指纹证书双因子认证域登录解决方案Word格式.doc
《指纹证书双因子认证域登录解决方案Word格式.doc》由会员分享,可在线阅读,更多相关《指纹证书双因子认证域登录解决方案Word格式.doc(31页珍藏版)》请在冰豆网上搜索。
2005byEwaytekCo.,Ltd.AllRightsReserved.
NopartofthisdocumentmaybereproducedortransmittedinanyformorbyanymeanswithoutpriorwrittenconsentofShanghaiEwaytekCo.,Ltd
目录
1 术语 5
1.1 指纹KEY 5
1.2 双因子认证 5
1.3 企业内部网络 5
1.4 PKI 5
1.5 CA证书颁发机构 5
1.6 数字证书 6
1.7 注册机构RA 6
1.8 PC/SC 6
1.9 CSP 6
1.10 SDK二次开发工具 6
2 方案简介 7
3 方案特点及优势 8
3.1 不可抵赖性 8
3.2 安全性 8
3.3 可靠性 9
3.3.1 安全可靠的指纹KEY硬件结构 9
3.3.2 稳健的系统体系结构 9
3.3.3 自动系统故障恢复 9
3.3.4 完善的诊断工具 10
3.4 易用性 10
3.4.1 简单的指纹身份验证操作 11
3.4.2 用户状态迁移工具 11
3.4.3 紧急管理服务 11
3.4.4 存储区域网络和网络访问服务器支持 11
3.4.5 网络负载平衡增强功能 11
3.5 可扩展性 12
4 双因子认证的域登录解决方案 13
4.1 系统结构设计 13
4.2 系统设置及应用 13
4.2.1 配置域控制器 14
4.2.2 配置IIS服务器 15
4.2.3 配置CA服务器 16
4.2.4 申请注册代理证书 20
4.2.5 安装指纹KEY驱动程序及硬件 23
4.2.6 初始化指纹KEY 24
4.2.7 申请智能卡证书 24
4.2.8 使用指纹KEY进行域登录 27
4.2.9 域安全策略设置 28
5 核心产品技术简介 29
5.1 产品特点及优势 29
5.1.1 高安全性 29
5.1.2 使用方便 29
5.1.3 易于集成 29
5.1.4 高性价比 29
5.2 产品外观 30
5.3 详细规格 30
6 系统实施及成本构成 30
1术语
1.1指纹KEY
指纹KEY是将传统的USBKEY与指纹识别技术相结合,利用指纹识别代替密码识别的方法验证USBKEY的用户身份的一种特殊的USBKEY。
指纹KEY内容存储用户指纹特征数据,内部完成指纹验证比对(脱机认证),利用指纹识别技术独立完成用户身份验证。
指纹KEY是具有极高安全性的网络身份认证工具。
指纹KEY是中天一维科技有限公司具有发明性专利的安全认证产品,它具有高安全性、高可靠性、安装使用方便、体积小巧方便携带等特点。
1.2双因子认证
本方案中的双因子认证是指“指纹身份认证”+“数字证书认证”。
数字证书被存储在有条件访问的指纹KEY设备中。
数字证书由可信任的CA中心发放,指纹KEY由可信任的安全管理机构发放。
发放指纹KEY的同时将数字证书下载到指纹KEY中,并且采集用户指纹。
在进行网络操作系统登录(如:
域登录)及应用系统登录时,首先插入指纹KEY并且进行指纹身份认证,指纹身份认证通过后进行“数字证书”的电子签名认证。
1.3企业内部网络
企业内部网络可以是企业OA系统,银行综合业务系统或是证券综合业务系统,此方案适合于WINDOWS网络系统也适合于UNIX网络系统,可以支持B/S系统结构也可以支持C/S网络系统结构。
1.4PKI
公钥基础结构(PKI)是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构(CA)和其他注册机构(RA)。
1.5CA证书颁发机构
负责建立并保证属于对象(通常是用户或计算机)或其他证书颁发机构的公钥的真实性的实体。
证书颁发机构的活动可以包括通过已签名的证书将公钥绑定到可分辨的名称上、管理证书序列号以及证书吊销。
1.6数字证书
通常用于身份验证及保证公开网络上信息安全性的数字文档。
证书将公钥安全地绑定到持有相应私钥的实体中。
证书由证书颁发机构(CA)数字签名,并且可以颁发给用户、计算机或服务。
1.7注册机构RA
为管理员配置的计算机,用于代表其他用户请求并检索已颁发的证书。
RA不需要在同一个计算机上安装证书颁发机构。
1.8PC/SC
pc/sc即个人计算机(personalcomputer)/智能卡(smartcard),它是为智能卡访问windows平台(包括windows2000)而定义的一种标准结构。
pc/sc的体系结构为智能卡(或指纹KEY)与个人计算机系统设计的交互规范,已经让智能卡进入pc机世界的问题变得容易了。
pc/sc的主要优点就是让应用程序不必为了与智能卡(或指纹KEY)通信而去了解智能卡(或指纹KEY)的细节。
而且,该应用程序还能适用于任何遵从pc/sc标准的读卡器(或指纹KEY)。
1.9CSP
加密服务提供程序(CSP),执行身份验证、编码和加密服务的代码,基于Windows的应用程序通过CryptoAPI访问这些服务。
CSP负责创建密钥、吊销密钥以及使用密钥执行各种加密操作。
每个CSP都提供了不同的CryptoAPI实现。
某些提供了更强大的加密算法,而另一些则使用硬件组件,例如指纹KEY,智能卡。
1.10SDK二次开发工具
为方便用户基于“指纹+数字证书”的双因子认证系统开发高安全的应用系统,本方案提供了丰富的二次应用开发接口。
