PKI系统方案简介

('PKI系统方案简介内容目录1概述...................................................................................................................................12需求分析............................................................................................................................23PKI/CA系统简介...............................................................................................................33.1技术介绍....................................................................................................................33.1.1关键密码技术......................................................................................................43.1.2加密/解密技术.....................................................................................................43.1.3数字签名.............................................................................................................63.1.4数字证书.............................................................................................................83.1.5数字信封.............................................................................................................83.2系统组成..................................................................................................................103.2.1认证机构(CA/RA)..............................................................................................103.2.2证书库(LDAP)...................................................................................................113.2.3密钥管理系统(KMC)..........................................................................................113.2.4证书作废处理及在线查询系统(CRL/OCSP)......................................................113.2.5PKI安全应接口系统..........................................................................................123.3建设方式..................................................................................................................133.3.1自建型..............................................................................................................133.3.2第三方服务.......................................................................................................134应用支撑..........................................................................................................................144.1证书应用TOOLKIT.....................................................................................................144.2动态口令..................................................................................................................155公司简介..........................................................................................................................171概述在当今随着互联网技术的发展，互联网信息系统的应用日益广泛，Internet的建设日益普及，企业也在大量地进行信息化建设，企业信息化建设极大地提高了企业的经营管理效率，成为企业提高竞争力的有力手段，更值得注意的是，越来越多的企业开始将网络向远程工作人员、移动办公人员、合作伙伴、供应商和用户开放。虽然Internet的普及应用为企业带来了很多商业利益，对人们的生活也带来了更多得方便，但是同时也增加了企业网络的安全风险，为怀有恶意企图的黑客留下了一扇永不关闭的窗口。所以，企业信息化建设万万不能忽视信息安全的保护，尤其要注意企业数据信息的加密和网络安全监控。如果没有对系统和网络的安全性进行评估，也没有对企业核心数据的保密和安全防范，那么灾难的发生就仅仅是一个时间的问题了。2003年3月，我国信息产业部确定了电子信息产业的17项研究课题，其中一项是：《大力推动电子政务、企业信息化、电子商务等发展，做好信息化推进各项工作》。信息产业部对信息化的高度重视和积极推进，使我国电子政务、企业信息化、电子商务发展飞速。无论是电子商务也好，电子政务也罢，都有一个共同的特点，就是都离不开对PKI（公用密钥体系，PublicKeyInfrastructure）的建设。信息化技术迅猛发展，信息安全问题也越来越受到党中央、国务院的高度重视和全社会的广泛关注。江泽民同志曾经强调指出，“在大力推进我国国民经济和社会信息化的进程中，必须高度重视信息网络安全问题”。中共政治局常委、国务院副总理，黄菊在全国信息安全工作会议上强调“必须全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化健康发展”。建立以PKI技术为基础的CA认证系统，实现基于数字证书的身份认证、第1页通信安全和数据安全，解决计算机应用系统的身份认证和应用安全势在必行。2需求分析目前，整体应用系统中大部分采用C/S架构，部分系统采用T/S架构，应用的认证机制通过传统的用户名，口令的方式完成。但是随着系统的发展，系统中大部分应用将逐渐改造为B/S架构，传统的认证手段越来越无法满足系统安全的需求。传统的用户名、口令主要存在以下几个方面的问题。1认证传输过程明文，无法保证传输过程中的数据信息。2各个应用系统认证独立，无法统一管理，管理成本高，系统压力大。3服务端无法确认用户的真实身份。4面对多个应用时，用户维护难度大。5认证手段缺乏生命周期的管理，可管理性差。6认证系统缺乏标准化。从上面几个问题中我们可以看出，传统的认证机制无法保证高速增长的应用需求，建立以PKI技术为基础的CA认证系统，实现基于数字证书的身份认证、通信安全和数据安全，保证应用接入的安全是目前应用最迫切需要解决的问题。对于应用系统我们需要满足下面的功能。\uf06c身份认证目前，应用系统是采用“用户名＋密码”的方式来验证访问用户的身份。采用“用户名＋密码”的方式登录应用系统时，用户输入的用户名和密码都是通过明文的方式，传输给系统服务器，系统服务器根据用户提交的用户名和密码，查询数据库，来判断用户的身份是否真实。这种方式存在巨大的安全隐患，非法用户可以通过口令攻击、猜测或窃取口令等方式，假冒合法用户的身份，登录系第2页统进行非法操作或获取机密信息。