RSA SecurID双因素身份认证解决方案
身份认证是网络安全的基础。而目前最常用的身份认证手段就是密码。静态密码的高风险性众所周知,因此,采用动态口令的强认证技术做为身份认证的手段已成为越来越普遍和迫切的选择。
RSA强认证原理极为简单,令牌(内置了电池和芯片)和认证服务器采用相同的算法,这个算法是与时间因素相关联的。令牌里面已经内置了唯一的128位种子文件(初始值),当把该块令牌的种子文件导入到认证服务器的时候,在同一时间,令牌和认证服务器所运算出来的结果是一致的。这样,当用户使用这个令牌进行登录的时候,认证服务器通过比对运算结果即可识别访问者的身份。这就是时间同步的专利技术(RSA是该专利发明者和持有人)。
而双因素认证则是指,用“所知道的”再加上“所能拿到的”这二个要素组合到一起才能确认合法的身份。RSA的双因素令牌要求使用者在第一次使用令牌登录系统时即设定一个静态PIN码(即“所知道的”)。以后,这个用户每次登录系统的时候要先输入自己的PIN码(“所知道的”)再连续输入所看到的令牌码(令牌是“所能拿到的”)即构成一个完整的双因素口令,这也就是我们通常所说的强认证。
使用RSA强认证解决方案可以保护各种需要保护的资源。
例如,客户可根据自身业务发展和IT安全管理需要灵活定义并保护自己的各种敏感资源,以便确保合适的人在合适的时间访问适当的资源。这些资源包括网络设备、防火墙、远程接入与访问(VPN)、无线网络接入、操作系统登录、Windows离线认证、应用系统的保护(Oracle、Web Server等等)、业务系统的登录保护、对网银用户在线交易的身份保护……。
有关图解:
(一)RSA双因素口令的构成
(二)RSA双因素身份认证系统的原理:
(三)RSA双因素身份认证系统可以保护各种资源:
RSA是信息安全领域的专业公司,成立于1982年,“RSA”已成为信息安全领域最值得信赖的名字。
RSA在身份认证、算法、数字证书、消费者身份认证、安全信息与事件的集中管理、访问控制与单点登录、文件保护等领域有很多非常优秀的解决方案。目前,RSA在国内销售的主要产品/解决方案有双因素身份认证产品/解决方案、消费者身份认证解决方案和安全信息与事件的集中管理等方面的产品/解决方案。
Citrix Web Interface双因素认证方案 一、面临挑战 Citrix Web Interface可帮助企业快速部署桌面虚拟化和应用虚拟化,员工过Citrix Web Interface可访问内部资源,实现移动办公,但同时也给企业信息安全管理带来了极大的挑战。 安全挑战:弱口令一直是企业数据泄露的一个大症结。仅采用一种方式(用户名+静态密码)进行Citrix Web Interface的登录鉴别,若静态密码被暴力破解或泄露,会导致合法用户身份被冒用,严重威胁着企业内部信息安全。 管理挑战:为防止Citrix Web Interface账号信息泄露,控制安全风险,企业通常强制要求员工定期更换登录密码,这给员工及IT运维人员带来许多不必要的麻烦,大大增加了账号的管理成本。 二、解决方案 1.宁盾Citrix Web Interface双因素认证方案概述 静态密码只能对Citrix Web Interface用户身份的真实性进行低级认证。宁盾双因素认证在Citrix Web Interface原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管Citrix Web Interface帐号的静态密码认证工作。通过在Citrix Web Interface配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开Citrix Web Interface进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
一、背景需求 随着企业移动化转型,员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。 另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。 二、解决方案 传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。 多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次,一次一密。用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。 1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是,创新性的将
企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。 2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。 3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。 4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。 三、效果展示 通过将认证服务器与Office 365 对接,用户登录时,首先输入账号
