指纹证书双因子认证域登录解决方案Word格式文档下载.doc
- 文档编号:5991842
- 上传时间:2023-05-05
- 格式:DOC
- 页数:31
- 大小:2.36MB
指纹证书双因子认证域登录解决方案Word格式文档下载.doc
《指纹证书双因子认证域登录解决方案Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《指纹证书双因子认证域登录解决方案Word格式文档下载.doc(31页珍藏版)》请在冰点文库上搜索。
1.10 SDK二次开发工具 6
2 方案简介 7
3 方案特点及优势 8
3.1 不可抵赖性 8
3.2 安全性 8
3.3 可靠性 9
3.3.1 安全可靠的指纹KEY硬件结构 9
3.3.2 稳健的系统体系结构 9
3.3.3 自动系统故障恢复 9
3.3.4 完善的诊断工具 10
3.4 易用性 10
3.4.1 简单的指纹身份验证操作 11
3.4.2 用户状态迁移工具 11
3.4.3 紧急管理服务 11
3.4.4 存储区域网络和网络访问服务器支持 11
3.4.5 网络负载平衡增强功能 11
3.5 可扩展性 12
4 双因子认证的域登录解决方案 13
4.1 系统结构设计 13
4.2 系统设置及应用 13
4.2.1 配置域控制器 14
4.2.2 配置IIS服务器 15
4.2.3 配置CA服务器 16
4.2.4 申请注册代理证书 20
4.2.5 安装指纹KEY驱动程序及硬件 23
4.2.6 初始化指纹KEY 24
4.2.7 申请智能卡证书 24
4.2.8 使用指纹KEY进行域登录 27
4.2.9 域安全策略设置 28
5 核心产品技术简介 29
5.1 产品特点及优势 29
5.1.1 高安全性 29
5.1.2 使用方便 29
5.1.3 易于集成 29
5.1.4 高性价比 29
5.2 产品外观 30
5.3 详细规格 30
6 系统实施及成本构成 30
1术语
1.1指纹KEY
指纹KEY是将传统的USBKEY与指纹识别技术相结合,利用指纹识别代替密码识别的方法验证USBKEY的用户身份的一种特殊的USBKEY。
指纹KEY内容存储用户指纹特征数据,内部完成指纹验证比对(脱机认证),利用指纹识别技术独立完成用户身份验证。
指纹KEY是具有极高安全性的网络身份认证工具。
指纹KEY是中天一维科技有限公司具有发明性专利的安全认证产品,它具有高安全性、高可靠性、安装使用方便、体积小巧方便携带等特点。
1.2双因子认证
本方案中的双因子认证是指“指纹身份认证”+“数字证书认证”。
数字证书被存储在有条件访问的指纹KEY设备中。
数字证书由可信任的CA中心发放,指纹KEY由可信任的安全管理机构发放。
发放指纹KEY的同时将数字证书下载到指纹KEY中,并且采集用户指纹。
在进行网络操作系统登录(如:
域登录)及应用系统登录时,首先插入指纹KEY并且进行指纹身份认证,指纹身份认证通过后进行“数字证书”的电子签名认证。
1.3企业内部网络
企业内部网络可以是企业OA系统,银行综合业务系统或是证券综合业务系统,此方案适合于WINDOWS网络系统也适合于UNIX网络系统,可以支持B/S系统结构也可以支持C/S网络系统结构。
1.4PKI
公钥基础结构(PKI)是通过使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证的数字证书、证书颁发机构(CA)和其他注册机构(RA)。
1.5CA证书颁发机构
负责建立并保证属于对象(通常是用户或计算机)或其他证书颁发机构的公钥的真实性的实体。
证书颁发机构的活动可以包括通过已签名的证书将公钥绑定到可分辨的名称上、管理证书序列号以及证书吊销。
1.6数字证书
通常用于身份验证及保证公开网络上信息安全性的数字文档。
证书将公钥安全地绑定到持有相应私钥的实体中。
证书由证书颁发机构(CA)数字签名,并且可以颁发给用户、计算机或服务。
1.7注册机构RA
为管理员配置的计算机,用于代表其他用户请求并检索已颁发的证书。
RA不需要在同一个计算机上安装证书颁发机构。
1.8PC/SC
pc/sc即个人计算机(personalcomputer)/智能卡(smartcard),它是为智能卡访问windows平台(包括windows2000)而定义的一种标准结构。
