iKEY 双因素动态密码身份认证系统 电信业安全解决方案

双因素动态密码身份认证系统TM

电信业安全解决方案

上海众人网络安全技术有限公司

2009年5月

目录

一、 前言......................................................................................................................................... 3 二、 应用方案 ................................................................................................................................. 5

2.1. 2.2. 2.3. 2.4. 2.5.

方案设计原则 ............................................................................................................... 5 集成应用原理图 ........................................................................................................... 6 网络拓扑规划设计 ....................................................................................................... 7 电信应用系统认证流程 ............................................................................................... 8 统一身份认证与权限管理实现方式 ........................................................................... 9 2.5.1. 2.5.2. 2.5.3. 2.6.

2.6.1. 2.6.2. 2.6.3. 2.7.

统一身份认证与管理模型 ............................................................................... 9 统一权限管理模型 ........................................................................................... 9 统一身份认证与权限管理应用流程 ............................................................. 10 认证安全性解决 ............................................................................................. 11 iKEY动态密码令牌发行安全性解决 ........................................................... 11 iKEY认证服务器的容错安全性解决 ........................................................... 12

应用方案安全性解决措施 ......................................................................................... 11

方案特点 ..................................................................................................................... 13

三、 iKEY双因素动态密码身份认证系统介绍......................................................................... 13

3.1. 3.2. 3.3. 3.4.    3.5.

产品概述 ..................................................................................................................... 13 产品认证功能实现 ..................................................................................................... 14 产品功能模块构成 ..................................................................................................... 15 产品优势 ..................................................................................................................... 15 系统适用性高 ............................................................................................................. 15 系统兼容性强 ............................................................................................................. 15 令牌安全特性突出 ..................................................................................................... 16 产品性能参数 ............................................................................................................. 16

四、 “众人网络”简介 .................................................................................................................... 18

4.1. 4.2. 4.3.

公司简介 ..................................................................................................................... 18 专家顾问 ..................................................................................................................... 19 资质与荣誉 ................................................................................................................. 19

一、前言

随着互联网和电子商务的发展，网络已经渗透到各行各业；全球信息化已成为人类发展的大趋势。对企业来说，互联信息和应用是企业最重要的战略性资产，它们是实现生产率和竞争优势最大化的关键所在。但是，由于网络化的飞速发展，缺乏统一的标准管理；近年来网络安全问题尤为严峻。致使不管接入的是单个终端还是一套整体网络都不可避免的会受黑客、骇客、恶意软件和其他不轨的攻击。怎样解决自身信息安全问题迫在眉急.会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部份。每种技术都加强某一方面的信息安全的强度，但其本身固有的策略静态性，安全特性更新慢等因素，对非法入侵并不能做到长期有效的防护。

在此情况下，身份认证技术应运而生。身份认证技术解决了网络中“你是谁”的问题。通过有效的身份认证，将无序、混乱、 缺乏管理的网络改造成一个有序、有管理、可控制的网络。 我们所希望的“安全金字塔”必须建立在管理策略和过程的基础上，而身份认证是整个金字塔的关键组成模块，是网络安全的基石。若不首先采用强有力的身份认证，其余的授权层面、加密层面和审计层面就会变得毫无意义。

目前，国际上常用的身份认证技术主要有两种：第一种是以数字证书和USB移动证书为代表的敏感信息保护措施，与电子签名配合，参与整个应用网络的敏感信息通信之中；第二种是以动态密码为代表的身份认证保护措施，动态密码认证器会根据专门的算法每隔一定时间生成一个与时间相关的、不可预测的动态密

码，每个密码只能使用一次，确保通信和会话从发起、传递到最终接收都处于动态的保护过程中。

数字证书和USB移动证书认证技术的应用局限在于：只能在己安装证书或相应驱动程序的电脑上进行操作，在其他没有 USB 接口的设备上则无法使用，操作烦琐且使用范围狭窄，无法满足当今应用系统多种业务的身份认证安全需求。另外由于必须连接电脑，在已经出现相应的木马病毒的情况下，仍然存在安全隐患。

