1. 身份認(rèn)證的現(xiàn)狀和發(fā)展趨勢
1.1 企業(yè)信息化面臨的安全風(fēng)險
計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展促進(jìn)了企業(yè)及社會信息化的極大進(jìn)步,同時也隨之產(chǎn)生了諸多新的安全問題和風(fēng)險。作為企業(yè)信息系統(tǒng)的第一道大門,身份認(rèn)證是確保企業(yè)信息資源只能被合法用戶所訪問的重要保障。
傳統(tǒng)的口令認(rèn)證方式雖然簡單,但是由于其易受到竊聽、重放等攻擊的安全缺陷,使其已無法滿足當(dāng)前復(fù)雜網(wǎng)絡(luò)環(huán)境下的安全認(rèn)證需求,因此涌現(xiàn)了諸如:數(shù)字證書、動態(tài)口令、智能卡、生物識別等多種認(rèn)證方式。
1.2 身份認(rèn)證方式的比較
|
身份認(rèn)證方式 |
認(rèn)證原理 |
易用性 |
性價比 |
|
數(shù)字證書認(rèn)證 |
基于PKI公開密鑰體制、CA數(shù)字證書以及數(shù)字簽名技術(shù) |
技術(shù)成熟,具有國際標(biāo)準(zhǔn)和法律支持;但通常證書和私鑰以文件方式存儲,易被復(fù)制,使用時需要導(dǎo)入,不方便 |
實(shí)施成本低,易于擴(kuò)展到相關(guān)安全應(yīng)用 |
|
動態(tài)口令認(rèn)證 |
基于時間同步算法 |
客戶端不需要安裝軟件,動態(tài)令牌易于攜帶 |
動態(tài)令牌需要定期更換,累計(jì)成本較高;系統(tǒng)不易于擴(kuò)展 |
|
智能卡認(rèn)證 |
基于HMAC算法 |
使用USB接口,無需特定讀卡器,易于攜帶 |
智能卡成本適中 |
|
生物識別認(rèn)證 |
基于人的指紋、虹膜等生物特征,安全性高 |
終端設(shè)備不易攜帶;系統(tǒng)初始數(shù)據(jù)采集不方便 |
終端設(shè)備成本很高,適用于高安全領(lǐng)域 |
|
eKey數(shù)字證書認(rèn)證 |
結(jié)合數(shù)字證書認(rèn)證和USB智能卡(eKey)認(rèn)證兩種方式,安全性高 |
USB智能卡存儲證書和私鑰,私鑰不可復(fù)制,使用時只需插卡即可,增強(qiáng)了安全性和易用性 |
結(jié)合了數(shù)字證書認(rèn)證和智能卡認(rèn)證的優(yōu)點(diǎn),系統(tǒng)擴(kuò)展性強(qiáng)、安全性高、性價比高 |
1.3 身份認(rèn)證的發(fā)展趨勢
身份認(rèn)證作為企業(yè)信息化過程中信息資源訪問控制的第一步也是關(guān)鍵一步,在應(yīng)用上正得到軍隊(duì)、政府、企業(yè)等各方面越來越多的關(guān)注,在技術(shù)上正朝著更加安全、易用、多種技術(shù)相結(jié)合的方向發(fā)展。
隨著PKI技術(shù)體系的日趨成熟,擁有強(qiáng)有力的理論基礎(chǔ)和眾多國際標(biāo)準(zhǔn)的CA數(shù)字證書身份認(rèn)證技術(shù),在法律上也得到了國家的大力支持。《電子簽名法》的頒布實(shí)施以及數(shù)字加密和數(shù)字簽名技術(shù)所具有的保密性、完整性、真實(shí)性、不可否認(rèn)性等特點(diǎn),使得CA數(shù)字證書身份認(rèn)證正在被廣泛采用。
