网络身份认证解决方案-IKEY系列.doc

身份认证产品 iKey系列Internet对企业运作的影响使得信息技术产业（IT）在20世纪90年代末发生了巨大的变化。特别是此领域出现的三个重要趋势，更是需要引起所有IT行业管理者的重视，它们分别是：电子商务、远程访问和对更大安全性的需要，其中安全性是前两种趋势中至关重要的部分。没有识别、认证和付款核实的手段，电子商务就不会实现。同样，远程访问在赋予访问权限之前必需仔细认证用户。这些趋势在Intranet和 B2B的电子商务中日益明显，这种身份识别可以看作准许访问和相应的访问权限两个方面。所有安全问题的核心是要为某个机构欲授予特权（如远程访问或被允许进入商务活动）的个人建立个人身份以及接下来对文件和要处理的事务进行认证。使用了各种安全方式来使接收者相信文件是从身份有效的发件人那里发出的，并且文件在传送过程没有遭到干扰。这种认证依赖于包含公钥、数字签名和管理这些资源的授权单位认证机构在内的一套完整的加密技术基础设施。我们首先要解决的是个人身份的认证。该项任务通常是用很不成熟（密码）或非常昂贵（生物测量法如视网膜扫描或指纹检查）的方式处理的。一种价格低于生物测定法、比单纯的密码更为安全的折中办法是基于双因素认证的解决方法，即使用智能卡。彩虹天地信息技术有限公司设计的新型iKey，可以工作在任何一台具有通用串行总线（USB）接口的微机，作为一个价格适中的身份识别令牌。它提供所有智能卡和密码令牌的可靠性、简便性和安全性，同时避免了读写设备的复杂安装和昂贵开销。技术特点1.iKey的优点iKey采用与智能卡相同的，提供访问控制的文件系统。应用程序能使用它存储个人信息、私钥、密钥、许可协议、识别特征、数字证书或其它数据。使用iKey具有以下四个优点： 可靠性：用户将个人信息存储在iKey上，可以保证即使发生系统故障仍然是安全的。彩虹公司采用符合ISO9000国际质量认证的设备，全球提供超过三百万只iKey，产品具有同行业最低的故障率。 便携性：iKey是连接在钥匙圈上的，用户永远不会忘记携带而且几乎不会丢失，iKey是插入USB接口的，所以对核查在远地区通过笔记本电脑拨入一个公司虚拟专有网络(VPN)或进入Intranet的用户来讲是理想的。非常适合个人使用，可以完美地满足网络应用和异地工作的便携要求。 安全性：用户逐渐意识并且担心病毒和其它恶意软件能够访问保存在硬盘上的记录、控件、密码和其它个人信息。使重要信息不必保存在硬盘上，实现了“机密随身带”。同时作为双因素认证的解决方案，iKey提供了更加安全的保障形 式。 不可仿制：用户不能复制iKey中的信息。 这意味着你可以使用它保存获得Internet服务的接入授权，不用担心被人盗用。换句话说，iKey没有密码普遍存在的共用问题。对iKey程序访问是通过彩虹技术公司提供的应用程序编程界面（API）完成的。 2.硬件安全技术iKey硬件电路中集成读/写功能，包含完成存储功能的资源和高速加密引擎。它使用通用串行总行接口(USB)提供电源并且与计算机通讯。内置的掉电保护随机访问存储器保存RAINBOW提供的出厂设置，以及用户提供的与应用程序有关的数据。iKey分为两个系列ikey1032和iKey2000。他们分别适用于不同的安全性级别之上，下面列出了两系列产品的技术特性。 12MHz 微处理器 8K存贮单元（可扩展到32K） 符合X.509数字证书存储标准 ikey1032内置有MD5算法芯片。iKey2000内置有RSA算法芯片 软件控制状态指示灯，可方便观察和计算机的接通情况 64位全球唯一系列号 USB接口。支持带电插拔，即插即用 随机数生成器 ikey1032有两级口令设置：PIN 和 SO PIN。并且可重试次数可设定，输入PIN错误次数超过设定值则iKey锁死。iKey2000只有一级PIN,并且PIN错误次数超过设定值则iKey所存数据销毁 三级文件操作权限管理: 访客模式(Guest)、用户模式(User)、超级管理员模式(Administrator) 内置两级目录文件结构 3.