认证墙SID-PKI强身份认证产品为企业级用户提供强身份认证解决方案,它建立在严密的PKI/CA技术体系基础之上提供数字证书的签发与认证功能,并可扩展支持指纹、手机短信等多种认证组件集成,能够在应用系统的登录认证、敏感关键业务操作、应用保护等环节提供身份安全识别的保障,将用户认证敏感信息以密文形式在网络中传输,具有更高的安全性,从而解决了网络环境中的用户身份认证安全问题。
产品组成
SID-PKI产品由管理平台、用户登录入口、外部系统认证接口、底层服务四部分组成,为企业应用系统/主机/网络设备提供CA证书服务、签名验签服务、加密解密服务、用户帐号管理、日志审计、身份认证以及应用接入管理服务。
SID可以解决以下企业安全问题
SID可以解决以下企业安全问题:
· 应用于企业应用系统的安全身份认证(防止口令密码被猜测或复制)
· 用于增强公网访问应用系统的安全性(从互联网访问的应用系统)
· 用于增强应用系统数据传输安全(用户可使用安全链接访问应用系统)
· 用于提升关键操作的安全性(用户关键操作要求额外认证)
功能特点
一站式CA安全认证解决方案
SID-PKI产品把CA服务、签名服务、认证系统融合到一起,简化了CA应用复杂度,降低成本,快速部署,易用。当用户部署SID-PKI产品后,应用系统可以直接调用相关接口,实现对认证信息、数据或其他重要信息的数字签名与签名验签。管理员可以在同一管理平台上维护用户信息和证书信息,实现用户证书的申请、下载、更新、吊销等操作。配合SID-PKI产品的用户导入功能,可以快速地为应用系统签发数字证书。
支持SM2国密算法,兼容RSA算法 SID-PKI强身份认证系统不仅系统内置的CA证书中心支持使用SM2密码算法签发用户证书,同时在加密、签名等主要流程节点中也已支持SM2密码算法。
同时为了更好的支持企业内部已经建立的CA证书系统,SID-PKI强身份认证系统可以兼容原有1024位、2048位的RSA算法。
可扩展支持多种强身份认证方式SID-PKI产品支持CA数字证书、USB智能卡、指纹、手机短信动态码等多种强身份认证方式,充分发挥双因素认证的安全效果,有效保护用户登录应用系统过程中身份信息的安全,确保只有合法用户才能访问应用系统。
提供多种方式和应用系统无缝结合
SID-PKI强身份认证系统可提供多种方式与应用系统进行无缝结合,SID-PKI产品提供了API插件、反向代理、客户端代理等多种集成方式,同时针对主流应用提供各种适配器,应用系统可根据自身需要选择最方便的接口来实现。
在常规模式下,业务系统使用SID-PKI提供的认证API对认证模块进行改造即可,用户在部署SID-PKI系统后,可在极短的时间内完成业务系统改造,快速接入并使用SID-PKI系统提供的强身份认证服务具有改造工作量小、实施快速和不影响业务系统整体运行流程的特点。
功能列表
应用场景:
应用场景一
某地产公司内部的财务系统中存储着大量的房产交易数据,负责公司账款和资金流转等业务,同时各售楼中心也会通过专线接入内网,进行资金上报等业务。在公司内部拥有非重要的作用和极高的安全准入需求。同时,该公司希望能在出、入账等关键操作时,要求对操作人员的身份进行再次确认。
在办公网络中双机部署SID-PKI强身份认证产品,为财务系统用户申请并签发CA证书。财务系统通过SID-PKI认证接入API,分别实现了用户使用数字证书USB智能卡进行身份认证和关键操作保护的功能。SID-PKI产品对用户登录财务系统和关键操作验证进行详细日志记录,并对历史日志文件归档。
应用场景二 某集团在内部办公网中部署了IBM Websphere门户系统,需要实现用户登录CA证书认证和短信认证方式。
在内网双机部署SID-PKI产品,通过SID-PKI提供的标准EAI扩展,实现了Websphere门户系统的CA证书认证和短信认证。用户登录门户时需要选择使用数字证书USB智能卡或通过手机短信发送的一次性验证码进行认证,SID-PKI产品通过EAI扩展获得认证请求信息并进行验证,之后将验证结果返回给门户,从而实现了门户系统的安全认证需求。
