时代亿信SID强身份认证系统白皮书

1. 产品简介

SID强身份认证系统是北京时代亿信公司根据企业内业务系统的安全需求，为企业级用户提供一套强身份认证解决方案。

系统自带企业级CA证书中心，极大的降低了用户应用CA技术的成本，同时提升了管理员的工作效率。

它综合双因素、硬件令牌、签名验签技术，能够在应用系统的登录认证、敏感关键业务操作、应用保护等环节提供身份的安全识别保障。采用CA数字证书和数字签名等技术进行身份识别，将代表用户身份的数字证书和相应的私钥存储在USB接口的智能卡中，私钥不出卡，保证了唯一性和安全性。认证时，由SID客户端组件完成数字签名和加密，敏感信息以密文形式在网络中传输，具有更高的安全性，从而解决了网络环境中的用户身份认证问题。

产品可解决的问题

SID强身份认证系统主要为用户解决如下问题：

1) 为企业应用系统的提供基于USB智能卡的安全身份认证服务。基于系统内置的企业级CA平台，利用存储于USB智能卡的PKI证书可以有效改善传统字符串口令的可传播以及可重放破解的弱点。作为企业认证中心的SID强身份认证系统则在此基础上可以为企业内业务系统提供统一的用户认证服务。

2) 用于提升关键操作的安全性（用户关键操作要求额外认证），基于USB智能卡的签名验签。接入SID系统的业务系统可以在用户进行某些关键操作，如发送合同时，要求用户再次通过USB智能卡验证身份，从而确保该用户的身份不会因为临时离开座位或其他原因导致错误执行的关键操作。

3) 建立安全认证中心，作为安全基础设施，为企业内众多的应用系统提供基于PKI的统一身份认证凭证。

功能组成

SID强身份认证系统在应用中分为两部分，分别是：SID强认证系统服务端和认证组件。

如图1所示，SID系统的服务端主要分为：管理员平台，ETCA证书中心，用户登录入口、外部系统认证接口、底层服务四部分组成。

底层服务：包括解密验签服务与CA证书服务两部分。解密验签服务对用户登录时提交的登录凭证进行验签和解密，并将关键信息返回给SID系统的用户认证模块；CA证书服务则用来申请、吊销用户证书。

管理员平台：SID系统的管理平台为用户提供基于三员分立的管理员管理规范，为使用户可以更明确的、更便捷的管理SID系统，本系统还提供分级管理员管理功能。管理员可以在本平台可以进行下列工作：

* 统管理员主要负责配置系统基本参数、用户帐户和组织机构的管理、业务系统管理以及用户日志审计。

* 安全管理员：管理用户证书、配置业务系统接入信息以及制定其他安全策略。

* 系统审计员：审计系统管理员操作日志、审计安全管理员操作日志。

管理员平台在功能上分为如下部分：

* 系统配置：系统全局类功能的配置，可以设置系统安全策略、进行根证书和服务器证书配置设置全局性策略等。包括服务器配置、功能配置、证书配置、用户访问策略、日志配置、用户界面配置。

* 用户管理：对组织机构、用户、用户证书的管理。包括组织机构管理、用户管理、用户属性管理、用户证书管理。

* 身份认证管理：配置系统可以使用的认证方式，及每种认证方式的认证策略。包括认证方式配置、一次性口令用户管理。

* 应用系统管理：配置使用SID强身份认证系统的业务系统的基本信息。

* 应用系统接入管理：配置各业务系统的认证、接入方式及相关参数。

* 日志审计：对管理员操作、用户认证、用户单点进行详细的日志记录。包括访问统计、系统日志、管理员日志。

* 系统管理：系统CPU、内存监控，系统备份、还原等操作。包括系统监控、备份还原、恢复出厂配置、CA管理。

用户登录入口：SID强身份认证系统的用户登录入口可以为用户提供身份认证服务，经过管理员配置后，用户可以通过此入口进入设定的业务系统。

外部系统认证接口：SID强身份认证系统为外部系统提供的认证接口。实现SID系统提供的“应用系统认证接口API”后，用户在业务系统中进行登录和关键操作验证时，提交的认证信息会经过“认证组件”的加密和签名处理，经过处理的登录信息则会被业务系统通过API提交到SID系统的外部认证接口。

收到经过加密、签名处理后的认证信息时，解密验签服务对用户登录时提交的登录凭证进行验签和解密，并将关键信息返回给SID系统的用户认证模块。用户认证模块则根据关键信息鉴定用户的登录请求是否有效以及身份验证是否成功。