pc/sc的体系结构为智能卡(或指纹KEY)与个人计算机系统设计的交互规范,已经让智能卡进入pc机世界的问题变得容易了。
pc/sc的主要优点就是让应用程序不必为了与智能卡(或指纹KEY)通信而去了解智能卡(或指纹KEY)的细节。
而且,该应用程序还能适用于任何遵从pc/sc标准的读卡器(或指纹KEY)。
1.9CSP
加密服务提供程序(CSP),执行身份验证、编码和加密服务的代码,基于Windows的应用程序通过CryptoAPI访问这些服务。
CSP负责创建密钥、吊销密钥以及使用密钥执行各种加密操作。
每个CSP都提供了不同的CryptoAPI实现。
某些提供了更强大的加密算法,而另一些则使用硬件组件,例如指纹KEY,智能卡。
1.10SDK二次开发工具
为方便用户基于“指纹+数字证书”的双因子认证系统开发高安全的应用系统,本方案提供了丰富的二次应用开发接口。
其中包括PC/SC及指纹采集、指纹图像显示等接口,同时还可以为用户提供后台的“统一生物认证平台(UNIBAP)”系统。
2方案简介
随着政府、企业信息化建设的深化,越来越多的单位建立了自己的办公自动化系统,这些系统在提高企业效率和管理水平等方面发挥了很大的作用,由于OA系统管理着许多企事业单位重要的信息,因而对安全要求较高。
然而早期开发的OA系统中存在安全隐患,其中身份认证部分是最薄弱环节。
早期开发的办公自动化系统,大多是利用“ID+PASSWORD”,“IC卡+PASSWORD”或是“USBKEY+PASSWORD”的方式进行网络身份验证。
在这些系统中网络传输及网络数据存储在利用防火墙、IPSec、VPN、AES、3DES等技术之后都得到了良好的安全保障。
然而网络资源的授权使用及网络用户的真实身份验证仍然是最薄弱的环节。
具调查显示目前在企业机密信息被窃取、银行帐户被滥用、证券帐户的盗用等各种网络安全问题中,80%来自于内部犯罪。
造成网络安全问题内部犯罪的直接原因是:
ü
网络计算机被非法使用
网络用户被盗用
文件的真实性完整性和不可抵赖性得不到保障
现有网络系统中针对使用者的身份认证方式依旧停留在“密码”验证的水平上,从而“密码”成为网络安全系统的一个“弱因子”。
密码存在如下问题:
用户以最常用编码作为密码很容易被功破(生日、电话号码等)
用户在使用复杂密码时十分不方便(容易忘记、将密码记录在易泄密的介质上)
计算机的键盘输入很容易被跟踪(木马程序)
密码如果泄露可以被任何非法用户所使用计算机只认“密码”不认“人”
密码认证不具有“不可抵赖性”任何人都可以使用一个密码
针对这种情况,我公司开发了新一代“指纹+数字证书”的双因子认证系统,该系统能够有效地解决企业网络系统的用户身份安全认证及网络的安全传输。
“指纹+数字证书”的双因子认证系统是将指纹认证与数字证书认证有机结合,利用指纹对用户进行身份认证,同时基于PKI技术,将数字签名、身份认证和证书管理等信息安全技术植入现有的企业网络安全系统内,以此保证企业网络系统对于用户身份的可靠认证和信息的可靠传输。
从而达到网络数据的“机密性”、“真实性”、“完整性”和“不可抵赖”。
PKI体系在解决信息的安全传输方面已经被证明是非常有效的,但是在身份认证方面,如果数字证书保管不善,则仍然存在身份假冒的可能性。
众所周知,指纹具有唯一性、不变性、便携性的优点,利用指纹则可以唯一的鉴别一个人的身份。
本方案是将指纹身份验证技术与PKI体系有机的结合起来,最大限度的保证的企业网络系统的安全。
利用“指纹+数字证书”的双因子认证解决方案可以建设高安全性的域登录系统以及VPN系统。
3方案特点及优势
3.1不可抵赖性
信息的不可抵赖性是指发送信息的一方不能对自己的发送的信息进行抵赖,不能否认自己发送信息的行为。
由于信息的传输是通过开放的互联网,经常会由于对发送的信息进行抵赖而引起不必要的纠纷和问题,给交易的双方带来巨大的影响和损失。
网上交易行为一旦被进行交易的一方所否认,另一方没有已签名的记录来作为仲裁的依据。
因此,需要提供一种有效的机制,来保证业务系统中传递信息的不可抵赖性。
指纹识别技术是公认的可确认唯一性的身份识别手段,“指纹+数字证书”的双因子认证系统是综合了密码技术、数字摘要技术、数字签名等多项安全技术以及一套成熟的安全管理机制来提供有效的信息安全服务,通过建设CA认证中心为用户签发数字证书,用户在业务系统中使用证书,完成用户的身份认证、访问控制以及信息传输的机密性、完整性和不可抵赖性。
