安盟双因素身份认证系统介绍.ppt

企业应用概况 攻击的来源 识别与认证 识别 你是谁? “我是 张三.” 认证基础 你知道的东西 口令 PIN 你拥有的东西 令牌 智能卡 U-key令牌 对于你来说是独一无二的东西 指纹 视网膜 外形识别 双因素身份认证优势 比易猜测或截取的传统静态口令更能确保网络安全 结合用户所知道的和所拥有的方式来认证用户身份 双因素身份认证是“黑客克星” 提供广泛的认证方式选择 安盟产品构成 安盟硬件令牌 广泛采用的认证器 匙扣令牌 零痕迹认证 无需安装软件 用户更易使用 安盟 ACE/Server 安盟 ACE/Server 时间同步 基础时间为UCT (GMT) 在服务器的令牌记录中保存时间漂移值 每次成功的登录都将修正时间漂移值 时间同步(续一） 时间同步（续二） 时间同步（续三） 如果系统记录的时间不在+ 1 范围 . . . . . . 但是偏移量在许可范围内, ACE/Server 将要求用户连续输入当前令牌码的下一个令牌码。 如果两个令牌码都正确，系统接受用户认证请求，并修正时钟偏移量。 时钟同步技术 安盟 ACE/Server扩展和集中管理 可扩展性 支持11台ACE/Server Cluster集群 支持20个跨域认证 集中管理 低管理成本 用户、安全策略集中管理 安盟 ACE/Agent的兼容性 安盟 Web代理软件  主要支持的 Web 服务器 有 IIS (NT 和 Win2K)、Netscape/iPlanet 、Domino、 Apache、Websphere、Weblogic等 快速配置，用户“零痕迹”认证 灵活管理、保护URL根, 目录或页面 多Web服务器‘单一签名’ ，简化了管理和易于使用 双因素身份认证与SSL的结合，简化PKI 安全的远程访问 VPN 并不安全 VPN厂家 电子商务安全问题 合法性 在不安全的网络上进行 高价值的交易 不确知谁正与你交易 电子商务 企业访问 通常的问题 如果你的WEB 和 VPN 有SSL 或IPSEC加密的话 为什么你还需要安盟身份认证呢 ? 安盟电子商务解决方案 好处 利用浏览器 用户登陆Web时使用强认证去保护 数据库 功能 不需要用户端软件 不需要用Web 应用开发 结合强认证和SSL 加密 安盟双因素身份证系统 -应用案例 在介绍安盟 SecurID之前，我们先了解一下对于信息安全的威胁来自于那里？从这个调查可以看到，外国政府、竞争对手、独立的黑客，和内部员工。 而最大的威胁还是来自于我们企业的内部。 有人会从您的身后窥视您正在键入的密码，由于我们的疏忽大意和为了方便把密码记在便筏、台历上，因而很容易被别人发现。同时还可以通过猜测来破译你的密码，因为我们往往习惯于用自己、家人和用户名来作为密码。 以上是几个破解密码工具的网站，你可以免费下载到简单实用的破解工具。 解释了识别与认证的区别 所有列示的都属于单因素身份认证，必须结合两个因素才能提供强有力的保护 这个硬件令牌包括什么？它的登录方式又是如何？这个象钥匙扣一样的东西，就是安盟 SecurID的硬件令牌，它的内部有与 UCT时钟同步信令（实现与国际标准时钟同步）、内部电池（可保证令牌的三年的使用）和唯一的 64位的 种子。在液晶显示屏显示的令牌码可每 60秒变化一次。在用户登录时，输入用户名后，要求输的PASSCODE由用户指定的静态PIN码和令牌上所显示的动态TOKENCODE所构成。这种用户PIN和当前认证码相结合，只有在特定时刻对特定用户才有效，大大的提高了安全性。 一次性密码 版本的突出点 在ACE 4.0中管理软件令牌 在ACE 4.0中易配置和安装 从可执行中分离种子。大多数分配(通过 SMS,等等)，个别地可通过 email (也可结合安装手册） - 能为配置新的软件令牌增强管理，使管理员快速简易的为大型配置分配种子。 - 分离智能卡设备，使配置更趋于简易化。软件能从读卡器中单独配置，SecurID种子也能从软件中分离-——能使安盟公司经由Web或智能卡提高配置。 - 2.0版除了 RAS，为Web页添加了自动注册功能（ACE/Agent 保护Web页) 。 (注意 Bill – 软件令牌 2.0已包括了 Web agent 插件，而且安装也很简单) - SDK使软件令牌支持任何PKCS11卡或设备 (如 USB令牌) 最后，SoftID将与很多领先级的远程访问设备制造商，如 Shiva, 3COM, Cisco, Ascend, Xylogics, NT RAS, 等等具有良好的互操作性，并将我们的agent代码植入其产品中。 安盟 ACE/Server是用户访问请求认证和企业网络安全策略管理的安全