随着网络的发展,网络信息安全的重要性日益显现。现今大多数企业仍旧采用静态的用户名/口令认证机制,在身份认证过程中交换的认证消息为明文方式,未进行加密算法或者散列算法的处理,这样导致的直接结果是用户名和口令这些敏感数据容易被截获和泄露。
因此一套安全稳定高效的安全身份认证系统对于一个不断发展扩大的企业网络是必不可少的。
以下是北京时代亿信科技有限公司为国家某部委实施的一套安全身份认证系统解决方案,作为案例分析,希望有借鉴意义。
应用环境描述:
1) 局域网由网闸分出192.0.0.1和172.0.0.1两个网段
2) 每个网段中各配有OA系统
3) 192网段中的客户可以访问172网段中的OA系统,但是172网段中的用户禁止访问192网段中的OA系统。
4) 在两个网段中分别有数据库。
5) 员工对网络信息安全的意识不高。
需求:
1) 现有的口令认证方式已经无法满足大规模网络应用的安全认证需求,需要一套安全、稳定、高效的安全身份认证系统。
2) 需要采用USB智能卡负责客户端的数字签名和加解密,也是用户数字证书和私钥的载体,同时私钥不出卡,不可复制。
3) 希望网络不做大的改动,费用投入少的前提下,提高网络信息安全,使员工能很快的上手使用。
时代亿信安全身份认证解决方案:
采用北京时代亿信科技有限公司研发的SecureKey安全身份认证管理系统,该系统是基于PKI理论体系构建的,由客户端的SecureKey硬件(USB接口的智能卡)、身份认证服务器以及企业级CA证书管理系统三部分组成。该系统充分结合USB智能卡技术和PKI/CA体系中的数字证书以及加密、数字签名等技术,为网络应用提供更为安全有效的身份认证机制,轻松提升应用系统的安全性。在不改变原网络基本配置的基础上,通过在两网段中添加相关系统来实现其功能要求。
1) 在权限级别最高的192网段添加一台CA服务器,利用原有的两网段数据库进行自动证书申请发放。
2) 在两网段中各配置认证服务器,通过认证服务器进行对客户端提交的用户认证请求进行认证,鉴别用户身份,控制用户对应用系统的访问。
3) 在数据库中建立证书与OA帐户对应关系,
4) USB智能卡负责客户端的数字签名和加解密,也是用户数字证书和私钥的载体,同时私钥不出卡,不可复制。
具体应用
改造后的信息安全系统,用户无须通过原始的口令+密码方式登陆。首先,管理员向员工发放(CA)数字证书,作为的登陆权限身份的一种确认。发放的数字证书储存(包含员工信息及相应私钥)在指定的登录密钥棒eKey内。管理员将用户的公钥存于服务器的密钥库内。员工直接使用包含自己证书和密钥的USB智能卡插入客户端计算机USB口,认证服务器返回服务器证书和随机数,员工在登陆页面中输入硬件保护口令,客户端提交加密签名的认证请求,包括随机用户证书等信息。认证服务器解密信息验证用户证书,验证签名随机数等信息以确认发送信息的确实是用户本人(不可抵赖性)。用户身份通过认证服务器认证后建立会话,允许用户访问具体应用程序。
整个过程中,数据及用户信息都使用了相应的公钥加密,确保接收者身份无误。并且,过程中也包含了签名程序,一方面确保发出信息的确实为用户本人,另一方面也证明发出的信息确实送达了服务器。员工和服务器的私钥都不参与网上流通,避免了密钥泄露;传输的数据全部经过公钥加密,非法用户即使将数据截获亦毫无作用;作为证书载体的eKey具有抗读取、抗复制及便于携带的特性,能够很好地完成数据携带及保密的任务。
方案特点:
1) 安全可靠性
整个认证过程采用数字证书和USB智能卡相结合的身份认证方式,使用数字签名和加密等技术,增强了身份认证过程的安全性,有效地消除了“用户名+口令”的传统认证方式所带来的各种安全问题。
2)便于使用
用户数字证书和私钥存储在USB智能卡中,可随身携带,同时私钥不出卡,保证了私钥的唯一性;用户使用时只需要插上USB智能卡,输入其硬件保护口令,其余操作均由客户端安全组件自动完成。因此,系统具有很强的安全性和易操作性。
3)易于管理
系统采用分级授权管理,各级管理员只需通过浏览器访问总部的管理系统,即可分别完成对本级用户的信息录入、证书自动申请和 SecureKey 制作;数据库同步服务器则自动完成各级数据的同步。