時代億信強身份認證概述

    時代億信認證墻系列產品為B/S、C/S業(yè)務系統(tǒng)、網(wǎng)絡設備、主機、數(shù)據(jù)庫等資源，提供高性能的安全認證、統(tǒng)一接入、訪問控制、用戶管理、安全審計服務，滿足企業(yè)對多種異構資源的認證及訪問控制需求。

    認證墻SID-PKI強身份認證產品為企業(yè)級用戶提供強身份認證解決方案，它建立在嚴密的PKI/CA技術體系基礎之上提供數(shù)字證書的簽發(fā)與認證功能，并可擴展支持指紋、手機短信等多種認證組件集成，能夠在應用系統(tǒng)的登錄認證、敏感關鍵業(yè)務操作、應用保護等環(huán)節(jié)提供身份安全識別的保障，將用戶認證敏感信息以密文形式在網(wǎng)絡中傳輸，具有更高的安全性，從而解決了網(wǎng)絡環(huán)境中的用戶身份認證安全問題。

產品組成

    SID-PKI產品由管理平臺、用戶登錄入口、外部系統(tǒng)認證接口、底層服務四部分組成，為企業(yè)應用系統(tǒng)/主機/網(wǎng)絡設備提供CA證書服務、簽名驗簽服務、加密解密服務、用戶帳號管理、日志審計、身份認證以及應用接入管理服務。

SID可以解決以下企業(yè)安全問題
SID可以解決以下企業(yè)安全問題：
· 應用于企業(yè)應用系統(tǒng)的安全身份認證（防止口令密碼被猜測或復制）
· 用于增強公網(wǎng)訪問應用系統(tǒng)的安全性（從互聯(lián)網(wǎng)訪問的應用系統(tǒng)）
· 用于增強應用系統(tǒng)數(shù)據(jù)傳輸安全（用戶可使用安全鏈接訪問應用系統(tǒng)）
· 用于提升關鍵操作的安全性（用戶關鍵操作要求額外認證）

功能特點
一站式CA安全認證解決方案
    SID-PKI產品把CA服務、簽名服務、認證系統(tǒng)融合到一起，簡化了CA應用復雜度，降低成本，快速部署，易用。當用戶部署SID-PKI產品后，應用系統(tǒng)可以直接調用相關接口，實現(xiàn)對認證信息、數(shù)據(jù)或其他重要信息的數(shù)字簽名與簽名驗簽。管理員可以在同一管理平臺上維護用戶信息和證書信息，實現(xiàn)用戶證書的申請、下載、更新、吊銷等操作。配合SID-PKI產品的用戶導入功能，可以快速地為應用系統(tǒng)簽發(fā)數(shù)字證書。
 
    支持SM2國密算法，兼容RSA算法 SID-PKI強身份認證系統(tǒng)不僅系統(tǒng)內置的CA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時在加密、簽名等主要流程節(jié)點中也已支持SM2密碼算法。

    同時為了更好的支持企業(yè)內部已經建立的CA證書系統(tǒng)，SID-PKI強身份認證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

    可擴展支持多種強身份認證方式SID-PKI產品支持CA數(shù)字證書、USB智能卡、指紋、手機短信動態(tài)碼等多種強身份認證方式，充分發(fā)揮雙因素認證的安全效果，有效保護用戶登錄應用系統(tǒng)過程中身份信息的安全，確保只有合法用戶才能訪問應用系統(tǒng)。


    提供多種方式和應用系統(tǒng)無縫結合

    SID-PKI強身份認證系統(tǒng)可提供多種方式與應用系統(tǒng)進行無縫結合，SID-PKI產品提供了API插件、反向代理、客戶端代理等多種集成方式，同時針對主流應用提供各種適配器，應用系統(tǒng)可根據(jù)自身需要選擇最方便的接口來實現(xiàn)。

