一、用户面临的风险
目前,大多数应用系统主要采用传统的口令认证方式进行身份认证。
这种认证方式面临众多攻击和泄露风险,比如:网络窃听(Sniffer)、认证信息截取/重放(Record/Replay)、病毒、黑客等,传统的口令认证方式已经无法满足大规模网络应用的安全认证需求。
二、认证墙简介
1、简介
认证墙是基于PKI(Public Key Infrastructure)理论体系, 利用CA、数字签名和数字证书认证机制,综合应用USB接口智能卡、安全通道、安全插件等技术,为门户、OA、ERP等业务系统提供用户身份鉴别、安全审计等强身份认证服务的网络设备和系统。
2产品形态
认证墙由硬件和软件包组成,硬件为标准的1U或2U工控机(高性能需求用户可采用高性能服务器),软件包是部署在用户系统上的插件和Filter过滤器,完成对应用系统的保护并与认证墙通信,以安装光盘的方式提供
图:用户系统面临的风险
三、主要功能
1、 CA证书申请及管理
认证墙包含一套完整的CA系统,负责用户数字证书和私钥的申请、灌制、签发、作废等功能。证书格式遵循X.509规范,证书状态采用OCSP协议,黑名单满足CRL,智能卡满足CSP协议。CA证书存储介质支持:
● USB接口智能卡
● IC卡
● P12文件
● 磁盘、U盘
支持第三方CA系统,如中国电信CTCA,并由证书管理系统负责将数字证书和相应私钥写入智能卡等存储介质中。
支持国家密码管理局批准生产的加密机或加密卡产生密钥对和对私钥进行存储。
2、身份认证
利用数字签名和数字信封技术对用户身份进行识别。认证墙自动屏蔽系统原始的用户名和口令,在应用层控制用户对系统的访问,用户提交自己的证书和私钥签名,由认证墙进行认证后,才能根据权限进入业务系统。
认证墙可对用户权限进行细粒度的管理和配置,如限制用户何时、用何方式进入系统(采用智能卡早上8:00至中午12:00允许访问)等。
3、 安全审计
认证墙记录用户的每次操作的详细日志,并在自身数据库服务器中保存用户签名,实现事后追查和安全审计。
认证墙通过浏览器进行时实监控和管理,当有黑客入侵或非法系统访问时,认证墙能实时发送手机短信和邮件通知管理人员。
四、认证墙在网络中的位置
五、认证墙产品功能规格
1、客户端功能规格说明
☆ 支持操作系统:Windows 98/2000/XP/2003、Linux
☆ 支持智能卡:明华、天喻等符合PKCS11、CSP标准的智能卡
☆ 支持证书文件PKCS12格式认证
2、 认证墙功能规格说明
2.1 用户应用系统数据库
☆ 支持主流的关系型数据库:Oracle、DB2、SQL Server、MySQL等
☆ 支持主流的目录服务:LDAP、Active Directory
2.2 认证服务
☆ 支持主流的操作系统:Windows、AIX、Solaris、UP-UX、RedHat Linux等
☆ 支持CRL、OCSP的处理
☆ 支持RADIUS认证(第三方数据源)
☆ 支持域认证
图 认证墙网络接入示意图
2.3认证管理系统
☆ 支持用户数字证书第三方CA系统申请
☆ 支持用户的授权及管理;
☆ 支持一次性口令(临时口令)的设置和管理;
☆ 支持用户智能卡的解锁(或智能卡用户重新制作);
☆ 支持对认证和应用系统访问的安全审计:日志签名存储,日志查询统计、实时监控与跟踪审计、应用系统日志接口;
☆ 支持对服务器自身(AuthAdmin、AuthService、AuthDB、AuthAgent)的Web方式配置和管理;
2.4 认证代理系统
☆ 支持主流的操作系统:Windows、AIX、Solaris、UP-UX、RedHat Linux等;
☆ 认证代理各参数的配置化;
☆ 支持单向SSL、双向SSL工作模式;
2.5 认证过滤器
☆ 支持主流的操作系统:Windows、AIX、Solaris、UP-UX、RedHat Linux等
☆ 可限制认证代理服务器IP地址之外的IP地址,在未经认证的情况下对应用系统的直接访问;
☆ 实现基于Cookie和 Session的应用系统的信任机制;
☆ 支持J2EE、ASP/.net、Domino等典型应用系统;
3、安全开关
根据产品实施经验,用户在使用前期阶段,需要保留原认证方式,认证墙采用安全开关技术,保证系统能随时打开或关闭系统原认证方式,保证用户使用习惯和系统稳定性的平滑过度。
安全开关还能在出现认证墙硬故障时,临时恢复到系统以前的状态,保证系统不间断运行。
4、认证墙性能
4.1 签发证书的数量
☆ CA系统证书签发数量无限制
4.2系统容量(标准型)
☆ 同时认证并发量200次/秒
☆ 认证处理能力小于0.02秒/次;
☆ CA系统证书签发速度为10秒/张;
4.3高可靠性
☆ 双机热备,配置文件及数据自动同步;
☆ 多台认证墙之间可实现负载均衡;
