【精品】ActivCard系统实施方案和产品简介1

《【精品】ActivCard系统实施方案和产品简介1》由会员分享，可在线阅读，更多相关《【精品】ActivCard系统实施方案和产品简介1（38页珍藏版）》请在金锄头文库上搜索。

1、ActivCard实施参考文档lVellPlus+伟令达息技术有限公司二零零年四月0 录1系统实施方案31. 1系统规划31.2系统实施31.2.1安装配置服务器模块和管理台模块31.2.2令牌初始化和给用户分配令牌71.2.3验证并交付系统91.2.4 ActivCard系统扩展应用92. 产品介绍102. 1 Act i vCard 公司介绍102. 2 ActivCard产品介绍112. 2. 1 Acti vCard 产品概述112. 2. 2 ActivCard产品系列122. 2. 3 ActivCard的应用范围182. 3 Act i vCar d 的优势：192. 3. 1

2、ActivCard的关键优势192. 3. 2 ActivCard 与 RSA 比较的优势203. ActivCard系统的安全特性263. 1 ActivCard系统木身安全特性263. 1. 1 ActivCard动态密码的安全性： 263. 1. 2有效防范蛮力攻击283. 1. 3 ActivPack 系统的安全283. 1. 4 ActivPack服务器的性能指标283.2 ActivCard身份认证系统的安全性293. 2. 1 ActivPack AAA 认证机制流程291系统实施方案1.1系统规划在真正实施动态口令的身份验证之前，我们需要对该系统进行完善的规划， 考虑所有可能岀

3、现的问题，并综合各种可能的应用，提岀一个完善的实施计划。首先我们对系统目前的应用作具体的分析，了解网上银行的主要业务以及运 作模式和流程，明白ActivCard动态口令身份认证系统所能提供的功能以及对网 上银行整个系统产生的影响。ActivCard可以在不改变用户现有网络结构的情况 下，和用户自有的系统无缝的整合在一起。整个系统的投资相当的小，并且付出 的人力物力也十分有限。其次要制定详细的系统实施计划，把系统实施过程中的每一个步骤都进行详 细的规划，准备工作做好，避免岀现意外情况影响自身的正常业务。再次我们要针对每一项系统实施工作，做好记录。做到所有有关ActivCard 动态口令身份验证系

4、统实施的项目都详细的记录下來，为将来的系统维护和后期 系统扩容提供极有价值的依据。1.2系统实施根据ActivCard动态口令身份验证系统的特点，整个系统实施工作可以分为 如下几个部分。1.2.1安装配置服务器模块和管理台模块我们选择在深圳市商业银行现有的一台PC server服务器上安装ActivPack AAA Server服务器软件，而在局域网内部另外选择一台普通PC机来安装管理工 作台。考虑到系统的兼容性问题，我们建议安装管理控制台的机器使用MS Windows 2000操作系统。安装过程中，基木上使用标准安装就可以满足需求。 当然，我们可以详细的配置每一步安装选项，使系统更加个性化，

5、满足自己独特 的需求。在安装完成后，需要对整个系统进行详细的配置，根据功能要求，选择适合111己的ActivPack AAA Server服务器配置。卜面详细描述系统配置的过程。首先 我们要确定ActivPack AAA Server系统服务已经启动，设定好管理员用户名和密 码后（需要管理员自己设定用户名和密码，为了保障系统的安全性，建议管理员 密码不要太简单；并且每次登录进来的时候，系统并不会显示上一次登录所使用的用户名和密码），就可以进入系统管理界而，如下图所示。2 ActivPack Administration Console AuthenticationUsername：Passwo

6、rd：21凶（图11系统管理控制台登录窗口）同时ActivPack AAA Server服务器提供一个管理端口 ,管理控制台口J以通过 这个端口与服务器通讯。并且这个端口也是可变的，为了控制安全性，我们可以 更改该控制端口，并且在防火墙上作相应的设置来屏蔽该端口，从而避免外部针 对该端口的非法访问。登录Z后，系统界血如K：（图12系统管理控制台界面）下面简要说明上图中每一项设置的方法和作用。首先我们要设定系统需要连 接的LDAP服务器。如下图所示，需要详细设定LDAP Server服务器的每一项参 数：包ffi LDAP Server服务器主机地址、端口、登录用户名、密码；所要管理的用户组和杳

7、询条件等；以及在LDAP冃录里为ActivPack令牌建立索引所使用的 字段等。在每一部分设定好之后，可以立刻进行测试以验证设定的正确性和冇效 性，只需要单击右边的Test按钮即可。（图1-3 LDAP服务器设定界面）xjLDAP服务器参数设定完成之后，就可以在查询结果里看到相关的查询出來 的用户资料了。如下图所示，我们在口录中查到了如下信息，这就表明，我们的 LDAP服务器连接设置正确，系统可以在LDAP内通过指定条件查询用户信息了。Group name紛Account OperatorsCN= Ac count Operators, CN=Builtin, DC= zhang, DC二 c

