1 方案背景
身份(fen)(fen)鑒別作為(wei)網絡用(yong)戶(hu)(hu)接入(ru)的(de)(de)基礎(chu)層(ceng)控制非(fei)常重要,如何保(bao)證(zheng)接入(r������u)的(de)(de)用(yong)戶(hu)(hu)為(wei)合法用(yong)戶(hu)(hu),即用(yong)戶(hu)(hu)身份(fen)(fen)的(de)(de)真實(shi)性,單通過(guo)一個口(kou)令(ling)來確定(ding)身份(fen)(fen)將是不安全的(de)(de),調查顯示,有70%以上的(de)(de)成(cheng)功的(de)(de)網絡攻擊都是通過(guo)破(po)解口(kou)令(ling)的(de)(de)方式完成(cheng)的(de)(de),這(zhe)都對信(xin)息和(he)網絡資源(yuan)造(zao)成(cheng)嚴重威脅,直接造(zao)成(cheng)信(xin)息失密和(he)經濟損失。
2 方案目標
本方案基于數字證書,解決用戶在訪問信息系統時進行身份鑒別的防假冒、防截獲、防重用等安全性問題。
3 方案概述
1.由(������you)具有������電子認證服務(wu)許可的(de)CA機構(gou)給用戶(hu)簽(qian)發數字(zi)證書(shu)。CA機構(gou)在簽(qian)發證書(shu)前(qian),會嚴格核對用戶(hu)的(de)身份(fen)(fen)證件,能滿足身份(fen)(fen)真實性要求
2. 用(yong)戶客戶端(������duan)在登(deng)����錄應用(yong)系統時,會對登(deng)錄表(biao)單進行(xing)數字(zi)簽名
3. 由PKI中間件對(dui)電子密鑰進行私鑰調用,完成(cheng)數字簽名操作
4. 客戶端(duan)提交(jiao)的登(deng������)錄表單,主要(yao)包含(han)被(bei)簽名的挑戰碼、用戶證(zheng)書、簽名值,不(bu)具有私密性(xing),可(ke)有效防止(zhi������)截獲(huo)和(he)重放
5. 應(ying)用(yong)系(xi)統通(tong)過調用(yong)簽(qian)(qian)名(ming)驗(yan)簽(qian)(qian)服務器對用(yong)戶提������交的(de)登(deng)錄(lu)表單(dan)進行驗(yan)證,以保證用(yong)戶身(shen)份(fen)的(de)真實(shi)性、有效(xiao)性
6. 簽(qian�����)(qian)名驗簽(qian)(qian)服(fu)務器(qi)調用(yong)CA的(de)證書(shu)注(zhu)銷狀態查驗服(fu)務,以(yi)防止非(fei)法用����(yong)戶登錄
4 網絡部署
5 方案價值
基于數(shu)字(zi)證書的(de)身份認(ren)證登錄(lu),被公(gong)認(ren)為是最好、最安全的(de)登�����錄(lu)方式之一,因為具有以下(xia)優點(dian)������:
�������1.由NETCA給用(yong)戶簽發數字證書,能(neng)保證用(yong)戶身(shen)份真(zhen)實,符(fu)合(he)國家電子簽名(ming)法要求
2. 可防網絡竊(qie)(qie)(qie)聽�������。證書認證中,網上傳輸的是私鑰對一個挑戰碼(ma)的簽名,私鑰并不需(xu)要傳輸,所以竊(qie)(qie)(qie)聽者并不能通過網絡竊(qie)(qie)(qie)聽到用戶私鑰。另由(you)于(yu)每次認證的挑戰碼(ma)都不同,竊(qie)(qie)(qie)聽者竊(qie)(qie)(qie)聽的認證數據并不能用來重放攻(gong)擊
3. 管理使(shi)用(yong)(yong)方便。用(yong)(yong)戶只(zhi)需(xu)隨身攜帶一個電子密鑰(yao)(yao)(形式如U盾、IC卡�����(ka)等(deng)),就可在(zai)不同(tong)的電腦上隨時(shi)隨地地登錄不同(tong)的應用(yong)(yong)系統(tong)。而且用(yong)(yong)戶的私鑰(yao)(yao)始終只(zhi)在(zai)電子密鑰(yao)(yao)里面,任何使(shi)用(yong)(yong)過(guo)的電腦上都沒(mei)有私鑰(yao)(yao)痕跡
4. 無法在(zai)服務(wu)器側攻擊(ji)。服務(wu)器側保存的(����de)(de)只(zhi)是用戶的(de)(de)公(gong)鑰(yao)或(huo)公(gong)鑰(yao)證書(shu),并沒(mei)有用戶的(de)(de)私鑰(����yao)。公(gong)鑰(yao)只(zhi)能用來驗(yan)證簽名而不(bu)能產(chan)生(sheng)用于登錄(lu)認證的(de)(de)簽名
6. 具有補(bu)救措施。用戶在使用電子密鑰里的(de)(de)私��������(si)鑰做簽(qian)名(ming)時(shi),需(xu)要本地(di)輸入正(zheng)確的(de)(de)PIN碼(ma)或(huo)做指(zhi)(zhi)紋識(shi)別,而且這個PIN碼(ma)還有重試次(ci)(ci)數限制,輸錯(cuo)指(zhi)(zhi)定的������(de)(de)次(ci)(ci)數后eKey將鎖死,有效地(di)防止(zhi)(zhi)了別人的(de)(de)多次(ci)(ci)猜測。另(ling)外(wai),用戶也(ye)可以直(zhi)接向CA注(zhu)銷自己的(de)(de)證(zheng)書,及(ji)時(shi)防止(zhi)(zhi)自己的(de)(de)證(zheng)書被盜用
6 項目案例
某行政管理綜合業務系統密碼應用改造項目
某養老保險業務信息系統密碼應用建設項目
