基于USB key集中身份认证的应用分析.docVIP

基于USB key集中身份认证的应用分析 　　摘 要：该文阐述了中石油集团公司推广的基于USB key的身份认证项目的背景意义，以及在企业中发挥中的作用，并对项目在企业中的应用效果进行了分析，并为该项目的下一步推广提出了建议。 　　关键词：信息化；安全；身份认证；USB key 　　中图分类号：TP393.08 　　1 引言 　　随着互联网和电子商务的发展，USB key作为网络用户身份识别和数据保护的“电子钥匙”，正在被越来越多的用户所认识和使用。2010年末，中石油集团公司开始启动身份认证项目，逐步推进在身份管理与认证平台集成各应用系统，使得用户能够经过身份认证后，可以实现单点登录，为提升企业信息安全发挥了重要的作用。 　　2 项目背景 　　随着信息化的快速发展，中石油集团公司认识到信息化对企业生产和管理的重要性，开始在信息化上展开工作并加大投入。近年来，统一实施了电子邮件、生产管理、ERP、人力资源、HSE、合同、档案、OA和财务等信息管理系统，逐步实现企业的生产、管理等诸多业务电子化、无纸化，期望借助信息化的平台，为企业提供新的管理手段与模式，来提高企业的管理效率，加快企业的发展。 　　这些应用系统采用不同的技术开发，实现的功能千差万别，出于安全考虑，每个系统都要鉴别使用者的身份，都要求用户输入用户名和密码。用户在日常工作中要记住每个系统的用户名和密码，在系统日益增多的情况下，很多用户常会设置简单易记的弱口令，这非常不利于系统的安全。另一方面，某些应用系统身份管理与认证的管理方式与实现流程不够完善，从而造成在应用系统中存在大量孤儿账号，为系统的安全性带来极大隐患。如今网络上的木马盗号违法行为盛行，只要计算机联网，几乎每一台电脑都可能遭受到攻击，而传统使用的静态密码（用户名+密码）被认为是极度危险的身份认证手段，所以对重要而敏感的网上身份认证的安全必然引起我们的重视。 　　综上所述，在今天企业信息化的发展形势下，简单的用户密码验证方式已经暴露出很多问题，给管理和安全上带来很大隐患，所以统一推行基于USB key的身份认证平台，集中的账号、口令管理机制，为中国石油信息技术应用环境建立起安全可靠的信息安全“基准线”。 　　3 平台功能介绍 　　身份管理与访问控制系统能够集中身份管理、授权管理、单点登录和强认证。 　　集中身份管理：实现中国石油员工与各应用系统账号的对应，方便掌握人员所拥有的各应用系统的信息，在人员状态（离职、职位变更、调动等）发生变化时，能够及时对账号进行相应操作（增加、冻结、修改）。 　　授权管理：根据不同业务应用需要，可灵活定义多种用户身份管理的审批流程。 　　单点登录：实现了被集成应用系统之间的身份认证互信机制，用户经过统一身份认证之后，即可访问该用户拥有访问权限的全部应用系统； 　　强认证：在符合国家相关标准的公共密钥体系基础设施的支撑下，基于严谨的加密算法与密钥管理机制，实现高安全性的USB key数字证书认证方式。 　　图3.1 USB key 平台功能示意图 　　4 身份认证平台的应用分析 　　4.1 USB key有效提高了系统用户账号安全性。 　　中石油推广的信息系统越来越多，每套系统都有一套独立的账号和密码，一个用户常常拥有多个系统的账号，经常出现用户名和密码混淆或忘记的情况，或者为了避免忘记，所有的系统设置简单易记的弱口令，然而对于ERP、人力资源、合同等具有企业重要信息的系统，如果密码泄露，将会导致公司内部的重要保密信息泄露，直接影响企业的正常发展。通过推行基于USB key的身份认证平台后，使用USB key数字证书和PIN口令的双因素认证，提高了系统登录认证强度，消除了用户名、密码在网上传输时被监听和截获的风险，有效满足了信息系统登记保护和萨班斯法案相关要求，同时实现了各应用系统的单点登录功能，使用户不需再记忆多套用户名和密码。 　　4.2 USB key能够体现人岗与系统匹配的科学管理。 　　推进身份认证系统后，实现“一人一key”的管理与使用模式，原先因为部分用户常常因为出差或对系统功能不够熟悉，而将账号和密码交由其他人来进行处理业务，这对账号的使用存在了一定的风险，尤其是权限比较高的账号，更会出现管理漏洞的出现，这违反了信息系统建设的初衷，而且也不符合内控体系的岗位职责分离规定。通过USB key登陆平台后，因为USB key涉及的系统很多，成为办公的必备工具，而且该登陆平台将各系统集成后，直接减少了逐个登陆系统的繁琐，简化了工作程序，用户对系统的抵触心理会大大减弱，经过阶段性运行后，发现通过USB key的使用有效消除了应用系统中存在的多人共用账号问题。 　　4.3 USB key身份认证规范了系统账号身份管理。 　　近