可信身份认证平台
可信身份认证平台具备能力如下:
?认证接入服务
制定统一接入服务接口,实现用户访问控制;
作为认证服务的接入网关,主要负责处理认证业务的接入逻辑,并处理接入服务的安全策略和进行访问控制。根据接入方是否有专线接入,分为专线接入和非专线接入两种接入模块,使用不同的安全策略。
接入逻辑需要验证请求的完整性,并负责与第三方交互,处理各种接入异常。
安全策略不仅要阻止非法的接口调用,保证接入安全,同时也需要保持接口接入的简便性,不能过高的提高接入的成本。
访问控制需要负责处理接入方的接入权限,阻止权限外的访问,控制超过并发、访问上限的接口调用。
?调度服务
用于和公安部“互联网+”可信身份认证平台直接进行业务通信,用于身份认证平台和各应用平台之间的业务流汇总、转发。
?认证服务
通过数字签名系统,对接公安部“互联网+”可信身份认证平台,实现认证数据的互签互认,处理用户身份认证请求,返回身份认证结果;
一、背景描述 随着信息化的迅猛发展,政府、企业、机构等不断增加基于Internet/Intranet 的业务系统,如各类网上申报系统,网上审批系统,OA 系统等。系统的业务性质,一般都要求实现用户管理、身份认证、授权等必不可少的安全措施,而新系统的涌现,在与已有系统的集成或融合上,特别是针对相同的用户群,会带来以下的问题: 1、每个系统都开发各自的身份认证系统,这将造成资源的浪费,消耗开 发成本,并延缓开发进度; 2、多个身份认证系统会增加系统的管理工作成本; 3、用户需要记忆多个帐户和口令,使用极为不便,同时由于用户口令遗 忘而导致的支持费用不断上涨; 4、无法实现统一认证和授权,多个身份认证系统使安全策略必须逐个在 不同的系统内进行设置,因而造成修改策略的进度可能跟不上策略的变化; 5、无法统一分析用户的应用行为 因此,对于拥有多个业务系统应用需求的政府、企业或机构等,需要配置一套统一的身份认证系统,以实现集中统一的身份认证,并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现“一点登录、多点漫游、即插即用、应用无关”的目标,方便用户使用。 二、CAS简介 CAS(Central Authentication Service),是耶鲁大学开发的单点登录系统(SSO,single sign-on),应用广泛,具有独立于平台的,易于理解,支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi 安全系统能够轻松地适用于复杂的安全需求。Acegi安全系统在国内外得到了广
666?| 信息安全研究Journal of Information Security Research 第2卷?第7期?2016年7月Vol.2?No.7?July?2016 国际网络身份管理概况 今天,“互联网+”、DT 时代、工业4.0这3个 词正在火起来。Web2.0时代,网络应用和互联网 服务渗透到人们网络生活的方方面面,伴随着这3 个火热“词“的诞生,Web2.0时代不断发展,于 此同时,互联网信息安全逐渐引起了人们的关注, 世界各国都在高度重视网络可信身份鉴别认证领 域。美国将推动网际空间可信身份作为国家战略; 欧盟大力推动身份服务的互操作,制定了欧洲的 电子服务的法律框架,形成了欧洲各国互通的电 子身份标识eID,投入资金开展eIDM 项目;英 国引导分级的第三方身份服务市场,私营的身份 服务技术已被引入到政府应用中,企业、国家共 2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上强调,要树立正确的网络安全观:网络安全是整体的而不是割裂的;是动态的而不是静态的;是开放的而不是封闭的;是相对的而不是绝对的;是共同的而不是孤立的。 作者有幸作为参会专家之一,在座谈会上聆听了习总书记的讲话后谈到:我们作为一个技术人员,在实际工作中常常会为“安全”而安全,追求唯技术论,就没有把网络安全放到一个整体上去考虑,没有把安全放到一个动态的环境中去考虑。我们不能仅仅从技术层面,或者仅仅从装备层面,或者仅仅从科技层面割裂地规划网络安全的系统和技术。以下内容是经作者本人同意,根据其在全国信息安全标准化技术委员会2016年第1次工作组(WG4)会议周上的发言和讲话,由工作人员整理。 同打造身份服务;韩国实名制终结,影响深远。国际机构和企业积极开展身份服务。EduGAIN 形成了全球范围的科研和教育服务的身份联盟。FIDO 联盟身份认证标准在2013年2月正式成立,美国和英国支持该标准实施,中国政府也开始关注,联想、阿里巴巴等单位是其理事单位。网络身份管理技术和标准发展迅速,包括OpenID、SAML 身份认证、互联网授权协议、FIDO 标准都不断地发生变化。网络可信身份管理面临的问题目前,我国在可信身份鉴别认证领域大多还是采用传统的身份鉴别方案,用户在设备端对应不同的应用输入用户名口令。随着移动应用越来
