SafeWord双因素身份认证解决方案
SafeWord 动态令牌双因素身份认证解决方案
赛孚耐(北京) 信息技术有限公司
SafeNet China Ltd.
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
目录
1
2
3
4 SAFENET 公司简介.....................................................................................................................................2 技术及产品线..................................................................................................................................................3 身份认证需求..................................................................................................................................................4 SAFENET SAFEWORD产品介绍 .........................................................................................................6
4.1 S AFE W ORD 2008 ....................................................................................................................................6
4.1.1
4.1.2
4.1.3
4.1.4
4.2
4.3
4.4
5 高可靠性的认证系统..................................................................................................................7 方便灵活的管理特性..................................................................................................................7 强大的日志审核功能..................................................................................................................8 紧急情况下的特性 . .....................................................................................................................8 S AFE W OR D 认证令牌 ...........................................................................................................................8 M OBILE P ASS 软件令牌 . ....................................................................................................................9 用户自助服务 ......................................................................................................................................10 SAFENET SAFEWORD解决方案 .......................................................................................................11
5.1 S AFE W ORD 一次性密码(OTP )强身份认证解决方案...........................................................11
SafeWord 与 Citrix 集成...................................................................................................... 11 5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.1.7
5.1.8
6 网络设备保护 . ............................................................................................................................12 UNIX/Linux主机保护 . ................................................................................................................................13 Web 应用程序的保护 ..............................................................................................................13 域登录保护 .................................................................................................................................14 防火墙和VPN 保护..................................................................................................................15 Oracle 数据库保护 ...................................................................................................................15 使用RADIUS 协议与应用程序集成....................................................................................15 认证开发包(SDK) .....................................................................................................................16 SAFENET SAFEWORD解决方案优势...............................................................................................17
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
1 SafeNet 公司简介
SafeNet 成立于1983年, 为全球知名网络安全整体解决方案提供商,除了不断研发最新信息安全技术外,我们为客户提供双因素身份认证、数据加密和密钥管理及软件版权管理等专业解决方案。
SafeNet 总部设于美国巴尔的摩市,在安全网络系统开发、设置、管理等专业领域有超过20年的经验,为政府部门、金融机构及全球大型企业提供专业的产品及服务。SafeNet 在下列各领域皆扮演重要的领导地位: 远程安全登陆客户端标准软件设置;取代用户名/密码的USB 硬件身份认证令牌;加速SSL 加解密运算的SSL 加速装置;防堵非法盗版的软件保护及授权解决方案;及提供给美国政府国防部、国家安全局的高安全加解密系列产品。
SafeNet 在2004年3月完成与Rainbow 公司的合并,正式跻身为全球最大、最完整的信息安全产品技术供货商。
2009年3月,阿拉丁知识系统公司被私人投资公司 Vector Capital 收购并且并入其全资子公司 SafeNet 。SafeNet 与阿拉丁的合并组成一个软件版权管理(SRM )和身份认证解决方案的全球领导者。两家公司已经引入革新技术在这些领域中,所以这是一次真正的领导者的联合,两家公司在市场上的革新技术能够服务于彼此的客户。两个公司的产品能够充分融合实现最大的市场价值。
SafeNet 积极将专业的产品及技术推广至政府部门、金融机构、企业、OEM 客户及所有需要服务的客户。SafeNet 在全球为5,000 家客户提供专业的支持及服务,并在全世界100 个以上的国家拥有广泛的经销渠道。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
2 技术及产品线
身份及存取管理- SafeNet 提供形式多样并且独具技术创新的强身份认证解决方案,加强数据存取的安全性,保护用户身份,确保满足合规需求,快速开拓新的业务机会。通过一个强大的可扩展的管理平台以及包括 USB 智能卡认证设备、易于布署的一次性密码解决方案、适用于数字签名和统一物理/逻辑访问的专有产品,SafeNet 提供形式多样的、易于扩展的和极度灵活的身份和存取管理。
