隨著網絡的發展，網絡信息安全的重要性日益顯現。現今大多數企業仍舊采用靜態的用戶名/口令認證機制，在身份認證過程中交換的認證消息為明文方式，未進行加密算法或者散列算法的處理，這樣導致的直接結果是用戶名和口令這些敏感數據容易被截獲和泄露。

因此一套安全穩定高效的安全身份認證系統對于一個不斷發展擴大的企業網絡是必不可少的。

以下是北京時代億信科技有限公司為國家某部委實施的一套安全身份認證系統解決方案，作為案例分析，希望有借鑒意義。

應用環境描述：

1） 局域網由網閘分出192.0.0.1和172.0.0.1兩個網段

2） 每個網段中各配有OA系統

3） 192網段中的客戶可以訪問172網段中的OA系統，但是172網段中的用戶禁止訪問192網段中的OA系統。

4） 在兩個網段中分別有數據庫。

5） 員工對網絡信息安全的意識不高。

需求：

1） 現有的口令認證方式已經無法滿足大規模網絡應用的安全認證需求，需要一套安全、穩定、高效的安全身份認證系統。

2） 需要采用USB智能卡負責客戶端的數字簽名和加解密，也是用戶數字證書和私鑰的載體，同時私鑰不出卡，不可復制。

3） 希望網絡不做大的改動，費用投入少的前提下，提高網絡信息安全，使員工能很快的上手使用。

時代億信安全身份認證解決方案：

采用北京時代億信科技有限公司研發的SecureKey安全身份認證管理系統，該系統是基于PKI理論體系構建的，由客戶端的SecureKey硬件（USB接口的智能卡）、身份認證服務器以及企業級CA證書管理系統三部分組成。該系統充分結合USB智能卡技術和PKI/CA體系中的數字證書以及加密、數字簽名等技術，為網絡應用提供更為安全有效的身份認證機制，輕松提升應用系統的安全性。在不改變原網絡基本配置的基礎上，通過在兩網段中添加相關系統來實現其功能要求。

1） 在權限級別最高的192網段添加一臺CA服務器，利用原有的兩網段數據庫進行自動證書申請發放。

2） 在兩網段中各配置認證服務器，通過認證服務器進行對客戶端提交的用戶認證請求進行認證，鑒別用戶身份，控制用戶對應用系統的訪問。  

3） 在數據庫中建立證書與OA帳戶對應關系，

4） USB智能卡負責客戶端的數字簽名和加解密，也是用戶數字證書和私鑰的載體，同時私鑰不出卡，不可復制。

具體應用

改造后的信息安全系統，用戶無須通過原始的口令+密碼方式登陸。首先，管理員向員工發放（CA）數字證書，作為的登陸權限身份的一種確認。發放的數字證書儲存（包含員工信息及相應私鑰）在指定的登錄密鑰棒eKey內。管理員將用戶的公鑰存于服務器的密鑰庫內。員工直接使用包含自己證書和密鑰的USB智能卡插入客戶端計算機USB口，認證服務器返回服務器證書和隨機數，員工在登陸頁面中輸入硬件保護口令，客戶端提交加密簽名的認證請求，包括隨機用戶證書等信息。認證服務器解密信息驗證用戶證書，驗證簽名隨機數等信息以確認發送信息的確實是用戶本人（不可抵賴性）。用戶身份通過認證服務器認證后建立會話，允許用戶訪問具體應用程序。

整個過程中，數據及用戶信息都使用了相應的公鑰加密，確保接收者身份無誤。并且，過程中也包含了簽名程序，一方面確保發出信息的確實為用戶本人，另一方面也證明發出的信息確實送達了服務器。員工和服務器的私鑰都不參與網上流通，避免了密鑰泄露；傳輸的數據全部經過公鑰加密，非法用戶即使將數據截獲亦毫無作用；作為證書載體的eKey具有抗讀取、抗復制及便于攜帶的特性，能夠很好地完成數據攜帶及保密的任務。

方案特點：

1) 安全可靠性

整個認證過程采用數字證書和USB智能卡相結合的身份認證方式，使用數字簽名和加密等技術，增強了身份認證過程的安全性，有效地消除了“用戶名+口令”的傳統認證方式所帶來的各種安全問題。

2）便于使用

用戶數字證書和私鑰存儲在USB智能卡中，可隨身攜帶，同時私鑰不出卡，保證了私鑰的唯一性；用戶使用時只需要插上USB智能卡，輸入其硬件保護口令，其余操作均由客戶端安全組件自動完成。因此，系統具有很強的安全性和易操作性。   

3）易于管理

系統采用分級授權管理，各級管理員只需通過瀏覽器訪問總部的管理系統，即可分別完成對本級用戶的信息錄入、證書自動申請和 SecureKey 制作；數據庫同步服務器則自動完成各級數據的同步。