码迷,mamicode.com
首页 > 其他好文 > 详细

给某单位的远程接入动态密码认证 建设方案

时间:2014-07-09 08:42:12      阅读:1230      评论:0      收藏:0      [点我收藏+]

标签:解决方案   动态   密码   管理中心   


目         录

 

一、       远程接入身份认证应用概述.... 3

2.1         远程接入身份认证应用现状... 3

2.2         双因素认证方案建设意见... 3

2.3         认证双因素基本原理... 5

二、       身份认证解决方案.... 5

3.1         动联身份认证系统介绍... 6

3.1.1          认证服务... 7

3.1.2          管理中心... 9

3.1.3          动码令. 12

3.1.4          认证接口/认证代理... 14

3.2         动联身份认证系统总体架构... 15

3.3         认证服务系统配置要求... 16

三、       全面服务及报价.... 18

4.1  报价... 20

五、       典型成功案例.... 20

5.1         上海电信VPN登录认证应用... 20

5.2         深信服VPN登录认证结合... 21

 


 

一、   远程接入身份认证应用概述

2.1远程接入身份认证应用现状

根据与贵公司的领导沟通得知,现在贵公司有两套应用在没有任务安全措施的时候下放在公网上以便用户使用。但传统的用户名加上静态密码,存在这不安全的隐患。所以,我们急需一套简单、安全有效的访问方式。

针对日益扩展的网络应用以及认证需求,用户迫切需要选择一种更有效的方式进行用户身份的确认。而双因素认证则是其中最主要的解决方法。动联信息技术有限公司研制的动态密码系统,依据一次性口令机制实现动态身份认证功能,彻底解决了网络环境中的用户身份认证问题。

 

2.2双因素认证方案建设意见

一般的状况下,用户通常使用的网络登录办法为:用户名称+密码。在密码为静态的状况下,将会产生某些问题,比如为了维护密码安全性,必须严格规定密码的长度、复杂性(例如:中英文数字夹杂,大小写间隔,长度须超过8个字符以上)及定期更换的频率。

  用户为了方便记忆,常常习惯使用特殊的数字,例如家人的生日、自己的生日、身高体重、电话或门牌号码等,此种方法极不安全。只要利用黑客工具,如字典攻击法等便能在短时间内将密码破解,甚至只要有人在身后窥视便可探知正在键入的密码,所以静态密码有很大的安全隐患。

  目前绝大多数的网络服务和应用大都通过静态密码来进行身份认证。大多数人都不懂得如何妥善管理自己的密码,进而遭到数据甚至财物上的损失。因此,我们需要采用一套更安全的身份认证方式,这就是目前被认为最安全的双因素认证机制。双因素是密码学的一个概念,从理论上来说,身份认证有三个要素:

bubuko.com,布布扣       所知道的内容:需要使用者记忆的身份认证内容,例如密码和***号码等。

bubuko.com,布布扣       所拥有的物品:使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡等。

bubuko.com,布布扣       所具备的特征:使用者本身拥有的惟一特征,例如指纹、瞳孔、声音等。

  单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。

双因素认证和利用自动柜员机提款相似:使用者必须利用提款卡(认证设备),再输入个人识别号码(已知信息),才能提取其账户的款项。由于需要用户身份的双重认证,双因素认证技术可抵御非法访问者,提高认证的可靠性。简而言之,该技术降低了电子商务的两大风险:来自外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯。

采用动联双因素认证机制来鉴别用户的身份。移动用户登录时,除了一个记忆在头脑中的口令外,还必须提供他拥有的令牌所生成的动态。只有同时使用正确的用户PIN码和用户本人的动态密码令牌才有可能进入网络,使网络安全性大大提高。

借助强大的用户认证系统——动联安全解决方案,可以向授权的移动用户发放令牌,令牌生成个人使用的令牌码,这一代码可以根据时间码算法而变化。每60秒就会生成一个随机的令牌码,保护认证主机能够验证这个变化的代码是否有效。每个令牌都是唯一的。别人不能通过记录以前的令牌代码来预测将来的代码值。这样,如果某个用户提供了一个正确的令牌代码,就可以高度确信该用户即拥有动联安全认证令牌的合法用户。

