一、用戶面臨的風(fēng)險(xiǎn)
目前，大多數(shù)應(yīng)用系統(tǒng)主要采用傳統(tǒng)的口令認(rèn)證方式進(jìn)行身份認(rèn)證。這種認(rèn)證方式面臨眾多攻擊和泄露風(fēng)險(xiǎn)，比如：網(wǎng)絡(luò)竊聽（Sniffer）、認(rèn)證信息截取/重放（Record/Replay）、病毒、黑客等，傳統(tǒng)的口令認(rèn)證方式已經(jīng)無法滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用的安全認(rèn)證需求。

圖：用戶系統(tǒng)面臨的風(fēng)險(xiǎn)

二、認(rèn)證墻簡介
1、簡介
認(rèn)證墻是基于PKI（Public Key Infrastructure）理論體系， 利用CA、數(shù)字簽名和數(shù)字證書認(rèn)證機(jī)制，綜合應(yīng)用USB接口智能卡、安全通道、安全插件等技術(shù)，為門戶、OA、ERP等業(yè)務(wù)系統(tǒng)提供用戶身份鑒別、安全審計(jì)等強(qiáng)身份認(rèn)證服務(wù)的網(wǎng)絡(luò)設(shè)備和系統(tǒng)。

2、產(chǎn)品形態(tài)
認(rèn)證墻由硬件和軟件包組成，硬件為標(biāo)準(zhǔn)的1U或2U工控機(jī)（高性能需求用戶可采用高性能服務(wù)器），軟件包是部署在用戶系統(tǒng)上的插件和Filter過濾器，完成對應(yīng)用系統(tǒng)的保護(hù)并與認(rèn)證墻通信，以安裝光盤的方式提供

三、主要功能
1、 CA證書申請及管理
認(rèn)證墻包含一套完整的CA系統(tǒng)，負(fù)責(zé)用戶數(shù)字證書和私鑰的申請、灌制、簽發(fā)、作廢等功能。證書格式遵循X.509規(guī)范，證書狀態(tài)采用OCSP協(xié)議，黑名單滿足CRL，智能卡滿足CSP協(xié)議。CA證書存儲介質(zhì)支持：
◆USB接口智能卡
◆IC卡
◆P12文件
◆磁盤、U盤
支持第三方CA系統(tǒng)，如中國電信CTCA，并由證書管理系統(tǒng)負(fù)責(zé)將數(shù)字證書和相應(yīng)私鑰寫入智能卡等存儲介質(zhì)中。
支持國家密碼管理局批準(zhǔn)生產(chǎn)的加密機(jī)或加密卡產(chǎn)生密鑰對和對私鑰進(jìn)行存儲。
2、身份認(rèn)證
利用數(shù)字簽名和數(shù)字信封技術(shù)對用戶身份進(jìn)行識別。認(rèn)證墻自動屏蔽系統(tǒng)原始的用戶名和口令，在應(yīng)用層控制用戶對系統(tǒng)的訪問，用戶提交自己的證書和私鑰簽名，由認(rèn)證墻進(jìn)行認(rèn)證后，才能根據(jù)權(quán)限進(jìn)入業(yè)務(wù)系統(tǒng)。
認(rèn)證墻可對用戶權(quán)限進(jìn)行細(xì)粒度的管理和配置，如限制用戶何時(shí)、用何方式進(jìn)入系統(tǒng)（采用智能卡早上8：00至中午12：00允許訪問）等。
3、 安全審計(jì)
認(rèn)證墻記錄用戶的每次操作的詳細(xì)日志，并在自身數(shù)據(jù)庫服務(wù)器中保存用戶簽名，實(shí)現(xiàn)事后追查和安全審計(jì)。
認(rèn)證墻通過瀏覽器進(jìn)行時(shí)實(shí)監(jiān)控和管理，當(dāng)有黑客入侵或非法系統(tǒng)訪問時(shí)，認(rèn)證墻能實(shí)時(shí)發(fā)送手機(jī)短信和郵件通知管理人員。
四、認(rèn)證墻在網(wǎng)絡(luò)中的位置