动态密码最大的优点在于：用户每次使用的密码都不相同，使得不法分子无法仿冒合法用户的身份，而且加密算法的安全性极高，在通信和会话的发起与传输过程中不怕被黑客替换或截获，到目前为止，国内外还没有出现过针对动态密码的安全事件；系统实施很简单及相对投资少；对用户来说使用非常方便，并且应用范围较大。因此，动态密码技术已成为身份认证技术的主流，在全球各个重要行业得到了广泛的应用。

“iKEY双因素动态密码身份认证系统”是上海众人网络安全技术有限公司（以下简称“众人网络”）自主研发、具有自主知识产权和国际领先水平的网络安全系统产品。“众人网络”是国家密码管理局指定的首家双因素动态密码身份认证产品的生产定点单位。

二、应用方案

2.1. 方案设计原则

总体设计方案遵循以下原则：

1、实现动态口令身份认证系统与“中国电信开放式信息应用平台”的无缝对接，并能与用户新改进、增加的系统功能兼容。

2、在保证系统安全性的前提下，遵循不改动用户应用系统程序，只完成动态口令身份认证模块与用户应用系统的连接。

3、设计中所采用的操作方式、技术规范和动态密码身份认证产品性能，符合国家的有关法律和法规。

4、为用户提供安全、完善和方便的安全管理手段和方法。

5、做到动态密码认证系统认证速率不成为原系统的瓶颈，并保持系统无单点故障。

6、最大限度地减少用户的设备和管理费用。

7、安全解决方案应具有较好的可扩展性，保护用户的投资，当系统在一定范围内扩容时，不许要增加投资。

2.2. 集成应用原理图

集成应用原理图如图1所示： 图1

“中国电信开放式信息应用平台”服务端系统与iKEY双因素动态密码身份认证服务器之间采用加密通讯隧道，保证了数据在传输过程中的安全性。“中国电信开放式信息应用平台”服务端系统在认证过程中，不影响“中国电信开放式信息应用平台”的原业务逻辑，更不会影响“中国电信开放式信息应用平台”数据的安全。

2.3. 网络拓扑规划设计

网络拓扑规划设计图如图2所示：

Internet应用服务器组认证服务器组接口服务器组内网服务器组数据库服务器组备份数据库服务器组 图2

图2注释：

身份认证服务器群与“中国电信开放式信息平台”服务器群并行分布，认证服务器的性能不会降低“中国电信开放式信息平台”整体系统的性能，“中国电信开放式信息平台”原有的数据库系统无需改动。

结合双机或集群的部署方式，整个网络拓扑设计可以满足“中国电信开放式信息平台”不间断身份认证的实际需求。身份认证服务器群的网络安全由“中国电信开放式信息平台”原有安全保障体系保证，不需要在增加新的网络安全预算。该身份认证服务器群不暴露在公共网络链路中，与“中国电信开放式信息平台”应用服务器之间的通讯过程中采取双向身份认证的机制，能够保证整个认证过程不被绕过。

“中国电信开放式信息平台”系统服务端与身份认证相关的程序代码需要改动，以支持动态密码认证，接口协议可以采用 “中国电信开放式信息平台”要求的协议。

2.4. 电信应用系统认证流程

认证流程如图3所示：

图3

图3注释：

用户登录时可先做动态密码认证，后做静态密码认证（静态密码认证可选）。账户是否使用动态密码认证不在电信系统数据库中标识，而由iKEY认证系统返回。iKEY认证服务器异常的情况下，仍然可以用静态密码保证安全性。