动联身份认证系统采用了多项先进的技术,如:伪随机数技术和时间同步技术,使得系统可以充分地满足如下各方面要求;同时系统采用先进的动态关系型存贮数据库结构,大大提高认证速度和适合大用户数的管理;以及先进的管理和监控功能。该解决方案有如下特点

bubuko.com,布布扣       不改变原有的业务系统登录方式,除了一个记忆在头脑中的口令外,还必须提供令牌所生成的动态密码。只有同时使用正确的用户PIN码和用户本人的令牌才有可能进入网络,安全性大大提高。

bubuko.com,布布扣       令牌生成个人使用的令牌码根据时间变化。每 60秒就会生成一个新的随机令牌码,不能通过记录以前的令牌代码来进入系统进行交易。

bubuko.com,布布扣       可以对移动用户对系统的访问时间进行控制,防止在非工作时间访问业务系统。

bubuko.com,布布扣       系统有很强的审计功能,对每一个用户在一个时段内的认证结果进行日志记录,当发现某用户的认证记录为多次失败时,系统将锁住这个用户,杜绝了穷举攻击的可能性。

 

2.3认证双因素基本原理

密码保护管理系统是采用基于时间同步认证技术的双因素动态密码认证系统。在认证过程中,系统采用的第1要素是只有使用者知道的内容,即静态密码;第2要素是只有使用者才拥有令牌,令牌产生动态密码,密码是变化的,且只能使用一次。令牌可被设计成多种样式,便于用户携带,当用户输入口令时,可先输入记忆中的静态密码,再输入自己掌握的令牌上生成的动态密码。

每个用户都有一个与众不同的、唯一的身份标志的秘密信息——密钥。令牌被发放给用户时,已经进行了初始化,它存储着用户密钥等参数,同时在认证中心服务器上也存储着每个用户的密钥等信息,令牌和认证服务器所产生的密码在时间上同步。用户登录时使用的密码,就是由固化在令牌上的变换函数产生的。在认证服务器上,也有一个使用相同变换函数的密码生成模块,该模块利用系统数据库中的相应用户信息计算出用户当前的正确密码,若登录密码 = 计算出的当前密码,系统判定正在登录的用户为授权用户;否则,即为非授权用户。

 

二、   身份认证解决方案

在面临网络安全威胁时,用户非常需要有一个相对安全的、性能稳定可靠的、易于使用和管理的身份认证系统,做到用非常小的投入来满足安全性要求,这正是动联动态密码身份认证系统的市场契机之所在。动联动态密码身份认证系统解决方案建立在双因素认证基础上,通过与其它技术结合,提供更安全、更易用的解决方案,帮助用户彻底解决所需的身份认证方面的需求。

bubuko.com,布布扣

 

拓扑如上图所未,把原来的两台应用服务器取消在公网上的映射,VPN接联到公网上,外部的用户通过VPN登录来实现内部资源访问。当VPN接到用户登录请求时,会把认证请求通过Radius发给动联认证服务器,认证服务器对当前登录动作进行认证,当系统中存在此用户,并且动态口令正确时,用户即可访问内部资料,若没此账号或者动态口令出错,用户无法登录。

 

 

3.1   动联身份认证系统介绍

动联身份认证软件基于动态密码技术,采用双因素认证机制,是一种安全可靠、简单易用的身份认证系统。动态密码技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用动态令牌专用硬件,内置电源、密码生成芯片和显示屏,密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同,即使黑客截获了一次密码,也无法利用这个密码来仿冒合法用户的身份。

每个动态令牌保存有用户密钥,动态令牌ID号。卡中的时钟计数器(T)每隔1秒自动加1,每60秒用用户密钥与ID号自动运算加密算法,加密时钟计数器T得出一个6-8位的字符串显示在液晶显示器上,并保存在RAM中,每到60秒刷新一次。