其中包括PC/SC及指纹采集、指纹图像显示等接口,同时还可以为用户提供后台的“统一生物认证平台(UNIBAP)”系统。
2方案简介
随着政府、企业信息化建设的深化,越来越多的单位建立了自己的办公自动化系统,这些系统在提高企业效率和管理水平等方面发挥了很大的作用,由于OA系统管理着许多企事业单位重要的信息,因而对安全要求较高。
然而早期开发的OA系统中存在安全隐患,其中身份认证部分是最薄弱环节。
早期开发的办公自动化系统,大多是利用“ID+PASSWORD”,“IC卡+PASSWORD”或是“USBKEY+PASSWORD”的方式进行网络身份验证。
在这些系统中网络传输及网络数据存储在利用防火墙、IPSec、VPN、AES、3DES等技术之后都得到了良好的安全保障。
然而网络资源的授权使用及网络用户的真实身份验证仍然是最薄弱的环节。
具调查显示目前在企业机密信息被窃取、银行帐户被滥用、证券帐户的盗用等各种网络安全问题中,80%来自于内部犯罪。
造成网络安全问题内部犯罪的直接原因是:
ü
网络计算机被非法使用
网络用户被盗用
文件的真实性完整性和不可抵赖性得不到保障
现有网络系统中针对使用者的身份认证方式依旧停留在“密码”验证的水平上,从而“密码”成为网络安全系统的一个“弱因子”。
密码存在如下问题:
用户以最常用编码作为密码很容易被功破(生日、电话号码等)
用户在使用复杂密码时十分不方便(容易忘记、将密码记录在易泄密的介质上)
计算机的键盘输入很容易被跟踪(木马程序)
密码如果泄露可以被任何非法用户所使用计算机只认“密码”不认“人”
密码认证不具有“不可抵赖性”任何人都可以使用一个密码
针对这种情况,我公司开发了新一代“指纹+数字证书”的双因子认证系统,该系统能够有效地解决企业网络系统的用户身份安全认证及网络的安全传输。
“指纹+数字证书”的双因子认证系统是将指纹认证与数字证书认证有机结合,利用指纹对用户进行身份认证,同时基于PKI技术,将数字签名、身份认证和证书管理等信息安全技术植入现有的企业网络安全系统内,以此保证企业网络系统对于用户身份的可靠认证和信息的可靠传输。
从而达到网络数据的“机密性”、“真实性”、“完整性”和“不可抵赖”。
PKI体系在解决信息的安全传输方面已经被证明是非常有效的,但是在身份认证方面,如果数字证书保管不善,则仍然存在身份假冒的可能性。
众所周知,指纹具有唯一性、不变性、便携性的优点,利用指纹则可以唯一的鉴别一个人的身份。
本方案是将指纹身份验证技术与PKI体系有机的结合起来,最大限度的保证的企业网络系统的安全。
利用“指纹+数字证书”的双因子认证解决方案可以建设高安全性的域登录系统以及VPN系统。
3方案特点及优势
3.1不可抵赖性
信息的不可抵赖性是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。
由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。
网上交易行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据。
因此,需要提供一种有效的机制,来保证业务系统中传递信息的不可抵赖性。
指纹识别技术是公认的可确认唯一性的身份识别手段,“指纹+数字证书”的双因子认证系统是综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务,通过建设CA认证中心为用户签发数字证书,用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和不可抵赖性。
PKI技术已经被广泛应用于电子政务和电子商务,被证明是保证基于互联网的电子政务和电子商务安全的最佳解决方案。
将指纹识别技术与PKI技术相结合利用指纹识别技术验证用户身份,通过指纹身份验证后方可访问数字证书,进行数字签名等应用。
因此将指纹识别技术与PKI技术相结合,建立“指纹+数字证书”的双因子认证系统是实现“不可抵赖性”的最可靠保障。
3.2安全性
“指纹+数字证书”的双因子认证解决方案利用了目前具有极高安全性的指纹识别技术、PKI技术和Windows2003网络系统平台。
指纹识别技术是一种成熟的模式识别技术,指纹识别技术可以作到在1,000,000人的基数内作到不“认假”,即一百万人中没有相同的两枚指纹。
也就是说如果确认了指纹身份验证的合法性的正确性便可以断定是该指纹所有者的身份。
在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第一步就是保证指纹识别过程的“独立性”、“公正性”。
为保证指纹识别过程的“独立性”和“公正性”本方案采用嵌入式指纹识别算法,将指纹图像采集、图像处理、特征提取及指纹验证过程全部放在一个高安全芯片内完成。
指纹识别的全过程不会被任何应用程序所干扰,可以做到最大程度的“独立性”和“公正性”。
在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第二步是单独高安全芯片的指纹KEY。
指纹识别算法与RSA算法、DES算法、TDES算法以及HASH算法等共同存放在同一个高安全芯片内,指纹图像的采集和处理全面由同一颗芯片完成。
数字证书也存放在这个芯片中,电子签名及数据加解密都在同一颗芯片中完成。
因此“指纹+数字证书”的双因子认证解决方案是利用基于单独的高安全芯片指纹KEY进行指纹身份认证和数字证书存储的,指纹身份认证在指纹KEY中完成,然后再读取数字证书进行电子签名,从而最终确认用户的网络真实身份。
在“指纹
升级会员 