1. 產品簡介
SID強身份認證系統是北京時代億信公司根據企業(yè)內業(yè)務系統的安全需求,為企業(yè)級用戶提供一套強身份認證解決方案。系統自帶企業(yè)級CA證書中心,極大的降低了用戶應用CA技術的成本,同時提升了管理員的工作效率。
它綜合雙因素、硬件令牌、簽名驗簽技術,能夠在應用系統的登錄認證、敏感關鍵業(yè)務操作、應用保護等環(huán)節(jié)提供身份的安全識別保障。采用CA數字證書和數字簽名等技術進行身份識別,將代表用戶身份的數字證書和相應的私鑰存儲在USB接口的智能卡中,私鑰不出卡,保證了唯一性和安全性。認證時,由SID客戶端組件完成數字簽名和加密,敏感信息以密文形式在網絡中傳輸,具有更高的安全性,從而解決了網絡環(huán)境中的用戶身份認證問題。
產品可解決的問題
SID強身份認證系統主要為用戶解決如下問題:1) 為企業(yè)應用系統的提供基于USB智能卡的安全身份認證服務。基于系統內置的企業(yè)級CA平臺,利用存儲于USB智能卡的PKI證書可以有效改善傳統字符串口令的可傳播以及可重放破解的弱點。作為企業(yè)認證中心的SID強身份認證系統則在此基礎上可以為企業(yè)內業(yè)務系統提供統一的用戶認證服務。
2) 用于提升關鍵操作的安全性(用戶關鍵操作要求額外認證),基于USB智能卡的簽名驗簽。接入SID系統的業(yè)務系統可以在用戶進行某些關鍵操作,如發(fā)送合同時,要求用戶再次通過USB智能卡驗證身份,從而確保該用戶的身份不會因為臨時離開座位或其他原因導致錯誤執(zhí)行的關鍵操作。
3) 建立安全認證中心,作為安全基礎設施,為企業(yè)內眾多的應用系統提供基于PKI的統一身份認證憑證。
功能組成
圖1: SID強身份認證系統服務端功能組成圖
SID強身份認證系統在應用中分為兩部分,分別是:SID強認證系統服務端和認證組件。
如圖1所示,SID系統的服務端主要分為:管理員平臺,ETCA證書中心,用戶登錄入口、外部系統認證接口、底層服務四部分組成。
底層服務:包括解密驗簽服務與CA證書服務兩部分。解密驗簽服務對用戶登錄時提交的登錄憑證進行驗簽和解密,并將關鍵信息返回給SID系統的用戶認證模塊;CA證書服務則用來申請、吊銷用戶證書。
管理員平臺:SID系統的管理平臺為用戶提供基于三員分立的管理員管理規(guī)范,為使用戶可以更明確的、更便捷的管理SID系統,本系統還提供分級管理員管理功能。管理員可以在本平臺可以進行下列工作:
* 統管理員主要負責配置系統基本參數、用戶帳戶和組織機構的管理、業(yè)務系統管理以及用戶日志審計。
* 安全管理員:管理用戶證書、配置業(yè)務系統接入信息以及制定其他安全策略。
* 系統審計員:審計系統管理員操作日志、審計安全管理員操作日志。
管理員平臺在功能上分為如下部分:
* 系統配置:系統全局類功能的配置,可以設置系統安全策略、進行根證書和服務器證書配置設置全局性策略等。包括服務器配置、功能配置、證書配置、用戶訪問策略、日志配置、用戶界面配置。
* 用戶管理:對組織機構、用戶、用戶證書的管理。包括組織機構管理、用戶管理、用戶屬性管理、用戶證書管理。
* 身份認證管理:配置系統可以使用的認證方式,及每種認證方式的認證策略。包括認證方式配置、一次性口令用戶管理。
* 應用系統管理:配置使用SID強身份認證系統的業(yè)務系統的基本信息。
* 應用系統接入管理:配置各業(yè)務系統的認證、接入方式及相關參數。
* 日志審計:對管理員操作、用戶認證、用戶單點進行詳細的日志記錄。包括訪問統計、系統日志、管理員日志。
* 系統管理:系統CPU、內存監(jiān)控,系統備份、還原等操作。包括系統監(jiān)控、備份還原、恢復出廠配置、CA管理。
用戶登錄入口:SID強身份認證系統的用戶登錄入口可以為用戶提供身份認證服務,經過管理員配置后,用戶可以通過此入口進入設定的業(yè)務系統。
外部系統認證接口:SID強身份認證系統為外部系統提供的認證接口。實現SID系統提供的“應用系統認證接口API”后,用戶在業(yè)務系統中進行登錄和關鍵操作驗證時,提交的認證信息會經過“認證組件”的加密和簽名處理,經過處理的登錄信息則會被業(yè)務系統通過API提交到SID系統的外部認證接口。
