諾德基金多系統(tǒng)接入DKEY雙因素認證
行業(yè)屬性
基金行業(yè)
應(yīng)用場景
VPN 服務(wù)器 郵件 服務(wù)器
安全挑戰(zhàn)
靜態(tài)密碼單因素認證增加系統(tǒng)接入安全風(fēng)險。
DKEY解決方案
DKEY硬件令牌 + 手機令牌認證。
結(jié)論
•同時支持手機令牌及硬件令牌認證; •提升整體用戶賬號安全; •即配即用,無需二次開發(fā),節(jié)省部署成本;
需求分析
諾德基金準(zhǔn)備接入動態(tài)口令認證的應(yīng)用現(xiàn)狀大致如下:
Ø 登錄認證現(xiàn)狀:采用帳號+密碼訪問各種業(yè)務(wù)系統(tǒng),各個系統(tǒng)自制管理,無法形成統(tǒng)一的
Ø 業(yè)務(wù)系統(tǒng)多:數(shù)量不斷增加如VPN、服務(wù)器、郵件以及滿足運維需求的各種支撐系統(tǒng),目前這些業(yè)務(wù)系統(tǒng)通過帳號+密碼認證;
Ø 多帳號源管理:目前帳號管理AD方式;
Ø 應(yīng)用部署:諾德基金采用內(nèi)外網(wǎng)隔離機制,即外網(wǎng)滿足VPN、OWA等外網(wǎng)移動辦公,內(nèi)網(wǎng)包括服務(wù)器及網(wǎng)絡(luò)設(shè)備管理;
實現(xiàn)目標(biāo)
在現(xiàn)有業(yè)務(wù)系統(tǒng)帳號+密碼基礎(chǔ)上增加動態(tài)口令認證,提升認證安全,減少密碼管理開銷,滿足多玩業(yè)務(wù)系統(tǒng)多、多帳號源管理及復(fù)雜網(wǎng)絡(luò)部署環(huán)境;
(1)高安全性
◆在現(xiàn)有認證基礎(chǔ)之上增加動態(tài)口令認證,提升訪問安全;
◆認證服務(wù)器數(shù)據(jù)安全:確保種子加密存儲,確保種子無法泄密;
◆為認證服務(wù)器管理后臺增加動態(tài)密碼認證
(2)集成便捷性
◆動態(tài)口令認證系統(tǒng)應(yīng)開放、方便地與各種業(yè)務(wù)系統(tǒng)集成,且無需對現(xiàn)有系統(tǒng)進行改造,無需二次開發(fā),節(jié)約實施人力及時間成本,減小實施風(fēng)險。
(3)高可靠性
◆基于多核心業(yè)務(wù)系統(tǒng)接入認證要求,認證系統(tǒng)必須穩(wěn)定可靠,提供不間斷的可靠身份認證服務(wù),并且需要實現(xiàn)良好的冗余與容錯設(shè)計,防止出現(xiàn)單點故障。
(4)管理便捷性
◆后臺管理便捷性,方便管理員操作
◆快速定位潛在故障點,減少運維風(fēng)險
(5) 可審計
◆詳細的登錄日志
◆支持登錄日志導(dǎo)出,方便日后審計
解決方案
業(yè)務(wù)系統(tǒng)通過安裝相應(yīng)的代理軟件及配置與部署在公網(wǎng)或內(nèi)網(wǎng)部署動態(tài)口令認證服務(wù)器進行通信,使得業(yè)務(wù)系統(tǒng)方便登陸增加動態(tài)口令身份認證,由于采用DKEY Agent和配置Radius方法集成,此方式十分方便多業(yè)務(wù)系統(tǒng)接入,無需二次開發(fā)工作,減少整體項目實施風(fēng)險,節(jié)約成本。
認證流程
Web應(yīng)用、用友U8、VPN等登陸流程
Linux/UNIX服務(wù)器登陸流程
以ROOT用戶為例,連接SSH,在第一次提示輸入密碼時輸入該用戶的靜態(tài)密碼,在第二次提示輸入密碼時輸入該用戶綁定的令牌的動態(tài)密碼:
VPN
(1) 登錄頁面,在Juniper VPN登陸頁面上輸入認證用戶名和密碼;
(2) 認證通過后,接下來會出現(xiàn)如下窗口,需要將令牌上顯示的動態(tài)密碼輸入以下窗口。
(3)如果動態(tài)密碼驗證正確,將進入認證成功頁面。
方案特點
提供手機令牌及硬件令牌供選擇
同時提供手機令牌和硬件令牌供用戶選擇,滿足不同客戶對動態(tài)密碼認證終端需求;
手機令牌支持主流智能手機平臺
手機令牌支持ios\andriod\wp手機操作系統(tǒng)平臺,滿足智能手機用戶需求;
多系統(tǒng)接入動態(tài)密碼認證
支持多系統(tǒng)同時接入,并分配不同認證策略,有效降低管理及部署成本;
快速部署
通過純配置方式,滿足業(yè)務(wù)系統(tǒng)集成動態(tài)口令訴求,具有良好的擴展性及節(jié)省部署成本;
高可靠性
認證服務(wù)器可實現(xiàn)雙機互備、并支持跨平臺部署;
雙重因素安全
提升整體身份認證安全性,實現(xiàn)基于用戶身份的實名認證,有效管理身份認證;