华为云桌面双因素认证方案 一、面临挑战 1、安全威胁 华为云桌面是由华为云提供的虚拟Windows桌面与应用服务,帮助企业将办公桌面快速、集中部署在云平台上,方便进行管理维护且节省企业成本,能让员工随时随地登录到自己的桌面环境中,实现移动办公。 但单一的静态密码登录验证机制下,不少员工仍采用初始密码或者过于简单的静态密码,非法入侵者若窃听到云桌面登录账号的用户名及密码,即可得到合法访问权限,并可通过合法访问权限访问内部系统,企业信息安全面临挑战。2、管理成本 为防止云桌面账号信息泄露,企业通常强制要求员工定期更换登录密码,给员工及IT运维人员带来许多不必要的麻烦; 如没有及时收回账号,离职员工仍然有云桌面的合法访问权限,因此额外增加了IT部门的账号回收管理成本。 二、解决方案 1.华为云桌面双因素认证解决方案概述 静态密码只能对云桌面用户身份的真实性进行低级认证。宁盾双因素认证在企业云桌面原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管云桌面帐号的静态密码认证工作。通过在华为云桌面配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开华为云桌面进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成华为云桌面帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
双因子认证机制 双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,特别是在远程访问时,但在其它领域应用还很有限。双因子认证的推广之所以受阻,主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者还指出这种方法也容易遭受攻击,即在非常小的时间窗口内,易受到中间人(man-in-the-middle)攻击(这也是采用严格SSL处理的更多原因)。除了这些障碍以外,实际上现在我们已经开始认识到,不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。受到欧洲银行业的影响,以及欺诈行为带来的成本不断增加,美国金融机构将加快采用双因子认证的步伐,这一行动将会促使消费者更快习惯这一方法。为减轻必须携带专用双因子令牌设备所带来的阻力,可以利用现在无处不在的移动计算平台(如支持Java的手机或通过短信息服务传递的一次性口令)作为双因子客户平台。同时,就象欺诈带来的成本促使银行业采用双因子认证一样,这也是电子商务企业采用双因子认证的主要动力,电子支付行业团体,如PCI和APACS已经开始强制使用双因子认证。这一机制很快将会成为认证领域的通用作法,不久以后我们就会对仅仅采用密码认证的系统产生强烈的不信任感。 一般来说,在安全方面必须接受这样一个事实:并不存在任何形式的硬件或软件能够提供万能的安全解决方案。但这并不妨碍采取相应的安全措施:大门上的锁对“敲锁法”来说可能并不安全,而大门本身也耐不住斧头、锯子、火把或炸药的攻击,但即使这样你仍然不会因为安全系统不完美而始终大门敞开,或者根本不上锁。实际上,多采取一些安全措施会在攻击者和保护者之间的这场战斗中为我们增加一些胜算。当然,前提是这些措施是有效的,否则会造成一种虚假的安全感,反而会使事情恶化,因为用户会因此而警惕性变低。认识到这一点,最好的方式可能是改变游戏的规则,集中精力使数据窃取型犯罪不那么有利可图。
云主机双因素认证解决方案 一、面临挑战 由于云计算技术的兴起,越来越多企业已经搭建自己的公有云服务器,将数据托管于云服务商的数据中心。企业上云是时代发展的大势所趋。而公有云的公有性,导致云主机的安全问题也受到前所未有的考验。 企业对公有云数据的掌控力度减弱,一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的,并没有针对某个企业或某些数据的特别举措。因此企业有必要加强自有云主机登录保护,为保障云数据安全设置第一道防线,通过双因素认证,防止密码共享、密码泄露现象,避免非法越权操作。 二、解决方案 1.云主机双因素认证解决方案概述 静态密码只能对云主机用户身份的真实性进行低级认证。宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾一体化认证平台负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管云主机帐号的静态密码认证工作。通过在云主机配置第三方RADIUS认证,指向宁盾一体化认证平台(内置RADIUS SERVER)。用户接入云主机进行静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,验证通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成云主机静态密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
