DKEY双因素身份认证系统
DKEY双因素身份认证系统
一、概述
DKEY双因素身份认证系统由上海宁盾信息科技有限公司自主研发,旨在通过一次性密码技术提供比静态密码安全性高得多的用户身份验证,企业可以借助DKEY双因素认证系统保护关键的数据和应用程序如:
(1)VPN 和 WLAN
(2)电子邮件
(3)SSO
(4)内部网和外部网
(5)Linux/Unix/Windows服务器
(6)Web 服务器
(7)其他网络资源
理论上讲,企业采用静态密码认证的场景都可以增加或使用双因素认证保护。
二、企业收益
借助DKEY双因素身份认证系统,企业能够获得以下收益:
(1)提升信息系统安全,消除弱身份鉴别带来的信息泄漏风险
(2)减小静态密码遗忘或定期强制更改密码给员工与IT管理人员带来的开销,节约管理成本
(3)实现多个业务系统密码集中管理机制
(4)与AD/LDAP无缝集成,互享企业统一认证信息
三、系统组成
如果采用DKEY双因素认证系统,企业需在选择适合的一次性密码器、通过集成代理与业务系统互操作以及部署认证服务器。
一次性密码器 集成代理 认证服务器
硬件令牌(DKEY TPASS) DKEY Agents DKEY令牌管理系统
短信密码(DKEY SmsID) DKEY APIs(二次开发接口)
3.1 一次性密码器
用来生成动态密码的终端,密码根据时间/事件/挑战应答产生,一次使用有效。
3.1.1 硬件令牌 DKEY TPASS
基于时间同步,每隔60秒产生一个6位随机密码,无需在用户电脑上安装软件,硬件令牌方案被世界500强企业90%以上采用。
特点:
(1)外形小巧美观,长显设计
(2)支持OATH协议
(3)零脚印认证,一次性密码认证验证不需要安装客户端软件
(4)改进的低成本密码管理解决方案
(5)36个月长生命周期
3.1.2 短信密码 DKEY SmsID
DKEY SmsID 短信密码是会将随机生成一次性密码发送到手机。
特点:
(1)无需携带任何认证终端
(2)高安全:采用HAMC SHA-1 256 位算法,确保短信密码不被破解
(3)宁盾短信密码是国内与各种应用系统集成最多的方案
(4)与SSL VPN无缝集成的方案
(5)广泛应用于证券期货、基金保险等行业。
3.2 集成代理
实现应用系统集成一次性密码保护功能,实现业务系统与认证服务器互操作。
3.2.1 Radius认证
目前主流网络设备几乎都支持RADIUS认证协议,由于DKEY TMS(令牌管理系统)内建RADIUS SERVER
模块,支持RADIUS认证协议设备通过配置第三方认证,即可集成DKEY一次性密码认证,而无需进行二次
开发。
DKEY一次性密码(硬件令牌、短信密码)设备无缝兼容Juniper、Array、Cisco、SonicWall、F5、
BlueCoat等VPN、无线接入设备等。
3.2.2 DKEY APIs 二次开发接口
通过给应用系统提供开发接口,应用系统整合一次性密码认证,并可以自由定义登录界面,此种方式需要企业对业务系统有二次开发权限。
DKEY APIs接口类型 C/C++、JAVA、.NET、WebService
3.2.3 DKEY Agents 集成代理软件
通过给应用系统服务器端安装相应的DKEY Agent,实现与认证服务器互操作,达到快速、无缝集成一次性密码保护的目标。
DKEY Agent 名称 功能
DKEY Web Agent for IIS 集成基于IIS上发布的Web应用程序(基于。net开发)
DKEY Web Agent for Apache Web Server 集成基于Apatch上发布的Web应用程序(基于java、php开发)
DKEY Windows Agents 集成Windows xp/2003/vista/7/2008 & R2开机认证
DKEY PAM Agent for Linux/UNIX 集成Linux/Saloris/AIX等开机认证
3.3 认证服务器
DKEY TMS是DKEY强认证方案的管理部分,它是用来验证身份验证请求和集中管理企业网络身份验证策略,它可同时支持多种一次性密码身份验证器,包括硬件令牌、短信密码等。
技术特性:
(1)DKEY TMS可以方便地与本地或互联网应用程序、远程访问、VPN等进行互操作。
(2)DKEY TMS可以与全球100多款网络设备无缝集成,而无需安装任何代理软件。
(3)DKEY TMS可跨平台部署包含虚拟机如:VMWare,支持集群和负载平衡功能,与本地LDAP无缝集成如:Active Directory,基于Web的后台管理方式,高可用性的令牌管理软件使其适应任何规模的网络。