软件实现 支持全部Windows平台(95/98/NT/2000), Apple Macintosh平台。彩虹公司提供虚拟智能卡读卡器的驱动程序。 API被放在iKey开发工具箱中，软件开发工具包（SDK）包含了访问iKey进行读写的功能，还可进行复杂的加解密工作 图形化的读写编辑iKey硬件的工具，易于使用 ActiveX部件(non-scriptable和script safe) 其中script safe ActiveX可用于网络浏览器环境； non-scriptable ActiveX可用于一般编程环境(如VB,Delphi等) 通过浏览器访问iKey的Java插件 供C语言调用的库 支持128位密码长度的Microsoft CAPI 中间件(Middleware)：PKCS#11（支持128位密码长度）,CSP 4.iKey身份认证原理iKey内置有MD5算法芯片，以特有的挑战响应式方法来实现网络身份认证。他的实现原理如下图, 参与运算的数有两个：一个可以是随机数，另一个是事先预设的算法因子（分别存放在服务器的用户数据库和iKey硬件内部的存储器）。MD5 Hash算法可以保证两个运算数哪怕只发生一位数字的变化，运算结果也会变得完全不一样。因为每次验证运算的其中一个运算数是随机数，所以每次的运算结果也是随机变化的。由此保证运算结果在传输中不怕被截获步骤： 1.服务器或客户端取得随机数，并将之发给对方。 2.取出各自存储的算法因子。3.对这两个数进行运算。4.看运算结果是否一致。 如果一致，说明两端的算法因子是一致的(因为随机数是共用的，影响结果的只能是算法因子)。进而推出客户端的算法因子是约定的数-客户是合法的用户。1.Windows2000的网络安全登录 Windows2000系统支持建立和使用PKI体系来保证网络的安全性。 iKey完全符合Window2000 PC/SC 智能卡标准，因此能与Windows 2000的智能卡功能无缝集成，在此体系中，ikey1032作为存储证书和私钥的载体，可以很方便的集成到Windows2000系统中，实现安全登录及锁定工作站等功能。 采用iKey+ Windows 2000，可以轻松架构一个安全的企业局域网。 2.安全电子邮件电子邮件凭借其易用、低成本和高效已经成为了现代商业中的一种标准的信息交换工具。随着Internet的持续增长，商业机构或是政府机构都开始用电子邮件交换一些秘密的、或是有商业价值的信息，这就引出了一些安全方面的问题，如： 消息和附件可以在不为通信双方所知的情况下被读取，篡改或是截掉； 没有办法可以确定一封电子邮件是否真的来自某人。 电子邮件的安全需求是机密、完整、认证和不可否认，而这些都可以用PKI技术来获得。具体的讲，利用数字证书和私钥，用户可以对他所发的邮件进行数字签名，这样就可以获得认证，完整性和不可否认性，也可以用接收方的公钥对邮件进行加密，只有接收方的私钥可以对邮件解密，从而防止邮件的非法读取。Windows2000 + Exchange Server 的企业内部邮件环境中，使用Windows2000 Certificate Server 颁发数字证书。客户端采用 iKey 存储证书，iKey可以和 Outlook/Outlook Express或Communicator 无缝集成，实现邮件的签名和加密。3.用于数字证书的存储数字证书通过提供比单纯公钥更多的信息量加强了公钥的重要性。证书本身含有一个系列号码，失效日期、用户名、加密办法、公钥和关于用户和证书的特别信息。X.509标准定义了证书内容和包含扩展信息的方法。数字证书将人（附加信息）和公钥“捆绑”在一起。和公钥一样，对于运用证书的交易，数字证书同样需要接受人必须能够访问他们的私钥并为文件解密。这种私钥通常驻于硬盘，可以接受硬盘中不同的应用程序（email、浏览器以及其他程序）的访问。