PKI技术已经被广泛应用于电子政务和电子商务,被证明是保证基于互联网的电子政务和电子商务安全的最佳解决方案。
将指纹识别技术与PKI技术相结合利用指纹识别技术验证用户身份,通过指纹身份验证后方可访问数字证书,进行数字签名等应用。
因此将指纹识别技术与PKI技术相结合,建立“指纹+数字证书”的双因子认证系统是实现“不可抵赖性”的最可靠保障。
3.2安全性
“指纹+数字证书”的双因子认证解决方案利用了目前具有极高安全性的指纹识别技术、PKI技术和Windows2003网络系统平台。
指纹识别技术是一种成熟的模式识别技术,指纹识别技术可以作到在1,000,000人的基数内作到不“认假”,即一百万人中没有相同的两枚指纹。
也就是说如果确认了指纹身份验证的合法性的正确性便可以断定是该指纹所有者的身份。
在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第一步就是保证指纹识别过程的“独立性”、“公正性”。
为保证指纹识别过程的“独立性”和“公正性”本方案采用嵌入式指纹识别算法,将指纹图像采集、图像处理、特征提取及指纹验证过程全部放在一个高安全芯片内完成。
指纹识别的全过程不会被任何应用程序所干扰,可以做到最大程度的“独立性”和“公正性”。
在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第二步是单独高安全芯片的指纹KEY。
指纹识别算法与RSA算法、DES算法、TDES算法以及HASH算法等共同存放在同一个高安全芯片内,指纹图像的采集和处理全面由同一颗芯片完成。
数字证书也存放在这个芯片中,电子签名及数据加解密都在同一颗芯片中完成。
因此“指纹+数字证书”的双因子认证解决方案是利用基于单独的高安全芯片指纹KEY进行指纹身份认证和数字证书存储的,指纹身份认证在指纹KEY中完成,然后再读取数字证书进行电子签名,从而最终确认用户的网络真实身份。
在“指纹+数字证书”的双因子认证解决方案中保证系统整体安全性的第三个层面是系统登录、网络链接和网络管理的安全性。
本方案选择WINDOWS网络系统作为首选网络操作系统。
利用WINDOWS网络操作系统的“域策略”、“域安全策略”、“组策略”、“CA服务器”、“VPN服务器”等多层次的安全保障机制作为整体解决方案的安全运行载体,为组织和搭建整个系统的安全打下良好基础。
综上所述,“指纹+数字证书”的双因子认证解决方案是将“指纹KEY”与Windows网络操作系统下的PKI系统技术相结合,建设一套从用户指纹身份验证开始、到域登录、到VPN网络建立、再到域用户权限管理等多层次多级别的综合性安全保障体系。
3.3可靠性
“指纹+数字证书”的双因子认证解决方案选择WindowsServer2003网络操作系统作为系统运行基础,很好的继承了WindowsServer2003系统的可靠性特点。
3.3.1安全可靠的指纹KEY硬件结构
本方案中所应用的指纹KEY具有高计算能力、高安全性、多种应用接口、低功耗等特点。
指纹KEY内完成全部指纹身份验证过程
指纹KEY内密钥管理(密钥生成、密钥存储、密钥更新等)
指纹KEY内签名及身份认证(可以支持RSA、ECC(p域)等公钥算法)
专用算法下载执行及高速率数据加解密(支持DES/3DES算法和各种专用密码算法)
通过丰富的应用程序接口可以支持多种上层应用(PC/SC、PKCS#11、MSCAPI、X.509v3)
3.3.2稳健的系统体系结构
系统越稳健,其可靠性就越大,即使一个应用程序或服务遇到了问题,也是如此。
“指纹+数字证书”的双因子认证解决方案选择WindowsServer2003网络操作系统作为系统运行基础,WindowsServer2003是稳健的系统体系结构。
WindowsServer2003可以通过对没有响应的应用程序进行了更好的处理,可以移动、最小化、关闭没有响应的应用程序的窗口,并可调整其大小。
此外,在更新的驱动程序不能正常运行的情况下,还可以还原旧的驱动程序。
系统的支持结构可以确保在早期Windows操作系统上正常运行的应用程序能够继续在WindowsServer2003家族产品上运行。
3.3.3自动系统故障恢复
