一、用戶面臨的風(fēng)險(xiǎn)
目前,大多數(shù)應(yīng)用系統(tǒng)主要采用傳統(tǒng)的口令認(rèn)證方式進(jìn)行身份認(rèn)證。這種認(rèn)證方式面臨眾多攻擊和泄露風(fēng)險(xiǎn),比如:網(wǎng)絡(luò)竊聽(Sniffer)、認(rèn)證信息截取/重放(Record/Replay)、病毒、黑客等,傳統(tǒng)的口令認(rèn)證方式已經(jīng)無法滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用的安全認(rèn)證需求。
圖:用戶系統(tǒng)面臨的風(fēng)險(xiǎn)
二、認(rèn)證墻簡介
1、簡介
認(rèn)證墻是基于PKI(Public Key Infrastructure)理論體系, 利用CA、數(shù)字簽名和數(shù)字證書認(rèn)證機(jī)制,綜合應(yīng)用USB接口智能卡、安全通道、安全插件等技術(shù),為門戶、OA、ERP等業(yè)務(wù)系統(tǒng)提供用戶身份鑒別、安全審計(jì)等強(qiáng)身份認(rèn)證服務(wù)的網(wǎng)絡(luò)設(shè)備和系統(tǒng)。
2、產(chǎn)品形態(tài)
認(rèn)證墻由硬件和軟件包組成,硬件為標(biāo)準(zhǔn)的1U或2U工控機(jī)(高性能需求用戶可采用高性能服務(wù)器),軟件包是部署在用戶系統(tǒng)上的插件和Filter過濾器,完成對應(yīng)用系統(tǒng)的保護(hù)并與認(rèn)證墻通信,以安裝光盤的方式提供
三、主要功能
1、 CA證書申請及管理
認(rèn)證墻包含一套完整的CA系統(tǒng),負(fù)責(zé)用戶數(shù)字證書和私鑰的申請、灌制、簽發(fā)、作廢等功能。證書格式遵循X.509規(guī)范,證書狀態(tài)采用OCSP協(xié)議,黑名單滿足CRL,智能卡滿足CSP協(xié)議。CA證書存儲(chǔ)介質(zhì)支持:
◆USB接口智能卡
◆IC卡
◆P12文件
◆磁盤、U盤
支持第三方CA系統(tǒng),如中國電信CTCA,并由證書管理系統(tǒng)負(fù)責(zé)將數(shù)字證書和相應(yīng)私鑰寫入智能卡等存儲(chǔ)介質(zhì)中。
支持國家密碼管理局批準(zhǔn)生產(chǎn)的加密機(jī)或加密卡產(chǎn)生密鑰對和對私鑰進(jìn)行存儲(chǔ)。
2、身份認(rèn)證
利用數(shù)字簽名和數(shù)字信封技術(shù)對用戶身份進(jìn)行識別。認(rèn)證墻自動(dòng)屏蔽系統(tǒng)原始的用戶名和口令,在應(yīng)用層控制用戶對系統(tǒng)的訪問,用戶提交自己的證書和私鑰簽名,由認(rèn)證墻進(jìn)行認(rèn)證后,才能根據(jù)權(quán)限進(jìn)入業(yè)務(wù)系統(tǒng)。
認(rèn)證墻可對用戶權(quán)限進(jìn)行細(xì)粒度的管理和配置,如限制用戶何時(shí)、用何方式進(jìn)入系統(tǒng)(采用智能卡早上8:00至中午12:00允許訪問)等。
3、 安全審計(jì)
認(rèn)證墻記錄用戶的每次操作的詳細(xì)日志,并在自身數(shù)據(jù)庫服務(wù)器中保存用戶簽名,實(shí)現(xiàn)事后追查和安全審計(jì)。
認(rèn)證墻通過瀏覽器進(jìn)行時(shí)實(shí)監(jiān)控和管理,當(dāng)有黑客入侵或非法系統(tǒng)訪問時(shí),認(rèn)證墻能實(shí)時(shí)發(fā)送手機(jī)短信和郵件通知管理人員。
四、認(rèn)證墻在網(wǎng)絡(luò)中的位置
圖 認(rèn)證墻網(wǎng)絡(luò)接入示意圖