客户输入所有信息被送到后台服务器,后台服务器将客户ID和动态密码D传送到安全认证服务器,安全认证服务器根据客户ID从用户数据库中调出该用户的用户密钥、卡初始化时间tID号,用用户密钥和ID号将接收到的口令字进行脱密变换,将脱密得到的时间参数于系统时间进行比较,考虑通信延迟及时钟误差作出接受或拒绝的判断。动联动态密码技术采用一次一密的方法,有效保证了用户身份的安全性。

   动联动态密码身份认证系统引入基于一次性口令技术,采用双因素认证机制,是一种安全可靠、简单易用的身份认证系统。动联双因素动态身份认证的解决方案由认证服务器、管理服务器、动态令牌以及认证应用编程接口/认证代理四个主要部件组成。

bubuko.com,布布扣

  1. 1.   

  2. 2.   

  3. 3.   

  4. 2.1   

  5. 3.1.1  认证服务

认证服务器将性能卓越的认证引擎和集中式管理能力结合在一起。当认证服务器收到一个请求时,它使用与用户令牌一样的算法和种子值来验证正确的令牌码。如果用户输入正确,用户即可访问,否则将提醒用户再次输入。如果错误次数达到阀值,令牌将被锁定。认证服务软件是网络中的认证引擎,由安全管理员或网络管理员进行维护,可以实现以下功能:

bubuko.com,布布扣       用户认证:认证服务器只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系统,这将在极大程度上保证登录的用户确实为授权的个体,大大降低了攻击和非法访问的风险。即使是拥有上千个用户和多个办公室的企业网络,仍能受到认证服务器的保护,该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。

bubuko.com,布布扣       访问控制:认证服务器允许用户定义合适的安全策略,可以有效保护对专用网络系统、文件及应用的访问,其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。

bubuko.com,布布扣       用户责任:通过使用某个用户的密码,可以在该用户不知情或不同意的情况下侵入系统。由于认证服务双因素认证要求输入用户令牌代码和个人PIN,因此进一步确保了用户不会被任何非法访问事件所牵连。这种特性,再加上认证服务器能够报告对所有保护资源的访问情况,可以帮助用户识别其对信息安全的责任,并采取相应的措施。此外,黑客经常试图抹掉自己的足迹,认证服务器的访问历史日志则可以作为犯罪调查和取证的重要组成部分。

bubuko.com,布布扣

动联认证服务器的特点是:

bubuko.com,布布扣       认证服务器支持多种操作系统。

bubuko.com,布布扣       与现有的主流网络设备,安全软件产品兼容。

bubuko.com,布布扣       支持紧急访问。

bubuko.com,布布扣       多台认证服务器之间可以做负载均衡。提供备份服务器,作为在线备份(Hot Backup),确保认证服务的连续性。

bubuko.com,布布扣       可支持千万级用户的应用。

bubuko.com,布布扣       认证并发量可以达到1000次/秒。

bubuko.com,布布扣       设置并实施安全策略,保护对网络系统、文件及应用的访问,其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。

bubuko.com,布布扣       兼容简易、全面的管理API接口。认证系统的管理工具丰富。

 

3.1.2  管理中心

令牌管理平台是由动联开发的拥有国家版权局颁发的著作权证书的管理平台。管理平台采用B/S架构,专为使用者服务的管理平台。在登陆界面上,输入登录名、密码,按bubuko.com,布布扣即可登陆到令牌管理平台。

管理平台可以分配不同管理权限,提供用户分级分模块的灵活管理权限,管理权限可由高级管理员根据实际情况实时分配。

管理系统主要应用功能以及可实现操作流程包括:帐户管理、绑定令牌、解除绑定、用户挂失、解除挂失、查看报表、停用动态令牌、修改资料、修改服务号等。

     帐户管理

可以在管理系统中对用户进行增/删/改,管理用户的基本信息。

  绑定令牌:

将用户与分配的其中一枚令牌(令牌分配的信息可从“令牌分配情况”栏中查得)进行绑定。

bubuko.com,布布扣       启用动态令牌

令牌绑定后,令牌默认为处于启用状态,在令牌处于停用状态的情况下,点击用户列表中“操作”项中的“启用动态令牌”,动态令牌被启用。

bubuko.com,布布扣       停用动态令牌

在令牌处于启用状态的情况下,点击用户列表中的“停用动态令牌”,动态令牌被停用。用户在登陆系统时只需要输入登陆名、静态密码即可登陆。

bubuko.com,布布扣       用户挂失:

