1.  產(chǎn)品簡介　　　　

SID強身份認證系統(tǒng)是北京時代億信公司根據(jù)企業(yè)內(nèi)業(yè)務(wù)系統(tǒng)的安全需求，為企業(yè)級用戶提供一套強身份認證解決方案。
系統(tǒng)自帶企業(yè)級CA證書中心，極大的降低了用戶應(yīng)用CA技術(shù)的成本，同時提升了管理員的工作效率。
它綜合雙因素、硬件令牌、簽名驗簽技術(shù)，能夠在應(yīng)用系統(tǒng)的登錄認證、敏感關(guān)鍵業(yè)務(wù)操作、應(yīng)用保護等環(huán)節(jié)提供身份的安全識別保障。采用CA數(shù)字證書和數(shù)字簽名等技術(shù)進行身份識別，將代表用戶身份的數(shù)字證書和相應(yīng)的私鑰存儲在USB接口的智能卡中，私鑰不出卡，保證了唯一性和安全性。認證時，由SID客戶端組件完成數(shù)字簽名和加密，敏感信息以密文形式在網(wǎng)絡(luò)中傳輸，具有更高的安全性，從而解決了網(wǎng)絡(luò)環(huán)境中的用戶身份認證問題。

產(chǎn)品可解決的問題

SID強身份認證系統(tǒng)主要為用戶解決如下問題：
1)       為企業(yè)應(yīng)用系統(tǒng)的提供基于USB智能卡的安全身份認證服務(wù)�；�于系統(tǒng)內(nèi)置的企業(yè)級CA平臺，利用存儲于USB智能卡的PKI證書可以有效改善傳統(tǒng)字符串口令的可傳播以及可重放破解的弱點。作為企業(yè)認證中心的SID強身份認證系統(tǒng)則在此基礎(chǔ)上可以為企業(yè)內(nèi)業(yè)務(wù)系統(tǒng)提供統(tǒng)一的用戶認證服務(wù)。
2)       用于提升關(guān)鍵操作的安全性（用戶關(guān)鍵操作要求額外認證），基于USB智能卡的簽名驗簽。接入SID系統(tǒng)的業(yè)務(wù)系統(tǒng)可以在用戶進行某些關(guān)鍵操作，如發(fā)送合同時，要求用戶再次通過USB智能卡驗證身份，從而確保該用戶的身份不會因為臨時離開座位或其他原因?qū)е洛e誤執(zhí)行的關(guān)鍵操作。
3)       建立安全認證中心，作為安全基礎(chǔ)設(shè)施，為企業(yè)內(nèi)眾多的應(yīng)用系統(tǒng)提供基于PKI的統(tǒng)一身份認證憑證。
功能組成