磁盘和文件加密- SafeNet 提供磁盘、文件和移动介质最安全和有效的数据保护。SafeNet 的磁盘和文件加密解决方案通过强加密来解决公司笔记本电脑和移动存储介质上敏感数据的安全性需求。SafeNet 解决方案使企业和政府机构不仅布署业界最值得信任的安全,而且充分利用现有的诸如微软活动目录等集中管理系统来降低采购成本。
数据库和应用程序加密- SafeNet DataSecure 是业界最安全、布署最快速并且最容易管理的企业数据库和应用程序保护解决方案。使用 SafeNet DataSecure,企业能够保护关键数据防止来自于内部和外部的威胁,确保满足法规对安全的强制需求,降低数据被窃取的风险。
高速网络加密- SafeNet 高速网络加密设备集合了最高的性能以及最容易的集成和管理来有效保护高速广域网上传输的数据。SafeNet 加密设备提供最快最简单的方式集成强大的 FIPS 认证的网络安全来保护关键的业务数据。千兆级别的输出以及最低的网络延迟使 SafeNet 的加密设备成为保护大容量数据传送理想的解决方案。
硬件安全模块(HSM )- SafeNet 硬件安全模块是博阿虎加密密钥、身份、应用程序和交易最快、最安全、最容易集成的解决方案。通过保护任何以加密为基础的安全解决方案的核心部分——加密密钥,SafeNet 硬件安全模块提供密钥可靠的保护防止泄露,确保满足合规需求,降低法律责任的风险并且提升盈利能力。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
3 身份认证需求
众所周知,计算机与信息犯罪在近年正在呈现出上升的趋势。FBI 与计算机安全机构近期的研究表明,过去一年里在调查的公司中,32%的公司向执行官员报告发生严重事件,较前几年几乎翻了一翻;在调查过程中,报告遭受经济损失的公司中,平均损失高达760,000美元,几乎相当于1998年以来经济损失总和的50%。很明显,攻击日益频繁,且导致越来越大的经济损失,因此各公司都必须采取有效措施,保护其信息资源。
如今,决定着电子商务进一步发展必要基础的信息安全技术得到不断发展,会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部分。令人遗憾的是,虽然每种技术都旨在加强某一方面的信息安全,包括限制访问或防止机密数据被截获,但面队形形色色的信息犯罪,却没有一种单独应用的安全措施或方法能够消除所有风险。在这种情况下,各机构就需要根据受破坏可能性以及可能导致的损失程度,来评估预防措施的成本。例如,根据FBI /CSI 的调查报告显示,最普遍的信息安全问题来自于病毒感染,根据数据显示,在能够确定损失数额的机构中,90%的危害是由病毒感染引起的,而因此导致的平均损失数额约为45,500美元;约65%的被调查者则受到来自膝上型电脑系统被盗的影响,每年由此类事件所导致的平均损失约为87,000美元。
但与电子盗窃或金融欺诈相比,上述问题就是小巫见大巫了。例如,尽管窃取机密信息可能不象病毒感染或膝上型电脑被盗普遍,但其危害性却更高,为每家受害公司所带来的平均经济损失高达180万美元;而金融欺诈所导致的平均损失则约为150万美元。虽然这些犯罪发生的频率低于病毒感染或膝上型电脑被盗,但由此造成的经济损失却高出许多。
目前为止,企业中存在大量的网络设备,对于这些网络设备的保护至关重要,如果非法用户获得管理员的帐号到网络设备上作了非法修改有可能导致整个网络系统的瘫痪,所以有必要对进入网络设备进行配置的人员进行认证。同时,对于整个网络系统来说,有许多从互联网进入企业内部网络的接口,如拨号服务器、防火墙和VPN 网关,我们知道互联网是非常不安全的,如果黑客获得了合法人员的口令就可以冒充合法人员进入企业内部网络,盗取关键的业务数据,对网络进行恶意破坏,这样企业就面临非常严重的后果,同时对于哪些被盗取口令的用户,他们本身并不知觉,黑客每天都在冒充他的身份访问网络,最终的责任还可能由自己承担。
需要指出的是,许多最具危害性的犯罪都拥有共同的特点:即绕过口令保护获取对信息或资源的访问权限。虽然对于非关键系统的安全性而言,使用基本的口令保护已经足够了,但公司最机密的应用、文件及系统则需要更高层次的保护措施。幸运的是,现在有了单独使用的安全防护方法,能够解决由口令泄密导致的所有入侵问题:即用强大的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失,防止恶意入侵者或员工对资源的破坏。
口令是网络信息系统最常用的安全与保密措施之一。如果用户采用了适当的口令,那么他的信息系统安全性将得到大大加强。但是,实际上网络用户中谨慎设置口令的用户却很少,
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
这对计算机内信息的安全保护带来了很大的隐患。
网络信息系统的设计安全再强,如果用户选择的口令不当,仍然存在被破坏的危险。用户对口令的选择,存在着以下几个误区:
•
•
•
•
以上四个口令设置的误区,将给信息保密与网络安全带来隐患,网络用户和管理员应切实注意自己的口令设置,不给非法用户以得逞之机。
