時代億信認證墻系列產(chǎn)品為B/S、C/S業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫等資源，提供高性能的安全認證、統(tǒng)一接入、訪問控制、用戶管理、安全審計服務(wù)，滿足企業(yè)對多種異構(gòu)資源的認證及訪問控制需求。

    認證墻SID-PKI強身份認證產(chǎn)品為企業(yè)級用戶提供強身份認證解決方案，它建立在嚴密的PKI/CA技術(shù)體系基礎(chǔ)之上提供數(shù)字證書的簽發(fā)與認證功能，并可擴展支持指紋、手機短信等多種認證組件集成，能夠在應(yīng)用系統(tǒng)的登錄認證、敏感關(guān)鍵業(yè)務(wù)操作、應(yīng)用保護等環(huán)節(jié)提供身份安全識別的保障，將用戶認證敏感信息以密文形式在網(wǎng)絡(luò)中傳輸，具有更高的安全性，從而解決了網(wǎng)絡(luò)環(huán)境中的用戶身份認證安全問題。

產(chǎn)品組成

    SID-PKI產(chǎn)品由管理平臺、用戶登錄入口、外部系統(tǒng)認證接口、底層服務(wù)四部分組成，為企業(yè)應(yīng)用系統(tǒng)/主機/網(wǎng)絡(luò)設(shè)備提供CA證書服務(wù)、簽名驗簽服務(wù)、加密解密服務(wù)、用戶帳號管理、日志審計、身份認證以及應(yīng)用接入管理服務(wù)。

SID可以解決以下企業(yè)安全問題
SID可以解決以下企業(yè)安全問題：
· 應(yīng)用于企業(yè)應(yīng)用系統(tǒng)的安全身份認證（防止口令密碼被猜測或復(fù)制）
· 用于增強公網(wǎng)訪問應(yīng)用系統(tǒng)的安全性（從互聯(lián)網(wǎng)訪問的應(yīng)用系統(tǒng)）
· 用于增強應(yīng)用系統(tǒng)數(shù)據(jù)傳輸安全（用戶可使用安全鏈接訪問應(yīng)用系統(tǒng)）
· 用于提升關(guān)鍵操作的安全性（用戶關(guān)鍵操作要求額外認證）

功能特點
一站式CA安全認證解決方案
    SID-PKI產(chǎn)品把CA服務(wù)、簽名服務(wù)、認證系統(tǒng)融合到一起，簡化了CA應(yīng)用復(fù)雜度，降低成本，快速部署，易用。當(dāng)用戶部署SID-PKI產(chǎn)品后，應(yīng)用系統(tǒng)可以直接調(diào)用相關(guān)接口，實現(xiàn)對認證信息、數(shù)據(jù)或其他重要信息的數(shù)字簽名與簽名驗簽。管理員可以在同一管理平臺上維護用戶信息和證書信息，實現(xiàn)用戶證書的申請、下載、更新、吊銷等操作。配合SID-PKI產(chǎn)品的用戶導(dǎo)入功能，可以快速地為應(yīng)用系統(tǒng)簽發(fā)數(shù)字證書。
 
    支持SM2國密算法，兼容RSA算法 SID-PKI強身份認證系統(tǒng)不僅系統(tǒng)內(nèi)置的CA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時在加密、簽名等主要流程節(jié)點中也已支持SM2密碼算法。

    同時為了更好的支持企業(yè)內(nèi)部已經(jīng)建立的CA證書系統(tǒng)，SID-PKI強身份認證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

    可擴展支持多種強身份認證方式SID-PKI產(chǎn)品支持CA數(shù)字證書、USB智能卡、指紋、手機短信動態(tài)碼等多種強身份認證方式，充分發(fā)揮雙因素認證的安全效果，有效保護用戶登錄應(yīng)用系統(tǒng)過程中身份信息的安全，確保只有合法用戶才能訪問應(yīng)用系統(tǒng)。


    提供多種方式和應(yīng)用系統(tǒng)無縫結(jié)合

    SID-PKI強身份認證系統(tǒng)可提供多種方式與應(yīng)用系統(tǒng)進行無縫結(jié)合，SID-PKI產(chǎn)品提供了API插件、反向代理、客戶端代理等多種集成方式，同時針對主流應(yīng)用提供各種適配器，應(yīng)用系統(tǒng)可根據(jù)自身需要選擇最方便的接口來實現(xiàn)。

