身份認證
身份認證
隨著計算機網絡和信息技術的發展,信息化水平不斷提高,諸如OA、電子郵件等信息系統相應建立,提高了信息系統的運行效率,但隨之也產生了諸多新的安全問題和風險。作為信息系統的大門,身份認證是確保信息資源只能被合法用戶所訪問的重要保障。傳統的口令認證方式雖然簡單,但是由于其存在泄露、竊聽、重放攻擊等安全缺陷,使其已無法滿足當前復雜網絡環境下的安全認證需求。
身份認證服務可滿足用戶對基于數字證書的高強度身份認證安全需求,實現面向多個應用系統,提供集中、統一的安全認證服務,形成統一的、高安全的身份驗證中心;實現面向應用提供最小化改造應用系統前提下能夠對多個應用系統實現證書數字證書登錄功能;實現對用戶訪問應用系統過程作完整審計。
身份認證服務支持多種密碼算法,主要應用在采用PKI安全體系的電子商務、電子政務系統和企業信息化中,為各類系統提供可靠安全的身份認證服務。
身份認證服務的工作原理是:用戶在登錄應用系統時使用自己的證書對挑戰碼簽名,然后將簽名結果、證書發送給服務器。服務器對用戶的簽名結果進行驗簽,并驗證用戶證書的有效性。如果驗證通過則認定該用戶合法;否則認定該用戶為非法。在此基礎上,應用系統還可以按照自己的實際情況來實現用戶管理功能、判斷該證書用戶是否是該應用系統的合法用戶,增強用戶認證的條件。
| 功能 | 說明 |
|---|---|
| 密碼設備應用接口 | 為密碼卡硬件廠商提供的開發接口庫 |
| 核心功能模塊 | 是對密碼卡硬件廠商應用接口的封裝,實現統一的功能函數,供上層模塊調用。 |
| 挑戰碼管理 | 實現挑戰碼生成和管理功能 |
| 解密模塊 | 如果數據是加密傳輸,該模塊完成對數據的解。 |
| 驗簽模塊 | 實現簽名的驗證、證書有效性檢查等功能。 |
| 配置管理 | 實現系統的配置功能,比如支持密碼卡硬件的配置、用戶證書鏈的配置、以及紅名單和CRL的配置等。 |
| 通信模塊(服務端) | 實現Socket服務端口,監聽連接并接受數據。 |
| 通信模塊(客戶端) | 負責和系統服務端的連接和通信 |
| Java API | Java語言版的開發包 |
| C++ API | C++語言版的開發包 |
| C# API | C#語言版的開發包 |
在實際的應用場景中,身份認證服務與業務應用系統可在本地并行部署,也可以依據實際網絡情況進行云部署。