因此，需要采用安全的手段，解决应用系统身份认证需求。\uf06c访问控制对于系统的不同用户，具有不同的访问操作权限。因此，应用系统在身份认证的基础上，需要给不同的身份授予不同的访问权限，使他们能够进行相应授权的操作。因此，需要采用有效的手段，解决应用系统访问控制的需求。\uf06c信息机密性和完整性通过应用系统传输很多敏感资料，如通过应用系统，需要通过开放的互联网，非法用户很容易监听网络传输的数据甚至篡改相关数据，或者入侵到应用系统，窃取有关资料。因此，需要采用有效的方式保证应用系统传输数据的机密性和完整性。\uf06c信息抗抵赖信息抗抵赖是指信息的发送者不能对自己发送的信息进行抵赖。在应用系统中传输的很多信息，都需要实现信息抗抵赖。比如财务部进行财务汇报时，如果采用纸质的方式，可以在财务报表上签字盖章。但是通过电子数据共享和传输，不可能像纸质文件那样进行手写签字和盖章。而如果没有有效的手段保证电子数据共享和传输的抗抵赖，财务部可以否认自己共享和传输过的电子数据。一旦出现问题，将没有任何有效的证据，对肇事者进行追究。另外，对于通过应用系统进行网上申报与审批时，如果没有抗抵赖性，申报者将可以否认自己的申报数据和行为，审批者也可以否认自己的审批意见和行为，甚至出现假冒他人进行申报或审批的行为。这样，将导致整个应用系统不能正常工作，将给企业造成巨大的损失。第3页3PKI/CA系统简介3.1技术介绍为解决计算机网络系统中的身份认证、数据的保密性和完整性等安全问题，世界各国对其进行了多年的研究，初步形成了一套完整的安全解决方案，即目前被广泛采用的PKI体系结构，PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在网络上验证用户的身份，同时PKI体系结构可把公钥密码和对称密码结合起来，在网络上实现密钥的自动管理，保证网上数据的机密性、完整性。PKI是软件、加密技术和基于服务器的服务的结合，其设计填补了上述空白。它正是用大多数内部系统最缺乏的特性来保护通信安全：它使用了开放、公认的标准，并且同时加密了认证过程和数据。PKI还包含了其它一些离散的安全性技术（如数字证书），但它尤以其系统性方法著称。一个完整的PKI系统管理着认证中心（或从认证中心获取服务），而不仅仅是假设其可用性和在应用程序内利用它们。PKI是"PublicKeyInfrastructure"的缩写,意为"公钥基础设施"。它为网上电子商务、电子政务等的开展提供安全服务的基础平台。PKI是一种遵循标准的密钥管理平台。它采用了公钥理论和技术，能够透明的向所有网络应用提供基于公开密钥的加密和数字签名等安全服务，实现对密钥和证书的产生、管理、存储、分发和撤销等功能。3.1.1关键密码技术为了能够更清楚地理解PKI，下面本文首先对PKI中的一些基本概念以及常用的密码技术做一个详细的说明。第4页3.1.2加密/解密技术加密是指使用密码算法对数据做变换，将明文转变成为密文，使得只有密钥持有人才能恢复数据的原貌。解密就是将密文还原为明文。主要目的是防止消息的非授权泄漏。现代密码学的基本原则是：一切秘密寓于密钥中。算法是公开的，密钥是保密的，即公开密钥体制。PKI中主要使用这种非对称算法的公开密钥机制，但也不排除对称密钥机制的使用，经常会将这两种密钥机制结合起来一起使用。（1）对称密钥加密技术对称密钥加密技术也称单钥密码技术。即加密密钥和解密密钥是相同的。对称密钥加密技术的缺点是密钥分发管理困难。其加密/解密过程如图所示。原文密文密钥发方对称加密算法密文原文密钥对称加密算法收方（2）非对称密钥加密技术非对称密钥加密技术也称双密钥密码技术。即每个用户都有两个密钥，一个是公开的，称为公钥；另一个由用户秘密保存的，称为私钥。公钥和私钥是不相同的。非对称密钥密码技术的特点是便于管理和分发，便于通信加密和数字签名缺点是处理速度较慢。非对称密钥加密技术分两种情况：一种是用收方公钥加密数据，用收方私钥解密；另一种是用发方私钥加密，用发方公钥解密。这两种方式原理相同，但用途不同。在PKI中，使用第一种即密机制对数据进行加密，而用第二种加密机制进行数字签名。下图分别给出了这两种加密机制的加密/解密过程。第5页原文密文收方公钥发方非对称加密算法密文原文收方私钥非对称加密算法收方非对称密钥公钥加密该密钥对一般称为加密密钥对。加密密钥对由加密公钥和解密私钥组成。为了防止密钥丢失，解密私钥应该进行备份和存档。加密公钥无需备份和存档，加密公钥丢失后，只需重新产生密钥对。该加密机制可以由多个用户加密信息，而只能由一个用户来解读，这就可以实现保密通信。在PKI中，该加密机制提供了数据完整性服务。原文密文发方私钥发方非对称加密算法密文原文发方公钥非对称加密算法收方非对称密钥私钥加密该密钥对一般称为签名密钥对。