隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)信息安全的重要性日益顯現(xiàn)。現(xiàn)今大多數(shù)企業(yè)仍舊采用靜態(tài)的用戶名/口令認(rèn)證機(jī)制,在身份認(rèn)證過(guò)程中交換的認(rèn)證消息為明文方式,未進(jìn)行加密算法或者散列算法的處理,這樣導(dǎo)致的直接結(jié)果是用戶名和口令這些敏感數(shù)據(jù)容易被截獲和泄露。
因此一套安全穩(wěn)定高效的安全身份認(rèn)證系統(tǒng)對(duì)于一個(gè)不斷發(fā)展擴(kuò)大的企業(yè)網(wǎng)絡(luò)是必不可少的。
以下是北京時(shí)代億信科技有限公司為國(guó)家某部委實(shí)施的一套安全身份認(rèn)證系統(tǒng)解決方案,作為案例分析,希望有借鑒意義。
應(yīng)用環(huán)境描述:
1) 局域網(wǎng)由網(wǎng)閘分出192.0.0.1和172.0.0.1兩個(gè)網(wǎng)段
2) 每個(gè)網(wǎng)段中各配有OA系統(tǒng)
3) 192網(wǎng)段中的客戶可以訪問(wèn)172網(wǎng)段中的OA系統(tǒng),但是172網(wǎng)段中的用戶禁止訪問(wèn)192網(wǎng)段中的OA系統(tǒng)。
4) 在兩個(gè)網(wǎng)段中分別有數(shù)據(jù)庫(kù)。
5) 員工對(duì)網(wǎng)絡(luò)信息安全的意識(shí)不高。
需求:
1) 現(xiàn)有的口令認(rèn)證方式已經(jīng)無(wú)法滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用的安全認(rèn)證需求,需要一套安全、穩(wěn)定、高效的安全身份認(rèn)證系統(tǒng)。
2) 需要采用USB智能卡負(fù)責(zé)客戶端的數(shù)字簽名和加解密,也是用戶數(shù)字證書(shū)和私鑰的載體,同時(shí)私鑰不出卡,不可復(fù)制。
3) 希望網(wǎng)絡(luò)不做大的改動(dòng),費(fèi)用投入少的前提下,提高網(wǎng)絡(luò)信息安全,使員工能很快的上手使用。
時(shí)代億信安全身份認(rèn)證解決方案:
采用北京時(shí)代億信科技有限公司研發(fā)的SecureKey安全身份認(rèn)證管理系統(tǒng),該系統(tǒng)是基于PKI理論體系構(gòu)建的,由客戶端的SecureKey硬件(USB接口的智能卡)、身份認(rèn)證服務(wù)器以及企業(yè)級(jí)CA證書(shū)管理系統(tǒng)三部分組成。該系統(tǒng)充分結(jié)合USB智能卡技術(shù)和PKI/CA體系中的數(shù)字證書(shū)以及加密、數(shù)字簽名等技術(shù),為網(wǎng)絡(luò)應(yīng)用提供更為安全有效的身份認(rèn)證機(jī)制,輕松提升應(yīng)用系統(tǒng)的安全性。在不改變?cè)W(wǎng)絡(luò)基本配置的基礎(chǔ)上,通過(guò)在兩網(wǎng)段中添加相關(guān)系統(tǒng)來(lái)實(shí)現(xiàn)其功能要求。
1) 在權(quán)限級(jí)別最高的192網(wǎng)段添加一臺(tái)CA服務(wù)器,利用原有的兩網(wǎng)段數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)證書(shū)申請(qǐng)發(fā)放。
