北京网络科技信息技术公司.doc

1、北京网络科技信息技术公司Web 应用软件安全身份认证方案版本号V1.0作者刘乐发布时间2010-9-14修订历史：NA深圳易用信息技术有限公司一公司介绍：深圳市易用信息技术有限公司是一家由平均10 年以上软件相关工作经验的专业人士创立、专注从事Web应用安全类产品研发和销售，协助web 应用厂商更好、更快的发展。至今为止，易用凭借产品的卓越品质在业界树立了良好的声誉,成功上线国内外多家企事业单位，其中包括国家汉办、黑龙江卫生厅、哈尔滨某大型软件股份有限公司等。我们期望有机会向您展示易用产品物有所值、合作共赢。二方案介绍随着企业规模的发展，信息化程度的提高，单位总部与驻外机构的联系越来越多，总部

2、的应用系统也迫切需要扩展到本地或远程分支机构中去，为提供便捷而又安全可靠的 web 应用软件远程访问，在充分客户需求调研、采用业界成熟的身份认证锁 (USBkey) 、 Activex 、数字签名等技术、基于本公司既有稳定的 Web 通 Web 应用软件安全登录身份认证系统，特提出本方案2.1 原则A.平衡易用性和安全性，不能偏颇一方面导致另一方面受到负面影响B.满足功能 /性能需求的前提下，降低直接采购成本和间接的后期维护服务成本C.可操作性好、可扩展性好D.客观 /详细描述2.2 功能：2.2.1.通过软 /硬件结合的方式来提供bs软件开发商或其他应用系统集成商安全、可靠、快速的web 应

3、用软件系统的安全登录验证，这里的软件是：通过微软授权最新数字签名的Web 通-验证登录ActiveX 控件；硬件是：自带高速运算/稳定存储芯片的身份认证锁。2.2.2 通过读取身份认证锁唯一识别码的各类接口程序供系统管理术语解释：a.身份认证锁，又称usbkey，是唯一识别一个用户身份的硬件装置，广泛用于银行/大型企业web 应用的验证系统中；为使用方便，一般均为usb 接口b.数字签名：数字签名（又称公钥数字签名、电子签章）是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法,保证信息的完整性、可靠性2.3 流程：2.3.1 初始发布：A.使用任一深圳

4、易用公司提供的多种接口程序，参考对应例程，读取身份认证锁内唯一识别码，授权给 web 应用软件系统中 1 个用户、在系统中录入该匹配信息到对应管理模块B.将易用提供的cab 控件文件嵌入所需身份认证的任意web 应用软件系统（测试环境）页面中C.小范围测试通过后，重复A 步骤：管理、发布所有的身份认证锁给最终的web 应用软件系统用户；并正式启用新嵌入并生效web 认证的应用软件系统（生产环境）2.3.2 升级发布：该发布非常方便A.如是 Web 应用软件系统升级，将原有控件文件嵌入新系统即可B.如是控件文件升级，只需替换对应控件文件即可2.3.3 使用流程：2.4.结构2.5 特点：2.5.

5、1 性价比高 - 以较低的价格为企业提供最实用、最有效率的方案2.5.2 总拥有成本 (TCO) 低 -客户只需管理系统用户，一般不需要维护身份认证系统本身2.5.3 安全性高 - 硬件固化唯一标志符作为身份识别信息，不可复制，杜绝黑客，病毒攻击和其它威胁；到软件采用微软授权的最新数字签名做控件签名，杜绝假冒产品、篡改2.5.4 稳定性好 - 基于成熟的微软ActiveX 技术构建，发布使用以来运行良好2.5.5 用户体验良好 - 对用户的使用习惯完全没有影响，网络结构不用改变2.5.6 使用简单 - 产品不需要安装驱动程序，系统就可自动识别,便于携带，支持热插拔；对usbkey 不进行初始化

6、，即可直接读取它的唯一识别码2.6 交钥匙 (turnkey) 内容：2.6.1 身份认证锁（量大可提供先进彩印logo）2.6.2 微软授权最新数字签名控件文件：echeck.cab,echeck.ocx（安装后显示为echeck.ocx）2.6.3 例程和源码文件2.6.3.1 htm，javascript2.6.3.2 vb6 例程源码文件和可执行文件2.6.3.2 c#例程源码文件和可执行文件2.7系统指标 /参数：操作系统兼容性（包含所有主流 Windows 操作系统 64 位版本和 32 位版本）Windows 2003 server 系列Windows XPWindows 200

7、0 server 系列windows 2008 server 系列Windows 7 系列IE6，7，8身份认证锁（ usbkey）规格规格详细接口主控唯一 ID算法位数加密模式支持非易失性存储USB 2.0 High Speed ，兼容 USB 1.1带硬件 AES 加密引擎的MCU硬件 ID ，4 字节AES 128bit ，可达到 256bitCBC ， 512bytes block128 bytesAES 加密速度材质典型值 300KB/s金属铝外壳彩印logo国内领先彩印技术、全色精确，可支持外壳序列号自升级2.8问答：2.8.1 为什么说：使用数字签名后，系统更方便、更安全、更友好

8、、更通用？答：更方便：既不必通过运行批处理来做注册安装，还可避免浏览器安装会被 ie 阻止的尴尬，代之在 ie 浏览器自动提示含有准确签名的安装；第 1 点对可能不懂技术的最终用户来说体验很不好，第 2 点让普通软件发布者很无奈更安全，杜绝别人伪装成正规软件厂商的 activex 更友好：提示信息不再是“不明厂家”、“未知产品控件，让用户更放心/控件”更通用：适用win7 ， 64 位等高端操作系统，ie6， 7，8 等浏览器2.8.2 问：对加密狗不进行初始化，能直接读取它的唯一识别码答：可以2.8.3 我们申请的空间是万网，支持OCX 空间吗？答： ocx 是安装、运行在客户端的，所以不管服务器是托管还是虚拟主机，都可以支持2.8.4.你们的加密狗能够实现 WEB 页面的认证登陆吗？不是为了保护源代码，而是只有插入该加密狗才能公司业务网页答：可以2.8.5.可以使用在哪种环境中呢？答：我们提供您在所有bs 环境中的调用接口，所以您可以使用于所有主流bs环境中：包括,java/jsp,php,