圖   認(rèn)證墻網(wǎng)絡(luò)接入示意圖

五、認(rèn)證墻產(chǎn)品功能規(guī)格
1、客戶端功能規(guī)格說明
◆支持操作系統(tǒng)：Windows 98/2000/XP/2003、Linux
◆支持智能卡：明華、天喻等符合PKCS11、CSP標(biāo)準(zhǔn)的智能卡
◆支持證書文件PKCS12格式認(rèn)證
2、 認(rèn)證墻功能規(guī)格說明
2.1 用戶應(yīng)用系統(tǒng)數(shù)據(jù)庫
◆支持主流的關(guān)系型數(shù)據(jù)庫：Oracle、DB2、SQL Server、MySQL等
◆支持主流的目錄服務(wù)：LDAP、Active Directory
2.2 認(rèn)證服務(wù)
◆支持主流的操作系統(tǒng)：Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆支持CRL、OCSP的處理
◆支持RADIUS認(rèn)證（第三方數(shù)據(jù)源）
◆支持域認(rèn)證
2.3認(rèn)證管理系統(tǒng)
◆支持用戶數(shù)字證書第三方CA系統(tǒng)申請
◆支持用戶的授權(quán)及管理；
◆支持一次性口令（臨時(shí)口令）的設(shè)置和管理；
◆支持用戶智能卡的解鎖（或智能卡用戶重新制作）；
◆支持對認(rèn)證和應(yīng)用系統(tǒng)訪問的安全審計(jì)：日志簽名存儲，日志查詢統(tǒng)計(jì)、實(shí)時(shí)監(jiān)控與跟蹤審計(jì)、應(yīng)用系統(tǒng)日志接口；
◆支持對服務(wù)器自身（AuthAdmin、AuthService、AuthDB、AuthAgent）的Web方式配置和管理；
2.4 認(rèn)證代理系統(tǒng)
◆支持主流的操作系統(tǒng)：Windows、AIX、Solaris、UP-UX、RedHat Linux等；
◆認(rèn)證代理各參數(shù)的配置化；
◆支持單向SSL、雙向SSL工作模式；
2.5 認(rèn)證過濾器
◆支持主流的操作系統(tǒng)：Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆可限制認(rèn)證代理服務(wù)器IP地址之外的IP地址，在未經(jīng)認(rèn)證的情況下對應(yīng)用系統(tǒng)的直接訪問；
◆實(shí)現(xiàn)基于Cookie和 Session的應(yīng)用系統(tǒng)的信任機(jī)制；
◆支持J2EE、ASP/.net、Domino等典型應(yīng)用系統(tǒng)；
3、安全開關(guān)
根據(jù)產(chǎn)品實(shí)施經(jīng)驗(yàn)，用戶在使用前期階段，需要保留原認(rèn)證方式，認(rèn)證墻采用安全開關(guān)技術(shù)，保證系統(tǒng)能隨時(shí)打開或關(guān)閉系統(tǒng)原認(rèn)證方式，保證用戶使用習(xí)慣和系統(tǒng)穩(wěn)定性的平滑過度。
安全開關(guān)還能在出現(xiàn)認(rèn)證墻硬故障時(shí)，臨時(shí)恢復(fù)到系統(tǒng)以前的狀態(tài)，保證系統(tǒng)不間斷運(yùn)行。
4、認(rèn)證墻性能
4.1 簽發(fā)證書的數(shù)量
◆CA系統(tǒng)證書簽發(fā)數(shù)量無限制
4.2系統(tǒng)容量（標(biāo)準(zhǔn)型）
◆同時(shí)認(rèn)證并發(fā)量200次/秒
◆認(rèn)證處理能力小于0.02秒/次；
◆CA系統(tǒng)證書簽發(fā)速度為10秒/張；
4.3高可靠性
◆雙機(jī)熱備，配置文件及數(shù)據(jù)自動同步；
◆多臺認(rèn)證墻之間可實(shí)現(xiàn)負(fù)載均衡；