身份认证
身份认证
身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证,下面主要介绍用户与主机间的身份认证。
在真实世界,对用户的身份认证基本方法可以分为这三种:
(1) 根据你所知道的信息来证明你的身份(你知道什么) :例如口令、密码等;
(2) 根据你所拥有的东西来证明你的身份(你有什么) :例如印章、智能卡等;
(3) 直接根据独一无二的身体特征来证明你的身份(你是谁) ,比如指纹、声音、视网膜、签字、笔迹等等。
在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。
以下罗列几种常见的认证形式:
1.口令
1.1静态口令
1.1.1 简单静态口令
用户的口令由自己设定,当被认证对象要求访问服务系统时,提供服务的认证方要求被认证对象提交其口令,认证方收到口令后,与系统中存储的用户口令进行比较,以确认被认证对象是不是合法访问者。
这种方法的优点是:一般的系统(如UNIX, Windows NT,NetWare等)都提供了对口令认证的支持,对于封闭的小型系统来说不失为一种简单可行的方法。
然而,基于口令的认证方法存在下列不足:
1)用户每次访问系统时都要以明文方式输入口令,容易泄密。
2)口令在传输过程中可能被截获。
3)用户访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆方便,往往采用相同的口令。
1.1.2 使用消息摘要算法的口令认证
认证过程:
(1)存储用户ID和对应的口令摘要值在服务器数据库中;
(2)当进行认证时,用户输入ID和口令,口令会在客户端上被计算出摘要值;
(3)用户ID和摘要结果会被传输到服务器端进行认证;
(4)服务器接收到用户ID和摘要结果后,认证程序会到数据库中根据用户ID获取已存储的相应的口令摘要,两个摘要比较的结果会返回到客户端通知用户认证成功与否。
缺点:因为相同口令的摘要值始终是一样的,但是为了防止重放攻击,应当保证客户端和服务器端的交换信息任何两次都是不同的,这就需要使用随机数技术来解决这个问题。
1.1.3 使用随机数的口令认证
认证过程:
(1)存储用户ID和对应的口令摘要值在服务器数据库中;
(2)用户输入ID,客户端将上传用户ID;
(3)服务器在收到用户的认证请求,即仅包含用户ID的信息以后,认证程序检查ID是否已在数据库中注册,如果没有,将发送相应的错误信息给客户端。如果有,服务器将生成一个随机数以明文的形式回送到客户端;
(4)客户端显示输入口令的用户界面,用户输入口令以后,口令会在客户端上被计算出摘要值。这个摘要值将作为密钥用于加密收到的随机数,加密采用对称算法;
(5)服务器端接收到用随机数加密的口令摘要密文后,认证程序可以通过用户ID查找到对应存储在数据库中的口令摘要,用口令摘要解密收到的密文,解出的明文如果和数据库中存储的随机数一致,则认证通过;
(6)服务器端将认证成功或失败的结果返回给客户端,完成身份认证。
静态口令认证的缺点:为了提高安全性,专门制定了口令政策以约束最终的用户,比如:口令长度至少8位;不能包含空格;口令必须以字母开头。这种方式可以有效地防范黑客的字典攻击,然而,这无疑增加了最终用户记忆口令的难度,致使很多人把复杂的口令记录在各种不安全的地方。因此有人提出了动态口令。
1.2动态口令
动态口令的基本原理是:在客户端登录过程中,基于用户的秘密通行短语(SPP)加入不确定因素,SPP和不确定因素进行变换,所得的结果作为认证数据(即动态口令),提交给认证服务器。认证服务器接收到用户的认证数据后,以事先预定的算法去验算认证数据,从而实现对用户身份的认证。由于客户端每次生成认证数据都采用不同的不确定因素值,保证了客户端每次提交的认证数据都不相同,因此动态口令机制有效地提高了身份认证的安全性。
1.2.1基于时间同步的动态口令机制
认证过程:
(1)用户输入ID(或PIN码),客户端单向散列函数以时间和种子密钥作为参数进行计算,将计算所得的动态口令传送到认证服务器;
(2)认证服务器确认用户ID的合法性后,从服务器加密的数据库中提取该用户所对应的种子密钥,采用与客户端相同的单向散列函数计算出验证口令;
(3)若验证口令和动态口令相同则通过验证,否则不能通过验证。
缺点:由于认证服务器和客户端的时钟要保持同步,只有在两端时钟同步的情况下才能做出正确的判断。一旦发生了时钟偏移,就需进行时钟校正。
1.2.2 基于事件同步的动态口令机制
事件同步机制是以事件作为变量。在初始化阶段选取一个口令PW和一个迭代数n,及一个单向散列函数H,计算Y=Hn(PW)(Hn()表示进行n次散列运算),把Y和n的值存储于认证服务器上。客户端计算Y'=Hn-1(PW),将计算结果提交给服务器。服务器则计算Z=H(Y'),并将Z值与服务器上保存的Y值进行比较。如果Z=Y,则验证成功,然后用Y'的值取代服务器上保存的Y值,同时将n的值递减1。