网络身份认证技术的应用及其发展 随着全球化经济模式的出现以及科学技术的高速发展,网络技术应用越来越广泛。随着网民数量越来越多,网络越来越普及,出现网络安全问题也随之增多,怎样保证网民个人信息安全和保证网络数据的机密性、完整性等,是我们必须要重点解决的问题。而网络技术的不断发展进步,也让网络安全受到更多的关注,在安全系统中重点技术就是使用身份认证技术。本文主要分析了几种身份认证的技术和方式,目的在于让广大读者了解网络安全系统中的身份认证技术应用及其发展。 如今全球信息化的速度越来越快,全球的信息产业越来越重视信息安全,特别是现在信息网络化正是发达的时期,信息产业的发展离不开网络安全,如何在网络环境中建立起一个完善的安全系统,身份认证技术就成为了在网络安全中首先要解决的问题。 身份认证技术就是通过计算机网络来确定使用者的身份,重点是为了解决网络双方的身份信息是否真实的问题,使通讯双方在进行各种信息交流可以在一个安全的环境中。在信息安全里,身份认证技术在整个安全系统中是重点,也是信息安全系统首要“看门人”。因此,基本的安全服务就是身份认证,另外的安全服务也都需要建立在身份认证的基础上,使身份认证系统具有了十分重要的地位,但也最容易受到攻击。
一、身份认证的含义 身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别,也是对网络信息资源安全进行保护的第一个防火墙,目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性,然后给予授权才能访问系统资源,不能通过识别用户就会阻止其访问。由此可知,身份认证在安全管理中是个重点,同时也是最基础的安全服务。 (一)身份认证技术的应用 信息安全中身份认证是最重要的一门技术,也是在网络安全里的第一道防线,可以很好的识别出访问的用户是否具有访问的权限,允许通过识别的用户进行访问操作,并进行一定的监督,防止出现不正当的操作情况,同时也是保护计算机不受病毒和黑客入侵的一个重要方法。使用者在进入网络安全系统的时候,先需要让身份认证系统识别出自己的身份,通过了身份认证系统识别以后,再依据使用者的权限、身份级别来决定可以访问哪些系统资源和可以进行哪些系统操作权限。与此同时,进入安全系统时,检测系统需要进行登记,包括记录、报警等,对用户的行为和请求进行记录,并识别出是否入侵了安全系统。 (二)基于网络的身份认证 身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。 提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护
管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下: a)集中用户管理系统:完成各系统的用户信息整合,实现用户生 命周期的集中统一管理,并建立与各应用系统的同步机制,简 化用户及其账号的管理复杂度,降低系统管理的安全风险。
一、方案背景 运营商给XX银行打通一个内部局域网,总部给外面的网点提供4g路由器,通过运营商的线路过了AAA服务器的认证后能联到XX 银行的总部访问资源。但是并不能保证外面的网点的4G路由器是否合规(可能外面的4g路由器换了总部给他们的IMSI卡或换了路由器或是其他银行的等等) XX银行这边管不到运营商的AAA服务器。为确保内网的安全性,XX银行在总部网又建立一台AAA认证服务器,通过总部的锐捷路由器PPP接口配置radius认证指向AAA服务器再做一层校验,针对外部通过PPP进入XX银行总部局域网的设备做认证。不仅账号信息要正确,同时这个外部连进来的4G路由器也要是可信的。 目前XX银行总部AAA服务器用的是ISE,但是目前ISE只能校验用户名/密码,并不能判断这个设备端的身份。据客户描述,IMSI 卡是4G路由器端的唯一身份。XX银行给外部的网点分发提供的路由器会记录IMSI卡信息,所以要求AAA服务器要验证外部PPP进来的用户名/密码及IMSI卡信息。 基于以上因素找到,咨询实现这个要求是否有可行性,以代替ISE。 二、方案目标 通过部署一体化认证平台,满足客户以下目标,以替代ISE: ?实现与锐捷路由器对接,实现PPP接口调用radius做认证; ?实现校验用户的用户名与密码;
实现校验用户拨入的设备的IMSI信息是否正确; 三、网络拓扑 四、方案配置 用户处新建用户名/密码,在自定义属性处给该用户绑定个自定义属性:
名称:IMSI(自定义) 属性值:46*******44(设备的IMSI卡号) 在策略处,用户过滤,设置条件: 额外属性(callingStationId)名称为IMSI(和用户处的属性名称相匹配),动作是允许。 所有情况为禁止
统一身份认证平台功能 描述 文稿归稿存档编号:[KKUY-KKIO69-OTM243-OLUI129-G00I-FDQS58-
数字校园系列软件产品统一身份认证平台 功能白皮书 目录