SID强身份认证系统产品功能
强身份认证的安全特性: SID强身份认证系统将系统帐号以USB智能卡的形式存在于真正的用户手中,有赖于“加密签名”和“解密验签”的信息交互机制,使之成为该用户在各业务系统中唯一的身份标识,只有持有智能卡的用户才能登录业务系统、处理关键信息。并且,智能卡在所有业务系统中的信息是一至的。
使用SID系统进行用户身份验证时,用户无需担心智能卡信息的安全性和正确性。SID身份认证组件在获得智能卡信息后会自动将用户证书信息以及随机数进行组合,并对其进行非对称加密以及用户证书签名。
SID强身份认证系统在为用户提供身份认证的同时,还为用户提供“关键操作验证”服务。
· 应用快速接入: 用户部署SID强身份认证系统后,业务系统只需经过简单的改造就可以使用该系统作为统一认证中心使用。在常规模式下,业务系统使用SID提供的认证API对认证模块进行改造即可。具有改造工作量小、实施快速和不影响业务系统整体运行流程的特点。
· 内置ETCA企业级CA: 如图所示,SID强身份认证系统内置了一套名为“ETCA”的CA证书中心,当用户部署SID强身份认证系统后,用户也就拥有了一套企业级CA证书中心。
同时,为了兼容已有业务系统中的用户信息,SID系统提供的用户导入功能配合CA证书中心使用后,可在非常短的时间内为已有用户完成证书申请工作。
完成证书申请的用户,可以通过管理员在SID管理平台中将证书灌制到USB智能卡后发给用户,或者由用户在指定页面通过授权码自助灌制。
· 内置验签服务模块及开发API: SID强身份认证系统作为企业级强身份认证的整体解决方案,在系统内集成了一套签名、验签服务,用户无需单独购置。
签名验签服务作为SID强身份认证系统的核心组件之一,负责对客户端提交的用户认证信息进行解密、验签、重放验证等处理,并将处理后获得的关键信息返回给SID认证系统。
· 支持SM2椭圆曲线密码算法:
为满足电子认证服务系统等应用需求,国家密码管理局于2010年末发布了基于ECC椭圆曲线的SM2密码算法(国家密码管理局公告第21号),其算法机制准则包括总则、数字签名算法、密钥交换协议、公钥加密算法等四大部分,并要求自2011年3月1日起,新研制的含有公钥密码算法的商用密码产品必须支持SM2椭圆曲线密码算法。
SID强身份认证系统不仅系统内置的ETCA证书中心支持使用SM2密码算法签发用户证书,同时在加密、签名等主要流程节点中也已支持SM2密码算法。
同时为了更好的支持企业内部已经建立的CA证书系统,SID强身份认证系统可以兼容原有1024位、2048位的RSA算法。
· 符合国家密码算法相关安全标准: SID强身份认证系统遵守以下国家标准:
GB/T 17964-2000信息技术 安全技术 加密算法 第1部分:概述
GB/T 17964-2000信息技术 安全技术 加密算法 第2部分:非对称加密
GB/T 17964-2000信息技术 安全技术 加密算法 第2部分:对称加密
GB/T 17903.1-1999信息技术 安全技术 抗抵赖 第1部分:概述
GB/T 17903.2-1999信息技术 安全技术 抗抵赖 第2部分:使用对称技术的机制
GB/T 17903.3-1999信息技术 安全技术 抗抵赖 第3部分:使用非对称技术的机制
GB/T 18238.1-2000信息技术 安全技术 散列函数 第1部分:概述
GB/T 18238.2-2002信息技术 安全技术 散列函数 第2部分:采用N位块密码的散列函数
GB/T 18238.3-2002信息技术 安全技术 散列函数 第3部分:占用散列函数
GB/T 20518-2006信息安全技术 公钥基础设施 数字证书格式
