eKey数字证书身份认证助力企业信息安全

1. 身份认证的现状和发展趋势

1.1 企业信息化面临的安全风险

计算机网络和信息技术的迅速发展促进了企业及社会信息化的极大进步，同时也随之产生了诸多新的安全问题和风险。作为企业信息系统的第一道大门，身份认证是确保企业信息资源只能被合法用户所访问的重要保障。

传统的口令认证方式虽然简单，但是由于其易受到窃听、重放等攻击的安全缺陷，使其已无法满足当前复杂网络环境下的安全认证需求，因此涌现了诸如：数字证书、动态口令、智能卡、生物识别等多种认证方式。

1.2 身份认证方式的比较

身份认证方式	认证原理	易用性	性价比
数字证书认证	基于PKI公开密钥体制、CA数字证书以及数字签名技术	技术成熟，具有国际标准和法律支持；但通常证书和私钥以文件方式存储，易被复制，使用时需要导入，不方便	实施成本低，易于扩展到相关安全应用
动态口令认证	基于时间同步算法	客户端不需要安装软件，动态令牌易于携带	动态令牌需要定期更换，累计成本较高；系统不易于扩展
智能卡认证	基于HMAC算法	使用USB接口，无需特定读卡器，易于携带	智能卡成本适中
生物识别认证	基于人的指纹、虹膜等生物特征，安全性高	终端设备不易携带；系统初始数据采集不方便	终端设备成本很高，适用于高安全领域
eKey数字证书认证	结合数字证书认证和USB智能卡（eKey）认证两种方式，安全性高	USB智能卡存储证书和私钥，私钥不可复制，使用时只需插卡即可，增强了安全性和易用性	结合了数字证书认证和智能卡认证的优点，系统扩展性强、安全性高、性价比高

1.3 身份认证的发展趋势

身份认证作为企业信息化过程中信息资源访问控制的第一步也是关键一步，在应用上正得到军队、政府、企业等各方面越来越多的关注，在技术上正朝着更加安全、易用、多种技术相结合的方向发展。

随着PKI技术体系的日趋成熟，拥有强有力的理论基础和众多国际标准的CA数字证书身份认证技术，在法律上也得到了国家的大力支持。《电子签名法》的颁布实施以及数字加密和数字签名技术所具有的保密性、完整性、真实性、不可否认性等特点，使得CA数字证书身份认证正在被广泛采用。

USB智能卡（eKey）自带CPU，内嵌加密算法，可进行运算，其中的信息不可复制，因此，USB智能卡以其安全可靠、易于携带、使用方便、成本低廉、性价比高等特点，在身份认证领域也正发挥着越来越多的作用，成为身份认证技术的一个重要发展方向和趋势。

时代亿信科技有限公司的eKey数字证书身份认证系统充分结合CA数字证书认证和USB智能卡认证的优势，采用PKI体系中的数字加密、数字签名等技术以及智能卡技术，为网络应用提供更为安全有效的身份认证机制，只需进行安装配置和细微改动即可轻松提升企业应用系统的安全性。

2. eKey数字证书身份认证系统

2.1 系统组成

时代亿信eKey数字证书身份认证系统基于PKI理论体系构建，同时支持B/S、C/S结构的应用系统，由以下主要部分组成：

（1） 企业级CA系统

企业级CA为企业应用系统灵活定制，充分满足企业应用系统的数字证书申请和发放需求，为企业应用安全提供便捷、高效的支持，避免了使用第三方CA中心所带来的高成本投入以及结构和性能瓶颈。

企业级CA系统采用B/S架构，易于与具体应用系统相结合，实现基于WEB的CA管理、数字证书自动申请签发、CRL签发、数字证书下载以及USB智能卡的写入等功能。

（2） 认证服务器

认证服务器结合数字证书加密、挑战-响应认证机制和数字签名认证机制，对用户身份进行强认证，并对用户登录请求进行日志和审计。应用系统只需部署配置USB智能卡登录页面和认证通信包，即可由认证服务器完成对用户登录认证请求的认证和用户身份的鉴别。

（3） 客户端认证组件和USB智能卡（eKey）

每个用户使用存有自己证书和私钥的USB智能卡作为身份凭证，客户端自动安装浏览器认证组件，与浏览器无缝结合，登录时自动驱动USB智能卡，并运算产生认证请求。

2.2 技术原理和高安全性

时代亿信eKey数字证书身份认证的技术原理和认证流程如下图所示：

 

时代亿信eKey数字证书身份认证充分结合了挑战-响应机制和数字证书加密、数字签名机制，增强了认证信息的随机性、保密性、真实性，有效地防止了认证过程中的机密信息泄露和重放攻击，保证了身份认证的高度安全性和可靠性。

（1） 挑战-响应机制

客户端在发起认证请求时，服务器端首先产生并返回一个随机数（挑战）；客户端在提交认证请求时，将数字签名后的随机数发送到服务器端（响应），由服务器端比较本地的随机数和收到的随机数，以校验认证请求的有效性，从而有效防止截获和重放攻击。

（2） 数字证书加密机制

客户端提交的认证请求均由服务器端返回的服务器证书进行数字信封加密处理，只有相应的服务器私钥才能解密。如果认证请求中含有机密信息，则截获加密的认证请求将毫无意义，从而确保了机密信息的保密性。

（3） 数字签名机制

客户端提交的认证请求，均由客户端认证组件调用eKey（USB智能卡）进行签名处理。USB智能卡随身携带，其中的私钥不可复制，保证了私钥的唯一性，由于数字签名不可伪造和窜改，服务器端通过校验客户端用户证书和数字签名的有效性，并结合认证数据库鉴别用户身份。

2.3 系统特点和优势

时代亿信eKey数字证书身份认证系统具有以下鲜明的特点和优势：

（1） 身份认证的高安全性

CA数字证书和USB智能卡相结合的身份认证方式，使用数字签名和加密等技术，增强了身份认证过程的安全性，有效消除了传统的口令认证方式产生的各种安全问题。

（2） 易于部署和配置，易于与具体的应用系统相结合

eKey数字证书身份认证系统及其中的企业级CA系统与应用系统在结构上相对独立，既利于部署、管理和维护，又利于应用系统的升级和扩展。

应用系统只需部署和配置USB智能卡登录页面、认证通信包和认证服务器，无需重新开发即可轻松替换口令认证，提升应用系统的安全性能。

数字证书的发放可以由企业级CA系统自动完成，也可以借助于已有的第三方CA。

（3） 易于操作和使用

用户数字证书和私钥存储在USB智能卡中，可随身携带，同时私钥不出卡，保证了私钥的唯一性；用户使用时只需要插上USB智能卡，输入其硬件保护口令，用户无需理解复杂的CA及数字证书、数字签名概念，也无需复杂操作即可由客户端认证组件自动完成认证。

（4） 通用性和可扩展性

时代亿信eKey数字证书身份认证既支持关键信息加密以提高认证效率，也支持SSL标准协议；既可以为单个应用系统进行认证，也可以支持多个应用系统的统一认证和单点登录（SSO），具有良好的通用性和可扩展性。

时代亿信eKey数字证书身份认证系统以其高安全性、高性价比等特点，已成功应用于政府、军队、科学院、电信、税务、企业安全办公等领域，为企业信息化保驾护航。（