强身份认证相关技术及应用一、应用系统现存问题问题1:身份认证问题弱口令问题:存在各种弱口令、口令生命周期等各种安全问题,安全性低不可追究性:无法也不可能真实实现将用户与其本人真实身份一一对应起来易被监听窃取:采用明文传输,容易被截获破解并冒用,降低了系统的安全性问题2:权限管理问题权限:如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限角色:多个系统,多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合问题3:访问控制问题①不同的信息应用采用了不同的授权模式,各系统的授权信息只在本系统内有效,不能共享②无法在非安全的、分布式环境中使用③难以满足各部门对跨地区、跨部门的信息共享和综合利用的需求二、系统访问剖析图身份认证模块访问控制模块用户管理模块权限管理模块业务模块数据库①用户注册②授权管理员用户③用户名/口令④①⑤①三、技术方案双因子认证和单点登录(SSO,SingleSign-On)现有系统和新建系统单点登录方案四、强身份认证技术强身份认证技术包括:静态口令识别、智能卡识别、生物识别优点:1、双因子(2-factor)或者多因子认证,有效防止冒充,增强可靠性;2、避免每种认证的缺陷,综合多种认证的优点;五、强身份认证产品1、强身份认证产品能解决哪些问题Ø应用于企业应用系统的安全身份认证(防止口令密码被猜测或复制)Ø用于增强公网访问应用系统的安全性(从互联网访问的应用系统)Ø用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统)Ø用于提升关键操作的安全性(用户关键操作要求额外认证)2、强身份认证功能ØCA认证(数字证书/USB智能卡)Ø动态令牌认证Ø指纹认证Ø手机短信动态密码认证3、单点登录功能Ø插件方式Ø代理方式Ø反向代理方式Ø多种主流产品的单点登录适配器UAP统一身份认证及访问控制产品目标客户群Ø需要整合多个应用系统方便用户访问的单位与公司Ø需要建立企业用户管理基础设施的单位与公司Ø具有多个下属单位应用系统分级建设的大型企业或单位Ø需要对内部资源进行访问控制的单位与公司产品能解决哪些问题Ø多应用系统的统一身份认证(集中企业应用入口)Ø多应用系统的安全单点登录(方便用户使用提高工作效率)Ø用户数据的集中管理(企业的基础用户信息源)Ø安全应用整合(以UAP为中心与多种安全产品联动)统一认证及访问控制系统功能1、单点登录功能Ø插件方式Ø代理方式Ø反向代理方式Ø多种主流产品的单点登录适配器2、UAP主从帐号管理功能UAP统一认证与访问控制产品支持主从账号管理,本系统内的用户信息数据独立于各应用系统,形成统一的用户唯一ID,并将其作为用户的主账号,再由其关联不同应用系统的用户账号(从账号),最后用关联后的账号访问相应的应用系统,不会对其它应用系统产生任何影响,从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均可通过安全通道来保证数据传输的安全。3、UAP访问控制功能UAP统一认证与访问控制产品在进行实体访问控制时,使用自主研发的协议分析系统,对用户与资源间会话进行分析,通过IP和端口控制技术,结合用户认证完成后的身份信息进行协议分析,根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则,达到对设备的访问控制目的Ø物理隔离受控资源Ø确的访问授权Ø访问控制审计六、强身份认证产品功能强身份认证的安全特性:依据CA产业联盟的“加密签名”和“解密验签”的信息交互机制,使之成为各业务系统的唯一身份标识,只有经过认证过的用户才能登录各业务系统、处理关键信息。并且所有操作都会被记录。使用强身份认证的用户验证身份时,无需担心信息的安全性和正确性,认证过程会自动将用户证书信息以随机数组合,并对其进行非对称加密以及用户证书签名。还可以为客户提供“关键操作验证”服务。