認證墻SID-PKI強身份認證產(chǎn)品為企業(yè)級用戶(hù)提供強身份認證解決方案,它建立在嚴密的PKI/CA技術(shù)體系基礎之上提供數字證書(shū)的簽發(fā)與認證功能,并可擴展支持指紋、手機短信等多種認證組件集成,能夠在應用系統的登錄認證、敏感關(guān)鍵業(yè)務(wù)操作、應用保護等環(huán)節提供身份安全識別的保障,將用戶(hù)認證敏感信息以密文形式在網(wǎng)絡(luò )中傳輸,具有更高的安全性,從而解決了網(wǎng)絡(luò )環(huán)境中的用戶(hù)身份認證安全問(wèn)題。
產(chǎn)品組成
SID-PKI產(chǎn)品由管理平臺、用戶(hù)登錄入口、外部系統認證接口、底層服務(wù)四部分組成,為企業(yè)應用系統/主機/網(wǎng)絡(luò )設備提供CA證書(shū)服務(wù)、簽名驗簽服務(wù)、加密解密服務(wù)、用戶(hù)帳號管理、日志審計、身份認證以及應用接入管理服務(wù)。
SID可以解決以下企業(yè)安全問(wèn)題
SID可以解決以下企業(yè)安全問(wèn)題:
· 應用于企業(yè)應用系統的安全身份認證(防止口令密碼被猜測或復制)
· 用于增強公網(wǎng)訪(fǎng)問(wèn)應用系統的安全性(從互聯(lián)網(wǎng)訪(fǎng)問(wèn)的應用系統)
· 用于增強應用系統數據傳輸安全(用戶(hù)可使用安全鏈接訪(fǎng)問(wèn)應用系統)
· 用于提升關(guān)鍵操作的安全性(用戶(hù)關(guān)鍵操作要求額外認證)
功能特點(diǎn)
一站式CA安全認證解決方案
SID-PKI產(chǎn)品把CA服務(wù)、簽名服務(wù)、認證系統融合到一起,簡(jiǎn)化了CA應用復雜度,降低成本,快速部署,易用。當用戶(hù)部署SID-PKI產(chǎn)品后,應用系統可以直接調用相關(guān)接口,實(shí)現對認證信息、數據或其他重要信息的數字簽名與簽名驗簽。管理員可以在同一管理平臺上維護用戶(hù)信息和證書(shū)信息,實(shí)現用戶(hù)證書(shū)的申請、下載、更新、吊銷(xiāo)等操作。配合SID-PKI產(chǎn)品的用戶(hù)導入功能,可以快速地為應用系統簽發(fā)數字證書(shū)。
支持SM2國密算法,兼容RSA算法 SID-PKI強身份認證系統不僅系統內置的CA證書(shū)中心支持使用SM2密碼算法簽發(fā)用戶(hù)證書(shū),同時(shí)在加密、簽名等主要流程節點(diǎn)中也已支持SM2密碼算法。
同時(shí)為了更好的支持企業(yè)內部已經(jīng)建立的CA證書(shū)系統,SID-PKI強身份認證系統可以兼容原有1024位、2048位的RSA算法。
可擴展支持多種強身份認證方式SID-PKI產(chǎn)品支持CA數字證書(shū)、USB智能卡、指紋、手機短信動(dòng)態(tài)碼等多種強身份認證方式,充分發(fā)揮雙因素認證的安全效果,有效保護用戶(hù)登錄應用系統過(guò)程中身份信息的安全,確保只有合法用戶(hù)才能訪(fǎng)問(wèn)應用系統。
提供多種方式和應用系統無(wú)縫結合
SID-PKI強身份認證系統可提供多種方式與應用系統進(jìn)行無(wú)縫結合,SID-PKI產(chǎn)品提供了API插件、反向代理、客戶(hù)端代理等多種集成方式,同時(shí)針對主流應用提供各種適配器,應用系統可根據自身需要選擇最方便的接口來(lái)實(shí)現。
在常規模式下,業(yè)務(wù)系統使用SID-PKI提供的認證API對認證模塊進(jìn)行改造即可,用戶(hù)在部署SID-PKI系統后,可在極短的時(shí)間內完成業(yè)務(wù)系統改造,快速接入并使用SID-PKI系統提供的強身份認證服務(wù)具有改造工作量小、實(shí)施快速和不影響業(yè)務(wù)系統整體運行流程的特點(diǎn)。
功能列表
應用場(chǎng)景:
應用場(chǎng)景一
某地產(chǎn)公司內部的財務(wù)系統中存儲著(zhù)大量的房產(chǎn)交易數據,負責公司賬款和資金流轉等業(yè)務(wù),同時(shí)各售樓中心也會(huì )通過(guò)專(zhuān)線(xiàn)接入內網(wǎng),進(jìn)行資金上報等業(yè)務(wù)。在公司內部擁有非重要的作用和極高的安全準入需求。同時(shí),該公司希望能在出、入賬等關(guān)鍵操作時(shí),要求對操作人員的身份進(jìn)行再次確認。