    在常規(guī)模式下，業(yè)務系統(tǒng)使用SID-PKI提供的認證API對認證模塊進行改造即可，用戶在部署SID-PKI系統(tǒng)后，可在極短的時間內完成業(yè)務系統(tǒng)改造，快速接入并使用SID-PKI系統(tǒng)提供的強身份認證服務具有改造工作量小、實施快速和不影響業(yè)務系統(tǒng)整體運行流程的特點。

功能列表


應用場景：
應用場景一
    某地產公司內部的財務系統(tǒng)中存儲著大量的房產交易數(shù)據(jù)，負責公司賬款和資金流轉等業(yè)務，同時各售樓中心也會通過專線接入內網(wǎng)，進行資金上報等業(yè)務。在公司內部擁有非重要的作用和極高的安全準入需求。同時，該公司希望能在出、入賬等關鍵操作時，要求對操作人員的身份進行再次確認。


    在辦公網(wǎng)絡中雙機部署SID-PKI強身份認證產品，為財務系統(tǒng)用戶申請并簽發(fā)CA證書。財務系統(tǒng)通過SID-PKI認證接入API，分別實現(xiàn)了用戶使用數(shù)字證書USB智能卡進行身份認證和關鍵操作保護的功能。SID-PKI產品對用戶登錄財務系統(tǒng)和關鍵操作驗證進行詳細日志記錄，并對歷史日志文件歸檔。

應用場景二 某集團在內部辦公網(wǎng)中部署了IBM Websphere門戶系統(tǒng)，需要實現(xiàn)用戶登錄CA證書認證和短信認證方式。

    在內網(wǎng)雙機部署SID-PKI產品，通過SID-PKI提供的標準EAI擴展，實現(xiàn)了Websphere門戶系統(tǒng)的CA證書認證和短信認證。用戶登錄門戶時需要選擇使用數(shù)字證書USB智能卡或通過手機短信發(fā)送的一次性驗證碼進行認證，SID-PKI產品通過EAI擴展獲得認證請求信息并進行驗證，之后將驗證結果返回給門戶，從而實現(xiàn)了門戶系統(tǒng)的安全認證需求。

SID強身份認證系統(tǒng)產品功能
    強身份認證的安全特性： SID強身份認證系統(tǒng)將系統(tǒng)帳號以USB智能卡的形式存在于真正的用戶手中，有賴于“加密簽名”和“解密驗簽”的信息交互機制，使之成為該用戶在各業(yè)務系統(tǒng)中唯一的身份標識，只有持有智能卡的用戶才能登錄業(yè)務系統(tǒng)、處理關鍵信息。并且，智能卡在所有業(yè)務系統(tǒng)中的信息是一至的。

    使用SID系統(tǒng)進行用戶身份驗證時，用戶無需擔心智能卡信息的安全性和正確性。SID身份認證組件在獲得智能卡信息后會自動將用戶證書信息以及隨機數(shù)進行組合，并對其進行非對稱加密以及用戶證書簽名。

    SID強身份認證系統(tǒng)在為用戶提供身份認證的同時，還為用戶提供“關鍵操作驗證”服務。

· 應用快速接入： 用戶部署SID強身份認證系統(tǒng)后，業(yè)務系統(tǒng)只需經過簡單的改造就可以使用該系統(tǒng)作為統(tǒng)一認證中心使用。在常規(guī)模式下，業(yè)務系統(tǒng)使用SID提供的認證API對認證模塊進行改造即可。具有改造工作量小、實施快速和不影響業(yè)務系統(tǒng)整體運行流程的特點。

· 內置ETCA企業(yè)級CA： 如圖所示，SID強身份認證系統(tǒng)內置了一套名為“ETCA”的CA證書中心，當用戶部署SID強身份認證系統(tǒng)后，用戶也就擁有了一套企業(yè)級CA證書中心。
同時，為了兼容已有業(yè)務系統(tǒng)中的用戶信息，SID系統(tǒng)提供的用戶導入功能配合CA證書中心使用后，可在非常短的時間內為已有用戶完成證書申請工作。