用户将令牌丢失后应该向管理员挂失该用户的令牌,用户挂失令牌后用户的帐户将被停用,用户无法实现登陆。

bubuko.com,布布扣       解除挂失:

用户解除挂失后用户的帐户将被重新启用,用户可以正常登陆。

bubuko.com,布布扣       用户绑定情况:

在用户绑定情况列表中,列出了所有用户的用户名、序列号、是否为管理员和可进行的操作。已经被绑定的用户,令牌号显示为绑定的令牌号,可进行令牌管理操作;未被绑定令牌的用户就在令牌号区域显示为未绑定。

bubuko.com,布布扣       令牌分配情况:

在令牌分配情况列表中,列出了已经分配的所有令牌的序列号、用户名和可进行的操作。已经被绑定的令牌,用户名显示为绑定的用户名,可进行解除绑定的操作;未被绑定的令牌就在用户名区域显示为未绑定,可进行令牌绑定的操作。

该管理平台对外发布接口提供Web Service接口(C#版本和标准Windows Dll调用接口(C版本,使客户可以很方便的进行令牌操作和认证。发布的接口可以支持.netjava以及C语言。具体包含以下功能接口:令牌绑定接口、令牌挂失接口、令牌停用接口、令牌同步接口、查看令牌状态接口、认证接口。

令牌管理服务器的特点:

bubuko.com,布布扣       管理服务器支持多种操作系统。

bubuko.com,布布扣       图形界面操作使用简易。对用户和管理员提供全面的稽核、审计和自动报表功能。

bubuko.com,布布扣       支持紧急访问。

bubuko.com,布布扣       兼容简易、全面的管理API接口。

bubuko.com,布布扣       提供用户帐号信息的分级管理。用户分组管理功能强。系统管理可以分级,即可以定义子管理员,如定义某地区管理员只管理这一地区的用户,并可按照安全策略要求分配任意的管理任务。

 

 

3.1.3  码令

令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个专用于某个用户的动态密码,一般每60秒该动态密码就会自动更新一次,其数字只有对指定用户在特定的时刻有效。用户的密码+令牌的动态密码,使得用户的电子身份很难被模仿、盗用或破坏。

硬件令牌、短信密码、手机令牌等都需要有种子文件,以确保认证本身的安全性。硬件令牌防水、防摔、防震,符合CE、FCC标准。动态令牌具有拆卸自毁内部电路功能,有效保护密钥不会泄露。

动联系列认证令牌确保用户合法性,保证网络访问安全性。动联认证令牌可以以硬件、移动令牌等多种形式向用户提供。所有动联认证令牌均使用已获专利的相同的算法来完成令牌码的散列和加密功能。典型令牌种类主要有以下几种:

 

DC-K5专业型动码令

时间同步型令牌,内置智能芯片采用128位动态密码加密算法,大字体清晰LCD显示,适合大众以及高龄客户群使用。超低功耗设计,无按钮一体化封装,防拆卸、防静电、防水、防震、防压,抗电磁干扰,提供了专业级的安全性。可定制30/ 60/ 120秒不同的密码更新间隔,可提供5年使用期限,多种颜色方案可选。

bubuko.com,布布扣

  • 技术特性:

  • 时间同步型

  • 缺省60秒变化一次,可定制为30秒、120

  • 128为种子

  • 进度条与闪动点设计

  • 无按键设计

  • 超低功耗设计,寿命在5年以上

  • 其他特性:

  • 防水

  • 一级防水:外壳密封

  • 二级防水:整体灌胶

  • 大字体显示

  • 较大的可定制上盖

  • 出厂不可拆卸

DC-K8增强型动码令

时间同步型令牌,具备挑战应答和数字签名功能,携带方便。60秒密码更新间隔,可提供5年使用期限。

bubuko.com,布布扣

  • 技术特性:

  • 集四种动态密码功能于一身;

