時(shí)代億信認(rèn)證墻系列產(chǎn)品為B/S、C/S業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等資源，提供高性能的安全認(rèn)證、統(tǒng)一接入、訪問控制、用戶管理、安全審計(jì)服務(wù)，滿足企業(yè)對(duì)多種異構(gòu)資源的認(rèn)證及訪問控制需求。

    認(rèn)證墻SID-PKI強(qiáng)身份認(rèn)證產(chǎn)品為企業(yè)級(jí)用戶提供強(qiáng)身份認(rèn)證解決方案，它建立在嚴(yán)密的PKI/CA技術(shù)體系基礎(chǔ)之上提供數(shù)字證書的簽發(fā)與認(rèn)證功能，并可擴(kuò)展支持指紋、手機(jī)短信等多種認(rèn)證組件集成，能夠在應(yīng)用系統(tǒng)的登錄認(rèn)證、敏感關(guān)鍵業(yè)務(wù)操作、應(yīng)用保護(hù)等環(huán)節(jié)提供身份安全識(shí)別的保障，將用戶認(rèn)證敏感信息以密文形式在網(wǎng)絡(luò)中傳輸，具有更高的安全性，從而解決了網(wǎng)絡(luò)環(huán)境中的用戶身份認(rèn)證安全問題。

產(chǎn)品組成

    SID-PKI產(chǎn)品由管理平臺(tái)、用戶登錄入口、外部系統(tǒng)認(rèn)證接口、底層服務(wù)四部分組成，為企業(yè)應(yīng)用系統(tǒng)/主機(jī)/網(wǎng)絡(luò)設(shè)備提供CA證書服務(wù)、簽名驗(yàn)簽服務(wù)、加密解密服務(wù)、用戶帳號(hào)管理、日志審計(jì)、身份認(rèn)證以及應(yīng)用接入管理服務(wù)。

SID可以解決以下企業(yè)安全問題
SID可以解決以下企業(yè)安全問題：
· 應(yīng)用于企業(yè)應(yīng)用系統(tǒng)的安全身份認(rèn)證（防止口令密碼被猜測(cè)或復(fù)制）
· 用于增強(qiáng)公網(wǎng)訪問應(yīng)用系統(tǒng)的安全性（從互聯(lián)網(wǎng)訪問的應(yīng)用系統(tǒng)）
· 用于增強(qiáng)應(yīng)用系統(tǒng)數(shù)據(jù)傳輸安全（用戶可使用安全鏈接訪問應(yīng)用系統(tǒng)）
· 用于提升關(guān)鍵操作的安全性（用戶關(guān)鍵操作要求額外認(rèn)證）

功能特點(diǎn)
一站式CA安全認(rèn)證解決方案
    SID-PKI產(chǎn)品把CA服務(wù)、簽名服務(wù)、認(rèn)證系統(tǒng)融合到一起，簡(jiǎn)化了CA應(yīng)用復(fù)雜度，降低成本，快速部署，易用。當(dāng)用戶部署SID-PKI產(chǎn)品后，應(yīng)用系統(tǒng)可以直接調(diào)用相關(guān)接口，實(shí)現(xiàn)對(duì)認(rèn)證信息、數(shù)據(jù)或其他重要信息的數(shù)字簽名與簽名驗(yàn)簽。管理員可以在同一管理平臺(tái)上維護(hù)用戶信息和證書信息，實(shí)現(xiàn)用戶證書的申請(qǐng)、下載、更新、吊銷等操作。配合SID-PKI產(chǎn)品的用戶導(dǎo)入功能，可以快速地為應(yīng)用系統(tǒng)簽發(fā)數(shù)字證書。
 
    支持SM2國(guó)密算法，兼容RSA算法 SID-PKI強(qiáng)身份認(rèn)證系統(tǒng)不僅系統(tǒng)內(nèi)置的CA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時(shí)在加密、簽名等主要流程節(jié)點(diǎn)中也已支持SM2密碼算法。

    同時(shí)為了更好的支持企業(yè)內(nèi)部已經(jīng)建立的CA證書系統(tǒng)，SID-PKI強(qiáng)身份認(rèn)證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