缺点:由于每次进行身份认证时,客户端要进行多次Hash运算。随着迭代值n不断递减,当递减为0时,就需要重新初始化系统,服务器的额外开销比较大。而且基于事件同步的动态口令机制同样存在失去同步的风险,如用户多次无目的的生成口令就会造成失步。
1.2.3基于挑战/应答的动态口令机制
认证过程:
(1)客户端输入用户ID等信息,向认证服务器发送连接请求;
(2)服务器检查询数据库,若是合法用户ID,则生成挑战码并传回客户端;
(3)客户端根据密钥和挑战码,执行单向散列函数运算,生成应答数并发送到服务器;
(4)服务器执行同样的算法生成应答数,并与客户端发来的应答数进行比对,得到验证结果并传回客户端。
2.证书
工作原理
由证书颁发机构(CA)为系统中的用户颁发证书,证书最后需要分发到每个用户手中,这些证书的副本通常以二进制的形式存储在证书颁发机构的证书服务器数据库中,以便认证时使用。
认证过程:
(1)客户端用户首先发送登录认证请求到服务器端,内容为用户ID。
(2)服务器端收到仅包含用户ID的登录认证请求后,需要检查用户ID是否是已经注册的合法用户ID。如果不是,将直接返回错误信息到客户端。如果是服务器将产生随机数,并以明文的形式返回给客户端。
(3)客户端用户必须对下发的随机数用私钥签名,用户必须输入正确口令才能打开私钥文件。用户输入正确的口令以后,客户端的应用程序可以通过私钥完成对随机数的加密,从而生成数字签名,签名结果会和用户ID一起再次传送到服务器端。
(4)服务器端需要验证收到的用户签名。服务器认证程序会根据用户ID从数据库中获取用户的证书,到CA验证用户证书是否合法。如果不合法,则返回认证失败信息。如果合法,则解析证书,获取公钥信息,并用公钥验证签名。如果验签正确,则身份认证通过。反之,则不通过。服务器把认证结果返回给客户端,从而完成身份认证的过程。
3.智能卡
采用智能卡身份验证方式时,需要将智能卡插入智能卡读卡器中,然后输入一个PIN 码(通常为四到八位)。客户端计算机使用证书来接受Active Directory 的身份验证。这种类型的身份验证既验证用户持有的凭证(智能卡),又验证用户知晓的信息(智能卡PIN 码),以此确认用户的身份。
基于智能卡的身份认证系统认证主要流程均在智能卡内部完成。相关的身份信息和中间运算结果均不会出现在计算机系统中。为了防止智能卡被他人盗用,智能卡一般提供使用者个人身份信息验证功能,只有输入正确的身份信息码(PIN),才能使用智能卡。这样即使智能卡被盗,由于盗用者不知道正确的身份信息码仍将无法使用智能卡。智能卡和口令技术相结合提高了基于智能卡的身份认证系统安全性。
基于智能卡的身份认证系统中采用共享密钥的身份认证协议。假设认证方和被认证方共享一个密钥K。身份认证流程如下:
(1)被认证方向认证方发起认证请求,并提供自己的ID i;
(2)认证方首先查找合法用户列表中是否存在ID i,如果不存在则停止下面的操作,返回被认证方一个错误信息。如果存在ID i,则认证方随机产生一个128 bit的随机数N,将N传给被认证方;
(3) 被认证方接收到128 bit的随机数N后,将N送入智能卡输入数据寄存器中,发出身份信息加密命令,智能卡利用存储在硬件中的共享密钥K采用Rijndael算法对随机数N进行加密,加密后的结果存放在输出数据寄存器中;
(4) 被认证方从智能卡输出数据寄存器中取得加密后的数据,传给认证方。认证方同样通过智能卡完成共享密钥K对随机数N的加密,如果加密结果和被认证方传来的数据一致则认可被认证方的身份,否则不认可被认证方的身份。
这个过程实现了认证方对被认证方的单向认证。在某些需要通信双方相互认证的情况下,通信双方互换角色再经过一遍同样操作流程就可完成双向认证。由于每次认证选择的随机数都不相同,因此可以防止攻击者利用截获的加密身份信息进行重放攻击。
4.指纹
由于人们生活中的很多应用都需要设定密码、口令,很多的口令和密码对于人们记忆来说很困难,所以想要寻找某种人类所特有的生物特征,以方便识别,因此生物识别得到了人们的关注。
指纹识别技术是以数字图像处理技术为基础,而逐步发展起来的。相对于密码、各种证件等传统身份认证技术和诸如语音、虹膜等其他生物认证技术而言,指纹识别是一种更为理想的身份认证技术。使用指纹识别具有许多优点,例如:每个人的指纹都不相同,极难进行复制或被盗用;指纹比较固定,不会随着年龄的增长或健康程度的变化而变化;最重要的在于指纹图像便于获取,易于开发识别系统,具有很高的实用性和可行性。
指纹识别技术可以和其他多种技术融合在一起,例如指纹和智能卡相结合的认证方法、基于USB Key的身份认证方法。
每种认证机制都不是绝对的,他们之间的有些方式都是类似的,实际选择时可能会结合一种以上的认证技术。将来也必定有更加优越的身份认证机制出现。
高级企业认证对照标准