  • 时间型或事件型动态密码功能;

  • 国内独有的主机返回码功能;

  • 挑战应答功能;

  • 国内独有的交易签名功能;

  • 128为种子

  • 数字输入功能;

  • 超低功耗设计,寿命在5年以上

  • 其他特性:

  • 超薄设计,厚度仅3.2毫米

  • 防水

  • 可定制上贴膜和下贴膜,极大的定制灵活性

  • 拆机自毁功能

 

3.1.4  认证接口/认证代理

动联对外发布接口提供Web Service接口和标准Windows Dll调用接口,使客户可以很方便的进行令牌操作和认证。发布的接口可以支持.net、java以及C语言。营业受理业务具体包含以下功能接口:令牌绑定接口、令牌挂失接口、令牌停用接口、令牌替换接口、令牌同步接口、查看令牌状态接口、认证接口。针对发布的接口提供Web Service(C#版本)具体调用演示Demo、和标准Windows Dll(C版本)具体调用演示Demo。

动联身份认证系统为各种需要动态密码服务应用提供一个简单的、易开发的SDK包。应用认证系统可扩展性强,可以根据客户的各种应用进行定制。

同时动联身份认证系统RADIUS可以很好的集成,目前多数的网络设备如路由器、防火墙、VPN产品都提供对RADIUS的支持,动联身份认证系统中的认证服务器也支持RADIUS协议族,可以配置成为RADIUSSERVER使用。这样,动联身份认证系统和各种网络设备协同工作,进一步提高了用户身份认证过程的安全性。

目前支持的VPN厂商包括Checkpoint/NorkiaNetscreenNortelCiscoIPSec VPN厂商以及JuniperF5Array、AventailSSL VPN厂商。

 

3.2   动联身份认证系统总体架构

认证服务

bubuko.com,布布扣       新增两台服务器,在其上安装动联身份认证服务器软件,将之作为响应用户身份认证请求的安全身份主认证服务器(Primary Server)与备份身份认证服务器(Repulica Server),同时考虑到系统的可靠性与容错能力,根据实际情况再增加数台服务器,并在其上安装认证服务器软件,将之作为备份身份认证服务器(Replica Server)。

bubuko.com,布布扣       多个物理隔理网段中的实施应用:

bubuko.com,布布扣       我们可以同时在不同的物理隔离网段内分别架设多台认证服务器,这样可以在不同的物理隔离网段内使用同一块令牌登陆认证,解决隔离网段内的设备登陆认证。

管理服务

bubuko.com,布布扣       动联身份认证服务器安装在Windows或Unix操作系统上,可根据实际情况进行集中管理或分散管理,管理平台采用B/S架构,管理员可对系统进行远程管理。

bubuko.com,布布扣       对动联身份认证服务器进行物理隔离,保证身份认证服务器的安全。

bubuko.com,布布扣       通过定义用户层级简化用户的管理过程。

bubuko.com,布布扣       针对不同级别的管理员封装不同的任务列表,建立不同的管理职责。

bubuko.com,布布扣       建成后的动联身份认证系统中随时可加入新的令牌,一方面,管理员在分发令牌时,可进行手工同步;另一方面,系统具有自同步的能力。在令牌到期后,可进行批量替换,从而减少替换令牌的工作量。

系统备份

bubuko.com,布布扣       物理备份:采用数台计算机(可以是服务器,也可以是兼容机)安装动联身份认证服务器软件作为 Replica Server ,一方面即可起到备份的作用,为最终用户提供不间断的身份认证能力;另一方面,又可以起到负载均衡的作用。

bubuko.com,布布扣       数据备份:定期对身份认证服务器中的数据进行备份,既可进行在线热备份,又可进行离线备份,并将备份的数据妥善保存在安全的地方,保证在出现意外情况下能够迅速进行灾难恢复。