2) 在兩網(wǎng)段中各配置認(rèn)證服務(wù)器,通過(guò)認(rèn)證服務(wù)器進(jìn)行對(duì)客戶端提交的用戶認(rèn)證請(qǐng)求進(jìn)行認(rèn)證,鑒別用戶身份,控制用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)。
3) 在數(shù)據(jù)庫(kù)中建立證書(shū)與OA帳戶對(duì)應(yīng)關(guān)系,
4) USB智能卡負(fù)責(zé)客戶端的數(shù)字簽名和加解密,也是用戶數(shù)字證書(shū)和私鑰的載體,同時(shí)私鑰不出卡,不可復(fù)制。
具體應(yīng)用
改造后的信息安全系統(tǒng),用戶無(wú)須通過(guò)原始的口令+密碼方式登陸。首先,管理員向員工發(fā)放(CA)數(shù)字證書(shū),作為的登陸權(quán)限身份的一種確認(rèn)。發(fā)放的數(shù)字證書(shū)儲(chǔ)存(包含員工信息及相應(yīng)私鑰)在指定的登錄密鑰棒eKey內(nèi)。管理員將用戶的公鑰存于服務(wù)器的密鑰庫(kù)內(nèi)。員工直接使用包含自己證書(shū)和密鑰的USB智能卡插入客戶端計(jì)算機(jī)USB口,認(rèn)證服務(wù)器返回服務(wù)器證書(shū)和隨機(jī)數(shù),員工在登陸頁(yè)面中輸入硬件保護(hù)口令,客戶端提交加密簽名的認(rèn)證請(qǐng)求,包括隨機(jī)用戶證書(shū)等信息。認(rèn)證服務(wù)器解密信息驗(yàn)證用戶證書(shū),驗(yàn)證簽名隨機(jī)數(shù)等信息以確認(rèn)發(fā)送信息的確實(shí)是用戶本人(不可抵賴性)。用戶身份通過(guò)認(rèn)證服務(wù)器認(rèn)證后建立會(huì)話,允許用戶訪問(wèn)具體應(yīng)用程序。
整個(gè)過(guò)程中,數(shù)據(jù)及用戶信息都使用了相應(yīng)的公鑰加密,確保接收者身份無(wú)誤。并且,過(guò)程中也包含了簽名程序,一方面確保發(fā)出信息的確實(shí)為用戶本人,另一方面也證明發(fā)出的信息確實(shí)送達(dá)了服務(wù)器。員工和服務(wù)器的私鑰都不參與網(wǎng)上流通,避免了密鑰泄露;傳輸?shù)臄?shù)據(jù)全部經(jīng)過(guò)公鑰加密,非法用戶即使將數(shù)據(jù)截獲亦毫無(wú)作用;作為證書(shū)載體的eKey具有抗讀取、抗復(fù)制及便于攜帶的特性,能夠很好地完成數(shù)據(jù)攜帶及保密的任務(wù)。
方案特點(diǎn):
1) 安全可靠性
整個(gè)認(rèn)證過(guò)程采用數(shù)字證書(shū)和USB智能卡相結(jié)合的身份認(rèn)證方式,使用數(shù)字簽名和加密等技術(shù),增強(qiáng)了身份認(rèn)證過(guò)程的安全性,有效地消除了“用戶名+口令”的傳統(tǒng)認(rèn)證方式所帶來(lái)的各種安全問(wèn)題。
2)便于使用
用戶數(shù)字證書(shū)和私鑰存儲(chǔ)在USB智能卡中,可隨身攜帶,同時(shí)私鑰不出卡,保證了私鑰的唯一性;用戶使用時(shí)只需要插上USB智能卡,輸入其硬件保護(hù)口令,其余操作均由客戶端安全組件自動(dòng)完成。因此,系統(tǒng)具有很強(qiáng)的安全性和易操作性。
3)易于管理
系統(tǒng)采用分級(jí)授權(quán)管理,各級(jí)管理員只需通過(guò)瀏覽器訪問(wèn)總部的管理系統(tǒng),即可分別完成對(duì)本級(jí)用戶的信息錄入、證書(shū)自動(dòng)申請(qǐng)和 SecureKey 制作;數(shù)據(jù)庫(kù)同步服務(wù)器則自動(dòng)完成各級(jí)數(shù)據(jù)的同步。
