iKEY-双因素动态密码身份认证系统-电信业安全解决方案

iKEY双因素动态密码身份认证系统电信业安全解决方案上海众人网络安全技术有限公司2009年5月TM目录一、前言.........................................................................................................................................3二、应用方案.................................................................................................................................52.1.方案设计原则...............................................................................................................52.2.集成应用原理图...........................................................................................................62.3.网络拓扑规划设计.......................................................................................................72.4.电信应用系统认证流程...............................................................................................82.5.统一身份认证与权限管理实现方式...........................................................................92.5.1.统一身份认证与管理模型...............................................................................92.5.2.统一权限管理模型...........................................................................................92.5.3.统一身份认证与权限管理应用流程.............................................................102.6.应用方案安全性解决措施.........................................................................................112.6.1.认证安全性解决.............................................................................................112.6.2.iKEY动态密码令牌发行安全性解决...........................................................112.6.3.iKEY认证服务器的容错安全性解决...........................................................122.7.方案特点.....................................................................................................................13三、iKEY双因素动态密码身份认证系统介绍.........................................................................133.1.产品概述.....................................................................................................................133.2.产品认证功能实现.....................................................................................................143.3.产品功能模块构成.....................................................................................................153.4.产品优势.....................................................................................................................15系统适用性高.............................................................................................................15系统兼容性强.............................................................................................................15令牌安全特性突出.....................................................................................................163.5.产品性能参数.............................................................................................................16四、“众人网络”简介....................................................................................................................184.1.公司简介.....................................................................................................................184.2.专家顾问.....................................................................................................................194.3.资质与荣誉.................................................................................................................19一、前言随着互联网和电子商务的发展，网络已经渗透到各行各业；全球信息化已成为人类发展的大趋势。对企业来说，互联信息和应用是企业最重要的战略性资产，它们是实现生产率和竞争优势最大化的关键所在。但是，由于网络化的飞速发展，缺乏统一的标准管理；近年来网络安全问题尤为严峻。致使不管接入的是单个终端还是一套整体网络都不可避免的会受黑客、骇客、恶意软件和其他不轨的攻击。怎样解决自身信息安全问题迫在眉急.会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部份。每种技术都加强某一方面的信息安全的强度，但其本身固有的策略静态性，安全特性更新慢等因素，对非法入侵并不能做到长期有效的防护。在此情况下，身份认证技术应运而生。身份认证技术解决了网络中“你是谁”的问题。通过有效的身份认证，将无序、混乱、缺乏管理的网络改造成一个有序、有管理、可控制的网络。我们所希望的“安全金字塔”必须建立在管理策略和过程的基础上，而身份认证是整个金字塔的关键组成模块，是网络安全的基石。若不首先采用强有力的身份认证，其余的授权层面、加密层面和审计层面就会变得毫无意义。目前，国际上常用的身份认证技术主要有两种：第一种是以数字证书和USB移动证书为代表的敏感信息保护措施，与电子签名配合，参与整个应用网络的敏感信息通信之中；第二种是以动态密码为代表的身份认证保护措施，动态密码认证器会根据专门的算法每隔一定时间生成一个与时间相关的、不可预测的动态密码，每个密码只能使用一次，确保通信和会话从发起、传递到最终接收都处于动态的保护过程中。数字证书和USB移动证书认证技术的应用局限在于：只能在己安装证书或相应驱动程序的电脑上进行操作，在其他没有USB接口的设备上则无法使用，操作烦琐且使用范围狭窄，无法满足当今应用系统多种业务的身份认证安全需求。另外由于必须连接电脑，在已经出现相应的木马病毒的情况下，仍然存在安全隐患。动态密码最大的优点在于：用户每次使用的密码都不相同，使得不法分子无法仿冒合法用户的身份，而且加密算法的安全性极高，在通信和会话的发起与传输过程中不怕被黑客替换或截获，到目前为止，国内外还没有出现过针对动态密码的安全事件；系统实施很简单及相对投资少；对用户来说使用非常方便，并且应用范围较大。因此，动态密码技术已成为身份认证技术的主流，在全球各个重要行业得到了广泛的应用。“iKEY双因素动态密码身份认证系统”是上海众人网络安全技术有限公司（以下简称“众人网络”）自主研发、具有自主知识产权和国际领先水平的网络安全系统产品。“众人网络”是国家密码管理局指定的首家双因素动态密码身份认证产品的生产定点单位。二、应用方案2.1.方案设计原则总体设计方案遵循以下原则：1、实现动态口令身份认证系统与“中国电信开放式信息应用平台”的无缝对接，并能与用户新改进、增加的系统功能兼容。2、在保证系统安全性的前提下，遵循不改动用户应用系统程序，只完成动态口令身份认证模块与用户应用系统的连接。3、设计中所采用的操作方式、技术规范和动态密码身份认证产品性能，符合国家的有关法律和法规。4、为用户提供安全、完善和方便的安全管理手段和方法。5、做到动态密码认证系统认证速率不成为原系统的瓶颈，并保持系统无单点故障。6、最大限度地减少用户的设备和管理费用。7、安全解决方案应具有较好的可扩展性，保护用户的投资，当系统在一定范围内扩容时，不许要增加投资。2.2.集成应用原理图集成应用原理图如图1所示：图1“中国电信开放式信息应用平台”服务端系统与iKEY双因素动态密码身份认证服务器之间采用加密通讯隧道，保证了数据在传输过程中的安全性。“中国电信开放式信息应用平台”服务端系统在认证过程中，不影响“中国电信开放式信息应用平台”的原业务逻辑，更不会影响“中国电信开放式信息应用平台”数据的安全。2.3.网络拓扑规划设计网络拓扑规划设计图如图2所示：Internet应用服务器组认证服务器组接口服务器组内网服务器组数据库服务器组备份数据库服务器组图2图2注释：身份认证服务器群与“中国电信开放式信息平台”服务器群并行分布，认证服务器的性能不会降低“中国电信开放式信息平台”整体系统的性能，“中国电信开放式信息平台”原有的数据库系统无需改动。结合双