ActivCard 系统实施方案和产品简介2.docx

《ActivCard 系统实施方案和产品简介2.docx》由会员分享，可在线阅读，更多相关《ActivCard 系统实施方案和产品简介2.docx（36页珍藏版）》请在三一办公上搜索。

1、 ActivCard 实施参考方案 二零零四年十一月 目 录1 系统实施方案31.1 系统规划31.2 系统实施31.2.1 安装配置服务器模块31.2.2 安装服务器管理控制模块71221 管理模块安装71.2.2.2配置RADIUS Client客户端101.2.2.3令牌卡初始化和给用户分配令牌卡101.2.2.4验收系统并交付使用111.2.2.5 ActivCard系统扩展应用121.2.2.6令牌初始化和给用户分配令牌122.产品介绍1421 ActivCard公司介绍1422 ActivCard产品介绍15221 ActivCard产品概述15222 ActivCard产品系列1

2、6223 ActivCard的应用范围2223 ActivCard的优势：23231 ActivCard的关键优势23232 ActivCard与RSA比较的优势243.ActivCard系统的安全特性3031 ActivCard系统本身安全特性30311 ActivCard 动态密码的安全性：30312 有效防范蛮力攻击32313 ActivPack系统的安全32314 ActivPack服务器的性能指标3232 ActivCard身份认证系统的安全性33321 ActivPack AAA 认证机制流程331 系统实施方案1.1 系统规划在真正实施动态口令的身份验证之前，我们需要对该系统进行

3、完善的规划，考虑所有可能出现的问题，并综合各种可能的应用，提出一个完善的实施计划。首先我们对系统目前的应用作具体的分析，了解网上银行的主要业务以及运作模式和流程，明白ActivCard动态口令身份认证系统所能提供的功能以及对网上银行整个系统产生的影响。ActivCard可以在不改变用户现有网络结构的情况下，和用户自有的系统无缝的整合在一起。整个系统的投资相当的小，并且付出的人力物力也十分有限。其次要制定详细的系统实施计划，把系统实施过程中的每一个步骤都进行详细的规划，准备工作做好，避免出现意外情况影响自身的正常业务。再次我们要针对每一项系统实施工作，做好记录。做到所有有关ActivCard动态

4、口令身份验证系统实施的项目都详细的记录下来，为将来的系统维护和后期系统扩容提供极有价值的依据。1.2 系统实施根据ActivCard动态口令身份验证系统的特点，整个系统实施工作可以分为如下几个部分，本系统运行在在SUN Solaris平台下，数据库基于Oracle9i。1.2.1 安装配置服务器模块我们选择在现有的一台SUN Solaris服务器上安装ActivPack AAA Server服务器软件, Oracle9i也是安装在同一台机器上，这样我们就不需要再安装Oracle9i数据库的client软件。安装ActivCard AAA Server在这台机器上： Install ActivP

5、ack for Solaris Launch the Configurator (configures server access and parameters) Launch the ActivPack AAA Server安装步骤：1. Login as root, and at the prompt type:/usr/sbin/pkgadd -d ./ActivPack-5.1.0.0-sparc.pkg2. Press “Enter” to continue The distribution displays the following information:The followi

6、ng packages are available:1 ActivPack (ActivPack Server for Solaris)(SolarisforSPARC) 5.1.0.0Select package(s) you wish to process (or all to process allpackages) (default:all) ?,?,q:3. At the prompt, type all and press “Enter” to continue. The following lines display.Processing package instance fro

7、m The distribution displays version and copyright information and the following prompt:Enter the installation path ActivCard/ActivPack ?,q. By default, the distribution installs the ActivCard AAA Server in the ActivCard/ActivPack directory.Take the appropriate action. Press “Enter” to leave the defa

8、ult path set to ActivCard/ActivPack. Type an alternate path, and press “Enter” to continue.The distribution processes the package information, verifies disk space requirements, checks forconflicts with previously installed ActivCard AAA Server packages, and checks for setuid/setidprograms. It then w

9、arns you that the package contains scripts which will be executed with superuserpermissions during the installation, and then it displays the following prompt:Do you want to continue with the installation of y,n,? Press “N” and “Enter” to abort the installation. Press “Y” and “Enter” to continue.The

10、 ActivCard AAA Server confirms a successful installation and reminds you that you must now“create the database” (create tables) using SQL scripts before you configure the server.5. To create database tables, at the prompt, type:cd /opt/ActivCard/ActivPack6. Press “Enter” to continue. At the prompt,