收到經過加密、簽名處理后的認證信息時,解密驗簽服務對用戶登錄時提交的登錄憑證進行驗簽和解密,并將關鍵信息返回給SID系統的用戶認證模塊。用戶認證模塊則根據關鍵信息鑒定用戶的登錄請求是否有效以及身份驗證是否成功。
ETCA證書中心:
SID產品內置一套綜合的企業(yè)級證書管理系統(ETCA),可用于數字證書的申請、審核、簽發(fā)、注銷、更新和查詢,頒發(fā)的數字證書格式嚴格遵循X.509v3規(guī)范,具有廣泛適用性和良好的擴展性。通過使用該系統,可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的CA中心。通過使用ETCA發(fā)行的數字證書可以為用戶提供信息安全的全面服務:
保密性 — 保證信息是秘密的
完整性 — 能檢驗信息未被篡改
身份鑒別 — 檢驗個人或機構的身份
不可否定性 — 確保信息或操作不能被否認
ETCA應用國際先進技術,采用高強度的加密算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統的安全、可靠的運行。
ETCA系統完全遵循PKI及相關標準,這樣有利于與其它廠商的產品實現互連,增大證書的適用范圍。
客戶端組件:如圖2所示,SID的客戶端組件的主要功能包括讀取USB智能卡內的證書信息、對認證信息進行加密、簽名操作、監(jiān)控USB智能卡的連接狀態(tài)以及對USB智能卡執(zhí)行PIN碼安全策略。
圖2: SID客戶端組件功能流程示意圖
工作原理
SID強身份認證系統是新一代的應用系統強身份認證產品,可配置多種認證方式,為應用系統提供強身份認證服務。同時,內置的ETCA證書中心還可使SID成為企業(yè)CA中心,為用戶提供證書申請、證書審批、證書簽發(fā)及證書認證等功能。
圖3: SID工作原理示意圖
SID系統的設計理念,是使現有各類業(yè)務系統通過簡單的改造后,都可以使用SID系統作為強身份認證中心,為用戶提供USB智能卡認證或其他強身份認證方式。
在強身份認證方面,利用客戶端組件對用戶證書數據進行“非對稱加密+用戶私鑰簽名”的安全封裝后以及增加系統隨機數進行重放攻擊保護。使認證數據即使傳輸在明文HTTP協議下依然可以保證認證信息的安全性和唯一性。
服務端在收到加密后的登錄信息后,需要經過解密以及驗簽后,才會使用處理后的關鍵信息進行用戶身份驗證。
產品優(yōu)勢
* 擁有安全、穩(wěn)定的強身份認證技術* 內置企業(yè)級CA證書中心
* 用戶屬性與證書管理無縫結合
* 提供API,降低業(yè)務系統接入難度
* 作為強身份認證中心,為業(yè)務系統提供標準的接入認證服務
* 符合相關安全規(guī)定,支持SM2橢圓曲線密碼算法、管理員三員分立、智能卡PIN碼安全策略
* 靈活的擴展認證接口,便于支持其他強身份認證手段
2. 產品功能特點
強身份認證的安全特性
SID強身份認證系統將系統帳號以USB智能卡的形式存在于真正的用戶手中,有賴于“加密簽名”和“解密驗簽”的信息交互機制,使之成為該用戶在各業(yè)務系統中唯一的身份標識,只有持有智能卡的用戶才能登錄業(yè)務系統、處理關鍵信息。并且,智能卡在所有業(yè)務系統中的信息是一至的。使用SID系統進行用戶身份驗證時,用戶無需擔心智能卡信息的安全性和正確性。SID身份認證組件在獲得智能卡信息后會自動將用戶證書信息以及隨機數進行組合,并對其進行非對稱加密以及用戶證書簽名。用戶向SID系統提供的認證信息全程都被這種安全措施保護著,保證了用戶認證信息的惟一性、安全性,同時也從機制上阻止了破解與重放攻擊的安全隱患。
圖4: 認證信息傳遞示意圖
在網上辦公環(huán)境中,SID強身份認證系統將USB智能卡作為用戶的唯一標識,當用戶移除智能卡時,SID的身份認證組件會自動監(jiān)測到用戶智能卡的移除事件,此時認證組件會給出重新連接智能卡的提示,在有效時間內仍未檢測到智能卡或用戶確認移除智能卡時,身份認證組件會自動將用戶訪問業(yè)務系統的瀏覽器強行關閉。使用戶無需擔心移出智能卡但沒有關閉瀏覽器時會被其他人非法使用的情況。
圖5 無USB智能卡拒絕訪問應用