USB智能卡(eKey)自帶CPU,內(nèi)嵌加密算法,可進(jìn)行運(yùn)算,其中的信息不可復(fù)制,因此,USB智能卡以其安全可靠、易于攜帶、使用方便、成本低廉、性價比高等特點(diǎn),在身份認(rèn)證領(lǐng)域也正發(fā)揮著越來越多的作用,成為身份認(rèn)證技術(shù)的一個重要發(fā)展方向和趨勢。
時代億信科技有限公司的eKey數(shù)字證書身份認(rèn)證系統(tǒng)充分結(jié)合CA數(shù)字證書認(rèn)證和USB智能卡認(rèn)證的優(yōu)勢,采用PKI體系中的數(shù)字加密、數(shù)字簽名等技術(shù)以及智能卡技術(shù),為網(wǎng)絡(luò)應(yīng)用提供更為安全有效的身份認(rèn)證機(jī)制,只需進(jìn)行安裝配置和細(xì)微改動即可輕松提升企業(yè)應(yīng)用系統(tǒng)的安全性。
2. eKey數(shù)字證書身份認(rèn)證系統(tǒng)
2.1 系統(tǒng)組成
時代億信eKey數(shù)字證書身份認(rèn)證系統(tǒng)基于PKI理論體系構(gòu)建,同時支持B/S、C/S結(jié)構(gòu)的應(yīng)用系統(tǒng),由以下主要部分組成:
(1) 企業(yè)級CA系統(tǒng)
企業(yè)級CA為企業(yè)應(yīng)用系統(tǒng)靈活定制,充分滿足企業(yè)應(yīng)用系統(tǒng)的數(shù)字證書申請和發(fā)放需求,為企業(yè)應(yīng)用安全提供便捷、高效的支持,避免了使用第三方CA中心所帶來的高成本投入以及結(jié)構(gòu)和性能瓶頸。
企業(yè)級CA系統(tǒng)采用B/S架構(gòu),易于與具體應(yīng)用系統(tǒng)相結(jié)合,實(shí)現(xiàn)基于WEB的CA管理、數(shù)字證書自動申請簽發(fā)、CRL簽發(fā)、數(shù)字證書下載以及USB智能卡的寫入等功能。
(2) 認(rèn)證服務(wù)器
認(rèn)證服務(wù)器結(jié)合數(shù)字證書加密、挑戰(zhàn)-響應(yīng)認(rèn)證機(jī)制和數(shù)字簽名認(rèn)證機(jī)制,對用戶身份進(jìn)行強(qiáng)認(rèn)證,并對用戶登錄請求進(jìn)行日志和審計(jì)。應(yīng)用系統(tǒng)只需部署配置USB智能卡登錄頁面和認(rèn)證通信包,即可由認(rèn)證服務(wù)器完成對用戶登錄認(rèn)證請求的認(rèn)證和用戶身份的鑒別。
(3) 客戶端認(rèn)證組件和USB智能卡(eKey)
每個用戶使用存有自己證書和私鑰的USB智能卡作為身份憑證,客戶端自動安裝瀏覽器認(rèn)證組件,與瀏覽器無縫結(jié)合,登錄時自動驅(qū)動USB智能卡,并運(yùn)算產(chǎn)生認(rèn)證請求。
2.2 技術(shù)原理和高安全性
時代億信eKey數(shù)字證書身份認(rèn)證的技術(shù)原理和認(rèn)證流程如下圖所示:
時代億信eKey數(shù)字證書身份認(rèn)證充分結(jié)合了挑戰(zhàn)-響應(yīng)機(jī)制和數(shù)字證書加密、數(shù)字簽名機(jī)制,增強(qiáng)了認(rèn)證信息的隨機(jī)性、保密性、真實(shí)性,有效地防止了認(rèn)證過程中的機(jī)密信息泄露和重放攻擊,保證了身份認(rèn)證的高度安全性和可靠性。
(1) 挑戰(zhàn)-響應(yīng)機(jī)制
客戶端在發(fā)起認(rèn)證請求時,服務(wù)器端首先產(chǎn)生并返回一個隨機(jī)數(shù)(挑戰(zhàn));客戶端在提交認(rèn)證請求時,將數(shù)字簽名后的隨機(jī)數(shù)發(fā)送到服務(wù)器端(響應(yīng)),由服務(wù)器端比較本地的隨機(jī)數(shù)和收到的隨機(jī)數(shù),以校驗(yàn)認(rèn)證請求的有效性,從而有效防止截獲和重放攻擊。
