1. 產品簡介

SID強身份認證系統是北京時代億信公司根據企業內業務系統的安全需求，為企業級使用者提供一套強身份認證解決方案。

系統自帶企業級CA證書中心，極大的降低了使用者應用CA技術的成本，同時提升了管理員的工作效率。

它綜合雙因素、硬體令牌、簽名驗籤技術，能夠在應用系統的登入認證、敏感關鍵業務操作、應用保護等環節提供身份的安全識別保障。採用CA數字證書和數字簽名等技術進行身份識別，將代表使用者身份的數字證書和相應的私鑰儲存在USB介面的智慧卡中，私鑰不出卡，保證了唯一性和安全性。認證時，由SID客戶端元件完成數字簽名和加密，敏感資訊以密文形式在網路中傳輸，具有更高的安全性，從而解決了網路環境中的使用者身份認證問題。

產品可解決的問題

SID強身份認證系統主要為使用者解決如下問題：

1) 為企業應用系統的提供基於USB智慧卡的安全身份認證服務。基於系統內建的企業級CA平臺，利用儲存於USB智慧卡的PKI證書可以有效改善傳統字串口令的可傳播以及可重放破解的弱點。作為企業認證中心的SID強身份認證系統則在此基礎上可以為企業內業務系統提供統一的使用者認證服務。

2) 用於提升關鍵操作的安全性（使用者關鍵操作要求額外認證），基於USB智慧卡的簽名驗籤。接入SID系統的業務系統可以在使用者進行某些關鍵操作，如傳送合同時，要求使用者再次透過USB智慧卡驗證身份，從而確保該使用者的身份不會因為臨時離開座位或其他原因導致錯誤執行的關鍵操作。

3) 建立安全認證中心，作為安全基礎設施，為企業內眾多的應用系統提供基於PKI的統一身份認證憑證。

功能組成

SID強身份認證系統在應用中分為兩部分，分別是：SID強認證系統服務端和認證元件。

如圖1所示，SID系統的服務端主要分為：管理員平臺，ETCA證書中心，使用者登入入口、外部系統認證介面、底層服務四部分組成。

底層服務：包括解密驗籤服務與CA證書服務兩部分。解密驗籤服務對使用者登入時提交的登入憑證進行驗籤和解密，並將關鍵資訊返回給SID系統的使用者認證模組；CA證書服務則用來申請、吊銷使用者證書。

管理員平臺：SID系統的管理平臺為使用者提供基於三員分立的管理員管理規範，為使使用者可以更明確的、更便捷的管理SID系統，本系統還提供分級管理員管理功能。管理員可以在本平臺可以進行下列工作：

* 統管理員主要負責配置系統基本引數、使用者帳戶和組織機構的管理、業務系統管理以及使用者日誌審計。

* 安全管理員：管理使用者證書、配置業務系統接入資訊以及制定其他安全策略。

* 系統審計員：審計系統管理員操作日誌、審計安全管理員操作日誌。

管理員平臺在功能上分為如下部分：

* 系統配置：系統全域性類功能的配置，可以設定系統安全策略、進行根證書和伺服器證書配置設定全域性性策略等。包括伺服器配置、功能配置、證書配置、使用者訪問策略、日誌配置、使用者介面配置。

* 使用者管理：對組織機構、使用者、使用者證書的管理。包括組織機構管理、使用者管理、使用者屬性管理、使用者證書管理。

* 身份認證管理：配置系統可以使用的認證方式，及每種認證方式的認證策略。包括認證方式配置、一次性口令使用者管理。

* 應用系統管理：配置使用SID強身份認證系統的業務系統的基本資訊。

* 應用系統接入管理：配置各業務系統的認證、接入方式及相關引數。

* 日誌審計：對管理員操作、使用者認證、使用者單點進行詳細的日誌記錄。包括訪問統計、系統日誌、管理員日誌。

* 系統管理：系統CPU、記憶體監控，系統備份、還原等操作。包括系統監控、備份還原、恢復出廠配置、CA管理。

使用者登入入口：SID強身份認證系統的使用者登入入口可以為使用者提供身份認證服務，經過管理員配置後，使用者可以透過此入口進入設定的業務系統。

外部系統認證介面：SID強身份認證系統為外部系統提供的認證介面。實現SID系統提供的“應用系統認證介面API”後，使用者在業務系統中進行登入和關鍵操作驗證時，提交的認證資訊會經過“認證元件”的加密和簽名處理，經過處理的登入資訊則會被業務系統透過API提交到SID系統的外部認證介面。

收到經過加密、簽名處理後的認證資訊時，解密驗籤服務對使用者登入時提交的登入憑證進行驗籤和解密，並將關鍵資訊返回給SID系統的使用者認證模組。使用者認證模組則根據關鍵資訊鑑定使用者的登入請求是否有效以及身份驗證是否成功。