SID強身份認證系統在為用戶提供身份認證的同時,還為用戶提供“關鍵操作驗證”服務。當某用戶需要執(zhí)行下發(fā)公文、上報合同這類“關鍵業(yè)務操作”時,業(yè)務系統可以要求用戶再次輸入智能卡PIN碼,并將確認信息提交到SID系統中進行身份確認,以防止用戶誤操作或非授權執(zhí)行操作。
應用快速接入
用戶部署SID強身份認證系統后,業(yè)務系統只需經過簡單的改造就可以使用該系統作為統一認證中心使用。在常規(guī)模式下,業(yè)務系統使用SID提供的認證API對認證模塊進行改造即可。具有改造工作量小、實施快速和不影響業(yè)務系統整體運行流程的特點。如圖6所示,用戶訪問業(yè)務系統的主要流程與改造前一至,使用USB智能卡登錄業(yè)務系統改造后的智能卡登錄,業(yè)務系統將加密簽名后的用戶認證信息通過“接口API”直接提交到SID強身份認證系統進行身份驗證,并根據SID系統返回的信息對用戶進行鑒權,從而完成用戶認證流程。在這個過程中,用戶的使用流程方式不會因系統改造而改變。
圖6: API接口認證接入方式
在企業(yè)辦公網絡不斷建設的過程中,可能有些業(yè)務系統已經沒有后續(xù)開發(fā)和改造支持了。SID系統為這些不具備改造條件的業(yè)務系統提供了另一種認證接入方式。
如圖7所示,該方式基于“Cookie賦權,業(yè)務系統鑒權 ”的工作模式。用戶在使用業(yè)務系統時,首先需要登錄到SID強身份認證系統中,完成登錄后,SID系統會將用戶的登錄信息保存在Cookie中,然后將瀏覽器跳轉到目的業(yè)務系統,目的業(yè)務系統檢測到用戶Cookie后,利用自身的鑒權機制對用戶登錄信息進行鑒權,從而完成身份認證和訪問鑒權的用戶登錄流程。
圖7: 基于Cookie的賦權轉發(fā)
利用上述兩種接入方式,用戶在部署SID系統后,可在極短的時間內完成業(yè)務系統改造,快速接入并使用SID系統提供的強身份認證服務。
內置ETCA企業(yè)級CA
SID強身份認證系統內置了一套名為“ETCA”的CA證書中心,當用戶部署SID強身份認證系統后,用戶也就擁有了一套企業(yè)級CA證書中心。增加一套系統并不會增加管理員的工作量,經過SID系統的無縫集成后,管理員可以在SID的管理平臺中完成所有與證書有關的操作。
安全管理員能夠在用戶管理中實現用戶證書的申請、下載、重新申請、吊銷等操作。
同時,為了兼容已有業(yè)務系統中的用戶信息,SID系統提供的用戶導入功能配合CA證書中心使用后,可在非常短的時間內為已有用戶完成證書申請工作。
完成證書申請的用戶,可以通過管理員在SID管理平臺中將證書灌制到USB智能卡后發(fā)給用戶,或者由用戶在指定頁面通過授權碼自助灌制。
內置驗簽服務模塊及開發(fā)API
SID強身份認證系統作為企業(yè)級強身份認證的整體解決方案,在系統內集成了一套簽名、驗簽服務,用戶無需單獨購置。簽名驗簽服務作為SID強身份認證系統的核心組件之一,負責對客戶端提交的用戶認證信息進行解密、驗簽、重放驗證等處理,并將處理后獲得的關鍵信息返回給SID認證系統。
圖8: 業(yè)務系統調用接口API示意圖
整套加密、簽名和解密、驗簽的身份認證機制具有十分嚴密的安全措施。為了減少業(yè)務系統進行認證接入時的改造工作量,SID系統為業(yè)務系統提供了一套已經實現該機制的API接口,如圖2-7所示,業(yè)務系統只需要在登錄模塊中增加幾行代碼,同時根據示例簡單修改一下登錄頁面,便可實現上述加密、簽名的認證方式。
支持SM2橢圓曲線密碼算法
為滿足電子認證服務系統等應用需求,國家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線的SM2密碼算法(國家密碼管理局公告第21號),其算法機制準則包括總則、數字簽名算法、密鑰交換協議、公鑰加密算法等四大部分,并要求自2011年3月1日起,新研制的含有公鑰密碼算法的商用密碼產品必須支持SM2橢圓曲線密碼算法。SID強身份認證系統不僅系統內置的ETCA證書中心支持使用SM2密碼算法簽發(fā)用戶證書,同時在加密、簽名等主要流程節(jié)點中也已支持SM2密碼算法。
同時為了更好的支持企業(yè)內部已經建立的CA證書系統,SID強身份認證系統可以兼容原有1024位、2048位的RSA算法。