2.5. 统一身份认证与权限管理实现方式

2.5.1. 统一身份认证与管理模型

统一身份认证管理模型见图4：

图4

2.5.2. 统一权限管理模型

统一权限管理模型见图5：

图5

2.5.3. 统一身份认证与权限管理应用流程

统一身份认证与权限管理应用流程见图6：

应用系统iKEY身份认证与权限管理系统1 身份认证请求2 身份认证结果3 权限数据请求4 权限数据返回 图6 图6注释：

1、应用系统把用户名/密码等相关信息发往iKEY身份认证与权限管理系统，请求身份认证。

2、iKEY身份认证与权限管理系统把身份认证结果返回给应用系统。 3、应用系统查询某个用户的某个类别或全部的权限。

4、iKEY身份认证与权限管理系统把权限数据返回给应用系统。

2.6. 应用方案安全性解决措施

2.6.1. 认证安全性解决

认证服务器与应用服务器之间采用基于PKI证书的双向认证方式，认证账户与动态密码在建立的SSL链路上进行数据传输，使得中间人攻击及身份仿冒可能性不存在，保障了通讯内容被嗅探后不能破解。

应用服务器调用认证服务器认证应用接口，具备充分的主动权。认证服务器的认证行为采取应用服务器申请、验证服务器验证的方式，认证请求与认证结果是严格的一一对应关系，不存在验证结果提交与验证申请差异而存在的应用漏洞。

应用服务器、身份认证服务器双向认证示意图如图7所示：

图7

2.6.2. iKEY动态密码令牌发行安全性解决

iKEY令牌中心发行设备与iKEY动态令牌之间采用加密通讯方式，保障灌

制的令牌私钥无法通过嗅探的方法获取。iKEY动态密码令牌只具备写通讯接口，无法通过通讯接口读取灌制的私钥。私钥的生成采取散列函数随机加密生成，生成密钥无法逆向破解；操作员只知道iKEY动态密码令牌机身编码，而无法获知写入iKEY动态令牌的私钥。

iKEY动态密码令牌私钥灌制示意图如图8：

图8

2.6.3. iKEY认证服务器的容错安全性解决

iKEY认证硬件模块采用三模冗余硬件设计，三个的认证模块进行运算。运算结束后，将三个运算结果进行校验，如两个以上结果一致则视为验证运算成功。该设计保障了iKEY认证服务器的硬件性能，将认证运算误差降低为零。

iKEY认证硬件模块三模冗余设计示意图如图9：

图9

2.7. 方案特点

无接触性：iKEY令牌与客户端无物理接触，从而使其不受例如病毒、木马等客户端机器恶意软件的影响。

可靠性：客户端与“中国电信开放式信息应用平台”之间维持原有的通讯链路，如PKI。不影响原有系统的安全性、性和稳定性。

易用性：对“中国电信开放式信息应用平台”影响很小，从而使得部署风险容易控制，有效缩短项目实施周期，并且降低维护成本。

兼容性：不仅支持动态密码，并且同时兼容“中国电信开放式信息应用平台”原有的认证方式。

三、iKEY双因素动态密码身份认证系统介绍

3.1. 产品概述

 iKEY双因素动态密码身份认证是一种采用时间同步技术的双因素认证系

统。

 iKEY双因素动态密码身份认证系统为国内首家获得国家商用密码管理局

“商用密码产品生产及销售资质的双因素动态密码身份认证类产品。  iKEY双因素动态密码身份认证采用国家商用密码管理局授权的SM1、SM3

加密算法。

3.2. 产品认证功能实现

图10

步骤1：客户请求接入应用服务器;

步骤2：应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证; 步骤3：客户终端弹出身份认证对话框;

步骤4：客户将账号和iKEY动态令牌显示的动态口令键入终端的身份认证对话框;

步骤5：客户终端将账号和口令通过网络传输给iKEY认证服务器;

步骤6：iKEY认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性; 步骤7：iKEY认证服务器将认证结果报告给应用服务器;