GB/T 20520-2006信息安全技术 公钥基础设施 时间戳规范
GB/T 19713-2005信息技术 安全技术 公钥基础设施 在线证书状态协议
GB/T 19771-2005信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范
GB/T 15851信息技术 安全技术 带消息恢复的数字签名方案
公钥密码基础设施应用技术体系 证书应用综合服务接口规范
公钥密码基础设施应用技术体系 通用密码服务接口规范
公钥密码基础设施应用技术体系 标识规范
信息安全技术 证书认证系统 密码及其相关安全技术规范
信息安全技术 公钥基础设施 时间戳规范
数字证书认证系统密码协议规范
· 高安全性:
SID强身份认证系统的安全策略支持用户IP地址策略、管理IP地址策略、时间策略。
SID强认证系统的管理员基于三员分立机制,系统管理员、安全管理员与系统审计员各司其职,互相监督,为用户企业提供具有安全保障的系统管理平台。同时,系统为使管理更加细化,允许在组织机构中设立分级管理员,各部分的用户、证书管理可以在本部门内部设立管理员自行解决。
SID系统可为企业审计工作提供管理员操作日志、用户认证日志、系统运行日志等多种审计资料,支持Syslog远程提交与Excel文件导出。
· 认证可扩展: 随着信息安全领域的不断扩展,SID强身份认证系统除支持传统的USB智能卡、证书文件外,增加了动态口令、指纹、短信一次性口令等多种强认证方式的可扩展支持。
用户可以根据自身环境和安全需求,选择使用何种强认证手段。
· 高性能、稳定性: SID强身份认证系统作为企业强认证需求的整体解决方案,经过多年的发展,拥有众多应用成功案例。可以支持2000笔/秒的最大认证并发量以及成熟的安全技术和长期稳定运行的承诺,为企业大规模应用提供强有力的支持和保障。
SID强身份认证系统产品规格
单次认证请求处理时间小于0.3秒
并发用户访问量大于200
证书签发速度大于500张每小时
SID强身份认证系统产品方案
时代亿信认证访问控制墙认证访问控制墙是一款提供认证和访问控制的硬件设备,为企业B/S和C/S业务系统、网络设备、主机、数据库等企业资源,提供高性能的安全认证、统一接入、访问控制、安全管理、安全审计服务。产品能够满足不同企业集中认证、访问控制和安全管理的需求。
认证访问控制墙通过网络层和应用层联动,采用网络层协议分析与应用层访问策略相结合的访问控制技术,形成用户信息、协议号、目的IP地址、目的端口的用户身份动态资源访问控制策略;在不改动用户应用的前提下,通过协议分析,实现资源的细粒度访问控制;使用流量限速的差异化访问技术,克服传统只能针对应用进行QoS设定的缺陷,实现了用户身份与应用绑定的流量控制功能,提高系统性能;同时,本产品可应用到WLAN无线和3G网络,实现基于无线网络的统一认证与访问控制。本产品已在中国电信总部OA统一认证与访问控制工程、中央国债统一认证及访问控制工程等项目中成功使用。
认证访问控制墙着眼于应用层和网络层两个层面的认证与访问控制联动,为电信级企业或集团的各类用户和应用系统、主机、网络设备等资源提供高性能的安全认证服务、安全接入与访问控制服务、安全管理服务、安全审计服务。
时代亿信推出的认证访问控制墙,是当前市场中唯一整合了CA、动态口令、短信认证等多种身份认证技术、应用动态加密通道、网络流量差异化服务、网络层访问控制、应用代理、信息中转和推送、协议分析、URL重写、内容过滤、内容重写、端到端加密通道、服务器插件信息提取等多项关键技术,综合提供身份统一管理、角色统一管理、资源统一管理、授权统一管理、身份统一认证、访问控制等功能的产品,能有效整合各种应用系统用户资源,增强应用资源安全性,提高工作效率,降低沟通成本,是对多种信息安全技术、身份认证技术和访问控制技术的综合应用,可广泛满足用户的多种需求,而无须进行二次开发,快速部署和应用。
