《《精编》ActivCard系统实施方案与产品概述》由会员分享,可在线阅读,更多相关《《精编》ActivCard系统实施方案与产品概述(32页珍藏版)》请在金锄头文库上搜索。
1、 ActivCard 实施参考文档 伟令达息技术有限公司二零零年四月 目 录1 系统实施方案1.1 系统规划在真正实施动态口令的身份验证之前,我们需要对该系统进行完善的规划,考虑所有可能出现的问题,并综合各种可能的应用,提出一个完善的实施计划。首先我们对系统目前的应用作具体的分析,了解网上银行的主要业务以及运作模式和流程,明白ActivCard动态口令身份认证系统所能提供的功能以及对网上银行整个系统产生的影响。ActivCard可以在不改变用户现有网络结构的情况下,和用户自有的系统无缝的整合在一起。整个系统的投资相当的小,并且付出的人力物力也十分有限。其次要制定详细的系统实施计划,把系统实施过
2、程中的每一个步骤都进行详细的规划,准备工作做好,避免出现意外情况影响自身的正常业务。再次我们要针对每一项系统实施工作,做好记录。做到所有有关ActivCard动态口令身份验证系统实施的项目都详细的记录下来,为将来的系统维护和后期系统扩容提供极有价值的依据。1.2 系统实施根据ActivCard动态口令身份验证系统的特点,整个系统实施工作可以分为如下几个部分。1.2.1 安装配置服务器模块和管理台模块我们选择在深圳市商业银行现有的一台PC server 服务器上安装ActivPack AAA Server服务器软件,而在局域网内部另外选择一台普通PC机来安装管理工作台。考虑到系统的兼容性问题,我
3、们建议安装管理控制台的机器使用MS Windows 2000操作系统。安装过程中,基本上使用标准安装就可以满足需求。当然,我们可以详细的配置每一步安装选项,使系统更加个性化,满足自己独特的需求。在安装完成后,需要对整个系统进行详细的配置,根据功能要求,选择适合自己的ActivPack AAA Server服务器配置。下面详细描述系统配置的过程。首先我们要确定ActivPack AAA Server系统服务已经启动,设定好管理员用户名和密码后(需要管理员自己设定用户名和密码,为了保障系统的安全性,建议管理员密码不要太简单;并且每次登录进来的时候,系统并不会显示上一次登录所使用的用户名和密码),就
4、可以进入系统管理界面,如下图所示。 (图1-1 系统管理控制台登录窗口)同时ActivPack AAA Server服务器提供一个管理端口,管理控制台可以通过这个端口与服务器通讯。并且这个端口也是可变的,为了控制安全性,我们可以更改该控制端口,并且在防火墙上作相应的设置来屏蔽该端口,从而避免外部针对该端口的非法访问。 登录之后,系统界面如下:(图1-2系统管理控制台界面)下面简要说明上图中每一项设置的方法和作用。首先我们要设定系统需要连接的LDAP服务器。如下图所示,需要详细设定LDAP Server服务器的每一项参数:包括LDAP Server服务器主机地址、端口、登录用户名、密码;所要管理
5、的用户组和查询条件等;以及在LDAP目录里为ActivPack令牌建立索引所使用的字段等。在每一部分设定好之后,可以立刻进行测试以验证设定的正确性和有效性,只需要单击右边的Test按钮即可。(图1-3 LDAP服务器设定界面)LDAP服务器参数设定完成之后,就可以在查询结果里看到相关的查询出来的用户资料了。如下图所示,我们在目录中查到了如下信息,这就表明,我们的LDAP服务器连接设置正确,系统可以在LDAP内通过指定条件查询用户信息了。(图1-4 LDAP目录用户信息查询结果)设定完与LDAP目录服务器的连接之后,我们要配置ActivPack AAA Server自身的参数,使其能够满足我们所
6、需要的安全性要求。首先要做的是我们先要建立一个Servers,然后依次建立Gate、LDAP Server、Profiles、Group,定义每一项具体的设置,在设置完成后我们就应该在Group的查询里查找到LDAP内的每一个用户信息,例如,我使用特定条件查询,得到如下结果。(图1-5LDAP目录查询结果)在上图中,我们只给用户test分配了一个令牌,它的S/N是0673973719。针对不同的系统应用,我们可以建立多个不同的gate,来对应每一个系统应用。每一个Gate使用不同的配置文件Profiles,来满足不同的身份验证的要求。本例中我们使用的是默认的配置文件,它一般可以满足win200
7、0下的身份验证工作。另外我们还可以建立基于IIS的应用,只需要简单的设定一个配置文件,利用这个配置文件创建一个新的Gate就可以了。另外,如果系统用户比较多,并且使用也比较分散,我们还可以建立多个Server,针对每一个Server来定义Gate,满足不同应用。这样我们就可以使用一个统一的LDAP目录,来进行各种应用上的动态口令的身份验证了。我们还可以针对每一个组织单元OU来定义身份验证安全策略,例如我们定义信息技术部的员工可以访问Internet,定义财务部门的人员使用财务数据库,定义经理等领导人员可以管理用户数据库等。这些应用的动态口令身份验证都可以集中完成,只需要在系统身份验证模块中简单
8、的添加几行身份验证代码,构建一个RADIUS Client客户端,就可以满足不同的需求了。下面是一个配置完成后的窗口界面。(图1-6系统配置完成后的系统管理界面)从图中我们还可以看到,我们可以自己定义系统的端口号,然后在防火墙上开放相应的端口,就可以满足系统安全性的需求;还可以设定RADIUS shared secret密钥,进一步加强系统的安全性。1.2.2令牌初始化和给用户分配令牌一套系统,在使用之前必须对它进行初始化设定,把每一块卡都分配给每一个人,这样系统才可以正常工作。产品在出厂的时候,都随着带有一张初始化的key盘,我们就是用这个key来对系统和令牌进行初始化。首先把key导入Ac