    在常規(guī)模式下，業(yè)務(wù)系統(tǒng)使用SID-PKI提供的認證API對認證模塊進行改造即可，用戶在部署SID-PKI系統(tǒng)后，可在極短的時間內(nèi)完成業(yè)務(wù)系統(tǒng)改造，快速接入并使用SID-PKI系統(tǒng)提供的強身份認證服務(wù)具有改造工作量小、實施快速和不影響業(yè)務(wù)系統(tǒng)整體運行流程的特點。

功能列表


應(yīng)用場景：
應(yīng)用場景一
    某地產(chǎn)公司內(nèi)部的財務(wù)系統(tǒng)中存儲著大量的房產(chǎn)交易數(shù)據(jù)，負責(zé)公司賬款和資金流轉(zhuǎn)等業(yè)務(wù)，同時各售樓中心也會通過專線接入內(nèi)網(wǎng)，進行資金上報等業(yè)務(wù)。在公司內(nèi)部擁有非重要的作用和極高的安全準(zhǔn)入需求。同時，該公司希望能在出、入賬等關(guān)鍵操作時，要求對操作人員的身份進行再次確認。


    在辦公網(wǎng)絡(luò)中雙機部署SID-PKI強身份認證產(chǎn)品，為財務(wù)系統(tǒng)用戶申請并簽發(fā)CA證書。財務(wù)系統(tǒng)通過SID-PKI認證接入API，分別實現(xiàn)了用戶使用數(shù)字證書USB智能卡進行身份認證和關(guān)鍵操作保護的功能。SID-PKI產(chǎn)品對用戶登錄財務(wù)系統(tǒng)和關(guān)鍵操作驗證進行詳細日志記錄，并對歷史日志文件歸檔。

應(yīng)用場景二 某集團在內(nèi)部辦公網(wǎng)中部署了IBM Websphere門戶系統(tǒng)，需要實現(xiàn)用戶登錄CA證書認證和短信認證方式。

    在內(nèi)網(wǎng)雙機部署SID-PKI產(chǎn)品，通過SID-PKI提供的標(biāo)準(zhǔn)EAI擴展，實現(xiàn)了Websphere門戶系統(tǒng)的CA證書認證和短信認證。用戶登錄門戶時需要選擇使用數(shù)字證書USB智能卡或通過手機短信發(fā)送的一次性驗證碼進行認證，SID-PKI產(chǎn)品通過EAI擴展獲得認證請求信息并進行驗證，之后將驗證結(jié)果返回給門戶，從而實現(xiàn)了門戶系統(tǒng)的安全認證需求。

SID強身份認證系統(tǒng)產(chǎn)品功能
    強身份認證的安全特性： SID強身份認證系統(tǒng)將系統(tǒng)帳號以USB智能卡的形式存在于真正的用戶手中，有賴于“加密簽名”和“解密驗簽”的信息交互機制，使之成為該用戶在各業(yè)務(wù)系統(tǒng)中唯一的身份標(biāo)識，只有持有智能卡的用戶才能登錄業(yè)務(wù)系統(tǒng)、處理關(guān)鍵信息。并且，智能卡在所有業(yè)務(wù)系統(tǒng)中的信息是一至的。

    使用SID系統(tǒng)進行用戶身份驗證時，用戶無需擔(dān)心智能卡信息的安全性和正確性。SID身份認證組件在獲得智能卡信息后會自動將用戶證書信息以及隨機數(shù)進行組合，并對其進行非對稱加密以及用戶證書簽名。

    SID強身份認證系統(tǒng)在為用戶提供身份認證的同時，還為用戶提供“關(guān)鍵操作驗證”服務(wù)。

· 應(yīng)用快速接入： 用戶部署SID強身份認證系統(tǒng)后，業(yè)務(wù)系統(tǒng)只需經(jīng)過簡單的改造就可以使用該系統(tǒng)作為統(tǒng)一認證中心使用。在常規(guī)模式下，業(yè)務(wù)系統(tǒng)使用SID提供的認證API對認證模塊進行改造即可。具有改造工作量小、實施快速和不影響業(yè)務(wù)系統(tǒng)整體運行流程的特點。

· 內(nèi)置ETCA企業(yè)級CA： 如圖所示，SID強身份認證系統(tǒng)內(nèi)置了一套名為“ETCA”的CA證書中心，當(dāng)用戶部署SID強身份認證系統(tǒng)后，用戶也就擁有了一套企業(yè)級CA證書中心。
同時，為了兼容已有業(yè)務(wù)系統(tǒng)中的用戶信息，SID系統(tǒng)提供的用戶導(dǎo)入功能配合CA證書中心使用后，可在非常短的時間內(nèi)為已有用戶完成證書申請工作。


