EETrust认证墙 技术白皮书
第一章 序
1.1 用户面临的风险
目前,大多数应用系统主要采用传统的口令认证方式进行身份认证。这种认证方式面临众多攻击和泄露风险,比如:网络监听(Sniffer)、认证信息截取/重放(Record/Replay)、病毒、黑客等,传统的口令认证方式已经无法满足大规模网络应用的安全认证需求。
[align=Center][attach]86584[/attach][/align]
1.2 认证墙简介
认证墙是基于PKI(Public Key Infrastructure)理论体系, 利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、安全插件等技术,为门户、OA、ERP等业务系统提供用户身份鉴别、安全审计等强身份认证服务的网络设备和系统。
[align=Center][attach]86585[/attach][/align]
第二章 产品概述
2.1 认证墙主要功能
2.1.1 CA证书申请及管理
认证墙包含一套完整的CA系统,负责用户数字证书和私钥的申请、灌制、签发、作废等功能。证书格式遵循X.509规范,证书状态采用OCSP协议,黑名单满足CRL,智能卡满足CSP协议。CA证书存储介质支持:
USB接口智能卡
IC卡
P12文件
磁盘、U盘
支持第三方CA系统,如中国电信CTCA,并由证书管理系统负责将数字证书和相应私钥写入智能卡等存储介质中。
支持国家密码管理局批准生产的加密机或加密卡产生密钥对和对私钥进行存储。
2.1.2身份认证
利用数字签名和数字信封技术对用户身份进行识别。认证墙自动屏蔽系统原始的用户名和口令,在应用层控制用户对系统的访问,用户提交自己的证书和私钥签名,由认证墙进行认证后,才能根据权限进入业务系统。
认证墙可对用户权限进行细粒度的管理和配置,如限制用户何时、用何方式进入系统(采用智能卡早上8:00至中午12:00允许访问)等。
2.1.3 安全审计
认证墙记录用户的每次操作的详细日志,并在自身数据库服务器中保存用户签名,实现事后追查和安全审计。
认证墙通过浏览器进行时实监控和管理,当有黑客入侵或非法系统访问时,认证墙能实时发送手机短信和邮件通知管理人员。
2.2产品形态
认证墙由硬件和软件包组成,硬件为标准的1U或2U工控机(高性能需求用户可采用高性能服务器),软件包是部署在用户系统上的插件和Filter过滤器,完成对应用系统的保护并与认证墙通信,以安装光盘的方式提供
2.2.1硬件特性
结构:重型钢箱体,豪华型采用铝型材料前面板
风冷系统:4个数420风扇
指示灯:POWER、HDD、E0、E1、E2、E3
外形尺寸:宽×深×高=482×306×45(mm)铝面板
宽×深×高=482×300×45(mm)钢面板
重量:5kg - 6kg
工作温度:0℃-50℃(-20℃到70℃储存)
抗冲击:10G峰-峰回速度(11ms)
抗震动:5-17 Hz,0.1”双峰移位;17-640Hz,1.5G峰-峰加速度
电磁干扰:符合FCC/VDE A级标准
2.2.2 安装环境
水平放置
置放环境整洁、干燥
通风散热条件良好
供电稳定,工作电压:220V ~ 50Hz
温度:0℃-40℃
湿度:5%-90% RH
2.2.3软件包特性
软件包是多张光盘,包含有各种操作系统下的各种应用对应的插件和Filter过滤器。
2.3 认证墙在网络中的位置
[align=Center][attach]86586[/attach][/align]
第三章 技术说明
3.1技术原理简介
3.1.1 CA系统
认证墙含有一个强大的CA系统,CA的功能包括证书管理、密钥管理、CRL管理和系统管理四个部分:
证书管理
主要包括证书签发 、证书验证、证书作废、证书更新、证书在线查询、证书下载、证书存储介质制作和证书格式转换等。
CRL管理
主要包括证书撤消列表签发、证书撤消列表验证、证书撤消列表更新、证书撤消列表下载和证书撤消列表查找等。
密钥管理
主要包括密钥生成、密钥存储介质制作、密钥备份、密钥更新、密钥恢复和密钥历史等。
系统管理
主要包括系统日志、系统配置、策略管理、操作员管理、系统统计分析、交叉认证等。
技术构架如下:
[align=Center][attach]86587[/attach][/align]
3.1.2认证模块
认证模块实现用户系统的认证过程,按实现方式分为两个系列:
SID-A SID-B
实现方式 松耦合方式 紧耦合方式
技术原理 反向代理技术 Plugin插件技术
主要特点 应用系统无需更改 部署较复杂,需要熟悉应用系统
管理员需做映射操作 调用简单、效率高
