双因素身份认证平台技术白皮书
企业
版
认
平
台 白证 皮 书
目 录
第1章 国内企业面临的现状问题 . ................................................................................................. 3
第2章 解决之道与价值所在 . ......................................................................................................... 4
2.1 解决问题并适应未来发展趋势 ........................................................................................ 4
2.2 ESS的价值所在 ................................................................................................................. 4
第3章 产品特性 . ............................................................................................................................. 5
3.1 支持多主机多网络设备认证 ............................................................................................ 5
3.2 功能需求 ............................................................................................................................ 5
3.3 灵活的安全服务扩展能力 ................................................................................................ 6
3.4 高性能处理能力 ................................................................................................................ 6
3.5 适应多种运行环境 ............................................................................................................ 6
第4章 ESS 企业版认证平台介绍 . ................................................................................................. 8
4.1 系统拓扑图 ........................................................................................................................ 8
4.2 统一认证服务 .................................................................................................................... 8
4.3 统一令牌管理 .................................................................................................................. 10
4.4 统一管理功能 .................................................................................................................. 10
4.4.1 用户管理 ............................................................................................................... 10
4.4.2 认证设备导入 ....................................................................................................... 10
4.4.3 日志管理 ............................................................................................................... 11
4.4.4 报表统计 ............................................................................................................... 11
4.4.5 密钥更新 ............................................................................................................... 11
4.5 支持多种类型令牌产品 .................................................................................................. 12
4.5.1 时间令牌 ............................................................................................................... 12
4.5.2 事件令牌 ............................................................................................................... 12
4.5.3 矩阵卡 ................................................................................................................... 12