海关认证企业标准(高级认证)
说明 一、关于认证标准的分类 本认证标准分为内部控制、财务状况、守法规范、贸易安全和附加标准,共5大类18条32项。其中前4类为基础标准,第5类为附加标准。 二、关于认证标准的赋分规则 (一)基础标准赋分规则。 赋分选项分为两种,一是“达标”、“不达标”,对应分值为“0”、“-2”;二是“达标”、“部分达标”、“不达标”,对应分值为“0”、“-1”、“-2”。 达标:企业实际情况符合该项标准。该项标准中有分项标准(用(1)、(2)、(3)等表示)的,也应符合每个分项标准。 部分达标:企业实际情况基本符合该项标准。该项标准中有分项标准(用(1)、(2)、(3)等表示)的,也应基本符合每个分项标准。 不达标:企业实际情况不符合该项标准。 相关标准项不适用于该经营类别企业的,海关不再对该项标准进行认证。 (二)附加标准赋分规则。 设定“符合”和“不适用”选项,对应分值为“2”和“0”。附加标准分值最高为“2”,不重复记分。 三、关于认证标准的通过条件
企业同时符合下列两个条件并经海关认定的,通过认证: (一)所有赋分项目均没有不达标(-2分)情形; (二)认证标准总分在95分(含本数)以上。 认证标准总分=100+(所有赋分项目得分总和)。 四、关于认证标准的自我评估 企业向海关提出适用认证企业管理申请前,应当按照本认证标准进行自我评估,并将自我评估报告随认证申请一并提交海关。 五、关于规范改进情形的适用 除本认证标准第12、13、14、15、17、22、23项外,其他项不达标或者部分达标的,允许企业规范改进。规范改进期限由海关确定,最长不超过90日。根据规范改进情况,海关认定是否通过认证。
统一身份认证-CAS配置实现
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
企业财务系统的身份认证和电子签名解决方案
企业财务系统的CA身份认证和电子签名解决方案 1、用户需求: 总结用户需求如下: ●财务系统需要提升安全级别。财务系统的基本情况如下: ?财务系统的系统结构、操作系统、开发语言等(略) ?三种主要应用功能:预算申请、审批、修正;费用的申报;对财务系统查阅。 ●需要解决单纯的用户名/密码登录的脆弱性问题,确保登录财务系统的身 份的真实性。 ●需要对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的 应用需求。 2、解决方案 具体设计方案如下: ●建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。 具体建设方案如下: ?证书服务器负责证书的日常管理。 ?管理终端完成证书的申请和发放工作。 ?为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性。 ?用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K。 用于私钥存储,确保私钥的安全。 ?采用SQL数据库,用于证书服务器生成证书和CRL的存储 ●建设数字签名中间件,对用户在财务系统中的操作实现数字签名,实现 抗抵赖的功能。具体建设方案如下: ?将数字签名服务器与应用服务器共同部署; ?在IE中部署签名插件; ?用户的操作需要用私钥进行签名; ?服务器端对用户的签名数据进行验签;
?应用数据和签名数据进行分别的存储。 具体部署的拓扑图如下(略) 3、用户收益 采用本方案后用户收益如下: ●通过强身份认证手段的采用,确保所有登录财务系统用户的身份的真实 性 对财务系统的操作、交易实现签名,满足不可抵赖性、事后溯性的应用需求。 ---------------------------------------------------------------------------------------------------------------------- 北京安软天地科技有限公司 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
统一身份认证平台讲解
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
身份认证、接入控制解决方案
身份认证、接入控制解决方案 金盾身份认证、接入控制解决方案以身份识别,杜绝非法入侵和接入保护为 主要设计理念,金盾准入控制保护系统是金盾软件公司独创的,国际领先的 产品功能,是产品的核心功能之一,具有实施简单,主动发现、自动防御、效果显著等特点,极大提升了内网的防御能力和用户的体验效果。 方案简介 □如何防止非授权终端的接入内部局域网窃取涉密资料? □如何防止“黑户”电脑和“问题“笔记本擅自进入内部网络成为传播病毒的源头? □ 如何防止假冒身份的非法计算机带入内网肆意访问内部办公系统?