在辦公網(wǎng)絡(luò )中雙機部署SID-PKI強身份認證產(chǎn)品,為財務(wù)系統用戶(hù)申請并簽發(fā)CA證書(shū)。財務(wù)系統通過(guò)SID-PKI認證接入API,分別實(shí)現了用戶(hù)使用數字證書(shū)USB智能卡進(jìn)行身份認證和關(guān)鍵操作保護的功能。SID-PKI產(chǎn)品對用戶(hù)登錄財務(wù)系統和關(guān)鍵操作驗證進(jìn)行詳細日志記錄,并對歷史日志文件歸檔。
應用場(chǎng)景二 某集團在內部辦公網(wǎng)中部署了IBM Websphere門(mén)戶(hù)系統,需要實(shí)現用戶(hù)登錄CA證書(shū)認證和短信認證方式。
在內網(wǎng)雙機部署SID-PKI產(chǎn)品,通過(guò)SID-PKI提供的標準EAI擴展,實(shí)現了Websphere門(mén)戶(hù)系統的CA證書(shū)認證和短信認證。用戶(hù)登錄門(mén)戶(hù)時(shí)需要選擇使用數字證書(shū)USB智能卡或通過(guò)手機短信發(fā)送的一次性驗證碼進(jìn)行認證,SID-PKI產(chǎn)品通過(guò)EAI擴展獲得認證請求信息并進(jìn)行驗證,之后將驗證結果返回給門(mén)戶(hù),從而實(shí)現了門(mén)戶(hù)系統的安全認證需求。
SID強身份認證系統產(chǎn)品功能
強身份認證的安全特性: SID強身份認證系統將系統帳號以USB智能卡的形式存在于真正的用戶(hù)手中,有賴(lài)于“加密簽名”和“解密驗簽”的信息交互機制,使之成為該用戶(hù)在各業(yè)務(wù)系統中唯一的身份標識,只有持有智能卡的用戶(hù)才能登錄業(yè)務(wù)系統、處理關(guān)鍵信息。并且,智能卡在所有業(yè)務(wù)系統中的信息是一至的。
使用SID系統進(jìn)行用戶(hù)身份驗證時(shí),用戶(hù)無(wú)需擔心智能卡信息的安全性和正確性。SID身份認證組件在獲得智能卡信息后會(huì )自動(dòng)將用戶(hù)證書(shū)信息以及隨機數進(jìn)行組合,并對其進(jìn)行非對稱(chēng)加密以及用戶(hù)證書(shū)簽名。
SID強身份認證系統在為用戶(hù)提供身份認證的同時(shí),還為用戶(hù)提供“關(guān)鍵操作驗證”服務(wù)。
· 應用快速接入: 用戶(hù)部署SID強身份認證系統后,業(yè)務(wù)系統只需經(jīng)過(guò)簡(jiǎn)單的改造就可以使用該系統作為統一認證中心使用。在常規模式下,業(yè)務(wù)系統使用SID提供的認證API對認證模塊進(jìn)行改造即可。具有改造工作量小、實(shí)施快速和不影響業(yè)務(wù)系統整體運行流程的特點(diǎn)。
· 內置ETCA企業(yè)級CA: 如圖所示,SID強身份認證系統內置了一套名為“ETCA”的CA證書(shū)中心,當用戶(hù)部署SID強身份認證系統后,用戶(hù)也就擁有了一套企業(yè)級CA證書(shū)中心。
同時(shí),為了兼容已有業(yè)務(wù)系統中的用戶(hù)信息,SID系統提供的用戶(hù)導入功能配合CA證書(shū)中心使用后,可在非常短的時(shí)間內為已有用戶(hù)完成證書(shū)申請工作。
完成證書(shū)申請的用戶(hù),可以通過(guò)管理員在SID管理平臺中將證書(shū)灌制到USB智能卡后發(fā)給用戶(hù),或者由用戶(hù)在指定頁(yè)面通過(guò)授權碼自助灌制。
· 內置驗簽服務(wù)模塊及開(kāi)發(fā)API: SID強身份認證系統作為企業(yè)級強身份認證的整體解決方案,在系統內集成了一套簽名、驗簽服務(wù),用戶(hù)無(wú)需單獨購置。
簽名驗簽服務(wù)作為SID強身份認證系統的核心組件之一,負責對客戶(hù)端提交的用戶(hù)認證信息進(jìn)行解密、驗簽、重放驗證等處理,并將處理后獲得的關(guān)鍵信息返回給SID認證系統。
· 支持SM2橢圓曲線(xiàn)密碼算法:
