安盟双因素身份认证系统介绍.ppt

《安盟双因素身份认证系统介绍.ppt》由会员分享，可在线阅读，更多相关《安盟双因素身份认证系统介绍.ppt（55页珍藏版）》请在三一办公上搜索。

1、,Anmeng E-Security,安盟双因素身份认证系统介绍,安盟自公司成立以来，在IT安全领域非常专注地致力于强身份认证解决方案的技术、产品的研发和市场的发展，随着国内IT应用需求的迅猛增长，安盟正好适时地满足了目前围绕着电子商务和电子政务应用的IT安全技术中，国内强身份认证技术相对薄弱，而国外产品的安全性又不能被认可的市场情况。安盟SecurID双因素身份认证产品包中含安盟令牌，它是一个由用户携带的防篡改设备，每60秒显示一个随机的6位或8位的令牌码。令牌码反映了特定用户所拥有的一个认证特征。当用户登录时，正确输入个人码（PIN）和令牌码，即双因素用户身份认证，以此保证用户的合法性和唯

2、一性。具有与国内外第三方产品的兼容性。安盟SecurID身份认证产品为自主开发、国内制造，防止“后门”隐患，是国内各行业可信赖的安全产品。安盟已经形成了从企业用户到个人用户的双因素身份认证产品和解决方案：网络版产品，包括认证令牌（Token）；认证服务器（ACE/Server）；保护网络资源的代理软件（ACE/Agent）；适用于企业的从网络接入（RAS,VPN),Web应用，到企业网络资源的保护。单机版产品，与Window操作系统有机地结合，提供强身份认证，同时，支持文件加密（EFS），满足了安全单机的需求。,产品和业务体系,拥有自主知识产权,安盟公司通过在信息行业的经验积累以及与行业内知名

3、企业的技术合作，结合用户需求，自主开发安盟双因素身份认证系统，该系统设计合理，功能先进，运行可靠，获得广大用户的认可和信赖。与RSA、Secure Computing、ActivCard等国际知名品牌并驾齐驱，成为国内强身份认证市场的第一品牌。,安盟身份认证系统版权证书,具备国家各种信息安全资质,安盟身份认证系统：1，中国国家保密局的鉴定证书2，中国国家信息安全测评认证中心证书3，中华人民共和国公安部计算机信息系统专用产品销售许可证,信息安全的需求,用户的身份鉴定访问控制与授权信息的保密性与安全性保证数据的完整性强制电子合同-不可否认性监听与审核系统,信息安全的需求-用户的身份鉴别,硬件令牌/

4、,识别与弱身份认证,识别与强用户身份认证,识别与身份认证,口令密码/,安全级别,生理特征,软件令牌/,数字证书/,智能卡/,信息安全的需求-访问控制与授权,访问控制：保证网络资源不被非法访问和使用。访问授权：身份鉴别后对合法用户授权。入网访问控制 网络的权限控制 目录级安全控制 属性安全控制 网络服务器安全控制 网络监测和锁定控制 网络端口和节点的安全控制 防火墙控制,信息安全的需求-信息的保密性与安全性,硬件加密和软件加密加密算法：对称加密算法和非对称加密算法 防病毒技术,信息安全的需求-保证数据的完整性,包括口令、密钥、身份、数据等项的鉴别,系统通过对比验证对象输入的特征值是否符合预先设定

5、的参数,实现对数据完整性的保护,信息安全的需求-不可否认性,不可否认性包括用户和从事电子商务的商家两个方面。强制电子合同的结果就是双方都不能否认自己所做的操作，无法推卸自己的责任。,信息安全的需求-监听与审核系统,审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。审计能确认过程的可追溯性。,电子信息安全的“门户技术”,STAGE 1.身份认证,STAGE 2.授权与访问控制,STAGE 3.不可否认性,STAGE 4.数据的完整性,信息安全需要每一个阶段信息安全的基本需要是强身份认证安盟身份认证可以提供安全的解决方案,企业应用概况,攻击的来源,外国政府,竞争对手,独

6、立的黑客,心怀不满的内部员工,21%,72%,48%,89%,“偶然的闯入者-心怀不满的公司雇员”,有人会从您的身后窥视您正在键入的密码发现保留在纸上的密码便筏台历猜测密码“password”配偶/宠物/孩子的名字用户名,http:/http:/http:/http:/http:/http:/http:/,静态口令很容易受到攻击,您的口令是什么？有人非常想知道偷窃口令文件、交际工程学黑客工具,识别与认证,识别你是谁?“我是 张三.”,认证身份证证明他是张三.,“张三”,认证基础,你知道的东西口令PIN你拥有的东西令牌智能卡U-key令牌对于你来说是独一无二的东西指纹视网膜外形识别,解决口令中存