圖1: SID強身份認證系統(tǒng)服務(wù)端功能組成圖

SID強身份認證系統(tǒng)在應(yīng)用中分為兩部分，分別是：SID強認證系統(tǒng)服務(wù)端和認證組件。
如圖1所示，SID系統(tǒng)的服務(wù)端主要分為：管理員平臺，ETCA證書中心，用戶登錄入口、外部系統(tǒng)認證接口、底層服務(wù)四部分組成。
底層服務(wù)：包括解密驗簽服務(wù)與CA證書服務(wù)兩部分。解密驗簽服務(wù)對用戶登錄時提交的登錄憑證進行驗簽和解密，并將關(guān)鍵信息返回給SID系統(tǒng)的用戶認證模塊；CA證書服務(wù)則用來申請、吊銷用戶證書。
管理員平臺：SID系統(tǒng)的管理平臺為用戶提供基于三員分立的管理員管理規(guī)范，為使用戶可以更明確的、更便捷的管理SID系統(tǒng)，本系統(tǒng)還提供分級管理員管理功能。管理員可以在本平臺可以進行下列工作：
* 統(tǒng)管理員主要負責(zé)配置系統(tǒng)基本參數(shù)、用戶帳戶和組織機構(gòu)的管理、業(yè)務(wù)系統(tǒng)管理以及用戶日志審計。
* 安全管理員：管理用戶證書、配置業(yè)務(wù)系統(tǒng)接入信息以及制定其他安全策略。
* 系統(tǒng)審計員：審計系統(tǒng)管理員操作日志、審計安全管理員操作日志。
管理員平臺在功能上分為如下部分：
* 系統(tǒng)配置：系統(tǒng)全局類功能的配置，可以設(shè)置系統(tǒng)安全策略、進行根證書和服務(wù)器證書配置設(shè)置全局性策略等。包括服務(wù)器配置、功能配置、證書配置、用戶訪問策略、日志配置、用戶界面配置。
* 用戶管理：對組織機構(gòu)、用戶、用戶證書的管理。包括組織機構(gòu)管理、用戶管理、用戶屬性管理、用戶證書管理。
* 身份認證管理：配置系統(tǒng)可以使用的認證方式，及每種認證方式的認證策略。包括認證方式配置、一次性口令用戶管理。
* 應(yīng)用系統(tǒng)管理：配置使用SID強身份認證系統(tǒng)的業(yè)務(wù)系統(tǒng)的基本信息。
* 應(yīng)用系統(tǒng)接入管理：配置各業(yè)務(wù)系統(tǒng)的認證、接入方式及相關(guān)參數(shù)。
* 日志審計：對管理員操作、用戶認證、用戶單點進行詳細的日志記錄。包括訪問統(tǒng)計、系統(tǒng)日志、管理員日志。
* 系統(tǒng)管理：系統(tǒng)CPU、內(nèi)存監(jiān)控，系統(tǒng)備份、還原等操作。包括系統(tǒng)監(jiān)控、備份還原、恢復(fù)出廠配置、CA管理。
用戶登錄入口：SID強身份認證系統(tǒng)的用戶登錄入口可以為用戶提供身份認證服務(wù)，經(jīng)過管理員配置后，用戶可以通過此入口進入設(shè)定的業(yè)務(wù)系統(tǒng)。
外部系統(tǒng)認證接口：SID強身份認證系統(tǒng)為外部系統(tǒng)提供的認證接口。實現(xiàn)SID系統(tǒng)提供的“應(yīng)用系統(tǒng)認證接口API”后，用戶在業(yè)務(wù)系統(tǒng)中進行登錄和關(guān)鍵操作驗證時，提交的認證信息會經(jīng)過“認證組件”的加密和簽名處理，經(jīng)過處理的登錄信息則會被業(yè)務(wù)系統(tǒng)通過API提交到SID系統(tǒng)的外部認證接口。
收到經(jīng)過加密、簽名處理后的認證信息時，解密驗簽服務(wù)對用戶登錄時提交的登錄憑證進行驗簽和解密，并將關(guān)鍵信息返回給SID系統(tǒng)的用戶認證模塊。用戶認證模塊則根據(jù)關(guān)鍵信息鑒定用戶的登錄請求是否有效以及身份驗證是否成功。
ETCA證書中心：
SID產(chǎn)品內(nèi)置一套綜合的企業(yè)級證書管理系統(tǒng)（ETCA），可用于數(shù)字證書的申請、審核、簽發(fā)、注銷、更新和查詢，頒發(fā)的數(shù)字證書格式嚴格遵循X.509v3規(guī)范，具有廣泛適用性和良好的擴展性。通過使用該系統(tǒng)，可以搭建出符合政府、行業(yè)、第三方、企業(yè)需求的CA中心。通過使用ETCA發(fā)行的數(shù)字證書可以為用戶提供信息安全的全面服務(wù)：
保密性 — 保證信息是秘密的
完整性 — 能檢驗信息未被篡改
身份鑒別 — 檢驗個人或機構(gòu)的身份
不可否定性 — 確保信息或操作不能被否認
ETCA應(yīng)用國際先進技術(shù)，采用高強度的加密算法、高可靠性的安全機制及完善的管理及配置策略來保障整個系統(tǒng)的安全、可靠的運行。
ETCA系統(tǒng)完全遵循PKI及相關(guān)標準，這樣有利于與其它廠商的產(chǎn)品實現(xiàn)互連，增大證書的適用范圍。
客戶端組件：如圖2所示，SID的客戶端組件的主要功能包括讀取USB智能卡內(nèi)的證書信息、對認證信息進行加密、簽名操作、監(jiān)控USB智能卡的連接狀態(tài)以及對USB智能卡執(zhí)行PIN碼安全策略。


圖2: SID客戶端組件功能流程示意圖

工作原理

SID強身份認證系統(tǒng)是新一代的應(yīng)用系統(tǒng)強身份認證產(chǎn)品，可配置多種認證方式，為應(yīng)用系統(tǒng)提供強身份認證服務(wù)。同時，內(nèi)置的ETCA證書中心還可使SID成為企業(yè)CA中心，為用戶提供證書申請、證書審批、證書簽發(fā)及證書認證等功能。