双因素认证方案 一、网络安全认证的需求背景 网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况,用户如果只依赖个人密码进行帐户登录或网上交易,是非常危险和不可靠的认证方法。针对这些问题,北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务,对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统,便能为其客户提供身份认证服务,使其消费者日后能以简单轻松的方法,随时随地享受网上服务。IT管理员或者终端消费者也不用再终日提心吊胆,网上商户因此能与其客户建立更亲密和信任的关系。 二、现存主要的身份认证技术分析 目前,计算机及网络系统中常用的身份认证方式主要有以下几种: 1.用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只要能够正确输入密码,计算机就认为操作者就是合法用户。出于对安全的要求,要求用户定期更改密码,且不能重复,而实际上,由于许多用户为防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样就容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,从安全性上讲,用户名/密码方式是一种极不安全的身份认证方式。 2.智能卡认证 智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是基于 “what you have”的手段,能过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。 3.动态密码认证 动态密码认证是一种基让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。其技术是基于动态令牌的,密码生成芯片运行专门的密码算法,根据当前时间生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认
深信服云桌面双因素认证解决方案 一、面临挑战 1、安全威胁 云桌面是放在云端的虚拟桌面环境。深信服云桌面帮助企业将办公桌面快速、集中部署在云平台上,方便进行管理维护且节省企业成本,能让员工在有网的环境下,使用多种终端设备,通过密码登录接入到自己的桌面环境中,实现随时随地移动办公。 但单一的静态密码登录验证机制下,不少员工仍采用初始密码或者过于简单的静态密码,非法入侵者若窃听到云桌面登录账号的用户名及密码,即可得到合法访问权限,并可通过合法访问权限访问内部系统,企业信息安全面临挑战。2、管理成本 为防止云桌面账号信息泄露,企业通常强制要求员工定期更换登录密码,给员工及IT运维人员带来许多不必要的麻烦; 如没有及时收回账号,离职员工仍然有云桌面的合法访问权限,因此额外增加了IT部门的账号回收管理成本。 二、解决方案 1.深信服云桌面双因素认证解决方案概述 静态密码只能对云桌面用户身份的真实性进行低级认证。宁盾双因素认证在企业云桌面原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管云桌面帐号的静态密码认证工作。通过在深信服云桌面配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开深信服云桌面进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成深信服云桌面帐号密码认证之后,
“指纹+数字证书”双因子认证系统 安全解决方案 中天一维科技有限公司 Ewaytek Co.,Ltd
“指纹+数字证书”双因子认证系统安全解决方案 卷与分册方案 资料版本2006V1.0 出版状态标准 BOM编码M 版权声明 中天一维科技有限公司2006 版权所有?,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书的部分或全部, 并不得以任何形式传播。 Copyright? 2005 by Ewaytek Co., Ltd.All Rights Reserved. No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Shanghai Ewaytek Co., Ltd
目录 1 术语 (5) 1.1 指纹KEY (5) 1.2 双因子认证 (5) 1.3 企业内部网络 (5) 1.4 PKI (5) 1.5 CA证书颁发机构 (5) 1.6 数字证书 (6) 1.7 注册机构RA (6) 1.8 PC/SC (6) 1.9 CSP (6) 1.10 SDK二次开发工具 (6) 2 方案简介 (7) 3 方案特点及优势 (8) 3.1 不可抵赖性 (8) 3.2 安全性 (8) 3.3 可靠性 (9) 3.3.1 安全可靠的指纹KEY硬件结构 (9) 3.3.2 稳健的系统体系结构 (9) 3.3.3 自动系统故障恢复 (9) 3.3.4 完善的诊断工具 (10) 3.4 易用性 (10) 3.4.1 简单的指纹身份验证操作 (11) 3.4.2 用户状态迁移工具 (11) 3.4.3 紧急管理服务 (11) 3.4.4 存储区域网络和网络访问服务器支持 (11) 3.4.5 网络负载平衡增强功能 (11) 3.5 可扩展性 (12) 4 双因子认证的域登录解决方案 (13) 4.1 系统结构设计 (13) 4.2 系统设置及应用 (13) 4.2.1 配置域控制器 (14) 4.2.2 配置IIS 服务器 (15) 4.2.3 配置CA 服务器 (16) 4.2.4 申请注册代理证书 (20) 4.2.5 安装指纹KEY驱动程序及硬件 (23) 4.2.6 初始化指纹KEY (24) 4.2.7 申请智能卡证书 (24) 4.2.8 使用指纹KEY进行域登录 (27) 4.2.9 域安全策略设置 (28) 5 核心产品技术简介 (30)