内置验签服务模块及开发API:例如手机盾软件,可成为各种产品强身份认证的综合解决方案,集成一套签名、验签服务,用户无需单独购置支持SM2椭圆曲线密码算法:为满足电子认证服务等应用需求,国家密码管理局于2010年末发布了基于ECC椭圆曲线的SM2密码算法(国家密码管理局公告第21号),其算法机制准则包括总结、数字签名算法、密钥交换协议、公钥加密算法等四大部分,并要求自2011年3月1日起,新研制的含有公钥密码算法的商用密码产品必须使用支持SM2椭圆曲线密码算法七、身份强认证技术相关解决方案1、移动医疗应用安全解决方案:目前,医疗业务应用与基础网络平台的逐步融合,正成为国内医院,尤其是大中型医院信息化发展的新方向,而移动查房也是医院信息化建设推广中的重要环节。医院移动查房所使用的终端大多选择平板电脑作为无线终端设备,操作系统则以Android、IOS为主。在医护人员移动查房过程中,使用移动终端对电子病历的操作如何能够有效明确地形成法律效力,确认责任认定,则是迫在眉睫需要解决的问题。医护人员在使用无线终端设备进行业务操作时,主要需解决以下安全隐患,如解决身份认证的问题,传统的密码身份认证方式由于容易被拦截、被猜测、被暴力破解,已经无法满足无线应用的强身份认证需求;安全传输问题,无线网络承载了大量的医疗私密信息,如何防止这些敏感数据不会被窃听和非法篡改;抗抵赖问题,无线业务在开展过程中如何防止用户在完成关键操作后进行抵赖。该方案主要涉及的产品包括,数字证书、移动证书中间件、数字签名验证服务器、证书管理服务器等。为无线终端用户签发标识各自合法身份的数字证书,用户可选择适合自己的证书介质如蓝牙KEY、OTGKey,该这书介质既可应用应移动终端亦可应用工语PC端;通过手机证书中间件产品,实现用户数字证书登录认证,以及在重要操作过程中的电子签名;通过数字签名验证服务器,实现用户证书验证、信息加解密、签名验签等安全应用;通过证书管理服务器,实现用户证书的自动更新,移动管理等功能。随着无线通信技术的发展,将会有越来越多的应用从传统的PC机平台向无线终端平台转移,无线证书将会有更广泛的应用。而基于PKI/CA技术体系的安全防护手段将能有效促进这些应用的安全使用,通过在关键业务中引入符合电子签名法要求的可信数字签名,更好的为无线应用系统如移动查房、移动办公提供安全保障。通过该方案的应用,解决了移动设备数据安全,提升了医院信息化程度,提高了医疗人员办公效率,保障了移动应用的合法有效,进而实现了移动医疗的无纸化,减少了医院在移动护理、医疗浪费的纸质成本。2、统一认证和用户管理解决方案近年来,随着交通行业信息化程度的不断提升,交通行业信息系统和网络面临的信息安全形势也越来越严峻,内容篡改、身份假冒、网络入侵等事件时有发生,作为保障业务应用安全、支撑海事系统信息安全保障体系运转的关键电子基础设施,建设完善的海事、邮政等交通行业网络信任体系迫在眉睫。交通行业统一认证和用户管理对网络安全方面的重点要求包括:行业用户建设行业用户统一的用户信息库,并实现集中统一的用户管理;实现系统登录强身份认证,避免“用户名/口令”单因素身份认证方式的安全风险;减少系统登录认证次数,降低用户操作难度;在用户信息集中管理的基础上,解决多应用系统的统一授权管理问题,实现统一授权管理;在业务应用的数据提交、数据处理、流程审批等业务流转过程中,保障重要数据的真实性和完整性。为满足上述要求,公司为海事、邮政等交通行业用户提供了交通行业统一认证和用户管理解决方案。该方案采用公司自主的电子认证产品:数字证书服务管理系统、网络实名接入管理系统、统一认证管理系统、数字签名验证服务器、电子签章系统、时间戳服务器、手机证书中间件等产品,实现用户基于数字证书的统一身份认证、授权管理、单点登录、安全审计,实现基于数字证书强身份认证的网络准入控制与应用系统访问控制;数字签名验证服务器、电子签章系统、时间戳服务器、手机证书中间件系统等证书应用产品,为应用系统提供数字签名、数字签名验证、电子签章、时间戳、移动安全应用等安全服务。