此外,还可以从一个合法的终端上窃听会话并记录所使用的口令,采用这种方法,无论你所选择的口令如何好都无济于事。例如HTTP 和Telnet 协议都是不安全的网络协议,传输过程中不作任何加密,其他人只要在传输过程中安装Sniffer 程序就可以非常方便地获得合法用户的口令就可以。
目前为止,所有的用户口令都是存放在数据库中,如果口令字段未做任何加密的话,黑客也可以通过攻击数据库来获得合法用户的口令。
对于系统管理员来说,每天接到的求助电话中50%以上都是有关用户口令的问题,比如用户遗忘了口令或者系统提示口令出错无法登录,给管理员带来很大的负担。
所以必须选择一种更有效的方式进行用户身份的确认。
误区之一:用“姓名+数字”作口令,许多用户用自己或与自己有关的人的姓名再加上其中某人的生日等作口令。 误区之二:用单个的单词或操作系统(如:DOS 命令作口令)。 误区之三:多个主机用同一个口令,将导致一个主机口令被窃从而影响多台主机的安全。 误区之四:只使用一些小写字母作为口令,使得用字典攻击攻破的概率大增。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
4 SafeNet SafeWord产品介绍
4.1 SafeWord 2008
成功的身份与访问管理 (IAM) 策略的第一步是建立证据确凿的用户身份。IAM 成功解决了组织机构在为每位网络用户(从员工和管理员、到业务伙伴、客户和交易商)提供随时随地应用、数据和网络资源访问方面所面临的挑战。
在当今的合规环境中,公司必须对企业数据和关键任务应用的访问采取保护和管理措施。 SafeWord 强身份认证解决方案使您能够轻松而有效地识别用户,并保护对可信网络资源的访问。
传统静态密码的漏洞已有不少记录,密码已被证实不足以作为身份凭证。SafeWord 令牌能够以高度安全的动态密码系统代替您目前使用的密码,提供强大的身份认证功能。SafeWord 令牌是一种小巧的掌上设备,可以为每次登录生成不同的动态密码,每个动态密码只能使用一次。要登录网络,用户只需要按一下令牌的按钮,获取新的动态密码,确切地建立用户身份,就是这么简单。只有通过身份验证的用户,才能访问您的网络。SafeWord 是一个使用简单、高度安全的解决方案,可以在用户访问可信网络和应用时进行用户认证。
SafeWord 2008标准版是一个简单易用的解决方案,为使用微软活动目录的企业提供强大的远程访问身份认证功能,确保 VPN 、RADIUS 设备、Citrix 应用和 Outlook Web Access 连接的安全。所有 SafeWord 产品均是为微软 Windows 环境而设计。许多公司已经将微软活动目录用作身份基础设施的一部分。只需要将 SafeWord 插入现有的活动目录,就可以立即使用您已经熟悉的工具进行管理和部署令牌,有助于降低管理成本。
SafeWord 2008企业解决方案包 (ESP) 可将强大的认证功能扩展至 Windows 域登录、 UNIX 登录和 Web 应用程序,并提供高级 RADIUS 服务器功能,还可以使用应用程序开发工具箱(API )与定制的应用程序进行集成。
ESP 还包括以下功能:
高级用户管理,包含一个带有独立管理控制台的集成数据库,无需活动目录。
强大报告功能,全面洞察所有认证事件。
丰富的访问控制,基于用户角色或组织内部关系的粒度化授权和个性化内容。
基于 Web 的用户自注册,减轻分配大量令牌带来的管理负担。
认证形式的选择
o 携带方便的 SafeWord Alpine,Silver 2000 硬件令牌
o 带有键盘以增强安全性的 SafeWord Gold 3000硬件令牌
o MobilePass 可通过软件令牌直接将认证设备部署到任何台式计算机或便携
式计算机,直接在主机上生成一次性密码
o MobilePass 还可以通过SMS 信息或者 SMTP 邮件发送一次性密码
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
4.1.1
4.1.2 高可靠性的认证系统
SafeWord 2008工作在主-主同步机制,所有的 SafeWord 服务器之间都是平等的,管理员可以使用控制台程序管理其中任意一台服务器,所有的更改都会同步到其他任何一台服务器,所以SafeWord 2008 的体系是建筑在点对点同步以及完全热备的基础架构上。工作在负载均衡的模式下,应用程序可以向这个集群内的任何一台服务器发出认证请求,按照设定的负载比率将处理请求分配给每台服务器进行处理。
4.1.3 方便灵活的管理特性
任何一个成功的安全系统关键在于一个精明的管理模式。在安全系统方面的昂贵费用通常与认证系统的设备价格无关,大部分的费用花在了对系统进行管理上。因此,简便的系统管理显得尤为重要。
认证系统管理员可以轻松的管理多个SafeWord 2008认证系统,不论在企业的管理中心或是其它地方,许多企业都是建立一个中央控制台来管理所有的认证任务。你可以安全的利用一个本地的管理控制台来执行管理任务,管理多个服务器。SafeWord 2008的Admin Console 可以连接到所有被授权的服务器上进行系统管理。