号令双因素动态密码身份认证解决方案 借助号令双因素身份认证系统,企业能够获得以下收益: (1)提升信息系统安全,消除弱身份鉴别带来的信息泄漏风险 (2)减小静态密码遗忘或定期强制更改密码给员工与IT管理人员带来的开销,节约管理成本 (3)实现多个业务系统密码集中管理机制 (4)与AD/LDAP无缝集成,互享企业统一认证信息 用户成功申请号令手机令牌之后,每次进入系统都必须输入号令客户端提供的动态密码,动态密码输入之后即作废,下次登录时,需通过号令客户端重新取得新动态密码。通过这种动态认证方式,能极为有效的防止木马外挂,病毒,窥探等盗号方式,保护账号安全。 一:背景: 由于目前频频出现网络用户账号泄露的不安全事件,为了保护我们的用户账号以此研发手机密令基于智能手机,可为各类手机支付、手机端购物及各类手机智能客户端应用提供二次加密保护,它是3G时代账号保护和身份认证服务的必然发展趋势。 二:号令概述: 1、号令“双因素动态密码身份认证系统”是一种采用时间同步技术的双因素认证系统。 2、号令双因素动态密码身份认证系统”采用动态的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。 3、号令手机令牌,它是一款基于OTP技术(One Time Password)的软件令牌,可直接下载至手机,通过智能手机屏幕每隔30秒展现一组6位数字的动态密码,可应用于云计算和应用、企业内网应用统一认证、电子商务、网络游戏、银行、证券等行业的各类账号保护和二次验证操作保护等。所有的账号及身份认证可集成在同一个客户端,用户只需拿起手机就能方便查阅到各账号登录所需动态密码,从此甩掉随身携带各种硬件的烦恼。 三:流程逻辑
RSA 双因素身份认证 1\简单描述:RSA SecurID 是一种采用时间同步技术的双因素认证系统,它能够用强大的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失。 在进行安全方案设计时,一个层面必须依赖于另一个层面。"安全金字塔"必须建立在管理策略和过程的基础上,而用户认证是整个金字塔的关键组成模块。若不首先采用强力用户认证,其余的授权层面、加密层面和审计层面就会变得毫无意义。因此无论是在VPN、在RAS、在Web电子商务,还是在企业网络应用中,都必须采用强力用户身份认证,确保网络资源访问的合法性。 2\身份认证现状分析 2.1 目前身份认证的现状 在计算机网络中,最常见而简单的访问控制方法是通过对静态口令的匹配来确认用户的真实性。而调查表明,有60%的系统首先被攻击和突破的地方是口令。许多最具危害性的犯罪都拥有共同的特点:即绕过密码保护以获取对信息或资金的访问权限。信息安全的关键在于确切地了解谁正在访问您的最机密的网络信息资产。不幸的是,事实证明,建立在静态口令之上的安全机制非常容易被黑客攻破。 2.2 传统身份认证方式存在的问题 密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷,如:密码容易被人猜测或通过交际工程学、社会工程师等途径获取,输入密码时容易被人窥视,密码容易被很多工具破解,存在着没有被检测到的缺陷和漏洞,密码可以在网络离线时被窥测,密码和文件容易从PC和服务器上被转移等等。虽然一次性密码比可重用的静态密码强壮,但它们仍存在能被利用的弱点(需要更多的技巧),其中包括中间人攻击和竞争攻击。而且一次性密码依然是单因素认证,而不是我们所说的强力用户认证。因此静态密码是最不安全、最弱的一种识别与身份认证手段。 2.3 解决办法 因为静态密码存在以上诸多的缺陷,任何听到或窃取到密码的人都会显得完全真实。因此有必要增加第二个物理认证因素,从而使认证的确定性按指数递增。RSASecurID双因素身份认证就是这样一种强身份认证解决方案,它可确认网络访问的另一端是谁,提升企业网络资源保护的安全级别。应用RSASecurID这一强大的用户认证机制,可防止机密数据、应用和企业网及INTERNET上的资源被非法访问,其非凡的双因素认证方式使用起来非常简单,只需输入密码,就可提供强大的保护。 3\RSASecurID双因素身份认证系统介绍 3.1 RSASecurID身份认证令牌 它是分发给最终用户的,用以证明其身份的硬件或软件设备,是RSASecurID 双因素身份认证的一个因素(您所拥有的),产生一分钟变化一次的动态令牌码。它有硬件、软件和智能卡等多种形式。 3.2 RSAACE/Agent代理软件
SafeWord动态令牌双因素身份认证解决方案 赛孚耐(北京)信息技术有限公司 SafeNet China Ltd.
