宁盾DKEY双因子认证平台.ppt

上海宁盾信息科技有限公司 宁盾DKEY TMS双因子认证平台 —— 目录 身份认证是网络信息安全的基础，静态口令已不再安全 身份认证是网络信息安全的基础 我每天每时每刻都在使用身份认证技术， 例如登录自己的电脑、邮箱、网银等等 可以想象，如果无法确定用户的身份： 不可能进行合理授权 任何加密或传输数据都扁的毫无意义 网络和信息安全将难以想象... 我们目前所普遍使用的身份认证方式任然是静态口令 静态口令已无法满足信息安全和管理的需要， 今年来因为静态口令不够安全锁导致的账号密码被盗取、利用的时间层出不穷 可见，静态口令已不再安全！ ID Password USER STRANGER —— 企业密码使用情况 静态口令已无法满足信息安全和管理的需要 要记忆或管理的口令太多、太分散 很多静态口令都“终身”使用，不能及时更换 网络锁存在大量破解静态口令的工具 （如：暴力破解、口令字典、协议分析工具等） 很多病毒都会对建议的口令进行破解 最基本、最简单的口令问题往往成为网络安全罪薄弱的环节 面对第三方的维护和开发等人员，管理员不得不开放自身 超级用户口令，存在巨大安全隐患，难以管理 领导基本不会更换管理员为其设定的口令 口令维护管理问题层出不穷（忘记密码、用户被锁定等） —— 静态口令弊端 PASSWROD 双因子认证 Two-factor authentication (TFA or 2FA)是什么？？ 双因子认证的定义是指使用两种 独立不相干的证据 来证明身份 1. 被认证的人所知道的某个秘密，例如：Passwords或者PIN； 2. 被认证的人所拥有的某个东西，例如：护照，硬件Token， 或者磁条卡； 3. 被认证的人身上所固有的特性，例如：指纹，相貌，声音等等。 双因子认证 = 静态密码 + 动态口令 —— 双因子认证是什么？ —— 动态口令简介 DKEY动态口令如何产生？ Token Seed 时间型令牌 令牌内置时钟 DKEY SERVER 随机输出6位数字 服务器时钟 Token Seed Hash algorithm with current time and seed 随机输出6位数字 OTP OTP 对比 LOGIN 账号：dkey 密码：****** OTP：872460 LOG IN 每60秒动态更新一次 160 bit Seeds 登录 = 账号 + 密码 + OTP —— 动态口令原理 动态口令是什么？ 每次/每隔一个时间产生一个随机密码，无法猜测 密码生成一次使用有效 通常通过专门动态密码生成器或短信方式获取 动态口令有什么优点？ 解决使用者在密码的记忆与保存上的困难性 由于密码只能使用一次，而且动态产生不可预测，大大提升使用的安全程度 —— 功能简介 —— DKEY TMS 简介 —— 功能简介 DKEY双因子认证是一套提供动态密码生成、认证和审计功能的系统，将动态密码与原有账号密码认证结合，实现双因子认证保障，有效保护企业应用系统安全，同时能够帮助企业实现对访客的审计。 —— 功能简介 DKEY TMS 组成 用于动态密码生成或接收，由用户持有； 短信密码、硬件令牌、手机令牌三种形式供选择。 动态密码器 帮助应用系统集成动态密码认证； 目前通过radius、agent、api三种方式为各种业 务系统集成。 集成 / 代理 集中管理动态密码认证请求； 用户及令牌绑定关系管理； 认证策略设定； 认证日志记录。 认证服务器 低部署成本及管理 成本 + 支持多种异构账号源满足大型组织多账号 源认证 + 能够与现有企业应用 系统无缝 集成，无 需二次开发 + 自定义认证策略，实 现安全、管理、成本 三者合理平衡 + 支持多种应用统一接 入，可作为企业可信 二因子认证平台 + —— 功能简介 DKEY TMS 特点 三种动态密码形式 供并按需组合使用 + —— NDKEY 令牌类型 —— NDKEY 令牌类型 特色： 完全符合国际OATH标准组织TOTP算法支持OATH协议 拆解导致硬件自毁保护 常显模式，每隔60秒产生一个6位动态口令 零脚印认证，一次性密码认证验证不需要安装客户端软件 口令生成，物理隔离 随机生成一次性密码发送到手机，无需携带额外设备，由于密码是一次性使用的，他人即使盗用了密码，也无法再次使用，从而能保证帐户和信息的安全。 特色： 无需携带任何认证终端 管理员集中配置，部署便捷 常用于Citrix及SSL VPN 可以根据安全需求，灵活短信密码有效期 宁盾短信密码是国内与各种应用系统集成最多的方案 硬件令牌 基于时间同步，每隔60秒产生一个6位随机密码，3年期使用寿命。