指纹证书双因子认证域登录解决方案Word格式.doc

1、 2005 by Ewaytek Co., Ltd.All Rights Reserved.No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Shanghai Ewaytek Co., Ltd目 录1术语51.1指纹KEY51.2双因子认证51.3企业内部网络51.4PKI51.5CA证书颁发机构51.6数字证书61.7注册机构RA61.8PC/SC61.9CSP61.10SDK二次开发工具62方案简介73方

2、案特点及优势83.1不可抵赖性83.2安全性83.3可靠性93.3.1安全可靠的指纹KEY硬件结构93.3.2稳健的系统体系结构93.3.3自动系统故障恢复93.3.4完善的诊断工具103.4易用性103.4.1简单的指纹身份验证操作113.4.2用户状态迁移工具113.4.3紧急管理服务113.4.4存储区域网络和网络访问服务器支持113.4.5网络负载平衡增强功能113.5可扩展性124双因子认证的域登录解决方案134.1系统结构设计134.2系统设置及应用134.2.1配置域控制器144.2.2配置 IIS 服务器154.2.3配置 CA 服务器164.2.4申请注册代理证书204.2.

3、5安装指纹KEY驱动程序及硬件234.2.6初始化指纹KEY244.2.7申请智能卡证书244.2.8使用指纹KEY进行域登录274.2.9域安全策略设置285核心产品技术简介295.1产品特点及优势295.1.1高安全性295.1.2使用方便295.1.3易于集成295.1.4高性价比295.2产品外观305.3详细规格306系统实施及成本构成301 术语1.1 指纹KEY指纹KEY是将传统的USB KEY与指纹识别技术相结合，利用指纹识别代替密码识别的方法验证USB KEY的用户身份的一种特殊的USB KEY。指纹KEY内容存储用户指纹特征数据，内部完成指纹验证比对（脱机认证），利用指纹识

4、别技术独立完成用户身份验证。指纹KEY是具有极高安全性的网络身份认证工具。指纹KEY是中天一维科技有限公司具有发明性专利的安全认证产品，它具有高安全性、高可靠性、安装使用方便、体积小巧方便携带等特点。1.2 双因子认证本方案中的双因子认证是指“指纹身份认证”+“数字证书认证”。数字证书被存储在有条件访问的指纹KEY设备中。数字证书由可信任的CA中心发放，指纹KEY由可信任的安全管理机构发放。发放指纹KEY的同时将数字证书下载到指纹KEY中，并且采集用户指纹。在进行网络操作系统登录（如：域登录）及应用系统登录时，首先插入指纹KEY并且进行指纹身份认证，指纹身份认证通过后进行“数字证书”的电子签名

5、认证。1.3 企业内部网络企业内部网络可以是企业OA系统，银行综合业务系统或是证券综合业务系统，此方案适合于WINDOWS网络系统也适合于UNIX网络系统，可以支持B/S系统结构也可以支持C/S网络系统结构。1.4 PKI公钥基础结构 （PKI） 是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构 （CA） 和其他注册机构 （RA）。1.5 CA证书颁发机构负责建立并保证属于对象（通常是用户或计算机）或其他证书颁发机构的公钥的真实性的实体。证书颁发机构的活动可以包括通过已签名的证书将公钥绑定到可分辨的名称上、管理证书序列号以及证书吊销。1.6 数字证书通

6、常用于身份验证及保证公开网络上信息安全性的数字文档。证书将公钥安全地绑定到持有相应私钥的实体中。证书由证书颁发机构 （CA） 数字签名，并且可以颁发给用户、计算机或服务。1.7 注册机构RA为管理员配置的计算机，用于代表其他用户请求并检索已颁发的证书。RA 不需要在同一个计算机上安装证书颁发机构。1.8 PC/SCpc/sc即个人计算机（personal computer）/智能卡（smart card），它是为智能卡访问windows平台（包括windows2000）而定义的一种标准结构。pc/sc的体系结构为智能卡（或指纹KEY）与个人计算机系统设计的交互规范，已经让智能卡进入pc机世界的

7、问题变得容易了。pc/sc的主要优点就是让应用程序不必为了与智能卡（或指纹KEY）通信而去了解智能卡（或指纹KEY）的细节。而且，该应用程序还能适用于任何遵从pc/sc标准的读卡器（或指纹KEY）。1.9 CSP加密服务提供程序 （CSP），执行身份验证、编码和加密服务的代码，基于 Windows 的应用程序通过 CryptoAPI 访问这些服务。CSP 负责创建密钥、吊销密钥以及使用密钥执行各种加密操作。每个 CSP 都提供了不同的 CryptoAPI 实现。某些提供了更强大的加密算法，而另一些则使用硬件组件，例如指纹KEY，智能卡。1.10 SDK二次开发工具为方便用户基于“指纹+数字证书

8、”的双因子认证系统开发高安全的应用系统，本方案提供了丰富的二次应用开发接口。其中包括PC/SC及指纹采集、指纹图像显示等接口，同时还可以为用户提供后台的“统一生物认证平台（UNIBAP）”系统。2 方案简介随着政府、企业信息化建设的深化，越来越多的单位建立了自己的办公自动化系统，这些系统在提高企业效率和管理水平等方面发挥了很大的作用，由于OA系统管理着许多企事业单位重要的信息，因而对安全要求较高。然而早期开发的OA系统中存在安全隐患，其中身份认证部分是最薄弱环节。早期开发的办公自动化系统，大多是利用“ID+PASSWORD”，“IC卡+PASSWORD”或是“USBKEY+PASSWORD”的

