首頁 > 解決方案 > 技術解決方案 > 基于數字證書的身份鑒別
基于數字證書的身份鑒別
方案背景
身份鑒別作為網絡用戶接入的基礎層控制非常重要,如何保證接入的用戶為合法用戶,即用戶身份的真實性,單通過一個口令來確定身份將是不安全的,調查顯示,有70%以上的成功的網絡攻擊都是通過破解口令的方式完成的,這都對信息和網絡資源造成嚴重威脅,直接造成信息失密,經濟損失。
方案目標
本方案基于數字證書,解決用戶在訪問信息系統時進行身份鑒別的防假冒、防截獲、防重用等安全性問題。
方案概述

1.由具有電子認證服務許可的CA機構給用戶簽發數字證書。CA機構在簽發證書前,會嚴格核對用戶的身份證件,能滿足身份真實性要求
2. 用戶客戶端在登錄應用系統時,會對登錄表單進行數字簽名
3. 由PKI中間件對電子密鑰進行私鑰調用,完成數字簽名操作
4. 客戶端提交的登錄表單,主要包含被簽名的挑戰碼、用戶證書、簽名值,不具有私密性,可有效防止截獲和重放
5. 應用系統通過調用簽名驗簽服務器對用戶提交的登錄表單進行驗證,以保證用戶身份的真實性、有效性

6. 簽名驗簽服務器調用CA的證書注銷狀態查驗服務,以防止非法用戶登錄

網絡部署

應用價值

而基于數字證書的身份認證登錄,被公認為是最好、最安全的登錄方式之一,因為具有以下優點:


1.由NETCA給用戶簽發數字證書,能保證用戶身份真實,符合國家電子簽名法要求
2. 可防網絡竊聽。證書認證中,網上傳輸的是私鑰對一個挑戰碼的簽名,私鑰并不需要傳輸,所以竊聽者并不能通過網絡竊聽到用戶私鑰。另由于每次認證的挑戰碼都不同,竊聽者竊聽的認證數據并不能用來重放攻擊
3. 管理使用方便。用戶只需隨身攜帶一個電子密鑰(形式如U盾、IC卡等),就可在不同的電腦上隨時隨地地登錄不同的應用系統。而且用戶的私鑰始終只在電子密鑰里面,任何使用過的電腦上都沒有私鑰痕跡
4. 無法在服務器側攻擊。服務器側保存的只是用戶的公鑰或公鑰證書,并沒有用戶的私鑰。公鑰只能用來驗證簽名而不能產生用于登錄認證的簽名
6. 具有補救措施。用戶在使用電子密鑰里的私鑰做簽名時,需要本地輸入正確的PIN碼或做指紋識別,而且這個PIN碼還有重試次數限制,輸錯指定的次數后eKey將鎖死,有效地防止了別人的多次猜測。另外,用戶也可以直接向CA注銷自己的證書,及時防止自己的證書被盜用

項目案例
某行政管理綜合業務系統密碼應用改造項目
某養老保險業務信息系統密碼應用建設項目
日本一本道,日本熟妇色在线视频