隨著網(wǎng)絡的發(fā)展,網(wǎng)絡信息安全的重要性日益顯現(xiàn)。現(xiàn)今大多數(shù)企業(yè)仍舊采用靜態(tài)的用戶名/口令認證機制,在身份認證過程中交換的認證消息為明文方式,未進行加密算法或者散列算法的處理,這樣導致的直接結果是用戶名和口令這些敏感數(shù)據(jù)容易被截獲和泄露。
因此一套安全穩(wěn)定高效的安全身份認證系統(tǒng)對于一個不斷發(fā)展擴大的企業(yè)網(wǎng)絡是必不可少的。
以下是北京時代億信科技有限公司為國家某部委實施的一套安全身份認證系統(tǒng)解決方案,作為案例分析,希望有借鑒意義。
應用環(huán)境描述:
1) 局域網(wǎng)由網(wǎng)閘分出192.0.0.1和172.0.0.1兩個網(wǎng)段
2) 每個網(wǎng)段中各配有OA系統(tǒng)
3) 192網(wǎng)段中的客戶可以訪問172網(wǎng)段中的OA系統(tǒng),但是172網(wǎng)段中的用戶禁止訪問192網(wǎng)段中的OA系統(tǒng)。
4) 在兩個網(wǎng)段中分別有數(shù)據(jù)庫。
5) 員工對網(wǎng)絡信息安全的意識不高。
需求:
1) 現(xiàn)有的口令認證方式已經(jīng)無法滿足大規(guī)模網(wǎng)絡應用的安全認證需求,需要一套安全、穩(wěn)定、高效的安全身份認證系統(tǒng)。
2) 需要采用USB智能卡負責客戶端的數(shù)字簽名和加解密,也是用戶數(shù)字證書和私鑰的載體,同時私鑰不出卡,不可復制。
3) 希望網(wǎng)絡不做大的改動,費用投入少的前提下,提高網(wǎng)絡信息安全,使員工能很快的上手使用。
時代億信安全身份認證解決方案:
采用北京時代億信科技有限公司研發(fā)的SecureKey安全身份認證管理系統(tǒng),該系統(tǒng)是基于PKI理論體系構建的,由客戶端的SecureKey硬件(USB接口的智能卡)、身份認證服務器以及企業(yè)級CA證書管理系統(tǒng)三部分組成。該系統(tǒng)充分結合USB智能卡技術和PKI/CA體系中的數(shù)字證書以及加密、數(shù)字簽名等技術,為網(wǎng)絡應用提供更為安全有效的身份認證機制,輕松提升應用系統(tǒng)的安全性。在不改變原網(wǎng)絡基本配置的基礎上,通過在兩網(wǎng)段中添加相關系統(tǒng)來實現(xiàn)其功能要求。
1) 在權限級別最高的192網(wǎng)段添加一臺CA服務器,利用原有的兩網(wǎng)段數(shù)據(jù)庫進行自動證書申請發(fā)放。
2) 在兩網(wǎng)段中各配置認證服務器,通過認證服務器進行對客戶端提交的用戶認證請求進行認證,鑒別用戶身份,控制用戶對應用系統(tǒng)的訪問。
3) 在數(shù)據(jù)庫中建立證書與OA帳戶對應關系,
4) USB智能卡負責客戶端的數(shù)字簽名和加解密,也是用戶數(shù)字證書和私鑰的載體,同時私鑰不出卡,不可復制。
具體應用
改造后的信息安全系統(tǒng),用戶無須通過原始的口令+密碼方式登陸。首先,管理員向員工發(fā)放(CA)數(shù)字證書,作為的登陸權限身份的一種確認。發(fā)放的數(shù)字證書儲存(包含員工信息及相應私鑰)在指定的登錄密鑰棒eKey內(nèi)。管理員將用戶的公鑰存于服務器的密鑰庫內(nèi)。員工直接使用包含自己證書和密鑰的USB智能卡插入客戶端計算機USB口,認證服務器返回服務器證書和隨機數(shù),員工在登陸頁面中輸入硬件保護口令,客戶端提交加密簽名的認證請求,包括隨機用戶證書等信息。認證服務器解密信息驗證用戶證書,驗證簽名隨機數(shù)等信息以確認發(fā)送信息的確實是用戶本人(不可抵賴性)。用戶身份通過認證服務器認證后建立會話,允許用戶訪問具體應用程序。
整個過程中,數(shù)據(jù)及用戶信息都使用了相應的公鑰加密,確保接收者身份無誤。并且,過程中也包含了簽名程序,一方面確保發(fā)出信息的確實為用戶本人,另一方面也證明發(fā)出的信息確實送達了服務器。員工和服務器的私鑰都不參與網(wǎng)上流通,避免了密鑰泄露;傳輸?shù)臄?shù)據(jù)全部經(jīng)過公鑰加密,非法用戶即使將數(shù)據(jù)截獲亦毫無作用;作為證書載體的eKey具有抗讀取、抗復制及便于攜帶的特性,能夠很好地完成數(shù)據(jù)攜帶及保密的任務。
方案特點:
1) 安全可靠性
整個認證過程采用數(shù)字證書和USB智能卡相結合的身份認證方式,使用數(shù)字簽名和加密等技術,增強了身份認證過程的安全性,有效地消除了“用戶名+口令”的傳統(tǒng)認證方式所帶來的各種安全問題。
2)便于使用
用戶數(shù)字證書和私鑰存儲在USB智能卡中,可隨身攜帶,同時私鑰不出卡,保證了私鑰的唯一性;用戶使用時只需要插上USB智能卡,輸入其硬件保護口令,其余操作均由客戶端安全組件自動完成。因此,系統(tǒng)具有很強的安全性和易操作性。
3)易于管理
系統(tǒng)采用分級授權管理,各級管理員只需通過瀏覽器訪問總部的管理系統(tǒng),即可分別完成對本級用戶的信息錄入、證書自動申請和 SecureKey 制作;數(shù)據(jù)庫同步服務器則自動完成各級數(shù)據(jù)的同步。
