一、用戶面臨的風險
目前，大多數應用系統主要采用傳統的口令認證方式進行身份認證。這種認證方式面臨眾多攻擊和泄露風險，比如：網絡竊聽（Sniffer）、認證信息截取/重放（Record/Replay）、病毒、黑客等，傳統的口令認證方式已經無法滿足大規模網絡應用的安全認證需求。

圖：用戶系統面臨的風險

二、認證墻簡介
1、簡介
認證墻是基于PKI（Public Key Infrastructure）理論體系， 利用CA、數字簽名和數字證書認證機制，綜合應用USB接口智能卡、安全通道、安全插件等技術，為門戶、OA、ERP等業務系統提供用戶身份鑒別、安全審計等強身份認證服務的網絡設備和系統。

2、產品形態
認證墻由硬件和軟件包組成，硬件為標準的1U或2U工控機（高性能需求用戶可采用高性能服務器），軟件包是部署在用戶系統上的插件和Filter過濾器，完成對應用系統的保護并與認證墻通信，以安裝光盤的方式提供

三、主要功能
1、 CA證書申請及管理
認證墻包含一套完整的CA系統，負責用戶數字證書和私鑰的申請、灌制、簽發、作廢等功能。證書格式遵循X.509規范，證書狀態采用OCSP協議，黑名單滿足CRL，智能卡滿足CSP協議。CA證書存儲介質支持：
◆USB接口智能卡
◆IC卡
◆P12文件
◆磁盤、U盤
支持第三方CA系統，如中國電信CTCA，并由證書管理系統負責將數字證書和相應私鑰寫入智能卡等存儲介質中。
支持國家密碼管理局批準生產的加密機或加密卡產生密鑰對和對私鑰進行存儲。
2、身份認證
利用數字簽名和數字信封技術對用戶身份進行識別。認證墻自動屏蔽系統原始的用戶名和口令，在應用層控制用戶對系統的訪問，用戶提交自己的證書和私鑰簽名，由認證墻進行認證后，才能根據權限進入業務系統。
認證墻可對用戶權限進行細粒度的管理和配置，如限制用戶何時、用何方式進入系統（采用智能卡早上8：00至中午12：00允許訪問）等。
3、 安全審計
認證墻記錄用戶的每次操作的詳細日志，并在自身數據庫服務器中保存用戶簽名，實現事后追查和安全審計。
認證墻通過瀏覽器進行時實監控和管理，當有黑客入侵或非法系統訪問時，認證墻能實時發送手機短信和郵件通知管理人員。
四、認證墻在網絡中的位置

圖   認證墻網絡接入示意圖

五、認證墻產品功能規格
1、客戶端功能規格說明
◆支持操作系統：Windows 98/2000/XP/2003、Linux
◆支持智能卡：明華、天喻等符合PKCS11、CSP標準的智能卡
◆支持證書文件PKCS12格式認證
2、 認證墻功能規格說明
2.1 用戶應用系統數據庫
◆支持主流的關系型數據庫：Oracle、DB2、SQL Server、MySQL等
◆支持主流的目錄服務：LDAP、Active Directory
2.2 認證服務
◆支持主流的操作系統：Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆支持CRL、OCSP的處理
◆支持RADIUS認證（第三方數據源）
◆支持域認證
2.3認證管理系統
◆支持用戶數字證書第三方CA系統申請
◆支持用戶的授權及管理；
◆支持一次性口令（臨時口令）的設置和管理；
◆支持用戶智能卡的解鎖（或智能卡用戶重新制作）；
◆支持對認證和應用系統訪問的安全審計：日志簽名存儲，日志查詢統計、實時監控與跟蹤審計、應用系統日志接口；
◆支持對服務器自身（AuthAdmin、AuthService、AuthDB、AuthAgent）的Web方式配置和管理；
2.4 認證代理系統
◆支持主流的操作系統：Windows、AIX、Solaris、UP-UX、RedHat Linux等；
◆認證代理各參數的配置化；
◆支持單向SSL、雙向SSL工作模式；
2.5 認證過濾器
◆支持主流的操作系統：Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆可限制認證代理服務器IP地址之外的IP地址，在未經認證的情況下對應用系統的直接訪問；
◆實現基于Cookie和 Session的應用系統的信任機制；
◆支持J2EE、ASP/.net、Domino等典型應用系統；
3、安全開關
根據產品實施經驗，用戶在使用前期階段，需要保留原認證方式，認證墻采用安全開關技術，保證系統能隨時打開或關閉系統原認證方式，保證用戶使用習慣和系統穩定性的平滑過度。
安全開關還能在出現認證墻硬故障時，臨時恢復到系統以前的狀態，保證系統不間斷運行。
4、認證墻性能
4.1 簽發證書的數量
◆CA系統證書簽發數量無限制
4.2系統容量（標準型）
◆同時認證并發量200次/秒
◆認證處理能力小于0.02秒/次；
◆CA系統證書簽發速度為10秒/張；
4.3高可靠性
◆雙機熱備，配置文件及數據自動同步；
◆多臺認證墻之間可實現負載均衡；