ActivCard系统实施方案与产品概述.docVIP

ActivCard 实施参考文档 伟令达息技术有限公司 二零零年四月 目 录 TOC \o 1-3 \h \z \u 1 系统实施方案 1.1 系统规划 在真正实施动态口令的身份验证之前，我们需要对该系统进行完善的规划，考虑所有可能出现的问题，并综合各种可能的应用，提出一个完善的实施计划。 首先我们对系统目前的应用作具体的分析，了解网上银行的主要业务以及运作模式和流程，明白ActivCard动态口令身份认证系统所能提供的功能以及对网上银行整个系统产生的影响。ActivCard可以在不改变用户现有网络结构的情况下，和用户自有的系统无缝的整合在一起。整个系统的投资相当的小，并且付出的人力物力也十分有限。 其次要制定详细的系统实施计划，把系统实施过程中的每一个步骤都进行详细的规划，准备工作做好，避免出现意外情况影响自身的正常业务。 再次我们要针对每一项系统实施工作，做好记录。做到所有有关ActivCard动态口令身份验证系统实施的项目都详细的记录下来，为将来的系统维护和后期系统扩容提供极有价值的依据。 1.2 系统实施 根据ActivCard动态口令身份验证系统的特点，整个系统实施工作可以分为如下几个部分。 1.2.1 安装配置服务器模块和管理台模块 我们选择在深圳市商业银行现有的一台PC server 服务器上安装ActivPack AAA Server服务器软件，而在局域网内部另外选择一台普通PC机来安装管理工作台。考虑到系统的兼容性问题，我们建议安装管理控制台的机器使用MS Windows 2000操作系统。安装过程中，基本上使用标准安装就可以满足需求。当然，我们可以详细的配置每一步安装选项，使系统更加个性化，满足自己独特的需求。 在安装完成后，需要对整个系统进行详细的配置，根据功能要求，选择适合自己的ActivPack AAA Server服务器配置。下面详细描述系统配置的过程。首先我们要确定ActivPack AAA Server系统服务已经启动，设定好管理员用户名和密码后（需要管理员自己设定用户名和密码，为了保障系统的安全性，建议管理员密码不要太简单；并且每次登录进来的时候，系统并不会显示上一次登录所使用的用户名和密码），就可以进入系统管理界面，如下图所示。 （图1-1 系统管理控制台登录窗口） 同时ActivPack AAA Server服务器提供一个管理端口，管理控制台可以通过这个端口与服务器通讯。并且这个端口也是可变的，为了控制安全性，我们可以更改该控制端口，并且在防火墙上作相应的设置来屏蔽该端口，从而避免外部针对该端口的非法访问。 登录之后，系统界面如下： （图1-2系统管理控制台界面） 下面简要说明上图中每一项设置的方法和作用。首先我们要设定系统需要连接的LDAP服务器。如下图所示，需要详细设定LDAP Server服务器的每一项参数：包括LDAP Server服务器主机地址、端口、登录用户名、密码；所要管理的用户组和查询条件等；以及在LDAP目录里为ActivPack令牌建立索引所使用的字段等。在每一部分设定好之后，可以立刻进行测试以验证设定的正确性和有效性，只需要单击右边的Test按钮即可。 （图1-3 LDAP服务器设定界面） LDAP服务器参数设定完成之后，就可以在查询结果里看到相关的查询出来的用户资料了。如下图所示，我们在目录中查到了如下信息，这就表明，我们的LDAP服务器连接设置正确，系统可以在LDAP内通过指定条件查询用户信息了。 （图1-4 LDAP目录用户信息查询结果） 设定完与LDAP目录服务器的连接之后，我们要配置ActivPack AAA Server自身的参数，使其能够满足我们所需要的安全性要求。首先要做的是我们先要建立一个Servers，然后依次建立Gate、LDAP Server、Profiles、Group，定义每一项具体的设置，在设置完成后我们就应该在Group的查询里查找到LDAP内的每一个用户信息，例如，我使用特定条件查询，得到如下结果。 （图1-5LDAP目录查询结果） 在上图中，我们只给用户test分配了一个令牌，它的S/N是0673973719。 针对不同的系统应用，我们可以建立多个不同的gate，来对应每一个系统应用。每一个Gate使用不同的配置文件Profiles，来满足不同的身份验证的要求。本例中我们使用的是默认的配置文件，它一般可以满足win2000下的身份验证工作。另外我们还可以建立基于IIS的应用，只需要简单的设定一个配置文件，利用这个配置文件创建一个新的Gate就可以了。 另外，如果系统用户比较多，并且使用也比较分散，我们还可以建立多个Serv