1. 產(chǎn)品簡(jiǎn)介
SID強身份認證系統是北京時(shí)代億信公司根據企業(yè)內業(yè)務(wù)系統的安全需求,為企業(yè)級用戶(hù)提供一套強身份認證解決方案。系統自帶企業(yè)級CA證書(shū)中心,極大的降低了用戶(hù)應用CA技術(shù)的成本,同時(shí)提升了管理員的工作效率。
它綜合雙因素、硬件令牌、簽名驗簽技術(shù),能夠在應用系統的登錄認證、敏感關(guān)鍵業(yè)務(wù)操作、應用保護等環(huán)節提供身份的安全識別保障。采用CA數字證書(shū)和數字簽名等技術(shù)進(jìn)行身份識別,將代表用戶(hù)身份的數字證書(shū)和相應的私鑰存儲在USB接口的智能卡中,私鑰不出卡,保證了唯一性和安全性。認證時(shí),由SID客戶(hù)端組件完成數字簽名和加密,敏感信息以密文形式在網(wǎng)絡(luò )中傳輸,具有更高的安全性,從而解決了網(wǎng)絡(luò )環(huán)境中的用戶(hù)身份認證問(wèn)題。
產(chǎn)品可解決的問(wèn)題
SID強身份認證系統主要為用戶(hù)解決如下問(wèn)題:1) 為企業(yè)應用系統的提供基于USB智能卡的安全身份認證服務(wù)。基于系統內置的企業(yè)級CA平臺,利用存儲于USB智能卡的PKI證書(shū)可以有效改善傳統字符串口令的可傳播以及可重放破解的弱點(diǎn)。作為企業(yè)認證中心的SID強身份認證系統則在此基礎上可以為企業(yè)內業(yè)務(wù)系統提供統一的用戶(hù)認證服務(wù)。
2) 用于提升關(guān)鍵操作的安全性(用戶(hù)關(guān)鍵操作要求額外認證),基于USB智能卡的簽名驗簽。接入SID系統的業(yè)務(wù)系統可以在用戶(hù)進(jìn)行某些關(guān)鍵操作,如發(fā)送合同時(shí),要求用戶(hù)再次通過(guò)USB智能卡驗證身份,從而確保該用戶(hù)的身份不會(huì )因為臨時(shí)離開(kāi)座位或其他原因導致錯誤執行的關(guān)鍵操作。
3) 建立安全認證中心,作為安全基礎設施,為企業(yè)內眾多的應用系統提供基于PKI的統一身份認證憑證。
功能組成
圖1: SID強身份認證系統服務(wù)端功能組成圖
SID強身份認證系統在應用中分為兩部分,分別是:SID強認證系統服務(wù)端和認證組件。
如圖1所示,SID系統的服務(wù)端主要分為:管理員平臺,ETCA證書(shū)中心,用戶(hù)登錄入口、外部系統認證接口、底層服務(wù)四部分組成。
底層服務(wù):包括解密驗簽服務(wù)與CA證書(shū)服務(wù)兩部分。解密驗簽服務(wù)對用戶(hù)登錄時(shí)提交的登錄憑證進(jìn)行驗簽和解密,并將關(guān)鍵信息返回給SID系統的用戶(hù)認證模塊;CA證書(shū)服務(wù)則用來(lái)申請、吊銷(xiāo)用戶(hù)證書(shū)。
管理員平臺:SID系統的管理平臺為用戶(hù)提供基于三員分立的管理員管理規范,為使用戶(hù)可以更明確的、更便捷的管理SID系統,本系統還提供分級管理員管理功能。管理員可以在本平臺可以進(jìn)行下列工作:
* 統管理員主要負責配置系統基本參數、用戶(hù)帳戶(hù)和組織機構的管理、業(yè)務(wù)系統管理以及用戶(hù)日志審計。
* 安全管理員:管理用戶(hù)證書(shū)、配置業(yè)務(wù)系統接入信息以及制定其他安全策略。
* 系統審計員:審計系統管理員操作日志、審計安全管理員操作日志。
管理員平臺在功能上分為如下部分:
* 系統配置:系統全局類(lèi)功能的配置,可以設置系統安全策略、進(jìn)行根證書(shū)和服務(wù)器證書(shū)配置設置全局性策略等。包括服務(wù)器配置、功能配置、證書(shū)配置、用戶(hù)訪(fǎng)問(wèn)策略、日志配置、用戶(hù)界面配置。
* 用戶(hù)管理:對組織機構、用戶(hù)、用戶(hù)證書(shū)的管理。包括組織機構管理、用戶(hù)管理、用戶(hù)屬性管理、用戶(hù)證書(shū)管理。
* 身份認證管理:配置系統可以使用的認證方式,及每種認證方式的認證策略。包括認證方式配置、一次性口令用戶(hù)管理。
* 應用系統管理:配置使用SID強身份認證系統的業(yè)務(wù)系統的基本信息。
* 應用系統接入管理:配置各業(yè)務(wù)系統的認證、接入方式及相關(guān)參數。
