《安盟双因素身份认证系统介绍PPT课件》由会员分享,可在线阅读,更多相关《安盟双因素身份认证系统介绍PPT课件(45页珍藏版)》请在金锄头文库上搜索。
1、,Anmeng E-Security,安盟双因素身份认证系统介绍,安盟自公司成立以来,在IT安全领域非常专注地致力于强身份认证解决方案的技术、产品的研发和市场的发展,随着国内IT应用需求的迅猛增长,安盟正好适时地满足了目前围绕着电子商务和电子政务应用的IT安全技术中,国内强身份认证技术相对薄弱,而国外产品的安全性又不能被认可的市场情况。 安盟SecurID双因素身份认证产品包中含安盟令牌,它是一个由用户携带的防篡改设备,每60秒显示一个随机的6位或8位的令牌码。令牌码反映了特定用户所拥有的一个认证特征。当用户登录时,正确输入个人码(PIN)和令牌码,即双因素用户身份认证,以此保证用户的合法性和
2、唯一性。具有与国内外第三方产品的兼容性。安盟SecurID身份认证产品为自主开发、国内制造,防止“后门”隐患,是国内各行业可信赖的安全产品。 安盟已经形成了从企业用户到个人用户的双因素身份认证产品和解决方案: 网络版产品,包括认证令牌(Token);认证服务器(ACE/Server);保护网络资源的代理软件(ACE/Agent);适用于企业的从网络接入(RAS,VPN),Web应用,到企业网络资源的保护。 单机版产品,与Window操作系统有机地结合,提供强身份认证,同时,支持文件加密(EFS),满足了安全单机的需求。,产品和业务体系,拥有自主知识产权,安盟公司通过在信息行业的经验积累以及与行
3、业内知名企业的技术合作,结合用户需求,自主开发安盟双因素身份认证系统,该系统设计合理,功能先进,运行可靠,获得广大用户的认可和信赖。与RSA、Secure Computing、ActivCard等国际知名品牌并驾齐驱,成为国内强身份认证市场的第一品牌。,安盟身份认证系统版权证书,具备国家各种信息安全资质,安盟身份认证系统: 1,中国国家保密局的鉴定证书 2,中国国家信息安全测评认证中心证书 3,中华人民共和国公安部计算机信息系统专用产品销售许可证,信息安全的需求,用户的身份鉴定 访问控制与授权 信息的保密性与安全性 保证数据的完整性 强制电子合同 - 不可否认性 监听与审核系统,信息安全的需求
4、-用户的身份鉴别,硬件令牌/,识别与弱身份认证,识别与强用户身份认证,识别与身份认证,口令密码/,安全级别,生理特征,软件令牌/,数字证书/,智能卡/,信息安全的需求-访问控制与授权,访问控制:保证网络资源不被非法访问和使用。 访问授权:身份鉴别后对合法用户授权。 入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 防火墙控制,信息安全的需求-信息的保密性与安全性,硬件加密和软件加密 加密算法:对称加密算法和非对称加密算法 防病毒技术,信息安全的需求-保证数据的完整性,包括口令、密钥、身份、数据等项的鉴别, 系统通过对比
5、验证对象输入的特征值是否符合预先设定的参数, 实现对数据完整性的保护,信息安全的需求-不可否认性,不可否认性包括用户和从事电子商务的商家两个方面。 强制电子合同的结果就是双方都不能否认自己所做的操作,无法推卸自己的责任。,信息安全的需求-监听与审核系统,审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。审计能确认过程的可追溯性 。,电子信息安全的“门户技术”,STAGE 1. 身份认证,STAGE 2. 授权与访问控制,STAGE 3. 不可否认性,STAGE 4. 数据的完整性,信息安全需要每一个阶段 信息安全的基本需要是强身份认证 安盟身份认证可以提供安全的解决
6、方案,企业应用概况,攻击的来源,外国政府,竞争对手,独立的黑客,心怀不满的内部员工,21%,72%,48%,89%,“偶然的闯入者- 心怀不满的公司雇员”,有人会从您的身后窥视您正在键入的密码 发现保留在纸上的密码 便筏 台历 猜测密码 “password” 配偶/宠物/孩子的名字 用户名, ,静态口令很容易受到攻击,您的口令是什么?有人非常想知道 偷窃口令文件 、交际工程学 黑客工具,识别与认证,识别 你是谁? “我是 张三.”,认证身份证证明他是张三.,“张三”,认证基础,你知道的东西 口令 PIN 你拥有的东西 令牌 智能卡 U-key令牌 对于你来说是独一无二的东西 指纹 视网膜 外形
7、识别,解决口令中存在的问题,把你有的一些东西混合在一起 . 例如,你的ATM 卡,和你知道的. 你的身份证号,+ PIN,= 双因素身份认证!,安盟双因素身份认证,2468,234836,口令码,=,+,PIN,令牌码,双因素身份认证优势,比易猜测或截取的传统静态口令更能确保网络安全 结合用户所知道的和所拥有的方式来认证用户身份 双因素身份认证是“黑客克星” 提供广泛的认证方式选择,“abc123” +,安盟产品构成,安盟认证服务器,安盟认证代理,安盟认证设备,一次性口令,安盟口令码只能被用一次!,您不必担心输入的口令码被人窥测 !,令牌码 被接受,令牌码 被接受,令牌码 被接受,拒绝访问,3
8、45656 锁定,879845 已被使用,568787 锁定,879845 锁定,安盟硬件令牌,广泛采用的认证器 匙扣令牌 零痕迹认证 无需安装软件 用户更易使用,安盟 ACE/Server,安盟身份认证系统的认证引擎 用户和策略管理 高性能和可扩展性 支持每个站点成千上万的用户 易管理和控制 黑客克星,安盟 ACE/Server,服务器平台 Windows NT, Windows 2000/2003/XP Sun Solaris HP/UX IBM AIX Linux 远程管理 Web管理 Windows NT/2000/XP/2003客户端,30,Educational Services