    可擴(kuò)展支持多種強(qiáng)身份認(rèn)證方式SID-PKI產(chǎn)品支持CA數(shù)字證書、USB智能卡、指紋、手機(jī)短信動(dòng)態(tài)碼等多種強(qiáng)身份認(rèn)證方式，充分發(fā)揮雙因素認(rèn)證的安全效果，有效保護(hù)用戶登錄應(yīng)用系統(tǒng)過程中身份信息的安全，確保只有合法用戶才能訪問應(yīng)用系統(tǒng)。


    提供多種方式和應(yīng)用系統(tǒng)無縫結(jié)合

    SID-PKI強(qiáng)身份認(rèn)證系統(tǒng)可提供多種方式與應(yīng)用系統(tǒng)進(jìn)行無縫結(jié)合，SID-PKI產(chǎn)品提供了API插件、反向代理、客戶端代理等多種集成方式，同時(shí)針對(duì)主流應(yīng)用提供各種適配器，應(yīng)用系統(tǒng)可根據(jù)自身需要選擇最方便的接口來實(shí)現(xiàn)。

    在常規(guī)模式下，業(yè)務(wù)系統(tǒng)使用SID-PKI提供的認(rèn)證API對(duì)認(rèn)證模塊進(jìn)行改造即可，用戶在部署SID-PKI系統(tǒng)后，可在極短的時(shí)間內(nèi)完成業(yè)務(wù)系統(tǒng)改造，快速接入并使用SID-PKI系統(tǒng)提供的強(qiáng)身份認(rèn)證服務(wù)具有改造工作量小、實(shí)施快速和不影響業(yè)務(wù)系統(tǒng)整體運(yùn)行流程的特點(diǎn)。

功能列表


應(yīng)用場(chǎng)景：
應(yīng)用場(chǎng)景一
    某地產(chǎn)公司內(nèi)部的財(cái)務(wù)系統(tǒng)中存儲(chǔ)著大量的房產(chǎn)交易數(shù)據(jù)，負(fù)責(zé)公司賬款和資金流轉(zhuǎn)等業(yè)務(wù)，同時(shí)各售樓中心也會(huì)通過專線接入內(nèi)網(wǎng)，進(jìn)行資金上報(bào)等業(yè)務(wù)。在公司內(nèi)部擁有非重要的作用和極高的安全準(zhǔn)入需求。同時(shí)，該公司希望能在出、入賬等關(guān)鍵操作時(shí)，要求對(duì)操作人員的身份進(jìn)行再次確認(rèn)。


    在辦公網(wǎng)絡(luò)中雙機(jī)部署SID-PKI強(qiáng)身份認(rèn)證產(chǎn)品，為財(cái)務(wù)系統(tǒng)用戶申請(qǐng)并簽發(fā)CA證書。財(cái)務(wù)系統(tǒng)通過SID-PKI認(rèn)證接入API，分別實(shí)現(xiàn)了用戶使用數(shù)字證書USB智能卡進(jìn)行身份認(rèn)證和關(guān)鍵操作保護(hù)的功能。SID-PKI產(chǎn)品對(duì)用戶登錄財(cái)務(wù)系統(tǒng)和關(guān)鍵操作驗(yàn)證進(jìn)行詳細(xì)日志記錄，并對(duì)歷史日志文件歸檔。

應(yīng)用場(chǎng)景二 某集團(tuán)在內(nèi)部辦公網(wǎng)中部署了IBM Websphere門戶系統(tǒng)，需要實(shí)現(xiàn)用戶登錄CA證書認(rèn)證和短信認(rèn)證方式。

    在內(nèi)網(wǎng)雙機(jī)部署SID-PKI產(chǎn)品，通過SID-PKI提供的標(biāo)準(zhǔn)EAI擴(kuò)展，實(shí)現(xiàn)了Websphere門戶系統(tǒng)的CA證書認(rèn)證和短信認(rèn)證。用戶登錄門戶時(shí)需要選擇使用數(shù)字證書USB智能卡或通過手機(jī)短信發(fā)送的一次性驗(yàn)證碼進(jìn)行認(rèn)證，SID-PKI產(chǎn)品通過EAI擴(kuò)展獲得認(rèn)證請(qǐng)求信息并進(jìn)行驗(yàn)證，之后將驗(yàn)證結(jié)果返回給門戶，從而實(shí)現(xiàn)了門戶系統(tǒng)的安全認(rèn)證需求。

