龙脉科技身份认证技术方案.docxVIP

龙脉科技身份认证技术方案概述随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正发生巨大变化，企业内部的管理也由传统的制度管理转变为信息化管理，企业内部业务管理软件很大程度上提高了日常的工作效率。本方案主要采用龙脉科技的K3pro身份认证锁，其通过非对称密钥技术实现可靠的身份认证、数据加密、签名/验签等功能，K3pro硬件芯片支持RSA DES AES SHA等多种加密算法，密钥对生成速度快，硬件芯片内置随机数发生器，标准版支持64KB安全数据区用于存放证书、密钥及敏感数据，并可根据需求提供最大96KB安全数据区，同时自带2M光驱，最大可提供8M，可用于存放中间件方便最终用户使用，增强软件的健壮性。需求分析业务管理软件对于提高办公效率，实现信息共享，提高服务管理水平具有重要作用。在享受信息资源得到更大程度的共享的同时，随之而来的网络安全问题也日益突出：用户登录业务管理系统时的身份确认问题业务系统数据传输的机密性问题数据传输的完整性以及抗抵赖性问题使用业务管理系统处理日常工作的过程中相应所发生的敏感数据的传输必定要在网上进行，这就增加了敏感数据在网上传输时被窃取、篡改的机会，并且网上办公在取代了传统办公同时也增加了工作中抵赖、欺诈行为发生的可能性。这就需要我们对敏感数据进行签名加密，以达到防抵赖、防篡改等功能。为了该系统用户数据的安全传输，以便系统更好的推广，计划对该系统进行基于数字证书的安全改造，能实现基于数字证书的用户身份认证，关键数据的加解密、签名/验签等功能。设计原则及目标设计原则在产品安全应用的设计过程中，我们坚持如下四个原则，即：统筹规划、分步实施；统一标准、统一规范；充分利用现有资源；密切结合相关业务的实际需求。设计目标建设基于信息安全的业务管理系统；建设业务管理系统安全保障体系；通过强身份认证手段的采用，确保所有业务系统用户的身份的真实性；对业务管理系统数据交互采用加密防护、数字签名，满足数据加密传输、不可抵赖的应用需求。基于数字证书的解决方案数字证书简介数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。本方案采用CA证书授权中心发行的，用户可以在网上用它来识别对方的身份，实现业务管理系统数据加密传输、身份认证、数字签名等服务。数字证书载体简介K3pro简介作为一种可在PKI体系中应用的产品，龙脉科技自主设计研发的基于智能卡安全芯片的K3 pro身份认证锁，它是为PKI应用量身设计的数字证书安全载体，可用于网络安全认证和通讯加密等信息安全领域，支持Internet Explorer，Outlook，Outlook Express，Firefox以及其它任何基于Microsoft CAPI或PKCS#11标准的软件产品的PKI应用。它利用标准的加密算法技术，实现了网络安全方案中数字签名、身份认证和密钥安全管理以及分发传递等功能。K3 pro的主要功能是与现有的PKI体系应用无缝的集成。软件开发商无需对K3pro进行任何形式的变成开发就能通过配置相关服务，就可以将K3pro集成到软件应用中。K3pro硬件技术参数项目参数供电方式USB口供电工作电压5V（USB口供电）工作电流50mA工作湿度0~70摄氏度存储温度-20~85摄氏度外壳金属通讯协议USB Mass Storage接口类型USB 2.0高速处理器32位智能卡芯片存储空间64kb系统结构图及说明业务管理系统应用结构图如上图所示：各用户使用数字证书载体（K3pro身份认证锁）进行身份认证，业务系统将用户证书信息传输给安全应用支撑服务器，由安全应用支撑服务器验证用户证书的有效合法性，正确通过的用户再根据系统分配给该用户的权限调出相关的业务办理页面。同时还可以解决包括信息的机密性、完整性和不可抵赖性等信息安全问题。产品功能基于数字证书的强身份认证通常采用用户名+口令的方式进行身份认证是目前实现计算机安全的主要手段之一，但是采用用户名+口令的方式，在越来越复杂的网络环境中相对脆弱。基于数字证书的身份认证服务，可以对每个访问系统的用户进行强身份验证。基于PKI/CA技术的数字证书是由权威的CA中心签发的，难以伪造，并保存在数字证书载体（K3pro）硬件介质中可随身携带，USB KEY本身还有PIN码保护，能有效防止身份被盗用。用户首先打开系统登录页面，将数字证书载体插入到计算机的USB接口，并在登录窗口的PIN码输入框中输入PIN码，当系统验证到PIN码是正确时，系统将通过密码服务器验证用户证书，当确定该证书合法性之后，才允许用户登陆系统。数据安全加密服务基于安全的整体