交通行业统一认证和用户管理解决方案,强化了交通行业各单位对信息资源的安全掌控能力,推动信息资源的整合和共享,为全面提高行业信息化水平打下基础;保障了核心业务系统应用安全,提升服务水平,促进行业电子政务和核心业务的整体建设;为工作人员提供了对日常业务系统安全、便捷的访问方式。3、税务移动申报安全解决方案目前国内多数的税务机关都面向纳税人开展了网上申报业务,并逐步实现了网上实时缴款,极大方便了纳税人,提高了税收征管的效能。一些有条件的省份还陆续开通了基于手机、Pad等移动终端的网上申报业务。由于网上纳税申报业务依托互联网和3G/4G网络开展,而互联网固有的开放性和移动终端易丢失等特性,使网上纳税申报具有用户真实身份验证困难、信息在网络传输保密性差、容易遭受恶意篡改、用户容易抵赖其网络行为等特点。因此,随着系统不断地推广运行,安全问题逐渐显露。解决网上申报业务中的安全和责任问题,使无纸化真正落在实处的核心是:电子申报数据应与上门申报的纸质申报表具有同等的法律效力。为了满足上述要求,为客户提供税务移动申报安全解决方案,通过采用签名验签服务器、时间戳服务器、电子签章系统、手机证书中间件等产品,基于数字证书实现纳税人身份可靠认证、利用数字证书、结合电子签章系统实现网上申报数据的可视化及可靠的电子签名,并由时间戳服务器提供可信的申报时间,使网上申报系统产生的、具有电子签名的申报数据符合电子签名法的相关要求,为税务机关网上申报系统提供具有法律效力的数据电文,为纳税人提供更安全的网上申报服务。本方案依托《中华人民共和国电子签名法》,利用移动数字证书产品和电子签名技术,有效解决了移动申报过程中,纳税人真实身份验证困难、信息在网络传输保密性差、容易遭受恶意篡改、用户容易抵赖等安全隐患。另外针对移动终端种类繁多等特点,采用蓝牙Key、双接口Key等方案解决了移动证书跨平台应用的问题,兼容了PC机和移动终端的应用,为广大纳税人移动申报和互联网申报提供了便利。4、电信行业方案动态口令作为目前最为安全便捷的身份认证技术,已经广泛应用网上银行、网络游戏、网上证券、电信、企业内网安全管理,应用场景以及用户群体非常庞大。对于电信运营商而言,内部各种业务系统、增值业务(如公共场所的WIFI接入、网络游戏、IDC机房)等,都有提升身份认证安全的需求。解决方案对于运营商而言,动态密码是极具价值的应用,运营商建立动态密码统一接入平台,不仅满足运营商内部业务系统、同时满足其增值业务(如公共场所的wifi接入、网络游戏、IDC机房),还可以提供给政企应用、电子商务等第三方系统接入。动态密码统一接入平台是可以满足不同组织、不同应用统一接入的第三方密码验证平台,可以接管动态密码认证相关工作。支持多种动态密码形式,包括手机短信密码、动态令牌、手机令牌,宁盾已经成功帮助浙江省电信搭建统一动态密码认证平台。5、IDC行业方案DavidWong是国内某知名IDC企业网络工程师,他管理着客户(网络游戏、电子商务、门户网站)托管的几千台服务器,并且这个数量在不断增加,每新增一台服务器(Windows、Linux)都需要为其设置开机帐号、密码,考虑到服务器本身的访问安全,David添加一台服务器流程如下:1、设置一个包含编号的帐号:如ZX-002打开“密码生成器”,生成一个16位的包含数字、字母、符号的静态密码;2、添加服务器描述如功能、IP等添加描述、帐号、密码到一个名叫“服务器密码.xls”的excel表格中,这个表格经过david精心设计,新添的服务器的描述作为一条新纪录。在远程登录某台服务器时,david首先打开“服务器密码.xls”,然后找到帐号对应的记录,然后复制密码,粘帖到远程连接的密码框中,登录,OK。久而久之,david机器成为安全的瓶颈,一旦david机器被木马侵入而导致他所管理的几百台服务器被破解,后果将不堪设想。这是IDC行业服务器登录帐号、密码管理的现状。IDC行业解决方案IDC行业很早意识到这个风险,并努力试图解决,分析各种强身份认证技术,动态令牌技术无论是安全性还是便捷性都是最佳,它让服务器在传统静态