證書中心：

SID產品內建一套綜合的企業級證書管理系統（ETCA），可用於數字證書的申請、稽核、簽發、登出、更新和查詢，頒發的數字證書格式嚴格遵循X.509v3規範，具有廣泛適用性和良好的擴充套件性。透過使用該系統，可以搭建出符合政府、行業、第三方、企業需求的CA中心。透過使用ETCA發行的數字證書可以為使用者提供資訊保安的全面服務：

保密性 — 保證資訊是秘密的

完整性 — 能檢驗資訊未被篡改

身份鑑別 — 檢驗個人或機構的身份

不可否定性 — 確保資訊或操作不能被否認

ETCA應用國際先進技術，採用高強度的加密演算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統的安全、可靠的執行。

ETCA系統完全遵循PKI及相關標準，這樣有利於與其它廠商的產品實現互連，增大證書的適用範圍。

客戶端元件：如圖2所示，SID的客戶端元件的主要功能包括讀取USB智慧卡內的證書資訊、對認證資訊進行加密、簽名操作、監控USB智慧卡的連線狀態以及對USB智慧卡執行PIN碼安全策略。

工作原理

SID強身份認證系統是新一代的應用系統強身份認證產品，可配置多種認證方式，為應用系統提供強身份認證服務。同時，內建的ETCA證書中心還可使SID成為企業CA中心，為使用者提供證書申請、證書審批、證書籤發及證書認證等功能。

SID系統的設計理念，是使現有各類業務系統透過簡單的改造後，都可以使用SID系統作為強身份認證中心，為使用者提供USB智慧卡認證或其他強身份認證方式。

在強身份認證方面，利用客戶端元件對使用者證書資料進行“非對稱加密+使用者私鑰簽名”的安全封裝後以及增加系統隨機數進行重放攻擊保護。使認證資料即使傳輸在明文HTTP協議下依然可以保證認證資訊的安全性和唯一性。

服務端在收到加密後的登入資訊後，需要經過解密以及驗籤後，才會使用處理後的關鍵資訊進行使用者身份驗證。

產品優勢

* 擁有安全、穩定的強身份認證技術

* 內建企業級CA證書中心

* 使用者屬性與證書管理無縫結合

* 提供API，降低業務系統接入難度

* 作為強身份認證中心，為業務系統提供標準的接入認證服務

* 符合相關安全規定，支援SM2橢圓曲線密碼演算法、管理員三員分立、智慧卡PIN碼安全策略

* 靈活的擴充套件認證介面，便於支援其他強身份認證手段

2. 產品功能特點

強身份認證的安全特性

SID強身份認證系統將系統帳號以USB智慧卡的形式存在於真正的使用者手中，有賴於“加密簽名”和“解密驗籤”的資訊互動機制，使之成為該使用者在各業務系統中唯一的身份標識，只有持有智慧卡的使用者才能登入業務系統、處理關鍵資訊。並且，智慧卡在所有業務系統中的資訊是一至的。

使用SID系統進行使用者身份驗證時，使用者無需擔心智慧卡資訊的安全性和正確性。SID身份認證元件在獲得智慧卡資訊後會自動將使用者證書資訊以及隨機數進行組合，並對其進行非對稱加密以及使用者證書籤名。使用者向SID系統提供的認證資訊全程都被這種安全措施保護著，保證了使用者認證資訊的惟一性、安全性，同時也從機制上阻止了破解與重放攻擊的安全隱患。

在網上辦公環境中，SID強身份認證系統將USB智慧卡作為使用者的唯一標識，當使用者移除智慧卡時，SID的身份認證元件會自動監測到使用者智慧卡的移除事件，此時認證元件會給出重新連線智慧卡的提示，在有效時間內仍未檢測到智慧卡或使用者確認移除智慧卡時，身份認證元件會自動將使用者訪問業務系統的瀏覽器強行關閉。使使用者無需擔心移出智慧卡但沒有關閉瀏覽器時會被其他人非法使用的情況。

SID強身份認證系統在為使用者提供身份認證的同時，還為使用者提供“關鍵操作驗證”服務。當某使用者需要執行下發公文、上報合同這類“關鍵業務操作”時，業務系統可以要求使用者再次輸入智慧卡PIN碼，並將確認資訊提交到SID系統中進行身份確認，以防止使用者誤操作或非授權執行操作。

應用快速接入

使用者部署SID強身份認證系統後，業務系統只需經過簡單的改造就可以使用該系統作為統一認證中心使用。在常規模式下，業務系統使用SID提供的認證API對認證模組進行改造即可。具有改造工作量小、實施快速和不影響業務系統整體執行流程的特點。

如圖6所示，使用者訪問業務系統的主要流程與改造前一至，使用USB智慧卡登入業務系統改造後的智慧卡登入，業務系統將加密簽名後的使用者認證資訊透過“介面API”直接提交到SID強身份認證系統進行身份驗證，並根據SID系統返回的資訊對使用者進行鑑權，從而完成使用者認證流程。在這個過程中，使用者的使用流程方式不會因系統改造而改變。