4.5.4 刮刮卡 ................................................................................................................... 12
4.5.5 挑战应答令牌 ....................................................................................................... 12
4.5.6 UKEY ..................................................................................................................... 12
4.5.7 软件证书 ............................................................................................................... 13
4.5.8 短信令牌 ............................................................................................................... 13
第5章 产品安全设计 . ................................................................................................................... 14
5.1 系统安全设计 .................................................................................................................. 14
5.1.1 种子文件导入管理................................................................................................ 14
5.1.2 种子文件安全存储及使用 . ................................................................................... 14
5.1.3 关键数据 ............................................................................................................... 14
5.1.4 应用访问控制 ....................................................................................................... 14
5.1.5 日志保护机制 ....................................................................................................... 15
5.2 应用安全设计 .................................................................................................................. 15
5.2.1 防暴力破解 ........................................................................................................... 15
5.2.2 PIN码保护功能 ..................................................................................................... 15
5.2.3 支持令牌工作密钥更新 . ....................................................................................... 15
5.2.4 防恶意锁定令牌.................................................................................................... 15
5.2.5 支持短信交易内容确认 . ....................................................................................... 16
5.2.6 支持双向认证 ....................................................................................................... 16
第6章 具体应用 . ........................................................................................................................... 16
6.1 VPN和网络设备认证 ...................................................................................................... 16
6.2 Linux/Unix主机登录 ....................................................................................................... 16
6.3 Windows主机登录 ........................................................................................................... 16
6.4 WEB应用 ......................................................................................................................... 17