11、type the following:$ORACLE_HOME/bin/sqlplus /7. The SQL*Plus utility starts. At the prompt, type the following:/opt/ActivCard/ActivPack/Sql/OracleCreateServer_v5.1.0.0.sql8. Press Enter to continue. The ActivCard AAA Server tells you when the table space has been successfullycreated and displays the

12、 SQL prompt. At the prompt, type quit to exit the SQL*Plus utility.配置服务器：在安装完成后，需要对整个系统进行详细的配置，根据功能要求，选择适合自己的ActivPack AAA Server服务器配置。下面详细描述系统配置的过程。首先我们要确定ActivPack AAA Server系统服务已经启动，设定好管理员用户名和密码后（需要管理员自己设定用户名和密码，为了保障系统的安全性，建议管理员密码不要太简单；并且每次登录进来的时候，系统并不会显示上一次登录所使用的用户名和密码），就可以进入系统管理界面，如下图所示。1，以root

13、用户登录，运行以下命令：$ /opt/ActivCard/ActivPack/ActivPackServerCfg2，回车后，系统提示你输入关于数据库的一些信息：Database listener：oracle数据库名Database login：登录名，默认是ActivPackServer，你可以在以后使用中改变 Database password：密码，默认是ActivPackServer，你可以在以后使用中改 变3，产生了登录的用户名和密码后，下一此登录输入你的用户名密码就可以进行以下的操作了。4，配置以下的选项： ActivPack database access: change th

14、e login ID and password for the configuration program. Oracle database access: change the login ID and password for the ActivCard AAA Server database access. Log and trace files configuration: configure the settings for active or inactive trace, and specify the log size and path.* ErrLog is located

15、(by default) in /var/log/ActicPack/ActivPackServerErr.txt.* Trace is located (by default) in /var/log/ActicPack/ActivPackServerTra.txt RADIUS and TACACS dictionaries path: set the paths for your dictionaries. The default isset to /opt/ActivCard/ActivPack/Dico. Decipher database: toggles on/off the c

16、ipher/decipher database function. Every critical database field is Triple DES encrypted. This option permits you to decipher (or re-cipher) the database. We recommend you maintain the database in cipher mode (toggle on).5，保存你的配置文件：press “0” to Quit and answer Yes to confirm that you want tosave your

17、 settings and exit the Solaris settings menu.6，配置程序会提示你重新启动AAA server。所有的配置结果在如下的一个文件中：1.2.2 安装服务器管理控制模块1221 管理模块安装在安装完服务器模块后，必须在一台win 2000的机器上安装管理模块（Administration Console）：登管理控制台可以通过服务器所提供的端口与服务器通讯。并且这个端口也是可变的，为了控制安全性，我们可以更改该控制端口，并且在防火墙上作相应的设置来屏蔽该端口，从而避免外部针对该端口的非法访问。下面简要说明每一项设置的方法和作用。首先我们要设定系统需要连接

18、的LDAP服务器。如下图所示，需要详细设定LDAP Server服务器的每一项参数：包括LDAP Server服务器主机地址、端口、登录用户名、密码；所要管理的用户组和查询条件等；以及在LDAP目录里为ActivPack AAA Server令牌卡建立索引所使用的字段等。在每一部分设定好之后，可以立刻进行测试以认证设定的正确性和有效性，只需要单击右边的Test按钮即可。图表 1（图3-2 LDAP服务器设定界面）LDAP服务器参数设定完成之后，就可以在查询结果里看到相关的查询出来的用户资料了。我们在目录中查到了信息，这就表明，我们的LDAP服务器连接设置正确，系统可以在LDAP内通过指定条件查

19、询用户信息了。设定完与LDAP目录服务器的连接之后，我们要配置ActivPack AAA Server自身的参数，使其能够满足我们所需要的安全性要求。首先要做的是我们先要建立一个Servers，然后依次建立Gate、LDAP Server、Profiles、Group，定义每一项具体的设置，在设置完成后我们就应该在Group的查询里查找到LDAP内的每一个用户信息。 针对不同的系统应用，我们可以建立多个不同的gate，来对应每一个系统应用。每一个Gate使用不同的配置文件Profiles，来满足不同的身份认证的要求。本例中我们使用的是默认的配置文件，它一般可以满足win2000下的身份认证工作

