Download presentation
Presentation is loading. Please wait.
1
新一代信息安全的门户产品 安盟身份认证管理系统7.0
新一代信息安全的门户产品 安盟身份认证管理系统7.0 演讲人:四川安盟电子信息安全有限责任公司
2
主要内容 身份认证技术概述及发展前景 安盟与RSA产品的比较及国内其他产品的技术缺失 安盟身份认证管理系统7.0的新特点
安盟双因素身份认证系统7.0简介 安盟双因素身份认证系统应用分析
3
静态口令的隐患 输入泄密 1. 传输泄密 2. 特征性泄密 3. 共享性泄密 4. 记录泄密 5. 可被穷举攻击 6. 泄密不可知性 7.
可以重复的东西作为安全口令都存在隐患 泄密不可知性 7. 不方便性 8.
4
静态口令已无法满足信息安全和管理的需要 要记忆或管理的口令太多、太分散 很多静态口令都“终身”使用,不能及时更换
网络上存在上大量破解静态口令的工具(暴力破解、口令字典、协议分析工具等等) 很多病毒都会对简易的口令进行破解 面对第三方的技术支持、维护和开发等人员,管理员不得不开放自身超级用户等口令,存在巨大安全隐患、难于有效管理 很多领导长期不更换管理员为其设定的口令 口令维护管理问题层出不穷(忘记密码、用户被锁定) 最基本、最简单的口令问题已成为网络安全最薄弱的环节
5
+ X 双因素认证的必然性 =强壮的密码 传统的静态口令开始走向死亡,取而代之的将是双因素动态口令 个人名字或呢称
电话号码、生日等敏感信息 输入“一次一密”的双因素动态口令 记录于纸上或放置于办公处 使用重复的字符 X + =强壮的密码 微软也一直在研究口令保护
6
身份认证简单来说就是用户识别,目前存在大致三种认证方式:
身份认证技术概述 身份认证简单来说就是用户识别,目前存在大致三种认证方式: 1、用户是什么:现实世界中最常用的一种认证方式。用户通过他们的面部、签名等区分自己。在计算机世界中,可以通过生物特征(如虹膜、声音或者指纹)识别的方法来实现。 2、用户所拥有的:现实世界中可以是钥匙、图章或者护照。在计算机世界中,可以通过挑战应答卡、软件令牌、智能卡或者USB令牌来实现。 3、用户所知的:口令、母亲的乳名、个人识别码或者通信双方的临时密钥等。 好的认证方式一般采用上述三种方式组合的方法来实现。最常用的双因素认证方式是口令加其他任意一种方式。 生物特征:指纹可以复制、费用高昂,不适合大规模推广,核心地方采用 三因素认证
7
双因素身份认证技术 生物认证技术,包括指纹、虹膜、面容识别等 数字证书认证技术 安盟双因素身份认证技术 是最简单易用的解决方案 Title
Month Year 双因素身份认证技术 是最简单易用的解决方案 生物认证技术,包括指纹、虹膜、面容识别等 无法集成现有应用 需要特殊的外围认证设备 应用不成熟、使用维护成本高 数字证书认证技术 无法集成现有应用,需要很多开发工作 客户端需要安装驱动程序,管理、部署和维护复杂 缺少必要的灵活性 在许多特殊场景下无法使用,如对登录UNIX操作系统的保护就无能为力 安盟双因素身份认证技术 直接集成各种应用 提供全面资源保护,如网络访问与维护、主机登录、Oracle数据库、Web Server等 技术成熟、可靠,方便部署、管理、分发和使用 7
8
身份认证技术的安全强度 安全级别 硬件令牌/ 识别与强用户身份认证 数字证书/ 软件令牌/ 识别与身份认证 口令密码/ 识别与弱身份认证
生物特征 硬件令牌/ 识别与强用户身份认证 安全级别 数字证书/ 软件令牌/ 识别与身份认证 口令密码/ 识别与弱身份认证
9
双因素的概念=你知道的+你拥有的 你拥有的一些东西... 你知道的你的个人密码... “你持有的” = 安盟令牌 +
+ 取款密码 “你持有的” = 安盟令牌 + “你知道的” = PIN码
10
安盟双因素身份认证 用户名: 张三 口令码: 2468 752926 令牌码: 每 60秒变化一次 与 UCT时钟同步
用户名: 张三 口令码: 2468 752926 口令码 = PIN + 令牌码 令牌码: 每 60秒变化一次 与 UCT时钟同步 双因素动态口令 唯一的 128bit 种子 内部电池
11
