Safe的Word PremierAccess双因素认证实施方案.doc

网管和CMNET系统双因素认证实施方案 目 录 一、 SafeWord PremierAccess双因素认证系统简介 2 二、 网管和CMNET系统双因素认证方案建议 3 1、 SafeWord PremierAccess认证系统架构及功能说明 3 2、 移动网管和CMNET系统中的双因素认证解决方案 4 SafeWord PremierAccess双因素认证系统简介 SafeWord PremierAccess认证产品是由美国Secure Computing 公司开发的商业应用软件，通过动态口令卡、PKI数字证书、IC卡、生物辨认技术等所有的通用认证手段对用户进行身份验证，是一个对企业内部系统及网络设备的各种访问进行统一认证、授权、审核的企业级认证服务平台，能够确保企业用户访问各种资源的安全性，全面的实施和贯彻用户制订的资源访问策略。 凭借着先进的技术和良好的声誉，Secure Computing在全球范围内拥有众多客户，SafeWord PremierAccess 认证系统产品尤其成为金融、通信及IT业的首选，如金融行业的Citibank（美国花旗银行，60万用户）、First Citizens Bank、Visa，IT行业的Sony（5万用户）、Sun Microsystems（4万用户）、NTT（3.5万用户）、Cisco Systems（3万用户）、Sybase（3万用户）、Alcatel（7万用户）、Ericsson（2万用户）等都选择了SafeWord PremierAccess认证系统产品做统一的认证平台。在国内SafeWord PremierAccess 认证系统产品已经获得了安全部门的销售许可证，而且被很多用户选择用于关键应用，如广东移动（BOSS/网管）、江苏移动（BOSS）、浙江移动（网管）、四川移动(网管)、河北移动（BOSS/网管）等移动通信系统客户，其中广东移动是我们在国内最大的客户(30,000用户)，其他如中国网通（1,200用户），中国电信北方公司（1,000用户）等客户也选择了SafeWord PremierAccess认证系统产品。 网管和CMNET系统双因素认证方案建议 SafeWord PremierAccess认证系统架构及功能说明 SafeWord PremierAccess 双因素认证系统结构基于标准的C/S结构。客户端是由各种SafeWord PremierAccess Agent（代理软件）以及基于各种标准的访问协议（如RADIUS协议）所构成认证转发点，负责将用户的认证请求转发到认证服务器端；认证服务器端是认证系统的核心，负责响应认证系统客户端所发过来的用户认证请求，完成用户的身份认证。下图是SafeWord PremierAccess认证系统的内部结构图。 SafeWord PremierAccess 认证系统结构图 SafeWord PremierAccess双因素认证系统主要部分功能详见下表。 组 件 描 述 Database Server Database Server用于存储整个系统的数据，包括用户数据，审核日志和认证系统自身的信息，所有数据均被加密存储。 认证系统的冗余备份功能是由Database Server按照基于关系型数据库(RDBMS)的复制机制来实现的。 Admin Server Admin Server提供认证系统的管理功能，它分别连接管理控制台和Database Server，作为两者之间的沟通桥梁，将系统管理员的管理动作转化为数据库操作，同时将数据库中的变化体现到管理控制台。它可以与本地或远程的多个管理控制台建立连接，之间的会话，由SSL加密。 Authentication Server Authentication Server负责接收和处理由代理软件转发过来的认证请求，提供访问授权，实施访问控制策略，同时记录访问日志。它与代理软件之间的所有会话，都由SSL加密。 Admin Console Admin Console提供用户管理界面，可以安装在认证服务器本地或远程系统中。 RADIUS Server RADIUS Server用于处理使用标准RADIUS协议的客户端发起的认证请求，并将其传递给Authentication Server进行认证，最后将认证结果回复给RADIUS客户端。 Agents Agents(代理软件)安装在不同的应用系统中，当用户访问应用系统时，Agents截获访问请求，并将其转发到Authentication Server，随后接收Authentication Server回复的授权信息，实施允许访问或拒绝访问的动作。 移动网管和CMNET系统中的双因素认证解决方案 我们根据移动网管