7、在的问题,把你有的一些东西混合在一起.例如，你的ATM 卡,和你知道的.你的身份证号,+PIN,=双因素身份认证!,安盟双因素身份认证,2468,234836,口令码,=,+,PIN,令牌码,双因素身份认证优势,比易猜测或截取的传统静态口令更能确保网络安全结合用户所知道的和所拥有的方式来认证用户身份 双因素身份认证是“黑客克星”提供广泛的认证方式选择,“abc123”+,安盟产品构成,安盟认证服务器,安盟认证代理,安盟认证设备,一次性口令,安盟口令码只能被用一次!,您不必担心输入的口令码被人窥测!,令牌码 被接受,令牌码 被接受,令牌码 被接受,拒绝访问,345656 锁定,879845 已被

8、使用,568787 锁定,879845 锁定,安盟硬件令牌,广泛采用的认证器匙扣令牌零痕迹认证无需安装软件用户更易使用,安盟 ACE/Server,安盟身份认证系统的认证引擎用户和策略管理高性能和可扩展性支持每个站点成千上万的用户易管理和控制黑客克星,安盟 ACE/Server,服务器平台Windows NT,Windows 2000/2003/XPSun SolarisHP/UXIBM AIXLinux远程管理Web管理Windows NT/2000/XP/2003客户端,30,Educational Services 1998,时间同步,基础时间为UCT(GMT)在服务器的令牌记录中保存时

9、间漂移值每次成功的登录都将修正时间漂移值,31,当前时间:09:23 09:24 09:25 09:26 09:27 09:28ACE/Server 期望的令牌码:231587654493201467947563114696678663ACE/Server的当前时间是:09:24ACE/Server接受以下三个令牌码:231587654493201467,时间同步(续一）,对于当前时间:09:23 09:24 09:25 09:26 09:27 09:28ACE/Server 期望的令牌码是:231587654493201467947563114696678663如果时钟的偏移量为+2 ACE

10、/Server时间为:09:24 09:26系统将接受以下三个令牌码:201467947563114696,时间同步（续二）,如果系统记录的时间不在+1 范围.但是偏移量在许可范围内,ACE/Server 将要求用户连续输入当前令牌码的下一个令牌码。如果两个令牌码都正确，系统接受用户认证请求，并修正时钟偏移量。,X,X,-10,-10,+10,+10,0,0,时间同步（续三）,时钟同步技术,种子,时间,234836,安盟 ACE/Server,认证设备,伪随机算法,种子,时间,234826,伪随机算法,相同的种子,相同的时间,安盟 ACE/Server扩展和集中管理,可扩展性支持11台ACE/

11、Server Cluster集群支持20个跨域认证集中管理低管理成本用户、安全策略集中管理,安盟 ACE/Agent的兼容性,安盟代理：已嵌入120个厂家的190种网络产品中Internet/Web远程访问服务器(RAS)路由器防火墙VPN,安盟 Web代理软件,主要支持的 Web 服务器 有IIS(NT 和 Win2K)、Netscape/iPlanet、Domino、Apache、Websphere、Weblogic等快速配置，用户“零痕迹”认证灵活管理、保护URL根,目录或页面多Web服务器单一签名，简化了管理和易于使用双因素身份认证与SSL的结合，简化PKI,互操作性-SecurID标

12、准,安盟身份认证技术与众多第三方产品具有互操作性,170个厂家，280种产品,操作系统：微软、IBM、HP、SUN、Linux等RAS-远程拨号访问服务器：华为、朗讯、思科、北电等VPN/防火墙：Checkpoint、Netscreen、Fortinet、朗讯、思科、东软、华为、联想等应用系统数据库、办公自动化：Oracle、Lotus Notes 等,安盟SecurID 将保护.,安全的远程访问,RAS,主机,安盟 ACE/Server,VPN 并不安全,VPN厂家,FireWall,Mainframe,Enterprise,安盟 ACE/Server,CheckPoint VPN,电子商务

13、安全问题,合法性在不安全的网络上进行高价值的交易不确知谁正与你交易,电子商务,WebServer,Mainframe,Enterprise,安盟 ACE/Server,企业访问,Remote Access Device,Mainframe,安盟 ACE/Server,44,通常的问题,如果你的WEB 和 VPN 有SSL 或IPSEC加密的话为什么你还需要安盟身份认证呢?,安盟电子商务解决方案,好处利用浏览器用户登陆Web时使用强认证去保护 数据库,功能不需要用户端软件不需要用Web 应用开发结合强认证和SSL 加密,安盟双因素身份证系统,-应用案例,财政系统政府远程办公应用银行柜员管理和交易