º = 安盟双因素身份认证令牌的组成 里面有什么元件 ? 时间 – GMT/OTC 时间 算法 – 专用伪随机算法 种子值 – 随机数 算法
算法 – 专用伪随机算法 种子值 – 随机数 = 算法 752926
12
安盟关键技术-时间同步 安盟 认证服务器 认证设备 752926 752926 相同的种子 相同的时间 伪随机算法 伪随机算法 时间 种子
13
安盟关键技术-时间同步 30 时间同步与UCT时间同步 每次进行身份认证是,服务器使用Tadjust计算用户令牌码进行比对验证。 13
Security Dynamics SecurWorld ACE/Server Certification Course 安盟关键技术-时间同步 时间同步与UCT时间同步 每次进行身份认证是,服务器使用Tadjust计算用户令牌码进行比对验证。 30 13 30
14
安盟双因素身份认证原理 ---认证过程 用户认证通过! Title 计算令牌码并与所提交的令牌码做比对 安盟令牌 认证代理
Month Year 安盟双因素身份认证原理 ---认证过程 计算令牌码并与所提交的令牌码做比对 安盟令牌 把认证请求发送给认证服务器 认证代理 用户输入双因素口令 (PIN码+ 令牌码) 获得认证结果 认证服务器 提交认证请求 把认证结果返回给应用 用户认证通过! 14
15
身份认证技术的发展前景 身份认证是整个信息安全体系的基础,我们把身份认证技术称为“信息安全的门户技术”,身份管理与认证将在未来的信息系统建设中成为建设重点。 信息安全体系的工作中心将转向用户身份集中管理、集中认证、访问控制预授权及安全审计。 身份认证技术将从产品走向专业化服务。 身份认证客户端的设备多样化,以满足不同层次、不同场合的需求。
16
安盟与RSA产品的比较及国内其他产品的技术缺失
17
RSA 公司简介 Security Dynamics公司成立于1987年,是从事动态口令身份认证技术研发与产品制造的公司。
RSA Data security成立于1982年,是专门从事数据加密及PKI产品的公司 1996年Security Dynamics收购RSA data security,组成新的RSA Security Inc。 2006年EMC收购RSA组建安全事业部 在信息安全领域有20多年经验,是动态口令身份认证行业的先驱。
18
安盟公司与RSA的合作 早在1998年,安盟母公司达宇泰克作为朗讯(Lucent)公司的代理,在联通骨干网络项目中将RSA的双因素动态口令产品引入中国。 1999年安盟成为RSA产品的代理,开始在国内销售RSA的双因素身份认证系统。 2000年达宇与RSA合作,进行RSA产品的本地化工作。 2001年安盟成立,成为国内首家专门从事身份认证产品的研发、生产、销售与技术服务的专业公司,同年与RSA合资成立安诚信息安全有限公司,成为继澳大利亚、爱尔兰之后的RSA身份认证产品的第三个生产基地。
19
安盟与RSA产品的比较 身份认证系统的基本要求:
一般身份认证系统由3个部分组成,认证服务器、认证代理、认证令牌。 认证服务器是一套认证管理软件,通常由数据库、认证引擎、策略管理、日志管理等等,其中数据库是认证系统的核心.按照国际身份认证技术的流行趋势,对身份认证数据库的安全性和可靠性有更高的要求,主要包括:数据访问的安全性,数据存储的安全性,数据备份等,而且一般用户的应用数据库与身份认证数据库独立,以保证不会因数据库故障造成整个系统无法登录。 认证代理是实现系统安全策略的执行软件,要求有很高的兼容性,必须支持主流的操作系统、网络设备、安全设备、应用系统。 认证令牌是分发给每一个用户的客户端设备,因此必须具有使用简便、安全可靠、运行稳定的基本要求。 安盟公司从成立之初就将自己定位在与国际上最领先的技术体系保持一致的地位,并且不断地攻关、开发,在吸收学习的基础上进行创新,使自己处于全球身份认证技术的前沿,为中国的用户提供先进的身份认证管理技术。
20