步骤8：应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。

3.3. 产品功能模块构成

iKEY双因素动态密码身份认证主要由iKEY认证服务器、iKEY令牌中心、应用接口（API）和iKEY动态密码令牌四部分组成，如下图所示。

图11

3.4. 产品优势

 系统适用性高

无论是银行的内部员工、外部合作伙伴还是银行交易用户，无论是在本地、异地还是移动办公，都可以使用iKEY双因素动态密码身份认证系统。用户可通过iKEY双因素动态密码身份认证系统完成身份确认并进行合法授权操作。

 系统兼容性强

iKEY双因素动态密码身份认证系统支持RADIUS协议、iKEY认证协议（支持TCP、UDP、SOAP）和客户私有协议，支持WindowsXP/2003/Vista、Linux、SunSolaris、HP/UX、AIX操作系统，支持Oracle、Db2、SQLserver、Mysql、Sybase等数据库，提供基于C/C++、C#、DotNet、JAVA等多种形式API。

 令牌安全特性突出

无接触：密码的产生过程完全与网络隔绝，有效杜绝了令牌密码算法、算法因子被复制、破解，从根本上保障了身份认证密码的安全性。

保密性：用户的密钥安全存储，不需在信道上传送，最大限度地防止用户身份的泄露。

抗抵赖性：只有持有动态密码产生设备的使用者能生成包含抗抵赖信息的动态密码，认证方和任何第第三方不能生成该用户的动态密码。

抗重放性：一个动态密码只能使用一次，一旦使用就立即作废。

抗暴露性：由于动态密码有使用作废和超时作废的功能，即使密码泄露，也不会出现安全隐患。

方便性：密码不需要记忆。

3.5. 产品性能参数

 iKEY认证系统部署环境

部署环境 硬件平台 描述 x86体系服务器、小型机； 建议采用x86体系服务器 操作系统 Windows Linux UNIX 备注 Windows 2000/xp/2003 linux 2.4内核以上 HP-UX 11iv2 AIX 5L 5.3 SOLARIS 10 操作系统 数据库

支持符合SQL92标准的数据库系统；  iKEY认证系统技术参数

参数项目 可容纳用户数 1千万~1亿 指标描述 单认证服务器处理能力 10000次/秒 认证响应时间 认证带宽占用 认证数据冗灾 带外认证 <6ms/秒 <1M 集群式备份 支持带外认证 对外接口协议 支持标志 TCP/SSL认证接口协议 SOAP/HTTPS认证接口协议 RADIUS协议 LDAP协议 按客户要求定制对外接口协议 支持协议 认证稳定性 认证正确性 支持动态口令长度 PIN码功能 密钥自助写入 最高连续满功率运行认证次数10，000，000，000次 连续满功率运行时正确率大于99.99999999% 6-8位 支持 支持  动态令牌硬件技术参数

参数项目 尺寸（长×宽×高） 重量 电池条件 电池寿命 指标描述 57.5*27*8.7MM （外形客户可定制） 约20克 220MAH纽扣电池 3年 工作环境温度 存储环境温度 工作环境相对温度 -10℃~+50℃ -25℃~+70℃ 10%-90%，非凝结 符合GB/T 2423.10，GB/T 2423.11，GB/T 2423.12，GB/T 防震 2423.13，GB/T 2423.14，GB/T 2423.15 防干扰 防水 符合GB 4343.1-2003 达IP68等级 采用国家商用密码管理局指定安全算法芯片，具备防非法防拆 读写的功能 注胶 低压注塑 四、“众人网络”简介

4.1. 公司简介

 上海众人网络安全技术有限公司（以下简称“众人网络”）于2007年9月在

张江高科技园区国家信息安全基地成立，注册资金3000万元人民币。  “众人网络”研发团队成员70%以上具有研究生以上学历，且拥有从事国内外

知名IT企业和研发机构关键性技术职务的经历。“众人网络”已与交通大学、武汉大学等国内著名高校建立的稳定的战略合作关系，以强大的产学研一体化基地三大优势为后盾，不断汇聚国内顶尖网络安全技术领域的菁英，为推动中国网络安全事业发展做出贡献。