签名密钥对由签名私钥和验证公钥组成。签名私钥具有日常生活中公章、私章的效力，为保证其唯一性，签名私钥绝对不能做备份和存档，丢失后只需重新生成新的密钥对，原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档，用于验证数字签名。签名密钥一般可以有较长的生命期。该加密机制可以由一个一个用户加密信息，而由多个用户解读，这可以实现数字签名。在PKI中，该加密技术提供不可否认性服务以及数据完整性服务。这两对密钥在密钥管理上存在互相冲突的地方，因此，PKI系统针对不同的用途使用不同的密钥对。尽管有的公钥体制算法（如RSA）既可以用于加密也第6页可以用于签名，但为了保证安全，在实际实施中必须为用户配置两对密钥对、两张证书，其一用于数字签名，另一个用户加密信息。3.1.3数字签名数字签名是指使用密码算法，对待发的数据进行加密处理，生成一段数字摘要附在原文上一起发送，这段信息类似于现实中的签名或印章，接收方对其进行验证，判断原文的真伪。这种数字签名适用于对大文件的处理，对于小文件的数据签名，可以直接对原文进行加密，不需要生成数字摘要。数字签名在PKI中提供数据完整性和不可否认性服务。（1）直接对原文进行签名这种签名方发是采用非对称算法中私有密钥对原文进行加密，是一种对整体消息的签名，适用于小文件信息。其签名过程如图2.4所示。（2）对数字摘要进行签名该签名方发首先采用单向Hash算法对原文信息进行加密压缩形成数字摘要，然后，对数字摘要用非对称公钥算法进行加密。原文的任何变化都会使数埃摘要发生变化，其签名过程如下图所示。原文数字签名发方私钥数字签名原文原文发方公钥发方收方比较非对称加密算法非对称加密算法直接对原文进行数字签名第7页原文数字签名发方私钥数字签名数据摘要数据摘要发方公钥发方收方比较非对称加密算法非对称加密算法数据摘要Hash算法Hash单向函数原文原文Hash算法对数字摘要进行数字签名从数字签名的实现原理可以看出，数字签名在实现PKI中的身份认证、数据完整性、数据报密性以及不可否认性等服务中起到重要作用。3.1.4数字证书PKI安全实现的关键在于密钥，如何管理密钥是PKI体系的核心问题和基础，PKI所能提供的全部安全服务都建立在完善、合理的密钥管理基础之上。公钥机制涉及到一对密钥（公钥和私钥），私钥只能由证书持有者秘密掌握，无需在网上传输，而公钥市公开的，需要在网上传输。因此，中的密钥管理主要是公钥管理的问题。虽然公钥密码体制提供一种认证用户的方法，但它并不能保证公钥的确是属于所声称的拥有者。这就无法保证系统的安全性，给攻击者造成伪造公钥的可能。在PKI体系中，公钥的管理是通过数字证书机制的使用来实现的。数字证书也叫公钥证书（简称证书），是公开密钥体制的一种密钥管理媒介。数字证书通过将某一主体的真实身份与其公钥绑定在一起，用于证明某一主体（如人、服务器等）在网上的身份及其公开密钥的合法性。数字证书符合ITU-TX.509V3标准。数字证书是随PKI的形成而新发展起来的安全机制，它实现身份的鉴别与识别（认证）、完整性、保密性及不可否认性安全服务。数字证书是一种权威性的电子文档，它必须由具有权威性、可信任性及公证第8页性的第三方机构（CA）颁发的。3.1.5数字信封信息发送端用信息接收端的公钥，将一个通信密钥（对称密钥）加密，就形成了一个数字信封。该数字信封将连同用对称密钥加密的加密信息一起发送给接收端，只有指定的接收端才能用自己的私钥打开数字信封得到通信密钥，然后使用该通信密钥来解读传送来的加密信息。这就好像在现实生活中，将一把钥匙装在信封中，邮寄给对方，对方收到信件后，从中取出钥匙，然后用它来打开保险箱一样。其具体过程如图2.6所示。其具体步骤如下：（1）发送方将要传输的信息经Hash函数运算后，得到一个数字摘要；（2）发送方用自己的私钥对数字摘要进行加密，得到数字签名；（3）发送方将数据明文、数字签名和他自己的数字证书（公钥）等三项信息，用对称密钥（SK）进行加密；（4）发送方在发送信息之前，必须事先得到接收方的数字证书（公钥），用接收方的公钥加密对称密钥（SK）进行加密得到一个数字信封；（5）发送方将数字信封和加密信息一起发送给接收方；（6）接收方用自己的私钥解开数字信封并得到对称密钥（SK）；（7）接收方用对称密钥解读加密信息得到原文、数字签名和发送方得公钥；（8）接收方用发送方的公钥对其数字签名进行解读，将数字签名还原成信息摘要；（9）接收方对已收到的原文，用同样的Hash函数进行运算得到一个新的数字摘要；（10）比较这两个数字签名，验证所接收到的信息的合法性、准确性和完整性。