第一篇：時(shí)代億信認(rèn)證墻-SID強(qiáng)身份認(rèn)證產(chǎn)品白皮書

時(shí)代億信認(rèn)證墻-SID強(qiáng)身份認(rèn)證產(chǎn)品 2.1 產(chǎn)品簡介

SID強(qiáng)身份認(rèn)證產(chǎn)品作為提供強(qiáng)身份認(rèn)證的認(rèn)證中心，集數(shù)字證書、動(dòng)態(tài)口令、指紋、短信等強(qiáng)身份認(rèn)證方式于一身，可以實(shí)現(xiàn)對用戶身份的安全認(rèn)證，并可依托數(shù)字證書來保證網(wǎng)上信息傳送的保密性、完整性、真實(shí)性和不可否認(rèn)性，解決了網(wǎng)絡(luò)環(huán)境中的用戶身份認(rèn)證安全問題。

2.2 產(chǎn)品功能介紹

SID強(qiáng)身份認(rèn)證產(chǎn)品提供全面的認(rèn)證、授權(quán)和審計(jì)服務(wù)，支持多種認(rèn)證方式，包括：數(shù)字證書、動(dòng)態(tài)口令、指紋、短信等強(qiáng)認(rèn)證方式及一次性口令、用戶名口令等普通認(rèn)證方式。以智能卡認(rèn)證為例：用戶在登錄系統(tǒng)時(shí)，插上智能卡，通過安全加密通道與SID強(qiáng)身份認(rèn)證產(chǎn)品服務(wù)器通訊，SID強(qiáng)身份認(rèn)證產(chǎn)品完成對用戶身份的認(rèn)證。若認(rèn)證成功，則應(yīng)用系統(tǒng)得到當(dāng)前用戶的身份；若認(rèn)證失敗，則應(yīng)用系統(tǒng)得到當(dāng)前用戶認(rèn)證失敗的具體錯(cuò)誤信息。系統(tǒng)可以支持多種登錄方式的靈活定制，可以滿足不同情況的需要，及對用戶的管理，支持人員賬戶的查詢，修改，刪除，及對用戶賬號的停用和對用戶權(quán)限的限制。2.2.1 身份認(rèn)證

2.2.1.1.數(shù)字證書認(rèn)證 基于PKI理論體系，采用CA數(shù)字證書和加密簽名等技術(shù)進(jìn)行身份識別，完成敏感信息以密文形式在網(wǎng)絡(luò)中傳輸，企業(yè)應(yīng)用可利用數(shù)字信封、數(shù)字簽名等非對稱密鑰加密技術(shù)，實(shí)現(xiàn)對用戶身份的認(rèn)證以及網(wǎng)上信息傳送的保密性、完整性、真實(shí)性和不可否認(rèn)性； 無縫集成ETCA、CTCA、CFCA，同時(shí)支持第三方CA；

支持智能卡形態(tài)及軟證書形態(tài)；

集成了證書申請、下載、重新申請、吊銷等操作。2.2.1.2.動(dòng)態(tài)口令認(rèn)證 采用國際OATH聯(lián)盟標(biāo)準(zhǔn)技術(shù)算法，每隔30/60秒鐘或每觸發(fā)一次動(dòng)態(tài)生成一個(gè)隨機(jī)的、單次使用的6/8位口令，與系統(tǒng)范圍內(nèi)合法用戶的令牌信息作同步信任認(rèn)證運(yùn)算對照，構(gòu)成一個(gè)安全、可靠的認(rèn)證系統(tǒng)，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)授權(quán)用戶的合法利益，避免系統(tǒng)或網(wǎng)絡(luò)受到非授權(quán)用戶的非法訪問；

時(shí)代億信令牌通過國家標(biāo)準(zhǔn)（GB/T2423）例行試驗(yàn)及歐盟CE認(rèn)證和美國FCC認(rèn)證，并通過防震、防潮、抗靜電、高低溫、濕熱、振動(dòng)、自由跌落、抗電磁干擾等型式試驗(yàn)； 集成了令牌同步、激活、替換等操作。2.2.1.3.指紋認(rèn)證

利用自動(dòng)指紋識別系統(tǒng)通過特殊的光電轉(zhuǎn)換設(shè)備和計(jì)算機(jī)圖像處理技術(shù)，對活體指紋進(jìn)行采集、分析和比對，自動(dòng)、迅速、準(zhǔn)確地鑒別出個(gè)人身份； 兼容五大指紋識別硬件廠商產(chǎn)品； 集成了指紋采集操作。2.2.1.4.短信認(rèn)證

通過短信網(wǎng)關(guān)向指定手機(jī)發(fā)送具有時(shí)效性的隨機(jī)的一次性口令； 支持電信、移動(dòng)、聯(lián)通等移動(dòng)通信協(xié)議。

