强身份认证解决方案.docVIP

强身份认证解决方案 一、方案背景和需求 　　随着互联网的飞速发展，网民在享受着互联网带来的各种方便的同时，也存在着各种各样的安全隐患。 　　1、帐户被盗：目前绝大多数信息系统都采用用户名密码的登录方式，安全强度较低，黑客通过木马程序等可以轻而易举的盗取用户名和密码，冒充用户进行电子商务交易，用户的财产可能被盗，将给用户造成无法挽回的损失。 　　2、信息被篡改：现在互联网上传输的信息大部分都是以明文方式传输，黑客通过各种监听软件很容易就可以将各种机密信息截获，经过篡改后重新提交，出现交易纠纷。 　　3、责任无法认定：一旦出现交易纠纷，无法认定操作的责任人，造成极其严重的责任风险。 　　因此，建设具备高安全性、高可靠性的信息系统身份认证机制，保证登录信息系统用户身份的真实性，在目前信息系统建设过程中显得尤为迫切。 二、方案简介 　　强身份认证实际上是双因素或多因素的身份认证技术，有别于“用户名/密码”为代表的单因素认证技术。强身份认证技术包括：动态口令、生物特征、数字证书等。 　　采用数字证书作为强身份认证手段，其原因是： 　　（1）数字证书不仅能够提供基于双因素的强身份认证，还能提供数据加密、数字签名等功能，在解决网络安全、责任机制建立、纠纷解决等方面具有无可比拟的优势； 　　（2）数字证书由第三方CA机构颁发，数字证书持有人的身份由第三方CA机构进行鉴定，相比动态口令技术，数字证书能够更好的定位信息系统和网络中的责任人的身份，从而更好的约束操作人员的行为； 　　（3）数字证书是目前技术最成熟，应用最广泛，部署容易、成本低的强身份认证技术，适于在信息系统中全面推广。 　　SHCA提供两种发放数字证书的模式，分别为集中发放模式、受理点证书发放模式。根据证书应用单位实际情况，可灵活选择： 　　（1）集中发放模式 　　集中发放模式依托SHCA后台运用服务，提供批量的证书申请、发放服务，证书应用单位只负责证书用户的信息收集和信息确认，由SHCA完成证书制作和发放。 　　（2）受理点发放模式 　　受理点发放模式需在证书应用单位建立数字证书受理点，指定证书管理员，为单位内部工作人员发放数字证书，该模式需要SHCA为证书应用单位提供一整套的服务平台，证书应用单位具有证书自助管理能力。 　　根据操作者终端设备的不同配置，SHCA可提供三类证书介质，分别为USBKey、SDkey，射频卡。 　　（1）USBkey证书 　　适用于配备USB接口的PC终端证书应用，采用USBkey作为存储介质，是目前使用最广泛的证书介质。 　　（2）手机证书 　　适用于移动设备的证书应用，采用SDkey作为证书存储介质。SDkey是一款便于携带、支持PKI身份认证产品，它的外形和通用的SD存储卡一样，可以内嵌具有自主知识产权的国产安全芯片，由其生成密钥对、存储数字证书，可以在内部完成数字签名操作。 　　（3）USBKey、IC卡、射频IC卡证书 　　适用于没有配备USB接口的PC终端，采用接触式或非接触式IC卡、射频IC卡作为证书存储介质，并配备读卡器识别证书介质。 　　面向证书用户，SHCA提供证书生命周期的服务，包括证书申请发放、证书吊销、证书更新、证书重签发、密钥恢复、证书介质解锁等等。 三、方案特点 　　1、合规、有力的电子认证基础保障。 　　2、灵活多样的强身份认证服务。 　　3、为用户配发双因素认证的数字证书,满足强身份认证需求。 　　4、传统的USBKey证书可符合一般的用户操作终端配置条件。 　　5、定制IC卡、射频IC卡数字证书,遵循特定USB封闭的安全策略。 四、产品清单 　　－数字证书