ESA2000 身份认证系统概述
随着互联网和">信息技术的不断发展,信息的安全性问题开始引起人们的密切关注。当前许多应用系统都使用传统的单元素认证模式,即:“用户名+口令”,这种认证模式的安全性非常弱,用户名和口令易被窃取而导致损失;而且“用户名+口令”的认证方式用户使用起来也非常不方便,用户常常需要记住复杂的用户名和口令。因此传统的单元素认证模式已远远不能满足许多系统的安全性要求。
ESA2000 身份认证系统是北京安证通信息技术有限公司自主开发的一套基于数字证书进行身份认证的安全系统。它可以替换原有的“用户名+口令”的认证模式,也可与原有的认证模式结合,形成双因素认证,即“实物+信息”,来满足应用系统更高层次的安全性要求。
ESA2000 身份认证系统结构图
ESA2000 身份认证系统技术特点
1.基于PKI技术实现用户身份认证,同时支持客户-服务器间的双向身份认证
基于公钥密码系统的数据传送流程是:当客户方要向服务器方传送数据时,首先客户方用自己不公开的私钥来签名欲传送给服务器方的数据,再用服务器方所公开出来的公钥来进行加密,最后传送给服务器方。当服务器方收到此加密数据便用自己的私钥解开数据,因为只有服务器方拥有其私钥,所以只有服务器方能解密,接下来服务器方取得客户方的公钥来验证解密后的消息的完整性和合法性。
身份鉴别过程如下:
1)、服务器端产生随机数送客户端;
2)、客户端提示输入用户名、口令;
3)、对用户名、口令、随机数用私钥作数字签名;
4)、将用户名、数字签名结果连同签名用数字证书用PKCS#7格式一起发送到服务器端;
5)、服务器端验证书的合法性,合法则转下一步;
6)、服务器端用接收到的用户名、检索到的口令与先前产生的随机数一起作为明文验证签名。如通过,则为合法用户,否则为不合法用户或用户信息被假冒、篡改。
2.数据完整性
采用数字签名的技术,防止信息在传输过程中被篡改。
3.数据新鲜性
采用随机数方式,防止攻击者截获用户数据,并使用数据重放攻击服务器。认证信息的新鲜性是防止重放攻击的最好方法。
4.防抵赖功能
采用数字签名的技术,防止发送者抵赖其发送过信息。
5.采用数字证书标识用户身份
采用以数字证书为基础的公钥密码系统(Certificate-based public key cryptosystem),通过可信的第三方(Trusted Third Party;TTP)来保证证书和公钥的有效性。