应急服务

bubuko.com,布布扣       认证服务器应急

根据安全策略,认证服务器必须采用双机热备,在认证过程中,一旦一台认证服务器无法正常认证时,应用系统会自动指向备份服务器进行认证。

当所有认证服务器都故障时,可由管理员手动停止动态密码认证服务,所有用户登陆时将不再认证动态密码。当认证系统恢复正常后再次启用动态密码服务。

bubuko.com,布布扣       令牌丢失应急

令牌丢失后用户可以向管理员挂失/停用令牌,当用户在挂失状态时,用户将无法登录交易系统;当用户在停用状态时,用户可以使用静态密码直接登录交易系统。当新的令牌发给用户后,取消挂失/停用方可使用。

 

3.3   认证服务系统配置要求

建议增加2台PC服务器作为动联身份认证服务器,两台服务器之间做为热备。安装前注意事项:

1、动联身份认证服务器软件必须安装在NTFS分区上。

2、动联双因素认证以时间同步技术为核心,安装动联身份认证服务器软件以前必须调准服务器的时间,包括时区、日期和时间。

3、要求Web Server与动联身份认证服务器之间通讯不受限制,2台动联身份认证服务器之间通讯不受限制。

Windows服务端平台硬件建议配置要求

bubuko.com,布布扣       Intel奔腾4处理器3000MHZ及以上

bubuko.com,布布扣       内存1G以上

bubuko.com,布布扣       200兆以上的硬盘空间,建议1G以上

bubuko.com,布布扣       每增加1000用户需要额外的1兆数据库和日志空间

bubuko.com,布布扣       每1000用户需要额外的100兆物理内存

Windows服务端平台软件建议配置要求

bubuko.com,布布扣       Windows2000 ServerSP3补丁

bubuko.com,布布扣       Windows Server2003SP1补丁


 

三、   全面服务及报价

用户自购买动联产品开始,在保修期限内,我们计划向用户提供多方位的技术服务。提供完整的产品部署文档,使用手册,维护手册,技术相关文档等。在系统的部署流程中提供不同的服务。

 

  

服务预设

bubuko.com,布布扣       顾问服务

专业团队会根据顾客的应用及内部工作流程,并以业界标准提供部署专业双因素认证服务的方案。

bubuko.com,布布扣       架构规划

我们的工程师将提供完整的双因素认证系统的安装规划,并协助客户制定服务。

bubuko.com,布布扣       提供测试器材

我们将会在客户系统开发阶段提供所需的测试设备,包括令牌及相关软件。

bubuko.com,布布扣       技术培训

我们将会为每个客户的相关技术人员提供技术培训。

 

系统部署

bubuko.com,布布扣       安全包装

我们将会为每个令牌提供预设置,并且会进行安全包装,确保每个令牌送到消费者手上都保持良好情况,即时可以投入使用。

bubuko.com,布布扣       动态令牌

动联双因素身份认证技术和使用的动态令牌都是由动联公司支持和提供。每一个使用者许可证将会获发一个动联身份认证令牌。

 

认证服务

bubuko.com,布布扣       技术支持

我们将会为客户的技术人员提供支持热线,热线将由动联公司的技术部门接听,为客户解决有关问题。

在非紧急情况下,客户可以通过拨打专业的技术支持电话或者通过互联网、电子邮件来得到支持。

 

用户管理

bubuko.com,布布扣       顾客服务培训

此培训服务目的是为协助那些顾客服务的前线人员,通过电话来帮助最终用户,解决令牌常见的使用问题,让用户可以轻松地启动和使用双因素认证服务。

bubuko.com,布布扣       动联令牌管理系统

为了简化管理复杂度,动联专业的双因素身份认证服务,带有一套令牌管理系统。该系统具备网页查阅的管理系统功能,使客户能够透过中央管理系统,随时随地查阅每个动联令牌的状况。

 

 

五、典型成功案例

5.1  上海电信VPN登录认证应用

中国电信在上市之后将其业务发展的方向锁定在宽带网和数据网,在宽带网建设方面主推增值业务,如基于流媒体的视频点播业务,基于互联网的网络游戏业务,基于宽带网络的VPN虚拟网业务等。在中国电信大的发展战略方向下,上海电信作为中国电信的龙头,努力寻求并开发在宽带网络上的增值服务运营业务。其中,如何解决宽带网络的安全问题成为上海电信看重的未来增值服务的一个方向。