1产品概述 1.1产品简介 随着校园应用建设的逐步深入,已经建成的和将要建成的各种数字校园应用系统之间的身份认证管理和权限管理出现越来越多的问题:用户需要记录多个系统的密码,经常会出现忘记密码的情况;在登 录系统时需要多次输入用户名/密码,操作繁琐。 各个系统之间的账号不统一,形成信息孤岛现象,导致学校管理工 作重复,增加学校管理工作成本。 新开发的系统不可避免的需要用户和权限管理,每一个新开发的系 统都需要针对用户和权限进行新开发,既增加了学校开发投入成 本,又增加了日常维护工作量 针对学生、教职工应用的各种系统,不能有效的统一管理用户信 息,导致学生在毕业时、教职工在离退休时不能及时地在系统中 清除这部分账号,为学校日后的工作带来隐患。 缺乏统一的审计管理,出现问题,难以及时发现问题原因。 缺乏统一的授权管理,出现权限控制不严,造成信息泄露。 统一身份认证平台经过多年的实践和积累,通过提供统一的认证服务、授权服务、集中管理用户信息、集中审计,有效地解决了以上问题,赢得客户的好评。
1.2应用范围 2产品功能结构 统一身份认证平台功能结构图 3产品功能 3.1认证服务 3.1.1用户集中管理 统一身份认证平台集中管理学校的所有教职员工和学生信息,所有的用户信息和组织机构信息存储在基于LDAP协议的OpenLDAP目录服务中,保证数据的保密性和读取效率。通过用户同步功能,及时地把关键业务系统中的用户信息同步到统一认证平台中,然后通过平台再分发给需要的业务系统,保证账号的一致性。 为所有的用户设置权限生效起止日期,即使不对用户做任何操作,在权限生效期外的用户也无法通过认证,保证了系统的安全性。 用户管理
统一身份认证平台讲解-共38页
统一身份认证平台设计方案 1)系统总体设计 为了加强对业务系统和办公室系统的安全控管,提高信息化安全管理水平,我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想 为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要,我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案: 内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台,通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。 提供现有统一门户系统,通过集成单点登录模块和调用统一身份认证平台服务,实现针对不同的用户登录,可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。 建立统一身份认证服务平台,通过使用唯一身份标识的数字证书即可登录所有应用系统,具有良好的扩展性和可集成性。
提供基于LDAP目录服务的统一账户管理平台,通过LDAP中主、从账户的映射关系,进行应用系统级的访问控制和用户生命周期维护管理功能。 用户证书保存在USB KEY中,保证证书和私钥的安全,并满足移动办公的安全需求。 1.2.平台介绍 以PKI/CA技术为核心,结合国内外先进的产品架构设计,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。 如图所示,统一信任管理平台各组件之间是松耦合关系,相互支撑又相互独立,具体功能如下:
XXXX学院网络统一身份认证计费管理系统 建设方案 2016年03月 目录 一.计费系统设计规划......................................... 二.方案建设目标............................................. 三.总体方案................................................. 1.方案设计 .............................................. A.方案(串连网关方式)................................. B.方案(旁路方式+BRAS,BRAS产品) 四.认证计费管理系统与统一用户管理系统的融合................. 4.1统一用户管理系统的融合 ................................ 4.2一卡通系统的融合 ...................................... 4.3用户门户系统的融合 .................................... 五.认证计费管理系统功能介绍................................. 六.用户案例................................................. 6.1清华大学案例介绍 ...................................... 6.2成功案例-部分高校...................................... 6.3系统稳定运行用户证明 ..................................