ETCA证书中心：

SID产品内置一套综合的企业级证书管理系统（ETCA），可用于数字证书的申请、审核、签发、注销、更新和查询，颁发的数字证书格式严格遵循X.509v3规范，具有广泛适用性和良好的扩展性。通过使用该系统，可以搭建出符合政府、行业、第三方、企业需求的CA中心。通过使用ETCA发行的数字证书可以为用户提供信息安全的全面服务：

保密性 — 保证信息是秘密的

完整性 — 能检验信息未被篡改

身份鉴别 — 检验个人或机构的身份

不可否定性 — 确保信息或操作不能被否认

ETCA应用国际先进技术，采用高强度的加密算法、高可靠性的安全机制及完善的管理及配置策略来保障整个系统的安全、可靠的运行。

ETCA系统完全遵循PKI及相关标准，这样有利于与其它厂商的产品实现互连，增大证书的适用范围。

客户端组件： 如图 2 所示， SID 的客户端组件的主要功能包括读取 USB 智能卡内的证书信息、对认证信息进行加密、签名操作、监控 USB 智能卡的连接状态以及对 USB 智能卡执行 PIN 码安全策略。

工作原理

SID 强身份认证系统是新一代的应用系统强身份认证产品，可配置多种认证方式，为应用系统提供强身份认证服务。同时，内置的 ETCA 证书中心还可使 SID 成为企业 CA 中心，为用户提供证书申请、证书审批、证书签发及证书认证等功能。

SID系统的设计理念，是使现有各类业务系统通过简单的改造后，都可以使用SID系统作为强身份认证中心，为用户提供USB智能卡认证或其他强身份认证方式。

在强身份认证方面，利用客户端组件对用户证书数据进行“非对称加密+用户私钥签名”的安全封装后以及增加系统随机数进行重放攻击保护。使认证数据即使传输在明文HTTP协议下依然可以保证认证信息的安全性和唯一性。

服务端在收到加密后的登录信息后，需要经过解密以及验签后，才会使用处理后的关键信息进行用户身份验证。

产品优势

* 拥有安全、稳定的强身份认证技术

* 内置企业级CA证书中心

* 用户属性与证书管理无缝结合

* 提供API，降低业务系统接入难度

* 作为强身份认证中心，为业务系统提供标准的接入认证服务

* 符合相关安全规定，支持SM2椭圆曲线密码算法、管理员三员分立、智能卡PIN码安全策略

* 灵活的扩展认证接口，便于支持其他强身份认证手段

2. 产品功能特点

强身份认证的安全特性

SID强身份认证系统将系统帐号以USB智能卡的形式存在于真正的用户手中，有赖于“加密签名”和“解密验签”的信息交互机制，使之成为该用户在各业务系统中唯一的身份标识，只有持有智能卡的用户才能登录业务系统、处理关键信息。并且，智能卡在所有业务系统中的信息是一至的。

使用 SID 系统进行用户身份验证时，用户无需担心智能卡信息的安全性和正确性。 SID 身份认证组件在获得智能卡信息后会自动将用户证书信息以及随机数进行组合，并对其进行非对称加密以及用户证书签名。用户向 SID 系统提供的认证信息全程都被这种安全措施保护着，保证了用户认证信息的惟一性、安全性，同时也从机制上阻止了破解与重放攻击的安全隐患。

在网上办公环境中，SID强身份认证系统将USB智能卡作为用户的唯一标识，当用户移除智能卡时，SID的身份认证组件会自动监测到用户智能卡的移除事件，此时认证组件会给出重新连接智能卡的提示，在有效时间内仍未检测到智能卡或用户确认移除智能卡时，身份认证组件会自动将用户访问业务系统的浏览器强行关闭。使用户无需担心移出智能卡但没有关闭浏览器时会被其他人非法使用的情况。

SID强身份认证系统在为用户提供身份认证的同时，还为用户提供“关键操作验证”服务。当某用户需要执行下发公文、上报合同这类“关键业务操作”时，业务系统可以要求用户再次输入智能卡PIN码，并将确认信息提交到SID系统中进行身份确认，以防止用户误操作或非授权执行操作。

应用快速接入

用户部署SID强身份认证系统后，业务系统只需经过简单的改造就可以使用该系统作为统一认证中心使用。在常规模式下，业务系统使用SID提供的认证API对认证模块进行改造即可。具有改造工作量小、实施快速和不影响业务系统整体运行流程的特点。

如图 6 所示，用户访问业务系统的主要流程与改造前一至，使用 USB 智能卡登录业务系统改造后的智能卡登录，业务系统将加密签名后的用户认证信息通过 “ 接口 API” 直接提交到 SID 强身份认证系统进行身份验证，并根据 SID 系统返回的信息对用户进行鉴权，从而完成用户认证流程。在这个过程中，用户的使用流程方式不会因系统改造而改变。