方案功能 安全状态评估 □终端补丁检测:评估客户端的补丁安装是否合格,包括:操作系统(Windows 98/me/2000/XP/2003/Vista/win7/2008 )。 □客户端版本检测:检测安全客户端的版本,防止使用不具备安全检测能力的客户端接入网络,同时支持客户端自动升级。 □终端运行状态实时检测:可以对上线用户终端的系统信息进行实时检测,发现异常客户端或被卸载时自动阻断网络,强制安装。 □终端防病毒联动:主要包含两个方面,终端用户接入网络时,检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等,不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 □端点用户接入网络后,定期检查防病毒软件的运行状态,如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 安全接入审核 □强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。 □网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到金盾网络隔离区,待危险终端到达安全级别后方可入网。 □软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。 □终端授信认证:对于外来计算机由于业务需要接入内网或者访问Internet时,针对对方IP、MAC等端口做授信暂时放行。 □内网安全域:可以限制用户只能在允许的时间和网络IP段内(接入设备和端口)使用网络。
身份认证技术
身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种:(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什么) ;(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什么) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁) ,比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡(IC卡) 一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期
几种身份认证方式的分析
几种身份认证方式的分析 信息系统中,对用户的身份认证手段也大体可以分为这三种,仅通过一个条件的符合来证明一个人的身份称之为单因子认证,由于仅使用一种条件判断用户的身份容易被仿冒,可以通过组合两种不同条件来证明一个人的身份,称之为双因子认证。 身份认证技术从是否使用硬件可以分为软件认证和硬件认证,从认证需要验证的条件来看,可以分为单因子认证和双因子认证。从认证信息来看,可以分为静态认证和动态认证。身份认证技术的发展,经历了从软件认证到硬件认证,从单因子认证到双因子认证,从静态认证到动态认证的过程。现在计算机及网络系统中常用的身份认证方式主要有以下几种: 1、用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,它是基于“what you know”的验证手段。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。然而实际上,由于许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露。即使能保证用户密码不被泄漏,由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式一种是极不安全的身份认证方式。可以说基本上没有任何安全性可言。 2、IC卡认证 IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据, IC卡由专门的厂商通过专门的设备生产,可以认为是不可复制的硬件。IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“what you have”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从IC卡中读取的数据还是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息。因此,静态验证的方式还是存在根本的安全隐患。 3、动态口令 动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示
身份认证技术
