eas安全认证实施指南.doc

BOS_V6.3_BOS实施指南_安全认证(V2.0版，未评审)修订历史版本号修订日期修订者修订类型说明2.02010-12-15林培森修订对原BOS实施指南_安全认证进行重新修订前 言本指南共分为十个章节，第一章介绍了安全认证的基本概念和作用，以及EAS系统支持的安全认证集成方案；第二章详细介绍了EAS系统集成动态密码卡认证的原理及实施步骤；第三章详细介绍了EAS系统集成智能钥匙认证的原理及实施步骤；第四章详细介绍了EAS系统集成机器码认证的原理及实施步骤；第五章详细介绍了EAS系统集成指纹认证的原理及实施步骤；第六章详细介绍了EAS系统集成CA认证及数字签名的原理及实施步骤；第七章详细介绍了EAS系统集成数字签章功能的原理及实施步骤；第八章详细介绍了EAS系统二次身份认证功能的实施步骤；第九章详细介绍了EAS系统认证管理员功能的实施步骤；第十章是FAQ适用对象本指南适用于EAS安全认证实施和二次开发人员通过本指南的学习可以使实施或开发人员掌握EAS安全认证各方案的实施过程及集成其它第三方安全认证厂商的开发方法目 录前 言 2适用对象 3目 录 4第一章 概述 71.1 什么是安全认证 71.2 安全认证的作用 71.3 EAS支持的安全认证方案 7第二章 动态密码卡认证 92.1 应用场景 92.2 基本实现原理 92.3 总体实施流程 102.4 具体实现步骤 112.4.1 指纹认证服务器环境搭建及初始化 112.4.2 服务器参数配置 112.4.3 选择用户及启用认证 132.5 扩展集成第三方供应商 152.5.1 二次开发接口说明 15第三章 智能钥匙（Usbkey）认证 163.1 应用场景 163.2 基本实现原理 163.3 总体实施流程 173.4 具体实现步骤 183.4.1 智能钥匙驱动安装及初始化 183.4.2 智能钥匙认证参数配置 183.4.3 智能钥匙登录处理器配置 203.4.4 选择用户及启用认证 203.5 扩展集成第三方供应商 213.5.1 二次开发接口说明 22第四章 机器码认证 244.1 应用场景 244.2 基本实现原理 244.3 具体实现步骤 254.3.1 设置机器码生成策略 254.3.2 启用机器码认证 254.3.3 申请机器码认证 264.3.4 认证客户端机器 27第五章 指纹认证 295.1 应用场景 295.2 基本实现原理 295.3 总体实施流程 295.4 具体实现步骤 305.4.1 指纹认证服务器环境搭建及初始化 305.4.2 服务器参数配置 315.4.3 选择用户及启用认证 33第六章 CA认证及数字签名 356.1 应用场景 356.2 基本实现原理 356.3 总体实施流程 366.4 具体实现步骤 376.4.1 CA登录认证实现步骤 386.4.2 CA数字签名实现步骤 386.5 扩展集成第三方供应商 416.5.1 二次开发接口说明 41第七章 数字签章 447.1 应用场景 447.2 基本实现原理 447.3 总体实施流程 457.4 具体实现步骤 457.4.1 数字签章服务器环境搭建及初始化 467.4.2 服务器参数配置 467.4.3 签名单据及字段配置 467.4.4 选择用户及应用签章 477.4.5 工作流审批签章配置 48第八章 二次身份认证 508.1 应用场景 508.2 总体实施流程 508.3 具体实现步骤 518.3.1 服务器参数配置 518.3.2 启用认证 51第九章 认证管理员 549.1 应用场景 549.2 具体实现步骤 549.2.1 服务器参数配置 549.2.2 认证用户 54第十章 FAQ 5710.1 CA数字签名中文乱码问题 5710.2 二次身份认证如果和登录认证设置的认证方式一样，则二次身份认证失效的问题 5710.3 二次身份认证CA认证失效 5710.4 CA数字签名失败问题 5710.5 启用CA认证后，portal登录报“EASUsbkey为空或不是对象”的问题 5710.6 CA数字签名失败问题 58术 语 59附 录 60附录1：天威智能钥匙配置说明 60第一章 概述1.1 什么是安全认证认证的官方含义是：由可以充分信任的第三方证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。