9、方式进行网络身份验证。在这些系统中网络传输及网络数据存储在利用防火墙、IPSec、VPN、AES、3DES等技术之后都得到了良好的安全保障。然而网络资源的授权使用及网络用户的真实身份验证仍然是最薄弱的环节。具调查显示目前在企业机密信息被窃取、银行帐户被滥用、证券帐户的盗用等各种网络安全问题中，80%来自于内部犯罪。造成网络安全问题内部犯罪的直接原因是： 网络计算机被非法使用 网络用户被盗用 文件的真实性完整性和不可抵赖性得不到保障现有网络系统中针对使用者的身份认证方式依旧停留在“密码”验证的水平上，从而“密码”成为网络安全系统的一个“弱因子”。密码存在如下问题： 用户以最常用编码作为密码很容易

10、被功破（生日、电话号码等） 用户在使用复杂密码时十分不方便（容易忘记、将密码记录在易泄密的介质上） 计算机的键盘输入很容易被跟踪（木马程序） 密码如果泄露可以被任何非法用户所使用计算机只认“密码”不认“人” 密码认证不具有“不可抵赖性”任何人都可以使用一个密码针对这种情况，我公司开发了新一代“指纹+数字证书”的双因子认证系统，该系统能够有效地解决企业网络系统的用户身份安全认证及网络的安全传输。“指纹+数字证书”的双因子认证系统是将指纹认证与数字证书认证有机结合，利用指纹对用户进行身份认证，同时基于PKI技术，将数字签名、身份认证和证书管理等信息安全技术植入现有的企业网络安全系统内，以此保证企业

11、网络系统对于用户身份的可靠认证和信息的可靠传输。从而达到网络数据的“机密性”、“真实性”、“完整性”和“不可抵赖”。PKI 体系在解决信息的安全传输方面已经被证明是非常有效的，但是在身份认证方面，如果数字证书保管不善，则仍然存在身份假冒的可能性。众所周知，指纹具有唯一性、不变性、便携性的优点，利用指纹则可以唯一的鉴别一个人的身份。本方案是将指纹身份验证技术与PKI体系有机的结合起来，最大限度的保证的企业网络系统的安全。利用“指纹+数字证书”的双因子认证解决方案可以建设高安全性的域登录系统以及VPN系统。3 方案特点及优势3.1 不可抵赖性信息的不可抵赖性是指发送信息的一方不能对自己的发送的信息

12、进行抵赖，不能否认自己发送信息的行为。由于信息的传输是通过开放的互联网，经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题，给交易的双方带来巨大的影响和损失。网上交易行为一旦被进行交易的一方所否认，另一方没有已签名的记录来作为仲裁的依据。因此，需要提供一种有效的机制，来保证业务系统中传递信息的不可抵赖性。指纹识别技术是公认的可确认唯一性的身份识别手段，“指纹+数字证书”的双因子认证系统是综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务，通过建设 CA认证中心为用户签发数字证书，用户在业务系统中使用证书，完成用户的身份认证、访问控制以及信

13、息传输的机密性、完整性和不可抵赖性。 PKI 技术已经被广泛应用于电子政务和电子商务，被证明是保证基于互联网的电子政务和电子商务安全的最佳解决方案。将指纹识别技术与PKI技术相结合利用指纹识别技术验证用户身份，通过指纹身份验证后方可访问数字证书，进行数字签名等应用。因此将指纹识别技术与PKI技术相结合，建立“指纹+数字证书”的双因子认证系统是实现“不可抵赖性”的最可靠保障。3.2 安全性“指纹+数字证书”的双因子认证解决方案利用了目前具有极高安全性的指纹识别技术、PKI技术和Windows 2003网络系统平台。指纹识别技术是一种成熟的模式识别技术，指纹识别技术可以作到在1,000,000人的

14、基数内作到不“认假”，即一百万人中没有相同的两枚指纹。也就是说如果确认了指纹身份验证的合法性的正确性便可以断定是该指纹所有者的身份。在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第一步就是保证指纹识别过程的“独立性”、“公正性”。为保证指纹识别过程的“独立性”和“公正性”本方案采用嵌入式指纹识别算法，将指纹图像采集、图像处理、特征提取及指纹验证过程全部放在一个高安全芯片内完成。指纹识别的全过程不会被任何应用程序所干扰，可以做到最大程度的“独立性”和“公正性”。在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第二步是单独高安全芯片的指纹KEY。指纹识别算法与RSA算法、DES算法、TDES算法以及HASH算法等共同存放在同一个高安全芯片内，指纹图像的采集和处理全面由同一颗芯片完成。数字证书也存放在这个芯片中，电子签名及数据加解密都在同一颗芯片中完成。因此“指纹+数字证书”的双因子认证解决方案是利用基于单独的高安全芯片指纹KEY进行指纹身份认证和数字证书存储的，指纹身份认证在指纹KEY中完成，然后再读取数字证书进行电子签名，从而最终确认用户的网络真实身份。在“指纹