第5章-身份认证-电子课件.ppt

5.2.2口令认证的安全方案（2）管理挑战：为防止Office365账号信息泄露，控制安全风险，企业通常会强制要求员工定期更换不同的登录密码，这给员工及IT运维人员带来了许多不必要的麻烦，大大增加了账号的管理成本。为应对以上挑战，企业需要在Office365登录环节实现双因素认证，双重保障账号安全，防止密码共享、密码泄露，一旦发生网络安全事件，也可追责到个人，可以有效控制信息安全威胁及账号管理成本问题。**5.2.2口令认证的安全方案2.解决方案（1）宁盾Office365双因素认证方案概述静态密码只能对Office365用户身份的真实性进行低级认证。宁盾双因素认证（如图所示）在Office365原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。**5.2.2口令认证的安全方案**5.2.2口令认证的安全方案宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管Office365帐号的静态密码认证工作。通过在Office365配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUSSERVER）。打开Office365进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。**5.2.2口令认证的安全方案（2）宁盾动态密码形式?短信令牌基于短信发送动态密码的形式。在用户完成Office365账号密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。**5.2.2口令认证的安全方案?手机令牌基于时间的动态密码，由手机AP生成。基于时间同步技术，宁盾令牌APP每60秒随机生成一个独一无二的动态验证码（如图所示），宁盾认证服务器能够验证这个变化的密码是否有效。**5.2.2口令认证的安全方案?硬件令牌基于时间的动态密码，由硬件生成。硬件令牌（如图所示）每60秒产生一个6位随机密码，使用寿命3年。需要IT运维人员为每个Office365用户分发一枚宁盾硬件令牌，用户登录时输入静态密码+硬件令牌上显示的动态密码，验证通过即可完成登录。**5.2.2口令认证的安全方案3.方案价值（1）账号双重保护：宁盾双因素认证在Office365原有账号密码认证基础之上增加一层动态密码认证，以此提升Office365用户登录认证安全，解决了弱身份鉴别可能引发的信息泄漏隐患；（2）多种认证方式：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，客户可以根据需求自由选择，也可以多种形式进行组合；（3）与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP等标准账号源结合，同时也支持与其他企业本地应用、私有云应用以及SAAS等的对接，提供Office365的双因素认证服务；**5.2.2口令认证的安全方案3.方案价值（4）实名追溯：详尽的登录日志，发生安全事件时可定位到具体个人，做到用户认证可审计，满足了不同用户的安保需求；（5）简化管理：减少Office365静态密码定期强制更改，给用户及IT运维人员带来的麻烦，同时进一步节约了Office3655账号管理成本问题；（6）体验优化：通过简化移动安全接入，优化用户体验，在为用户登录Office365提供安全认证的同时，提升了使用的便捷性，助力移动化转型。**5.2.3基于X.509的数字证书的认证1.数字证书简介数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。数字证书是一种权威性的电子文档，可以由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。目前主要用于发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动中。**5.2.3基于X.509的数字证书的认证2.CA认证CA（CertificationAuthority）是国际认证机构的通称，是对数字证书的申请用户进行发放、管理、检验或取消的机构。主要用于审查证书持有者身份的合法性，并签发管理证