身份认证技术 计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,如用户名Alice、电子邮件Alice@https://www.360docs.net/doc/3e18878780.html,或者IP地址172.16.0.10等。计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 常用的身份认证方式及应用: 1.静态密码,是最简单也是最常用的身份认证方法。每个用户的密码是由这个用户自己设定的,只有他自己才知道,因此只要能够正确输入密码,计算机就认为他就是这个用户。由于密码是静态的数据,并且在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,静态密码是一种极不安全的身份认证方式。 2.动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术,根据当前时间或使用次数生成当前密码并显示。认证服务器采用相同的算法计算当前的有效密码。由于户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。
3.短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。 4.生物识别技术是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说,生物特征认证是最可靠的身份认证方式,因为它直接使用人的物理特征来表示每一个人的数字身份,不同的人具有相同生物特征的可能性可以忽略不计,因此几乎不可能被仿冒。 当今社会是一个网络信息的社会,通过对身份认证技术的学习与掌握,随着网络资源的普及与发展,身份认证技术是一种十分重要的网络安全技术,我们要深刻的认识它,防止我们的信息丢失或被窃取,以免造成重大的损失。
统一身份认证平台讲解-共38页知识分享
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
中国电子口岸身份认证系统操作手册(企业法人卡)
中国电子口岸身份认证系统 操作手册 中国电子口岸数据中心 2017年8月
目录 前言 (1) 系统介绍 (2) 系统简介 (2) 操作说明 (3) 如何进入本系统 (3) 一、进入系统 (3) 二、特别提示 ................................................................................................................ 错误!未定义书签。 企业操作员信息申报 (3) 一、功能介绍 (3) 二、注意事项 (4) 三、操作介绍 (4) 企业操作员信息注销申报 (10) 一、功能介绍 (10) 二、注意事项 (11) 三、操作介绍 (11) 三证合一信息_变更界面 (13) 一、功能介绍 (13) 二、注意事项 (13) 三、操作介绍 (14) IC卡延期界面 (16) 一、功能介绍 (16) 二、注意事项 (16) 三、操作介绍 (17) IC卡挂失界面 (21) 一、功能介绍 (21) 二、注意事项 (21) 三、操作介绍 (21) IC卡解挂界面 (25) 一、功能介绍 (25) 二、注意事项 (25) 三、操作介绍 (25) IC卡冻结界面 (29) 一、功能介绍 (29) 二、注意事项 (29)
三、操作介绍 (29) IC卡解冻界面 (33) 一、功能介绍 (33) 二、注意事项 (33) 三、操作介绍 (33) IC卡解锁界面 (38) 一、功能介绍 (38) 二、注意事项 (38) 三、操作介绍 (38) IC卡综合查询界面 (43) 一、功能介绍 (43) 二、注意事项 (43) 三、操作介绍 (43) 企业商务部备案申请 (45) 一、功能介绍 (45) 二、注意事项 (45) 三、操作介绍 (46) 企业海关备案授权 (47) 一、功能介绍 (47) 二、注意事项 (47) 三、操作介绍 (48) IC卡海关备案 (49) 一、功能介绍 (49) 二、注意事项 (49) 三、操作介绍 (49) 企业外汇备案授权 (50) 一、功能介绍 (50) 二、注意事项 (51) 三、操作介绍 (51) IC卡外汇备案 (52) 一、功能介绍 (52) 二、注意事项 (52) 三、操作介绍 (52) 退出本系统 (53)
统一身份认证系统
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
一般认证企业
附件2 海关认证企业标准 (一般认证)
说明 一、关于认证标准的分类 本认证标准分为内部控制、财务状况、守法规范、贸易安全和附加标准,共5大类18条29项。其中前4类为基础标准,第5类为附加标准。 二、关于认证标准的赋分规则 (一)基础标准赋分规则。 赋分选项分为两种,一是“达标”、“不达标”,对应分值为“0”、“-2”;二是“达标”、“部分达标”、“不达标”,对应分值为“0”、“-1”、“-2”。 达标:企业实际情况符合该项标准。该项标准中有分项标准(用(1)、(2)、(3)等表示)的,也应符合每个分项标准。 部分达标:企业实际情况基本符合该项标准。该项标准中有分项标准(用(1)、(2)、(3)等表示)的,也应基本符合每个分项标准。 不达标:企业实际情况不符合该项标准。 相关标准项不适用于该经营类别企业的,海关不再对该项标准进行认证。 (二)附加标准赋分规则。 设定“符合”和“不适用”选项,对应分值为“2”和“0”。附加标准分值最高为“2”,不重复记分。 三、关于认证标准的通过条件 企业同时符合下列两个条件并经海关认定的,通过认证: (一)所有赋分项目均没有不达标(-2分)情形; (二)认证标准总分在95分(含本数)以上。 认证标准总分=100+(所有赋分项目得分总和)。 四、关于认证标准的自我评估 企业向海关提出适用认证企业管理申请前,应当按照本认证标准进行自我评估,并将自我评估报告随认证申请一并提交海关。 五、关于规范改进情形的适用
