1  方案背景

身份鑒別作為網絡用戶接入的基礎層控制非常重要，如何保證接入的用戶為合法用戶，即用戶身份的真實性，單通過一個口令來確定身份將是不安全的，調查顯示，有70%以上的成功的網絡攻擊都是通過破解口令的方式完成的，這都對信息和網絡資源造成嚴重威脅，直接造成信息失密和經濟損失。

2  方案目標

本方案基于數字證書，解決用戶在訪問信息系統時進行身份鑒別的防假冒、防截獲、防重用等安全性問題。

3  方案概述

1.由具有電子認證服務許可的CA機構給用戶簽發數字證書。CA機構在簽發證書前，會嚴格核對用戶的身份證件，能滿足身份真實性要求

2. 用戶客戶端在登錄應用系統時，會對登錄表單進行數字簽名

3. 由PKI中間件對電子密鑰進行私鑰調用，完成數字簽名操作

4. 客戶端提交的登錄表單，主要包含被簽名的挑戰碼、用戶證書、簽名值，不具有私密性，可有效防止截獲和重放

5. 應用系統通過調用簽名驗簽服務器對用戶提交的登錄表單進行驗證，以保證用戶身份的真實性、有效性

6. 簽名驗簽服務器調用CA的證書注銷狀態查驗服務，以防止非法用戶登錄

4  網絡部署

5  方案價值

基于數字證書的身份認證登錄，被公認為是最好、最安全的登錄方式之一，因為具有以下優點：

1.由NETCA給用戶簽發數字證書，能保證用戶身份真實，符合國家電子簽名法要求

2. 可防網絡竊聽。證書認證中，網上傳輸的是私鑰對一個挑戰碼的簽名，私鑰并不需要傳輸，所以竊聽者并不能通過網絡竊聽到用戶私鑰。另由于每次認證的挑戰碼都不同，竊聽者竊聽的認證數據并不能用來重放攻擊

3. 管理使用方便。用戶只需隨身攜帶一個電子密鑰（形式如U盾、IC卡等），就可在不同的電腦上隨時隨地地登錄不同的應用系統。而且用戶的私鑰始終只在電子密鑰里面，任何使用過的電腦上都沒有私鑰痕跡

4. 無法在服務器側攻擊。服務器側保存的只是用戶的公鑰或公鑰證書，并沒有用戶的私鑰。公鑰只能用來驗證簽名而不能產生用于登錄認證的簽名

6. 具有補救措施。用戶在使用電子密鑰里的私鑰做簽名時，需要本地輸入正確的PIN碼或做指紋識別，而且這個PIN碼還有重試次數限制，輸錯指定的次數后eKey將鎖死，有效地防止了別人的多次猜測。另外，用戶也可以直接向CA注銷自己的證書，及時防止自己的證書被盜用

6  項目案例

某行政管理綜合業務系統密碼應用改造項目

某養老保險業務信息系統密碼應用建設項目