信息安全技术及应用 ————————身份认证技术与应用 当今,信息安全越来越受到人们的重视。建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作 的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。 1.身份认证技术简介 相信大家都还记得一个经典的漫画,一条狗在计算机面前一边打字,一边对另一条狗说:“在互联网上,没有人知道你是一个人还是一条狗!”这个漫画说明了在互联网上很难识别身份。 身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界,在这个数字世界中,一切
信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 如何通过技术手段保证用户的物理身份与数字身份相对应呢?在真实世界中,验证一个人的身份主要通过三种方式判定,一是根据你所知道的信息来证明你的身份(你知道什么),假设某些信息只有某个人知道,比如暗号等,通过询问这个信息就可以确认这个人的身份;二是根据你所拥有的东西来证明你的身份(你有什么) ,假设某一个东西只有某个人有,比如印章等,通过出示这个东西也可以确认这个人的身份;三是直接根据你独一无二的身体特征来证明你的身份(你是谁),比如指纹、面貌等。 所谓“没有不透风的墙”,你所知道的信息有可能被泄露或者还有其他人知道,杨子荣就是掌握了“天王盖地虎,宝塔镇河妖”的接头暗号成功的伪造了自己的身份。而仅凭借一个人拥有的物品判断也是不可靠的,这个物品有可能丢失,也有可能被人盗取,从而伪造这个人的身份。只有人的身体特征才是独一无二,不可伪造的,然而这需要我们对这个特征具有可靠的识别能力。
智慧海事一期统一身份认证系统 技术方案
目录 目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)
你的安全管理专家——可信身份认证 可信身份认证是以人的身份管理为基础,以身份可信、权限可控、行为受约为目标,以可信身份认证技术为支撑,识别和验证人在现实生活和网络空间的身份的真实性和合 法性,解决现有身份常常被盗用和冒用的问题,做到反违章、反欺诈、反恐等安全保障,以此解决人的安全性管理问题。产品可应用于电力行业调度运行、基建、营销、运检、后勤及安监等业务领域,为电网运行、生产作业、基建施工、产业安全和信息通信提供“实名实人实证”的真实身份认证服务,提升国网公司整体信息安全水平和安全管控能力。 国网信通产业集团可信身份认证产品亮相2017国家网络安全宣传周 特点优势可信身份认证作为网络安全防护的第一道防线,是企业业务安防体系的重要组成部分,是实现企业网络安全三要素:人、行为、设备的有效管控,也是唯一在政策和技术可以同步筑起屏障的抓手。其特点优势在于:(一)身份认证权威具法律效力。与公安部居民身份认证平台对接,提供身份权威认证,实现“实人、实名、实证”。(二)无感知生物特征识别。实现人员生物特征非接触认证方式,方便便捷,用户体验佳。(三)支持移动式身份认证。采用多种形态身份认证手段,支持移动终端方式,通过普通手机即可完成身
份校验,高效、便捷。(四)模块化部署实施。采用模块化设计,可以无缝嵌入各个应用系统中,灵活部署,施工周期短。典型应用看点01国网厦门供电公司金砖五国峰会保电可信身份认证系统电网每年承担大量重大活动保电任务,包括:政治保电、非政治保电、日常管理,政治保电管理尤其严格,我们在核心变电站、核心机房、指挥中心、移动巡检等重点区域,部署可信身份终端和移动终端,实现人证合一,确保人员身份真实可信,指挥中心可以监控到各战区的人员到岗情况。破解现有保电身份认证模式中易出现“盗用”、“冒用”的情况,实现“实名即实人”,安全可追溯,为厦门金砖五国峰会保电提供人员身份可信安全保障。看点02国网湖南省电力公司后勤可信可视保障系统采用分级、分类、对口业务管理的身份认证的方式,对出入办公楼人员管理与实际各部门业务进行对应,采用员工通道、会议登记、提前预约等各样手段,实现与门禁、重点定区域监控联动,保障安全的前提下提高工作效率,后勤保障服务智能化水平高,为访客留下深刻印象。
网络安全形势不容乐观加强网络身份认证体系建设势在必行 互联网的高速发展,带动了众多产业的兴盛,但也造成了日益严重的网络安全问题,身份认证作为信息安全防护的第一关,承担了至关重要的作用。今后在推动网络安全产业发展时,应当注重加强网络身份认证体系建设,从认证技术和方法提高身份认证水平。 网络安全的重要性 网络安全是国家安全的重要组成部分,没有网络安全就没有国家安全。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。 因此,建设网络强国的战略部署要与“两个一百年”奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。 网络可信身份认证体系是网络安全的核心 网络可信体系是网络空间和网络社会依法、规范、安全、高效运行和健康发展的基础,它对于推动网络社会治理体系和治理能力现代化具有重要作用。