身份認證技術在企業中的應用

［摘 要］ 身份認證是基于公鑰基礎設施體系建立起來的網絡安全技術，通過對稱和非對稱算法及數字證書、數字簽名等技術，實現了網絡行為的安全性和唯一性，保證數據在傳輸過程中不被篡改；保證身份的真實性、不可偽裝性和不可抵賴性。

［關鍵詞］ 數字證書； 安全； 身份認證

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 03. 029

［中圖分類號］ TP393.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）03- 0058- 01

１ 引 言

近些年，因企業忽視網絡信息安全導致商業機密泄露，給國家造成重大經濟損失的事件屢見不鮮。隨著應用系統在企業內部的推廣應用，員工的網絡行為安全越來越受到重視。另外，國家相關文件要求加強信息安全保障工作，建立完善的信息安全保障體系，并提出了對關鍵信息系統實施等級保護的要求。企業根據自身實際情況，應該提出企業自己的信息安全保障體系架構， 建立集中身份管理與統一認證平臺，實現關鍵和重要系統的用戶身份安全認證，提高用戶身份管理效率，保證系統訪問的安全性。

２ 身份認證架構設計

２．１ 設計原理

通過強認證機制滿足內控中用戶訪問信息系統的安全控制目標，并達到等級保護明確提出的雙因素認證等更高標準的合規要求；集中的流程化身份管理系統中固化了賬號申請、開通、管理與定期審閱等控制措施，在確保整體達到合規要求的同時，提高了用戶身份與賬號管理工作的效率。

２．２ 設計原則

信息安全技術防護需要覆蓋網絡、系統、應用與終端等層面；應用安全主要依托于身份管理與認證項目；網絡與系統層面的安全防護主要通過安全配置規范開發與網絡安全域實施等兩個項目實現，而用戶終端的安全防護則主要依托于桌面安全管理項目加以提升。通俗地說，應用安全要做到讓非法用戶 “進不來”、“偷不走”、“賴不掉”；而身份管理與認證項目的主要目標就是確?！皦娜诉M不來”，并通過數字證書、審計日志實現并支持系統訪問乃至業務層面的“壞事賴不掉”。而且有序的身份管理機制，也能夠幫助各應用系統自行實現的權限管理機制更好地達到“偷不走”的目標。

２．3 模塊架構

（１） 身份認證系統支持平臺。

（２） 兼容的應用軟件和操作系統。

（３） 客戶端應用程序。

（４） 各種Ｗeb服務器。

（５） 統一的管理界面。

（６） 支持各種介質。

２．4 方案選定

結合大中型企業自身業務現狀，身份認證管理員為使用者制作證書的環節交換數據量大，需要頻繁、高速的交換，故采用Ｃ／Ｓ模式在桌面安裝單點登錄軟件。這樣可以充分發揮Ｃ／Ｓ的專用性強、交互性強、速度快等優點。對于用戶登錄各自系統采用Ｂ／Ｓ方式，可以利用Ｍｉｃｒｏｓｏｆｔ Ｉｎｔｅｒｎｅｔ Ｅｘｐｌｏｅｒ瀏覽器及時發布和獲取信息。應用Ｍｉｃｒｏsｏｆｔ ＩＩＳ Ｗｅｂ Ｓｅｒｖｅｒ服務器對數據進行維護和管理，將身份認證系統信息存在ＵＳＢＫey中，支持數字簽名和ＰＫＩ體系，登錄系統采用ＵＳＢＫey硬件和ＰＩＮ碼相結合的形式，充分保證身份的認證和網絡行為的安全。

３ 安全性分析

越來越多的應用系統被放置于網絡中，企業涉密信息的安全性受到沖擊，數字認證技術應運而生。然而，數字身份認證系統本身的安全性也越來越重要。概括起來，認證系統對安全的最基本要求如下：

（１） 身份鑒別（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ ）。認證系統中的管理員和用戶的身份需要鑒別，只有確定操作者的真實身份才能允許其進入系統。

（２） 數據的機密（Ｃｏｎｆｉｄｅｎｔｉａｌｉｔｙ）。對敏感信息進行加密，即時別人截獲數據也無法得到其內容。

（３） 數據的完整性（Ｉｎｔｅｇｒｉｔｙ）。數據在傳輸過程中是否被人截獲并篡改至關重要。

（４） 不可抵賴性（Ｎｏｎ－Ｒｅｐｕｄｉａｔｉｏｎ）。操作一旦完成，發送方不能否認他發送的信息，接收方則不能否認他所收到的信息。

４ 身份認證在企業中的應用

建立集中身份管理與統一認證平臺，實現關鍵和重要系統的用戶身份安全認證，提高用戶身份管理效率，保證系統訪問的安全性，包括：

（１） 建立集中的用戶身份管理及統一認證服務平臺。

（２） 實現身份管理與統一認證服務和應用系統的集成。

（３） 建立統一的數字證書強認證體系。

（４） 通過建設身份管理與訪問控制系統（ＩＡＭ）和公共密鑰體系（ＰＫＩ）基礎設施，提高用戶身份管理效率，保證系統訪問的安全性，并為各集成的應用系統提供。

（５） 信息系統用戶使用比口令更安全易用的ＵＳＢＫｅｙ登錄應用系統。

５ 總 結

身份認證技術是數字簽名、身份認證、數字證明的集合，是計算機網絡中確認操作者身份的一種方法，保證了身份的真實性和不可抵賴性。隨著ＥＲＰ等系統在企業內廣泛應用，系統的安全性也顯得越來越重要，建立集中身份管理與統一認證的服務平臺是大勢所趨。身份認證系統可以實現關鍵和重要系統的用戶身份安全認證，提高用戶身份管理效率，保證系統訪問的安全性，為企業各類業務數據網上運維提供了保障。

主要參考文獻

［１］ 李曉航． 認證理論及應用［Ｍ］． 北京：清華大學出版社，２００９．

［２］ 李曉航，王宏霞，張文芳． 信息安全概論［Ｍ］． 北京：高等教育出版社，２００３ ．

［３］ 王群． 計算機網絡安全技術［Ｍ］． 北京：清華大學出版社，２００８．

［４］ ［美］沃克哈特（Ａｎｄｒｅｗ Ｌｏｃｋｈａｒｔ）． 網絡安全Ｈａｃｋｓ［Ｍ］． 第２版． 陳新，譯． 北京：中國電力出版社，２０１０．