[align=Center][attach]86588[/attach][/align]
AuthClient: 认证组件、智能卡驱动
AuthDB: 认证数据、审计日志等存储
AuthService:用户身份鉴别
AuthAdmin: 系统管理、认证管理、监控与审计
AuthAgent: 获取认证访问请求,返回认证结果和响应数据
AuthFilter: 屏蔽用户对应用系统的直接访问
AuthAPI: 应用系统调用的开发接口
3.2认证墙实现强认证流程简述
1. 用户选择证书文件或插好包含证书和私钥的USB智能卡,访问认证墙登录页面。
2. 认证墙接受认证请求,并产生一个临时随机数,发送到用户客户端。
3. 用户输入私钥或智能卡口令,点击“登录”按钮。
4. 客户端对认证墙发来的随机数以及用户的身份信息利用数字证书进行加密,并对加密结果做数字签名,将结果发送到认证墙。
5. 认证墙接收到客户端发来的数据后,执行如下验证过程:
a) 验证用户的数字证书的有效性,包括签发者证书链、时间期限等;
b) 证书验证通过后,验证接收数据的数字签名信息;
c) 对接收的数据进行解密,得到随机数和用户身份信息;
d) 验证用户身份信息,并比较随机数是否与开始发送时相同。
6.认证墙发消息给用户应用服务器对应的安全插件,安全插件判断用户的真实身份后,发消息给认证墙决定登录是否成功。
第四章 功能特点
4.1认证墙产品功能规格
4.1.1 客户端功能规格说明
支持操作系统:Windows 98/2000/XP/2003、Linux
支持智能卡:明华、天喻等符合PKCS11、CSP标准的智能卡
支持证书文件PKCS12格式认证
4.1.2 认证墙功能规格说明
4.1.2.1 用户应用系统数据库
支持主流的关系型数据库:Oracle、DB2、SQL Server、MySQL等
支持主流的目录服务:LDAP、Active Directory
4.1.2.2 认证服务
支持主流的操作系统:Windows、AIX、Solaris、UP-UX、RedHat Linux等
支持CRL、OCSP的处理
支持RADIUS认证(第三方数据源)
支持域认证
4.1.2.3认证管理系统
支持用户数字证书第三方CA系统申请
支持用户的授权及管理;
支持一次性口令(临时口令)的设置和管理;
支持用户智能卡的解锁(或智能卡用户重新制作);
支持对认证和应用系统访问的安全审计:日志签名存储,日志查询统计、实时监控与跟踪审计、应用系统日志接口;
支持对服务器自身(AuthAdmin、AuthService、AuthDB、AuthAgent)的Web方式配置和管理;
4.1.2.4 认证代理系统
支持主流的操作系统:Windows、AIX、Solaris、UP-UX、RedHat Linux等;
认证代理各参数的配置化;
支持单向SSL、双向SSL工作模式;
4.1.2.5 认证过滤器
支持主流的操作系统:Windows、AIX、Solaris、UP-UX、RedHat Linux等
可限制认证代理服务器IP地址之外的IP地址,在未经认证的情况下对应用系统的直接访问;
实现基于Cookie和 Session的应用系统的信任机制;
支持J2EE、ASP/.net、Domino等典型应用系统;
4.2安全开关
根据产品实施经验,用户在使用前期阶段,需要保留原认证方式,认证墙采用安全开关技术,保证系统能随时打开或关闭系统原认证方式,保证用户使用习惯和系统稳定性的平滑过度。
安全开关还能在出现认证墙硬故障时,临时恢复到系统以前的状态,保证系统不间断运行。
4.3认证墙性能规格
4.3.1 签发证书的数量
CA系统证书签发数量无限制
4.3.2系统容量(标准型)
同时认证并发量200次/秒
认证处理能力小于0.02秒/次;
CA系统证书签发速度为10秒/张;
4.3.3高可靠性
双机热备,配置文件及数据自动同步;
多台认证墙之间可实现负载均衡;
第五章 横向比较
一、横向分类
基于PKI体系的身份认证技术是世界公认的密码技术在身份认证领域的应用,得到了全球各级政府的采用,我国应用这种技术起步比较晚,从过去的盲目建设CA系统发展到现在的理性建设阶段,产品按性质可以分为如下三大类:
1、 CA系统
2、 运营CA系统
3、 安全应用产品
4、 外围安全产品
[align=Center][attach]86589[/attach][/align]
认证墙包含了1类和3类,认证墙不但能提供CA系统的所有功能,并且,能将CA颁发的数字证书应用到用户系统中去,零开发就能实现和系统无缝结合,完成安全认证、审计和信息加密功能。
二、在同类产品中如何选择合适的产品?