第9页原文数字摘要数字签名发方证书对称加密算法非对称加密算法Hash算法对称密钥发方私钥对称密钥非对称加密算法收方公钥加密信息数字信封加密信息数字信封非对称加密算法收方私钥对称密钥对称加密算法对称密钥发方证书数字签名原文非对称加密算法发方公钥数字摘要数字摘要Hash算法比较发方收方数字信封数字信封是PKI中使用对称密钥密码算法和非对称密钥密码算法的巧妙结合，是上述加密、数字签名和数字摘要技术的综合应用。它是PKI应用系统中经常会用到的一种密码技术。3.2系统组成PKI是一种遵循标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。一般地，PKI体系必须由认证机构（CA）、证书库、密钥管理系统、证书作废处理和在线查询系统和PKI应用接口系统五部分组成。3.2.1认证机构(CA/RA)认证机构是PKI的核心组成部分，一般简称CA。它是数字证书的签发机构，是PKI应用中权威的、可信任的、公正的第三方机构。负责数字证书的申请、审批签发等全部管理任务。签发机构由证书签发系统CA以及证书注册系统RA组成，第10页其主要职责包括：\uf06c验证并标识申请者的身份；\uf06c确保CA用于签名证书的非对称密钥的质量；\uf06c确保整个签证过程的安全性，确保签名私钥的安全性；\uf06c证书材料信息（包括公钥证书序列号、CA标识等）的管理；\uf06c确定并检查证书的有效期限；\uf06c确保证书主体标识的唯一性，防止重名；\uf06c发布并维护作废证书表；\uf06c对整个签发过程作日志纪录；\uf06c向申请人发通知。其中最为重要的是CA自己的一对密钥的管理，它必须确保其高度的机密性，防止它方伪造证书。CA的公钥在网上公开，整个网络系统必须保证完整性。3.2.2证书库(LDAP)证书库是证书的集中存放地，它与网上“白页”类似，是网上一种公共信息库，用户可以从此处获得其它用户的证书和公钥。构造证书库的最佳方法是采用支持LDAP协议的目录系统，用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性，防止伪造、篡改证书。3.2.3密钥管理系统(KMC)如果用户丢失了用于解密数据的密钥，则密文数据将无法被解密，造成数据丢失。为避免这种情况的发生，PKI应该提供备份与恢复解密密钥的机制。密钥的备份及恢复应该由可信的机构来完成。密钥的备份与恢复只针对解密第11页密钥，对签名密钥不做备份。密钥管理系统又称KMC3.2.4证书作废处理及在线查询系统(CRL/OCSP)证书作废处理系统是PKI的一个重要组成部分。证书在CA为其签署的有效期以内可能作废。PKI提供了一系列的证书作废处理机制。作废证书由如下三种策略：\uf06c作废一个或多个主体的证书；\uf06c作废由某一对密钥签发的证书；\uf06c作废由某CA签发的所有证书。作废证书一般通过将证书列入作废证书表（CRL）来完成。通常，系统中由CA负责建立并维护一张及时更新的CRL，而由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。证书的作废处理必须在安全及可验证的情况下进行，系统还必须保证CRL的完整性。3.2.5PKI安全应接口系统PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，是的各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性。同时降低管理维护成本。为了向应用系统屏蔽密钥管理的细节，PKI应用接口系统需要实现如下功能：\uf06c完成证书的验证工作，为所有应用提供一致、可信的公钥证书支持；\uf06c以安全、一致的方式与PKI的密钥备份及恢复系统交互，为应用提供统一的密钥备份及恢复支持；\uf06c在所有应用系统中，确保用户的签名私钥始终在用户本人的控制之下，第12页阻止备份签名私钥的行为；\uf06c根据安全策略自动为用户更新密钥，实现密钥更换的自动、透明和一致性；\uf06c为方便用户访问加密的历史数据，向应用提供历史密钥的安全管理服务；\uf06c为所有应用访问统一的公共证书库提供支持；\uf06c以可信、一致的方式与证书作废系统交互，向所有应用提供统一的证书作废处理服务；\uf06c完成交叉证书的验证工作，为所有应用提供统一模式的交叉验证服务；\uf06c支持多种密钥存发介质，包括IC卡、PC卡、安全文件等；\uf06cPKI应用接口系统应该是跨平台的。没有应用接口系统，PKI将无法有效地为应用系统提供安全服务。应用接口系统独立于所用的应用程序之外，为不同的应用系统提供统一的、完整的安全接口界面，使应用系统通过标准的接口可以方便地使用PKI所提供的安全服务。