安盟双因素身份认证系统介绍1.ppt

企业应用概况 攻击的来源 识别与认证 识别 你是谁? “我是 张三.” 认证基础 你知道的东西 口令 PIN 你拥有的东西 令牌 智能卡 U-key令牌 对于你来说是独一无二的东西 指纹 视网膜 外形识别 双因素身份认证优势 比易猜测或截取的传统静态口令更能确保网络安全 结合用户所知道的和所拥有的方式来认证用户身份 双因素身份认证是“黑客克星” 提供广泛的认证方式选择 安盟产品构成 安盟硬件令牌 广泛采用的认证器 匙扣令牌 零痕迹认证 无需安装软件 用户更易使用 安盟软件令牌 直接安装在用户桌面 可用于其他计算机设备 (手机和PDA） PKCS11 支持 与证书伙伴协同工作 支持PC/SC协议 加强智能卡功能 安盟 ACE/Server 安盟 ACE/Server 时间同步 基础时间为UCT (GMT) 在服务器的令牌记录中保存时间漂移值 每次成功的登录都将修正时间漂移值 时间同步(续一） 时间同步（续二） 时间同步（续三） 如果系统记录的时间不在+ 1 范围 . . . . . . 但是偏移量在许可范围内, ACE/Server 将要求用户连续输入当前令牌码的下一个令牌码。 如果两个令牌码都正确，系统接受用户认证请求，并修正时钟偏移量。 时钟同步技术 安盟 ACE/Server体系结构 安盟 ACE/Server体系结构 安盟 ACE/Server体系结构 认证协议 TACACS, TACACS + RADIUS Kerberos 网络协议 TCP/IP UDP 安盟 ACE/Server特性 单一控制台管理用户 管理分权严密 分布式的，基于用户的权限来分配适当的任务 扩展到成千上万的用户支持 统一用户数据库管理 定制报告 标准报告 导出定制报告 使用C++语言编程 API编程 安盟 ACE/Server管理员工具 新型的用户数据库结构 与NT域或LDAP用户数据库用户同步 从NT SAM 数据库中选取用户 安盟 ACE/Server扩展和集中管理 可扩展性 支持11台ACE/Server Cluster集群 支持20个跨域认证 集中管理 低管理成本 用户、安全策略集中管理 安盟 ACE/Agent的兼容性 安盟 Web代理软件  主要支持的 Web 服务器 有 IIS (NT 和 Win2K)、Netscape/iPlanet 、Domino、 Apache、Websphere、Weblogic等 快速配置，用户“零痕迹”认证 灵活管理、保护URL根, 目录或页面 多Web服务器‘单一签名’ ，简化了管理和易于使用 双因素身份认证与SSL的结合，简化PKI 安全的远程访问 VPN 并不安全 VPN厂家 电子商务安全问题 合法性 在不安全的网络上进行 高价值的交易 不确知谁正与你交易 电子商务 企业访问 通常的问题 如果你的WEB 和 VPN 有SSL 或IPSEC加密的话 为什么你还需要安盟身份认证呢 ? 安盟电子商务解决方案 好处 利用浏览器 用户登陆Web时使用强认证去保护 数据库 功能 不需要用户端软件 不需要用Web 应用开发 结合强认证和SSL 加密 安盟双因素身份证系统 -应用案例 32 Security Dynamics SecurWorld ACE/Server Certification Course 33 Security Dynamics SecurWorld ACE/Server Certification Course 如果ACE/Server认证的令牌码不是加减1行列中自动码ACE/Server会拒绝接受。 如果这两个码是有效的、连续的。这个用户将被通过，而且漂移值也会被调整。 SecurID 口令只能使用一次! 获得专利的时间同步技术： 比竞争者的解决方案更安全 领先技术的市场份额 较少的令牌配置步骤 使终端用户易用 解释种子记录，GMT时间，时间漂移值 谈谈令牌种子记录 - 你怎样导入到 ACE/Server 任何人都知道时间同步是什么意思吗 ??? 加大了平台支持范围 ACE Server 目前支持 Sun, HP, IBM 和 Microsoft OS最近版本。 HP 10.20和 11.0, Solaris 2.6和 2.7, AIX 4.3.2, 和 Microsoft NT SP4 和 5。 软件令牌管理 SoftID 管理目前直接建立到 ACE管理界面和数据库。 以前的工具要求管理并同时持有一个令牌。现在新的工具同时要求一定数量的令牌和用户 加大了平台支持范围 ACE Server 目前支持 Sun, HP, IBM 和 Microsoft OS最近版本。 HP