為滿(mǎn)足電子認證服務(wù)系統等應用需求,國家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線(xiàn)的SM2密碼算法(國家密碼管理局公告第21號),其算法機制準則包括總則、數字簽名算法、密鑰交換協(xié)議、公鑰加密算法等四大部分,并要求自2011年3月1日起,新研制的含有公鑰密碼算法的商用密碼產(chǎn)品必須支持SM2橢圓曲線(xiàn)密碼算法。
SID強身份認證系統不僅系統內置的ETCA證書(shū)中心支持使用SM2密碼算法簽發(fā)用戶(hù)證書(shū),同時(shí)在加密、簽名等主要流程節點(diǎn)中也已支持SM2密碼算法。
同時(shí)為了更好的支持企業(yè)內部已經(jīng)建立的CA證書(shū)系統,SID強身份認證系統可以兼容原有1024位、2048位的RSA算法。
· 符合國家密碼算法相關(guān)安全標準: SID強身份認證系統遵守以下國家標準:
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第1部分:概述
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分:非對稱(chēng)加密
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分:對稱(chēng)加密
GB/T 17903.1-1999信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第1部分:概述
GB/T 17903.2-1999信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第2部分:使用對稱(chēng)技術(shù)的機制
GB/T 17903.3-1999信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第3部分:使用非對稱(chēng)技術(shù)的機制
GB/T 18238.1-2000信息技術(shù) 安全技術(shù) 散列函數 第1部分:概述
GB/T 18238.2-2002信息技術(shù) 安全技術(shù) 散列函數 第2部分:采用N位塊密碼的散列函數
GB/T 18238.3-2002信息技術(shù) 安全技術(shù) 散列函數 第3部分:占用散列函數
GB/T 20518-2006信息安全技術(shù) 公鑰基礎設施 數字證書(shū)格式
GB/T 20520-2006信息安全技術(shù) 公鑰基礎設施 時(shí)間戳規范
GB/T 19713-2005信息技術(shù) 安全技術(shù) 公鑰基礎設施 在線(xiàn)證書(shū)狀態(tài)協(xié)議
GB/T 19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎設施 PKI組件最小互操作規范
GB/T 15851信息技術(shù) 安全技術(shù) 帶消息恢復的數字簽名方案
公鑰密碼基礎設施應用技術(shù)體系 證書(shū)應用綜合服務(wù)接口規范
公鑰密碼基礎設施應用技術(shù)體系 通用密碼服務(wù)接口規范
公鑰密碼基礎設施應用技術(shù)體系 標識規范
信息安全技術(shù) 證書(shū)認證系統 密碼及其相關(guān)安全技術(shù)規范
信息安全技術(shù) 公鑰基礎設施 時(shí)間戳規范
數字證書(shū)認證系統密碼協(xié)議規范
· 高安全性:
SID強身份認證系統的安全策略支持用戶(hù)IP地址策略、管理IP地址策略、時(shí)間策略。
SID強認證系統的管理員基于三員分立機制,系統管理員、安全管理員與系統審計員各司其職,互相監督,為用戶(hù)企業(yè)提供具有安全保障的系統管理平臺。同時(shí),系統為使管理更加細化,允許在組織機構中設立分級管理員,各部分的用戶(hù)、證書(shū)管理可以在本部門(mén)內部設立管理員自行解決。
SID系統可為企業(yè)審計工作提供管理員操作日志、用戶(hù)認證日志、系統運行日志等多種審計資料,支持Syslog遠程提交與Excel文件導出。