目录 1SAFENET公司简介 (2) 2技术及产品线 (3) 3身份认证需求 (4) 4SAFENET SAFEWORD产品介绍 (6) 4.1S AFE W ORD 2008 (6) 4.1.1高可靠性的认证系统 (7) 4.1.2方便灵活的管理特性 (7) 4.1.3强大的日志审核功能 (8) 4.1.4紧急情况下的特性 (8) 4.2S AFE W OR D认证令牌 (8) 4.3M OBILE P ASS?软件令牌 (9) 4.4用户自助服务 (10) 5SAFENET SAFEWORD解决方案 (11) 5.1S AFE W ORD 一次性密码(OTP)强身份认证解决方案 (11) 5.1.1SafeWord 与Citrix 集成 (11) 5.1.2网络设备保护 (12) UNIX/Linux主机保护 (13) 5.1.3Web应用程序的保护 (13) 5.1.4域登录保护 (14) 5.1.5防火墙和VPN保护 (15) 5.1.6Oracle数据库保护 (15) 5.1.7使用RADIUS协议与应用程序集成 (15) 5.1.8认证开发包(SDK) (16) 6SAFENET SAFEWORD解决方案优势 (17)
1 SafeNet公司简介 SafeNet成立于1983年, 为全球知名网络安全整体解决方案提供商,除了不断研发最新信息安全技术外,我们为客户提供双因素身份认证、数据加密和密钥管理及软件版权管理等专业解决方案。 SafeNet总部设于美国巴尔的摩市,在安全网络系统开发、设置、管理等专业领域有超过20年的经验,为政府部门、金融机构及全球大型企业提供专业的产品及服务。SafeNet 在下列各领域皆扮演重要的领导地位: 远程安全登陆客户端标准软件设置;取代用户名/密码的USB 硬件身份认证令牌;加速SSL加解密运算的SSL加速装置;防堵非法盗版的软件保护及授权解决方案;及提供给美国政府国防部、国家安全局的高安全加解密系列产品。 SafeNet 在2004年3月完成与Rainbow 公司的合并,正式跻身为全球最大、最完整的信息安全产品技术供货商。 2009年3月,阿拉丁知识系统公司被私人投资公司Vector Capital 收购并且并入其全资子公司SafeNet。SafeNet 与阿拉丁的合并组成一个软件版权管理(SRM)和身份认证解决方案的全球领导者。两家公司已经引入革新技术在这些领域中,所以这是一次真正的领导者的联合,两家公司在市场上的革新技术能够服务于彼此的客户。两个公司的产品能够充分融合实现最大的市场价值。 SafeNet 积极将专业的产品及技术推广至政府部门、金融机构、企业、OEM 客户及所有需要服务的客户。SafeNet在全球为5,000 家客户提供专业的支持及服务,并在全世界100 个以上的国家拥有广泛的经销渠道。
VMWare View双因素认证解决方案 一、面临挑战 1、安全威胁 VMware View可帮助企业将虚拟桌面整合到数据中心的服务器中并进行灵活的管理。员工在内外网办公环境下借助VMWare View可自由访问虚拟桌面资源。但单一的静态密码登录验证机制下,不少员工仍采用初始密码或者过于简单的静态密码,非法入侵者若窃听到VMware View登录账号的用户名及密码,即可得到合法访问权限,并可通过合法访问权限访问内网数据,企业信息安全面临挑战。 2、管理成本 为防止VMware View账号信息泄露,企业通常强制要求员工定期更换登录密码,给员工及IT运维人员带来许多不必要的麻烦; 如没有及时收回账号,离职员工仍然有VMware View的合法访问权限,因此额外增加了IT部门的账号回收管理成本。 二、解决方案 1.VMware View双因素认证解决方案概述 静态密码只能对VMware View用户身份的真实性进行低级认证。宁盾双因素认证帮助企业在VMware View原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器DKEY-TMS负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管VMware View帐号的静态密码认证工作。通过在VMware View配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开VMware View进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
RSA SecurID 动态身份认证系统 建议方案 2014年3月