(2) 數(shù)字證書加密機(jī)制
客戶端提交的認(rèn)證請求均由服務(wù)器端返回的服務(wù)器證書進(jìn)行數(shù)字信封加密處理,只有相應(yīng)的服務(wù)器私鑰才能解密。如果認(rèn)證請求中含有機(jī)密信息,則截獲加密的認(rèn)證請求將毫無意義,從而確保了機(jī)密信息的保密性。
(3) 數(shù)字簽名機(jī)制
客戶端提交的認(rèn)證請求,均由客戶端認(rèn)證組件調(diào)用eKey(USB智能卡)進(jìn)行簽名處理。USB智能卡隨身攜帶,其中的私鑰不可復(fù)制,保證了私鑰的唯一性,由于數(shù)字簽名不可偽造和竄改,服務(wù)器端通過校驗(yàn)客戶端用戶證書和數(shù)字簽名的有效性,并結(jié)合認(rèn)證數(shù)據(jù)庫鑒別用戶身份。
2.3 系統(tǒng)特點(diǎn)和優(yōu)勢
時代億信eKey數(shù)字證書身份認(rèn)證系統(tǒng)具有以下鮮明的特點(diǎn)和優(yōu)勢:
(1) 身份認(rèn)證的高安全性
CA數(shù)字證書和USB智能卡相結(jié)合的身份認(rèn)證方式,使用數(shù)字簽名和加密等技術(shù),增強(qiáng)了身份認(rèn)證過程的安全性,有效消除了傳統(tǒng)的口令認(rèn)證方式產(chǎn)生的各種安全問題。
(2) 易于部署和配置,易于與具體的應(yīng)用系統(tǒng)相結(jié)合
eKey數(shù)字證書身份認(rèn)證系統(tǒng)及其中的企業(yè)級CA系統(tǒng)與應(yīng)用系統(tǒng)在結(jié)構(gòu)上相對獨(dú)立,既利于部署、管理和維護(hù),又利于應(yīng)用系統(tǒng)的升級和擴(kuò)展。
應(yīng)用系統(tǒng)只需部署和配置USB智能卡登錄頁面、認(rèn)證通信包和認(rèn)證服務(wù)器,無需重新開發(fā)即可輕松替換口令認(rèn)證,提升應(yīng)用系統(tǒng)的安全性能。
數(shù)字證書的發(fā)放可以由企業(yè)級CA系統(tǒng)自動完成,也可以借助于已有的第三方CA。
(3) 易于操作和使用
用戶數(shù)字證書和私鑰存儲在USB智能卡中,可隨身攜帶,同時私鑰不出卡,保證了私鑰的唯一性;用戶使用時只需要插上USB智能卡,輸入其硬件保護(hù)口令,用戶無需理解復(fù)雜的CA及數(shù)字證書、數(shù)字簽名概念,也無需復(fù)雜操作即可由客戶端認(rèn)證組件自動完成認(rèn)證。
(4) 通用性和可擴(kuò)展性
時代億信eKey數(shù)字證書身份認(rèn)證既支持關(guān)鍵信息加密以提高認(rèn)證效率,也支持SSL標(biāo)準(zhǔn)協(xié)議;既可以為單個應(yīng)用系統(tǒng)進(jìn)行認(rèn)證,也可以支持多個應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證和單點(diǎn)登錄(SSO),具有良好的通用性和可擴(kuò)展性。
時代億信eKey數(shù)字證書身份認(rèn)證系統(tǒng)以其高安全性、高性價比等特點(diǎn),已成功應(yīng)用于政府、軍隊(duì)、科學(xué)院、電信、稅務(wù)、企業(yè)安全辦公等領(lǐng)域,為企業(yè)信息化保駕護(hù)航。