圖3: SID工作原理示意圖

SID系統(tǒng)的設(shè)計理念，是使現(xiàn)有各類業(yè)務(wù)系統(tǒng)通過簡單的改造后，都可以使用SID系統(tǒng)作為強身份認證中心，為用戶提供USB智能卡認證或其他強身份認證方式。
在強身份認證方面，利用客戶端組件對用戶證書數(shù)據(jù)進行“非對稱加密+用戶私鑰簽名”的安全封裝后以及增加系統(tǒng)隨機數(shù)進行重放攻擊保護。使認證數(shù)據(jù)即使傳輸在明文HTTP協(xié)議下依然可以保證認證信息的安全性和唯一性。
服務(wù)端在收到加密后的登錄信息后，需要經(jīng)過解密以及驗簽后，才會使用處理后的關(guān)鍵信息進行用戶身份驗證。

產(chǎn)品優(yōu)勢

* 擁有安全、穩(wěn)定的強身份認證技術(shù)
* 內(nèi)置企業(yè)級CA證書中心
* 用戶屬性與證書管理無縫結(jié)合
* 提供API，降低業(yè)務(wù)系統(tǒng)接入難度
* 作為強身份認證中心，為業(yè)務(wù)系統(tǒng)提供標準的接入認證服務(wù)
* 符合相關(guān)安全規(guī)定，支持SM2橢圓曲線密碼算法、管理員三員分立、智能卡PIN碼安全策略
* 靈活的擴展認證接口，便于支持其他強身份認證手段

2.  產(chǎn)品功能特點

強身份認證的安全特性

SID強身份認證系統(tǒng)將系統(tǒng)帳號以USB智能卡的形式存在于真正的用戶手中，有賴于“加密簽名”和“解密驗簽”的信息交互機制，使之成為該用戶在各業(yè)務(wù)系統(tǒng)中唯一的身份標識，只有持有智能卡的用戶才能登錄業(yè)務(wù)系統(tǒng)、處理關(guān)鍵信息。并且，智能卡在所有業(yè)務(wù)系統(tǒng)中的信息是一至的。
使用SID系統(tǒng)進行用戶身份驗證時，用戶無需擔心智能卡信息的安全性和正確性。SID身份認證組件在獲得智能卡信息后會自動將用戶證書信息以及隨機數(shù)進行組合，并對其進行非對稱加密以及用戶證書簽名。用戶向SID系統(tǒng)提供的認證信息全程都被這種安全措施保護著，保證了用戶認證信息的惟一性、安全性，同時也從機制上阻止了破解與重放攻擊的安全隱患。


圖4: 認證信息傳遞示意圖

在網(wǎng)上辦公環(huán)境中，SID強身份認證系統(tǒng)將USB智能卡作為用戶的唯一標識，當用戶移除智能卡時，SID的身份認證組件會自動監(jiān)測到用戶智能卡的移除事件，此時認證組件會給出重新連接智能卡的提示，在有效時間內(nèi)仍未檢測到智能卡或用戶確認移除智能卡時，身份認證組件會自動將用戶訪問業(yè)務(wù)系統(tǒng)的瀏覽器強行關(guān)閉。使用戶無需擔心移出智能卡但沒有關(guān)閉瀏覽器時會被其他人非法使用的情況。


圖5 無USB智能卡拒絕訪問應(yīng)用

SID強身份認證系統(tǒng)在為用戶提供身份認證的同時，還為用戶提供“關(guān)鍵操作驗證”服務(wù)。當某用戶需要執(zhí)行下發(fā)公文、上報合同這類“關(guān)鍵業(yè)務(wù)操作”時，業(yè)務(wù)系統(tǒng)可以要求用戶再次輸入智能卡PIN碼，并將確認信息提交到SID系統(tǒng)中進行身份確認，以防止用戶誤操作或非授權(quán)執(zhí)行操作。

應(yīng)用快速接入

用戶部署SID強身份認證系統(tǒng)后，業(yè)務(wù)系統(tǒng)只需經(jīng)過簡單的改造就可以使用該系統(tǒng)作為統(tǒng)一認證中心使用。在常規(guī)模式下，業(yè)務(wù)系統(tǒng)使用SID提供的認證API對認證模塊進行改造即可。具有改造工作量小、實施快速和不影響業(yè)務(wù)系統(tǒng)整體運行流程的特點。
如圖6所示，用戶訪問業(yè)務(wù)系統(tǒng)的主要流程與改造前一至，使用USB智能卡登錄業(yè)務(wù)系統(tǒng)改造后的智能卡登錄，業(yè)務(wù)系統(tǒng)將加密簽名后的用戶認證信息通過“接口API”直接提交到SID強身份認證系統(tǒng)進行身份驗證，并根據(jù)SID系統(tǒng)返回的信息對用戶進行鑒權(quán)，從而完成用戶認證流程。在這個過程中，用戶的使用流程方式不會因系統(tǒng)改造而改變。