* 日志審計:對管理員操作、用戶(hù)認證、用戶(hù)單點(diǎn)進(jìn)行詳細的日志記錄。包括訪(fǎng)問(wèn)統計、系統日志、管理員日志。
* 系統管理:系統CPU、內存監控,系統備份、還原等操作。包括系統監控、備份還原、恢復出廠(chǎng)配置、CA管理。
用戶(hù)登錄入口:SID強身份認證系統的用戶(hù)登錄入口可以為用戶(hù)提供身份認證服務(wù),經(jīng)過(guò)管理員配置后,用戶(hù)可以通過(guò)此入口進(jìn)入設定的業(yè)務(wù)系統。
外部系統認證接口:SID強身份認證系統為外部系統提供的認證接口。實(shí)現SID系統提供的“應用系統認證接口A(yíng)PI”后,用戶(hù)在業(yè)務(wù)系統中進(jìn)行登錄和關(guān)鍵操作驗證時(shí),提交的認證信息會(huì )經(jīng)過(guò)“認證組件”的加密和簽名處理,經(jīng)過(guò)處理的登錄信息則會(huì )被業(yè)務(wù)系統通過(guò)API提交到SID系統的外部認證接口。
收到經(jīng)過(guò)加密、簽名處理后的認證信息時(shí),解密驗簽服務(wù)對用戶(hù)登錄時(shí)提交的登錄憑證進(jìn)行驗簽和解密,并將關(guān)鍵信息返回給SID系統的用戶(hù)認證模塊。用戶(hù)認證模塊則根據關(guān)鍵信息鑒定用戶(hù)的登錄請求是否有效以及身份驗證是否成功。
ETCA證書(shū)中心:
SID產(chǎn)品內置一套綜合的企業(yè)級證書(shū)管理系統(ETCA),可用于數字證書(shū)的申請、審核、簽發(fā)、注銷(xiāo)、更新和查詢(xún),頒發(fā)的數字證書(shū)格式嚴格遵循X.509v3規范,具有廣泛適用性和良好的擴展性。通過(guò)使用該系統,可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的CA中心。通過(guò)使用ETCA發(fā)行的數字證書(shū)可以為用戶(hù)提供信息安全的全面服務(wù):
保密性 — 保證信息是秘密的
完整性 — 能檢驗信息未被篡改
身份鑒別 — 檢驗個(gè)人或機構的身份
不可否定性 — 確保信息或操作不能被否認
ETCA應用國際先進(jìn)技術(shù),采用高強度的加密算法、高可靠性的安全機制及完善的管理及配置策略來(lái)保障整個(gè)系統的安全、可靠的運行。
ETCA系統完全遵循PKI及相關(guān)標準,這樣有利于與其它廠(chǎng)商的產(chǎn)品實(shí)現互連,增大證書(shū)的適用范圍。
客戶(hù)端組件:如圖2所示,SID的客戶(hù)端組件的主要功能包括讀取USB智能卡內的證書(shū)信息、對認證信息進(jìn)行加密、簽名操作、監控USB智能卡的連接狀態(tài)以及對USB智能卡執行PIN碼安全策略。
圖2: SID客戶(hù)端組件功能流程示意圖
工作原理
SID強身份認證系統是新一代的應用系統強身份認證產(chǎn)品,可配置多種認證方式,為應用系統提供強身份認證服務(wù)。同時(shí),內置的ETCA證書(shū)中心還可使SID成為企業(yè)CA中心,為用戶(hù)提供證書(shū)申請、證書(shū)審批、證書(shū)簽發(fā)及證書(shū)認證等功能。
圖3: SID工作原理示意圖
SID系統的設計理念,是使現有各類(lèi)業(yè)務(wù)系統通過(guò)簡(jiǎn)單的改造后,都可以使用SID系統作為強身份認證中心,為用戶(hù)提供USB智能卡認證或其他強身份認證方式。
在強身份認證方面,利用客戶(hù)端組件對用戶(hù)證書(shū)數據進(jìn)行“非對稱(chēng)加密+用戶(hù)私鑰簽名”的安全封裝后以及增加系統隨機數進(jìn)行重放攻擊保護。使認證數據即使傳輸在明文HTTP協(xié)議下依然可以保證認證信息的安全性和唯一性。
服務(wù)端在收到加密后的登錄信息后,需要經(jīng)過(guò)解密以及驗簽后,才會(huì )使用處理后的關(guān)鍵信息進(jìn)行用戶(hù)身份驗證。
產(chǎn)品優(yōu)勢
* 擁有安全、穩定的強身份認證技術(shù)* 內置企業(yè)級CA證書(shū)中心
* 用戶(hù)屬性與證書(shū)管理無(wú)縫結合
* 提供API,降低業(yè)務(wù)系統接入難度
* 作為強身份認證中心,為業(yè)務(wù)系統提供標準的接入認證服務(wù)
* 符合相關(guān)安全規定,支持SM2橢圓曲線(xiàn)密碼算法、管理員三員分立、智能卡PIN碼安全策略