据前瞻产业研究院《中国网络身份认证信息安全行业与前景预测分析报告》分析,我国开展网络可信建设具有以下特点。 我国开展网络可信建设的特点 资料来源:前瞻产业研究院整理 结合中国国情,按照架构层次及要素特点,可以将网络可信体系简要描述为“五个层次、两个保障、一个支撑”,即可信基础、可信支撑、可信服务、可信应用和网络用户五个层次,监管机制和安全机制两个保障,以及法律、行政法规、政策、标准等一个支撑。 网络可信身份认证生态体系 资料来源:前瞻产业研究院整理 其中,身份认证系统在安全系统中非常重要,虽然它是最基础的安全服务,但是另外的安全服务都需要它才能完成,只要身份认证系统受到攻击入侵,就会导致系统里的安全措施都无法产生作用,而黑客入侵的首要目标一般都是先攻破身份认证系统。 所以,建立以法定身份证件为基础,以法律、行政法规、政策、标准、监管机制、安全机制为保障和支撑,借助大数据、云计算、密码技术、生物特征识别技术等相关技术和手段,实现对网络空间各参与要素真实身份认证,相关行为可溯源、可追究和依法治理,共同构建和平、安全、开放、合作的网络空间。 实现网络身份认证可信,网络行为追溯可信,再借助区块链技术,打通各部门,各行业存在的不同身份属性及行为轨迹,为我国的国家安全、社会安全、信用体系建设提供保障,在开放的互联网与物联网世界构筑起中国的网上长城。 网络身份认证信息安全发展大势所趋 目前身份认证产品的应用主要集中在银行业,身份认证产品在银行的大范围应用,验证了产品技术的成熟可靠。对信息安全要求较高的电子商务、电子政务、企事业OA/VPN系统、第三方支付、移动支付、云计算、IC卡等各行各业客户的信息系统都面临同样的信息安全问题,对网络身份认证需求日益提高。 据上述报告统计,2016年我国信息安全行业收入达480亿元人民币,而身份认证领域已超过整体安全市场20%,市场规模超过80亿元,前景十分广阔。 2011-2016年中国网络身份认证信息安全市场规模(单位:亿元,%)
身份认证技术的发展与展望 Internet迅猛发展带来了信息共享与安全这对矛盾共同体,加强网络安全建设、保障网络的安全运行成为网络存在的根本之道。网络身份认证技术发展到今天已经成为信息管理系统中必不可少的一部分,扮演着网络系统“看门人”的角色。 针对不同的安全威胁,目前存在多种主机安全技术和相关安全产品,如防病毒技术、个人防火墙、安全应用程序(如文件加密程序)、安全操作系统等。这些技术和产品在一定程度上满足人们的安全需求,却没有很好地解决以下两个问题: (1)系统访问,即开机时的保护问题,目前普遍采用的是基于口令的弱身份认证技术,很容易被攻破而造成泄密; (2)运行时保护,即在合法用户进入系统后因某种原因暂时离开计算机,此时任何人员均可在此系统之上进行操作,从而造成泄密。
将密码写在记事本上挂在电脑旁边,这样的事情相信很多公司的员工都曾经为之。出于安全的要求,现在公司的安全策略普遍要求员工的登陆密码要定期更换,而且不能重复,这使得想出一个自己能记住的长串密码成为一件让员工头疼的事情。为了便于记忆,员工往往会选择常用词或者号码作为密码,如果攻击者使用“字典攻击法”或者穷举尝试法来破译,很容易被穷举出来。传统的账号加密码的形式,账号基本上都是公开的,密码容易被猜中,容易忘记,也容易被盗。据统计,一个人平均下来要记15到20个密码。静态密码的隐患显而易见,尤其是在证券、银行等行业,轰动一时的“银广夏盗卖案”早就为业界敲响了警钟。 为了解决静态密码的安全问题,一种方式是同一个人员使用不同的密码进入不同的应用系统,避免所有的鸡蛋都在一个篮子里面的问题,然而需要记忆多个密码;第二种方式,采用软件VPN方式,登陆前先要使用VPN连接,这样可以面向一部分机器开放,但是第一次使用时下载VPN软件,每次访问
Meraki无线网络身份认证方案 一、面临挑战 思科Meraki无线云管控,可在云上集中配置管理所有网络设备及移动终端,有效降低无线运维管理成本,以功能丰富且易于使用而受到青睐。 随着无线技术的全面应用及移动终端的普及,无线开放的访问方式和易接入的特性在带来便捷的同时,也带来极大的安全隐患。无线网络的安全系统要做到有效,必须解决下面这个问题——接入控制,即验证用户并授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。 大型企业商业通常用户及分支机构众多,跨地域连无线普遍存在的情况下,存在着大量网络安全威胁,实现多分支、多用户、多终端之间的无线统一身份认证及安全访问控制,更有其必要性。 统一的身份鉴别和访问控制应贯穿在Meraki无线云管控的始终,对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理,实现不同用户角色对应不同的访问权限。 二、解决方案 1. 思科Meraki无线网络身份认证解决方案概述 宁盾一体化认证平台提供健全的无线身份认证访问控制,通过与Meraki云管控对接,实现多分支统一接入管理,只允许合法授权用户的接入。联动Meraki 云端控制器,对合法接入的用户基于其身份做访问权限控制,实现所有类型无线用户集中化认证及管理。还可结合上网行为管理设备,提供上网行为实名审计,及基于用户身份的流量控制。 2. 宁盾一体化无线认证方式 ①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网; ③用户名密码认证,用户名密码可以创建,也可以与AD或者LDAP同步帐号信息; ④支持二次无感知认证,可设定有效期,超过有效期须通过其他认证方式登录; ⑤支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