目录 1.身份认证需求........................................................ - 3 - 1.1.网络信息安全必须实现的五大需求.. (3) 1.2.身份认证需求 (3) 2.RSA AM 8.0结合VPN保护解决方案......................... 错误!未定义书签。 2.1.防火墙和VPN保护 (11) 2.2.RSA AM8.0性能优势 (12) 2.3.RSA AM8.0认证服务器部署要求......................... 错误!未定义书签。 3.RSA SECURID身份认证功能详解............................ 错误!未定义书签。 3.1.RSA S ECUR ID:强大的双因素认证系统 (11) 3.2.RSA S ECUR ID双因素认证系统组件 (12) 3.2.1. 认证服务器(ACE/Server).................................... - 13 - 3.2.2. RSA SecurID认证令牌......................................... - 14 - 3.2.3. 代理软件(ACE/Agent)....................................... - 14 - 3.2. 4. ACE/Server容错和负载均衡.................................... - 15 - 3.2.5. 支持与目录服务器的资料自动同步.............................. - 15 - 4.基于时间同步技术双因素身份认证架构图 (17) 4.1. RSA SecurID时间同步原理架构图..................... 错误!未定义书签。 4.2. 时间同步原理讲解图................................ 错误!未定义书签。 4.3. 基于时间同步的双因素口令.......................... 错误!未定义书签。 4.4. RSA双因素令牌种类简介......................................... - 18 - 5.售后服务 (17) 6.客户举例 (17) 7.产品市场占有率情况 (17)
企业核心应用系统认证逐渐向双因素动态登录转型 受企业移动化影响,多核心应用系统向移动化、轻量化、统一门户单点登录过渡,受弱密码、账号共享、账号泄露等因素影响,企业既无法保证员工核心应用访问安全,也无法根据员工身份进行严格审计。动态密码是每隔一定时间变幻一次的随机密码,一经使用立即失效,不可追溯,防字典轮询和暴力破解,以手机APP的形式还增加了账号密码的隐私性,提升了核心业务系统及单点登录系统的安全性。 SSO账号动态密码认证界面企业核心应用对双因素认证技术的需求及影响 传统双因素认证主要用于网络基础设施应用场景,如VPN、虚拟化桌面等,用户基数少,对运维成本、厂商技术能力要求主要表现在设备兼容性,访问控制简单。然而,面对企业核心应用数万用户规模,
企业对双因素认证厂商的技术能力鉴别、实施运维成本都提出较高要求。其中用户规模数量级支撑及高并发、令牌自动化及运维成本、实施部署周期、API对接能力、高可靠及容灾能力等都成为新市场机遇下企业对双因素认证厂商的重要指标。
动态密码认证在核心应用领域的能力提升 与边缘网络相比,单点登录整合并统一用户源,为多业务系统提供统一认证服务,覆盖企业数万用户。用户规模越大,运维管理成本、高并发、高可靠、容灾能力所占比重越来越重要。 1、统一身份及双因素账号密码安全认证 在账号密码的基础上增加动态密码,形成账号密码动态保护。动态密码由专业令牌生成器根据国家密码局杂凑算法(SM3)生成,每隔30/60s变化一次。每个动态密码一经使用立即失效,不可追溯。可帮助客户解决: 兼容AD、LDAP、OpenDJ 等多账号源,兼容多应用系统及单点
Citrix Netscaler双因素认证方案 一、面临挑战 Citrix Netscaler可帮助企业快速部署桌面虚拟化和应用虚拟化,员工过Citrix Netscaler可访问内部资源,实现移动办公,但同时也给企业信息安全管理带来了极大的挑战。 安全挑战:弱口令一直是企业数据泄露的一个大症结。仅采用一种方式(用户名+静态密码)进行Citrix Netscaler的登录鉴别,若静态密码被暴力破解或泄露,会导致合法用户身份被冒用,严重威胁着企业内部信息安全。 管理挑战:为防止Citrix Netscaler账号信息泄露,控制安全风险,企业通常强制要求员工定期更换登录密码,这给员工及IT运维人员带来许多不必要的麻烦,大大增加了账号的管理成本。 二、解决方案 1.宁盾Citrix Netscaler双因素认证方案概述 静态密码只能对Citrix Netscaler用户身份的真实性进行低级认证。宁盾双因素认证在Citrix Netscaler原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管Citrix Netscaler帐号的静态密码认证工作。通过在Citrix Netscaler配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开Citrix Netscaler进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