20、。另外我们还可以建立基于IIS的应用，只需要简单的设定一个配置文件，利用这个配置文件创建一个新的Gate就可以了。另外，如果系统用户比较多，并且使用也比较分散，我们还可以建立多个Server，针对每一个Server来定义Gate，满足不同应用。这样我们就可以使用一个统一的LDAP目录，来进行各种应用上的动态口令的身份认证了。我们还可以针对每一个组织单元OU来定义身份认证安全策略，例如我们定义信息技术部的员工可以访问Internet，定义财务部门的人员使用财务数据库，定义经理等领导人员可以管理用户数据库等。这些应用的动态口令身份认证都可以集中完成，只需要在系统身份认证模块中简单的添加几行身份认证

21、代码，构建一个RADIUS Client客户端，就可以满足不同的需求了。下面是一个配置完成后的窗口界面。（图3-3系统配置完成后的系统管理界面）从图中我们还可以看到，我们可以自己定义系统的端口号，然后在防火墙上开放相应的端口，就可以满足系统安全性的需求；还可以设定RADIUS shared secret密钥，进一步加强系统的安全性。以上是简单的服务器设置，详细的系统配置以及实现方法，请参见相关产品文档。1.2.2.2配置RADIUS Client客户端服务器端配置完成后，我们需要配置RADIUS Client客户端，由于ActivPack AAA Server本身是一个标准的RADIUS Se

22、rver，拨号接入服务器作为RADIUS Server的客户端（前提是路由器支持标准的RADIUS协议，如果不支持需要开发相应的客户端软件）。1.2.2.3令牌卡初始化和给用户分配令牌卡一套系统，在使用之前必须对它进行初始设定，把每一块卡都分配给每一个人，这样系统才可以正常工作。产品在出厂的时候，都随着带有一张令牌卡初始化时产生的密钥（key）软盘。我们首先把密钥（key）导入ActivPack AAA Server系统数据库里，需要留意的是为了加强令牌卡密钥的安全性，ActivCard在导入令牌卡密钥的时候，需要提供一个解密的密码，共有16位，详细操作见下图。（图3-4导入令牌卡(Token

23、 One)的初始化密钥key）令牌卡密钥导入以后，需要把它分配（Assign）给每一个用户，针对招商局集团100余用户的系统，我们可以提供两种令牌卡的分配方式：1令牌卡的批量分配：我们可以开发一个简单的程序，自动向LDAP目录中的字段中写入令牌卡(Token One)的序列号，完成令牌卡(Token One)的用户分配工作；2在ActivPack AAA Server的Console进行令牌卡的分配； 根据招商局集团具体的需要，我们可以灵活的选择合适的令牌卡分配方式。1.2.2.4验收系统并交付使用整个系统实施完成后，我们会偕同相关人员一道，对系统的运行状况、性能指标做一个综合的客观的检验。具

24、体检验项目包括系统稳定性、安全性因素、系统响应时间、潜在的风险评估、系统兼容新工艺即可扩展性等。检验完毕，万维易化会提供一个完整的由双方共同认可的检验报告，作为系统投入试运行的依据。试运行一段时间后，如果系统运行良好，则万维易化会把整个系统完全移交给招商局集团，包括系统所有软件产品、说明书、实施文档、开发文档、程序源代码、培训教材等；然后会对招商局集团的相关人员进行一次完整的系统管理培训，真正让用户完全掌握整套系统，从中受益。1.2.2.5 ActivCard系统扩展应用基于LDAP的用户管理结构可以为系统管理提供最大程度上的管理方便，LDAP是一个现行的工业标准，它提供标准的存储结构，使得用

25、户管理更加方便。将来，招商局集团的所有用户数据可以全部使用LDAP来管理，包括内部OA系统、柜面系统、电话银行系统、网上银行系统等都可以使用统一的LDAP结构来存储管理。这样我们就可以使用ActivCard动态口令身1.2.2.6令牌初始化和给用户分配令牌一套系统，在使用之前必须对它进行初始化设定，把每一块卡都分配给每一个人，这样系统才可以正常工作。产品在出厂的时候，都随着带有一张初始化的key盘，我们就是用这个key来对系统和令牌进行初始化。首先把key导入ActivPack AAA Server系统数据库里，然后再针对每一块卡进行一次系统时钟同步，需要留意的是为了加强自身的安全性，Acti