除本认证标准第9、10、11、12、14、19、20项外,其他项不达标或者部分达标的,允许企业规范改进。规范改进期限由海关确定,最长不超过90日。根据规范改进情况,海关认定是否通过认证。
物联网中的电子身份认证
物联网的终端是物品,人们的生活和工作都离不开周围成千上万的各种物品。人是主体,物品是客体。对物联网最直观的理解是人们需要知道哪些物品,并控制他们发挥其作用。物联网需要识别物品,也需要识别人,本文讨论物联网识别人们身份的相关技术。 物联网的本质含自动识别 物联网的本质概括起来主要体现在3个方面:一是互联互通;二是识别与通信特征,即纳入物联网的“物”一定要具备自动识别与物物通信(M2M)的功能;三是智能化特征,即网络系统应具有自动化、自我反馈与智能控制的特点。其中“识别与通信特征”和“智能化特征”都离不开物体和相关人员的身份识别,物体具备自动识别与物物通信的功能,物联网平台、物体、人员相互能够自动识别身份。 以此可见,自动识别在物联网中占有重要地位,而生物识别技术是实现自动识别最重要的手段之一。物联网应用领域内,生物识别技术广泛应用于绿色农业、工业监控、公共安全、城市管理、远程医疗、智能家居、智能交通和环境监测等各个行业。 电子身份识别服务的概念 电子身份识别(EID)应用由来已久。从计算机产生之初,使用口令来验证计算机使用者的身份是最早的EID应用。随着社会经济的发展,EID应用逐渐扩展到电子政务和民生领域,负责市民、政府官员和移动终端的身份识别。 与互联网相同,物联网能识别用户和物体的一切信息都是用一组特定的数据来表示的。这组特定的数据代表了数字身份,所有对用户和物体的授权也是针对数字身份的授权。如何保证以数字身份进行操作的使用者就是这个数字身份合法拥有者,也就是说保证使用者的物理身份与数字身份相对应,EID服务就是为了解决这个问题。作为物联网的第一道关口,EID服务的重要性不言而喻。 在真实世界,对用户身份认证的基本方法可以分为3种:说出所知道的信息、展示所拥有的东西、提供独一无二的生物特征。在物联网中身份认证手段与真实世界中一致。物联网中身份认证的手段包括:一、输入保密信息,如用户的姓名、通行字或加密密钥等; 二、展示访问卡、钥匙或令牌等实物,通过询问应答系统和物理识别设备来识别;三、利用生物特征,如指纹、声音、视网膜等识别技术对用户进行唯一的识别。 基于生物特征的电子身份识别 基于生物特征的EID指通过对生物体(一般特指人)本身的生物特征来区分生物体个体的电子身份识别技术。目前生物特征的研究领域非常多,主要包括语音、脸、指纹、
中国电子口岸身份认证系统
中国电子口岸身份认证系统(三证合一企业法人卡) 操作手册 中国电子口岸数据中心 2017年8月
如何进入本系统 一、进入系统 在IE浏览器中输入网址https://www.360docs.net/doc/3e18878780.html,/rasuc,填写正确的IC卡密码,登陆后就可看到中国电子口岸身份认证系统,如下图所示: IC卡延期界面 一、功能介绍 1.可对IC卡信息进行查看; 2.可根据查询条件对当前存在的信息进行查询; 3.可对当前的查询条件进行重置,界面的查询条件回到初始状态; 4.IC卡延期后密码更新为初始密码88888888 二、注意事项 1.必须更新控件到6.0版本; 2.法人卡的延期功能沿用旧流程,去分中心办理; 3.使用法人卡登陆系统,对本企业操作员进行延期操作; 4.IC卡延期界面,只可对未过期的IC卡进行延期
三、操作介绍 使用法人卡登录成功后,在左侧功能菜单上选择IC卡自主管理界面下的延期图标,点击进入延期界面。界面显示已经存在的信息。如图5.3.1所示: 图5.3.1 点击操作员统一编号下的编号,弹出IC卡延期界面。如图5.3.2所示:
图5.3.2 如需延期点击【延期】按钮,弹出提示框,如图5.3.3和5.3.4。点击【确定】按钮并插入所需延期的卡完成延期如图5.3.5所示。如无需延期点击【返回】按钮。
图5.3.3 图5.3.4
图5.3.5 可以在界面上方的查询条件下选择任意一项以上的选项进行填写后,点击【查询】按钮进行查询。如图5.3.6所示: 图5.3.6 1.IC卡号:填写正确的IC卡号 2.操作员姓名:填写正确的姓名(支持模糊查询); 3.证件编号:填写正确的证件编号;
身份认证