微软开启双因素认证功能让账户更安全 微软针对用户的帐户安全功能有着众多的考量,其中之一就是双因素认证。双因素认证是通过“您所知道信息”再加上“您所能拥有的信息”这二个要素组合到一起才能发挥作用的身份认证系统。例如,在ATM上取款的银行卡就是一个双因素认证机制的例子,需要同时获得取款密码和银行卡这二个要素结合才能使用。 微软的双因素认证方案是,设置“两步认证”后,当用户在任何设备客户端(添
加到信任列表中的除外)上登录微软帐户时,除了输入密码之外还会被提示要输入一个由手机应用Authernticator随机生成的安全码。类似现在网游运营商所普遍提供的各类手机安全码和“令牌”服务。 有趣的是,Authenticator在WP商店里已经可以被下载到,下面是该应用的说明: “Authenticator可以生成安全码,用于保护您微软帐户的安全。您可以通过扫描条形码或者手动输入密钥在该应用内添加您的微软帐户。该应用实现了符合行业标准的安全码生成功能,将来也可能支持其他的服务和提供商。
用户能够直接通过Authenticator(验证器)这款应用直接生成安全代码。在此之前大家都通过移动电话或者邮箱的方式对帐户的安全性进行验证,或者通过受信任电脑进行验证。但是若是更换电话卡或者暂时无法接受到短信和邮件,而身边又没有受信任的设备的情况下,Authenticator的作用就能够得到很好的发挥。只要在应用中同用户的微软账户相关联,那么再次验证微软账户时,只需要通过Authenticator应用便能够生成安全代码,能够在任何不受信任的设备上对微软账户进行验证。 虽然该应用所提供的功能暂时还无法使用,但有消息称微软官网将很快提供微软帐户和Authenticator配对的功能,如下图所示:
基于动态令牌的双因素身份认证——有力保障网上帐户和交易的安全 一、网络安全认证的需求背景 网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况,用户如果只依赖个人密码进行帐户登录或网上交易,是非常危险和不可靠的认证方法。针对这些问题,北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务,对象是那些为企业VPN安全登录、IDC远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统,便能为其客户提供身份认证服务,使其消费者日后能以简单轻松的方法,随时随地享受网上服务。IT管理员或者终端消费者也不用再终日提心吊胆,网上商户因此能与其客户建立更亲密和信任的关系。 二、现存主要的身份认证技术分析 目前,计算机及网络系统中常用的身份认证方式主要有以下几种: 1.用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只要能够正确输入密码,计算机就认为操作者就是合法用户。出于对安全的要求,要求用户定期更改密码,且不能重复,而实际上,由于许多用户为防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样就容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,从安全性上讲,用户名/密码方式是一种极不安全的身份认证方式。 2.智能卡认证 智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是基于“what you have”的手段,能过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。 3.动态密码认证 动态密码认证是一种基让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。其技术是基于动态令牌的,密码生成芯片运行专门的密码算法,根据当前时间生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。 4.生物识别技术 生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动验证的生理特征或行为方式。生物特征分为身份特征和行为特征两类。身体特征包括:指纹、掌型、视网膜、虹膜、DNA等;行为特征包括:签名、语音、行走步态等。基于生物特征的身份认证机制容易受外界因素影响(如噪声、位置、方向以及光照的变化或主体本身的特征改变),使得在提取生物特征或进行匹配时产生困难。此外,所有基于生物特征的识别技术是利用提取的生物特
1. 面临挑战 ●安全挑战:随着移动化办公场景的增多,企业员工登录移动化办公工具已经是日常操作,但仅使用传统的静态密码验证,存在这账号,密码泄露或被盗取的风险,企业内部网络的安全以及信息防火都面临这挑战。 ●运维挑战:如仅使用普通弱密码,对于IT人员定期修改密码的工作量巨大,并且回收,修改账号等信息也存在一定的工作代价。 ●身份管理挑战:随着企业员工的更替,以及岗位的变更。需要去实现统一的身份管理。 ●合规挑战:部分行业(如:银行,金融,政企等)为达到红头文件或者等保的要求,需要在登录网络设备时进行双重密码认证。 2. 华为云桌面与宁盾双因素认证解决方案 宁盾双因素认证在华为云桌面原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等多种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管VPN帐号的静态密码认证工作。通过在华为云桌面服务器配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工登录时先使用用户名、静态密码+动态密码认证的方式,实现双因素认证登录保护。