这是一种可扩展、易管理的结构。在设计一个跨平台、多设备的PKI结构时，必须要注意到这种模型结构的设计。3.3建设方式今年4月1日我国正式颁布了《电子签名法》，《电子签名法》的颁布为电子商务以及电子政务发展奠定了法律基础。目前，在国内的PKI/CA市场上对于PKI/CA系统的建设主要存在2种方式。3.3.1自建型电子签名法颁布以后对于CA中心的建设从本质上区分为2类，其中一类我们一般统称为自建型CA中心。自建型CA中心一般主要服务于各个企业或者大型的行业，由用户方自行投资建设、管理、运营，主要为自己内部的应用系统或第13页者业务系统提供服务，通过自建CA中心签发的数字证书为企业内部或者行业内部应用提供安全支撑。自建型CA中心建设的规模没有限制，根据用户自己的情况定制，功能也可以根据用户自己的需求来定制，但是此类CA只能服务于企业或者行业内部，由于没有通过《电子签名法》的认证，不能作为第三方CA认证机构向社会公众提供服务，因此自建型CA中心也无法得到法律的保护。目前，自建型CA在电子政务应用比较广泛，主要服务于政府内部行政直属的部门。3.3.2第三方服务今年4月1日正式颁布了《电子签名法》以及《电子认证服务管理办法》，其规范了第三方数字人证中心建设做需要的必须的资质，譬如注册资金3000万人民币、系统物理环境软件以及硬件体系必须通过国家密码管理局的系统安全性审查、30人的专业运营人员等等的一系列的要求，只有同时满足上述要求才能获得由国家信息产业部颁布的《电子认证服务许可证》，获得第三方数字认证机构的运营资格。那么通过第三方数字认证机构签发的数字证书，在电子商务、电子政务、电子交易等等一系列的活动中均受到法律保护。那么对于用户来说也可以采用第三方数字认证机构签发的数字证书完成内部应用系统的安全加固，证书的整体运营由第三方数字认证机构完成，但是可以根据用户的具体情况为用户定制符合自身需求的注册机构、证书模板等等一系列个性化的服务。4应用支撑在上面PKI/CA系统的简介中我们已经提到，PKI是由一个完成的体系完成。那么对于用户而言，对于C/S、B/S以及T/S应用如何通过数字证书来完成自己应用系统的加固呢？我们通过PKI的安全应用接口来实现C/S、B/S应用与数字证书的结合，通过动态口令的方式来实现T/S模式的安全加固。第14页4.1证书应用Toolkit证书在应用中如何使用、如何解析、如何保证客户端与服务器端通信的不可否认性、安全性、以及证书的解析。对于B/S、C/S系统如何来使用证书？我们开发了证书应用Toolkit来实现。应用开发接口（ToolKit）包括服务器端接口和客户端接口两大部分。并且从中我们中提取了几个常用的接口，进行定义和说明，形成PKI应用产品，提供对应用的安全支撑。主要包括：\uf06c个人信任代理（PTA）个人信任代理（PTA）是一个可以应用于客户端和服务器端的软件包，完成对Windows平台证书操作的ActiveX控件，包括证书处理接口、加密/解密处理接口和数字签名处理接口。利用PTA提供的接口：使用证书处理接口，可以设置系统证书列表的过滤条件，显示证书的各种属性；使用加密/解密接口可以产生随机的对称密钥对文件进行加密，以及使用输入的密钥对文件进行解密；在进行数字签名处理时，对于客户端应用，ActiveX控件由用户访问相关网页时下载到客户端浏览器中，实现使用本地的证书（私钥）对文件进行数字签名，以及对签名进行验证。对于服务器端应用，ActiveX控件可以安装在服务器上，实现对数字签名的验证，以及利用服务器上配置的证书，进行数字签名计算。\uf06c证书解析模块（CPM）证书解析模块是一系列平台下的动态链接库，用于解析DER或PEM编码的X.509数字证书，将证书中的信息，包括用户名、证书有效期和公钥等信息分解为字符串。\uf06c证书验证模块（CVM）第15页证书验证模块以插件、动态库或ActiveX控件方式提供，实现对证书的验证，证书验证可选择使用CRL或OCSP验证有效性。通过证书验证，可以保证证书的真实性，保证使用该证书进行的操作的有效性和不可抵赖性。\uf06c数据加/解密模块（EDM）数据加/解密模块是一系列平台下的动态链接库或控件，可以应用于客户端和服务器端，实现对传输数据的加密，对加密数据的解密。\uf06c数据签名/验证模块（SVM）数据签名及验证模块是一系列平台下的动态链接库或控件，可以应用于客户端和服务器端，实现对传输数据的数字签名，和对数字签名及其证书进行验证。证书的验证可使用CRL或OCSP来进行有效性验证。