RSA产品出现的巨大漏洞 北京时间6月7日晚间消息,EMC旗下安全部门RSA董事长阿特·科维洛(Art Coviello)在接受采访时称,公司将为几乎每一位客户提供安全监控或更换SecurID令牌服务,当前有数百万企业员工使用SecurID令牌。 当前有成千上万家企业使用SecurID令牌,当员工登录计算机或敏感软件系统时就会用到该令牌。SecurID令牌是一个重要的安全工具,采用不断变化的六位数动态密码,几乎不可能被复制。但5月底,洛克西德马丁公司(Lockheed Martin)和其他几家美国军方承包商的网络遭到黑客攻击,而这些承包商网络使用的正是RSA的SecurID令牌。 RSA董事长阿特·科维洛(Art Coviello)称“RSA已经向客户提供了足够多的信息,如果再提供更详细的信息,反而会对黑客未来的攻击有利。
21
RSA产品出现的巨大漏洞给我们的启示 黑客攻破RSA数据库从而造成了令牌技术数据泄漏,这一点恰恰提醒了我们中国用户在使用此类产品是最好采用国内厂商的产品,因为令牌类的产品的最关键的安全要点是用户的密钥(种子)安全,如果采用国外的产品,那么生产产品的过程安全就完全控制在外国人手中。安盟在国内设有安全生产基地,采用独立专用的内部网络进行生产,可以保证用户密钥的安全性。 安盟产品在吸收国外先进技术的基础上进行了安全性加固,在保证认证服务器的安全可靠的前提下,同时也加强了生产、运输、分发过程的安全性,安盟的种子密钥生产时自动加密,用户在导入时需通过其他途径获得解密密码,一旦导入进系统就加密存储并不可导出,这样大大提高了密钥的安全性。 这件事情也提醒用户必须加强安全管理,保证系统的安全运行。 作为令牌生产厂商必须有自己的安全研发、生产基地,必须保证系统采用专用的安全技术,才能实现产品的安全性。
22
安盟与RSA产品的比较(续) 认证服务器体系结构
23
采用专用数据库方式的优势 安盟认证服务管理器采用独立的安全加密数据库,封闭数据库指令操作,提供了更高的安全性。
采用独立的数据加密技术及内存数据库技术,保证了认证的高并发能力和效率。 认证代理和认证服务器之间采用短连接,使备份服务器可以在更短的时间内接管认证服务,同时可以实现真正的负载均衡。 具有更高的抗攻击能力。
24
采用商用通用数据库方式存在的问题 目前商用通用数据库为用户提供了方便的管理方法,指令是公开的,普遍存在后门(隐性通道),很容易被黑客或非法用户所利用,成为认证系统的隐患。 通用数据库的采用加密存储方式将会造成身份认证的效率和并发认证能力下降。 第三方数据库一般为数据存储及查询等应用所开发,其并发能力将受到一定影响 。不能实现集群、热备操作,将造成备份服务器切换的延时,不能实现负载均衡。 第三方数据库的认证对接需要保存数据库的访问授权,该授权的形式有可能受到盗用造成数据库数据保密性全无 。 第三方数据库本身无强化认证能力,导致强身份认证前端,弱身份认证后端的釜底抽薪局势,极易造成意外损失 。 第三方数据库普遍与其他应用数据结合保存,容易受其他应用对数据库访问的压力,甚至可能由于其他应用导致数据库或表结构受损,直接造成用户认证系统崩溃,严重影响整体业务。
25
其他厂商的认证服务技术技术上的缺失 -服务器体系结构
动联 信安世纪
26
其他厂商的认证服务技术技术上的缺失 -服务器体系结构
拓讯(Todos)-
27
其他厂商的认证服务技术技术上的缺失 -服务器体系结构
飞天诚信 序号 项目 必要性 说明 1 授权文件 必须 导入令牌时会检查授权文件 2 令牌文件 认证服务器进行认证的基础 3 Apache or IIS OTP Server 管理器依赖于Web Service 4 php OTP Server 管理器依赖于php 5 php odbc模块 可选 当使用ODBC访问数据库时需要 6 php ldap模块 当与LDAP集成时需要 7 数据库管理系统 OTP Server 管理器的运行基础 8 数据库对应的ODBC 使用ODBC方式访问数据库时必须 9 数据库
28
安盟身份认证平台的优势 安盟认证服务器是国内唯一一家采用专用数据库的产品:
采用独立的安全加密数据库,封闭数据库指令操作,提供了更高的安全性。 采用独立的数据加密技术及内存数据库技术,保证了认证的高并发能力和效率。 认证代理和认证服务器之间采用短连接,使备份服务器可以在更短的时间内接管认证服务,同时可以实现真正的负载均衡。 具有更高的抗攻击能力。
29
安盟身份认证管理系统7.0的新特点
30
安盟身份认证管理系统7.0的新特点 扩展的认证方法