身份认证 身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证,下面主要介绍用户与主机间的身份认证。 在真实世界,对用户的身份认证基本方法可以分为这三种: (1) 根据你所知道的信息来证明你的身份(你知道什么) :例如口令、密码等; (2) 根据你所拥有的东西来证明你的身份(你有什么) :例如印章、智能卡等; (3) 直接根据独一无二的身体特征来证明你的身份(你是谁) ,比如指纹、声音、视网膜、签字、笔迹等等。 在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 1.口令 1.1静态口令 1.1.1 简单静态口令 用户的口令由自己设定,当被认证对象要求访问服务系统时,提供服务的认证方要求被认证对象提交其口令,认证方收到口令后,与系统中存储的用户口令进行比较,以确认被认证对象是不是合法访问者。 这种方法的优点是:一般的系统(如UNIX, Windows NT,NetWare等)都提供了对口令认证的支持,对于封闭的小型系统来说不失为一种简单可行的方法。 然而,基于口令的认证方法存在下列不足: 1)用户每次访问系统时都要以明文方式输入口令,容易泄密。 2)口令在传输过程中可能被截获。 3)用户访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆方便,往往采用相同的口令。 1.1.2 使用消息摘要算法的口令认证 认证过程: (1)存储用户ID和对应的口令摘要值在服务器数据库中; (2)当进行认证时,用户输入ID和口令,口令会在客户端上被计算出摘要值; (3)用户ID和摘要结果会被传输到服务器端进行认证; (4)服务器接收到用户ID和摘要结果后,认证程序会到数据库中根据用户ID获取已存储的相应的口令摘要,两个摘要比较的结果会返回到客户端通知用户认证成功与否。 缺点:因为相同口令的摘要值始终是一样的,但是为了防止重放攻击,应当保证客户端和服务器端的交换信息任何两次都是不同的,这就需要使用随机数技术来解决这个问题。 1.1.3 使用随机数的口令认证 认证过程: (1)存储用户ID和对应的口令摘要值在服务器数据库中; (2)用户输入ID,客户端将上传用户ID; (3)服务器在收到用户的认证请求,即仅包含用户ID的信息以后,认证程序检查ID是否已在数据库中注册,如果没有,将发送相应的错误信息给客户端。如果有,服务器将生成一个随机数以明文的形式回送到客户端; (4)客户端显示输入口令的用户界面,用户输入口令以后,口令会在客户端上被计算出摘要值。这个摘要值将作为密钥用于加密收到的随机数,加密采用对称算法; (5)服务器端接收到用随机数加密的口令摘要密文后,认证程序可以通过用户ID查找到对应存储在数据库中的口令摘要,用口令摘要解密收到的密文,解出的明文如果和数据库中存储的随机数一致,则认证通过; (6)服务器端将认证成功或失败的结果返回给客户端,完成身份认证。 静态口令认证的缺点:为了提高安全性,专门制定了口令政策以约束最终的用户,比如:口令长度至少8位;不能包含空格;口令必须以字母开头。这种方式可以有效地防范黑客的字典攻击,然而,这无疑增加了最终用户记忆口令的难度,致使很多人把复杂的口令记录在各种不安全的地方。因此有人提出了动态口令。
浅析身份认证技术
浙江财经大学东方学院学年论文论文题目:浅析身份认证技术 学生姓名戚佳佳指导教师张琼妮 分院信息专业名称计算机科学与技术班级11计算机(2)班学号 1120410211 2014 年 4 月 6 日
浅析身份认证技术 摘要:在这个信息化社会,计算机技术的发展使得信息安全问题倍受关注。为了保证信息的保密性以及信息的完整性和有效性,认证技术在日新月异的生活中引申了出来。数字签名技术在身份识别和认证、数据完整性、抗抵赖等方面具有其它技术所无法替代的作用,在这个高科技时代,出现了许多身份认证技术。身份认证技术也在不断的发展和改进。 关键词:身份认证;信息技术;物理身份认证;生物认证技术 1.身份认证技术的定义 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。 认证是指核实身份的过程,是防止主动攻击的重要技术。认证不能自动地提
统一身份认证系统建设方案
统一身份认证系统建设方案 发布日期:2008-04-01 1.1 研发背景 随着信息技术的不断发展,企业已逐渐建立起多应用、多服务的IT 架构,在信息化建设中起到十分重要的作用。但是各信息系统面向不同管理方向,各有其对应的用户群体、技术架构、权限体系,限制了系统之间的信息共享和信息交换,形成的信息孤岛。同时,每一个信息系统的用户拥有不同的角色(职能),需要操作不同的系统,难以对其需要和拥有的信息和操作进行综合处理,限制信息系统效率的发挥。在这种背景下企业准备实施内网信息门户系统。其中统一身份管理系统是内网信息门户系统的一个重要组成部分。 统一身份管理将分散的用户和权限资源进行统一、集中的管理,统一身份管理的建设将帮助实现内网信息门户用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证和授权管理,简化用户访问内部各系统的过程,使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。 1.2 组成架构 汇信科技与SUN公司建立了紧密合作关系,汇信科技推出的统一身份认证解决方案基于SUN公司的Sun Java System Identity Manager和Sun Java System Access Manager以及Sun Java System Directory Server实现。主要包括受控层、统一访问控制系统(统一认证服务器)、统一身份管理系统(统一身份管理服务器)、目录服务器。 受控层位于各应用服务器前端,负责策略的判定和执行,提供AGENT和API两种部署方式。 统一认证服务器安装统一身份认证系统(AM),主要提供身份认证服务和访问控制服务。 统一认证服务器安装统一身份管理系统(IM),主要实现身份配给、流程自动化、委任管理、密码同步和密码重置的自助服务。 目录服务器部署Sun Java System Directory Server,是整个系统的身份信息数据中心。 1.1 功能描述 1.1.1 实现“一次鉴权”(SSO) “一次鉴权(认证和授权)”是指建立统一的资源访问控制体系。用户采用不同的访问手段(如Intranet、PSTN、GPRS等)通过门户系统