完成證書申請的用戶，可以通過管理員在SID管理平臺中將證書灌制到USB智能卡后發(fā)給用戶，或者由用戶在指定頁面通過授權碼自助灌制。

· 內置驗簽服務模塊及開發(fā)API： SID強身份認證系統(tǒng)作為企業(yè)級強身份認證的整體解決方案，在系統(tǒng)內集成了一套簽名、驗簽服務，用戶無需單獨購置。

簽名驗簽服務作為SID強身份認證系統(tǒng)的核心組件之一，負責對客戶端提交的用戶認證信息進行解密、驗簽、重放驗證等處理，并將處理后獲得的關鍵信息返回給SID認證系統(tǒng)。

· 支持SM2橢圓曲線密碼算法：
為滿足電子認證服務系統(tǒng)等應用需求，國家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線的SM2密碼算法（國家密碼管理局公告第21號），其算法機制準則包括總則、數(shù)字簽名算法、密鑰交換協(xié)議、公鑰加密算法等四大部分，并要求自2011年3月1日起，新研制的含有公鑰密碼算法的商用密碼產品必須支持SM2橢圓曲線密碼算法。

    SID強身份認證系統(tǒng)不僅系統(tǒng)內置的ETCA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時在加密、簽名等主要流程節(jié)點中也已支持SM2密碼算法。

    同時為了更好的支持企業(yè)內部已經建立的CA證書系統(tǒng)，SID強身份認證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

· 符合國家密碼算法相關安全標準： SID強身份認證系統(tǒng)遵守以下國家標準：
GB/T 17964-2000信息技術 安全技術 加密算法 第1部分：概述
GB/T 17964-2000信息技術 安全技術 加密算法 第2部分：非對稱加密
GB/T 17964-2000信息技術 安全技術 加密算法 第2部分：對稱加密
GB/T 17903.1-1999信息技術 安全技術 抗抵賴 第1部分：概述
GB/T 17903.2-1999信息技術 安全技術 抗抵賴 第2部分：使用對稱技術的機制
GB/T 17903.3-1999信息技術 安全技術 抗抵賴 第3部分：使用非對稱技術的機制
GB/T 18238.1-2000信息技術 安全技術 散列函數(shù) 第1部分：概述
GB/T 18238.2-2002信息技術 安全技術 散列函數(shù) 第2部分：采用N位塊密碼的散列函數(shù)
GB/T 18238.3-2002信息技術 安全技術 散列函數(shù) 第3部分：占用散列函數(shù)
GB/T 20518-2006信息安全技術 公鑰基礎設施 數(shù)字證書格式
GB/T 20520-2006信息安全技術 公鑰基礎設施 時間戳規(guī)范
GB/T 19713-2005信息技術 安全技術 公鑰基礎設施 在線證書狀態(tài)協(xié)議
GB/T 19771-2005信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規(guī)范
GB/T 15851信息技術 安全技術 帶消息恢復的數(shù)字簽名方案

公鑰密碼基礎設施應用技術體系 證書應用綜合服務接口規(guī)范
公鑰密碼基礎設施應用技術體系 通用密碼服務接口規(guī)范
公鑰密碼基礎設施應用技術體系 標識規(guī)范
信息安全技術 證書認證系統(tǒng) 密碼及其相關安全技術規(guī)范
信息安全技術 公鑰基礎設施 時間戳規(guī)范

數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范
· 高安全性：
SID強身份認證系統(tǒng)的安全策略支持用戶IP地址策略、管理IP地址策略、時間策略。

    SID強認證系統(tǒng)的管理員基于三員分立機制，系統(tǒng)管理員、安全管理員與系統(tǒng)審計員各司其職，互相監(jiān)督，為用戶企業(yè)提供具有安全保障的系統(tǒng)管理平臺。同時，系統(tǒng)為使管理更加細化，允許在組織機構中設立分級管理員，各部分的用戶、證書管理可以在本部門內部設立管理員自行解決。

