府网站时作一次身份认证，随后就可以对所有被授权的网络资源进行无缝访问，SSO可以提高网络用户的工作效率，降低系统出错的几率，但是比较难于实现。

安全声明标记语言（SAML）

从当前的的技术走向来看，SAML技术是具备解决授权问题的明星技术。SAML是由OASIS组织（高级结构化信息标准组织）批准，基于XML的安全访问控制框架体系和协议。在SAML框架下，无论用户使用哪种信任机制，只要满足SAML的接口、信息交互定义和流程规范，相互之间就可以无缝地结合。SAML规范的完整框架及有关信息交互格式与协议使得现有的各种身份鉴别机制（PKI、Kerberos、口令）、各种授权机制（基于属性证书的PMI、ACL、Kerberos的访问控制）通过使用统一接口实现跨信任域的互操作，便于分布式应用系统的信任和授权的统一管理。

可扩展的访问控制标记语言（XACML）

该语言通过提供能够表现权限认证策略的统一语言，从而可以在各种授权管理产品之间实现互联。由于它具有可以适应大规模集成环境的灵活性和功能，因此可能成为新一代授权管理产品的标准。

在多种环境以及不同供应商的产品中采用统一的策略是实现高安全性的关键，由于XACML组合了传输访问申请人属性的机制，因此可以应用于Web服务／J2SE等电子商务环境的访问许可基础设施中。

可扩展标记语言/简单对象访问协议（XML/SOAP）

SOAP利用XML来包装程序的请求和响应，由于采用了XML的优点，可以轻易使用HTTP、SMTP等网络上最常用的通信方式来携带，更可以穿越政府防火墙，还可以通过SSL、S/MIME等机制加密，安全性高。另外，由于SOAP是个标准文字格式，所以它具备程序语言和操作平台的独立性，这正是Web服务时代所需要的特征。