1.1 产品简介
SID强身份认证产品作为提供强身份认证的认证中心,集数字证书、动态口令、指纹、短信等强身份认证方式于一身,可以实现对用户身份的安全认证,并可依托数字证书来保证网上信息传送的保密性、完整性、真实性和不可否认性,解决了网络环境中的用户身份认证安全问题。
1.2 产品功能介绍
SID强身份认证产品提供全面的认证、授权和审计服务,支持多种认证方式,包括:数字证书、动态口令、指纹、短信等强认证方式及一次性口令、用户名口令等普通认证方式。
以智能卡认证为例:用户在登录系统时,插上智能卡,通过安全加密通道与SID强身份认证产品服务器通讯,SID强身份认证产品完成对用户身份的认证。若认证成功,则应用系统得到当前用户的身份;若认证失败,则应用系统得到当前用户认证失败的具体错误信息。
系统可以支持多种登录方式的灵活定制,可以满足不同情况的需要,及对用户的管理,支持人员账户的查询,修改,删除,及对用户账号的停用和对用户权限的限制。
1.2.1 身份认证
1.2.1.1. 数字证书认证
基于PKI理论体系,采用CA数字证书和加密签名等技术进行身份识别,完成敏感信息以密文形式在网络中传输,企业应用可利用数字信封、数字签名等非对称密钥加密技术,实现对用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性;
无缝集成ETCA、CTCA、CFCA,同时支持第三方CA;
支持智能卡形态及软证书形态;
集成了证书申请、下载、重新申请、吊销等操作。
1.2.1.2. 动态口令认证
采用国际OATH联盟标准技术算法,每隔30/60秒钟或每触发一次动态生成一个随机的、单次使用的6/8位口令,与系统范围内合法用户的令牌信息作同步信任认证运算对照,构成一个安全、可靠的认证系统,保护计算机网络授权用户的合法利益,避免系统或网络受到非授权用户的非法访问;
时代亿信令牌通过国家标准(GB/T2423)例行试验及欧盟CE认证和美国FCC认证,并通过防震、防潮、抗静电、高低温、湿热、振动、自由跌落、抗电磁干扰等型式试验;
集成了令牌同步、激活、替换等操作。
1.2.1.3. 指纹认证
利用自动指纹识别系统通过特殊的光电转换设备和计算机图像处理技术,对活体指纹进行采集、分析和比对,自动、迅速、准确地鉴别出个人身份;
兼容五大指纹识别硬件厂商产品;
集成了指纹采集操作。
1.2.1.4. 短信认证
通过短信网关向指定手机发送具有时效性的随机的一次性口令;
支持电信、移动、联通等移动通信协议。
1.2.1.5. 临时口令认证
管理员在管理系统内为某用户添加临时口令,作为用户的应急访问方式;
可设置各种临时口令策略,管理方便。
1.2.1.6. 用户名口令认证
支持本地数据库认证及远程数据库、LDAP、AD等外部认证源的认证;
可设置各种密码安全策略。
1.2.1.7. 身份认证可选配套系统
1.2.1.7.1. 企业级CA系统
提供数字证书的申请、签发、下载、作废、更新等服务,遵循PKI/CA 国际标准;
提供CRL、证书校验等服务;
支持证书模版、证书扩展项定义;
支持加密机/加密卡。
1.2.1.7.2. 动态令牌管理系统
提供动态令牌的导入、绑定、解除绑定、激活、反激活、令牌替换、同步等服务,采用国际OATH联盟标准技术算法;
提供用户自助激活、同步、替换令牌等服务;
支持自定义认证窗口;
支持双因子认证(静态口令+动态口令)。
1.2.2 统一认证中心
SID强身份认证产品作为企业统一认证中心,为企业应用、主机、设备等提供多种认证接口,实现企业内部用户的统一身份认证;
提供基于SOAP、RADIUS、LDAP、NTLM、SOCKET等协议的认证接口;
1.2.3 用户管理
支持用户的批量导入、导出服务;
支持用户分级管理,用户可由本地管理员进行维护;
支持用户属性扩展,可满足企业应用对用户属性的特定需求;
1.2.4 权限管理
基于角色的权限模型,兼容用户个人高级权限;
整合企业内部资源,实现细粒度的权限划分和访问控制;
支持角色的定义和管理;
支持部门角色,方便以部门组织机构为单位,对所属用户进行统一授权;
1.2.5 日志审计
提供对用户认证操作,管理员各项维护管理操作的日志记录和实时监控。
1.2.6 公共服务
为企业各类应用提供组织机构、用户等相关的公共服务。
1.3 产品规格与功能
| 产品功能 |
| USB智能卡认证(SSL加密通道) |
| USB智能卡认证(无加密通道) |
| 软证书认证 |
| 动态令牌认证 |
| 指纹认证 |
| 短信认证 |
| 用户名/口令认证 |
| 临时口令认证 |
| 外部认证源认证 |
| 企业组织机构用户集成 |
| PKI/CA集成 |
| 日志审计 |
| 组织机构、用户相关公共服务 |
1.4 成功案例
上海电信门户统一认证
上海电信根据全业务发展的需要,对公司日常使用的多套MSS、BSS、OSS系统进行整合,实现对用户信息的统一管理和登录访问应用系统的统一认证。时代亿信公司采用SID强身份认证产品为上海电信提供门户认证,结合中国电信CTCA证书基础设施,为上海电信用户颁发数字证书,作为用户身份认证凭证,同时,结合上海电信运营商的特点,配套开通了手机短信认证功能,为用户提供多种安全认证方式。系统上线以来,稳定处理电信3万员工日常使用负载,为应用系统提供了安全可靠的访问控制能力。