WindowsServer2003系统通过自动系统故障恢复(ASR),可以定期创建ASR集,作为系统出现故障时整个系统恢复方案的一部分。
只有在使用其他方式,如“安全模式”和“最后一次正确的配置”等启动选项无效的情况下,才可以将ASR作为系统恢复的最后手段。
有关以上选项和其他恢复选项的详细信息,请参阅启动选项。
ASR恢复选项由两部分构成:
ASR备份和ASR还原。
您可以通过“备份”实用程序中的“自动系统故障恢复准备向导”来使用备份功能。
“自动系统故障恢复准备向导”能够备份系统状态数据、系统服务、以及所有与操作系统组件相关的磁盘。
同时向导还会创建一张软盘,其中包含有关备份、磁盘配置(包含基本卷和动态卷)以及如何执行还原的信息。
在启动过程中的文本模式下出现提示时,您可以按F2使用ASR的还原功能。
ASR将从软盘中读取磁盘配置,并至少还原用于启动计算机的磁盘上的所有磁盘签名、卷和分区。
(ASR将尝试还原所有磁盘配置,但在某些情况下,ASR不可能还原全部磁盘配置。
)在这之后ASR将安装Windows的基本组件,并使用由“自动系统故障恢复准备向导”所创建的ASR备份集自动开始还原。
3.3.4完善的诊断工具
WindowsServer2003系统利用诊断工具来监视系统状态并防止发生问题。
诊断工具包括了以下多种诊断手断:
任务管理器概述
使用网络诊断
系统信息
系统属性
服务
事件查看器
网络监视器
监视性能
关闭事件跟踪程序
SNMP
设备管理器
WindowsManagementInstrumentation控制
3.4易用性
“指纹+数字证书”的双因子认证解决方案选择WindowsServer2003网络操作系统作为系统运行基础,很好的继承了WindowsServer2003系统的易用性特点。
3.4.1简单的指纹身份验证操作
“指纹+数字证书”的双因子认证解决方案中所应用的指纹KEY是将传统的USBKEY的PIN码替换成了指纹,将原有的PIN码验证替换成了指纹身份验证,指纹KEY上集成了指纹传感器,指纹采集及验证直接在指纹KEY上完成。
3.4.2用户状态迁移工具
用户状态迁移工具(USMT)通过捕获和还原用户设置、文件和文档有助于进行部署。
用户不必为诸如电子邮件服务器、代理服务器、桌面配色方案和桌面墙纸等重新配置桌面设置。
3.4.3紧急管理服务
通过紧急管理服务,并与相应的硬件结合,即使在无法通过标准远程管理工具和机制访问服务器时,也可以完成远程管理和系统恢复任务。
详细信息,请参阅紧急管理服务。
3.4.4存储区域网络和网络访问服务器支持
WindowsServer2003家族中的存储区域网络(SAN)和网络访问服务器(NAS)支持具有许多新的系统增强功能,以提高服务器的可用性。
这些改进功能包括容错、网络连接方案,如连接到SAN和NAS服务器。
连接到SAN时,WindowsServer2003家族支持多路径故障转移,即从主服务器(运行Windows2000Server、Windows2000AdvancedServer、Windows2000DatacenterServer或WindowsServer2003家族中的任何产品)到SAN卷启用冗余路径。
WindowsServer2003家族还支持连接到NAS以及用作NAS。
3.4.5网络负载平衡增强功能
网络负载平衡现在可以绑定到多个网络适配器,以便可以在每一台主机上配置多个独立的群集。
有关虚拟群集的详细信息,请参阅虚拟群集。
网络负载平衡使用Internet组管理协议(IGMP)支持限制交换流,以使流向网络负载平衡群集的流量只经过那些用于群集主机的端口,而不经过所有交换端口。
双向相似性通过使用MicrosoftInternetSecurityandAcceleration(ISA)Server2000增强了网络负载平衡在防火墙或代理服务器两侧进行负载平衡的能力。
双向相似性可确保经过ISA服务器阵列中的特定服务器路由的客户端连接回到同一ISA服务器上进行负载平衡。
这使得可以使用新的方案进行网络负载平衡,而这在早期版本中是无法使用的。
详细信息,请参阅网络负载平衡和状态可控的连接。
通过网络负载平衡管理器,可以创建新的网络负载平衡群集,并可以从一台远程或本地计算机对群集和群集中的所有主机进行配置和管理。
3.5可扩展性
“指纹+数字证书”的双因子认证解决方案选择WindowsServer2003网络操作系统作为系统运行基础,很好的继承了WindowsServer2003系统的可扩展性特点。