* 靈活的擴展認證接口,便于支持其他強身份認證手段
2. 產(chǎn)品功能特點(diǎn)
強身份認證的安全特性
SID強身份認證系統將系統帳號以USB智能卡的形式存在于真正的用戶(hù)手中,有賴(lài)于“加密簽名”和“解密驗簽”的信息交互機制,使之成為該用戶(hù)在各業(yè)務(wù)系統中唯一的身份標識,只有持有智能卡的用戶(hù)才能登錄業(yè)務(wù)系統、處理關(guān)鍵信息。并且,智能卡在所有業(yè)務(wù)系統中的信息是一至的。使用SID系統進(jìn)行用戶(hù)身份驗證時(shí),用戶(hù)無(wú)需擔心智能卡信息的安全性和正確性。SID身份認證組件在獲得智能卡信息后會(huì )自動(dòng)將用戶(hù)證書(shū)信息以及隨機數進(jìn)行組合,并對其進(jìn)行非對稱(chēng)加密以及用戶(hù)證書(shū)簽名。用戶(hù)向SID系統提供的認證信息全程都被這種安全措施保護著(zhù),保證了用戶(hù)認證信息的惟一性、安全性,同時(shí)也從機制上阻止了破解與重放攻擊的安全隱患。
圖4: 認證信息傳遞示意圖
在網(wǎng)上辦公環(huán)境中,SID強身份認證系統將USB智能卡作為用戶(hù)的唯一標識,當用戶(hù)移除智能卡時(shí),SID的身份認證組件會(huì )自動(dòng)監測到用戶(hù)智能卡的移除事件,此時(shí)認證組件會(huì )給出重新連接智能卡的提示,在有效時(shí)間內仍未檢測到智能卡或用戶(hù)確認移除智能卡時(shí),身份認證組件會(huì )自動(dòng)將用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統的瀏覽器強行關(guān)閉。使用戶(hù)無(wú)需擔心移出智能卡但沒(méi)有關(guān)閉瀏覽器時(shí)會(huì )被其他人非法使用的情況。
圖5 無(wú)USB智能卡拒絕訪(fǎng)問(wèn)應用
SID強身份認證系統在為用戶(hù)提供身份認證的同時(shí),還為用戶(hù)提供“關(guān)鍵操作驗證”服務(wù)。當某用戶(hù)需要執行下發(fā)公文、上報合同這類(lèi)“關(guān)鍵業(yè)務(wù)操作”時(shí),業(yè)務(wù)系統可以要求用戶(hù)再次輸入智能卡PIN碼,并將確認信息提交到SID系統中進(jìn)行身份確認,以防止用戶(hù)誤操作或非授權執行操作。
應用快速接入
用戶(hù)部署SID強身份認證系統后,業(yè)務(wù)系統只需經(jīng)過(guò)簡(jiǎn)單的改造就可以使用該系統作為統一認證中心使用。在常規模式下,業(yè)務(wù)系統使用SID提供的認證API對認證模塊進(jìn)行改造即可。具有改造工作量小、實(shí)施快速和不影響業(yè)務(wù)系統整體運行流程的特點(diǎn)。如圖6所示,用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)系統的主要流程與改造前一至,使用USB智能卡登錄業(yè)務(wù)系統改造后的智能卡登錄,業(yè)務(wù)系統將加密簽名后的用戶(hù)認證信息通過(guò)“接口A(yíng)PI”直接提交到SID強身份認證系統進(jìn)行身份驗證,并根據SID系統返回的信息對用戶(hù)進(jìn)行鑒權,從而完成用戶(hù)認證流程。在這個(gè)過(guò)程中,用戶(hù)的使用流程方式不會(huì )因系統改造而改變。
圖6: API接口認證接入方式
在企業(yè)辦公網(wǎng)絡(luò )不斷建設的過(guò)程中,可能有些業(yè)務(wù)系統已經(jīng)沒(méi)有后續開(kāi)發(fā)和改造支持了。SID系統為這些不具備改造條件的業(yè)務(wù)系統提供了另一種認證接入方式。
如圖7所示,該方式基于“Cookie賦權,業(yè)務(wù)系統鑒權 ”的工作模式。用戶(hù)在使用業(yè)務(wù)系統時(shí),首先需要登錄到SID強身份認證系統中,完成登錄后,SID系統會(huì )將用戶(hù)的登錄信息保存在Cookie中,然后將瀏覽器跳轉到目的業(yè)務(wù)系統,目的業(yè)務(wù)系統檢測到用戶(hù)Cookie后,利用自身的鑒權機制對用戶(hù)登錄信息進(jìn)行鑒權,從而完成身份認證和訪(fǎng)問(wèn)鑒權的用戶(hù)登錄流程。
圖7: 基于Cookie的賦權轉發(fā)