第7章 与同类产品比较 . ............................................................................................................... 17
第1章 国内企业面临的现状问题
我国企业内部电子业务从无到有,从小到大,近年来进入发展快车道。以服务器,VPN 网络设备,主机,OA 为代表的新型服务方式,为广大用户带来了方便和新的服务体验。电子务由于其独特的虚拟性和广域性,在为客户提供高效便捷服务的同时,也要面对来自外部、内部的各种风险。 由此产生了一系列安全认证设备产品,例如:动态令牌、短信令牌、刮刮卡、手机软令牌、挑战应答令牌、一代KEY 、二代KEY 、文件证书等。这些认证设备虽给客户交易带来了安全保障,同时又给带来新的问题:
各个主机难以集中统一签约管理。
多认证设备厂商各自提供认证服务,系统无法集中管理控制。
认证设备多种多样,不能集中管理、难以实现统一对外服务。
密码多到记不住,如何既安全又省心地管理各种主机,网络设备。
第2章 解决之道与价值所在
2.1 解决问题并适应未来发展趋势
ESS 企业版统一安全认证平台是宏基恒信成熟的软件产品之一,是宏基恒信专注于金融领域信息化安全服务,基于多年对金融行业安全领域的深入理解和分析精心研发的统一认证平台。客户搭建ESS 认证平台后可以实现:
统一认证驱动引擎
支持多个认证厂商、多种认证设备的集成,对外提供统一的认证服务。
统一签约管理
提供多种认证设备的集中签约管理。
认证服务实时监控
提供认证平台的系统运行监控、认证设备监控功能。
一键入安装
门槛低,占用资源少,一键式安装部署,支持主流操作系统。
2.2 ESS 的价值所在
利用 ESS 企业版统一认证平台, 企业可根据需要快速构建统一的认证服务平台,为企业内的主机网络设备及应用系统提供身份认证、交易授权、交易鉴别服务。 有效简化应用开发、部署、配置、运行管理的复杂度,降低电子渠道安全风险。
多主机多网络设备支持的安全服务平台。
多种认证设备的快速支持,企业可根据实际需要灵活选择认证设备,保证供应和降
低采购成本。
在不升级认证设备的情况下,方便保护主机,网络设备的能力 。
可扩展的高性能服务,降低硬件采购成本,并可随业务增加逐步扩充 。
业务扩展性支持,增加新业务不影响正常生产 。
全面的定制支持,包括接口规范、安全服务功能和流程、认证设备的分发和管理、
日志分析报表,根据企业具体需要量身定制。
第3章 产品特性
ESS 企业版统一认证平台为满足各种应用环境和业务需求的复杂性要求,提供了多种特色功能。主要表现为业务的多渠道多协议接入、统一签约管理、灵活的服务扩展性、高性能处理能力、环境适应性。
3.1 支持多主机多网络设备认证
ESS 平台提供多种标准接口与其他应用系统进行安全服务集成,可支持主机、VPN 、ACS ,数据库等设备认证。
WEB Service:用于支持WEB 访问模式,可跨防火墙进行访问。
标准SOCKET 报文:适用于各类应用系统直接访问。
C/C++ API:用于集成C 应用系统。
JA V A API:用于集成JA V A 应用系统。
XML 报文接口:用于支持通用接口标准。
基于radius 协议支持VPN 、cisco 、NAS 、防火墙等多种网络设备的认证
3.2 功能需求
为ACS 提供动态口令加静态口令的登录认证,并支持ACS 对认证用户进行权限控制。 为账号管理平台CyberArk 提供动态口令登录认证,并支持动态口令加AD 域控静态
口令(有令牌用户)和用户静态口令加AD 域控静态口令(无令牌用户)两种认证方式。
为Web 服务器提供动态口令的用户登录认证。
支持Radius 、LDAP 等标准认证协议,并提供API 接口给外部应用程序调用进行认
证。
能在认证服务器端创建用户及设置用户静态密码,并支持对用户进行分组或分应用
管理
支持动态令牌的导入、开户、销户、查询、删除、挂失、解挂、更换等管理操作,
大量的令牌操作支持批量进行,令牌及用户情况可以导出报表。
支持对动态令牌的校时,即同步功能。
支持用户静态密码的自助修改。
支持紧急情况下(令牌丢失或未随身携带)的临时密码申请。
支持单个动态令牌同时导入到两套以上的认证系统中,实现一个令牌可以同时在生
产及灾备环境进行身份验证。
提供数据库手动和自动备份功能。
3.3 灵活的安全服务扩展能力
为适应企业日益增长的业务需求和层出不穷的交易安全隐患,ESS 认证平台具备安全服务的扩展能力,系统从三个方面提供服务的扩展性:
安全策略扩展
提供认证设备使用策略、客户认证方式等自定义安全策略。
安全服务扩展
提供可配置的安全服务扩展支持,可根据企业内部的需要实现密码控件服务、验签服务、短信交易鉴别服务等安全服务。
认证设备扩展
提供标准的认证驱动接口,可集成多厂商的多种认证设备。新的认证设备只需通过编写特定的设备驱动即可集成到系统内。
3.4 高性能处理能力
ESS 在设计实现过程中充分考虑了影响系统性能的各种因素,围绕着交易响应时间、网络吞吐量、数据量、以及其它指标,主要针对数据库应用服务、ESS 平台应用程序和操作系统平台进行优化,使认证系统可以支持千万级别用户容量,通过测试表明,峰值处理能力可以达到3000笔/s(千万用户级别),响应时间不超过100ms 。
3.5 适应多种运行环境
操作系统支持
企业版认证系统可以在LINUX 、Windows 操作系统运行。
多种类型数据库支持
认证系统支持运行的数据库为MySQL 、Postgresql 等,也可以外接主流数据库
系统中间件支持
WebLogic 、WebSphere 。
第4章 ESS企业版认证平台介绍
4.1 系统拓扑图
ESS 企业版平台拓扑图如下:
能实现异地数据同步与本地数据备份
支持主/备或单点式部署
提供一键式安装包
4.2 统一认证服务
ESS 提供统一认证服务引擎,可基于该引擎与多种认证设备进行无缝集成。
通过标准的服务组件调用特定的安全服务,不需关心具体的安全功能实现和部署方法。安全服务组件调用设备服务层提供的统一设备生命周期管理、认证和交易验签服务、加解密服务,不需了解技术实现的细节,提供技术实现的一致性;设备抽象层将不同类型终端设备实现抽象为通用的功能调用,提供给设备服务层调用;厂商驱动层将厂商提供的驱动封装为标准的设备功能调用,支持驱动的热装载和卸载。
4.3 统一令牌管理
ESS 企业版平台提供多种认证介质的签约管理,支持介质绑定/解除、介质挂失/解挂、替换/同步/解锁、介质启用/禁用/作废/恢复等功能。
4.4 统一管理功能
4.4.1 用户管理
用户和组管理模块提供对验证用户和组的各种设置,可以通过设置用户和资源、用户和设备、用户和组、组和资源的绑定关系来满足客户使用的各种场景。
4.4.2 认证设备导入
认证设备导入由安全管理员来执行。需要种子文件保管人员以及密钥文件保管人员协