企业用户身份认证解决企业内网安全问题
企业内网安全解决方案 1.企业寻求安全的道路艰辛 在企业网络中,为了避免数据泄密的问题,有的企业采用的内外网物理分离的策略,员工上网查资料需要到指定的地点,工作效率低下;有的企业强部桌管,做上网行为审计,员工抵触情绪大,信息资源部忙于终端的维护。员工能够高效的工作,是企业网络安全运行的前提条件,在防泄密措施和员工上网的体验之间找到平衡成为目前企业急需解决的问题。 2. 看似纷繁的问题却有一样的解决办法 从数据泄密的方式来看分为主动泄密和被动泄密。主动泄密,防不胜防,并且无法根除,管理主动泄密的层面远远超过了网络管理,而被动泄密却可以通过网络层面解决。采用锐捷企业内网安全解决方案使企业防泄密和员工上网工作效率之间达到了完美的平衡。 对于要接入网络的用户,企业内网安全解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行访问权限的划分,实名制流量的控制,并对应用安全域进行指定和划分,从而对内网安全进行了良好的保护。 企业内网安全解决方案示意图:
3.方案价值 3.1局域网安全准入防护 在企业网内部,接入终端一般是通过交换机接入企业网络,SMP通过与交换机的联动,提供统一的身份管理模式,对接入内网的用户进行身份合法性验证。没有合法身份的用户被隔离在内网之外,无法登录访问网络,阻止来自企业内部的安全威胁。 3.2安全域划分--兼顾内外网的安全与高效 根据业务不同,将网络化为不同的安全域,如互联网访问域和业务域.根据身份的不同,为每个员工提供不同的安全域访问权限.同一时刻只能访问一个安全域,确保不同域之间隔离.提供便捷访问列表,方便快捷的业务直达。 3.3安全域的便捷跳转
统一身份认证平台功能描述
数字校园系列软件产品 统一身份认证平台 功能白皮书
目录 1 产品概述............................................................. - 1 - 1.1 产品简介....................................................... - 1 - 1.2 应用范围....................................................... - 1 - 2 产品功能结构......................................................... - 2 - 3 产品功能............................................................. - 2 - 3.1 认证服务....................................................... - 2 - 3.1.1 用户集中管理............................................. - 2 - 3.1.2 认证服务................................................. - 3 - 3.2 授权服务....................................................... - 3 - 3.2.1 基于角色的权限控制....................................... - 3 - 3.2.2 授权服务................................................. - 4 - 3.3 授权、认证接口................................................. - 4 - 3.4 审计服务....................................................... - 4 - 3.5 信息发布服务................................................... - 5 - 3.6 集成服务....................................................... - 5 - 3.6.1 应用系统管理............................................. - 5 - 3.6.2 应用系统功能管理......................................... - 6 - 3.6.3 应用系统操作管理......................................... - 6 -
身份认证技术的发展与展望
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问