符合國家密碼算法相關安全標準
SID強身份認證系統遵守以下國家標準:GB/T 17964-2000信息技術 安全技術 加密算法 第1部分:概述
GB/T 17964-2000信息技術 安全技術 加密算法 第2部分:非對稱加密
GB/T 17964-2000信息技術 安全技術 加密算法 第2部分:對稱加密
GB/T 17903.1-1999信息技術 安全技術 抗抵賴 第1部分:概述
GB/T 17903.2-1999信息技術 安全技術 抗抵賴 第2部分:使用對稱技術的機制
GB/T 17903.3-1999信息技術 安全技術 抗抵賴 第3部分:使用非對稱技術的機制
GB/T 18238.1-2000信息技術 安全技術 散列函數 第1部分:概述
GB/T 18238.2-2002信息技術 安全技術 散列函數 第2部分:采用N位塊密碼的散列函數
GB/T 18238.3-2002信息技術 安全技術 散列函數 第3部分:占用散列函數
GB/T 20518-2006信息安全技術 公鑰基礎設施 數字證書格式
GB/T 20520-2006信息安全技術 公鑰基礎設施 時間戳規(guī)范
GB/T 19713-2005信息技術 安全技術 公鑰基礎設施 在線證書狀態(tài)協議
GB/T 19771-2005信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規(guī)范
GB/T 15851信息技術 安全技術 帶消息恢復的數字簽名方案
公鑰密碼基礎設施應用技術體系 證書應用綜合服務接口規(guī)范
公鑰密碼基礎設施應用技術體系 通用密碼服務接口規(guī)范
公鑰密碼基礎設施應用技術體系 標識規(guī)范
信息安全技術 證書認證系統 密碼及其相關安全技術規(guī)范
信息安全技術 公鑰基礎設施 時間戳規(guī)范
數字證書認證系統密碼協議規(guī)范
高安全性
SID強身份認證系統的安全策略支持用戶IP地址策略、管理IP地址策略、時間策略,具體如下:(1)用戶IP地址策略:限定用戶訪問SID強身份認證系統的客戶端IP地址,阻止未授權的IP地址訪問應用;
(2)管理IP地址策略:限定管理員訪問SID強身份認證系統后臺管理功能的客戶端IP地址,阻止未授權的IP地址訪問管理功能;
(3)時間策略:限定用戶訪問受SID強身份認證系統保護的應用系統的時間段,例如可設置只有上班8個小時允許訪問,從而最大限度減少非法入侵的可能;
SID強認證系統的管理員基于三員分立機制,系統管理員、安全管理員與系統審計員各司其職,互相監(jiān)督,為用戶企業(yè)提供具有安全保障的系統管理平臺。同時,系統為使管理更加細化,允許在組織機構中設立分級管理員,各部分的用戶、證書管理可以在本部門內部設立管理員自行解決。
SID系統可為企業(yè)審計工作提供管理員操作日志、用戶認證日志、系統運行日志等多種審計資料,支持Syslog遠程提交與Excel文件導出。
認證可擴展
隨著信息安全領域的不斷擴展,SID強身份認證系統除支持傳統的USB智能卡、證書文件外,增加了動態(tài)口令、指紋、短信一次性口令等多種強認證方式的可擴展支持。用戶可以根據自身環(huán)境和安全需求,選擇使用何種強認證手段。
高性能、穩(wěn)定性
SID強身份認證系統作為企業(yè)強認證需求的整體解決方案,經過多年的發(fā)展,擁有眾多應用成功案例。可以支持2000筆/秒的最大認證并發(fā)量以及成熟的安全技術和長期穩(wěn)定運行的承諾,為企業(yè)大規(guī)模應用提供強有力的支持和保障。關于時代億信
北京時代億信科技有限公司是一家致力于企業(yè)應用整合及信息安全整體解決方案的專業(yè)技術服務公司。公司依托首都科技產業(yè)優(yōu)勢,專注于數字證書應用、企業(yè)應用安全、企業(yè)應用整合及相關領域的軟件研發(fā)與技術服務,為客戶提供整體的應用安全解決方案。憑借團隊優(yōu)勢和綜合技術能力,公司相繼獨立完成了身份認證、統一身份管理與訪問控制、文檔安全保護、SSLVPN等一系列創(chuàng)新產品的研發(fā)和推廣,積累了豐厚的專業(yè)技術實力和成熟的客戶服務經驗,經過不斷努力,已經成為企業(yè)應用安全及整合領域領先的解決方案提供商。