· 認證可擴展: 隨著(zhù)信息安全領(lǐng)域的不斷擴展,SID強身份認證系統除支持傳統的USB智能卡、證書(shū)文件外,增加了動(dòng)態(tài)口令、指紋、短信一次性口令等多種強認證方式的可擴展支持。
用戶(hù)可以根據自身環(huán)境和安全需求,選擇使用何種強認證手段。
· 高性能、穩定性: SID強身份認證系統作為企業(yè)強認證需求的整體解決方案,經(jīng)過(guò)多年的發(fā)展,擁有眾多應用成功案例。可以支持2000筆/秒的最大認證并發(fā)量以及成熟的安全技術(shù)和長(cháng)期穩定運行的承諾,為企業(yè)大規模應用提供強有力的支持和保障。
SID強身份認證系統產(chǎn)品規格
單次認證請求處理時(shí)間小于0.3秒
并發(fā)用戶(hù)訪(fǎng)問(wèn)量大于200
證書(shū)簽發(fā)速度大于500張每小時(shí)
SID強身份認證系統產(chǎn)品方案
時(shí)代億信認證訪(fǎng)問(wèn)控制墻認證訪(fǎng)問(wèn)控制墻是一款提供認證和訪(fǎng)問(wèn)控制的硬件設備,為企業(yè)B/S和C/S業(yè)務(wù)系統、網(wǎng)絡(luò )設備、主機、數據庫等企業(yè)資源,提供高性能的安全認證、統一接入、訪(fǎng)問(wèn)控制、安全管理、安全審計服務(wù)。產(chǎn)品能夠滿(mǎn)足不同企業(yè)集中認證、訪(fǎng)問(wèn)控制和安全管理的需求。
認證訪(fǎng)問(wèn)控制墻通過(guò)網(wǎng)絡(luò )層和應用層聯(lián)動(dòng),采用網(wǎng)絡(luò )層協(xié)議分析與應用層訪(fǎng)問(wèn)策略相結合的訪(fǎng)問(wèn)控制技術(shù),形成用戶(hù)信息、協(xié)議號、目的IP地址、目的端口的用戶(hù)身份動(dòng)態(tài)資源訪(fǎng)問(wèn)控制策略;在不改動(dòng)用戶(hù)應用的前提下,通過(guò)協(xié)議分析,實(shí)現資源的細粒度訪(fǎng)問(wèn)控制;使用流量限速的差異化訪(fǎng)問(wèn)技術(shù),克服傳統只能針對應用進(jìn)行QoS設定的缺陷,實(shí)現了用戶(hù)身份與應用綁定的流量控制功能,提高系統性能;同時(shí),本產(chǎn)品可應用到WLAN無(wú)線(xiàn)和3G網(wǎng)絡(luò ),實(shí)現基于無(wú)線(xiàn)網(wǎng)絡(luò )的統一認證與訪(fǎng)問(wèn)控制。本產(chǎn)品已在中國電信總部OA統一認證與訪(fǎng)問(wèn)控制工程、中央國債統一認證及訪(fǎng)問(wèn)控制工程等項目中成功使用。
認證訪(fǎng)問(wèn)控制墻著(zhù)眼于應用層和網(wǎng)絡(luò )層兩個(gè)層面的認證與訪(fǎng)問(wèn)控制聯(lián)動(dòng),為電信級企業(yè)或集團的各類(lèi)用戶(hù)和應用系統、主機、網(wǎng)絡(luò )設備等資源提供高性能的安全認證服務(wù)、安全接入與訪(fǎng)問(wèn)控制服務(wù)、安全管理服務(wù)、安全審計服務(wù)。
時(shí)代億信推出的認證訪(fǎng)問(wèn)控制墻,是當前市場(chǎng)中唯一整合了CA、動(dòng)態(tài)口令、短信認證等多種身份認證技術(shù)、應用動(dòng)態(tài)加密通道、網(wǎng)絡(luò )流量差異化服務(wù)、網(wǎng)絡(luò )層訪(fǎng)問(wèn)控制、應用代理、信息中轉和推送、協(xié)議分析、URL重寫(xiě)、內容過(guò)濾、內容重寫(xiě)、端到端加密通道、服務(wù)器插件信息提取等多項關(guān)鍵技術(shù),綜合提供身份統一管理、角色統一管理、資源統一管理、授權統一管理、身份統一認證、訪(fǎng)問(wèn)控制等功能的產(chǎn)品,能有效整合各種應用系統用戶(hù)資源,增強應用資源安全性,提高工作效率,降低溝通成本,是對多種信息安全技術(shù)、身份認證技術(shù)和訪(fǎng)問(wèn)控制技術(shù)的綜合應用,可廣泛滿(mǎn)足用戶(hù)的多種需求,而無(wú)須進(jìn)行二次開(kāi)發(fā),快速部署和應用。