但是，驻于硬盘的私钥的主要缺点是它们的拥有人无法轻易带走它们。将私钥安装在iKey上，允许私钥拥有人在任何一台机器上都能使用证书。另外，私钥被存放在钥匙圈上，如iKey, 比存放在用户的硬盘上更加安全。可能您已经想到，用户同时可以有几个证书，一个在工作中使用，一个满足银行业的需要，另外一个用于投资活动，这与今天所有人需要使用好多密码差不多。但是，在不同场合一次携带这样多的证书（或私钥）是很费力的，除非它们全部可以被存储到一个单一、安全的装置上。iKey可以圆满地完成这项任务。目前，根据X.509标准的规定，iKey可以贮存四个数字证书，每一个证书都是有密码保护的。CFCA（中国金融认证中心）的Non-SET系统采用了Entrust公司的系统，包括用户客户端软件和后台服务器软件。由于iKey2000是一个Entrust-ready产品，所以iKey2000可直接用于Entrust系统用来安全保存用户证书和用户私钥。4.用于浏览器的安全：PKCS #11与MS CAPI通常使用浏览器来完成服务器应用程序和用户之间的交流，浏览器必须通过内置密码库实现服务器应用程序要求的认证功能，在使用Netscape Navigator时，它和公钥密码系统（PKCS #11）库相互作用。 Netscape Navigator内置的PKCS #11库可以被彩虹天地信息技术有限公司提供的库和驱动程序替代，完成iKey中的一些加密功能。此库有两个重要的功能：它重新引导浏览器寻找iKey上的数字证书而非硬盘驱动器上的数字证书；它使用户可以选择他们愿意使用的数字证书来进行特定的活动。PKCS #11使用iKey所装有的档案（数字证书）作为加密文件、赋予特权和对最终用户认证的依据。Microsoft有它自己针对Internet Explorer的密码库，被称为微软密码应用程序编程界面（CAPI），与PKCS #11有类似的功能。彩虹科技公司的iKey现在已经实现对CAPI的支持。为了透明地解决Web的安全问题，最合适的入手点是浏览器，现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议。SSL 协议在电子商务中被广泛采用，利用服务器端和客户端的数字证书可以实现双方交换信息的加密传输。因为 iKey 与浏览器能够紧密的结合，将客户端数字证书存放于iKey可以大大提高数字证书和用户私钥的安全，从而提高整个系统的安全性。5.在VPN和RADIUS上的应用iKey含有仅限于它和它授予访问权的网络所知道的一个或多个秘密值。使用这个秘密值，iKey就可以计算出针对网络发出的挑战-密码响应，这与传统的密码方式相比有重要的优势。在网络提出的挑战数据和iKey本身秘密值的基础上，iKey计算出一个数字，叫作单向散列算法功能（Hashs算法），然后向网络返回这个数字以确认认证是否有效，这种认证形式称为挑战-响应方式。这种认证方式比密码安全，因为这类密码（在这种情况下是秘密值）永远不会通过网络传输，所以也不会被截获。这个方案是安全的，因为iKey可以向服务器证明它知道秘密值，并且从不会透露。这个密码技术包含在为VPN访问而设的网络钥匙交换（IKE）标准协议内，同时也提供了不可拒性，这是因为没有iKey就无法实现访问。除了上述的安全标准以外，iKey和远程访问协议可以兼容。现在远程访问协议，特别是远程认证拨入用户服务(RADIUS)，是极其普遍的。一个拥有众多用户拨入的企业会建立起RADIUS服务器。当用户要登录时，每一台可接受拨入的服务器都可与RADIUS服务器联络以寻求认证服务。认证在密码的基础上完成。根据企业安全的需要，密码可以通过电缆传输到RADIUS服务器上（此时服务器依靠密码认证协议或PAP）或者服务器使用前面章节描述过的挑战-响应方案（此时RAIUS服务器依靠挑战握手认证协议或CHAP）。iKey可以支持RADIUS下的密码认证（PAP或CHAP）。