SID強(qiáng)身份認(rèn)證系統(tǒng)產(chǎn)品功能
    強(qiáng)身份認(rèn)證的安全特性： SID強(qiáng)身份認(rèn)證系統(tǒng)將系統(tǒng)帳號(hào)以USB智能卡的形式存在于真正的用戶手中，有賴于“加密簽名”和“解密驗(yàn)簽”的信息交互機(jī)制，使之成為該用戶在各業(yè)務(wù)系統(tǒng)中唯一的身份標(biāo)識(shí)，只有持有智能卡的用戶才能登錄業(yè)務(wù)系統(tǒng)、處理關(guān)鍵信息。并且，智能卡在所有業(yè)務(wù)系統(tǒng)中的信息是一至的。

    使用SID系統(tǒng)進(jìn)行用戶身份驗(yàn)證時(shí)，用戶無需擔(dān)心智能卡信息的安全性和正確性。SID身份認(rèn)證組件在獲得智能卡信息后會(huì)自動(dòng)將用戶證書信息以及隨機(jī)數(shù)進(jìn)行組合，并對(duì)其進(jìn)行非對(duì)稱加密以及用戶證書簽名。

    SID強(qiáng)身份認(rèn)證系統(tǒng)在為用戶提供身份認(rèn)證的同時(shí)，還為用戶提供“關(guān)鍵操作驗(yàn)證”服務(wù)。

· 應(yīng)用快速接入： 用戶部署SID強(qiáng)身份認(rèn)證系統(tǒng)后，業(yè)務(wù)系統(tǒng)只需經(jīng)過簡(jiǎn)單的改造就可以使用該系統(tǒng)作為統(tǒng)一認(rèn)證中心使用。在常規(guī)模式下，業(yè)務(wù)系統(tǒng)使用SID提供的認(rèn)證API對(duì)認(rèn)證模塊進(jìn)行改造即可。具有改造工作量小、實(shí)施快速和不影響業(yè)務(wù)系統(tǒng)整體運(yùn)行流程的特點(diǎn)。

· 內(nèi)置ETCA企業(yè)級(jí)CA： 如圖所示，SID強(qiáng)身份認(rèn)證系統(tǒng)內(nèi)置了一套名為“ETCA”的CA證書中心，當(dāng)用戶部署SID強(qiáng)身份認(rèn)證系統(tǒng)后，用戶也就擁有了一套企業(yè)級(jí)CA證書中心。
同時(shí)，為了兼容已有業(yè)務(wù)系統(tǒng)中的用戶信息，SID系統(tǒng)提供的用戶導(dǎo)入功能配合CA證書中心使用后，可在非常短的時(shí)間內(nèi)為已有用戶完成證書申請(qǐng)工作。


完成證書申請(qǐng)的用戶，可以通過管理員在SID管理平臺(tái)中將證書灌制到USB智能卡后發(fā)給用戶，或者由用戶在指定頁面通過授權(quán)碼自助灌制。

· 內(nèi)置驗(yàn)簽服務(wù)模塊及開發(fā)API： SID強(qiáng)身份認(rèn)證系統(tǒng)作為企業(yè)級(jí)強(qiáng)身份認(rèn)證的整體解決方案，在系統(tǒng)內(nèi)集成了一套簽名、驗(yàn)簽服務(wù)，用戶無需單獨(dú)購置。

簽名驗(yàn)簽服務(wù)作為SID強(qiáng)身份認(rèn)證系統(tǒng)的核心組件之一，負(fù)責(zé)對(duì)客戶端提交的用戶認(rèn)證信息進(jìn)行解密、驗(yàn)簽、重放驗(yàn)證等處理，并將處理后獲得的關(guān)鍵信息返回給SID認(rèn)證系統(tǒng)。

· 支持SM2橢圓曲線密碼算法：
為滿足電子認(rèn)證服務(wù)系統(tǒng)等應(yīng)用需求，國(guó)家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線的SM2密碼算法（國(guó)家密碼管理局公告第21號(hào)），其算法機(jī)制準(zhǔn)則包括總則、數(shù)字簽名算法、密鑰交換協(xié)議、公鑰加密算法等四大部分，并要求自2011年3月1日起，新研制的含有公鑰密碼算法的商用密碼產(chǎn)品必須支持SM2橢圓曲線密碼算法。