华为云桌面动态密码登录界面 3.方案价值 ①账号双重保护:宁盾双因素认证在云桌面原有账号密码认证基础之上增加一层动态密码认证,以此提升VPN用户接入认证安全,解决弱身份鉴别可能引发的内网信息泄漏隐患; ②多种认证方式:短信令牌、手机令牌、硬件令牌,三种动态密码形式各有优势,客户根据需求自由选择,也可以多种组合; ③与现有系统无缝集成:内置Radius认证模块,可与AD、LDAP 等标准账号源结合,同时也支持与企业本地应用、私有云应用以及SAAS等的对接,并为其提供双因素认证服务; ④简化管理:减少企业因静态密码定期强制更改,给员工及IT 运维人员带来的麻烦,同时节约账号管理成本; ⑤实名追溯:详尽的登录日志,发生安全事件时可定位到个人,
动态口令双因素认证及其应用_动态口令认证失败 摘要:身份认证是信息安全技术领域的一个重要部分,文章阐述了身份认证的主要因素和动态口令双因素认证的机制,并详细分析了动态密码双因素认证技术在各种信息系统中的应用。关键词:双因素认证;动态口令;一次性口令;信息安全技术0 引言目前最普遍采用的身份认证机制是结合用户ID和密码的身份认证方案,它已经被广泛的应用于各种网络和系统中。用户的密码过于简单或容易被猜中,用户使用密码存在不良习惯,都可能造成密码的失窃。许多企事业单位开始意识到密码已经不能满足他们对关键信息资源保护的需求,开始着手实施更可靠的身份认证方案来保护他们的信息资源。目前主要采用的强认证方案是动态口令双因素认证方案。 1 双因素身份认证在信息安全领域,对共享信息资源保护的第一步就是实施一种用户身份认证服务。通常这―服务基于指定的用户ID,系统或者网络通过某种方式识别出使用者,这个过程就是身份认证(Authentication)。身份认证是最重要的安全服务,也是其他安全控制的基础,比如访问控制机制基于用户ID来分配信息资源,日志记录机制基于用户ID控制用户的访问和使用信息”。身份认证过程是基于“某种信息片段”如密码、指纹等进行的,这些信息片段被称为认证因素(Authentication factor)。认证因素通常可以分为以下三类:第一类因素是指“你所具备的特征(something you are)”,通常是使用者本身拥有的惟一生物特征,例如指纹、瞳孔、声音等。第二类因素是指“你所知道的事物(something you know)”,通常是需要使用者记忆的身份认证内容,例如密码和身份证号码等。第三类因素是指“你所拥有的事物(Something you have)”,通常是使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。采
宁盾数据库双因素认证方案 一、面临挑战 在大型数据库系统中集中存放着大量重要数据,而且为许多最终用户直接共享。数据库登录密码若被暴力破解或泄露,导致数据信息外泄、更改或破坏,会造成不可估量的严重后果,其安全性问题往往更为突出。 常规的用户名和登录密码的鉴别机制下,弱密码普遍存在,其安全隐患越来越得到重视。由于密码过于简单,考虑到系统安全而强制要求定期更换密码又给用户带来使用上的不便。因此需借用宁盾双因素认证机制来完善现行数据库用户的身份标识与鉴别,构筑起数据库安全的第一道防线。 二、解决方案 1.宁盾数据库双因素认证方案概述 静态密码只能对数据库用户身份的真实性进行低级认证。宁盾双因素认证在数据库系统原有静态密码认证基础上增加第二重保护,通过提供手机令牌、硬件令牌等动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 2.宁盾动态密码形式 手机令牌 基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。 硬件令牌 基于时间的动态密码,由硬件生成。硬件令牌每60秒产生一个6位随机密
码,使用寿命3年。需要为每个数据库用户分发一枚宁盾硬件令牌,用户登录时输入静态密码+硬件令牌上显示的动态密码,验证通过即可完成登录。 3.宁盾数据库双因素认证平台配置流程 以My SQL数据库为例,下图为宁盾双因素认证平台创建本地用户,并配置相应的双因素认证策略的示意图。
4.宁盾数据库双因素认证流程 以Oracle数据库为例,下图为宁盾双因素认证登录界面,采用单步认证方式,一并完成静态密码和动态密码的认证过程。 ①新建连接; ②输入用户名及静态密码、动态密码信息,点击“Test”,显示双因素认 证状态为“Success”,说明认证成功,这时再点击“Connect”按钮就可以成功登录了。 Oracle数据库单步认证(同步认证模式)原理