在企业办公网络不断建设的过程中，可能有些业务系统已经没有后续开发和改造支持了。SID系统为这些不具备改造条件的业务系统提供了另一种认证接入方式。

如图7所示，该方式基于“Cookie赋权，业务系统鉴权 ”的工作模式。用户在使用业务系统时，首先需要登录到SID强身份认证系统中，完成登录后，SID系统会将用户的登录信息保存在Cookie中，然后将浏览器跳转到目的业务系统，目的业务系统检测到用户Cookie后，利用自身的鉴权机制对用户登录信息进行鉴权，从而完成身份认证和访问鉴权的用户登录流程。

利用上述两种接入方式，用户在部署SID系统后，可在极短的时间内完成业务系统改造，快速接入并使用SID系统提供的强身份认证服务。

内置ETCA企业级CA

SID强身份认证系统内置了一套名为“ETCA”的CA证书中心，当用户部署SID强身份认证系统后，用户也就拥有了一套企业级CA证书中心。

增加一套系统并不会增加管理员的工作量，经过SID系统的无缝集成后，管理员可以在SID的管理平台中完成所有与证书有关的操作。

安全管理员能够在用户管理中实现用户证书的申请、下载、重新申请、吊销等操作。

同时，为了兼容已有业务系统中的用户信息，SID系统提供的用户导入功能配合CA证书中心使用后，可在非常短的时间内为已有用户完成证书申请工作。

完成证书申请的用户，可以通过管理员在SID管理平台中将证书灌制到USB智能卡后发给用户，或者由用户在指定页面通过授权码自助灌制。

内置验签服务模块及开发API

SID强身份认证系统作为企业级强身份认证的整体解决方案，在系统内集成了一套签名、验签服务，用户无需单独购置。

签名验签服务作为 SID 强身份认证系统的核心组件之一，负责对客户端提交的用户认证信息进行解密、验签、重放验证等处理，并将处理后获得的关键信息返回给 SID 认证系统。

整套加密、签名和解密、验签的身份认证机制具有十分严密的安全措施。为了减少业务系统进行认证接入时的改造工作量，SID系统为业务系统提供了一套已经实现该机制的API接口，如图2-7所示，业务系统只需要在登录模块中增加几行代码，同时根据示例简单修改一下登录页面，便可实现上述加密、签名的认证方式。

支持SM2椭圆曲线密码算法

为满足电子认证服务系统等应用需求，国家密码管理局于2010年末发布了基于ECC椭圆曲线的SM2密码算法（国家密码管理局公告第21号），其算法机制准则包括总则、数字签名算法、密钥交换协议、公钥加密算法等四大部分，并要求自2011年3月1日起，新研制的含有公钥密码算法的商用密码产品必须支持SM2椭圆曲线密码算法。

SID强身份认证系统不仅系统内置的ETCA证书中心支持使用SM2密码算法签发用户证书，同时在加密、签名等主要流程节点中也已支持SM2密码算法。

同时为了更好的支持企业内部已经建立的CA证书系统，SID强身份认证系统可以兼容原有1024位、2048位的RSA算法。

符合国家密码算法相关安全标准

SID强身份认证系统遵守以下国家标准：

GB/T 17964-2000信息技术 安全技术 加密算法 第1部分：概述

GB/T 17964-2000信息技术 安全技术 加密算法 第2部分：非对称加密

GB/T 17964-2000信息技术 安全技术 加密算法 第2部分：对称加密

GB/T 17903.1-1999信息技术 安全技术 抗抵赖 第1部分：概述

GB/T 17903.2-1999信息技术 安全技术 抗抵赖 第2部分：使用对称技术的机制

GB/T 17903.3-1999信息技术 安全技术 抗抵赖 第3部分：使用非对称技术的机制

GB/T 18238.1-2000信息技术 安全技术 散列函数 第1部分：概述

GB/T 18238.2-2002信息技术 安全技术 散列函数 第2部分：采用N位块密码的散列函数

GB/T 18238.3-2002信息技术 安全技术 散列函数 第3部分：占用散列函数

GB/T 20518-2006信息安全技术 公钥基础设施 数字证书格式

GB/T 20520-2006信息安全技术 公钥基础设施 时间戳规范

GB/T 19713-2005信息技术 安全技术 公钥基础设施 在线证书状态协议

GB/T 19771-2005信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范

GB/T 15851信息技术 安全技术 带消息恢复的数字签名方案

公钥密码基础设施应用技术体系 证书应用综合服务接口规范

公钥密码基础设施应用技术体系 通用密码服务接口规范

公钥密码基础设施应用技术体系 标识规范

信息安全技术 证书认证系统 密码及其相关安全技术规范

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10098689/viewspace-1060916/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/10098689/viewspace-1060916/