网络身份认证方式综述 身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。一般来说,身份认证是通过三种基本方式或其组合方式来完成: 第一:用户所知道的某个秘密信息,如用户口令。 第二:用户所持有的某个秘密信息(硬件),即用户必须持有合法的随身携带的物理介质,如磁卡、智能卡或用户所申请领取的公钥证书。 第三:用户所具有的某些生物特征,如指纹,声音,DNA图案,视网膜扫描等。 目前采用各种密码算法的身份认证技术,从表现形式上有:传统的静态口令认证技术、动态口令身份认证技术、特征认证技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术等。 1.传统的静态口令认证技术 传统的静态口令认证技术是现今大多数网络系统所使用的最简单的访问控制方法,通过口令的匹配来确认用户的合法性。传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW 是否匹配,来验证用户的身份。这种方法的缺点是:其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,因此这种方案不能抵御口令猜测攻击;另外,攻击者可能窃听通信信道或进行网络窥探(nsiffing),口令的明文传输使得攻击者只要能在口令传输过程中获得用户口令,系统就会被攻破。为了避免口令的弱点,最受推崇的是基于各种密码技术的口令认证。 2.动态口令认证技术 以静态口令为基础的认证方式面临着很多的安全问题,己无法满足网络时代的安全需求。为解决静态口令所存在的各种问题,于是提出了动态口令的概念,它采用了基于时间或事件而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。
1.1. 统一身份认证系统 通过统一身份认证平台,实现对应用系统的使用者进行统一管理。实现统一登陆,避免每个人需要记住不同应用系统的登陆信息,包含数字证书、电子印章和电子签名系统。 通过综合管理系统集成,实现公文交换的在线电子签章、签名。 统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。 2. 技术要求 ?基于J2EE实现,支持JAAS规范的认证方式扩展 ?认证过程支持HTTPS,以保障认证过程本身的安全性 ?支持跨域的应用单点登陆 ?支持J2EE和.NET平台的应用单点登陆 ?提供统一的登陆页面确保用户体验一致 ?性能要求:50并发认证不超过3秒 ?支持联合发文:支持在Office中加盖多个电子印章,同时保证先前加 盖的印章保持有效,从而满足多个单位联合发文的要求。 ?支持联合审批:支持在Office或者网页(表单)中对选定的可识别区 域内容进行电子签名,这样可以分别对不同人员的审批意见进行单独的电 子签名。 ? Office中批量盖章:支持两种批量签章方式: ?用户端批量盖章; ?服务器端批量盖章。 ?网页表单批量签章:WEB签章提供批量表单签章功能,不需要打开单个 表单签章,一次性直接完成指定批量表单签章操作,打开某一表单时,能 正常显示签章,并验证表单完整性。 ?提供相应二次开发数据接口:与应用系统集成使用,可以控制用户只能 在应用系统中签章,不能单独在WORD/EXCEL中签章,确保只有具有权限的人才可以签章,方便二次开发。 ?满足多种应用需求:电子签章客户端软件支持MS Office、WPS、永中 Office、Adobe PDF、AutoCAD等常用应用软件环境下签章,网页签章控件 或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签
身份认证技术百科名片 动态口令牌身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。 身份认证方法 在真实世界,对用户的身份认证基本方法可以分为这三种:(1) 根据你所知道的信息来证明你的身份(what you know ,你知道什么) ;(2) 根据你所拥有的东西来证明你的身份(what you have ,你有什么) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ,你是谁) ,比如指纹、面貌等。在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2中混合使用,即所谓的双因素认证。 以下罗列几种常见的认证形式: 静态密码 用户的密码是由用户自己设定的。在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此,静态密码机制如论是使用还是部署都非常简单,但从安全性上讲,用户名/密码方式一种是不安全的身份认证方式。