1 方案背景
身份(fen)鑒別(bie)作為(wei)網絡用(yong)戶(hu)接(jie)入(ru)的(de)(de)(de)基礎層(ceng)控制非常重要,如何保證接(jie)入(ru)的(de)(de)(de)用(yong)戶(hu)為(wei)合法(fa)用(yong)戶(hu),即(ji)用(yong)戶(hu)身份(fen)的(de)(de)(de)真實性(xing),單通過一個口令來確定身份(fen)將是(shi)不安全的(de)(de)(de������),調查(cha)顯(xian)示,有70%以上(shang)的(de)(de)(de)成(cheng)功的(de)(de)(de)網絡攻擊都是(shi)通過破解�������口令的(de)(de)(de)方式完成(cheng)的(de)(de)(de),這都對信息和網絡資(zi)源造成(cheng)嚴重威脅,直接(jie)造成(cheng)信息失密和經濟損失。
2 方案目標
本方案基于數字證書,解決用戶在訪問信息系統時進行身份鑒別的防假冒、防截獲、防重用等安全性問題。
3 方案概述
1.由具有電子認證服務許可(ke)的CA機構給用戶簽(qian)發數字證書。CA機構在簽(qian)發證書前,會嚴格核對用戶的身(shen)份證件,能(neng)滿足身(shen)份真(zhe������n)實性要求
2. 用戶客戶端在(za�����i)登錄(lu)應������用系(xi)統時(shi),會對登錄(lu)表單進行數字簽名
3. 由PKI中(zhong)間件對電(dian)子密鑰進行私(si)鑰調用,完成數字簽名操作
4. 客戶端提交的登錄表單,主要包含被(�������bei)簽名的挑戰碼、用戶證書(shu)、簽名值,不具有私密性(xing),可有效防止截獲和重放(fang)
5. 應用系統(tong)通過(guo)���������調用簽(qian)名驗簽(qian)服務器對用戶提交的登錄表(biao)單進行(xing)驗證,以保證用戶身份的真(zhen)實(shi)性、有效性
6. 簽名驗簽服(fu)務器(q�������i��������)調(diao)用CA的證(zheng)書(shu)注(zhu)銷狀態查驗服(fu)務,以(yi)防止(zhi)非法用戶登(deng)錄(lu)
4 網絡部署
5 方案價值
基于(yu)數(shu)字(zi)������證書(shu)的身份認(ren)證登(deng)錄,被������公認(ren)為(wei)是最(zui)好、最(zui)安(an)全的登(deng)錄方式之一,因為(wei)具(ju)有以下優(you)點:
1.由NETCA給(gei)用戶簽發數字證書,能保證用戶身份真實,符合國(guo)家電子簽名法要求
2. 可防網(wang)絡竊聽(ting)(ting)。證(������zheng)(zheng)書認(ren)(ren)證(zheng)(zheng)中,網(wang)上傳(chuan)輸的(de)是私(si)(si)鑰對一(yi)個挑(tiao)戰(zhan)碼的(de)簽名,私(si)(si)鑰并不需要傳(chuan)輸,所以竊聽(ting)(ting)者并不能通過網(wang)絡竊聽(ting)(ting)到用戶私(si)(si)鑰。另由于(yu)每次認(ren)(ren)證(zheng)(zheng)的(de)挑(tiao)戰(zhan)碼都不同,竊聽(ting)(ting)者竊聽(ting)(ting)的(de)認(ren)(ren)證(zheng)(zheng)數據并不能用來重放攻擊
3. 管理使(shi)用(yong)方便。用(yong)戶只(zhi)需(xu)隨(sui)身(shen)攜帶一個電子(zi)密鑰(形式如U盾、IC卡等),就可在不同(tong)的(de)電腦上(shang)隨(sui)時隨(sui)地地登錄不同(ton����������g)的(de)應用(yong)系統(tong)。而且(qie)用(yong)戶的(de)私鑰始終只(zhi)在電子(zi)密鑰里面,任(ren)何使(shi)用(yong)過的(de)電腦上(shang)都沒有私鑰痕跡(ji)
4. 無法在服務(wu)器側攻擊。服務(wu)器側保存������的(de)只是用戶的(de)公鑰(yao)或(huo)公鑰(yao)證(zheng)書,并沒有用戶的(de)私鑰(yao)。公鑰(yao)只能用來驗證(zheng)簽(qian)名而不能產生(sheng)用于登(deng)錄認證(zheng)的(de)簽(qian)名
6. 具有(you)(you)補救措施。用戶在使用電子(zi)密鑰(yao)里(li)的(de)私鑰(yao)做簽名時,需(xu)要(yao)本地輸入正確的(de)PIN碼(ma)或做指紋識別,而(er)且這個PIN碼(ma)還有(you)(you)重試次(ci)數(shu)限制,輸錯指定的(de)次(ci)數(shu)后eKey將鎖死(si),有(you)(��������you)效(xiao)地防止了(le)別人的(de)多次(ci)猜測。另外,用戶也可以直接(jie)向(xiang)CA注銷自(zi)己(ji)的(������de)證書,及時防止自(zi)己(ji)的(de)證書被盜用
6 項目案例
某行政管理綜合業務系統密碼應用改造項目
某養老保險業務信息系統密碼應用建設項目