    SID強(qiáng)身份認(rèn)證系統(tǒng)不僅系統(tǒng)內(nèi)置的ETCA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時(shí)在加密、簽名等主要流程節(jié)點(diǎn)中也已支持SM2密碼算法。

    同時(shí)為了更好的支持企業(yè)內(nèi)部已經(jīng)建立的CA證書系統(tǒng)，SID強(qiáng)身份認(rèn)證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

· 符合國(guó)家密碼算法相關(guān)安全標(biāo)準(zhǔn)： SID強(qiáng)身份認(rèn)證系統(tǒng)遵守以下國(guó)家標(biāo)準(zhǔn)：
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第1部分：概述
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分：非對(duì)稱加密
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分：對(duì)稱加密
GB/T 17903.1-1999信息技術(shù) 安全技術(shù) 抗抵賴 第1部分：概述
GB/T 17903.2-1999信息技術(shù) 安全技術(shù) 抗抵賴 第2部分：使用對(duì)稱技術(shù)的機(jī)制
GB/T 17903.3-1999信息技術(shù) 安全技術(shù) 抗抵賴 第3部分：使用非對(duì)稱技術(shù)的機(jī)制
GB/T 18238.1-2000信息技術(shù) 安全技術(shù) 散列函數(shù) 第1部分：概述
GB/T 18238.2-2002信息技術(shù) 安全技術(shù) 散列函數(shù) 第2部分：采用N位塊密碼的散列函數(shù)
GB/T 18238.3-2002信息技術(shù) 安全技術(shù) 散列函數(shù) 第3部分：占用散列函數(shù)
GB/T 20518-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式
GB/T 20520-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時(shí)間戳規(guī)范
GB/T 19713-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議
GB/T 19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI組件最小互操作規(guī)范
GB/T 15851信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案

公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 證書應(yīng)用綜合服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 通用密碼服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 標(biāo)識(shí)規(guī)范
信息安全技術(shù) 證書認(rèn)證系統(tǒng) 密碼及其相關(guān)安全技術(shù)規(guī)范
信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時(shí)間戳規(guī)范

數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范
· 高安全性：
SID強(qiáng)身份認(rèn)證系統(tǒng)的安全策略支持用戶IP地址策略、管理IP地址策略、時(shí)間策略。

    SID強(qiáng)認(rèn)證系統(tǒng)的管理員基于三員分立機(jī)制，系統(tǒng)管理員、安全管理員與系統(tǒng)審計(jì)員各司其職，互相監(jiān)督，為用戶企業(yè)提供具有安全保障的系統(tǒng)管理平臺(tái)。同時(shí)，系統(tǒng)為使管理更加細(xì)化，允許在組織機(jī)構(gòu)中設(shè)立分級(jí)管理員，各部分的用戶、證書管理可以在本部門內(nèi)部設(shè)立管理員自行解決。

    SID系統(tǒng)可為企業(yè)審計(jì)工作提供管理員操作日志、用戶認(rèn)證日志、系統(tǒng)運(yùn)行日志等多種審計(jì)資料，支持Syslog遠(yuǎn)程提交與Excel文件導(dǎo)出。

· 認(rèn)證可擴(kuò)展： 隨著信息安全領(lǐng)域的不斷擴(kuò)展，SID強(qiáng)身份認(rèn)證系統(tǒng)除支持傳統(tǒng)的USB智能卡、證書文件外，增加了動(dòng)態(tài)口令、指紋、短信一次性口令等多種強(qiáng)認(rèn)證方式的可擴(kuò)展支持。

    用戶可以根據(jù)自身環(huán)境和安全需求，選擇使用何種強(qiáng)認(rèn)證手段。

· 高性能、穩(wěn)定性： SID強(qiáng)身份認(rèn)證系統(tǒng)作為企業(yè)強(qiáng)認(rèn)證需求的整體解決方案，經(jīng)過多年的發(fā)展，擁有眾多應(yīng)用成功案例�？梢灾С�2000筆/秒的最大認(rèn)證并發(fā)量以及成熟的安全技術(shù)和長(zhǎng)期穩(wěn)定運(yùn)行的承諾，為企業(yè)大規(guī)模應(yīng)用提供強(qiáng)有力的支持和保障。

