一、用戶面臨的風(fēng)險
目前，大多數(shù)應(yīng)用系統(tǒng)主要采用傳統(tǒng)的口令認證方式進行身份認證。這種認證方式面臨眾多攻擊和泄露風(fēng)險，比如：網(wǎng)絡(luò)竊聽（Sniffer）、認證信息截取/重放（Record/Replay）、病毒、黑客等，傳統(tǒng)的口令認證方式已經(jīng)無法滿足大規(guī)模網(wǎng)絡(luò)應(yīng)用的安全認證需求。

圖：用戶系統(tǒng)面臨的風(fēng)險

二、認證墻簡介
1、簡介
認證墻是基于PKI（Public Key Infrastructure）理論體系， 利用CA、數(shù)字簽名和數(shù)字證書認證機制，綜合應(yīng)用USB接口智能卡、安全通道、安全插件等技術(shù)，為門戶、OA、ERP等業(yè)務(wù)系統(tǒng)提供用戶身份鑒別、安全審計等強身份認證服務(wù)的網(wǎng)絡(luò)設(shè)備和系統(tǒng)。

2、產(chǎn)品形態(tài)
認證墻由硬件和軟件包組成，硬件為標準的1U或2U工控機（高性能需求用戶可采用高性能服務(wù)器），軟件包是部署在用戶系統(tǒng)上的插件和Filter過濾器，完成對應(yīng)用系統(tǒng)的保護并與認證墻通信，以安裝光盤的方式提供

三、主要功能
1、 CA證書申請及管理
認證墻包含一套完整的CA系統(tǒng)，負責用戶數(shù)字證書和私鑰的申請、灌制、簽發(fā)、作廢等功能。證書格式遵循X.509規(guī)范，證書狀態(tài)采用OCSP協(xié)議，黑名單滿足CRL，智能卡滿足CSP協(xié)議。CA證書存儲介質(zhì)支持：
◆USB接口智能卡
◆IC卡
◆P12文件
◆磁盤、U盤
支持第三方CA系統(tǒng)，如中國電信CTCA，并由證書管理系統(tǒng)負責將數(shù)字證書和相應(yīng)私鑰寫入智能卡等存儲介質(zhì)中。
支持國家密碼管理局批準生產(chǎn)的加密機或加密卡產(chǎn)生密鑰對和對私鑰進行存儲。
2、身份認證
利用數(shù)字簽名和數(shù)字信封技術(shù)對用戶身份進行識別。認證墻自動屏蔽系統(tǒng)原始的用戶名和口令，在應(yīng)用層控制用戶對系統(tǒng)的訪問，用戶提交自己的證書和私鑰簽名，由認證墻進行認證后，才能根據(jù)權(quán)限進入業(yè)務(wù)系統(tǒng)。
認證墻可對用戶權(quán)限進行細粒度的管理和配置，如限制用戶何時、用何方式進入系統(tǒng)（采用智能卡早上8：00至中午12：00允許訪問）等。
3、 安全審計
認證墻記錄用戶的每次操作的詳細日志，并在自身數(shù)據(jù)庫服務(wù)器中保存用戶簽名，實現(xiàn)事后追查和安全審計。
認證墻通過瀏覽器進行時實監(jiān)控和管理，當有黑客入侵或非法系統(tǒng)訪問時，認證墻能實時發(fā)送手機短信和郵件通知管理人員。
四、認證墻在網(wǎng)絡(luò)中的位置

圖   認證墻網(wǎng)絡(luò)接入示意圖

五、認證墻產(chǎn)品功能規(guī)格
1、客戶端功能規(guī)格說明
◆支持操作系統(tǒng)：Windows 98/2000/XP/2003、Linux
◆支持智能卡：明華、天喻等符合PKCS11、CSP標準的智能卡
◆支持證書文件PKCS12格式認證
2、 認證墻功能規(guī)格說明
2.1 用戶應(yīng)用系統(tǒng)數(shù)據(jù)庫
◆支持主流的關(guān)系型數(shù)據(jù)庫：Oracle、DB2、SQL Server、MySQL等
◆支持主流的目錄服務(wù)：LDAP、Active Directory
2.2 認證服務(wù)
◆支持主流的操作系統(tǒng)：Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆支持CRL、OCSP的處理
◆支持RADIUS認證（第三方數(shù)據(jù)源）
◆支持域認證
2.3認證管理系統(tǒng)
◆支持用戶數(shù)字證書第三方CA系統(tǒng)申請
◆支持用戶的授權(quán)及管理；
◆支持一次性口令（臨時口令）的設(shè)置和管理；
◆支持用戶智能卡的解鎖（或智能卡用戶重新制作）；
◆支持對認證和應(yīng)用系統(tǒng)訪問的安全審計：日志簽名存儲，日志查詢統(tǒng)計、實時監(jiān)控與跟蹤審計、應(yīng)用系統(tǒng)日志接口；
◆支持對服務(wù)器自身（AuthAdmin、AuthService、AuthDB、AuthAgent）的Web方式配置和管理；
2.4 認證代理系統(tǒng)
◆支持主流的操作系統(tǒng)：Windows、AIX、Solaris、UP-UX、RedHat Linux等；
◆認證代理各參數(shù)的配置化；
◆支持單向SSL、雙向SSL工作模式；
2.5 認證過濾器
◆支持主流的操作系統(tǒng)：Windows、AIX、Solaris、UP-UX、RedHat Linux等
◆可限制認證代理服務(wù)器IP地址之外的IP地址，在未經(jīng)認證的情況下對應(yīng)用系統(tǒng)的直接訪問；
◆實現(xiàn)基于Cookie和 Session的應(yīng)用系統(tǒng)的信任機制；
◆支持J2EE、ASP/.net、Domino等典型應(yīng)用系統(tǒng)；
3、安全開關(guān)
根據(jù)產(chǎn)品實施經(jīng)驗，用戶在使用前期階段，需要保留原認證方式，認證墻采用安全開關(guān)技術(shù)，保證系統(tǒng)能隨時打開或關(guān)閉系統(tǒng)原認證方式，保證用戶使用習(xí)慣和系統(tǒng)穩(wěn)定性的平滑過度。
安全開關(guān)還能在出現(xiàn)認證墻硬故障時，臨時恢復(fù)到系統(tǒng)以前的狀態(tài)，保證系統(tǒng)不間斷運行。
4、認證墻性能
4.1 簽發(fā)證書的數(shù)量
◆CA系統(tǒng)證書簽發(fā)數(shù)量無限制
4.2系統(tǒng)容量（標準型）
◆同時認證并發(fā)量200次/秒
◆認證處理能力小于0.02秒/次；
◆CA系統(tǒng)證書簽發(fā)速度為10秒/張；
4.3高可靠性
◆雙機熱備，配置文件及數(shù)據(jù)自動同步；
◆多臺認證墻之間可實現(xiàn)負載均衡；