信息安全认证方案简介

信息安全认证技术比较
动态口令： 口令是动态变化的，但是动态变化的口令存在一个时间周期，因此，在时间 周期内口令被盗取，将带来风险。可以通过使用钓鱼网站等方式窃取时间周 期内的口令，进行身份的假冒。 动态口令是身份认证方面部分解决静态口令固有的安全漏洞，不能实现数据 不能实现数据 加密、保障数据完整和数字签名等。无政策支持，不具备法律证据效力。 加密、保障数据完整和数字签名 数字证书： PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥 体制是目前应用最广泛的一种加密体制，在网络通信和网络交易中，特别是 在电子政务和电子商务业务中，最需要的安全保证包括四个方面：身份标识 身份标识 和认证、保密或隐私、数据完整性和不可否认性。 和认证、保密或隐私、数据完整性和不可否认性 PKI可以完全提供以上四个方面的保障。有世界公认的理论基础（ PKI 理 中华人民共和国电子签名法》 论）、有国家立法支持《中华人民共和国电子签名法 中华人民共和国电子签名法
信息安全认证方案
• 基于动态口令的 基于动态口令的统一认证方案 • 基于 基于PKI/CA统一认证方案
基于动态口令的解决方案
使用说明（1）
TAM实现说明： 实现说明： 实现说明 • TAM自身支持动态口令认证。只需配置WebSEAL的配置文件。 自身支持动态口令认证。只需配置 的配置文件。 自身支持动态口令认证 的配置文件 • 保留原有 保留原有LDAP静态密码，作为身份认证第一要素。 静态密码， 静态密码 作为身份认证第一要素。 • 使用硬件令牌，作为身份认证第二要素，比较正式。同时给高层令牌配备手 使用硬件令牌，作为身份认证第二要素，比较正式。 机令牌，方便领导出差使用。 机令牌，方便领导出差使用。 • 登录过程： 登录过程： 第一步：用户登录PORTAL门户页面，TAM收到请求后将用户重新定向到 第一步：用户登录 门户页面， 收到请求后将用户重新定向到 门户页面 webseal密码验证页面，验证原有 密码验证页面， 密码。 密码验证页面 验证原有LDAP密码。 密码 第二步：用户输入用户名、动态令牌PIN码 动态令牌的动态口令， 第二步：用户输入用户名、动态令牌 码、动态令牌的动态口令，发送到验 证服务器（安盟动态口令服务器），以进行身份验证。 ），以进行身份验证 证服务器（安盟动态口令服务器），以进行身份验证。 第三步：用户验证通过后， 写入客户端浏览器， 第三步：用户验证通过后，TAM将SSO token写入客户端浏览器，然后带 将 写入客户端浏览器 用户进入门户信息展示页面
产品构成
各种令牌 认证服务器 认证代理
www.theme
关键技术-时间同步 关键技术 时间同步
Key technologies - time synchronization
认证设备
Server
752926
伪随机算法 伪随机算法 时间 种子
752926
时间
种子
相同的种子 相同的时间
客户端工具 双因素身份认证系统包括：认证令牌、认证服务器、保 护网络资源的代理软件以及智能卡认证技术等
使用说明（2）
CBOS实现说明 实现说明 • 采用 采用WebService方式来与动态口令服务器做认证通信。 方式来与动态口令服务器做认证通信。 方式来与动态口令服务器做认证通信 • 保留原有静态密码，作为身份认证的第一要素。 保留原有静态密码，作为身份认证的第一要素。 • 采用短信令牌，作为身份认证的第二要素，方便使用。重要领导岗位使用硬件令 采用短信令牌，作为身份认证的第二要素，方便使用。 牌比较正式。 牌比较正式。 CLP实现说明 实现说明 • 采用 采用WebService方式来与安盟动态口令服务器做认证通信。 方式来与安盟动态口令服务器做认证通信。 方式来与安盟动态口令服务器做认证通信 • 保留原有静态密码，作为身份认证的第一要素。 保留原有静态密码，作为身份认证的第一要素。 • 采用硬件令牌，作为身份认证的第二要素，方便使用。同时给高层令牌配备手机 采用硬件令牌，作为身份认证的第二要素，方便使用。 令牌，方便领导出差使用。 令牌，方便领导出差使用。 主机管理 • 需要安装安盟认证代理软件 • 保留原有静态密码，作为身份认证的第一要素。 保留原有静态密码，作为身份认证的第一要素。 • 采用硬件令牌，作为身份认证的第二要素，方便使用。 采用硬件令牌，作为身份认证的第二要素，方便使用。 网络设备管理 • 无需安装软件，只需要在网络设备上设置外部认证 无需安装软件，只需要在网络设备上设置外部认证RADIUS服务器，认证服务器也 服务器， 服务器 是一套RADIUS服务器，同时支持 服务器， 认证。 是一套 服务器 同时支持802.1X认证。 认证 • 现有 现有RSA动态令牌可以保留使用，到期后，可以平滑过度到认证平台。 动态令牌可以保留使用， 动态令牌可以保留使用 到期后，可以平滑过度到认证平台。 • 采用硬件令牌。 采用硬件令牌。
信息安全认证技术分为：
•常规的“口令”代码认证 •动态口令（动态口令）认证 •生物技术（指纹、虹膜、面容等）认证 •数字证书（CA）认证等。 其中常规的“口令”代码认证是计算机系统的早期身份认 证产品， 因其“口令”的静态特性和重复使用性，存在易 窃取、易猜测、易破解等安全缺陷，是一种弱身份认证系 统，只能用于安全等级要求较低的信息系统。动态口令认 证、生物技术认证和数字证书认证是强身份认证系统，可 用于政府、金融、企业等重要信息系统的安全认证