圖6: API接口認證接入方式

在企業(yè)辦公網(wǎng)絡(luò)不斷建設(shè)的過程中，可能有些業(yè)務(wù)系統(tǒng)已經(jīng)沒有后續(xù)開發(fā)和改造支持了。SID系統(tǒng)為這些不具備改造條件的業(yè)務(wù)系統(tǒng)提供了另一種認證接入方式。
如圖7所示，該方式基于“Cookie賦權(quán)，業(yè)務(wù)系統(tǒng)鑒權(quán) ”的工作模式。用戶在使用業(yè)務(wù)系統(tǒng)時，首先需要登錄到SID強身份認證系統(tǒng)中，完成登錄后，SID系統(tǒng)會將用戶的登錄信息保存在Cookie中，然后將瀏覽器跳轉(zhuǎn)到目的業(yè)務(wù)系統(tǒng)，目的業(yè)務(wù)系統(tǒng)檢測到用戶Cookie后，利用自身的鑒權(quán)機制對用戶登錄信息進行鑒權(quán)，從而完成身份認證和訪問鑒權(quán)的用戶登錄流程。


圖7: 基于Cookie的賦權(quán)轉(zhuǎn)發(fā)

利用上述兩種接入方式，用戶在部署SID系統(tǒng)后，可在極短的時間內(nèi)完成業(yè)務(wù)系統(tǒng)改造，快速接入并使用SID系統(tǒng)提供的強身份認證服務(wù)。

內(nèi)置ETCA企業(yè)級CA

SID強身份認證系統(tǒng)內(nèi)置了一套名為“ETCA”的CA證書中心，當用戶部署SID強身份認證系統(tǒng)后，用戶也就擁有了一套企業(yè)級CA證書中心。
增加一套系統(tǒng)并不會增加管理員的工作量，經(jīng)過SID系統(tǒng)的無縫集成后，管理員可以在SID的管理平臺中完成所有與證書有關(guān)的操作。
安全管理員能夠在用戶管理中實現(xiàn)用戶證書的申請、下載、重新申請、吊銷等操作。
同時，為了兼容已有業(yè)務(wù)系統(tǒng)中的用戶信息，SID系統(tǒng)提供的用戶導(dǎo)入功能配合CA證書中心使用后，可在非常短的時間內(nèi)為已有用戶完成證書申請工作。
完成證書申請的用戶，可以通過管理員在SID管理平臺中將證書灌制到USB智能卡后發(fā)給用戶，或者由用戶在指定頁面通過授權(quán)碼自助灌制。

內(nèi)置驗簽服務(wù)模塊及開發(fā)API

SID強身份認證系統(tǒng)作為企業(yè)級強身份認證的整體解決方案，在系統(tǒng)內(nèi)集成了一套簽名、驗簽服務(wù)，用戶無需單獨購置。
簽名驗簽服務(wù)作為SID強身份認證系統(tǒng)的核心組件之一，負責(zé)對客戶端提交的用戶認證信息進行解密、驗簽、重放驗證等處理，并將處理后獲得的關(guān)鍵信息返回給SID認證系統(tǒng)。


圖8: 業(yè)務(wù)系統(tǒng)調(diào)用接口API示意圖

整套加密、簽名和解密、驗簽的身份認證機制具有十分嚴密的安全措施。為了減少業(yè)務(wù)系統(tǒng)進行認證接入時的改造工作量，SID系統(tǒng)為業(yè)務(wù)系統(tǒng)提供了一套已經(jīng)實現(xiàn)該機制的API接口，如圖2-7所示，業(yè)務(wù)系統(tǒng)只需要在登錄模塊中增加幾行代碼，同時根據(jù)示例簡單修改一下登錄頁面，便可實現(xiàn)上述加密、簽名的認證方式。