完成證書申請的用戶，可以通過管理員在SID管理平臺中將證書灌制到USB智能卡后發(fā)給用戶，或者由用戶在指定頁面通過授權(quán)碼自助灌制。

· 內(nèi)置驗簽服務(wù)模塊及開發(fā)API： SID強身份認證系統(tǒng)作為企業(yè)級強身份認證的整體解決方案，在系統(tǒng)內(nèi)集成了一套簽名、驗簽服務(wù)，用戶無需單獨購置。

簽名驗簽服務(wù)作為SID強身份認證系統(tǒng)的核心組件之一，負責(zé)對客戶端提交的用戶認證信息進行解密、驗簽、重放驗證等處理，并將處理后獲得的關(guān)鍵信息返回給SID認證系統(tǒng)。

· 支持SM2橢圓曲線密碼算法：
為滿足電子認證服務(wù)系統(tǒng)等應(yīng)用需求，國家密碼管理局于2010年末發(fā)布了基于ECC橢圓曲線的SM2密碼算法（國家密碼管理局公告第21號），其算法機制準(zhǔn)則包括總則、數(shù)字簽名算法、密鑰交換協(xié)議、公鑰加密算法等四大部分，并要求自2011年3月1日起，新研制的含有公鑰密碼算法的商用密碼產(chǎn)品必須支持SM2橢圓曲線密碼算法。

    SID強身份認證系統(tǒng)不僅系統(tǒng)內(nèi)置的ETCA證書中心支持使用SM2密碼算法簽發(fā)用戶證書，同時在加密、簽名等主要流程節(jié)點中也已支持SM2密碼算法。

    同時為了更好的支持企業(yè)內(nèi)部已經(jīng)建立的CA證書系統(tǒng)，SID強身份認證系統(tǒng)可以兼容原有1024位、2048位的RSA算法。

· 符合國家密碼算法相關(guān)安全標(biāo)準(zhǔn)： SID強身份認證系統(tǒng)遵守以下國家標(biāo)準(zhǔn)：
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第1部分：概述
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分：非對稱加密
GB/T 17964-2000信息技術(shù) 安全技術(shù) 加密算法 第2部分：對稱加密
GB/T 17903.1-1999信息技術(shù) 安全技術(shù) 抗抵賴 第1部分：概述
GB/T 17903.2-1999信息技術(shù) 安全技術(shù) 抗抵賴 第2部分：使用對稱技術(shù)的機制
GB/T 17903.3-1999信息技術(shù) 安全技術(shù) 抗抵賴 第3部分：使用非對稱技術(shù)的機制
GB/T 18238.1-2000信息技術(shù) 安全技術(shù) 散列函數(shù) 第1部分：概述
GB/T 18238.2-2002信息技術(shù) 安全技術(shù) 散列函數(shù) 第2部分：采用N位塊密碼的散列函數(shù)
GB/T 18238.3-2002信息技術(shù) 安全技術(shù) 散列函數(shù) 第3部分：占用散列函數(shù)
GB/T 20518-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式
GB/T 20520-2006信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范
GB/T 19713-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議
GB/T 19771-2005信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI組件最小互操作規(guī)范
GB/T 15851信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案

公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 證書應(yīng)用綜合服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 通用密碼服務(wù)接口規(guī)范
公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系 標(biāo)識規(guī)范
信息安全技術(shù) 證書認證系統(tǒng) 密碼及其相關(guān)安全技術(shù)規(guī)范
信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時間戳規(guī)范

數(shù)字證書認證系統(tǒng)密碼協(xié)議規(guī)范
· 高安全性：
SID強身份認證系統(tǒng)的安全策略支持用戶IP地址策略、管理IP地址策略、時間策略。

    SID強認證系統(tǒng)的管理員基于三員分立機制，系統(tǒng)管理員、安全管理員與系統(tǒng)審計員各司其職，互相監(jiān)督，為用戶企業(yè)提供具有安全保障的系統(tǒng)管理平臺。同時，系統(tǒng)為使管理更加細化，允許在組織機構(gòu)中設(shè)立分級管理員，各部分的用戶、證書管理可以在本部門內(nèi)部設(shè)立管理員自行解決。