SafeWord 2008 的管理也可以采取分级管理方式,企业内的每一个分公司或是部门都可以管理他们自己的用户和资源。在SafeWord 2008中,可以将用户分成组,并为每一个组指定本地管理员,这个管理员只可管理本组而不能管理其他的组。
不论是采取中央或是分级管理方式,都可以完成多种多样的管理任务,如
用户管理和认证方式的指定
访问策略的制订
审核日志及日志的管理
其他更多内容
当拥有大量的未注册用户时,SafeWord 2008还能够提供Web 方式的自我注册功能,所有这些都能够使管理员得到简便和轻松的管理,为大型企业的管理提供了良好的弹性机制。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
4.1.4 强大的日志审核功能
SafeWord 2008 记录所有用户的活动和认证尝试,包括登录时间和成功的次数。日志还能够记录所有的数据库管理活动,如:
谁在进行改动
改动的日期及时间
哪一条用户记录被编辑
哪种类型的改动
数据的更改,比如密钥,管理权限,授权规则,注释等等
总而言之,SafeWord 2008 会在日志里详细记录每一个活动,每一次数据库的变动。
日志的查询工作也是方便的,用户可以在数以万计的日志条目中按照各种查询条件进行精确快速的搜索,例如按照用户、时间、数据记录、认证结果等。在日志数量迅速增长的情况下,可以设置日志自动归档的时间,或者进行手动归档。以前归档的日志还可以方便的提档进行查阅。
4.1.5 紧急情况下的特性
有时候用户可能会遗失或损坏令牌,而又需要紧急访问,在这种情况下,SafeWord 2008 认证系统可以设置一个临时密码给用户使用,用户可以很容易的进行紧急登录,日志记录也会及时记录下这个认证活动。
SafeWord 2008 还可以同时分配动态令牌卡和固定口令给某个用户,例如:一个用户用Platinum 令牌做他的认证设备,同时一个固定密码也被记录在册做为紧急登录备份,在特定时期可以允许用户使用固定密码进行认证。而且,系统可以设定在某些时候要求用户同时输入动态口令和固定密码,这个特性显著的用处在于进一步增强系统的安全性。
4.2 SafeWord 认证令牌
全球主要企业已经将 SafeWord 认证令牌推广到数以百万计的终端用户手中,被广泛认可为当前市场上功能最强大、性能最可靠,并且易于使用的认证设备。
eToken Pass
是一款小巧便携的一次性密码令牌,分时间令牌和事件令牌两种,同一个服务器可以同时支持不同机制的eToken Pass以及不同类型的动态令牌。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
Gold 3000
可以实现挑战应答功能,允许用户在键盘区输入挑战码以生成一次性登录密码。还可以设置安全 PIN 加强令牌保护。
Alpine/Silver 2000
新型SafeWord Alpine 令牌使用户认证比以往更加简单。Alpine 可生成一次性密码具有高度安全性,确保在访问关键的应用程序和数据时能够进行正确认证。SafeWord 的 Alpine 令牌采用平滑紧凑设计,与附加的耐用夹子相结合,便于携带。此令牌可以工作在事件同步或时间同步模式。
MobilePass
通过软件的方式实现令牌的功能,客户无需硬件令牌,可以在电脑或者手机平台上生成动态一次性密码。还可以将一次性密码以短消息或者电子邮件的形式直接发送给用户,无需任何其它硬件或者客户端软件即可提供双因素安全认证。
令牌永不过期
SafeWord 令牌永不过期,使总体拥有成本降至最低,在同类竞争令牌中绝无仅有。该令牌只需按下按钮就可激活,平时不显示信息,令牌的电池使用寿命可以大大延长。按下按钮您就可以获得一个独一无二、可保障安全的密码。无需等待,无需根据结果猜测,也无需担心电量耗尽!
4.3 MobilePass 软件令牌
Windows Mobile
、
BlackBerry
和
Palm 等移动电话现已迅速成为提高移动办公生产效率不可或缺的工具。他们便于随身携带,并让我们随时获得信息。MobilePass 将成熟的双因素身份认证所具备的安全性与个人移动设备或个人电脑上生成一次性密码所具备的便捷
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
性结合在一起。
MobilePass 是一种基于软件的双因素身份认证解决方案,能在您最钟爱的手机或笔记本电脑/台式电脑上生成一次性密码。MobilePass 可以广泛应用于各种手机平台,包括BlackBerry 、Palm 、Windows Mobile以及支持 Java ME 的设备。MobilePass 能以短消息文本信息的方式传送一次性密码,也可以通过您的笔记本电脑或台式电脑获取您的一次性密码。 MobilePass 支持最新的64位 Windows 平台,包括Windows Server 2008 和 Vista 。
MobilePass 支持多个常用平台,包括:
∙
∙
∙
∙
∙
∙
