飞天诚信信创身份认证解决方案

　　

　　引言

　　随着信创产品的广泛应用，安全问题越来越不容忽视。通过信创工委会发起的案例征集活动，基于信创的身份认证安全解决方案经过业界专家多方评议和严格遴选，成为首批信息技术应用创新安全优秀解决方案，并由国家工业信息安全发展研究中心于2020年12月31日公示。

　　该方案不仅使用了多种信创产品，还完成了与多种信创应用系统的适配，能够升级应用系统的身份认证体系，帮助应用系统符合等保2.0的要求，有效执行合规要求，降低信息化建设成本。实际应用情况表明，该方案能够提供可靠的、不间断的身份认证服务，增强系统信息安全的同时也保障了系统建设按计划推进。

　　一、解决的问题

　　等保2.0中新增要求“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现”、“应遵循密码相关国家标准和行业标准”以及“应使用国家密码主管部门认证核准的技术和产品”等。

　　为满足上述要求，有必要改造现有系统，将系统中的身份鉴别机制升级为双因素身份鉴别。然而，改造现有系统面临着以下“痛点”：

　　身份鉴别是用户登录并使用系统的“第一道关口”，贸然对现有系统的身份鉴别机制进行改造，容易影响系统的正常使用，甚至可能导致业务连续性被破坏；

　　现有系统与双因素身份鉴别系统对接时，接口复杂多变（系统中的设备可能可使用不同的接口）、工作量较大（现有系统的所有设备/节点都需要分别与双因素身份鉴别系统对接，工作量与现有系统的规模相关），项目周期有一定的不确定性；

　　采购及部署应用密码技术的双因素身份鉴别系统时，不仅需要考察系统及其所使用的密码设备、密码算法、密码协议等是否经过国家密码主管部门核准，还要部署合规的密钥管理体系，需要专业合规的处理。

　　二、方案简介

　　本解决方案支持基于国密算法（SM3算法）的动态口令身份鉴别协议，符合密码行业标准GM/T0021-2012《动态口令密码应用技术规范》以及国家标准GB/T38556-2020《信息安全技术动态口令密码应用技术规范》（飞天诚信是上述标准的起草单位之一）的要求，可与常用的口令相结合，构成符合等保2.0要求的身份鉴别机制。

　　系统体系架构如下：

　　

　　物理架构设计思路如下：

　　

　　该方案具有以下技术特点：

　　采用先进、实用、成熟的技术和开放体系结构，具有高可靠性、高可用性和高可维护性。支持用户量千万级别，单认证服务器处理能力3000次/秒，认证响应时间 5ms，认证占用带宽 1M，支持Radius、LDAP、TCP/UDP、SOAP等协议，它可以为各种各样的应用系统提供高安全性的动态令牌身份认证服务，并可以提供多种灵活多样的身份认证解决方案，以满足不同用户的需求。OTP Server支持多种动态令牌，包括基于事件的、基于时间的、基于挑战应答的；支持硬件令牌、手机令牌、短信令牌、卡片令牌等；支持的动态口令长度有6位和8位；支持的动态口令变化周期有30秒和60秒。

　　三、方案的特色与优势

　　1、基于密码技术的“第二因素”身份认证服务：基于国家密码主管部门认证核准的密码产品，提供动态口令、数字签名等多种国家密码主管部门认证核准的身份认证技术，与常见的用户名/口令集成构成符合等保2.0要求的双因素身份鉴别机制，支持“增量改造”的集成模式，对现有系统的影响较小；

　　2、丰富的集成接口：提供API（支持C、Java、PHP等多种常见语言）、标准协议接口（包括Radius、OAuth2.0、SAML2.0等）、认证代理等多种系统集成接口方式，与现有系统对接方便且便于部署实施；

　　3、提供单点登录服务：将分散的用户和权限资源进行统一、集中的管理，改变原有各应用系统中的分散式身份认证及授权管理，减轻系统维护负担；

　　4、灵活的部署方式：支持公有云、信创云、以及专用系统部署方式。

　　四、成功应用案例

　　该方案应用于国家政务服务平台内网。国家政务服务平台是全国性质的政务服务网络，其内网系统部署了飞天诚信统一身份认证解决方案，为内网用户登录网络节点提供动态口令认证服务，与网络节点已有的用户名/口令机制相结合，构成符合等保2.0要求的双因素身份鉴别机制。国家政务服务平台内网环境较为复杂，分为互联网区、公共区，生产区和测试区，网络节点数超过2000个，设备类型包括网络基础设施（如交换机、路由器等）、电脑主机（如PC机、服务器等）以及应用系统（部署在虚拟机的云服务）等。不仅如此，该系统还在持续扩容，网络节点不断增加。在每个区各部署了一套飞天诚信统一身份认证平台，并配置双机热备的高可用形式，提供可靠的、不间断的身份鉴别服务，保护系统信息安全的同时也有力地保障了系统建设项目按计划推进。

　　针对各类网络节点的特点，提供多种类型的对接方案，包括：

　　支持标准化的Radius协议，网络基础设施可利用该协议接入认证平台；

　　利用信创操作系统内置的PAM（可插入认证模块）机制，在电脑主机部署认证代理软件，接入认证平台。用户登录主机时，认证代理除了验证原本的静态密码之外，还要求用户输入动态口令，完成双因素身份认证；

　　对应用系统提供API接口，在源代码层面进行集成。管理员登录系统时，应用系统除了验证原本的静态密码之外，要求管理员输入动态口令，并通过API接口向认证服务器发送认证请求，从而完成双因素认证。

　　

　　本方案由飞天诚信科技股份有限公司提供，飞天诚信是嵌入式操作系统及数字安全系统整体解决方案的提供商和服务商，成立于1998年，总部设在北京，现注册资本金4.18亿元，拥有员工900余人。凭借硬件整合技术、软件和系统研发实力，成为为全球用户提供值得信赖的信息安全产品和解决方案的国际型企业。

　　用户单位如需了解方案详细内容，可在后台留言或与相关企业联系。