    SID系統(tǒng)可為企業(yè)審計工作提供管理員操作日志、用戶認證日志、系統(tǒng)運行日志等多種審計資料，支持Syslog遠程提交與Excel文件導出。

· 認證可擴展： 隨著信息安全領域的不斷擴展，SID強身份認證系統(tǒng)除支持傳統(tǒng)的USB智能卡、證書文件外，增加了動態(tài)口令、指紋、短信一次性口令等多種強認證方式的可擴展支持。

    用戶可以根據(jù)自身環(huán)境和安全需求，選擇使用何種強認證手段。

· 高性能、穩(wěn)定性： SID強身份認證系統(tǒng)作為企業(yè)強認證需求的整體解決方案，經過多年的發(fā)展，擁有眾多應用成功案例�？梢灾С�2000筆/秒的最大認證并發(fā)量以及成熟的安全技術和長期穩(wěn)定運行的承諾，為企業(yè)大規(guī)模應用提供強有力的支持和保障。

SID強身份認證系統(tǒng)產品規(guī)格
單次認證請求處理時間小于0.3秒
并發(fā)用戶訪問量大于200
證書簽發(fā)速度大于500張每小時

SID強身份認證系統(tǒng)產品方案
    時代億信認證訪問控制墻認證訪問控制墻是一款提供認證和訪問控制的硬件設備，為企業(yè)B/S和C/S業(yè)務系統(tǒng)、網(wǎng)絡設備、主機、數(shù)據(jù)庫等企業(yè)資源，提供高性能的安全認證、統(tǒng)一接入、訪問控制、安全管理、安全審計服務。產品能夠滿足不同企業(yè)集中認證、訪問控制和安全管理的需求。

    認證訪問控制墻通過網(wǎng)絡層和應用層聯(lián)動，采用網(wǎng)絡層協(xié)議分析與應用層訪問策略相結合的訪問控制技術，形成用戶信息、協(xié)議號、目的IP地址、目的端口的用戶身份動態(tài)資源訪問控制策略；在不改動用戶應用的前提下，通過協(xié)議分析，實現(xiàn)資源的細粒度訪問控制；使用流量限速的差異化訪問技術，克服傳統(tǒng)只能針對應用進行QoS設定的缺陷，實現(xiàn)了用戶身份與應用綁定的流量控制功能，提高系統(tǒng)性能；同時，本產品可應用到WLAN無線和3G網(wǎng)絡，實現(xiàn)基于無線網(wǎng)絡的統(tǒng)一認證與訪問控制。本產品已在中國電信總部OA統(tǒng)一認證與訪問控制工程、中央國債統(tǒng)一認證及訪問控制工程等項目中成功使用。

    認證訪問控制墻著眼于應用層和網(wǎng)絡層兩個層面的認證與訪問控制聯(lián)動，為電信級企業(yè)或集團的各類用戶和應用系統(tǒng)、主機、網(wǎng)絡設備等資源提供高性能的安全認證服務、安全接入與訪問控制服務、安全管理服務、安全審計服務。

    時代億信推出的認證訪問控制墻，是當前市場中唯一整合了CA、動態(tài)口令、短信認證等多種身份認證技術、應用動態(tài)加密通道、網(wǎng)絡流量差異化服務、網(wǎng)絡層訪問控制、應用代理、信息中轉和推送、協(xié)議分析、URL重寫、內容過濾、內容重寫、端到端加密通道、服務器插件信息提取等多項關鍵技術，綜合提供身份統(tǒng)一管理、角色統(tǒng)一管理、資源統(tǒng)一管理、授權統(tǒng)一管理、身份統(tǒng)一認證、訪問控制等功能的產品，能有效整合各種應用系統(tǒng)用戶資源，增強應用資源安全性，提高工作效率，降低溝通成本，是對多種信息安全技術、身份認證技術和訪問控制技術的綜合應用，可廣泛滿足用戶的多種需求，而無須進行二次開發(fā)，快速部署和應用。