MobilePass 将久经市场验证的安全性与用户使用简便性相结合,使双因素身份认证的应用比以往更为简单。只需在您的移动设备中安装 MobilePass 应用软件,获取您的一次性密码,就能安全的远程访问 VPN 、Citrix 应用和 Outlook Web Access。现在,您可以将随身携带的手机变成一个强大的身份认证设备,安全登陆应用程序、Web 和网络。 MobilePass for BlackBerry MobilePass for Palm MobilePass for Windows Mobile MobilePass for Java ME devices MobilePass for Windows MobilePass SMS
4.4 用户自助服务
SafeWord 2008自助服务中心通过一个操作简便、轻松部署的
web 应用实现用户自助服务,节省了大量时间和成本。您的用户可以通过任何浏览器进行用户和令牌的注册、PIN 码重置及令牌同步测试,无需联系Helpdesk 或系统管理员。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
5 SafeNet SafeWord解决方案
5.1 SafeWord 一次性密码(OTP )强身份认证解决方案
用户对电子邮件、网络应用和数据的访问需求日益增加。组织部署了远程访问解决方案,以提供该关键任务访问。在当今的法制环境中,公司必须对企业数据和关键任务应用的访问采取保护和管理措施。SafeWord 功能强大的认证解决方案使您能够轻松而成本有效地识别用户,并保护对您可信网络资源的访问。
SafeWord 允许您将强大的认证功能轻松添加到应用程序中,包括:
微软域登录
Windows 本地和终端服务器登录
Cisco
Checkpoint
Nortel
Citrix Access Gateway
Citrix Presentation Server
Citrix GoToMyPC Corporate
Citrix Access Essentials
Outlook Web 访问
Oracle 数据库登录
Web 邮件和应用程序
RADIUS 认证
使用 SDK 可以集成各种定制的应用程序
5.1.1 SafeWord 与 Citrix 集成
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
Citrix WI 是一个应用部署系统,允许用户通过标准的 Web 浏览器来访问MetaFrame Presentation Server。
Citrix WI 为用户动态地创建MetaFrame 服务器集群的 HTML 表现,为每个用户展现有权访问的所有发布在MetaFrame 服务器集群上的应用程序。
OTP agent for Citrix WI 是专门为 Citrix WI (Web Interface) 4.0 开发的身份验证解决方案,通过要求使用一次性密码技术确保高级别的安全来防止 WI 未授权的访问。
多个 OTP 身份验证服务器以及多个域可以配置成使用此解决方案要求 OTP 身份验证。
5.1.2 网络设备保护
在现有的网络配置中,用户可能通过拨号接入公司网络;同时也可能有大量的路由器连接到互联网,即使在企业内部也有大量的交换机,由于若口令带来的安全隐患,管理员可能需要定期修改路由器和交换机上的管理员密码,这种方法并没有从根本上堵住安全隐患,同时也带来大量的管理负担。所以需要考虑使用双因素强认证,确保只有合法用户才可以访问网络资源。
主流的网络设备(包括路由器和交换机)均支持Radius 协议来集成第三方认证服务器,缺省情况下是在这些设备上创建帐号并且设置静态密码,管理员通过这些静态密码登录网络设备。如果需要切换到令牌认证的话,需要在这些网络设备中启动Radius 认证,指定SafeNet SafeWord一次性密码认证模块所在的认证服务器的IP 地址,在认证服务器和网络设备上设置相同的加密密钥来加密数据通讯。当用户需要访问这些网络设备时,提示输入用户名和双因素认证吗,用户输入认证信息以后,网络设备将这些认证信息通过RADIUS 协议传送到SafeNet 认证服务器进行用户认证,最后将认证结果返回给网络设备,只有那些通过认证的用户才能够访问这些网络设备,确保了管理员身份的安全性。
目前为止,微软的拨号服务器、思科、3COM 和华为等这些主流的网络设备均可以支持SafeNet SafeWord 认证。如果需要在思科的网络设备上启动AAA 认证,使用SafeNet SafeWord 认证管理员的登录的话,只需要加上以下几行配置即可,非常简单:
aaa new-model
aaa authentication login default radius line enable
radius-server host xxx.xxx.xxx.xxxauth-port 1645 acct-port 1646
radius-server key “your key”
