强身份认证相关技术及应用

强身份认证相关技术及应用

一、应用系统现存问题

问题1：身份认证问题

弱口令问题：存在各种弱口令、口令生命周期等各种安全问题，安全性低

不可追究性：无法也不可能真实实现将用户与其本人真实身份一一对应起来

易被监听窃取：采用明文传输,容易被截获破解并冒用,降低了系统的安全性

问题2：权限管理问题

权限：如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限

角色：多个系统，多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合

问题3：访问控制问题

①不同的信息应用采用了不同的授权模式，各系统的授权信息只在本系统内有

效，不能共享

②无法在非安全的、分布式环境中使用

③难以满足各部门对跨地区、跨部门的信息共享和综合利用的需求

二

三、技术方案

双因子认证和单点登录（SSO,Single Sign-On）

现有系统和新建系统单点登录方案

四、强身份认证技术

强身份认证技术包括：静态口令识别、智能卡识别、生物识别

优点：

1、双因子（2-factor）或者多因子认证，有效防止冒充，增强可靠性；

2、避免每种认证的缺陷，综合多种认证的优点；

五、强身份认证产品

1、强身份认证产品能解决哪些问题

Ø 应用于企业应用系统的安全身份认证(防止口令密码被猜测或复制)

Ø 用于增强公网访问应用系统的安全性(从互联网访问的应用系统)

Ø 用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统)

Ø 用于提升关键操作的安全性(用户关键操作要求额外认证)

2、强身份认证功能

Ø CA认证(数字证书/USB智能卡)

Ø 动态令牌认证

Ø 指纹认证

Ø 手机短信动态密码认证

3、单点登录功能

Ø 插件方式

Ø 代理方式

Ø 反向代理方式

Ø 多种主流产品的单点登录适配器

UAP统一身份认证及访问控制产品

目标客户群

Ø 需要整合多个应用系统方便用户访问的单位与公司

Ø 需要建立企业用户管理基础设施的单位与公司

Ø 具有多个下属单位应用系统分级建设的大型企业或单位

Ø 需要对内部资源进行访问控制的单位与公司

产品能解决哪些问题

Ø 多应用系统的统一身份认证(集中企业应用入口)

Ø 多应用系统的安全单点登录(方便用户使用提高工作效率)

Ø 用户数据的集中管理(企业的基础用户信息源)

Ø 安全应用整合(以UAP为中心与多种安全产品联动)

统一认证及访问控制系统功能

1、单点登录功能

Ø 插件方式

Ø 代理方式

Ø 反向代理方式

Ø 多种主流产品的单点登录适配器

2、 UAP主从帐号管理功能

UAP统一认证与访问控制产品支持主从账号管理，本系统内的用户信息数据独立于各应用系统，形成统一的用户唯一ID，并将其作为用户的主账号，再由其关联不同应用系统的用户账号(从账号)，最后用关联后的账号访问相应的应用系统，不会对其它应用系统产生任何影响，从而解决登录认证时不同应用系统之间用户交叉和用户账号不同的问题。单点登录过程均可通过安全通道来保证数据传输的安全。

3、UAP访问控制功能

UAP统一认证与访问控制产品在进行实体访问控制时，使用自主研发的协议分析系统，对用户与资源间会话进行分析，通过IP和端口控制技术，结合用户认证完成后的身份信息进行协议分析，根据身份信息、IP地址、端口等信息动态产生和删除包过滤规则，达到对设备的访问控制目的

Ø 物理隔离受控资源

Ø 确的访问授权

Ø 访问控制审计

六、强身份认证产品功能

强身份认证的安全特性：依据CA产业联盟的“加密签名”和“解密验签”的信

息交互机制，使之成为各业务系统的唯一身份标识，只有经过认证过的用户才能登录

各业务系统、处理关键信息。并且所有操作都会被记录。

使用强身份认证的用户验证身份时，无需担心信息的安全性和正确性，认证过程

会自动将用户证书信息以随机数组合，并对其进行非对称加密以及用户证书签名。

还可以为客户提供“关键操作验证”服务。

内置验签服务模块及开发API：例如手机盾软件，可成为各种产品强身份认证的

综合解决方案，集成一套签名、验签服务，用户无需单独购置

支持SM2椭圆曲线密码算法：为满足电子认证服务等应用需求，国家密码管理局

于2010年末发布了基于ECC椭圆曲线的SM2密码算法（国家密码管理局公告第21号），其算法机制准则包括总结、数字签名算法、密钥交换协议、公钥加密算法等四

大部分,并要求自2011年3月1日起，新研制的含有公钥密码算法的商用密码产品必

须使用支持SM2椭圆曲线密码算法

七、身份强认证技术相关解决方案

1、移动医疗应用安全解决方案：

目前，医疗业务应用与基础网络平台的逐步融合，正成为国内医院，尤其是大中型医院信息化

发展的新方向，而移动查房也是医院信息化建设推广中的重要环节。医院移动查房所使用的终端大

多选择平板电脑作为无线终端设备，操作系统则以Android、IOS为主。在医护人员移动查房过程中，使用移动终端对电子病历的操作如何能够有效明确地形成法律效力，确认责任认定，则是迫在眉睫

需要解决的问题。

医护人员在使用无线终端设备进行业务操作时，主要需解决以下安全隐患，如解决身份认证的

问题，传统的密码身份认证方式由于容易被拦截、被猜测、被暴力破解，已经无法满足无线应用的

强身份认证需求;安全传输问题，无线网络承载了大量的医疗私密信息，如何防止这些敏感数据不会被窃听和非法篡改;抗抵赖问题，无线业务在开展过程中如何防止用户在完成关键操作后进行抵赖。

该方案主要涉及的产品包括，数字证书、移动证书中间件、数字签名验证服务器、证书管理服

务器等。为无线终端用户签发标识各自合法身份的数字证书，用户可选择适合自己的证书介质如蓝

牙KEY、OTGKey，该这书介质既可应用应移动终端亦可应用工语PC端;通过手机证书中间件产品，

实现用户数字证书登录认证，以及在重要操作过程中的电子签名;通过数字签名验证服务器，实现用户证书验证、信息加解密、签名验签等安全应用;通过证书管理服务器，实现用户证书的自动更新，移动管理等功能。

随着无线通信技术的发展，将会有越来越多的应用从传统的PC机平台向无线终端平台转移，无线证书将会有更广泛的应用。而基于PKI/CA技术体系的安全防护手段将能有效促进这些应用的安全使用，通过在关键业务中引入符合电子签名法要求的可信数字签名，更好的为无线应用系统如移动

查房、移动办公提供安全保障。

通过该方案的应用，解决了移动设备数据安全，提升了医院信息化程度，提高了医疗人员办公

效率，保障了移动应用的合法有效，进而实现了移动医疗的无纸化，减少了医院在移动护理、医疗

浪费的纸质成本。