26、vCard在导入令牌信息的时候，需要提供一个初始访问密码，共有16位，详细操作见下图。（图1-7导入令牌卡(Token One)的初始化密钥key）（图1-8导入令牌信息之后的系统管理界面）令牌信息导入以后，需要把它分配（Assign）给每一个用户，针对深圳市商业银行这样有2万余用户的系统，我们可以提供一个简单的工具，自动完成令牌卡(Token One)的用户分配工作和向LDAP目录中的字段中写入令牌卡(Token One)信息的工作，也可以在柜面系统中作一个简单的二次开发，集成该工作到柜面系统，这样就便于柜面营业员在发卡时，直接完成卡和用户的意义对应工作。下图是一个令牌卡(Token One

27、)系统初始化的界面。（图1-9令牌卡(Token One)初始化界面）2. 产品介绍21 ActivCard公司介绍Activcard公司1980年成立，专业从事数据加密及身份认证系统产品生产及研发。美国及法国上市公司，全球多处实验室和研发机构。ActivCard Token产品最早用于法国海军的安全网络的访问管理。随后被推广到银行和其他企业网络的管理应用项目中。业界领导，世界上一百万套以上系统正在使用，合作伙伴及客户遍布全球，包括： Microsoft NEC VOLVO DOD AIRBUS SUN HP ALSTOM GEDAS/VOLKSWAGEN ST MICRO TECHINT B

28、CA 美国国防部 香港汇丰银行 香港电讯 花旗银行 爱立信 国泰君安 大鹏证券 多项专利及领先技术，产品经过多项专业测试及实践检验，倍受好评。详情请见 www.ActivC22 ActivCard产品介绍221 ActivCard产品概述ActivCard为企业的内部网络提供强大的身份验证系统，将用户扩展出简单的静态口令的范围，使用者的口令由手持令牌（Token）动态生成，无法预测，无法重复使用，高度安全，完全避免了传统口令的弱点，替代传统的静态口令机制。ActivCard的双因素认证系统（我拥有、我知道）要求用户在登录之前必须具有物理的令牌，同时必须知道自己的PIN码（个人验证码，用于激活令

29、牌）。 而ActivCard独特的动态密码生成有效的消除了风险，这个过程产生一个一次性口令，是无法被猜中、分享、破解的，丢失的密码或再次使用都会被禁止。双因素认证系统可以唯一的确认用户，而且并不要求用户记忆一个新的口令。ActivCard 同时也支持异步挑战码用户认证方式。l 安全性动态的一次性口令，无法推测、无法破解、无法重复使用、无法共享l 唯一性唯一的序列码、唯一的密钥及唯一的用户l 可靠性无效的用户无法通过认证ActivCard认证过程：用户只需简单的在令牌键区输入PIN码，令牌检验PIN码后，动态生成并显示动态密码。用户在Login用户只需简单的在令牌键区输入PIN码，令牌检验PIN

30、码后，动态生成并显示动态密码。用户在Login屏幕输入密码，认证服务器认证动态密码后，允许用户登录。222 ActivCard产品系列ActivCard产品主要由用户手持令牌和中心端认证软件组成。令牌(Token) ：轻便的带有键盘的手持设备，用于动态口令的生成。ActivCoupler：令牌与计算机的连接设备，主要用于令牌的初始化。ActivPack 服务器：基于服务器的认证软件，在采用ActivCard 服务器安全解决方案的应用里起作一把“锁”的作用。现在的版本提供RADIUS验证通信方式。ActivPack Console台：一种图形用户界面(GUI) 的管理模块，用于令牌的初始化、管理

31、ActivEngine的用户和令牌数据库。 令牌（Token）令牌是用户端带键盘的轻便手持设备，用于生成一次性动态口令，提供全面、强大的认证功能。ActivCard提供用户令牌：ActivCard One。需要指出的是，令牌在使用当中，并不需要与系统联机。令牌提供的安全服务同步（专利拥有的时间加事件处理）用户认证异步（挑战/应答）用户认证密值提取每个应用区可存储64位秘密信息（如信用卡号），并以加密格式上载给服务器或应用令牌的PIN码管理Token的使用受PIN码保护PIN码由用户选择，并可随时更换弱PIN码检测（可选）PIN码输错的次数超过门限，Token会自锁开锁密码输错的次数超过门限，