Check Point软件有限公司是全球网络安全领域的领导厂商，iKey VPN解决方案已经被集成进Check Point VPN-1远程安全软件。大大加强了网络的安全认证。ikey1032的安全解决方案1.公章管理系统公章管理系统是在微软的Office 2000和Office XP的基础之上通过把数字证书和私钥存于ikey1032，来实现了传统办公过程中加盖公章的功能，用户把iKey插入USB接口，可以给Word或Excel文档加盖公章，一旦加盖公章后，该文档即被保护起来，没有任何办法可以修改此文档。公章以传统的红章的形式在文档中表现。一旦加密保存后文档和公章即成为一个整体，正文的内容和公章以及公章的位置都不能被修改。同时正文的内容会通过摘要算法摘要并加密后存在公章中，即使用户通过非常规的方法，如二进制地修改文档（但目前还没有发现这类方法）对公文进行修改，当文档再次被打开时公章会自动变黑。针对有些打印机可以进行分色打印以至给不法分子伪造公文带来便利的问题，盖过章的文档可以指定打印机类型。如果打印机类型不符合要求，则打印出来的公章为黑色视同复印件。改公章的显示和打印分别采用了不同的技术，所以即使通过屏幕拷贝等方法把文档中公章剪裁下来，并用它来伪造文档，打印出来后与真正的公文有明显的区别。另外该技术还可以和数字签名技术集成，使得安全性得到更有效的保证。和单纯的数字签名相比，它屏蔽了很多深奥的计算机概念如：PKI理论、证书、私钥、公钥等等。这些概念对于非专业人员来说往往很难理解。用户只要盖章即进行数字签名。打开文档时章为红色即数字签名验证通过，为黑色即数字签名验证未通过。2.九运会“电子身份认证” 在九运会举行期间，广东省电子商务认证中心向九运会组委会提供了一批数字证书，存放在ikey1032介质上，用于网上人员注册系统。与会者每人获得一张“电子身份证”，保证在身份识别过程中的便捷、有效及安全。作为在体育赛事中运用这一高科技认证手段进行运作管理在国内外尚属首次，“电子身份证”成为九运会的一大亮点。在以往举行的全运会上，运动员、教练员、记者、政府官员等要参加运动会，登记资料或要获取相关的信息的时候，都是通过书面的形式向组委会提交信息或获取资料，一时之间大量的文字资料或重要文件通过传真或邮寄的方式纷纷在组委会和参与者之间重复繁琐地传递着，这样，浪费大量的人力物力去处理这些文件就成为了历年来全运会的一大难题。采用ikey1032作为私钥和数字证书存储的九运会人员网上注册系统是一个专门对参加九运会的运动员、教练员、裁判员、记者等人员的身份信息进行综合管理和利用的互联网系统。参加九运会的运动员、教练员、记者、政府官员只要随身带上组委会派发的一个iKey，就可以安全快捷地取得九运会最新资料。具体的操作情况是：运动员、教练员、记者、政府官员只要随身带上组委会派发的一个 USB电子令牌-iKey（令牌里面存储着由广东省电子商务认证中心提供的数字证书私有密钥），无论何时何地都可以通过互联网和“九运会”取得联系，最安全最快捷地获取九运会最新的资料，这种方式就像用钥匙开保险柜，然后输入密码取得物品，不同的是整个过程都是在互联网上完成的，只需要几秒钟，你就可以安全地将远隔万里的资料送到手上。3.解决方案的全球合作伙伴Ashley Laurant , Baltimore,Celo,Digital Signature Trust ,Entrust , GlobalSign Kyberpass , Netscape , Verisign , RSA Keon CA , Wisekey , Xcert , Secure Computing 身份认证产品 iKey系列.数字印章解决方案盖章与签名 在我们的生活和工作过程中，不可避免地会遇到很多公文或文件。在这些文件上往往盖有不同部门的公章或签有负责人的姓名。在有些情况下，如果我们同意某个文件的内容，也应该在上面签名或盖章以示确认。 签名和盖章对于这些公文来讲是非常重要的，它代表了审阅者认可公文的内容。