SID強(qiáng)身份認(rèn)證系統(tǒng)產(chǎn)品規(guī)格
單次認(rèn)證請(qǐng)求處理時(shí)間小于0.3秒
并發(fā)用戶訪問量大于200
證書簽發(fā)速度大于500張每小時(shí)

SID強(qiáng)身份認(rèn)證系統(tǒng)產(chǎn)品方案
    時(shí)代億信認(rèn)證訪問控制墻認(rèn)證訪問控制墻是一款提供認(rèn)證和訪問控制的硬件設(shè)備，為企業(yè)B/S和C/S業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫等企業(yè)資源，提供高性能的安全認(rèn)證、統(tǒng)一接入、訪問控制、安全管理、安全審計(jì)服務(wù)。產(chǎn)品能夠滿足不同企業(yè)集中認(rèn)證、訪問控制和安全管理的需求。

    認(rèn)證訪問控制墻通過網(wǎng)絡(luò)層和應(yīng)用層聯(lián)動(dòng)，采用網(wǎng)絡(luò)層協(xié)議分析與應(yīng)用層訪問策略相結(jié)合的訪問控制技術(shù)，形成用戶信息、協(xié)議號(hào)、目的IP地址、目的端口的用戶身份動(dòng)態(tài)資源訪問控制策略；在不改動(dòng)用戶應(yīng)用的前提下，通過協(xié)議分析，實(shí)現(xiàn)資源的細(xì)粒度訪問控制；使用流量限速的差異化訪問技術(shù)，克服傳統(tǒng)只能針對(duì)應(yīng)用進(jìn)行QoS設(shè)定的缺陷，實(shí)現(xiàn)了用戶身份與應(yīng)用綁定的流量控制功能，提高系統(tǒng)性能；同時(shí)，本產(chǎn)品可應(yīng)用到WLAN無線和3G網(wǎng)絡(luò)，實(shí)現(xiàn)基于無線網(wǎng)絡(luò)的統(tǒng)一認(rèn)證與訪問控制。本產(chǎn)品已在中國(guó)電信總部OA統(tǒng)一認(rèn)證與訪問控制工程、中央國(guó)債統(tǒng)一認(rèn)證及訪問控制工程等項(xiàng)目中成功使用。

    認(rèn)證訪問控制墻著眼于應(yīng)用層和網(wǎng)絡(luò)層兩個(gè)層面的認(rèn)證與訪問控制聯(lián)動(dòng)，為電信級(jí)企業(yè)或集團(tuán)的各類用戶和應(yīng)用系統(tǒng)、主機(jī)、網(wǎng)絡(luò)設(shè)備等資源提供高性能的安全認(rèn)證服務(wù)、安全接入與訪問控制服務(wù)、安全管理服務(wù)、安全審計(jì)服務(wù)。

    時(shí)代億信推出的認(rèn)證訪問控制墻，是當(dāng)前市場(chǎng)中唯一整合了CA、動(dòng)態(tài)口令、短信認(rèn)證等多種身份認(rèn)證技術(shù)、應(yīng)用動(dòng)態(tài)加密通道、網(wǎng)絡(luò)流量差異化服務(wù)、網(wǎng)絡(luò)層訪問控制、應(yīng)用代理、信息中轉(zhuǎn)和推送、協(xié)議分析、URL重寫、內(nèi)容過濾、內(nèi)容重寫、端到端加密通道、服務(wù)器插件信息提取等多項(xiàng)關(guān)鍵技術(shù)，綜合提供身份統(tǒng)一管理、角色統(tǒng)一管理、資源統(tǒng)一管理、授權(quán)統(tǒng)一管理、身份統(tǒng)一認(rèn)證、訪問控制等功能的產(chǎn)品，能有效整合各種應(yīng)用系統(tǒng)用戶資源，增強(qiáng)應(yīng)用資源安全性，提高工作效率，降低溝通成本，是對(duì)多種信息安全技術(shù)、身份認(rèn)證技術(shù)和訪問控制技術(shù)的綜合應(yīng)用，可廣泛滿足用戶的多種需求，而無須進(jìn)行二次開發(fā)，快速部署和應(yīng)用。