2.2.1.5.臨時(shí)口令認(rèn)證

管理員在管理系統(tǒng)內(nèi)為某用戶添加臨時(shí)口令，作為用戶的應(yīng)急訪問方式； 可設(shè)置各種臨時(shí)口令策略，管理方便。2.2.1.6.用戶名口令認(rèn)證

支持本地?cái)?shù)據(jù)庫認(rèn)證及遠(yuǎn)程數(shù)據(jù)庫、LDAP、AD等外部認(rèn)證源的認(rèn)證； 可設(shè)置各種密碼安全策略。

2.2.1.7.身份認(rèn)證可選配套系統(tǒng) 2.2.1.7.1.企業(yè)級CA系統(tǒng)

提供數(shù)字證書的申請、簽發(fā)、下載、作廢、更新等服務(wù)，遵循PKI/CA 國際標(biāo)準(zhǔn)； 提供CRL、證書校驗(yàn)等服務(wù)； 支持證書模版、證書擴(kuò)展項(xiàng)定義； 支持加密機(jī)/加密卡。

2.2.1.7.2.動(dòng)態(tài)令牌管理系統(tǒng)

提供動(dòng)態(tài)令牌的導(dǎo)入、綁定、解除綁定、激活、反激活、令牌替換、同步等服務(wù)，采用國際OATH聯(lián)盟標(biāo)準(zhǔn)技術(shù)算法；

提供用戶自助激活、同步、替換令牌等服務(wù)； 支持自定義認(rèn)證窗口；

支持雙因子認(rèn)證（靜態(tài)口令+動(dòng)態(tài)口令）。2.2.2 統(tǒng)一認(rèn)證中心

SID強(qiáng)身份認(rèn)證產(chǎn)品作為企業(yè)統(tǒng)一認(rèn)證中心，為企業(yè)應(yīng)用、主機(jī)、設(shè)備等提供多種認(rèn)證接口，實(shí)現(xiàn)企業(yè)內(nèi)部用戶的統(tǒng)一身份認(rèn)證；

提供基于SOAP、RADIUS、LDAP、NTLM、SOCKET等協(xié)議的認(rèn)證接口； 2.2.3 用戶管理

支持用戶的批量導(dǎo)入、導(dǎo)出服務(wù)；

支持用戶分級管理，用戶可由本地管理員進(jìn)行維護(hù)；

支持用戶屬性擴(kuò)展，可滿足企業(yè)應(yīng)用對用戶屬性的特定需求； 2.2.4 權(quán)限管理

基于角色的權(quán)限模型，兼容用戶個(gè)人高級權(quán)限；

整合企業(yè)內(nèi)部資源，實(shí)現(xiàn)細(xì)粒度的權(quán)限劃分和訪問控制； 支持角色的定義和管理；

支持部門角色，方便以部門組織機(jī)構(gòu)為單位，對所屬用戶進(jìn)行統(tǒng)一授權(quán)； 2.2.5 日志審計(jì)

提供對用戶認(rèn)證操作，管理員各項(xiàng)維護(hù)管理操作的日志記錄和實(shí)時(shí)監(jiān)控。2.2.6 公共服務(wù)

為企業(yè)各類應(yīng)用提供組織機(jī)構(gòu)、用戶等相關(guān)的公共服務(wù)。2.3 產(chǎn)品規(guī)格與功能 產(chǎn)品功能

USB智能卡認(rèn)證（SSL加密通道）USB智能卡認(rèn)證（無加密通道）軟證書認(rèn)證 動(dòng)態(tài)令牌認(rèn)證 指紋認(rèn)證 短信認(rèn)證

用戶名/口令認(rèn)證 臨時(shí)口令認(rèn)證 外部認(rèn)證源認(rèn)證 企業(yè)組織機(jī)構(gòu)用戶集成 PKI/CA集成 日志審計(jì) 組織機(jī)構(gòu)、用戶相關(guān)公共服務(wù)

2.4 成功案例

上海電信門戶統(tǒng)一認(rèn)證

上海電信根據(jù)全業(yè)務(wù)發(fā)展的需要，對公司日常使用的多套MSS、BSS、OSS系統(tǒng)進(jìn)行整合，實(shí)現(xiàn)對用戶信息的統(tǒng)一管理和登錄訪問應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證。時(shí)代億信公司采用SID強(qiáng)身份認(rèn)證產(chǎn)品為上海電信提供門戶認(rèn)證，結(jié)合中國電信CTCA證書基礎(chǔ)設(shè)施，為上海電信用戶頒發(fā)數(shù)字證書，作為用戶身份認(rèn)證憑證，同時(shí)，結(jié)合上海電信運(yùn)營商的特點(diǎn)，配套開通了手機(jī)短信認(rèn)證功能，為用戶提供多種安全認(rèn)證方式。系統(tǒng)上線以來，穩(wěn)定處理電信3萬員工日常使用負(fù)載，為應(yīng)用系統(tǒng)提供了安全可靠的訪問控制能力。