安盟身份认证管理系统7.0版本整合了安盟公司多年部署实施身份认证系统的经验,将用户使用中的实际问题与未来发展的需要整合到这一新的管理平台,进一步支持更多的认证方式包括短信、签名短信、WAP、手机、刮刮卡、语音、USB-key等多种认证方式。 高效的处理能力 随着互联网业务的飞速发展,用户对于身份认证的需求越来越多,这就要求身份认证管理系统必须具有高效的并发处理能力以满足电子商务平台、网上银行等在线业务的身份认证需求。安盟身份管理系统7.0采用全新的内存数据库处理技术及微内核处理技术,数十倍地提高了认证服务的并发处理能。 用户选择的持续性 安盟身份认证管理系统7.0版为用户提供了未来身份认证管理安全策略、实现集中帐号管理、集中认证、集中授权、集中审计(4A),提供了可持续的技术手段,它既可以继承原有身份认证管理系统又为信息安全系统的持续发展提供技术保障。 两套体系
31
安盟身份认证管理系统7.0的新特点 改进的可操作性
安盟身份认证管理系统7.0 为用户的管理人员提供了简捷、实用的身份管理与认证的工具,它可以有效地降低用户的投资成本及运行费用。 LDAP支持 安盟身份认证管理系统7.0 可以与主流的LDAP服务器(SUN ONE、Active Directory、Novell eDirectory)实现同步管理。 基于WEB的管理 安盟身份认证管理系统7.0提供了Web service服务,用户可以通过接口与原有的安全管理平台结合实现基于WEB的管理,也可以通过使用安盟提供的WEB管理工具实现远程管理。 分层次的管理 安盟身份认证管理系统7.0提供了细分到每一个管理任务的分级管理手段,可以实现管理员的分级管理。 服务器集群 安盟身份认证管理系统7.0 支持认证服务集群,支持自动、基于策略的负载均衡,保证认证系统不间断运行。
32
安盟身份认证管理系统7.0的新特点 微软管理控制台(MMC)管理风格:安盟身份认证管理系统7.0采用了微软管理控制台(MMC)风格,管理人员可以像管理微软操作系统用那样简捷地进行用户管理、配置任务。 RADIUS服务器:安盟身份认证管理系统7.0自带一个功能强大的RADIUS服务器,使得用户可以将安盟身份认证管理器作为RADIUS服务器使用,并在以后升级为OTP管理服务器。安盟身份认证管理系统7.0可以支持802.1X的用户认证,可广泛应用于大型运营商的有线和无线宽带业务的用户认证,并结合安盟所提供的不同形式的认证手段(硬件令牌、手机令牌、短信令牌以及语音令牌等形式)的差别化服务。
33
安盟身份认证管理系统7.0的新特点 用户自助服务--用户可以通过WEB方式登录到自助管理界面,进行令牌绑定、同步、修改PIN等操作,以减少管理员的工作。这样可以使安盟身份管理平台方便地部署到网上银行、电子商务、网络游戏等大用户数的应用中。 WEB令牌管理分发服务--对于一些大型的商业、金融机构有着分布全国的分支机构和用户群,按照原来的管理方法必需由中央集中采购,然后进行分配和分发。这样就会花费很大的精力。采用安盟WEB管理安盟公司可以根据用户的订单直接进行令牌生产和直递服务,用户通过自助系统进行注册,分支机构的业务人员对用户进行审核,然后用户就可以正常使用安盟令牌进行登录。
34
安盟身份认证管理系统7.0的新特点 可用性和操作系统平台支持
安盟身份认证管理系统7.0 兼容支持现有所有的安盟认证代理和认证代理API,同时兼容支持OATH、安盟 SecurID、RADIUS等标准认证协议,保证现有使用安盟双因素身份认证服务器的用户可以平滑升级。 系统可以安装在Windows 32/64 、各类 Linux 32/64,以及Sun Solaris 、AIX、HP-UX操作系统。
35
安盟双因素身份认证系统7.0简介
36
安盟双因素动态口令身份认证管理平台简介 1、身份认证令牌:硬件令牌、软件令牌、短信令牌、手机令牌、USB-KEY令牌、 电话语音令牌、刮刮卡令牌 2、认证代理:用于整合受保护资源的认证,操作系统、网络和安全设备、应用系 统等,以及基于C/C++/C#/JAVA的认证API,目前支持379个厂家的560多种产品 3、认证服务器软件:支持SecurID、RADIUS等协议,支持目前主流的AIX、HP-UX、Solaris、Windows、Linux平台,采用集群技术,支持高并发、分布式认证,包括用户和令牌管理、认证引擎、日志管理、同步与备份、数据库和操作控制台,以及相应的管理接口API