利用上述兩種接入方式,用戶(hù)在部署SID系統后,可在極短的時(shí)間內完成業(yè)務(wù)系統改造,快速接入并使用SID系統提供的強身份認證服務(wù)。
內置ETCA企業(yè)級CA
SID強身份認證系統內置了一套名為“ETCA”的CA證書(shū)中心,當用戶(hù)部署SID強身份認證系統后,用戶(hù)也就擁有了一套企業(yè)級CA證書(shū)中心。增加一套系統并不會(huì )增加管理員的工作量,經(jīng)過(guò)SID系統的無(wú)縫集成后,管理員可以在SID的管理平臺中完成所有與證書(shū)有關(guān)的操作。
安全管理員能夠在用戶(hù)管理中實(shí)現用戶(hù)證書(shū)的申請、下載、重新申請、吊銷(xiāo)等操作。
同時(shí),為了兼容已有業(yè)務(wù)系統中的用戶(hù)信息,SID系統提供的用戶(hù)導入功能配合CA證書(shū)中心使用后,可在非常短的時(shí)間內為已有用戶(hù)完成證書(shū)申請工作。
完成證書(shū)申請的用戶(hù),可以通過(guò)管理員在SID管理平臺中將證書(shū)灌制到USB智能卡后發(fā)給用戶(hù),或者由用戶(hù)在指定頁(yè)面通過(guò)授權碼自助灌制。
內置驗簽服務(wù)模塊及開(kāi)發(fā)API
SID強身份認證系統作為企業(yè)級強身份認證的整體解決方案,在系統內集成了一套簽名、驗簽服務(wù),用戶(hù)無(wú)需單獨購置。簽名驗簽服務(wù)作為SID強身份認證系統的核心組件之一,負責對客戶(hù)端提交的用戶(hù)認證信息進(jìn)行解密、驗簽、重放驗證等處理,并將處理后獲得的關(guān)鍵信息返回給SID認證系統。
圖8: 業(yè)務(wù)系統調用接口A(yíng)PI示意圖
整套加密、簽名和解密、驗簽的身份認證機制具有十分嚴密的安全措施。為了減少業(yè)務(wù)系統進(jìn)行認證接入時(shí)的改造工作量,SID系統為業(yè)務(wù)系統提供了一套已經(jīng)實(shí)現該機制的API接口,如圖2-7所示,業(yè)務(wù)系統只需要在登錄模塊中增加幾行代碼,同時(shí)根據示例簡(jiǎn)單修改一下登錄頁(yè)面,便可實(shí)現上述加密、簽名的認證方式。
支持SM2橢圓曲線(xiàn)密碼算法
為滿(mǎn)足電子認證服務(wù)系統等應用需求,國家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線(xiàn)的SM2密碼算法(國家密碼管理局公告第21號),其算法機制準則包括總則、數字簽名算法、密鑰交換協(xié)議、公鑰加密算法等四大部分,并要求自2011年3月1日起,新研制的含有公鑰密碼算法的商用密碼產(chǎn)品必須支持SM2橢圓曲線(xiàn)密碼算法。SID強身份認證系統不僅系統內置的ETCA證書(shū)中心支持使用SM2密碼算法簽發(fā)用戶(hù)證書(shū),同時(shí)在加密、簽名等主要流程節點(diǎn)中也已支持SM2密碼算法。
同時(shí)為了更好的支持企業(yè)內部已經(jīng)建立的CA證書(shū)系統,SID強身份認證系統可以兼容原有1024位、2048位的RSA算法。
符合國家密碼算法相關(guān)安全標準
SID強身份認證系統遵守以下國家標準:GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第1部分:概述
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分:非對稱(chēng)加密
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分:對稱(chēng)加密
GB/T 17903.1-1999信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第1部分:概述
GB/T 17903.2-1999信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第2部分:使用對稱(chēng)技術(shù)的機制
GB/T 17903.3-1999信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第3部分:使用非對稱(chēng)技術(shù)的機制
GB/T 18238.1-2000信息技術(shù) 安全技術(shù) 散列函數 第1部分:概述
