1 方案背景
身份鑒別作為網絡用戶接入的基礎層控制非常重要�,如何保證接入的用戶為合法用戶���,即用戶身份的真實性�,單通過一個口令來確定身份將是不安全的�����,調查顯示���,有70%以上的成功的網絡攻擊都是通過破解口令的方式完成的����,這都對信息和網絡資源造成嚴重威脅�����,直接造成信息失密和經濟損失���。
2 方案目標
本方案基于數字證書�����,解決用戶在訪問信息系統時進行身份鑒別的防假冒�、防截獲���、防重用等安全性問題��。
3 方案概述
1.由具有電子認證服務許可的CA機構給用戶簽發數字證書����。CA機構在簽發證書前�����,會嚴格核對用戶的身份證件��,能滿足身份真實性要求
2. 用戶客戶端在登錄應用系統時����,會對登錄表單進行數字簽名
3. 由PKI中間件對電子密鑰進行私鑰調用�,完成數字簽名操作
4. 客戶端提交的登錄表單�,主要包含被簽名的挑戰碼���、用戶證書����、簽名值���,不具有私密性��,可有效防止截獲和重放
5. 應用系統通過調用簽名驗簽服務器對用戶提交的登錄表單進行驗證�����,以保證用戶身份的真實性��、有效性
6. 簽名驗簽服務器調用CA的證書注銷狀態查驗服務��,以防止非法用戶登錄
4 網絡部署
5 方案價值
基于數字證書的身份認證登錄��,被公認為是最好����、最安全的登錄方式之一�����,因為具有以下優點:
1.由NETCA給用戶簽發數字證書�����,能保證用戶身份真實���,符合國家電子簽名法要求
2. 可防網絡竊聽�。證書認證中�,網上傳輸的是私鑰對一個挑戰碼的簽名�����,私鑰并不需要傳輸���,所以竊聽者并不能通過網絡竊聽到用戶私鑰�。另由于每次認證的挑戰碼都不同�,竊聽者竊聽的認證數據并不能用來重放攻擊
3. 管理使用方便����。用戶只需隨身攜帶一個電子密鑰(形式如U盾����、IC卡等)��,就可在不同的電腦上隨時隨地地登錄不同的應用系統����。而且用戶的私鑰始終只在電子密鑰里面�����,任何使用過的電腦上都沒有私鑰痕跡
4. 無法在服務器側攻擊�����。服務器側保存的只是用戶的公鑰或公鑰證書����,并沒有用戶的私鑰���。公鑰只能用來驗證簽名而不能產生用于登錄認證的簽名
6. 具有補救措施���。用戶在使用電子密鑰里的私鑰做簽名時�,需要本地輸入正確的PIN碼或做指紋識別���,而且這個PIN碼還有重試次數限制����,輸錯指定的次數后eKey將鎖死�,有效地防止了別人的多次猜測��。另外�����,用戶也可以直接向CA注銷自己的證書�,及時防止自己的證書被盜用
6 項目案例
某行政管理綜合業務系統密碼應用改造項目
某養老保險業務信息系統密碼應用建設項目