14、授权企业应用汽车企业电子商务应用电信应用服务提供商（ASP）应用新型产业 网络游戏,政府远程办公应用,新华社,新华社的众多记者可以通过安盟双因素身份认证系统的应用，安全地通过远程拨号访问系统或VPN从任何地点即时地登录新华社内部网，发送新闻稿件，,通过安盟双因素身份认证系统的应用，为政府工作人员提供了安全的远程办公环境，他们可以通过RAS系统或Internet安全地访问政府网。,深圳市信息办,安盟银行柜员管理和交易授权解决方案,目前银行的柜员管理和交易授权系统中的安全策略和审计的实施应用均构架在用户的合法身份的基础以上，在口令管理方面对强身份认证有强烈的需求，安盟双因素身份认证系统，符合Sec

15、urID标准，适用于银行目前的各种IT环境，设备从OS390到AS400，以及各种Unix系统，如IBM AIX，HP-UX，Sun Solaris和SCO Unix等，安盟都提供了安全、可靠的身份认证手段。安盟通过与银行用户的合作形成了完备的安盟SecurID双因素身份认证银行柜员管理和交易授权解决方案，具有如下特点：强大的安全性大用户数应用高并发认证效率高可靠性简便快捷的管理卓越的容灾能力结构如图：,针对长庆油田企业内部的多应用平台的多个不同的弱认证口令的问题，长庆采用了安盟双因素身份认证系统作为其企业内部的统一身份认证解决方案。生产运营管理系统物资供应管理系统,长庆油田,统一的身份认证平

16、台系统,企业应用,宝钢集团,宝钢采用安盟双因素身份认证系统为其OA系统提供身份的不可否认性，同时可以扩展到其他的应用平台。,中国南方航空股份有限公司,江西电信,江西电信在应用企业办公自动化系统（OA）中，将安盟双因素身份认证系统作为其OA系统的强身份认证管理，同时也作为其他应用的统一身份认证平台。,南方航空已经在全国范围内实施SOC系统，原有的静态口令身份认证成为其急需解决安全隐患，所以南航采用安盟双因素身份认证系统在企业网内部构建了基于LDAP的强身份认证的安全策略管理平台，大大提高了整个系统的安全性和效率。,企业应用（续）,汽车企业电子商务应用,在瞬息万变的市场前提下，电子商务为汽车制造企

17、业提供了快捷有效的全新经营模式，通过构建企业的电子商务网，将用户、销售渠道、供应商和合作伙伴更为紧密有效地联系起来，从用户需求、市场订单、零备件供应到设计生产制造的周期变得更短。安盟双因素身份认证系统正好满足了此种应用的安全性对强身份认证管理的要求，同时也可以作为其他应用的统一身份认证平台。,电信应用服务提供商（ASP）应用,随着企业信息化的发展，对于每个中小企业是否也独立地建立自己的IT应用平台成为一个突出的问题，具有得天独厚优势的电信作为通讯线路的服务商，在此情况下为中小企业推出了ASP应用服务，企业用户无需建立自己的信息化平台，可以通过Internet使用电信的ASP服务，包括办公自动化

18、系统（OA），人事管理和财务系统等，大大地节约了企业的信息化成本，但是安全性的需求也更为强烈，安盟双因素身份认证系统加SSL的解决方案保证了用户身份的合法性和数据的机密性。,网络游戏服务器管理的安全门户,中国一汽集团,盛大成立于1999年11月，公司秉承运营网络娱乐媒体的雄厚实力，通过专业化的团队及先进网络技术，最大限度为用户挖掘网络娱乐产业的乐趣。盛大的服务、技术及管理团队每时每刻为用户提供优质服务，保障用户的娱乐需要。截止2002年5月21日，盛大成功运营的世界顶级网络游戏传奇的注册用户已经超过2100万,同时在线玩家人数已突破30万，分布在全国12大城市87组1000余台服务器以及将近9

19、万家的在线销售网吧写下了中国网络游戏的辉煌记录。盛大采用安盟双因素身份认证系统保护服务器资源。,宝洁中国宝钢集团中国一汽长庆油田中国工程物理研究院航空第一、二集团 航空庆安集团 航空远东集团 航空116厂 航空609所 航空610所 航空试飞院航天科技总公司 航天16所 航天43所 航天408厂兵器总公司浙江正泰集团承德露露集团,安盟的重要用户,中国电信北京电信江西电信陕西电信重庆电信黑龙江电信海南电信四川电信,北京电子政务新华社四川党政网安徽财政厅深圳财政局深圳国土局深圳信息办陕西财政厅陕西交通厅国家质检总局四川省统计局成都市政务大厅,电信业,政府,制造业,其他产业,南方航空中国教育科研网传奇游戏Mir2命运游戏,金融业,北京建行上海交行深圳交行招商银行深圳发展银行江苏工行大连建行重庆市商业银行联合证券国元证券,中国联通上海联通福建联通河南联通,中国移动北京移动广东移动陕西移动广西移动新疆移动,销售服务中心：北京市东城区东中街9号东环广场写字楼A座4I 100027电话：010-64185727/28/29 传真：010-64185730注册地址：四川绵阳绵兴路西段40号火炬大厦A区 621000电话：+86 816 2539108 传真：+86 816,