37
安盟双因素动态口令身份认证管理平台简介 安盟认证服务器是国内唯一一家采用专用数据库的产品:
采用独立的安全加密数据库,封闭数据库指令操作,提供了更高的安全性。 采用独立的数据加密技术及内存数据库技术,保证了认证的高并发能力和效率。 认证代理和认证服务器之间采用短连接,使备份服务器可以在更短的时间内接管认证服务,同时可以实现真正的负载均衡。 具有更高的抗攻击能力。
38
安盟双因素动态口令身份认证管理平台简介 ---可选择的令牌 硬件令牌 软件令牌 种子存放 USBkey 硬件令牌,正式,严肃 IC卡
固定场合应用 语音令牌 拨打特呼号,后台确 认身份后: 短信方式发送密码 语音方式发送密码 紧急预案模式 可选择 的令牌 刮刮卡令牌 短信令牌 携带方便 兼容性好 后台维护 手机令牌 携带方便 JAVA手机环境 安装、维护 时间同步问题
39
安盟短信令牌 Web服务器 安盟Mobile ID技术是一项创新的身份认证解决方案,它提供了一种使用现有的移动电话系统或者PDA提供双因素身份认证来保护网络资源访问的新型认证选择 3. 安盟 MobileID代理 2. 浏览器 1. 安盟认证服务器 4. 6. SMS网关或 邮件服务器 无线网络 短消息或文本消息 5.
40
安盟短信令牌特点 安盟Mobile ID技术提供了一种经济有效的双因素 1.잠재 고객 身份认证网络资源保护解决方案
5. 与呼叫中心结合 4. 紧急口令 3. 灵活的管理和审核 2. 公认的安全性 1. 保护网络应用的访问 临时口令使用户可以在手机超出服务区或者手机不在身边 的情况下访问安盟Mobile ID保护的资源 允许用户对管理功能进行授权 提供了一个灵活功能强大的日志功能 临时口令使用户可以在手机超出服务区或者手机不在 身边的情况下访问安盟Mobile ID保护的资源 每一个用户用自己的密钥 可以与呼叫中心业务结合,为用户提供语音口令服务
41
安盟短信令牌应用演示 基于挑战/应答的方式
42
安盟手机令牌 安盟手机令牌是一种基于各种手机平台开发的客户端形式,它可以运行于任何Kjava、Iphone、Andriod、Win Mobile等环境的手机,为用户提供一种更便捷的动态口令方式。 WAP令牌码的流程如下:访问获取令牌站点站点自动获取用户手机号码输入获取令牌密码后点击确定动态码以图片的形式展示给用户通过适配平台的适配,图片得以清晰的显示在各种手机终端中WAP手机自动适配平台可以将WAP页面自动适配显示到不同的手机终端。
43
刮刮卡令牌
44
刮刮卡令牌-挑战应答式
45
刮刮卡令牌-矩阵式
46
安盟交易签名短信 交易签名短信认证是根据用户的密钥、时间、交易关键信息,通过SM3算法生成。
47
安盟认证服务器功能 安盟认证服务器:安盟认证服务器是网络中的认证引擎。安盟认证服务器由安全管理员或网络管理员进行管理,主要用于: 企业认证:向信任的个人签发令牌。 访问控制:设置并实施安全策略, 保护专用网络系统、文件及应用的访问,包括根据每天的时间段, 周几或用户小组的权限访问。 用户责任:创建用户访问日志。 规避攻击:定义和报告报警情况,如某个网络端口访问失败重试次数。 访问控制 企业认证 企业认证 安盟身份认证服务器是安盟身份认证系统的核心,它要求认证系统具有很高的安全性、可靠性及很高的可扩展能力,从安全性上它只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系统,这将在极大程度上保证登录的用户确实为授权的个体,大大降低了攻击和非法访问的风险。从可靠性上考虑安盟身份认证服务器软件采用集群技术,实现设备及负载均衡,保证不会出现单点故障,最多支持1主10备的服务器集群,且每台服务器支持超过10万用户(大于400用户/每秒的并发认证),即使是拥有上万用户和多个办公室的企业网络,仍能受到安盟身份认证服务器的保护,该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。 访问控制 安盟身份认证服务器允许用户定义合适的安全策略,可以有效保护对专用网络系统、文件及应用的访问,其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。 