联创安全身份认证系统解决方案.doc

联创安全身份认证系统解决方案 　　1 E-Securer系统介绍 　　E-Securer安全身份认证系统提供了集强身份认证、统一授权、集中审计为一体的安全解决方案，可以为网络设备、主机系统、数据库系统、应用服务系统等提供集中的身份认证和权限控制，其中包括Web应用系统、虚拟专用网(VPN)、网络拨号、UNIX主机、Windows服务器、Oracle、Sybase等数据库系统、网络设备(例如路由器和交换机)等。 　　1.1 系统组成 　　E-Securer系统由E-Securer安全身份认证服务器、联创安全令牌、认证代理、认证应用开发包等几部分组成。 　　1.2 系统功能 　　Oslash; 多因素认证 　　E-Securer系统提供了双因素认证功能，能够有效消除普通静态口令所带来的安全风险，从而提高身份认证安全性。 　　从机制上划分，身份认证有三种类型，这三个类型包括: 　　Oslash; 所知――通过某个个体知道的内容进行鉴别，比如口令、个人识别码PIN、或者加密的密钥等。 　　Oslash; 所持――通过某个个体所持有的实体，比如令牌，IC卡等。 　　Oslash; 所具有――通过某个人体所具有的特征和能力，比如指纹、视网膜、面部特征、签名等。 　　系统使用联创安全令牌，通过和传统的静态口令相结合，从而实现“所知的认证方式”和“所持的认证方式”相结合的双因素认证，也就是说用户在进行认证时，必须保证静态口令(PIN)和动态口令(令牌口令)同时正确，才能认证通过。 　　系统同时还支持手机短信一次性口令的认证方式。在用户需要进行认证时，系统通过手机短信向用户发送一个一次有效的一次性口令，从而为用户提供一种简单、方便的安全口令方式。 　　E-Securer系统具有极强的可扩展性，通过扩展可以支持数字证书认证、USB令牌认证、生物特征认证(例如指纹)，从而实现多因素认证，为用户提供更加安全的认证机制。 　　安全令牌用户的使用流程如下图所示。 　　手机短信一次性口令(简称SMOTP)，可以利用手机短信向用户发送一次有效的一次性口令，为用户提供一种简单、方便的安全口令方式，适合于大范围的使用。SMOTP在使用前，需在系统内注册用户的手机号码。 　　E-Securer支持两种SMOTP模式，一种为同步模式，即用户在登录前，通过手机向系统发送一条申请短信，系统验证申请的合法性后，通过短信返回一条一次性口令，用户可以使用该一次性口令进行登录。 　　另一种为异步模式，即用户在登录时，先输入静态口令，系统验证静态口令正确后，再向该用户的手机发送一条一次性口令，然后用户使用该一次性口令完成整个登录过程。 　　使用异步模式，需要被登录系统支持登录时的挑战(challenge)模式。 　　Oslash; 强大的授权 　　E-Securer系统除了提供双因素认证外，还提供强大的授权和访问控制功能。系统可以根据用户名、所访问的设备对象、访问的时间、认证方式、IP地址等进行授权，控制用户的访问范围和时间。 　　对于拨号访问、VPN等远程接入应用，系统更可以提供地址分配、访问控制列表、路由控制等深入授权。 　　对于网络设备管理等应用，系统可以提供服务级别控制、操作命令控制等深度授权服务。 　　Oslash; 详细的审计 　　E-Securer系统提供各种详细审计信息，例如:用户认证信息，用户上、下线信息，用户在线信息，用户所执行的操作，以及管理员的各种操作信息等，从而实现对用户行为的准确跟踪，从审计的角度提供安全保障。 　　Oslash; 丰富的管理 　　E-Securer系统基于Web的管理系统，提供了丰富的、人性化的管理界面，管理员可以通过这个管理界面，完成系统的各种管理工作，例如:用户的管理、安全令牌的管理、被保护系统的管理、各种权限和角色的管理、审计信息的查看和管理，以及系统自身管理和维护等。管理界面简洁、易用，在帮助管理员完成各项管理工作的同时，也极大的减轻了管理工作量。 　　从中国企业的机构特点出发，E-Securer 安全身份认证系统支持按机构划分不同的权限对系统进行管理。例如，某公司有很多分公司。如果全公司就分配一个管理员管理系统势必会造成系统管员任务非常繁重。E-Securer 安全身份认证系统支持按照多级机构进行管理，各个机构管理员管理自己机构的资源设备，相关人员，口令令牌等等。同时，为了管理的方便，高级的管理员可以相应的将他所有的资源，等管理权限委派给下一级的管理员等等。基于角色的管理，使得系统的权限管理非常方便灵活，同时也贴近用户的使用习惯。 　　1.3 系统特点 　　ü 高安全性:提供双因素认证功能，保证身份认证的高度安全; 　　ü 高通用性:支持Radius、Tacacs+、LDAP等国际标准协议，具有高度的通用性; 　　ü 高可靠