1. 身份認證的現狀和發展趨勢
1.1 企業信息化面臨的安全風險
計算機網絡和信息技術的迅速發展促進了企業及社會信息化的極大進步,同時也隨之產生了諸多新的安全問題和風險。作為企業信息系統的第一道大門,身份認證是確保企業信息資源只能被合法用戶所訪問的重要保障。
傳統的口令認證方式雖然簡單,但是由于其易受到竊聽、重放等攻擊的安全缺陷,使其已無法滿足當前復雜網絡環境下的安全認證需求,因此涌現了諸如:數字證書、動態口令、智能卡、生物識別等多種認證方式。
1.2 身份認證方式的比較
|
身份認證方式 |
認證原理 |
易用性 |
性價比 |
|
數字證書認證 |
基于PKI公開密鑰體制、CA數字證書以及數字簽名技術 |
技術成熟,具有國際標準和法律支持;但通常證書和私鑰以文件方式存儲,易被復制,使用時需要導入,不方便 |
實施成本低,易于擴展到相關安全應用 |
|
動態口令認證 |
基于時間同步算法 |
客戶端不需要安裝軟件,動態令牌易于攜帶 |
動態令牌需要定期更換,累計成本較高;系統不易于擴展 |
|
智能卡認證 |
基于HMAC算法 |
使用USB接口,無需特定讀卡器,易于攜帶 |
智能卡成本適中 |
|
生物識別認證 |
基于人的指紋、虹膜等生物特征,安全性高 |
終端設備不易攜帶;系統初始數據采集不方便 |
終端設備成本很高,適用于高安全領域 |
|
eKey數字證書認證 |
結合數字證書認證和USB智能卡(eKey)認證兩種方式,安全性高 |
USB智能卡存儲證書和私鑰,私鑰不可復制,使用時只需插卡即可,增強了安全性和易用性 |
結合了數字證書認證和智能卡認證的優點,系統擴展性強、安全性高、性價比高 |
1.3 身份認證的發展趨勢
身份認證作為企業信息化過程中信息資源訪問控制的第一步也是關鍵一步,在應用上正得到軍隊、政府、企業等各方面越來越多的關注,在技術上正朝著更加安全、易用、多種技術相結合的方向發展。
隨著PKI技術體系的日趨成熟,擁有強有力的理論基礎和眾多國際標準的CA數字證書身份認證技術,在法律上也得到了國家的大力支持。《電子簽名法》的頒布實施以及數字加密和數字簽名技術所具有的保密性、完整性、真實性、不可否認性等特點,使得CA數字證書身份認證正在被廣泛采用。
USB智能卡(eKey)自帶CPU,內嵌加密算法,可進行運算,其中的信息不可復制,因此,USB智能卡以其安全可靠、易于攜帶、使用方便、成本低廉、性價比高等特點,在身份認證領域也正發揮著越來越多的作用,成為身份認證技術的一個重要發展方向和趨勢。
時代億信科技有限公司的eKey數字證書身份認證系統充分結合CA數字證書認證和USB智能卡認證的優勢,采用PKI體系中的數字加密、數字簽名等技術以及智能卡技術,為網絡應用提供更為安全有效的身份認證機制,只需進行安裝配置和細微改動即可輕松提升企業應用系統的安全性。
2. eKey數字證書身份認證系統
2.1 系統組成
時代億信eKey數字證書身份認證系統基于PKI理論體系構建,同時支持B/S、C/S結構的應用系統,由以下主要部分組成:
(1) 企業級CA系統
企業級CA為企業應用系統靈活定制,充分滿足企業應用系統的數字證書申請和發放需求,為企業應用安全提供便捷、高效的支持,避免了使用第三方CA中心所帶來的高成本投入以及結構和性能瓶頸。
企業級CA系統采用B/S架構,易于與具體應用系統相結合,實現基于WEB的CA管理、數字證書自動申請簽發、CRL簽發、數字證書下載以及USB智能卡的寫入等功能。