规避攻击 黑客会使用各种无法预料的方法来接入网络。安盟身份认证服务器可以识别威胁情况,然后报告给UNIX系统日志或Windows NT事件日志。例如,当有人多次试图接入远程访问端口、数据文件或防火墙时,安盟身份认证服务器会向系统管理员发出报警,帮助发现并在导致损失前采取相应防范措施。 用户责任 黑客通过使用某个员工的密码,可以在该员工不知情或不同意的情况下侵入系统。由于安盟双因素认证要求输入用户令牌代码和个人PIN,因此进一步确保了员工不会被任何非法访问事件所牵连。这种特性,再加上安盟身份认证服务器能够报告对所有保护资源的访问情况,可以帮助员工识别其对信息安全的责任,并采取相应的措施。此外,黑客经常试图抹掉自己的足迹,安盟身份认证服务器的访问历史日志则可以作为犯罪调查和取证的重要组成部分。 安盟认证服务器 规避攻击 用户责任
48
安盟认证服务器体系结构 安盟 认证服务器体系结构 TCP/IP Secur ID 认证 协议 网络 协议 UDP TACACS/+
RADIUS RADIUS 可扩展性强,适用范围广 兼容的协议多 Kerberos RADIUS 设备
49
安盟认证服务器特征和优点 主服务器 可执行管理读与写功能 可支持10个备份服务器 调节各备份服务器间的配置 启动配置 拥有备份数据库资源
主服务器可执行身份认证 在运营商行业应用就证明了安盟产品的高可靠性 都是主备不可以,因为后台是数据库服务的必须只有一台主服务器
50
安盟认证服务器特征和优点 特征 一主多备结构 确保有效性、负载均衡 可变多域为单域 通过身份认证备份服务器高速身份认证 优势 主服务器
加强保护并可升级 每个域中>1M 用户数 简化管理,降低成本 对网络配置要求具有灵活分配性 提高工作效率 改进灾难防御性 一台服务器支持10万用户,跨域支持20个域,支持的用户数可达千万级 主服务器 备份服务器 自动更新
51
安盟认证服务器特征和优点 保证不间断运行
52
安盟认证服务器特征和优点 备份服务器 主服务器 安盟 ACE/Agent 备份保护历史 日志 #1 主服务器 #2 备份服务器
VPN 服务器 安盟 ACE/Agent 备份保护历史 日志 #1 主服务器 #2 备份服务器 主服务器
53
安盟认证服务器特征和优点 A B C 主服务器 备份服务器
VPN Server B 安盟 ACE/Agent 安盟ACE/Agent 备份保护 历史日志 #1 备份 C #2 备份 A #3 备份 B 主服务器 C
54
安盟ACE/Agent sdopts.rec File 主 #1 = A 主 #2 = C
安盟认证服务器特征和优点 B A C 主服务器 备份服务器 安盟 ACE/Agent VPN Server 安盟ACE/Agent sdopts.rec File 主 #1 = A 主 #2 = C 紧急= B
55
安盟提供完备的应用接口(API) 针对用户的C/S或B/S应用,安盟公司提供各种标准的API开发包。
安全简易地与应用程序相结合、不需要为每个应用程序开发代码 在多个应用程序间提供一致的安全性 提供标准的API(C/C++, C#, Java) 两类接口:后台管理、认证
56
安盟双因素身份认证系统应用分析
57
安盟身份认证系统应用分析 ---应用体系结构 Windows/Linux/Unix IPSec VPN RAS 认证 代理
安盟认证 服务器(主) 安盟认证 服务器(备) Windows/Linux/Unix IPSec VPN PSTN/ISDN RAS iPlanet 认证 代理
58
安盟身份认证系统应用分析 ---VPN登录 员工使用非公司设备,如网吧、会议中心的PC
客户-服务器应用,如 Outlook, & Notes 高级管理人 员接入访问 安盟认证服务器 Intranet Internet 防火墙/VPN 员工使用公司设备,使用公共网络上网,如:Wi-Fi Web应用,如 SFA, CRM, ERP 合作伙伴供应商 主机应用:如 SSH, FTP, Telnet Linux & Unix 用户
59
安盟身份认证系统应用分析 ---远程访问 安盟认证服务器 拨号访问服务器 安盟认证代理 VPN Client 网络设备