它利用what you know方法。 智能卡(IC卡) 一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。它利用what you have方法。 短信密码 短信密码以手机短信形式请求包含6位随机数的动态密码,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。具有以下优点:(1)安全性由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。(2)普及性只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。(3)易收费由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。(4)易维护由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期
福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一;目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统;按照规划,平台还必须进一步拓展便民服务大厅增加服务项目,电子监察、微博监管等系统功能,实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多,如每个子系统都用自己的身份认证模块,将给用户带来极大的不便;为了使平台更加方便易用,解决各子系统彼此孤立的问题,平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题,为用户提供平台的统一入口及功能菜单;使平台更加简便易用,实现“一处登录、全网漫游”。同时,加强平台的用户资料、授权控制、安全审计方面的管理,确保用户实名注册使用,避免给群 众带来安全风险;实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动;达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统;它将统一平台的以下服务功能:统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口(WebService接口或客户端jar包或dll动态链接库)向各子系统提供上述各类服务;各业务子系统只要参照说明文档,做适当集成改造,即可与系统对接,实现统一身份认证及单点登录, 实现用户资源的共享,简化用户的操作。
69网络可信身份认证技术问题研究 宋宪荣1,张猛2 (1.南京理工大学计算机科学与工程学院,江苏南京 210094; 2.赛迪智库网络空间研究所,北京 100846) 摘 要:网络可信身份认证技术是信息安全的核心技术之一,其任务是识别、验证网络业务系统中用户身份的合法性和真实性以及线上身份和线下身份的一致性。首先明确了网络可信身份的内涵和分类。其次从网络可信身份技术应用中存在问题入手,对生物识别技术、数字证书技术、FIDO 技术、大数据行为分析技术、区块链技术等主流和新兴的身份认证技术进行了梳理分析,并从抗抵赖性、安全性、易用性、成熟度、用户使用成本等五个维度对各类认证技术进行评价。最后给出身份认证技术的发展趋势和结论。 关键词:网络可信身份;身份认证技术; 生物识别技术;FIDO ;大数据分析;区块链 中图分类号:TP 302 文献标识码:A Research on the technology of network trusted identity authentication Song Xi anrong 1, Z hang Meng 2 (1.S choo l o f Co m put er Sc ie nc e and Engi ne er ing, N anj ing Univ er si t y of Science and Technol ogy, JiangsuNanji ng 210094; 2.Inst it ute of C ybe rs pac e, C C ID, Beijing 100846) Abstract: Network trusted identity authentication technology is one of the core technologies of information security. Its task is to identify and verify the legitimacy and authenticity of the identity of the user in the network system. First, this paper expounds the connotation and classification of the network trusted identity. Second, analyzes the mainstream