4双因子认证的域登录解决方案
4.1系统结构设计
“指纹+数字证书”的双因子认证系统是建立在WindowsServer网络操作系统之上的,可以采用Windows2003Server或Windows2000Server。
本系统中需要部属DNS服务器、主域控制器、IIS服务器、CA服务器,网络接入可以支持以太网也可以支持拨号链接。
网络结构示意图如下:
图1:
网络结构拓扑图某些方面
4.2系统设置及应用
利用指纹KEY在WindowsServer2003上实现双因子认证的域登录不需要进行程序的开发,只需配置系统就可以了,我们分八个步骤来设置“指纹+数字证书”的双因子域登录系统:
一、配置域控制器
二、配置IIS服务器
三、配置CA服务器
四、申请注册代理证书
五、安装指纹KEY的驱动程序及硬件
六、初始化指纹KEY
七、申请智能卡证书
八、使用指纹KEY进行域登录
4.2.1配置域控制器
由于“指纹+数字证书”的双因子认证解决方案是基于PKI体系的,而PKI体系的核心是CA中心,而要建立CA中心颁发智能卡证书,需要安装企业根CA,而安装企业CA中心,要求必须安装域控制器(ActiveDirectory),下面我们来配置域控制器。
从管理您的服务器界面上选择“添加或删除角色”选项,进入到选择服务角色,如图2。
图2:
配置域控制器
选择“域控制器(ActiveDirectory),选择“下一步(N)>
”按钮,按界面操作来配置域控制器,设置服务器类型,DNS,NetBIOS等,完成域控制器的配置。
4.2.2配置IIS服务器
因为我们从web上来申请智能卡证书,而windows2003Server自带的证书系统需要通过IIS来发布证书,因此我们需要安装IIS服务器,其服务器程序是基于asp,所以我们必须配置activeserverpage为允许,我们下面来配置IIS服务器。
从管理您的服务器界面上选择“添加或删除角色”选项,后进入配置服务器角色的界面,如图3。
图3:
配置IIS服务器
选择“应用程序服务器(IIS,ASP.NET)”,选择“下一步(N)>
”按钮,按系统提供完成IIS的其它配置。
启动IIS,出现Web服务扩展界面(图4)。
图4:
将ActiveServerPages服务设置为允许完成Internet信息服务(IIS)管理器的配置。
4.2.3配置CA服务器
要颁发智能卡证书,必须要配置证书服务器,我们下面来配置证书服务器。
选择“添加/删除Windows组件,出现添加删除windows组件的界面,如图5、图6。
图5:
配置CA服务器
选择“证书服务”选项后出现,选择“下一步(N)>
”按钮,根据系统提示进行操作,出现选择CA类型界面(图6)。
图6:
要颁发智能卡登录证书,必须选择“企业根CA”才可以使用,选择“企业根CA(E)”后,选择“下一步(N)>
”按钮,根据系统提示填写CA识别信息、证书数据库设置等信息后完成证书颁发机构的安装
注:
企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书。
企业根CA需要ActiveDirectory支持,而独立根CA不需要。
从属级的CA由于只能从另一证书颁发机构获取证书,所以一般不被选择。
而创立根主要用于外部网的CA,在安装后不能增加证书模板,不能颁发智能卡证书,所以我们这里不选择独立根CA。
启动“证书颁发机构”,启动证书模板对话框(图7)
图7:
配置CA服务器
图8:
选择智能卡用户,智能卡登录,注册代理,注册代理(计算机)等策略,后选择“确定”按钮,返回到证书颁发机构(图9)。
图9:
我们看到我们新增加的证书模板,已经位于证书模板中了,完成CA中心的配置。
智能卡登录功能有客户端验证,智能卡登录。
智能卡用户比智能卡登录多了安全电子邮件的功能,注册代理是以用户的帐号来申请注册代理证书,而注册代理(计算机)是以用户的计算机来申请注册代理证书。
4.2.4申请注册代理证书
WindowsServer2003为了安全起见,要求颁发智能卡证书必须通过注册代理站来颁发,不允许随意颁发智能卡证书,注册代理站需要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 指纹 证书 因子 认证 登录 解决方案