8、omCj Admini stratorsCN二 Adm inis t“to rs, CN=Bu iltin, DC二 zhang, DC 二 comf?Backup OperatorsCN二 Backup Operators, CN二 Built in, DC 二 zhang, DC=com6?Cert PublishersCN=Cert Publishers, CN=Users, DC= zhang, DC=comfJDnsAdminsCN=DnsAdmins, CN=Users, DC= zhang, DC=com曹! Dnslfp dateFr oxyCiDnsUpdateFroxy.,

9、 CN=Users? DC= zhang., DC=comDomain AdminsCN=Domain Admins, CN=Users? DC=zhang, DC二comjDomain ComputersCN=Domain Computers, ClUsers DC=zhang/ DC二comCjDomain ControllersCN=Domain Controllers, CN=Users, DCzhang, DC二comSjDomain GuestsCN=Domain Guests, CN=Users, DC=zhang, DC=comDomain UsersCN二Domain Use

10、rs, CN=Users? DC=zhang, DC二comEnterprise AdminsCN=Ent er prise Admin% CN=Users? DC=zhang, DC 二 comGroup Policy Creator OwnersCN二Group Policy Creator Owners, CNUsers DC=z.Sj GuestsCN=Guests, CH二 Bui It in, DC二zhang, DC 二 com魁jPr-Windows 2000 Compatible.CN=Pre-Windows 2000 Compatible Access, CN=Bui.Cl

11、ose|LDAP Test: 21 Groups found（图1-4 LDAP目录用户信息查询结杲）设定完与LDAP 0录服务器的连接之后，我们要配置ActivPack AAA Server 自身的参数，使其能够满足我们所需要的安全性要求。首先要做的是我们先要建 立一个 Servers,然后依次建立 Gate、LDAP Server Profiles Group,定义毎一 项具体的设置，在设置完成后我们就应该在Group的查询里查找到LDAP内的 每一个用户信息，例如，我使用特定条件查询，得到如卜结果。（图1-5LDAP目录查询结果）在上图中，我们只给用户test分配了一个令牌，它的S/N是

12、0673973719。针对不同的系统应用，我们可以建立多个不同的gate,来对应每一个系统应 用。每一个Gate使用不同的配置文件Profiles,來满足不同的身份验证的要求。 木例中我们使用的是默认的配置文件，它一般可以满足win2000下的身份验证工 作。另外我们还可以建立基于IIS的应用，只需要简单的设定一个配置文件，利 用这个配置文件创建一个新的Gate就可以了。另外，如果系统用户比较多，并且使用也比较分散，我们还可以建立多个 Server,针对每一个Server來定义Gate,满足不同应用。这样我们就口J以使用一 个统一的LDAP 口录，来进行各种应用上的动态口令的身份验证了。我们还

13、可 以针对每一个组织单元0U来定义身份验证安全策略，例如我们定义信息技术部 的员工可以访问Internet,定义财务部门的人员使用财务数据库，定义经理等领 导人员可以管理用户数据库等。这些应用的动态I令身份验证都可以集中完成， 只需要在系统身份验证模块中简单的添加几行身份验证代码，构建一个RADIUS Client客户端，就可以满足不同的需求了。下面是一个配置完成后的窗口界面。ActivPack Admincrotion Console - AD MTN Admini禎 or11包|1000|Fie View Tools Het)x# CompanyF 鑰 ServersB 0ZJ Selec

14、t|Sri *1 Munber Rgq | FrxitoRrxh qrc*jp_zharjmtF fi2 Groupsfil r(Mjp_2hangrntF * ProfilesH W AuthorizationW auth.zhsnQrr*曰膜 Accounting% acco.zhangrmE 4 LDAPldap_zhangrrt：EJ TokensQ Help Deskserver.zha gste.zhangmtServerNane：IPServer shared secretAdkins strati nRoan mg / replication 2035LDAP settings

15、|2034Max nun ofMax. num. ofRADIUSTACACS*PriorityLuthonticats on |2Accounting|1813Port： p9AAA:|Wediu3Inport I|HediunBADIUS shared secretrAACS+ zhacd 二ccztjS“eRestoreEventsleplicati oJHelp厂 Strip FT donain n&ne QTTDOMuid k 厂 Strip IP donain none (ui ddc*. conOptional ixifornoition 2 you vmt to use another network between serrers for replxction or ro