9、tivPack AAA Server系统数据库里,然后再针对每一块卡进行一次系统时钟同步,需要留意的是为了加强自身的安全性,ActivCard在导入令牌信息的时候,需要提供一个初始访问密码,共有16位,详细操作见下图。(图1-7导入令牌卡(Token One)的初始化密钥key)(图1-8导入令牌信息之后的系统管理界面)令牌信息导入以后,需要把它分配(Assign)给每一个用户,针对深圳市商业银行这样有2万余用户的系统,我们可以提供一个简单的工具,自动完成令牌卡(Token One)的用户分配工作和向LDAP目录中的字段中写入令牌卡(Token One)信息的工作,也可以在柜面系统中作一个简单
10、的二次开发,集成该工作到柜面系统,这样就便于柜面营业员在发卡时,直接完成卡和用户的意义对应工作。下图是一个令牌卡(Token One)系统初始化的界面。(图1-9令牌卡(Token One)初始化界面)1.2.3 验证并交付系统整个系统实施完成后,我们会偕同相关人员一道,对系统的运行状况、性能指标做一个综合的客观的检验。由双方派出相关人员,并邀请深圳市商业银行的相关领导以及业界的权威人士对整个系统进行一次全面的检验。具体检验项目包括系统稳定性、安全性因素、系统响应时间、潜在的风险评估、系统兼容新工艺即可扩展性等。检验完毕,伟令达网络会提供一个完整的由双方共同认可的检验报告,作为系统投入试运行的
11、依据。试运行一段时间后,如果系统运行良好,则伟令达网络会把整个系统完全移交给深圳市商业银行,包括系统所有软件产品、说明书、实施文档、开发文档、程序源代码、培训教材等;然后会对深圳市商业银行的相关人员进行一次完整的系统管理培训,真正让用户完全掌握整套系统,从中受益。1.2.4 ActivCard系统扩展应用基于LDAP的用户管理结构可以为系统管理提供最大程度上的管理方便,LDAP是一个现行的工业标准,它提供标准的存储结构,使得用户管理更加方便。将来,深圳市商业银行的所有用户数据可以全部使用LDAP来管理,包括内部OA系统、柜面系统、电话银行系统、网上银行系统等都可以使用统一的LDAP结构来存储管
12、理。这样我们就可以使用ActivCard动态口令身份认证系统来对所有的系统用户身份进行验证。这样就只需要管理一套用户数据库,在ActivPack中针对不同的系统应用建立不同的Server、Gate、Group等,应用不同的身份验证方法,来集中实现用户身份的安全性管理。2. 产品介绍21 ActivCard公司介绍Activcard公司1980年成立,专业从事数据加密及身份认证系统产品生产及研发。美国及法国上市公司,全球多处实验室和研发机构。ActivCard Token产品最早用于法国海军的安全网络的访问管理。随后被推广到银行和其他企业网络的管理应用项目中。业界领导,世界上一百万套以上系统正在
13、使用,合作伙伴及客户遍布全球,包括: Microsoft NEC VOLVO DOD AIRBUS SUN HP ALSTOM GEDAS/VOLKSWAGEN ST MICRO TECHINT BCA 美国国防部 香港汇丰银行 香港电讯 花旗银行 爱立信 国泰君安 大鹏证券 多项专利及领先技术,产品经过多项专业测试及实践检验,倍受好评。详情请见22 ActivCard产品介绍221 ActivCard产品概述ActivCard为企业的内部网络提供强大的身份验证系统,将用户扩展出简单的静态口令的范围,使用者的口令由手持令牌(Token)动态生成,无法预测,无法重复使用,高度安全,完全避免了传统
14、口令的弱点,替代传统的静态口令机制。ActivCard的双因素认证系统(我拥有、我知道)要求用户在登录之前必须具有物理的令牌,同时必须知道自己的PIN码(个人验证码,用于激活令牌)。 而ActivCard独特的动态密码生成有效的消除了风险,这个过程产生一个一次性口令,是无法被猜中、分享、破解的,丢失的密码或再次使用都会被禁止。双因素认证系统可以唯一的确认用户,而且并不要求用户记忆一个新的口令。ActivCard 同时也支持异步挑战码用户认证方式。l 安全性动态的一次性口令,无法推测、无法破解、无法重复使用、无法共享l 唯一性唯一的序列码、唯一的密钥及唯一的用户l 可靠性无效的用户无法通过认证A
15、ctivCard认证过程:用户只需简单的在令牌键区输入PIN码,令牌检验PIN码后,动态生成并显示动态密码。用户在Login用户只需简单的在令牌键区输入PIN码,令牌检验PIN码后,动态生成并显示动态密码。用户在Login屏幕输入密码,认证服务器认证动态密码后,允许用户登录。222 ActivCard产品系列ActivCard产品主要由用户手持令牌和中心端认证软件组成。令牌(Token) :轻便的带有键盘的手持设备,用于动态口令的生成。ActivCoupler:令牌与计算机的连接设备,主要用于令牌的初始化。ActivPack 服务器:基于服务器的认证软件,在采用ActivCard 服务器安全解决方案的应用里起作一把“锁”的作用。现在的版本提供RADIUS验证通信方式。ActivPack Console台:一种图形用户界面(GUI) 的管理模块,用于令牌的初始化、管理ActivEngine的用户和令牌数据库。 令牌(Token)