与此同时,随着国内宽带接入业务的发展,利用宽带接入网络和互联网络平台实现企业信息化已成为当前中小企业信息化过程中对网络接入方式的最佳选择。但是,在Internet上实现企业信息化面临着企业信息的安全问题,即企业信息在Internet上传输需要保证传输过程中的保密性。目前为止,VPN系统在国内的宣传大多局限于企业自己在因特网上建设私有的VPN专网,而很少有运营商提出利用该技术提供VPN网络服务,上海电信首开先河,成为国内第一家可运营的VPN虚拟网作为增值服务提供给用户使用的运营商。

上海电信为中小企业提供了便利的VPN网络服务,确保了网络传输中的安全问题,但由于VPN的应用是直接连接到各企业内网,而VPN的登录认证一般是采用用户ID+静态密码进行认证,众所周知,用户ID+静态密码的认证是非常不安全的认证模式。此时用户的身份认证成为了上海电信VPN服务需要考虑的首要重要的问题。上海电信在身份认证的需求主要有以下几点:

第一,需要严格认证用户身份,保证接入人员的可控性;

第二,由于面向的是各种不同的用户,用户对计算机的操作能力也参差不齐,所以需要确保新的认证方式易操作性,最好不要改变用户的操作习惯;

第三,各个企业网点之间的相互隔离,而各个企业的各个网点之间则可以实现互联互通;

第四,各企业的管理员可以自行管理企业内部员工的认证方式。

针对上海电信的需求,他们需要选择一种是更有效的方式进行用户身份的确认,而动态密码的双因素认证则是其中最主要的解决方法。动联为其提供了一套动态密码认证系统,依据一次性口令机制实现动态身份认证,彻底解决了VPN网络服务中的用户身份认证问题。

整套系统可以实现合法性认证。只允许提供了动态密码的用户接入系统,极大程度上保证登录用户确实为授权的个体,大大降低了攻击和非法访问的风险。

各个企业网点的用户互相隔离,并由各企业管理员只需要通过B/S的令牌管理界面自行分配绑定该企业内部的令牌,无需通过电信管理操作;对于电信而言,只需要将令牌分发到各企业管理处。

对于最终用户,并未改变他们原有的操作习惯,只需要在每次登陆时,在原来输入静态密码的地方输入与自己绑定的令牌所显示的密码,即可完成VPN的登录。

 

bubuko.com,布布扣

 

5.2   深信服VPN登录认证结合

深信服科技有限公司是中国成长最快、创新能力最强的前沿网络设备供应商。深信服围绕着商业用户的Internet带宽资源,通过提供创新、高性价比的产品,帮助用户降低成本(IPSec VPN实现网间互联)、提高效率(SSL VPN实现随时随地的移动办公、网间加速技术大幅度提升广域网速度)等,提升Internet带宽价值。

深信服科技VPN设备是中国VPN领域的第一品牌。深信服科技早在2001年便涉足VPN领域,经过了近7年的发展,深信服VPN的客户已超过1万家,主要集中在政府、金融、电力、石化、集团、物流和连锁等行业,用户的数量和规模都位于业内第一。

动联携手深信服,在深信服的VPN设备中引入动态密码认证,极大程度提高了VPN产品的安全性。

用户选择VPN,就是为了安全,VPN可以建立安全的VPN隧道,但仅仅确保了链路的安全是不够的,对用户而言建立隧道的源头是否安全同样重要。动联通过与VPN设备的绑定,在用户选择深信服VPN产品时就可以直接选择是否采用动联动态密码认证服务,从而省去了最终用户再去寻找其他安全认证产品的工作;同时也给深信服VPN带来了增值,给用户提供了安全身份认证的选择,让客户感觉到深信服不仅仅只是设备提供厂商,而更是一个安全解决方案的提供商。


给某单位的远程接入动态密码认证 建设方案,布布扣,bubuko.com

给某单位的远程接入动态密码认证 建设方案

标签:解决方案   动态   密码   管理中心   

原文地址:http://yiyi0923.blog.51cto.com/1358738/1435731

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!