密码产品国产化及宁盾第三方令牌平滑过渡.pdfVIP

一、密码国产化的持续性推进

随着企业移动化的演进，移动化办公已成为常态，在VPN、SaaS

应用、虚拟化远程访问等领域，账号密码成为仅有的一道安全防线。

与此同时，国际形势瞬息万变，网络安全已上升到国家战略层面，安

全产品国产化将成为持续且长期的合规性要求。因此，企业在采购安

全产品时，除了要满足技术需求外，还要考虑供应商合规需求！

等保2.0作为网络安全法的一部分，已明确规定密码产品“应遵

循密码相关的国家标准和行业标准，应使用国家密码管理主管部门认

真核准的密码技术和产品”。因此，企业有必要落实与推进密码产品

国产化。

二、商用密码产品供应商合规

供应商合规本质上还是产品合规。一，算法上要求使用国密算法；

二，产品经过了国家密码管理局的审核校验，持有国家密码管理局颁

发的《商用密码产品型号证书》。

产品在经国家密码局的重重审核后，已取得动态令牌及认证服务

器《商用密码产品型号证书》双证书。算法上，双因素认证产品采用

了SM3密码杂凑算法，该算法是由我国自主研发的，用于规范商用

密码中消息验证码的生成/验证以及随机数的产生/校验等。目前发布

于国家密码局网站的“标准规范”中。

双因素认证方案由认证系统和动态令牌两部分组成。认证系统负

责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；

动态令牌在激活后为应用系统提供校验口令。

三、第三方令牌平滑过渡方案

1、令牌替换RSA令牌方案

通过在原认证系统中嵌入式对接DKEYAM系统，将企业业务导入

DKEYAM系统，实现账号源、RSA认证系统、认证系统与企业业务

场景的一体化对接。

对于原令牌用户，认证服务器负责将校验信息转发到RSA认证服务

器；

新用户、令牌出现故障或服务到期时，可通过绑定令牌的形式对原动

态令牌进行替换。

2、令牌替换Google身份验证器

a)令牌兼容Google算法，实现与GoogleAuthenticator的双向

兼容；

b)本地或云部署认证服务器，用户仍可使用Google身份验证器，

但是为了合规，建议用户统一下载令牌。

3、产品价值：

a)不改变企业原网络架构，与账号源、应用场景对接，提升身份鉴

别安全；

b)在账号密码的基础上增加双因子动态口令，满足三级等保需求；

c)兼容RSA、Google等第三方领牌，实现密码产品国产化的平滑

过渡；

d)应用场景全兼容，满足从数据中心基础设施到网络层及应用层的

双因子认证需求；

e)支持AD、LDAP等多账号源，实现一体化身份认证；

f)安全登录审计，追溯账号登录/登出时间、令牌序列号、成功消息

等。

四、客户实践

目前多家银行金融领域的客户已使用第三方令牌替代方案。凭借

用户体验好、产品稳定、快速部署、实施周期快等优势得到客户的一

致好评！

智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因

素认证市场，并以技术为导向，于2013年正式上线网络认证系统，

形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用

的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形

成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、

统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi

认证管理等多个产品线于一体的全场景解决方案。