信息安全认证方案简介课件.ppt

信息安全认证方案简介;安全认证内容;信息安全的需求;信息安全认证技术分为： 常规的“口令”代码认证 动态口令（动态口令）认证 生物技术（指纹、虹膜、面容等）认证 数字证书（CA）认证等。 其中常规的“口令”代码认证是计算机系统的早期身份认证产品， 因其“口令”的静态特性和重复使用性，存在易窃取、易猜测、易破解等安全缺陷，是一种弱身份认证系统，只能用于安全等级要求较低的信息系统。动态口令认证、生物技术认证和数字证书认证是强身份认证系统，可用于政府、金融、企业等重要信息系统的安全认证;信息安全认证技术比较;动态口令： 口令是动态变化的，但是动态变化的口令存在一个时间周期，因此，在时间周期内口令被盗取，将带来风险。可以通过使用钓鱼网站等方式窃取时间周期内的口令，进行身份的假冒。 动态口令是身份认证方面部分解决静态口令固有的安全漏洞，不能实现数据加密、保障数据完整和数字签名等。无政策支持，不具备法律证据效力。 数字证书： PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制，在网络通信和网络交易中，特别是在电子政务和电子商务业务中，最需要的安全保证包括四个方面：身份标识和认证、保密或隐私、数据完整性和不可否认性。 PKI可以完全提供以上四个方面的保障。有世界公认的理论基础（ PKI 理论）、有国家立法支持《中华人民共和国电子签名法》 ;生物认证技术 （包括指纹、虹膜、面容识别等） 无法集成现有应用 需要特殊的外围认证设备 应用不成熟、使用维护成本 动态口令认证技术 直接集成各种应用，无需客户端软件 提供全面资源保护，如网络访问与维护、主机登录、Oracle数据库、Web Server等 技术成熟、可靠，方便部署、管理、分发和使用 数字证书认证技术 无法集成现有应用，需要很多开发工作 客户端需要安装驱动程序，管理、部署和维护复杂 缺少必要的灵活性 在许多特殊场景下无法使用，如对登录UNIX操作系统的保护就无能为力 ;信息安全认证方案;基于动态口令的解决方案; TAM实现说明： TAM自身支持动态口令认证。只需配置WebSEAL的配置文件。 保留原有LDAP静态密码，作为身份认证第一要素。 使用硬件令牌，作为身份认证第二要素，比较正式。同时给高层令牌配备手机令牌，方便领导出差使用。 登录过程： 第一步：用户登录PORTAL门户页面，TAM收到请求后将用户重新定向到webseal密码验证页面，验证原有LDAP密码。 第二步：用户输入用户名、动态令牌PIN码、动态令牌的动态口令，发送到验证服务器（安盟动态口令服务器），以进行身份验证。 第三步：用户验证通过后，TAM将SSO token写入客户端浏览器，然后带用户进入门户信息展示页面 ;使用说明（2）;;关键技术-时间同步Key technologies - time synchronization;客户端工具;信息安全认证方案;基于PKI/CA统一认证方案; ;PKI安全基础设施 证书签发系统（CA Server）：CA Server作为电子证书认证系统的核心，负责所有证书的签发、注销以及证书注销列表的签发等管理功能。 证书注册系统（RA Server）：RA Server是数字证书注册审批系统，是CA Server的证书发放、管理等业务的延伸。它负责所有证书申请者的信息录入、审核等工作，同时对发放的证书进行管理。 密钥管理中心（KM Server）：KM Server是密钥管理系统，为CA Server提供用户加密密钥的生成及管理服务。系统支持符合PKCS#11标准的加密设备，支持高强度的密钥及加密算法。通过PKCS#11接口直接硬件加密，实现了黑盒管理，系统密钥不出主机加密服务器，拥有高强度的安全性和保密性。 在线证书状态查询服务（OCSP Server）：OCSP Server是在线证书状态查询系统，为证书应用提供实时的证书状态查询服务。 目录服务系统（LDAP） 统一用户管理系统 USB智能密码钥匙 ;PKI安全基础设施实施;USB智能密码钥匙