9、1998,时间同步,基础时间为UCT (GMT) 在服务器的令牌记录中保存时间漂移值 每次成功的登录都将修正时间漂移值,31,当前时间: 09:23 09:24 09:25 09:26 09:27 09:28 ACE/Server 期望的令牌码: 231587654493201467947563114696678663 ACE/Server的当前时间是: 09:24 ACE/Server接受以下三个令牌码: 231587654493201467,时间同步(续一),对于当前时间: 09:23 09:24 09:25 09:26 09:27 09:28 ACE/Server 期望的令牌码是: 23
10、1587654493201467947563114696678663 如果时钟的偏移量为 +2 ACE/Server时间为: 09:24 09:26 系统将接受以下三个令牌码: 201467947563114696,时间同步(续二),如果系统记录的时间不在+ 1 范围 . . . . . . 但是偏移量在许可范围内, ACE/Server 将要求用户连续输入当前令牌码的下一个令牌码。 如果两个令牌码都正确,系统接受用户认证请求,并修正时钟偏移量。,X,X,-10,-10,+10,+10,0,0,时间同步(续三),时钟同步技术,种子,时间,234836,安盟 ACE/Server,认证设备,伪随
11、机算法,种子,时间,234826,伪随机算法,相同的种子,相同的时间,安盟 ACE/Server扩展和集中管理,可扩展性 支持11台ACE/Server Cluster集群 支持20个跨域认证 集中管理 低管理成本 用户、安全策略集中管理,安盟 ACE/Agent的兼容性,安盟代理: 已嵌入120个厂家的190种网络产品中 Internet/Web 远程访问服务器 (RAS) 路由器 防火墙 VPN,安盟 Web代理软件,主要支持的 Web 服务器 有 IIS (NT 和 Win2K)、Netscape/iPlanet 、Domino、 Apache、Websphere、Weblogic等 快
12、速配置,用户“零痕迹”认证 灵活管理、保护URL根, 目录或页面 多Web服务器单一签名 ,简化了管理和易于使用 双因素身份认证与SSL的结合,简化PKI,互操作性- SecurID标准,安盟身份认证技术与众多第三方产品具有互操作性,170个厂家,280种产品,操作系统:微软、IBM、HP、SUN、Linux等 RAS-远程拨号访问服务器:华为、朗讯、思科、北电等 VPN/防火墙: Checkpoint、Netscreen、Fortinet、朗讯、思科、东软、华为、联想等 应用系统数据库、办公自动化: Oracle、Lotus Notes 等,安盟SecurID 将保护 .,安全的远程访问,R
13、AS,主机,安盟 ACE/Server,VPN 并不安全,VPN厂家,FireWall,Mainframe,Enterprise,安盟 ACE/Server,CheckPoint VPN,电子商务安全问题,合法性 在不安全的网络上进行 高价值的交易 不确知谁正与你交易,电子商务,WebServer,Mainframe,Enterprise,安盟 ACE/Server,企业访问,Remote Access Device,Mainframe,安盟 ACE/Server,44,通常的问题,如果你的WEB 和 VPN 有SSL 或IPSEC加密的话 为什么你还需要安盟身份认证呢 ?,安盟电子商务解决方
14、案,好处 利用浏览器 用户登陆Web时使用强认证去保护 数据库,功能 不需要用户端软件 不需要用Web 应用开发 结合强认证和SSL 加密,安盟双因素身份证系统,-应用案例,财政系统 政府远程办公应用 银行柜员管理和交易授权 企业应用 汽车企业电子商务应用 电信应用服务提供商(ASP)应用 新型产业 网络游戏,政府远程办公应用,新华社,新华社的众多记者可以通过安盟双因素身份认证系统的应用,安全地通过远程拨号访问系统或VPN从任何地点即时地登录新华社内部网,发送新闻稿件,,通过安盟双因素身份认证系统的应用,为政府工作人员提供了安全的远程办公环境,他们可以通过RAS系统或Internet安全地访问
15、政府网。,深圳市信息办,安盟银行柜员管理和交易授权解决方案,目前银行的柜员管理和交易授权系统中的安全策略和审计的实施应用均构架在用户的合法身份的基础以上,在口令管理方面对强身份认证有强烈的需求,安盟双因素身份认证系统,符合SecurID标准,适用于银行目前的各种IT环境,设备从OS390到AS400,以及各种Unix系统,如IBM AIX,HP-UX,Sun Solaris和SCO Unix等,安盟都提供了安全、可靠的身份认证手段。 安盟通过与银行用户的合作形成了完备的安盟SecurID双因素身份认证银行柜员管理和交易授权解决方案,具有如下特点: 强大的安全性 大用户数应用 高并发认证效率 高
16、可靠性 简便快捷的管理 卓越的容灾能力 结构如图:,针对长庆油田企业内部的多应用平台的多个不同的弱认证口令的问题,长庆采用了安盟双因素身份认证系统作为其企业内部的统一身份认证解决方案。 生产运营管理系统 物资供应管理系统,长庆油田,统一的身份认证平台系统,企业应用,宝钢集团,宝钢采用安盟双因素身份认证系统为其OA系统提供身份的不可否认性,同时可以扩展到其他的应用平台。,中国南方航空股份有限公司,江西电信,江西电信在应用企业办公自动化系统(OA)中,将安盟双因素身份认证系统作为其OA系统的强身份认证管理,同时也作为其他应用的统一身份认证平台。,南方航空已经在全国范围内实施SOC系统,原有的静态口令身份认证成为其急需解决安全隐患,所以南航采用安盟双因素身
