數字證書在WEB應用中實現登陸
阿新 • • 發佈:2019-01-31
1數字證書登入認證的優點
作為企業資訊系統的第一道大門,身份認證是確保企業資訊資源只能被合法使用者所訪問的重要保障。 傳統的口令認證方式雖然簡單,但是由於其易受到竊聽、重放等攻擊的安全缺陷,使其已無法滿足當前複雜網路環境下的安全認證需求。 傳統賬號+口令登入的弊端: 1. 口令易被猜測。由於有的使用者為了方便記憶,使用非常簡單的口令,比如“1234”、“abcd”等這些非常容易被猜測的口令。 2. 口令易被竊聽。大家都知道,WEB應用在網際網路上是基於TCP/IP協議的,該協議本身並不負責資料傳輸的安全性,使用者口令在網際網路上的傳輸,需要經過很多個網路節點(比如路由器),可以在這任意一個網路節點去竊聽到使用者的口令。 3. 口令記憶麻煩。使用者在不同的WEB應用上建立不同的帳戶,需要記憶不同的口令,記憶這麼多的口令形成使用者很大的負擔,於是有的使用者把不同WEB應用的口令設定成相同的口令,這樣又引入了新的安全隱患,只需破解使用者的一個WEB口令,就等於破解了該使用者別的WEB應用口令。 4. 可以從伺服器攻擊客戶口令。WEB應用服務上,由於需要校驗使用者的口令,所以需要保留使用者的口令或口令的摘要值。若這個使用者口令表被黑客非法獲取,整個WEB應用的使用者認證將形同虛設。 5. 無法確定使用者的真實身份。正因為口令的脆弱性,使得口令很容易被竊用。 隨著PKI技術體系的成熟,擁有強有力的理論基礎和眾多國際標準的CA數字證書身份認證技術,在法律上得到了國家的大力支援。電子簽名法的頒佈實施以及數字加密和數字簽名技術所具有的保密性、完整性、真實性、不可否認性等特點,使得CA數字證書身份認證正在被廣泛採用。 作為個人數字證書及其對應私鑰的儲存介質的USBkey、IC卡等,在此統稱為eKey(電子金鑰),自帶CPU,內嵌加密演算法,可進行加密運算,其中的私密資訊不可複製。因此,eKey以其安全可靠、易於攜帶、使用方便、成本低廉、價效比高等特點,在身份認證領域也正發揮著越來越多的作用,成為身份認證技術的一個重要發展方向和趨勢。 引進eKey+數字證書登入帶來的好處: 1. 安全。雙因子認證。使用者在使用eKey之前,需要輸入PIN碼驗證;驗證通過後再呼叫eKey裡的私鑰作用於身份認證用的簽名運算。這樣就等於設定了2道門,都通過後才能最終進入。 2. 方便。使用者只需隨身攜帶一個eKey,就可不限時間、不限地點的證明自己的身份。可以用同一個eKey登入不同的Web站點而不怕安全問題。 3. 使用者身份具有法律保障。使用者的數字證書由權威的CA簽發。使用者的登入認證可以保留日誌用於以後追溯,即可防偽造又可防抵賴。 2身份認證原理3數字證書與現有使用者帳戶的繫結
使用者用數字證書登入後。WEB應用提供一個帳戶繫結頁面,頁面提示使用者輸入原使用者名稱和口令。後臺再驗證使用者提交的使用者名稱和口令,通過驗證後,把該使用者/口令對應的使用者ID和使用者的登入證書摘要寫入到一個數據庫表。流程:
以後使用者使用該證書登入時,可以從資料庫表查詢到該證書對應的使用者ID,系統給以該使用者ID登入。