and emerging identity authentication technology, such as biometrics technology, digital certificate technology, FIDO, behavior analysis, block chain based on the problems encountered in the development of authentication technology. Then, it evaluates all kinds of authentication technologies from five dimensions, such as non repudiation, security, ease of use, maturity and user cost. Finally, it gives the development trend of the authentication technology. Key words: network trusted identity; authentication technology; biometric identification; big data analysis; block chain 1 引言 当前公民的行为空间已经从线下的实体社会 向线上的网络空间延伸,随着人们对网络空间 的依赖度越来越高,网络空间中信息交流和互 动越来越多,网络已经成为推动社会发展的重 要工具,网络空间也已经成为继陆、海、空、 天之后的“第五疆域”。但是,网络空间高速 发展的同时也面临着网络主体身份难以确认,网络资源非授权访问等日益突出的网络安全问题。从国家治理角度看,国家对网络空间具有主权,对于网络主体行为状况应当有全面的感知,能够实现对网络身份的认证和网络行为的追溯,有利于构建现代化的国家治理体系。从经济社会发展角度看,网络信息技术在经济社会各领域的创新应用,加快了电子政务、电子
统一身份认证平台 一、主要功能 1.统一身份识别; 2.要求开放性接口,提供源代码,扩展性强,便于后期与其他系统对接; 3.支持移动终端应用(兼容IOS系统、安卓系统;手机端、PAD端;) 4.教师基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 5.学生基础信息库平台(按照教育信息化标准-JYT1001_教育管理基础代码实现) 二、系统说明 2.1单点登录:用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应 用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。 2.2即插即用:通过简单的配置,无须用户修改任何现有B/S、即可使用。解决了当前 其他SSO解决方案实施困难的难题。 2.3多样的身份认证机制:同时支持基于PKI/CA数字证书和用户名/口令身份认证方式, 可单独使用也可组合使用。 2.4基于角色访问控制:根据用户的角色和URL实现访问控制功能。基于Web界面管 理:系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。 三、系统设计要求 3.1业务功能架构 通过实施单点登录功能,使用户只需一次登录就可以根据相关的规则去访问不同的应用系统,提高信息系统的易用性、安全性、稳定性;在此基础上进一步实现用户在异构系统(不同平台上建立不同应用服务器的业务系统),高速协同办公和企业知识管理功能。 单点登录系统能够与统一权限管理系统实现无缝结合,签发合法用户的权限票据,从而能够使合法用户进入其权限范围内的各应用系统,并完成符合其权限的操作。 单点登录系统同时可以采用基于数字证书的加密和数字签名技术,对用户实行集中统一的管理和身份认证,并作为各应用系统的统一登录入口。单点登录系统在增加系统安全性、降低管理成本方面有突出作用,不仅规避密码安全风险,还简化用户认证的相关应用操作。 说明:CA安全基础设施可以采用自建方式,也可以选择第三方CA。 3.2具体包含以下主要功能模块: ①身份认证中心 ②存储用户目录:完成对用户身份、角色等信息的统一管理; ③授权和访问管理系统:用户的授权、角色分配;访问策略的定制和管理;用户授权信息 的自动同步;用户访问的实时监控、安全审计; ④身份认证服务:身份认证前置为应用系统提供安全认证服务接口,中转认证和访问请求; 身份认证服务完成对用户身份的认证和角色的转换; ⑤访问控制服务:应用系统插件从应用系统获取单点登录所需的用户信息;用户单点登 录过程中,生成访问业务系统的请求,对敏感信息加密签名; ⑥CA中心及数字证书网上受理系统:用户身份认证和单点登录过程中所需证书的签发; 四、技术要求 4.1技术原理 基于数字证书的单点登录技术,使各信息资源和本防护系统站成为一个有机的整体。 通过在各信息资源端安装访问控制代理中间件,和防护系统的认证服务器通信,利用系统提供的安全保障和信息服务,共享安全优势。 其原理如下: 1)每个信息资源配置一个访问代理,并为不同的代理分配不同的数字证书,用来保