eKey数字证书身份认证助力企业信息安全.docx

eKey数字证书身份认证助力企业信息安全 (图)2009-05-20 15:54 来源：安全中国网 作者：佚名 【网友评论0条 /191/8864191.shtml发言】0javascript:void(0)点击分享　计算机网络和信息技术的迅速发展促进了企业及社会信息化的极大进步，同时也随之产生了诸多新的安全问题和风险。作为企业信息系统的第一道大门，身份认证是确保企业信息资源只能被合法用户所访问的重要保障。 　1. 身份认证的现状和发展趋势　1.1 企业信息化面临的安全风险　计算机/网络和信息技术的迅速发展促进了企业及社会信息化的极大进步，同时也随之产生了诸多新的安全问题和风险。作为企业信息系统的第一道大门，身份认证是确保企业信息资源只能被合法用户所访问的重要保障。　传统的口令认证方式虽然简单，但是由于其易受到窃听、重放等攻击的安全缺陷，使其已无法满足当前复杂网络环境下的安全认证需求，因此涌现了诸如：数字证书、动态口令、智能卡、生物识别等多种认证方式。　1.2 身份认证方式的比较　　1.3 身份认证的发展趋势　身份认证作为企业信息化过程中信息资源访问控制的第一步也是关键一步，在应用上正得到军队、政府、企业等各方面越来越多的关注，在技术上正朝着更加安全、易用、多种技术相结合的方向发展。　随着PKI技术体系的日趋成熟，拥有强有力的理论基础和众多国际标准的CA数字证书身份认证技术，在法律上也得到了国家的大力支持。《电子签名法》的颁布实施以及数字加密和数字签名技术所具有的保密性、完整性、真实性、不可否认性等特点，使得CA数字证书身份认证正在被广泛采用。　USB智能卡(eKey)自带CPU，内嵌加密算法，可进行运算，其中的信息不可复制，因此，USB智能卡以其安全可靠、易于携带、使用方便、成本低廉、性价比高等特点，在身份认证领域也正发挥着越来越多的作用，成为身份认证技术的一个重要发展方向和趋势。　时代亿信科技有限公司的eKey数字证书身份认证系统充分结合CA数字证书认证和USB智能卡认证的优势，采用PKI体系中的数字加密、数字签名等技术以及智能卡技术，为网络应用提供更为安全有效的身份认证机制，只需进行安装配置和细微改动即可轻松提升企业应用系统的安全性。2. eKey数字证书身份认证系统　2.1 系统组成　时代亿信eKey数字证书身份认证系统基于PKI理论体系构建，同时支持B/S、C/S结构的应用系统，由以下主要部分组成：　(1)企业级CA系统　企业级CA为企业应用系统灵活定制，充分满足企业应用系统的数字证书申请和发放需求，为企业应用安全提供便捷、高效的支持，避免了使用第三方CA中心所带来的高成本投入以及结构和性能瓶颈。　企业级CA系统采用B/S架构，易于与具体应用系统相结合，实现基于WEB的CA管理、数字证书自动申请签发、CRL签发、数字证书下载以及USB智能卡的写入等功能。　(2)认证服务器　认证服务器结合数字证书加密、挑战-响应认证机制和数字签名认证机制，对用户身份进行强认证，并对用户登录请求进行日志和审计。应用系统只需部署配置USB智能卡登录页面和认证通信包，即可由认证服务器完成对用户登录认证请求的认证和用户身份的鉴别。　(3)客户端认证组件和USB智能卡(eKey)　每个用户使用存有自己证书和私钥的USB智能卡作为身份凭证，客户端自动安装浏览器认证组件，与浏览器无缝结合，登录时自动驱动USB智能卡，并运算产生认证请求。　2.2 技术原理和高安全性　时代亿信eKey数字证书身份认证的技术原理和认证流程如下图所示：　　时代亿信eKey数字证书身份认证充分结合了挑战-响应机制和数字证书加密、数字签名机制，增强了认证信息的随机性、保密性、真实性，有效地防止了认证过程中的机密信息泄露和重放攻击，保证了身份认证的高度安全性和可靠性。(1)挑战-响应机制　客户端在发起认证请求时，/service/服务器端首先产生并返回一个随机数(挑战);客户端在提交认证请求时，将数字签名后的随机数发送到服务器端(响应)，由服务器端比较本地的随机数和收到的随机数，以校验认证请求的有效性，从而有效防止截获和重放攻击。　(2)数字证书加密机制　客户端提交的认证请求均由服务器端返回的服务器证书进行数字信封加密处理，只有相应的服务器私钥才能解密。如果认证请求中含有机密信息，则截获加密的认证请求将毫无意义，从而确保了机密信息的保密性。　(3)数字签名机制　客户端提交的认证请求，均由客户端认证/soa/组件调用eKey(USB智能卡)进行签名处理。USB智能卡随身携带，其中的私钥不可复制，保证了私钥的唯一性，由于数字签名不可伪造和窜改，服务器端通过校验客户端用户证书和数字签名的有效性，并结合认证数据库鉴别用户身份。　2.3 系统特点和优势　时代亿信eKey数字证书身份认证系