首页 > 解决方案 > 技术解决方案 > 基于数字证书的身份鉴别
基于数字证书的身份鉴别
方案背景
身份鉴别作为网络用户接入的基础层控制非常重要,如何保证接入的用户为合法用户,即用户身份的真实性,单通过一个口令来确定身份将是不安全的,调查显示,有70%以上的成功的网络攻击都是通过破解口令的方式完成的,这都对信息和网络资源造成严重威胁,直接造成信息失密,经济损失。
方案目标
本方案基于数字证书,解决用户在访问信息系统时进行身份鉴别的防假冒、防截获、防重用等安全性问题。
方案概述

1.由具有电子认证服务许可的CA机构给用户签发数字证书。CA机构在签发证书前,会严格核对用户的身份证件,能满足身份真实性要求
2. 用户客户端在登录应用系统时,会对登录表单进行数字签名
3. 由PKI中间件对电子密钥进行私钥调用,完成数字签名操作
4. 客户端提交的登录表单,主要包含被签名的挑战码、用户证书、签名值,不具有私密性,可有效防止截获和重放
5. 应用系统通过调用签名验签服务器对用户提交的登录表单进行验证,以保证用户身份的真实性、有效性

6. 签名验签服务器调用CA的证书注销状态查验服务,以防止非法用户登录

网络部署

应用价值

而基于数字证书的身份认证登录,被公认为是最好、最安全的登录方式之一,因为具有以下优点:


1.由NETCA给用户签发数字证书,能保证用户身份真实,符合国家电子签名法要求
2. 可防网络窃听。证书认证中,网上传输的是私钥对一个挑战码的签名,私钥并不需要传输,所以窃听者并不能通过网络窃听到用户私钥。另由于每次认证的挑战码都不同,窃听者窃听的认证数据并不能用来重放攻击
3. 管理使用方便。用户只需随身携带一个电子密钥(形式如U盾、IC卡等),就可在不同的电脑上随时随地地登录不同的应用系统。而且用户的私钥始终只在电子密钥里面,任何使用过的电脑上都没有私钥痕迹
4. 无法在服务器侧攻击。服务器侧保存的只是用户的公钥或公钥证书,并没有用户的私钥。公钥只能用来验证签名而不能产生用于登录认证的签名
6. 具有补救措施。用户在使用电子密钥里的私钥做签名时,需要本地输入正确的PIN码或做指纹识别,而且这个PIN码还有重试次数限制,输错指定的次数后eKey将锁死,有效地防止了别人的多次猜测。另外,用户也可以直接向CA注销自己的证书,及时防止自己的证书被盗用

项目案例
某行政管理综合业务系统密码应用改造项目
某养老保险业务信息系统密码应用建设项目