五、認(rèn)證墻產(chǎn)品功能規(guī)格
1、客戶端功能規(guī)格說明
◆支持操作系統(tǒng):Windows 98/2000/XP/2003、Linux
◆支持智能卡:明華、天喻等符合PKCS11、CSP標(biāo)準(zhǔn)的智能卡
◆支持證書文件PKCS12格式認(rèn)證
2、 認(rèn)證墻功能規(guī)格說明
2.1 用戶應(yīng)用系統(tǒng)數(shù)據(jù)庫
◆支持主流的關(guān)系型數(shù)據(jù)庫:Oracle、DB2、SQL Server、MySQL等
◆支持主流的目錄服務(wù):LDAP、Active Directory
2.2 認(rèn)證服務(wù)
◆支持主流的操作系統(tǒng):Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆支持CRL、OCSP的處理
◆支持RADIUS認(rèn)證(第三方數(shù)據(jù)源)
◆支持域認(rèn)證
2.3認(rèn)證管理系統(tǒng)
◆支持用戶數(shù)字證書第三方CA系統(tǒng)申請
◆支持用戶的授權(quán)及管理;
◆支持一次性口令(臨時(shí)口令)的設(shè)置和管理;
◆支持用戶智能卡的解鎖(或智能卡用戶重新制作);
◆支持對認(rèn)證和應(yīng)用系統(tǒng)訪問的安全審計(jì):日志簽名存儲(chǔ),日志查詢統(tǒng)計(jì)、實(shí)時(shí)監(jiān)控與跟蹤審計(jì)、應(yīng)用系統(tǒng)日志接口;
◆支持對服務(wù)器自身(AuthAdmin、AuthService、AuthDB、AuthAgent)的Web方式配置和管理;
2.4 認(rèn)證代理系統(tǒng)
◆支持主流的操作系統(tǒng):Windows、AIX、Solaris、UP-UX、RedHat Linux等;
◆認(rèn)證代理各參數(shù)的配置化;
◆支持單向SSL、雙向SSL工作模式;
2.5 認(rèn)證過濾器
◆支持主流的操作系統(tǒng):Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆可限制認(rèn)證代理服務(wù)器IP地址之外的IP地址,在未經(jīng)認(rèn)證的情況下對應(yīng)用系統(tǒng)的直接訪問;
◆實(shí)現(xiàn)基于Cookie和 Session的應(yīng)用系統(tǒng)的信任機(jī)制;
◆支持J2EE、ASP/.net、Domino等典型應(yīng)用系統(tǒng);
3、安全開關(guān)
根據(jù)產(chǎn)品實(shí)施經(jīng)驗(yàn),用戶在使用前期階段,需要保留原認(rèn)證方式,認(rèn)證墻采用安全開關(guān)技術(shù),保證系統(tǒng)能隨時(shí)打開或關(guān)閉系統(tǒng)原認(rèn)證方式,保證用戶使用習(xí)慣和系統(tǒng)穩(wěn)定性的平滑過度。
安全開關(guān)還能在出現(xiàn)認(rèn)證墻硬故障時(shí),臨時(shí)恢復(fù)到系統(tǒng)以前的狀態(tài),保證系統(tǒng)不間斷運(yùn)行。
4、認(rèn)證墻性能
4.1 簽發(fā)證書的數(shù)量
◆CA系統(tǒng)證書簽發(fā)數(shù)量無限制
4.2系統(tǒng)容量(標(biāo)準(zhǔn)型)
◆同時(shí)認(rèn)證并發(fā)量200次/秒
◆認(rèn)證處理能力小于0.02秒/次;
◆CA系統(tǒng)證書簽發(fā)速度為10秒/張;
4.3高可靠性
◆雙機(jī)熱備,配置文件及數(shù)據(jù)自動(dòng)同步;
◆多臺認(rèn)證墻之間可實(shí)現(xiàn)負(fù)載均衡;