信息安全认证方案
• 基于动态口令的 基于动态口令的统一认证方案 • 基于 基于PKI/CA统一认证方案
基于PKI/CA统一认证方案
认证中心（ 认证中心（CA Server） ） 注册中心（ 注册中心（RA Server） ） 密钥管理中心（KM Server） 密钥管理中心（ ） 在线证书状态查询服务（ 在线证书状态查询服务（OCSP Server） ） 目录服务系统（ 目录服务系统（LDAP） ） 加密机
信息安全认证方案简介
宁波港信息通信有限公司
安全认证内容
• 1、信息安全需求 、 • 2、信息安全认证技术 、信息安全认证技术 • 3、信息安全认证解决方案 、
信息安全的需求
• • • • • • 用户的身份鉴别 访问控制与授权 信息的保密性与安全性 保证数据的完整性 不可否认性 监听与审计系统
信息安全认证技术
生物认证技术 （包括指纹、虹膜、面容识别等） –无法集成现有应用 –需要特殊的外围认证设备 –应用不成熟、使用维护成本 动态口令认证技术 –直ቤተ መጻሕፍቲ ባይዱ集成各种应用，无需客户端软件 –提供全面资源保护，如网络访问与维护、主机登录、Oracle数据库、Web Server等 –技术成熟、可靠，方便部署、管理、分发和使用 数字证书认证技术 –无法集成现有应用，需要很多开发工作 –客户端需要安装驱动程序，管理、部署和维护复杂 –缺少必要的灵活性 –在许多特殊场景下无法使用，如对登录UNIX操作系统的保护就无能为力
PKI安全基础设施 证书签发系统（CA Server）：CA Server作为电子证书认证系统的核心，负责所有 证书的签发、注销以及证书注销列表的签发等管理功能。 证书注册系统（RA Server）：RA Server是数字证书注册审批系统，是CA Server的 证书发放、管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作，同 时对发放的证书进行管理。 密钥管理中心（KM Server）：KM Server是密钥管理系统，为CA Server提供用户 加密密钥的生成及管理服务。系统支持符合PKCS#11标准的加密设备，支持高强度的 密钥及加密算法。通过PKCS#11接口直接硬件加密，实现了黑盒管理，系统密钥不出 主机加密服务器，拥有高强度的安全性和保密性。 在线证书状态查询服务（OCSP Server）：OCSP Server是在线证书状态查询系统， 为证书应用提供实时的证书状态查询服务。
目录服务系统（LDAP） 统一用户管理系统 USB智能密码钥匙
PKI安全基础设施实施
PKI
LDAP
OCSP
UMS
RA
CA
CA CA/ LDAP
KM
OTHER APP
CLP
CBOS
WAS
INTERNET
USB智能密码钥匙 智能密码钥匙
• USB KEY作为用户的证书存储介质，USB Key在全球首次将 位核心的高性能、高容量智能卡芯片用于 作为用户的证书存储介质， 在全球首次将32位核心的高性能 作为用户的证书存储介质 在全球首次将 位核心的高性能、高容量智能卡芯片用于USB 中， 提供高速硬件运算能力和超大容量存储空间，提供符合PC/SC标准的驱动程序，支持 标准的驱动程序， 智能卡登陆， 提供高速硬件运算能力和超大容量存储空间，提供符合 标准的驱动程序 支持Windows 智能卡登陆，通过非 对称密钥技术实现可靠的身份认证和数据加密，广泛应用于PKI体系，足以满足数字证书和电子印章用户的最高端需 体系， 对称密钥技术实现可靠的身份认证和数据加密，广泛应用于 体系 求。 • PC/SC标准驱动程序，支持 标准驱动程序， 标准驱动程序 支持Windows智能卡登录 智能卡登录 • 32位智能卡芯片 位智能卡芯片 • 自主知识产权的卡片操作系统 • 硬件产生 硬件产生1024位RSA密钥 位 密钥 • 硬件支持 硬件支持RSA、DES 、3DES、SHA-1和MD5算法 、 、 和 算法 • 内置国密算法 • 支持第三方算法下载 • 64位唯一硬件序列号 位唯一硬件序列号 • 硬件随机数生成器 • 对PKI应用具有强大的即插即用功能 应用具有强大的即插即用功能 • 提供标准安全中间件接口（CSP、PKCS#11） 提供标准安全中间件接口（ 、 ） • 支持多个密钥的存储 • 硬件实现数字签名 • 支持 支持X.509 v3标准证书格式 标准证书格式 • 在浏览器中可以通过 在浏览器中可以通过ActiveX Control 和 Java Applet来访问 来访问 • 支持多种操作系统 支持多种操作系统Windows 98SE/Me/2000/XP/Server 2003、Linux、Mac OS 、 、 • 标准 标准USB1.1全速设备，支持 全速设备， 接口， 全速设备 支持USB2.0接口，通讯速率 接口 通讯速率12Mbps。 。 • 符合 和FCC标准 符合CE和 标准 • 1024位RSA密钥的签名、验证时间小于 秒，1024位RSA密钥的生成时间小于 秒； 密钥的签名、 密钥的生成时间小于5秒 位 密钥的签名 验证时间小于1秒 位 密钥的生成时间小于 • 数据保存 年以上，FLASH可擦写 万次以上。 数据保存20年以上 年以上， 可擦写60万次以上 可擦写 万次以上。