安全认证是指信息系统的用户在进入系统或访问系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程目前，安全认证的方法和形式多种多样，通常在实际应用中常用的安全认证的方式主要有口令密码、动态密码卡、智能钥匙、指纹、数字证书、条码卡等而且，很多系统为了提高安全性，其采用的安全认证方式是上述多种方法的组合1.2 安全认证的作用随着企业信息系统的发展和普及，目前信息系统已广泛应用与各个领域，这样如何保障企业信息系统的安全性就显得尤为重要通过应用安全认证技术，可以有效的确保系统用户身份的真实、合法和唯一性这样，就可以防止非法人员进入系统，进行违法操作或者获取不正当利益，访问受控信息，恶意对系统进行破坏等损害系统安全及企业利益的行为同时，在一些需要具有较高安全性的系统中，通过安全认证技术可以确保用户身份的唯一性，系统可以自动记录用户所作的操作，对用户的行为进行准确的监控和控制所以，安全技术的应用对于提高企业信息系统的安全性，保障企业信息系统的正常运行，以及控制和管理信息系统的用户具有重大意义1.3 EAS支持的安全认证方案目前，EAS的标准产品中主要支持以下几种安全认证集成方案：(1) 动态密码卡认证(2) 智能钥匙认证(3) 机器码认证(4) 指纹认证(5) CA认证目前，EAS的标准产品中主要支持以下几种安全应用的功能：(1) 数字签名(2) 数字签章(3) 二次身份认证(4) 认证管理员第二章 动态密码卡认证2.1 应用场景随着企业信息化的快速发展，企业员工的日常的工作中越来越依靠各种软件系统，业务系统的登录主要依靠静态密码，由于静态密码基本上固定不变，存在着如下的安全隐患：(1) 输入密码时容易被人偷看或者摄像机记录；(2) 用户的密码容易在传输的过程中被软件截取；(3) 用户的密码一般有一定的规律性，容易被猜测；(4) 用户的密码长期不变，容易泄漏；(5) 病毒，木马程序的恶意盗取；(6) 内部的防范意识不强，内部员工的恶意操作；(7) 因为工作需要，告诉同事密码，事后忘记修改；虽然在一个企业内部的系统相对比较安全，但一旦密码被盗用，特别是一些重要的用户密码，如单位的领导，财务等，那么造成的损失将是巨大的，这样的情况并不少见。

使用动态密码的投入不大，可以有效的防范因为静态密码泄漏造成的风险，保证系统的安全2.2 基本实现原理在EAS系统中，动态密码卡认证的实现原理如图2.1所示：图2.1 动态密码卡认证实现原理图启用了动态密码卡认证后，用户在登录系统的时候，系统获得用户输入的密码后，会自动连接到动态密码验证服务器中进行验证，验证通过后，则登录到EAS系统中EAS的动态密码卡密码的验证完全委托动态密码卡厂商提供的验证机制，从而保证系统的安全性和可靠性2.3 总体实施流程图2.2 动态密码卡认证实施流程图在EAS系统中实现动态密码卡认证主要需要做以下几步工作：(1) 第一步，环境准备：实现动态密码卡认证首先需要确定动态密码卡供应商(注：EAS标准产品已支持动联、海月和ActiveCard三家供应商，如果选用其它供应商需要进行二次开发，请参考2.5节内容)，然后由所选的动态密码卡供应商提供支持搭建指纹认证服务器环境2) 第二步，初始化：在成功搭建指纹认证服务器环境后，需要在该服务器中创建EAS系统中对应的用户(或者从EAS系统中导出用户，再导入到指纹认证服务器环境中)，并且将相应的动态密码卡与用户进行绑定3) 第三步，启用认证：在完成指纹认证服务器的初始化工作后，接着登录到EAS系统中设置指纹认证服务器的相关参数，然后选择要启用动态密码卡认证的EAS用户，然后启用动态密码卡认证。

做完以上工作后，重启EAS服务器后，则可以对EAS用户的登录进行动态密码卡认证了2.4 具体实现步骤在EAS系统中进行动态密码卡认证的集成具体的实现步骤详细说明如下：2.4.1 指纹认证服务器环境搭建及初始化该步的主要工作就是2.3节中所述总体实施流程中的环境准备和初始化的工作，由于该步应由动态密码卡供应商提供支持来完成，所以这里不再进行详述2.4.2 服务器参数配置在完成指纹认证服务器环境的配置后，接着在EAS系统中需要进行相关配置，不同的EAS版本配置方法不同，具体步骤如下：2.4.2.1 EAS 7.0 及以上配置步骤注意：请确认环境中已打PTM044223补丁1) 使用administrator用户登录到EAS系统中，打开【系统平台】—>【安全管理】—>【安全认证中心】—>【动态密码卡认证设置】界面，如图2.3所示：图2.3 动态密码卡认证设置界面(2) 点击“服务器设置”按钮，打开服务器参数设置界面，如图2.4所示：图2.4 动态密码卡认证设置界面(3) 在服务器参数设置界面中，选择具体的动态密码卡供应商，然后咨询供应商填入各项参数，然后保存设置注意：如果是扩展非EAS标准产品所支持的供应商，需要在“动态密码卡厂商”下拉框中选择“自定义”，然后在“自定义实现类名称”中填入自定义供应商的二次开发的实现类全名，实现类的开发请参考2.5节内容。

2.4.2.2 EAS 6.0 及以下配置步骤(1) 打开EAS服务端server\profiles\server1\config目录下的PermParam.properties文件，增加或者修改以下两个参数：a) DynamicCardPwdCheckClass：动态密码卡厂商实现类名该参数配置如下：如果使用海月动态密码卡则修改为com.kingdee.eas.base.permission.card.HaiYueCardPwdCheck；如果使用动联动态密码卡则修改为com.kingdee.eas.base.permission.card.DongLianCardPwdCheck；如果使用ActiveCard动态密码卡则修改为com.kingdee.eas.base.permission.card.ChictionCardb) DynCardUserNumberType：动态密码卡用户验证方式该参数配置如下：设置为1则表示采用EAS用户id进行认证；设置为2则表示采用EAS用户编码进行认证，通常设置为22) 打开EAS服务端server\profiles\server1\deploy目录的card.conf文件( 注：没有该目录和文件则新建一个)，在该文件。