GB/T 18238.2-2002信息技術(shù) 安全技術(shù) 散列函數 第2部分:采用N位塊密碼的散列函數
GB/T 18238.3-2002信息技術(shù) 安全技術(shù) 散列函數 第3部分:占用散列函數
GB/T 20518-2006信息安全技術(shù) 公鑰基礎設施 數字證書(shū)格式
GB/T 20520-2006信息安全技術(shù) 公鑰基礎設施 時(shí)間戳規范
GB/T 19713-2005信息技術(shù) 安全技術(shù) 公鑰基礎設施 在線(xiàn)證書(shū)狀態(tài)協(xié)議
GB/T 19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎設施 PKI組件最小互操作規范
GB/T 15851信息技術(shù) 安全技術(shù) 帶消息恢復的數字簽名方案
公鑰密碼基礎設施應用技術(shù)體系 證書(shū)應用綜合服務(wù)接口規范
公鑰密碼基礎設施應用技術(shù)體系 通用密碼服務(wù)接口規范
公鑰密碼基礎設施應用技術(shù)體系 標識規范
信息安全技術(shù) 證書(shū)認證系統 密碼及其相關(guān)安全技術(shù)規范
信息安全技術(shù) 公鑰基礎設施 時(shí)間戳規范
數字證書(shū)認證系統密碼協(xié)議規范
高安全性
SID強身份認證系統的安全策略支持用戶(hù)IP地址策略、管理IP地址策略、時(shí)間策略,具體如下:(1)用戶(hù)IP地址策略:限定用戶(hù)訪(fǎng)問(wèn)SID強身份認證系統的客戶(hù)端IP地址,阻止未授權的IP地址訪(fǎng)問(wèn)應用;
(2)管理IP地址策略:限定管理員訪(fǎng)問(wèn)SID強身份認證系統后臺管理功能的客戶(hù)端IP地址,阻止未授權的IP地址訪(fǎng)問(wèn)管理功能;
(3)時(shí)間策略:限定用戶(hù)訪(fǎng)問(wèn)受SID強身份認證系統保護的應用系統的時(shí)間段,例如可設置只有上班8個(gè)小時(shí)允許訪(fǎng)問(wèn),從而最大限度減少非法入侵的可能;
SID強認證系統的管理員基于三員分立機制,系統管理員、安全管理員與系統審計員各司其職,互相監督,為用戶(hù)企業(yè)提供具有安全保障的系統管理平臺。同時(shí),系統為使管理更加細化,允許在組織機構中設立分級管理員,各部分的用戶(hù)、證書(shū)管理可以在本部門(mén)內部設立管理員自行解決。
SID系統可為企業(yè)審計工作提供管理員操作日志、用戶(hù)認證日志、系統運行日志等多種審計資料,支持Syslog遠程提交與Excel文件導出。
認證可擴展
隨著(zhù)信息安全領(lǐng)域的不斷擴展,SID強身份認證系統除支持傳統的USB智能卡、證書(shū)文件外,增加了動(dòng)態(tài)口令、指紋、短信一次性口令等多種強認證方式的可擴展支持。用戶(hù)可以根據自身環(huán)境和安全需求,選擇使用何種強認證手段。
高性能、穩定性
SID強身份認證系統作為企業(yè)強認證需求的整體解決方案,經(jīng)過(guò)多年的發(fā)展,擁有眾多應用成功案例。可以支持2000筆/秒的最大認證并發(fā)量以及成熟的安全技術(shù)和長(cháng)期穩定運行的承諾,為企業(yè)大規模應用提供強有力的支持和保障。關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應用整合及信息安全整體解決方案的專(zhuān)業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢,專(zhuān)注于數字證書(shū)應用、企業(yè)應用安全、企業(yè)應用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù),為客戶(hù)提供整體的應用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力,公司相繼獨立完成了身份認證、統一身份管理與訪(fǎng)問(wèn)控制、文檔安全保護、SSLVPN等一系列創(chuàng )新產(chǎn)品的研發(fā)和推廣,積累了豐厚的專(zhuān)業(yè)技術(shù)實(shí)力和成熟的客戶(hù)服務(wù)經(jīng)驗,經(jīng)過(guò)不斷努力,已經(jīng)成為企業(yè)應用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。
