浅谈身份认证系统技术方案

******身份认证系统

技术方案

目录

1.概述 (3)

1.1前言 (3)

1.2身份认证系统用户认证需求描述 (3)

1.3身份认证系统认证解决之道 (5)

1.3.1身份认证系统的模式 (5)

1.3.2建立身份认证系统 (6)

1.3.3证书在身份认证系统上的安全应用 (6)

2.详细设计方案 (8)

2.1 身份认证系统 (8)

2.2产品设计原则 (8)

2.2.1认证系统的设计原则 (8)

2.2.2 网络环境设计原则 (9)

2.3功能模块架构 (10)

2.4 身份认证系统功能简介 (12)

2.5身份认证系统安全性分析 (13)

2.5.1本系统安全性保护的必要性 (14)

2.5.2安全性要求 (14)

2.5.3安全性设计原则 (15)

2.5.4安全性设计方案 (15)

2.6身份认证系统应用开发接口 (17)

2.6.1身份认证系统接口函数 (17)

2.6.2 API与身份认证系统结合开发应用系统 (17)

2.7身份认证系统使用案例 (18)

3.系统配置 (21)

3.1 设备配置 (21)

1. 概述

1.1 前言

随着网络技术的高速发展，个人和企业将越来越多地把业务活动放到网络上，因此网络的安全问题就更加关键和重要。据统计，在全球围，由于信息系统的脆弱性而导致的经济损失，每年达数十亿美元，并且呈逐年上升的趋势。

利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的身份认证系统，确保网上信息有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（性）；保证传输过程中不被篡改（完整性和一致性）；发送方确信接收方不是假冒的（身份的真实性和不可伪装性）；发送方不能否认自己的发送行为（不可抵赖性）。

本方案根据*****的业务流程、管理模式的实施方案，充分运用现代网络信息技术及CA认证体系，建立*****身份认证系统，并可作为公务网CA的配套系统。

1.2 身份认证系统用户认证需求描述

在***********业务发展过程中，为了更好的实现数据资源共享，充分发挥信息化对*********系统发展的促进作用，************将综合开发一套身份认证系统对目前的用户身份进行管理，为社会、相关职能部门以及各级机构提供服务。

在此系统的开发应用过程中，一个重要的任务是解决如何对应用系统用户

进行身份认证从而确保数据的安全。下面将针对在此系统的开发应用中对用户身份认证所做的需求加以说明。

整个系统的逻辑结构如图1所示：

应用服务器2应用服务器3

客户端

图1：系统逻辑结构示意图

如图1示，整个系统涉及了应用服务器、证书服务器以及相应的客户端。系统运作流程简述如下：

●客户端访问应用服务器，应用服务器向认证服务器发出认证请求；

●认证服务器完成对用户身份的认证并将与该用户相对应的认证信息

返回相应的应用服务器；

●用户在通过认证之后获得在应用服务器获得相应的授权，从而可以

对应用系统进行相应的访问。

所提交的认证系统在满足上述流程之外需要提供应用开发接口，满足与应用服务器之间的交互。这是将认证系统集成到整个身份认证系统的基础条件，使

得后续的开发工作能够利用认证信息做进一步的数据处理。考虑到平台的兼容性，应用系统开发方可以开发一个统一的接口程序与认证系统进行交互。另外还有如下几点要求需注意：

●认证服务器的用户信息需要依据数据库服务器中的用户信息为基

础；

●对于客户端的身份认证最好采用硬件方式；

●客户端通过广域网连接到认证服务器，要求认证服务器是能够面向

广域网用户的；

●客户端数量可以按250用户计算；

●提供认证系统的安全模式说明，详细介绍如何确保系统的安全；

●系统对认证系统的操作系统平台无特殊要求。

1.3 身份认证系统认证解决之道

根据身份认证系统的设计原则，系统安全需要解决如下几个方面的问题：

●数据的性。包括数据静态存储的性和数据传输过程中的性；

●有效的身份认证和权限控制。系统中的各个授权人员具有其特定级

别的权限，可以进行该权限的操作，无法越权操作；操作者事后无

法否认其进行的操作；未授权人员无法进入系统。

我们建议利用业界行之有效的高强度的加解密技术和身份认证技术保证身份认证系统的安全，CA中心的数字身份认证系统可以为用户提供解决办法。身份认证系统主要负责证书管理，保证系统安全不间断地提供证书的申请和作废，

提供用户信息和证书的备份和归档，保证系统数据的完整性。

如何解决身份认证系统的安全性是我们关心的最大问题，结合身份认证系统，我们设计如下的应用模式：

1.3.1 身份认证系统的模式

首先我们来看一下身份认证系统的模式：

●中心向操作员发放数字证书；

●用户使用数字证书登陆，经身份验证后，进入身份认证系统，填写

或修改表单并提交；

●系统对表单进行处理，然后提交、登记身份认证系统。

1.3.2 建立身份认证系统

身份认证系统以及与其发生业务的部门通过网络和数字证书建立安全可靠的身份认证系统。

身份认证系统以及客户和部门申请数字证书，其申请数字证书的方式详见以下章节的多种可选方案。

身份认证系统以及客户和部门申请到了标识其身份的数字证书文件和对应的私钥文件。在此将证书信息文件称为UserCert.der，私钥信息文件称为UserKey.key。证书的存储介质是带有算法的USBKEY。

在我们的身份认证系统提供支持多种平台的证书应用接口API （Application Programming Interface），WINDOWS平台以DLL的形式提供，各种UNIX平台以“.a”库的形式提供。利用该API，应用系统可以很方便