(2) 認證服務器
認證服務器結合數字證書加密、挑戰-響應認證機制和數字簽名認證機制,對用戶身份進行強認證,并對用戶登錄請求進行日志和審計。應用系統只需部署配置USB智能卡登錄頁面和認證通信包,即可由認證服務器完成對用戶登錄認證請求的認證和用戶身份的鑒別。
(3) 客戶端認證組件和USB智能卡(eKey)
每個用戶使用存有自己證書和私鑰的USB智能卡作為身份憑證,客戶端自動安裝瀏覽器認證組件,與瀏覽器無縫結合,登錄時自動驅動USB智能卡,并運算產生認證請求。
2.2 技術原理和高安全性
時代億信eKey數字證書身份認證的技術原理和認證流程如下圖所示:
時代億信eKey數字證書身份認證充分結合了挑戰-響應機制和數字證書加密、數字簽名機制,增強了認證信息的隨機性、保密性、真實性,有效地防止了認證過程中的機密信息泄露和重放攻擊,保證了身份認證的高度安全性和可靠性。
(1) 挑戰-響應機制
客戶端在發起認證請求時,服務器端首先產生并返回一個隨機數(挑戰);客戶端在提交認證請求時,將數字簽名后的隨機數發送到服務器端(響應),由服務器端比較本地的隨機數和收到的隨機數,以校驗認證請求的有效性,從而有效防止截獲和重放攻擊。
(2) 數字證書加密機制
客戶端提交的認證請求均由服務器端返回的服務器證書進行數字信封加密處理,只有相應的服務器私鑰才能解密。如果認證請求中含有機密信息,則截獲加密的認證請求將毫無意義,從而確保了機密信息的保密性。
(3) 數字簽名機制
客戶端提交的認證請求,均由客戶端認證組件調用eKey(USB智能卡)進行簽名處理。USB智能卡隨身攜帶,其中的私鑰不可復制,保證了私鑰的唯一性,由于數字簽名不可偽造和竄改,服務器端通過校驗客戶端用戶證書和數字簽名的有效性,并結合認證數據庫鑒別用戶身份。
2.3 系統特點和優勢
時代億信eKey數字證書身份認證系統具有以下鮮明的特點和優勢:
(1) 身份認證的高安全性
CA數字證書和USB智能卡相結合的身份認證方式,使用數字簽名和加密等技術,增強了身份認證過程的安全性,有效消除了傳統的口令認證方式產生的各種安全問題。
(2) 易于部署和配置,易于與具體的應用系統相結合
eKey數字證書身份認證系統及其中的企業級CA系統與應用系統在結構上相對獨立,既利于部署、管理和維護,又利于應用系統的升級和擴展。
應用系統只需部署和配置USB智能卡登錄頁面、認證通信包和認證服務器,無需重新開發即可輕松替換口令認證,提升應用系統的安全性能。
數字證書的發放可以由企業級CA系統自動完成,也可以借助于已有的第三方CA。
(3) 易于操作和使用
用戶數字證書和私鑰存儲在USB智能卡中,可隨身攜帶,同時私鑰不出卡,保證了私鑰的唯一性;用戶使用時只需要插上USB智能卡,輸入其硬件保護口令,用戶無需理解復雜的CA及數字證書、數字簽名概念,也無需復雜操作即可由客戶端認證組件自動完成認證。
(4) 通用性和可擴展性
時代億信eKey數字證書身份認證既支持關鍵信息加密以提高認證效率,也支持SSL標準協議;既可以為單個應用系統進行認證,也可以支持多個應用系統的統一認證和單點登錄(SSO),具有良好的通用性和可擴展性。
時代億信eKey數字證書身份認證系統以其高安全性、高性價比等特點,已成功應用于政府、軍隊、科學院、電信、稅務、企業安全辦公等領域,為企業信息化保駕護航。