32、Token会自动擦去内存Token可以远程解锁每个Token可以被自动再同步Token特性每个Token拥有唯一的序列号密钥在初始化时随机产生，而非出厂时固定具有光接口与coupler通信时钟漂移小于0.5S/天时钟和注册信息存储于CPU中CPU封装于环氧树脂中，不溶于任何已知溶液可更换的锂电池和备份电池电源节省模式电池缺电检测12个按键（10个数字键和两个功能键）单行10字符/2行12字符+4个通信图标LCD显示。（one/Plus）含电池，25/40克。（one/Plus）82mmX52mmX5mm，信用卡大小寿命为8年遵从的标准ANSI X3.92 DES算法ANSI X9.17和ANS

33、I X9.24 DES密钥导出和管理标准ANSI X9.9动态口令计算和显示标准ANSI X9.26挑战/应答，签名认证处理标准Token的平均寿命30个同步认证/天，25个异步认证/天，15个光接口认证/天在上述使用情况下，Token可更换的电池可以使用2年。 Token本身的寿命为8年。 ActivPack V5 的功能及特征1 ）全面LDAP解决方案ActivPack 在版本V4.4 之前，支持内建的本地用户数据库和LDAP服务器，从版本V5 开始，全部由LDAP服务器提供用户数据，以充分利用LDAP强大的用户管理功能，实现高效的集中式管理。ActivPack V5 支持标准的LDAP服

34、务，从企业级LDAP如AD，到运营商级LDAP 如 iPlanet 。LDAP简介轻量级目录访问协议（LightweightDirectoryAccessProtocol）。一个使用Web浏览器和与LDAP兼容的电子邮件程序访问在线目录服务的协议。一些人可能希望LDAP提供搜索Internet上的电子邮件地址的通用方法，最终带来一个全球性的白页。LDAP在InternetEngineeringTaskForce(IETF)中定义，以推动对X.500目录的采用。LDAP是一种相对简单的协议，它用于更新和搜索基于TCP/IP运行的目录。对于简单的Internet客户机的使用来说，LDAP以前的“目

35、录访问协议(DAP)”太复杂。LDAP目录项是带有名称的属性集合。称为识别名称(DN)。DN清楚的指明是项目。各项目的属性包括一个类型和一个或更多值。这些类型通常是有助于记忆的字符串，如cn指常见名称，或mail指电子邮件地址。值取决于类型。LDAP目录项以一种等级结构排列，它反映了政治的、地理的、和/或组织边界。代表国家的项出现在该树的最顶端，随后是代表州或国家组织的项，然后是代表民族、组织单位、打印机和文档等的项。LDAP目录的优势现在LDAP的流行是很多因数共同作用的结果。基本的原因如下：1可能LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端

36、程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。2LDAP协议是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上，LDAP得到了业界的广泛认可，因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关系型数据库），因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都

37、要对每一个数据库服务器单独定制。不象很多商用的关系型数据库，你不必为LDAP的每一个客户端连接或许可协议付费。3大多数的LDAP服务器安装起来很简单，也容易维护和优化。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。4LDAP允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的

38、域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。LDAP对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。例如，这些信息存储在LDAP目录中是十分有效的：l 公司员工的电话号码簿和组织结构图l 客户的联系信息l 计算机管理需要的信息，包括NIS映射、email假名，等等l 软件包的配置信息l 公用证书和安全密匙ActivCard身份认证系统与LDAP的集成采用ActivCard的ActivPack建立一个统一的身份认证系统，可以供

39、网上银行WEB登录使用，作为一个强力的身份认证系统，未来可供其它系统的认证。ActivPack能够和LDAP服务器同步用户。要建立一个大型的身份认证系统，除了要有强大的认证体系，还需要完善的用户管理体系，采用LDAP服务器专门管理用户，ActivPack专门完成身份认证工作。2） Web Help Desk 功能ActivPack V5 新增Web Help Desk 功能，方便用户管理及故障检测。3） 支持多种设备ActivPack V5 新增了对一些设备的支持，提供多样的选择：Token One, KeyChain, Gold Smart Cards, ActivKey,Palm Pilo

