软件说明
SID强身份认证系统概述
SID系统的设计理念,是使现有各类业务系统通过简单的改造后,都可以使用SID系统作为强身份认证中心,为用户提供USB智能卡认证或其他强身份认证方式。 在强身份认证方面,利用客户端组件对用户证书数据进行 非对称加密+用户私钥签名 的安全封装后以及增加系统随机数进行重放攻击保护。使认证数据即使传输在明文HTTP协议下依然可以保证认证信息的安全性和性。 服务端在收到加密后的登录信息后,需要经过解密以及验签后,才会使用处理后的关键信息进行用户身份验证。 SID强身份认证系统产品功能
强身份认证的安全特性: SID强身份认证系统将系统帐号以USB智能卡的形式存在于真正的用户手中,有赖于 加密签名 和 解密验签 的信息交互机制,使之成为该用户在各业务系统中的身份标识,只有持有智能卡的用户才能登录业务系统、处理关键信息。并且,智能卡在所有业务系统中的信息是一至的。 使用SID系统进行用户身份验证时,用户无需担心智能卡信息的安全性和正确性。SID身份认证组件在获得智能卡信息后会自动将用户证书信息以及随机数进行组合,并对其进行非对称加密以及用户证书签名。 SID强身份认证系统在为用户提供身份认证的同时,还为用户提供 关键操作验证 服务。 应用快速接入: 用户部署SID强身份认证系统后,业务系统只需经过简单的改造就可以使用该系统作为统一认证中心使用。在常规模式下,业务系统使用SID提供的认证API对认证模块进行改造即可。具有改造工作量小、实施快速和不影响业务系统整体运行流程的特点。 内置ETCA企业级CA: 同时,为了兼容已有业务系统中的用户信息,SID系统提供的用户导入功能配合CA证书中心使用后,可在非常短的时间内为已有用户完成证书申请工作。 完成证书申请的用户,可以通过管理员在SID管理平台中将证书灌制到USB智能卡后发给用户,或者由用户在指定页面通过授权码自助灌制。 内置验签服务模块及开发API: SID强身份认证系统作为企业级强身份认证的整体解决方案,在系统内集成了一套签名、验签服务,用户无需单独购置。 签名验签服务作为SID强身份认证系统的核心组件之一,负责对客户端提交的用户认证信息进行解密、验签、重放验证等处理,并将处理后获得的关键信息返回给SID认证系统。 支持SM2椭圆曲线密码算法: 为满足电子认证服务系统等应用需求,国家密码管理局于2010年末发布了基于ECC椭圆曲线的SM2密码算法(国家密码管理局公告第21号),其算法机制准则包括总则、数字签名算法、密钥交换协议、公钥加密算法等四大部分,并要求自2011年3月1日起,新研制的含有公钥密码算法的商用密码产品必须支持SM2椭圆曲线密码算法。 SID强身份认证系统不仅系统内置的ETCA证书中心支持使用SM2密码算法签发用户证书,同时在加密、签名等主要流程节点中也已支持SM2密码算法。 同时为了更好的支持企业内部已经建立的CA证书系统,SID强身份认证系统可以兼容原有1024位、2048位的RSA算法。 符合国家密码算法相关安全标准: SID强身份认证系统遵守以下国家标准: GB/T 17964-2000信息技术 安全技术 加密算法 第1部分:概述 GB/T 17964-2000信息技术 安全技术 加密算法 第2部分:非对称加密 GB/T 17964-2000信息技术 安全技术 加密算法 第2部分:对称加密 GB/T 17903.1-1999信息技术 安全技术 抗抵赖 第1部分:概述 GB/T 17903.2-1999信息技术 安全技术 抗抵赖 第2部分:使用对称技术的机制 GB/T 17903.3-1999信息技术 安全技术 抗抵赖 第3部分:使用非对称技术的机制 GB/T 18238.1-2000信息技术 安全技术 散列函数 第1部分:概述 GB/T 18238.2-2002信息技术 安全技术 散列函数 第2部分:采用N位块密码的散列函数 GB/T 18238.3-2002信息技术 安全技术 散列函数 第3部分:占用散列函数 GB/T 20518-2006信息安全技术 公钥基础设施 数字证书格式 GB/T 20520-2006信息安全技术 公钥基础设施 时间戳规范 GB/T 19713-2005信息技术 安全技术 公钥基础设施 在线证书状态协议 GB/T 19771-2005信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范 GB/T 15851信息技术 安全技术 带消息恢复的数字签名方案 公钥密码基础设施应用技术体系 证书应用综合服务接口规范 公钥密码基础设施应用技术体系 通用密码服务接口规范 公钥密码基础设施应用技术体系 标识规范 信息安全技术 证书认证系统 密码及其相关安全技术规范 信息安全技术 公钥基础设施 时间戳规范 数字证书认证系统密码协议规范 高安全性: SID强身份认证系统的安全策略支持用户IP地址策略、管理IP地址策略、时间策略。 SID强认证系统的管理员基于三员分立机制,系统管理员、安全管理员与系统审计员各司其职,互相监督,为用户企业提供具有安全保障的系统管理平台。同时,系统为使管理更加细化,允许在组织机构中设立分级管理员,各部分的用户、证书管理可以在本部门内部设立管理员自行解决。 SID系统可为企业审计工作提供管理员操作日志、用户认证日志、系统运行日志等多种审计资料,支持Syslog远程提交与Excel文件导出。 认证可扩展: 随着信息安全领域的不断扩展,SID强身份认证系统除支持传统的USB智能卡、证书文件外,增加了动态口令、指纹、短信一次性口令等多种强认证方式的可扩展支持。 用户可以根据自身环境和安全需求,选择使用何种强认证手段。 高性能、稳定性: SID强身份认证系统作为企业强认证需求的整体解决方案,经过多年的发展,拥有众多应用成功案例。可以支持2000笔/秒的更大认证并发量以及成熟的安全技术和长期稳定运行的承诺,为企业大规模应用提供强有力的支持和保障。