如果顾虑到SafeNet SafeWord认证服务器发生故障导致管理员因为无法进行认证从而无法登录网络设备的话,可以配置网络设备首先使用Radius 进行认证,如果无法联系到SafeNet 认证服务器,可以使用本地配置的Line 或者Enable 的静态密码进行。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
UNIX/Linux主机保护
企业中将会存在大量的UNIX/Linux主机,这些主机承担着非常关键的应用程序服务以及存放着重要的信息,对于整个公司的运作起到非常关键的作用。但是我们看到,这些服务器均是通过弱的口令认证,不管是普通用户还是系统管理员,均使用口令登录到主机系统。这样就有可能给不法用户提供可呈之机,有可能冒用其他用户的帐号和口令进入系统,胡作非为。
目前为止,SafeNet 支持主流的UNIX 操作系统,包括SUN Solaris和Linux 上的代理软件,所有这些操作系统的代理软件均为免费提供。
安装了PAM Agent以后,配置相应的服务例如Telnet 、FTP 或者SSH 使用PAM 进行身份认证。这样,当用户通过远程Telnet 或本地登录到UNIX/Linux主机时,主机首先提示用户输入正确的用户名和双因素认证号码,当用户正确输入以后,才能进入到主机系统,否则就会被拒绝在外。
PAM Agent 的作用就象安全卫士,它们能截取访问请求,要求指定用户或组织(无论是本地还是远程)在获得被保护资源的访问权之前,通过认证令牌来证明身份。
5.1.3 Web 应用程序的保护
Extranet 已经成为电子商务的关键部分,它使得客户、合作伙伴和供应商进行交流成为可能。不论您需要保护的是Microsoft IIS还是Apache Web服务器,SafeWord 代理软件都能保护您的Web 应用不会被非法访问。SafeWord 代理软件的功能就像安全警卫,充当一个URL 过滤器,代理软件截取访问请求并且要求指定的用户或组在获得受保护的网站资源访问许可之前,使用认证设备到后台SafeWord 服务器进行认证。只有通过认证的用户才能够访问这些资源。
使用Web 代理软件的方法最大优势为:
• 不需要修改应用程序,只需要在原有Web 服务器上安装或者配置代理软件即可,而且最终用户在使用现有Web 应用程序时也不需要下载额外的脚本程序,方便了用户使用。
但是使用Web 代理软件的方法需要为每个访问应用的用户分配令牌,没有令牌的用户根本无法登录应用。有的时候企业在上双因素认证系统的时候需要分步实施,这样就需要采用另外一种集成方式,即使用认证开发包修改应用程序,将双因素身份认证嵌入到应用程序中,实现紧密集成。
SafeWord 还可以有效保护Webmail 邮件收发的安全性。在Webmail 上安装了Web 代理软
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
件以后(例如Microsoft Exchange Outlook Web Access),可以将电子邮件的网页保护起来,当用户需要访问电子邮件时,显示窗口要求用户进行双因素认证,通过认证以后才可以接受电子邮件,加强了邮件系统的身份认证安全性。
5.1.4 域登录保护
要使用SafeWord 保护域登录的话,需要在所有的域控制器上安装Domain Logon Agent Service ,然后配置代理软件认证哪些域用户,设置成SafeWord 认证的用户必须通过令牌的认证登录域,不使用Safeword 认证的用户还是使用原来的静态域口令登录域。在所有的域客户端上需要安装Domain Logon Agent Desktop
,此客户端程序会替换客户端登
录界面,提示用户输入域用户名、域密码和SafeWord 动态码,只有通过了令牌认证以后才可以登录系统。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
此解决方案要求所有的客户端计算机必须连接在企业网络中,时刻处于在线状态。如果由于网络问题客户端计算机无法访问到域服务器的话,用户无法以域用户身份登录操作系统。所以如果有离线域登录需求的话,可以采用eToken PRO USB令牌保存域登录数字证书的方式来实现。
5.1.5 防火墙和VPN 保护
在当今竞争越来越激烈的商业环境中,如何以最快的速度,安全可靠地获得信息变得越来越重要,同时由于互联网的应用越来越普遍,使用VPN 实现远程接入的方式也越来越广泛。举例来说,许多企业每天都会有大量员工出差,这些员工需要安全接入公司内部网络访问电子邮件和其他重要的价格和公司信息;另外,许多企业正在建设或者即将建设办公自动化系统,企业员工可以在远程办事处甚至家里就可以象在公司内部网络那样登录OA 系统处理每天事务;对于制造性企业来说,改进与合作伙伴和代理商的关系非常重要,必须让他们通过Extranet 很快了解公司营销策略,访问瞬息万变的价格,并通过Extranet 快速下单。所有这些需求都遇到了同样棘手的问题,如何确保从互联网接入公司内部网络的人员的身份呢?VPN 可以通过加密实现VPN 客户端与VPN 网关之间的数据通讯的机密性,但是只有与动态令牌一起使用才能真正确保企业网络的安全性。