支持SM2橢圓曲線密碼算法

為滿足電子認證服務(wù)系統(tǒng)等應(yīng)用需求，國家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線的SM2密碼算法（國家密碼管理局公告第21號），其算法機制準則包括總則、數(shù)字簽名算法、密鑰交換協(xié)議、公鑰加密算法等四大部分，并要求自2011年3月1日起，新研制的含有公鑰密碼算法的商用密碼產(chǎn)品必須支持SM2橢圓曲線密碼算法。
SID強身份認證系統(tǒng)不僅系統(tǒng)內(nèi)置的ETCA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時在加密、簽名等主要流程節(jié)點中也已支持SM2密碼算法。
同時為了更好的支持企業(yè)內(nèi)部已經(jīng)建立的CA證書系統(tǒng)，SID強身份認證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

符合國家密碼算法相關(guān)安全標準

SID強身份認證系統(tǒng)遵守以下國家標準：
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第1部分：概述
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分：非對稱加密
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分：對稱加密
GB/T 17903.1-1999信息技術(shù) 安全技術(shù) 抗抵賴 第1部分：概述
GB/T 17903.2-1999信息技術(shù) 安全技術(shù) 抗抵賴 第2部分：使用對稱技術(shù)的機制
GB/T 17903.3-1999信息技術(shù) 安全技術(shù) 抗抵賴 第3部分：使用非對稱技術(shù)的機制
GB/T 18238.1-2000信息技術(shù) 安全技術(shù) 散列函數(shù) 第1部分：概述
GB/T 18238.2-2002信息技術(shù) 安全技術(shù) 散列函數(shù) 第2部分：采用N位塊密碼的散列函數(shù)
GB/T 18238.3-2002信息技術(shù) 安全技術(shù) 散列函數(shù) 第3部分：占用散列函數(shù)
GB/T 20518-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式
GB/T 20520-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范
GB/T 19713-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議
GB/T 19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI組件最小互操作規(guī)范
GB/T 15851信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 證書應(yīng)用綜合服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 通用密碼服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 標識規(guī)范
信息安全技術(shù) 證書認證系統(tǒng) 密碼及其相關(guān)安全技術(shù)規(guī)范
信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范
數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范

高安全性

SID強身份認證系統(tǒng)的安全策略支持用戶IP地址策略、管理IP地址策略、時間策略，具體如下：
（1）用戶IP地址策略：限定用戶訪問SID強身份認證系統(tǒng)的客戶端IP地址，阻止未授權(quán)的IP地址訪問應(yīng)用；
（2）管理IP地址策略：限定管理員訪問SID強身份認證系統(tǒng)后臺管理功能的客戶端IP地址，阻止未授權(quán)的IP地址訪問管理功能；
（3）時間策略：限定用戶訪問受SID強身份認證系統(tǒng)保護的應(yīng)用系統(tǒng)的時間段，例如可設(shè)置只有上班8個小時允許訪問，從而最大限度減少非法入侵的可能；
SID強認證系統(tǒng)的管理員基于三員分立機制，系統(tǒng)管理員、安全管理員與系統(tǒng)審計員各司其職，互相監(jiān)督，為用戶企業(yè)提供具有安全保障的系統(tǒng)管理平臺。同時，系統(tǒng)為使管理更加細化，允許在組織機構(gòu)中設(shè)立分級管理員，各部分的用戶、證書管理可以在本部門內(nèi)部設(shè)立管理員自行解決。
SID系統(tǒng)可為企業(yè)審計工作提供管理員操作日志、用戶認證日志、系統(tǒng)運行日志等多種審計資料，支持Syslog遠程提交與Excel文件導(dǎo)出。

認證可擴展

隨著信息安全領(lǐng)域的不斷擴展，SID強身份認證系統(tǒng)除支持傳統(tǒng)的USB智能卡、證書文件外，增加了動態(tài)口令、指紋、短信一次性口令等多種強認證方式的可擴展支持。
用戶可以根據(jù)自身環(huán)境和安全需求，選擇使用何種強認證手段。

高性能、穩(wěn)定性

SID強身份認證系統(tǒng)作為企業(yè)強認證需求的整體解決方案，經(jīng)過多年的發(fā)展，擁有眾多應(yīng)用成功案例�？梢灾С�2000筆/秒的最大認證并發(fā)量以及成熟的安全技術(shù)和長期穩(wěn)定運行的承諾，為企業(yè)大規(guī)模應(yīng)用提供強有力的支持和保障。
 
 
關(guān)于時代億信
北京時代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢，專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團隊優(yōu)勢和綜合技術(shù)能力，公司相繼獨立完成了身份認證、統(tǒng)一身份管理與訪問控制、文檔安全保護、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實力和成熟的客戶服務(wù)經(jīng)驗，經(jīng)過不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。