40、t, Soft-Token4） 支持Sun Solaris 平台Windows NT4 SP6aWindows 2000 ServerWindows 2000 Advanced serverSolaris 85） 高可用性ActivPack V5 通过内建的 Replication 功能实现双机容错的高可用性。223 ActivCard的应用范围ActivCard基于开放的系统平台，允许运行于最多的计算机及通信网络上，包括：l 公用电话交换网l 基于信元的网络l LANS/WANSl Internet/Intranet 广泛的应用于：l Intranet 登录l Internet 登录l Ex

41、tranet 登录l 电话银行服务l 电话委托证券交易l 网上银行l 网上证券交易23 ActivCard的优势：231 ActivCard的关键优势 1） 增强的网络安全: 2） ActivCard使得用户在得到动态密码前必须具备两个要素：令牌和PIN码。利用动态密码大大减少了无认证连接的风险。 3） 高性价比的安全: 4） ActivCard One令牌结束了以往围绕静态密码认证展开的IT系统管理员需定期更改密码的烦琐工作。这不仅大大节省了系统管理员的时间，降低了企业的管理费用，也极大地强化了身份认证系统的安全。 5） ActivCard One集成的动态口令认证功能把系统管理员从以往烦琐

42、的日常例行工作中解脱出来，可以有足够的时间和精力关注企业内基于Web和其他方式的数据通讯和交易处理顺畅进行。 6） 平滑过渡为大规模、全企业内使用ActivCard One动态口令认证:7） 结合ActiveCard服务器产品系列，系统管理员能有效管理ActivCard One令牌的分发、用户授权、远程初始化以及令牌再同步等。 8）ActiveCard 动态口令认证技术能与诸如Cisco,CheckPoint,Axent,Lucent,Novell等主流网络、防火墙厂商的产品无缝集成，在企业网内已有的认证系统基础上进一步强化认证安全。 9）日后可以灵活调整: ActivCard令牌可以在基于P

43、C工作站和Unix网络终端混杂的计算机环境进行动态身份认证。 ActiveCard服务器产品系列还支持ActiveCard 智能卡，以逐步实现向基于PKI和数字签名的认证系统过渡。 10）突出点 专利技术: 使用基于标准的3种算法产生一次性使用的口令 11）随时随地进行连接: 相对其他手持令牌ActivCard One更为小巧轻便，在任一地方提供灵活先进的远端接入 12）已证明的可伸缩性:支持全面的鉴定解决方案企业级电子金融服务网上银行方案的全球提供商，已经有超过1000,000套ActiveCard令牌正在使用232 ActivCard与RSA比较的优势Activcard独特的七个卖点：1）

44、ActivPack for LDAP实现企业中所有LDAP的单点管理2）齐全的产品线，提供多种多样的选择: Token One, KeyChain, Gold Smart Cards, ActivKey, Palm Pilot, Soft-Token3）独特的灵活性应用于不同的认证模式、目录、数据库、设备，支持全球性的解决方案：4）保护您的投资：Gold Cards 支持随时迁移/增加到PKI或SKI5）更高层次的安全观点：软件与硬件的结合6）更好的可管理性和界面7）更优越的性价比Activcard实现企业的单点管理 1）大公司通常使用LDAP存储公司的所有信息, 包括用户的信息.2）使用Ac

45、tivPack for LDAP，公司无需管理额外的用户数据库，即可使用ActivCard的强力认证解决方案.3）用户仍然在LDAP目录中进行存储和管理4）查询是动态的：当在LDAP中增加用户，在ActivPack中立即生效（无需导入）5）无需修改LDAP的 架构（Schema） 6）支持所有LDAP目录（所有厂家的）单点管理的优势1）更低的管理花费2）单点的维护3）只需一个数据库的管理，代替以前两个数据库的管理4）一个数据库提供更优的安全性和一致性5）一个数据库管理一个组6）只有单点的攻击容易防御7）减少撤销的延迟和出错的风险8）当删除雇员立即全面生效9）LDAP的移除与ActivPack的移除无延迟时间!10）免除了忘记从第二个数据库中移除用户的风险齐全的产品线1）当前的设备要求不同类型的认证设备：如笔记本电脑不希望携带Smart Card读卡器, 2）ActivPack 提供一个广泛范围的设备来满足所有客户的需要：3）ActivKey (USB Key) 用于笔记本电脑时无需读卡器4）Token One or KeyChain 用于 no footprint 的解决方案5）Smart Cards 用于多用途的应用和目的 (PKI, SKI, 物理访问, branding, 等等.)6）Soft Token 用于无花费的或者试验性的解决方案7