    SID系統(tǒng)可為企業(yè)審計工作提供管理員操作日志、用戶認證日志、系統(tǒng)運行日志等多種審計資料，支持Syslog遠程提交與Excel文件導(dǎo)出。

· 認證可擴展： 隨著信息安全領(lǐng)域的不斷擴展，SID強身份認證系統(tǒng)除支持傳統(tǒng)的USB智能卡、證書文件外，增加了動態(tài)口令、指紋、短信一次性口令等多種強認證方式的可擴展支持。

    用戶可以根據(jù)自身環(huán)境和安全需求，選擇使用何種強認證手段。

· 高性能、穩(wěn)定性： SID強身份認證系統(tǒng)作為企業(yè)強認證需求的整體解決方案，經(jīng)過多年的發(fā)展，擁有眾多應(yīng)用成功案例�？梢灾С�2000筆/秒的最大認證并發(fā)量以及成熟的安全技術(shù)和長期穩(wěn)定運行的承諾，為企業(yè)大規(guī)模應(yīng)用提供強有力的支持和保障。

SID強身份認證系統(tǒng)產(chǎn)品規(guī)格
單次認證請求處理時間小于0.3秒
并發(fā)用戶訪問量大于200
證書簽發(fā)速度大于500張每小時

SID強身份認證系統(tǒng)產(chǎn)品方案
    時代億信認證訪問控制墻認證訪問控制墻是一款提供認證和訪問控制的硬件設(shè)備，為企業(yè)B/S和C/S業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫等企業(yè)資源，提供高性能的安全認證、統(tǒng)一接入、訪問控制、安全管理、安全審計服務(wù)。產(chǎn)品能夠滿足不同企業(yè)集中認證、訪問控制和安全管理的需求。

    認證訪問控制墻通過網(wǎng)絡(luò)層和應(yīng)用層聯(lián)動，采用網(wǎng)絡(luò)層協(xié)議分析與應(yīng)用層訪問策略相結(jié)合的訪問控制技術(shù)，形成用戶信息、協(xié)議號、目的IP地址、目的端口的用戶身份動態(tài)資源訪問控制策略；在不改動用戶應(yīng)用的前提下，通過協(xié)議分析，實現(xiàn)資源的細粒度訪問控制；使用流量限速的差異化訪問技術(shù)，克服傳統(tǒng)只能針對應(yīng)用進行QoS設(shè)定的缺陷，實現(xiàn)了用戶身份與應(yīng)用綁定的流量控制功能，提高系統(tǒng)性能；同時，本產(chǎn)品可應(yīng)用到WLAN無線和3G網(wǎng)絡(luò)，實現(xiàn)基于無線網(wǎng)絡(luò)的統(tǒng)一認證與訪問控制。本產(chǎn)品已在中國電信總部OA統(tǒng)一認證與訪問控制工程、中央國債統(tǒng)一認證及訪問控制工程等項目中成功使用。

    認證訪問控制墻著眼于應(yīng)用層和網(wǎng)絡(luò)層兩個層面的認證與訪問控制聯(lián)動，為電信級企業(yè)或集團的各類用戶和應(yīng)用系統(tǒng)、主機、網(wǎng)絡(luò)設(shè)備等資源提供高性能的安全認證服務(wù)、安全接入與訪問控制服務(wù)、安全管理服務(wù)、安全審計服務(wù)。

    時代億信推出的認證訪問控制墻，是當(dāng)前市場中唯一整合了CA、動態(tài)口令、短信認證等多種身份認證技術(shù)、應(yīng)用動態(tài)加密通道、網(wǎng)絡(luò)流量差異化服務(wù)、網(wǎng)絡(luò)層訪問控制、應(yīng)用代理、信息中轉(zhuǎn)和推送、協(xié)議分析、URL重寫、內(nèi)容過濾、內(nèi)容重寫、端到端加密通道、服務(wù)器插件信息提取等多項關(guān)鍵技術(shù)，綜合提供身份統(tǒng)一管理、角色統(tǒng)一管理、資源統(tǒng)一管理、授權(quán)統(tǒng)一管理、身份統(tǒng)一認證、訪問控制等功能的產(chǎn)品，能有效整合各種應(yīng)用系統(tǒng)用戶資源，增強應(yīng)用資源安全性，提高工作效率，降低溝通成本，是對多種信息安全技術(shù)、身份認證技術(shù)和訪問控制技術(shù)的綜合應(yīng)用，可廣泛滿足用戶的多種需求，而無須進行二次開發(fā)，快速部署和應(yīng)用。