目前，大多数应用系统主要采用传统的口令认证方式进行身份认证。这种认证方式面临众多攻击和泄露风险，比如：网络窃听（Sniffer）、认证信息截取/重放（Record/Replay）、病毒、黑客等，传统的口令认证方式已经无法满足大规模网络应用的安全认证需求。

图：用户系统面临的风险

二、认证墙简介

1、简介

认证墙是基于PKI（Public Key Infrastructure）理论体系，利用CA、数字签名和数字证书认证机制，综合应用USB接口智能卡、安全通道、安全插件等技术，为门户、OA、ERP等业务系统提供用户身份鉴别、安全审计等强身份认证服务的网络设备和系统。

2产品形态

认证墙由硬件和软件包组成，硬件为标准的1U或2U工控机（高性能需求用户可采用高性能服务器），软件包是部署在用户系统上的插件和Filter过滤器，完成对应用系统的保护并与认证墙通信，以安装光盘的方式提供

三、主要功能

1、 CA证书申请及管理

认证墙包含一套完整的CA系统，负责用户数字证书和私钥的申请、灌制、签发、作废等功能。证书格式遵循X.509规范，证书状态采用OCSP协议，黑名单满足CRL，智能卡满足CSP协议。CA证书存储介质支持：

USB接口智能卡

IC卡

P12文件

磁盘、U盘

支持第三方CA系统，如中国电信CTCA，并由证书管理系统负责将数字证书和相应私钥写入智能卡等存储介质中。

支持国家密码管理局批准生产的加密机或加密卡产生密钥对和对私钥进行存储。

2、身份认证

利用数字签名和数字信封技术对用户身份进行识别。认证墙自动屏蔽系统原始的用户名和口令，在应用层控制用户对系统的访问，用户提交自己的证书和私钥签名，由认证墙进行认证后，才能根据权限进入业务系统。

认证墙可对用户权限进行细粒度的管理和配置，如限制用户何时、用何方式进入系统（采用智能卡早上8：00至中午12：00允许访问）等。

3、 安全审计

认证墙记录用户的每次操作的详细日志，并在自身数据库服务器中保存用户签名，实现事后追查和安全审计。

认证墙通过浏览器进行时实监控和管理，当有黑客入侵或非法系统访问时，认证墙能实时发送手机短信和邮件通知管理人员。

四、认证墙在网络中的位置

图 认证墙网络接入示意图