龙脉科技身认证技术方案.docx

龙脉科技身份认证技术方案一、 概述随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正发生巨大变化，企业内部的管理也由传统的制度管理转变为信息化管理，企业内部业务管理软件很大程度上提高了日常的工作效率。本方案主要采用龙脉科技的K3pro身份认证锁，其通过非对称密钥技术实现可靠的身份认证、数据加密、签名/验签等功能，K3pro硬件芯片支持RSA DES AES SHA等多种加密算法，密钥对生成速度快，硬件芯片内置随机数发生器，标准版支持64KB安全数据区用于存放证书、密钥及敏感数据，并可根据需求提供最大96KB安全数据区，同时自带2M光驱，最大可提供8M，可用于存放中间件方便最终用户使用，增强软件的健壮性。二、 需求分析业务管理软件对于提高办公效率，实现信息共享，提高服务管理水平具有重要作用。在享受信息资源得到更大程度的共享的同时，随之而来的网络安全问题也日益突出： 用户登录业务管理系统时的身份确认问题 业务系统数据传输的机密性问题 数据传输的完整性以及抗抵赖性问题使用业务管理系统处理日常工作的过程中相应所发生的敏感数据的传输必定要在网上进行，这就增加了敏感数据在网上传输时被窃取、篡改的机会，并且网上办公在取代了传统办公同时也增加了工作中抵赖、欺诈行为发生的可能性。这就需要我们对敏感数据进行签名加密，以达到防抵赖、防篡改等功能。为了该系统用户数据的安全传输，以便系统更好的推广，计划对该系统进行基于数字证书的安全改造，能实现基于数字证书的用户身份认证，关键数据的加解密、签名/验签等功能。三、 设计原则及目标3.1 设计原则在产品安全应用的设计过程中，我们坚持如下四个原则，即： 统筹规划、分步实施； 统一标准、统一规范； 充分利用现有资源； 密切结合相关业务的实际需求。3.2 设计目标 建设基于信息安全的业务管理系统； 建设业务管理系统安全保障体系； 通过强身份认证手段的采用，确保所有业务系统用户的身份的真实性； 对业务管理系统数据交互采用加密防护、数字签名，满足数据加密传输、不可抵赖的应用需求。四、 基于数字证书的解决方案4.1 数字证书简介数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。本方案采用CA证书授权中心发行的，用户可以在网上用它来识别对方的身份，实现业务管理系统数据加密传输、身份认证、数字签名等服务。4.2 数字证书载体简介4.2.1 K3pro简介作为一种可在PKI体系中应用的产品，龙脉科技自主设计研发的基于智能卡安全芯片的K3 pro身份认证锁，它是为PKI应用量身设计的数字证书安全载体，可用于网络安全认证和通讯加密等信息安全领域，支持Internet Explorer，Outlook，Outlook Express，Firefox以及其它任何基于Microsoft CAPI或PKCS#11标准的软件产品的PKI应用。它利用标准的加密算法技术，实现了网络安全方案中数字签名、身份认证和密钥安全管理以及分发传递等功能。K3 pro的主要功能是与现有的PKI体系应用无缝的集成。软件开发商无需对K3pro进行任何形式的变成开发就能通过配置相关服务，就可以将K3pro集成到软件应用中。4.2.2 K3pro硬件技术参数项目参数供电方式USB口供电工作电压5V（USB口供电）工作电流50mA工作湿度070摄氏度存储温度-2085摄氏度外壳金属通讯协议USB Mass Storage接口类型USB 2.0高速处理器32位智能卡芯片存储空间64kb4.3 系统结构图及说明业务管理系统应用结构图如上图所示：各用户使用数字证书载体（K3pro身份认证锁）进行身份认证，业务系统将用户证书信息传输给安全应用支撑服务器，由安全应用支撑服务器验证用户证书的有效合法性，正确通过的用户再根据系统分配给该用户的权限调出相关的业务办理页面。同时还可以解决包括信息的机密性、完整性和不可抵赖性等信息安全问题。4.4 产品功能4.4.1 基于数字证书的强身份认证通常采用用户名+口令的方式进行身份认证是目前实现计算机安全的主要手段之一，但是采用用户名+口令的方式，在越来越复杂的网络环境中相对脆弱。基于数字证书的身份认证服务，可以对每个访问系统的用户进行强身份验证。基于PKI/CA技术的数字证书是由权威的CA中心签发的，难以伪造，并保存在数字证书载体（K3pro）硬件介质中可随身携带，USB KEY本身还有PIN码保护，能有效防止身份被盗用。用户首先打开系统登录页面，将数字证书载体插入到计算机的USB接口，并在登录窗口的PIN码输入框中输入PIN码，当系统验证到PIN码是正确时，系统将通过密码服务器验证用户证书，当确定该证书合法性之后，才允许用户登陆系统。4.4.2 数据安全加密服务基于安全的整体规划考虑，数据在网络中传输时要确保机密数据不为第三方窃取。客户端用户和安全应用支撑服务器通过系统登录时交换对方的公钥证书，客户端用对方的公钥证书对提交的敏感数据进行加密，通过应用服务器将数据传送给安全应用支撑服务器，安全应用支撑服务器用自己的私钥对数据解密；然后将解密数据提交到应用服务器对数据进行处理，处理完后将数据传回到业务管理员端进行加密：安全应用支撑服务器使用客户端的公钥对其进行加密，数据传送到客户端后，客户用自己的私钥对数据解密，即可完成一次安全的数据加解密处理过程。4.4.3 数字签名及完整性校验对数据的签名和验签，是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私钥，对数据进行签名运算，并把运算结果作为一个字段存储在数据库中，这样数据就是经过这个用户签名的数据，具有法律效力，不能修改。当需要对数据进行验签时，系统只要再用用户的证书进行一次运算，就可以确定签名的有效性。提交重要数据签名，客户端可以对关键业务数据用私钥签名。传送到服务端后用此用户公钥证书验签，再将验签数据传送到应用服务器处理；服务端也可以通过公钥证书对提交的敏感数据进行签名，通过应用服务器将数据传输到客户端，客户端用服务端的公钥证书验签。实现了数据的防篡改，防抵赖功能。4.5 K3pro身份认证锁特点 方便性：K3pro外形小巧，便于随身携带。采用USB接口，支持热插拔，用后只需从USB 端口拔下，就可将敏感的安全证书随身携带在身上。 高性能高安全性K3pro使用高性能32位CPU，并通过告诉USB接口与PC相连接，保护数据运算和传输的高性能，同时安全算法如RSA，3DES等均在芯片硬件内部进行，为应用提供安全性保证。 跨平台K3pro支持多种操作系统，如Windows、Linux、Mac OS，并提供标准PKCS11接口，为用户跨平台应用提供保障。 无缝集成K3pro提供了符合业界规范的Microsoft CryptoAPI和PKCS11接口，并支持多个证书和密钥对，任何兼容这种接口的应用程序都可以立即集成K3Pro使用。五、 方案总结基于数字证书的解决方式，选取CA提供的个人数字证书，龙脉科技的K3pro身份认证锁作为证书的安全载体，采用智能卡核心硬件和用户识别码相结合的双因子认证方式，极大地提高了用户的网络信息安全。K3pro插入电脑可以直