国内某企业交易管理平台身份认证解决方案V1.0.docx

国内某交易管理平台身份认证解决方案一、强身份认证的安全需求随着每天在线执行的商业实践数量的不断增加，企业正面临着不断增加的挑战，企业需要确保只有授权用户才能执行交易并访问其最敏感的在线资源。企业必须在迅速变化的安全环境下对大量增加的网络和Web 应用的访问安全进行保护，在该环境中，员工拥有大量证书和密钥、并使用日益多样的移动设备和便携设备访问敏感数据和系统。 与客户和合作伙伴执行在线业务和交易的企业需要提供对敏感在线资源的安全访问并保证交易安全，但企业面临着螺旋式上升的网络犯罪，这会对其有效并高效运营的内在基础造成威胁。面对这一复杂度日益增加的安全场景，企业需要确保有适当的安全机制和管理工具，让他们能够对其系统的安全授权访问，获得访问这些系统所用的终端设备的可见性并验证在线交易的完整性。需要指出的是，许多最具危害性的犯罪都拥有共同的特点：即绕过口令保护获取对信息或资源的访问权限。虽然对于非关键系统的安全性而言，使用基本的口令保护已经足够了，但企业最机密的应用、文件及系统则需要更高层次的保护措施。幸运的是，现在有了单独使用的安全防护方法，能够解决由口令泄密导致的所有入侵问题：即用强大的用户认证系统替代基本的口令安全机制，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或员工对资源的破坏。二、应用场景及方案实现过程 应用场景1：国内某知名企业ASP.NET开发的一套WEB版交易管理系统，对客户端浏览器用户登录进行身份确认，需支持主流浏览器，通过强身份认证来确保系统帐号登录的正确性和真实性 。根据应用场景的实际情况，可采用以下方式来实现强身份认证： （1）方案1：采用CA+Etoken 5100方式实现系统账户登录强认证;本方案有以下优点：其一，易于实施，无需修改系统源代码，通过支持业界标准安全接口和系统，eToken 5100设备确保可以与您的系统轻松集成，对客户端浏览器无要求。其二，便携性，eToken 5100是用户可以随身携带的USB设备，CA证书会安全的存储起来，轻松使用和携带。其三，易于使用，用户只需将设备插入USB端口输入并输入eToken密码就可以使用eToken进行验证。其四，高性价比，eToken 5100设备允许强用户认证和众多灵活的安全解决方案，无需任何特殊的读卡器或者复杂的后台基础设施。方案实现过程步骤介绍；CA证书服务器部署。 在WEB服务器上申请服务器端证书及导入。申请客户端证书并且直接，把证书存储到eToken 5100中。 Web服务器IIS部署HTTPS，绑定证书，并设置SSL和必须用证书登录。客户端安装eToken5100驱动工具，输入https://网址即可/https://网址即可。为保证系统的稳定运行和安全可控性，增加应急预案；如用户丢失或损坏硬件，管理部门可登记新的硬件后，让系统管理员对于原先的用户CA或者账户进行注销或者另外分发硬件。（2）方案2：采用超级狗+控件方式实现系统账户登录强身份认证本方案的优点与特点：其一、结合简单，提供相应程序的例子，只需按照例子进行修改下您们系统的登录页面，服务器端修改认证因子和auto-code，与服务器数据进行集合即可。其二，使用简单，便捷，最终用户在电脑端插入超级狗，即可访问对应的Web程序。使用超级狗进行用户认证（非证书方式）。其三，安全性，每个认证锁有唯一的认证密钥，每个开发商认证锁只能与该开发商的服务器进行认证并接入，黑客没有通用的破解手段。其四，支持多浏览器，包含IE,Firefox 和Chrome。方案实现过程步骤介绍：实际的工程将绑定您的开发商ID 和认证代码。工程部署示范采用Windows 7系统与IIS 7，请参照如下步骤：1. 请插入您的开发狗，使用认证代码生成工具生成认证代码，文件名默认为：auth_code.xml。文件内容包含您的开发商ID和认证代码。请将auth_code.xml拷贝至服务器端工程的目录serverdata中。2. 使用超级狗认证初始化工具（AuthTool.exe）修改超级狗的管理员口令（SO PIN，默认为：“abcdefgh”）和认证因子（默认为：），设置用户口令（USER PIN，默认为：）与用户信息。也可通过web工程的用户注册页面让用户自行注册修改用户口令与用户名。如果您修改了认证因子，请同时修改服务器端serverdata目录中的配置文件：auth_factor.xml。为了提高安全性，建议您修改默认的认证因子。3. 在服务器端，将您的web工程按照示例工程修改后放到一个目录中。例如：D:\Authentication。4. 在服务器端安装IIS后，在控制面板中选择：Administrative Tools-InternetInformation Serv