 2008年5月，“众人网络”成为国家密码管理局指定的商用密码产品生产及销

售定点单位，是国内首家（目前唯一）获得国家密码管理局批准生产和销售列入《商用密码通用产品名单》的动态密码产品的合法企业。

 2008年12月“众人网络”的身份认证产品“iKEY双因素动态密码身份认证系

统”被中国企业创新成果案例审定委员会评为“最具自主创新能力企业成果(案例)”，并通过了上海市高新技术成果转化项目A级认定。

 “众人网络”致力于帮助广大计算机个人用户、企业和机构保护信息安

全；并提供身份认证、信息访问控制、交互管理等企业级、银行级专业安全解决方案。

4.2. 专家顾问

 王椿芳（将军/研究员）：中国人家有突出贡献的密码专家，曾担

任国家级安全部门顾问，荣获国家科技进步一等奖、二等奖。现任“众人网络”专家顾问团总顾问。

 李建华（教授）：上海交通大学信息安全工程学院常务副院长、教授、博士

生导师，上海市信息安全综合管理技术研究重点实验室主任，哈尔滨工程大学信息安全研究中心主任、兼职教授、博士生导师。曾任国家电子政务试点示范工程总体专家组专家、国家十五重大科技攻关计划任务国家信息安全应用示范工程—„S219二期工程‟” 总体组组长、“国家十五863计划信息安全技术发展战略”专家组核心科学家。现任“众人网络”专家顾问团高级顾问。

4.3. 资质与荣誉

 企业资质

 08年5月，获得了由国家密码管理局颁发的《商用密码产品生产定点单

位证书》；

 08年9月，获得了由公共信息网络安全监察局颁发的《计算机信

息系统安全专用产品销售许可证》；

 09年1月，获得ISO9001：2000质量管理体系认证和ISO27001信息安

全管理体系认证，是中国地区信息安全企业中首家通过权威机构SGS ISO27001认证的企业。

 09年2月，“iKEY双因素动态密码身份认证系统”通过国家密码管理局

安审，获得《商用密码产品型号证书》；

 09年2月，获得了由国家密码管理局颁发的《商用密码产品销售许可证》。  产品通过的权威检测

 iKEY双因素动态密码身份认证系统通过国家商用密码管理局安审产品

检测；

 iKEY双因素动态密码身份认证系统通过计算机信息系统安全产

品检测中心检测；

 iKEY双因素动态密码身份认证系统通过上海市计量测试技术研究院、华

东国家计量测试中心、中国上海测试中心产品检测；

 iKEY双因素动态密码令牌通过美国摩尔实验室FCC、CE和产品整体性

能检测；

 iKEY双因素动态密码身份认证系统通过上海市软件评测中心5000万用

户、单台服务器认证并发万次每秒性能测试。

 企业荣誉

 08年12月，“iKEY双因素动态密码身份认证系统”通过上海市高新技术

成果转化项目A级认定；

 08年12月，在天津举办了中国中小企业协会“ 2008中国企业创新成果

（案例）”评选活动暨第二届中国中小企业节。经中国企业创新成果案例审定委员会审定，“众人网络”的“iKEY双因素动态密码身份认证系统”在此次评选活动中荣获“最具自主创新能力企业成果(案例)”。

 “众人网络”成为“中国中小企业协会”副会长单位。中国中小企业协会是

全国中小企业、企业经营者自愿组成的全国性、综合性、非营利性的社会团体。中国中小企业协会接受国家发展和改革委员会业务指导和民政部的监督管理。

 “众人网络”成为“上海市信息安全行业协会”理事单位。协会的业务主管

单位是上海市信息化委员会和上海市行业协会发展署。我公司负责协会的信息安全产品测试平台的身份认证环境搭建并提供相关技术支持，以及编写培训教材《商用密码应用技术基础》的身份认证技术章节。  “众人网络”成为《上海信息化》杂志协会理事单位。