在企業辦公網路不斷建設的過程中，可能有些業務系統已經沒有後續開發和改造支援了。SID系統為這些不具備改造條件的業務系統提供了另一種認證接入方式。

如圖7所示，該方式基於“Cookie賦權，業務系統鑑權 ”的工作模式。使用者在使用業務系統時，首先需要登入到SID強身份認證系統中，完成登入後，SID系統會將使用者的登入資訊儲存在Cookie中，然後將瀏覽器跳轉到目的業務系統，目的業務系統檢測到使用者Cookie後，利用自身的鑑權機制對使用者登入資訊進行鑑權，從而完成身份認證和訪問鑑權的使用者登入流程。

利用上述兩種接入方式，使用者在部署SID系統後，可在極短的時間內完成業務系統改造，快速接入並使用SID系統提供的強身份認證服務。

內建ETCA企業級CA

SID強身份認證系統內建了一套名為“ETCA”的CA證書中心，當使用者部署SID強身份認證系統後，使用者也就擁有了一套企業級CA證書中心。

增加一套系統並不會增加管理員的工作量，經過SID系統的無縫整合後，管理員可以在SID的管理平臺中完成所有與證書有關的操作。

安全管理員能夠在使用者管理中實現使用者證書的申請、下載、重新申請、吊銷等操作。

同時，為了相容已有業務系統中的使用者資訊，SID系統提供的使用者匯入功能配合CA證書中心使用後，可在非常短的時間內為已有使用者完成證書申請工作。

完成證書申請的使用者，可以透過管理員在SID管理平臺中將證書灌製到USB智慧卡後發給使用者，或者由使用者在指定頁面透過授權碼自助灌製。

內建驗籤服務模組及開發API

SID強身份認證系統作為企業級強身份認證的整體解決方案，在系統內整合了一套簽名、驗籤服務，使用者無需單獨購置。

簽名驗籤服務作為SID強身份認證系統的核心元件之一，負責對客戶端提交的使用者認證資訊進行解密、驗籤、重放驗證等處理，並將處理後獲得的關鍵資訊返回給SID認證系統。

整套加密、簽名和解密、驗籤的身份認證機制具有十分嚴密的安全措施。為了減少業務系統進行認證接入時的改造工作量，SID系統為業務系統提供了一套已經實現該機制的API介面，如圖2-7所示，業務系統只需要在登入模組中增加幾行程式碼，同時根據示例簡單修改一下登入頁面，便可實現上述加密、簽名的認證方式。

支援SM2橢圓曲線密碼演算法

為滿足電子認證服務系統等應用需求，國家密碼管理局於2010年末釋出了基於ECC橢圓曲線的SM2密碼演算法（國家密碼管理局公告第21號），其演算法機制準則包括總則、數字簽名演算法、金鑰交換協議、公鑰加密演算法等四大部分，並要求自2011年3月1日起，新研製的含有公鑰密碼演算法的商用密碼產品必須支援SM2橢圓曲線密碼演算法。

SID強身份認證系統不僅系統內建的ETCA證書中心支援使用SM2密碼演算法簽發使用者證書，同時在加密、簽名等主要流程節點中也已支援SM2密碼演算法。

同時為了更好的支援企業內部已經建立的CA證書系統，SID強身份認證系統可以相容原有1024位、2048位的RSA演算法。

符合國家密碼演算法相關安全標準

SID強身份認證系統遵守以下國家標準：

GB/T 17964-2000資訊科技 安全技術 加密演算法 第1部分：概述

GB/T 17964-2000資訊科技 安全技術 加密演算法 第2部分：非對稱加密

GB/T 17964-2000資訊科技 安全技術 加密演算法 第2部分：對稱加密

GB/T 17903.1-1999資訊科技 安全技術 抗抵賴 第1部分：概述

GB/T 17903.2-1999資訊科技 安全技術 抗抵賴 第2部分：使用對稱技術的機制

GB/T 17903.3-1999資訊科技 安全技術 抗抵賴 第3部分：使用非對稱技術的機制

GB/T 18238.1-2000資訊科技 安全技術 雜湊函式 第1部分：概述

GB/T 18238.2-2002資訊科技 安全技術 雜湊函式 第2部分：採用N位塊密碼的雜湊函式

GB/T 18238.3-2002資訊科技 安全技術 雜湊函式 第3部分：佔用雜湊函式

GB/T 20518-2006資訊保安技術 公鑰基礎設施 數字證書格式

GB/T 20520-2006資訊保安技術 公鑰基礎設施 時間戳規範

GB/T 19713-2005資訊科技 安全技術 公鑰基礎設施 線上證書狀態協議

GB/T 19771-2005資訊科技 安全技術 公鑰基礎設施 PKI元件最小互操作規範

GB/T 15851資訊科技 安全技術 帶訊息恢復的數字簽名方案

公鑰密碼基礎設施應用技術體系 證書應用綜合服務介面規範

公鑰密碼基礎設施應用技術體系 通用密碼服務介面規範

公鑰密碼基礎設施應用技術體系 標識規範

資訊保安技術 證書認證系統 密碼及其相關安全技術規範

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/10098689/viewspace-1060916/，如需轉載，請註明出處，否則將追究法律責任。