对于其它人来说，也可以通过查看文件上是否有盖有某个印章而简单地判断出该文件是否被认可。可以说，签名或盖章是一种非常直观和有效的、用于声明审阅者意见的方式。因此被广泛应用在各公司、企业、部门内部的日常工作和工程、项目上。 一份文件上盖有十几个印章是很常见的。而复杂的项目或事务有时包含几百甚至几千份文件。 传统盖章与签名的局限 上述传统的印章过程具有很大的局限性，主要体现在与现代化办公之间的矛盾。在一个自动化或信息化的环境下，所有的公文都是无纸化的，以数字文档的形式存在。因此传统的盖章和签名的确认方式在这样的环境下将无法继续。 反之，当现在的项目越来越复杂，涉及的部门和流程越来越多的时候，传统以纸介质存在的文件传递方式也越来越不能适应。当网络技术如此发达的时候，很多工作却必须靠信件来传递，这对于一个跨地域、多部门的工作来说将会严重影响其效率和成本。此外，出于环保和成本的考虑，无纸化办公也会是今后的发展方向。 但是由于办公过程中对盖章和签名的依赖，我们在无纸化的过程中将会遇到新的问题：这样的办公环境下，如何直观、有效地声明和确认审阅者的意见？数字印章解决方案正是在这种情况下，国内数字版权保护和信息安全技术的领导者彩虹天地推出了以 iKey 硬件为载体的数字印章解决方案。所谓数字印章，就是以数字形式存在的印章。数字印章可以对数字文档盖章，在数字公文上产生数字印迹。带有数字印迹的文档就象盖了章的公文一样，在其他人观看时表现出印章（或签名）图案，以表示这份文档通过了盖章人的审阅。其他拥有数字印章的人还可以继续在这份文档上盖章，文档将显示出所有盖过的印章图案。数字印章由存储在 iKey 硬件内的 PKI 数字证书、证书私钥、印章拥有者信息以及印章图案描述等内容组成。 iKey 是一种 USB 接口的高安全性身份认证令牌，体积小巧，易于携带。当文档审阅者同意文件的内容并希望盖章时，可以将自己的数字印章 iKey 插入计算机的 USB 口，并在文档处理程序的菜单中选择“盖章”命令。一个清晰的印章图案就会出现在指定位置。印章图案看似简单，其实是文档处理程序对文档内的数字印迹解析后绘出的图案。盖章后留下的数字印迹中包含了盖章时文档内容的数字签名、盖章人证书、盖章时间和印章图案描述。由于数字签名基于数字证书和 PKI 技术，不可仿制和篡改，因此具有极高的安全性。在这一点上数字印章相对传统的印章表现出突出的优势：它不仅可以证明盖章或签名者的身份，还可以检验文档在盖章后是否被其它人修改过，从而确保公文的准确传递。因为任何对文档内容或数字印迹的修改都会导致数字签名与文档内容不符，文档处理程序可以轻易地发现这些改动，并向阅读者发出警告并显示出不正确的印章图案。数字印章是基于 CA 证书体系的。这样，任何一个文档阅读者都可以通过检查盖章者证书和与证书、文档内容相关的数字签名来识别真伪。也就是说，如果这份文档上仅仅包含了一个外观与印章图案相同的图片，由于它没有盖章者证书更无法伪造数字签名，文档处理程序将显示出这份文档未包含数字印章的信息。 由以上说明可以看出，彩虹天地的数字印章在保留了传统印章和签名特点的同时，为使用者提供了高安全性、易于开发和部署、满足协同办公需要的解决方案。 在数字印章方案上二次开发数字印章可以应用在多种格式的文档上，这些格式包括： OFFICE 文档、 CAD 文档、网页以及其它专有格式的文档。 彩虹天地的数字印章方案提供了两种应用方式。一种是针对可以内嵌扩展对象的文档格式，如 MS Word 、 MS Excel 、 AutoCAD 文档、网页文件等。希望对这类文档盖章或浏览经过盖章的文档时只需在使用者的计算机上安装专门的数字印章支持插件即可。希望应用插件类型的数字印章时，不需要进行二次开发工作，只要对方案进行布置（参看下一节）。 另一种应用方式是针对不支持内嵌对象的文档格式。它主要指一些专用文档格式及简单的文档格式，如 TXT 等。