市场上主流的VPN 厂商已经集成了RADIUS 认证协议在VPN 设备中,管理员只需要在图形界面上非常简单地配置RADIUS 信息就可以实现双因素认证功能。而客户端只需要安装VPN 客户端程序,不需要安装额外的软件来支持双因素认证。当用户需要通过防火墙或者VPN 网关接入企业内部网络时,只需要在原来输入用户名/口令的地方输入双因素认证码,然后由这些网络设备内置地代理软件或者标准的RADIUS 协议发送到认证服务器进行认证,如果是合法用户则可以访问网络资源,否则就会被拒绝在外。
目前支持的防火墙和VPN 厂商包括Checkpoint/Norkia、Netscreen 、Nortel 和Cisco 等IPSec VPN厂商以及Juniper 、F5等SSL VPN厂商。
5.1.6 Oracle 数据库保护
Oracle 是全球领先的信息管理软件的供应商,由其提供的Advanced Security Option (ASO )软件保护SQL*Net和Net 8环境下的敏感的以及有价值的信息。当用户试图访问Oracle 数据库时,Advanced Security Option软件加密并且执行安全检查。SafeNet 使用预先发给每个用户的SafeWord 令牌认证用户的身份。使用Oracle 的Advanced Security Option 和SafeNet SafeWord 令牌,所有基于Oracle 数据库的网络应用程序均可以得到由SafeNet SafeWord令牌提供的强用户认证。
5.1.7 使用RADIUS 协议与应用程序集成
企业中存在大量的应用,这些应用程序可能是基于B/S架构,也可能是基于传统的C/S架构,这些应用中包含着企业的重要数据和资料,同样需要进行安全有效的保护,确保访问用户身份的真实性并且赋予相应的访问权限。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
SafeNet SafeWord双因素验证解决方案提供一次性密码的支持,在验证服务器端可以安装SafeWord Radius服务器,此服务器读取微软Windows 活动目录中用户信息,并且通过保存在活动目录中的令牌种子运算出令牌当前的一次性密码,与用户输入的一次性密码进行比较,如果相同的话即证明此用户为合法用户。
原有的认证方式应该都是基于数据库的用户名和静态口令认证。需要用户在客户端输入用户名和静态密码,认证信息发送到服务器端,服务器端软件通过数据库查询的方式和数据库中的密码字段比对,如果完全一样的话就是合法用户。
现在需要对客户端和服务器做适当的修改,允许用户在客户端输入PIN 码加上一次性密码,用户点击确认键以后这些认证信息发送到服务器端,服务器端通过RADIUS 标准协议发送到SafeNet 认证服务器上进行认证,并且获得一个返回结果,通过认证的用户才是合法用户。
5.1.8 认证开发包(SDK)
如果您自行开发的应用程序需要双因素用户身份验证功能,SafeWord 认证开发包是最佳的选择。SafeWord SDK提供的工具,能将双因素身份认证功能与您的应用程序整合起来。它适用于各种操作系统,并且支持工业标准API ,能与第三方应用程序进行无缝整合。
SafeWord 认证开发包提供多种变成接口与现有应用程序进行集成,包括C 语言、Java 语言的开发包,还包括Web Service 认证服务接口,运行客户端使用任何编程语言访问现有Web Service提供的认证服务。
赛孚耐(北京) 信息技术有限公司http://cn.safenet-i nc.com
6 SafeNet SafeWord解决方案优势
全球唯一一家能够提供完整双因素解决方案的厂商。
✧ SafeNet 在全球 USB 身份认证市场占有市场份额第一,同时也是动态令牌解决方
案的领导者
✧ 同时提供事件同步、时间同步和挑战应答令牌
✧ 同时提供硬件令牌、安全密码令牌、各种平台软件令牌、短消息认证和电子邮件认
证等多种认证令牌
令牌永不过期并且终生保修
✧ SafeWord 令牌不像竞争对手的身份认证令牌那样三年期满必须重新购买,
SafeWord 令牌只有有电就可以使用,永不过期,为您提供更低的整体使用成本 ✧ 对用户来说不用购买新的服务器授权、不用购买新的令牌、产品使用期间不会中断
或产生额外步骤,并且终生保修。
专为Windows 环境设计,公认的Windows 环境下管理员的最佳解决方案
✧ SafeWord 2008的独特设计使产品能够方便地适用于您现有的架构。SafeWord
2008支持最新的32和64位Microsoft Windows平台,使得部署变得更为简单。 ✧ SafeWord 2008能够与现有的Active Directory 架构无缝集成,使双因素部署变得
更为简便。通过管理员早已熟悉的Microsoft Active Directory 插件可以分发令牌、重置密码及其他用户维护任务,管理员不需要学习新的管理工具。
企业解决方案包提供额外工具和服务
✧ 为微软域登录提供双因素身份认证支持。
✧ 用户帮助中心和自动注册,可为您大幅降低整体部署的时间和成本。
✧ MobilePass 软件为移动用户提供身份认证。