选择适合自身业务和网络需求的认证产品,并综合考虑产品的性能、特点和整体投资,是企事业高层决策的根本出发点。有以下几点是用户在选择认证产品时需要考虑的问题。
1 、选择数字证书颁发途径
证书的发放和管理须使用CA系统,目前提供证书的CA系统有三种:
• Windows 自带的CA,Windows 2000 Advace server提供免费的CA系统;
• 运营CA,如中国电信CTCA,人民银行CFCA,区域CA等,这些CA主要以按月或年卖证书;
• 自建CA,为提高企业内部安全而建设的CA。
2 、根据证书用途选择CA系统
• 如果需要提供第三方担保,则须选择支持国密算法的CA系统,建议使用运营CA;
• 如果企业自用,选择自建CA为最佳方案;
• 如果全部使用微软的应用系统,Windows自带CA为最佳方案。
3 、CA系统和应用系统无逢结合,尽量做到不须应用系统修改:
必须考虑到应用系统开发商不存在了的情况下,依然能实现应用系统的安全认证。
证书也必须符合X509规范,CA系统有国际标准,而认证系统是和应用相关的,所以,对CA认证系统的选择关键要考虑对各种复杂应用系统的支持情况。
认证墙适合使用于企业自用CA来提升企业信息安全的各种应用领域。
第六章 纵向比较
认证技术按纵向分类可以分为:
1、 数字证书认证 : 有成熟的PKI理论基础, CA系统完成证书发放和管理,是各国政府普遍采用的密码技术。
2、 动态口令 : 时间同步,理论原理简单,易于部署,但安全性不高,硬件令牌需要定时更换或充电,管理复杂。一般需要和证书配合使用,使其完成信息加密功能。
3、 生物识别,如指纹、虹膜等 :技术先进,但不成熟,价格高昂,不适合大规模使用。
身份认证技术纵向比较:
[align=Center][attach]86590[/attach][/align]
密码钥匙认证 结合USB智能卡和CA数字证书认证技术的优点,安全性高。 1、具备USB口的普通电脑即可使用。
2、使用方便,移动性好 具备安全性和易用性,性价比高。
1.2.1 动态口令与数字证书两种方式的详细对比
动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份的确认。
基于PKI(Public Key Infrastructure 公钥基础设施)构架的数字证书认证方式是利用数字签名和数字信封技术,有效保证用户的身份安全和数据安全。智能卡是数字证书的载体,通过USB接口和计算机连接,同时,数字证书也可以不用智能卡,而直接采用普通的文件形式。
[align=Center][attach]86591[/attach][/align]
第七章 认证墙的应用范围
认证墙能为企业提供基于数字证书的强身份认证、信息加密、安全审计服务,支持90%以上应用系统和网络设备。
5.1 应用范围
[align=Center][attach]86592[/attach][/align]
5.2 二次开发接口
提供多种应用系统开发接口:
C、VB、Delphi等开发语言接口
CGI开发接口
ASP开发接口
JAVA开发接口
Windows平台的非web方式提供COM组件
Unix平台的非web方式提供动态库。
[[i] 本帖最后由 特爱蚂蚁 于 2008-7-3 19:29 编辑 [/i]] |