要使这些文档支持数字印章，必须对原有的文档处理程序进行改造或开发新的处理程序，即进行二次开发。 彩虹天地的数字印章方案为文档处理程序的二次开发提供了全部支持。这些支持包括数字印章函数库、开发示例、印章图案编辑器、 iKey 开发包、数字证书导入导出工具等。其中 iKey 开发包为开发商提供了基于 iKey 的文件操作、证书操作、安全认证等 API 接口调用支持；数字印章函数库则在 iKey API 的基础上提供了以下主要功能： 文档内容签名：支持对任意长度的文档内容进行签名，并返回签名结果 文档内容校验：根据文档内容和签名数据，判断签名是否合法以及文档是否被非法修改 获取盖章者信息和数字证书：这些信息会被添加到盖章后的文档里 获取印章图案数据：文档处理程序（或插件）可以根据这些数据绘制出正确（当文档内容校验通过后）或变型（当文档内容校验失败后）的印章图案通过对这些 API 的调用，文档处理程序（或插件）应该能够完成以下的工作，并提供相应的菜单或命令支持： 在文档的指定位置盖章。即使用 iKey 中的证书私钥对文档当前内容签名，获得签名数据；从 iKey 的存储文件中读出证书、印章图案描述、盖章者信息等与当前时间一起组成数字印迹结构；在文档数据结构的合适位置记录数字印迹；根据印章图案描述显示印章 印章信息显示。当阅读者打开文档时，文档处理程序应在显著位置显示当前文档是否包含数字印章、包含几个数字印章以及根据数字印迹显示正确或变型的印章图案；文档处理程序的菜单中应包含查看每一个数字印迹详细信息、数字印迹证书详细信息、数字印迹统计信息的菜单项 印章图案显示。由印章图案描述还原显示出印章图案。 因此在二次开发时，开发商需要重新设计相应文档的格式，以在其中添加任意数量的数字印迹数据。开发商还要修改文档处理程序，添加盖章、显示、统计信息、校验等数字印章功能，并添加对应的菜单及命令项。 数字印章的使用和部署数字印章的部署包括几个部分：支持盖章文档的处理程序（或程序插件）的分发和安装、 CA 的建立、 iKey 的初始化以及数字印章（经初始化后的 iKey ）的分发。需要加盖印章和查看文档的用户必须安装新的文档处理程序或程序插件。这个过程相对简单，这里不再过过多说明。由于数字印章是建立在 CA 体系下的，所以要使用和部署数字印章，应该有一个 CA 。我们建议使用数字印章的单位或部门有自己的 CA ，这样可以更方便地管理、添加、验证数字印章。使用这个 CA ，应该为下属的每一个拥有数字印章的用户产生一份证书及对应的私钥。使用 CA 产生的证书和私钥，以及该印章拥有者印章图案数据，可以利用工具对每个 iKey 初始化，以产生数字印章。一量证书和印章图案确定，这个过程是非常简单的。 IKey 是具有高安全特性的硬件，它为使用者提供 PIN 码的安全保障措施。也就是说，如果想使用这把 iKey ，不仅要得到 iKey 硬件本身，还应该在使用前输入 PIN 码，以证明使用者的合法性。 最后，把所有初始化后的 iKey 分发给对应的数字印章使用者。使用者应该更改 iKey 的默认 PIN 码以保证安全性。这时，使用者就可以使用 iKey 对文档进行盖章了。盖过章后的文档也就可以分发给其它人查看及验证。方案的优势与前景 数字印章方案可以广泛地用于企业或单位内部以及大型的工程、项目上。无论是政府部门还是企业机关，数字印章的使用将会节约大量的纸张，并简化工作过程。过去需要手工传递的文件现在可以通过网络或 e-Mail 快速准确地传递。对于某些领域（如建设工程、企业招投标等），项目的多个部门在地域上是分离的，这些领域的数字印章应用将具有更大的优势。由于数字印章的高安全性，工程各方将无需再担心文档和表格内容被修改。也可以节省大量因传递文档而耽误的时间和成本。因此我们有理由相信，由于数字印章高安全性、直观方便、成本低廉的特点，它必将在政府信息化、办公自动化和工程、项目领域发挥越来越多的作用.iKey 2000 概述彩虹公司的iKey2000是基于USB的双因素认证令牌