RADIUS SERVER VPN 网关 File/print services 用户通过安盟双因素身份认证的认证后,才能从远程进入公司网络: Cisco, Nortel, Check Point, VPNet, Nokia, … 超过15种不同品牌的国内外主流VPN设备支持安盟SecurID. 拨号访问服务器 Intranet 安盟 支持的拨号访问服务器厂商 Cisco Citrix Systems Digi International Emulex Funk Software 中兴 Hewlett-Packard IBM Microsoft Nortel Networks Novell 华为
60
IDC 安盟身份认证系统应用分析 ---系统保护 Internet Firewall
Other Server IDC Internet Firewall 用户必须通过安盟双因素身份认证系统的认证才能访问主机系统: UNIX : Solaris, AIX, HP/UX, Linux Windows : NT, 2000/XP/2003 Others : 提供API UNIX Server Windows Server
61
安盟身份认证系统应用分析 ---企业应用保护 OA 公文交换 SSL Web 服务器 Internet 资料档案 Weblogic
Websphere 资料档案 企业 Web 服务器
62
安盟身份认证系统应用分析 ---网络管理 网管人员必须通过安盟双因素身份认证验证后才能进行网络设备管理:
Cisco, 3Com, Nortel, … 超过20种主流的网络设备支持安盟双因素认证。 网管人员 Cisco ACS 集中管理网管人员的密码、权限、审计 RADIUS Network Device 热备、负载均衡的安盟认证服务器
63
安盟身份认证系统应用分析 DMZ Intranet ---网站维护 Web Server https://www.xxx.com.cn/
Firewall 安盟认证代理 Firewall Intranet Internet 上海-》昆明高铁,铁路地理信息服务系统 SSL 用户通过安盟双因素身份认证系统的认证后,才能维护自己的网页: IIS Netscape Apache
64
安盟身份认证系统应用分析 ---第三方接入认证 OA等系统的账户意味不同的权限和责任,需要明确用户责任 加白令牌替换掉旧令牌 64
65
安盟身份认证系统应用分析 ---无线网络
66
安盟身份认证系统应用分析 ---系统登录 Windows 登录
67
安盟身份认证系统应用分析 ---基于802.1X的接入认证 安盟认证服务器 内置 RADIUS 应用服务器 应用服务器 交换机 应用服务器
黑龙江移动、军工研究所 应用服务器 802.1X客户端
68
安盟身份认证系统应用分析 ---手机应用 用户的应用 安盟认证服务器 WAP网关
69
安盟身份认证系统应用分析 DMZ Intranet ---安全邮件服务 IIS and OWA on WNT Firewall
安盟 认证服务器 Firewall Firewall 安盟 ACE/Agent 安盟 ACE/Agent Intranet Internet Exchange on Windows 2000
70
安盟身份认证系统应用分析 ---优良的可扩展性 为了增强安盟产品的扩展性,提升安盟产品的生命力,满足不同应用的认证嵌入和实现统一身份认证的目的,安盟公司提升了所有产品的二次开发能力,从客户端和服务器一套完整的软件开发包(SDK)。 此开发包包括两组应用程序接口(API): 认证代理SDK: 客户端API,这组API的主要是为用户开发应用提供第三方认证接口(安盟双因素身份认证),它的主要功能包括用户认证、设置PIN码(New PIN Model)、消去下一令牌模式(Next Token Modle); 管理SDK: 服务端API,这组API主要为第三方(用户开发应用)提供对安盟认证服务器的管理接口;其主要功能包括对用户、令牌、代理主机等一些常规数据的操作(不包括认证和修改PIN码)。
71
Thank You ! 欢迎提问
Similar presentations