同执行导入。认证设备导入到认证系统数据库中,才能对认证设备进行管理,支持多种文件格式导入。
4.4.3 日志管理
日志管理模块提供对操作日志和认证日志的查询功能,防止日志信息被认为篡改,被篡改的日志信息会以高亮方式标志出来。
4.4.4 报表统计
报表模块提供对系统验证日志的各种统计报表,以及ESS 管理系统关键数据的统计功能。提供认证请求增长趋势报表、异常交易监控报表、内部应用认证分布报表、令牌设备状态情况报表、用户状态统计报表、令牌数量增长趋势报表等。报表数据可以导出Excel 文件,并支持以不同图形显示统计结果。
4.4.5 密钥更新
密钥更新功能是ESS 平台特有的功能,支持动态更新密钥,令牌使用一种创新的方式,使投产后的动态令牌实际使用的工作密钥不可由初始种子密钥推算出,以及在投产后可根据需要更新动态令牌的工作密钥。
4.5 支持多种类型令牌产品
4.5.1 时间令牌
根据系统预置算法,令牌每隔固定时间触发算法产生一次动态生成随机的、单次使用的口令。用户只需要在登录或交易过程中输入看到的密码即可。无需记忆,动态口令过时、使用即失效,不用担心被窃或者用于其它用途。
4.5.2 事件令牌
根据系统预置算法,按键按钮触发令牌一次一密。用户只需要在登录或交易过程中输入令牌显示的密码即可。
4.5.3 矩阵卡
每张矩阵卡有独一无二的数字矩阵,初始状态下,每一个数格都有涂层覆盖,每次登录的动态密码是从格中随机选取依次组合而成,用户依次刮开涂层获得密码即可使用。
4.5.4 刮刮卡
采用密码卡生成工具产生一组预计算的(动态一次性) 密码,让用户在网上交易登录过程中按顺序输入动态口令点卡上的一次性口令密码及用户账号,通过认证服务器端相应生成的密码计算值相比较,达到一次一密的强身份安全认证。
4.5.5 挑战应答令牌
每次认证时认证服务器端都给令牌发送一个不同的“挑战”字串,在令牌上输入收到这个“挑战”字串后,做出相应的“应答”口令。该口令无法被用于其他的欺诈交易,通过互动机制进行双向认证,从而大大增强了防范中间人或者钓鱼等攻击手段的安全能力。
4.5.6 UKEY
密钥对是在U key内生成的,私钥永远不能导出,确保证书持有人的信息安全。只有U key 插入计算机,且验证用户密码正确后才能使用key 里的私钥对交易进行签名。
4.5.7 软件证书
用户通过安装银行提供的数字证书,在安装时输入银行密封的安装密码。在进行交易时系统自动调用证书以便用户输入交易密码。通过证书的安装可以防止非法用户在其它位置进行登录交易操作。
4.5.8 短信令牌
由ESS 平台产生一次一密的动态密码,在用户需要进行认证时,系统通过手机短信向用户发送有效的一次性密码,从而为用户提供一种简单、方便的安全口令认证方式。
第5章 产品安全设计
5.1 系统安全设计
5.1.1 种子文件导入管理
令牌种子文件、种子密钥、用户私钥实行分开管理的运行机制,取得种子文件、种子密钥后递交带有用户私钥的UKEY 才可进行种子加密文件的解密,并导入后台数据库。当只有用户私钥、密钥文件、种子文件同时存在时才能成功解密种子文件并进行种子的导入。
5.1.2 种子文件安全存储及使用
令牌种子数据在认证系统的数据库内以加密方式存储。使用时,认证服务引擎读入令牌数据并进行解密,执行相应的令牌数据操作,对令牌数据进行更新,加密更新后的令牌数据,提供给外部调用存入数据库。
认证服务引擎对调用入口实施强制检查,防御对认证服务引擎的攻击,保证令牌明文数据无法由外部程序获得。
5.1.3 关键数据
系统对所有关键信息(如密码、认证设备私有数据),都以加密方式进行存储,防止内部人员读取关键信息明文。
5.1.4 应用访问控制
系统只开放提供用户访问的接口,而且通过接口只能完成系统提供的功能,有效防范黑客请求。对于电子渠道应用,提供了后端交易验证/查询服务,防止应用系统被攻击后执行被修改后的虚假交易。
5.1.5 日志保护机制
统一管理整个系统内的交易日志、业务操作日志、系统配置和管理日志。这些分布采集的日志被集中到一个单独的数据库系统,供系统和应用管理员监控、分析和归档。
所有交易及操作均被记录;
所有交易及操作日志不能被修改和删除,系统可检查每条日志的完整性; 日志内涉及用户敏感数据的内容被加密保存,除非经过授权,不能直接被查看。对敏感信息的查看授权和操作均被记录。
5.2 应用安全设计
5.2.1 防暴力破解
针对动态令牌在使用过程中可能遇到的攻击,认证系统(引擎)提供了防重放、防猜测、防拒绝服务攻击的能力。
一次一密(防重放攻击),动态口令只能使用一次,再次使用无效。 防猜测攻击,动态密码产生不可预知,无规律可循。 密码使用有时间限制,一分钟内很难被穷举破解。
5.2.2 PIN 码保护功能
使用PIN 码验证用户身份,只有身份认证验证通过以后对动态密码进行验证。
5.2.3 支持令牌工作密钥更新
令牌可以使用一种创新的方式,使投产后的动态令牌实际使用的工作密钥不可由初始种子密钥推算出,以及在投产后可根据需要更新动态令牌的工作密钥。
5.2.4 防恶意锁定令牌
对认证设备的恶意操作,如:故意锁定动态令牌和USBKEY ;针对上述攻击,提供有限时间范围内自动解锁或自助解锁功能;
5.2.5 支持短信交易内容确认
遇高风险交易情况,使用短信向用户发出告警。将交易内容发送给客户进行确认,结合短信令牌对交易进行正确认证。
5.2.6 支持双向认证
ESS 平台提供双向认证服务。用户可以首先验证应用系统的真实性,接收到验证通过的信息后,再提供自身的身份信息在应用服务器上进行验证。
第6章 具体应用
6.1 VPN 和网络设备认证
ESS 认证平台基于radius 协议支持VPN 、cisco 、NAS 、防火墙等多种网络设备的认证功能,确保数据传输的安全可靠、接入用户的严格认证。通过双因素认证提高网络认证安全,可根据权限的设定和网络拓扑的需要分别设定接入节点和权限控制,增强内部基础网络的稳定性和可靠性。多种方式的用户身份认证,包括静态口令、动态口令等。
6.2 Linux/Unix主机登录
实现对UNIX/Linux操作系统的动态口令身份认证,利用动态口令令牌产生的一次性口令,来实现对用户登录的强身份认证,以保证用户身份的唯一性和真实性。
6.3 Windows 主机登录
Windows 动态密码登录的保护原理是通过在Windows 系统上安装登录代理Agent 客户端。用户在登录Windows 时,必须同时提供Windows 系统的用户名、密码或动态口令牌生成的动态口令登录,从而保证系统的安全性。
6.4 WEB 应用
WEB 应用WEB 系统之上,具有易用性好、易于维护、信息共享程度高等优点。但是同样,基于静态密码的安全认证方式难以保证系统和数据的安全性,ESS 安全认证平台提供标准API ,通过webservice 方式支持WEB 应用接入,应用系统仅需少量开发,即可实现用户应用动态口令的安全登录
第7章 与同类产品比较
综合以上内容,我们可以总结ESS 认证平台与其他安全认证系统的不同之处。