\uf06c应用组成根据应用环境的不同组成2个套件：服务器端：JavaBean组件客户端：AxtiveX控件服务器端：COM控件客户端：AxtiveX控件4.2动态口令由于T/S应用属于专有线路，在终端处系统没有应用程序，因此对于T/S应用我们采用动态口令的方式来实现其认证过程的安全加固。动态口令系统又称一次性口令或双因素认证系统。动态口令系统一般由客户端的动态口令卡和安全认证服务器以及应用程序代理三部分组成动态口令目前主要采用时间同步模式。每个用户均获得一个令牌，每个令牌通过动态口令发生器，通过同步信任认证算法，以时间为参数，每隔16秒/32秒/64秒钟产生一个一次性使用的“动态口令”，而且口令无法预测和跟踪，这就使得用户口令既无法被窃取，而且又能解决常规口令频繁变换所带来的问题。动态口令作为系统认证的安全加固手段非常有效，它具备下列特点：第16页\uf06c认证安全性利用双因素认证和动态口令，大大提高了身份认证的安全性。同时有效的保护了用户的口令，即使认证口令在传输中被别人截获、破译和使用中被别人窥探第三者也不能利用该口令登录系统。设置开机口令提高了令牌本身的安全性，即使令牌丢失，没有开机口令也不能得到正确的认证口令。\uf06c应用灵活性在令牌使用上系统支持多种应用形式。系统支持用户可选择使用令牌或使用原固定口令的方式认证，同时支持所有用户必须使用令牌方式；系统支持一个令牌可用于多个帐户的认证，并有完善的认证日志系统。\uf06c使用的方便性认证客户端认证信息的输入及认证流程符合传统的习惯既用户ID+口令的一次性认证，用户使用时不需要在交易客户端输入其他的附加信息，使用方便；并有方便、安全的应急交易系统。\uf06c系统的高效性和可靠性中心认证系统采用基于标准认证协议与网络接入设备连接，系统实施方便易于扩展，既保证了系统的运行效率，也不会减低系统的稳定性、可靠性。\uf06c实施成本低认证客户端认证信息的输入符合原固定口令模式及长度，所有的交易客户端不需要改造，大大降低了实施成本，缩短了改造周期同时降低了系统改造的风险。5公司简介北京天威诚信电子商务服务有限公司（iTruschina）是经信息产业部批准的全国性PKI/CA企业，是专门从事数字信任服务、PKI/CA建设服务、PKI/CA应第17页用服务、PKI/CA运营管理咨询服务和PKI/CA体系整体规划服务的专业化信息安全技术与服务公司。公司成立于2000年9月，注册资金5000万元，公司总部位于北京，在上海和广州等地设有办事机构。天威诚信（iTruschina）致力于向企业、政府和大众客户提供全面的数字信任服务，矢志成为国内提供数字信任服务的领先者。依照我国国情和密码管理政策，借鉴国外先进技术及管理方法，建立中国自有品牌的信任服务体系，并研制了具有自主知识产权的PKI产品及应用。公司在开展自身业务的同时，参与了国家有关PKI/CA体系规划、建设和运营管理等方面的工作，并积极参与中国数字签章法立法。天威诚信正以其领先的技术、先进的管理方法和全面而精湛的产品与服务，为中国的信息安全服务。作为政府认可的、权威、可信、公正的第三方认证中心，天威诚信在北京建有1000平米的国际一流水准的、安全的数据中心，配备了专业可靠的运营管理团队，采用ISO17799信息安全管理体系进行管理，制定了标准的认证业务声明（CPS），对外提供全球信任体系（VTN，VerisignTrustNetwork）、中国自有信任体系（CTN，ChinaTrustNetwork）和客户私有信任体系等多种信任服务。天威诚信通过提供数字证书服务、PKI/CA建设、PKI应用产品和PKI应用规划等多种方式，为网上业务系统的安全以及参与网上业务的各方的相互信任提供安全机制，为网上业务过程中身份认证和访问控制、信息保密性、信息完整性和业务操作的抗抵赖等安全需求提供了可靠的保证。公司的业务范围涉及电子政务、电子商务和企业信息化建设等各个领域，目前，包括政府、税务、工商、教育邮政、银行、证券、期货、基金、保险、电信、移动、游戏、能源、烟草、钢铁、物流、制造业、IDC和ISP/ICP等行业领域以及需求数字信任服务的个人。天威诚信获得的安全行业资质认证包括：\uf06c信息产业部批准的全国性PKI/CA企业\uf06c通过了国家信息安全测评认证中心的系统安全认证\uf06c通过了ISO/IEC17799-2000信息安全管理体系认证第18页\uf06ciTrusCA系统通过了国家密码管理员会的系统安全性审查\uf06ciTrusCA系统获得公安部计算机信息系统安全专用产品销售许可证\uf06c国家批准的电信与信息服务业务经营企业\uf06c中国证券业协会信息技术应用委员会观察员\uf06c中国信息产业商会信息安全分会副理事长会员\uf06c中国互联网协会网络与安全工作委员会常务委员\uf06c中国PKI论坛成员\uf06c中国电子商务协会会员第19页',)