宁 盾 DKEY 短 信 密 码 认 证 解 决 方 案 上 海 宁 盾 信 息 科 技 有 限 公 司 www.ndkey.com 第 0 页 共 15 页
目 录 1 产 品 概 述... 2 2 系 统 构 成... 3 2.1 短 信 密 码... 3 2.2 认 证 代 理... 4 2.2.1 DKEY Agents... 4 2.2.2 DKEY APIs... 4 2.2.3 Radius... 4 2.3 认 证 服 务 器... 4 2.3.1 Radius Server... 4 2.3.2 Web Portal... 4 2.3.3 短 信 凭 证 生 成 及 验 证... 5 2.3.4 用 户 管 理... 5 2.3.5 访 问 控 制... 5 2.3.6 计 费 服 务... 5 2.3.7 凭 证 发 送... 5 2.3.8 IP 地 址 池... 5 2.3.9 审 计 日 志... 5 3 企 业 级 短 信 认 证 方 案... 6 3.1 系 统 组 成... 6 3.2 认 证 服 务 器 部 署... 6 3.3 应 用 系 统 集 成... 7 3.3.1 Web 应 用... 7 3.3.2 VPN... 9 3.3.3 Citrx... 10 3.3.4 无 线 接 入... 11 4 附 件... 13 第 1 页 共 15 页
1 产 品 概 述 宁 盾 DKEY 短 信 密 码 身 份 认 证 系 统 是 一 套 提 供 短 信 密 码 生 成 发 送 认 证 和 审 计 功 能 的 系 统, 将 短 信 密 码 与 原 有 账 号 密 码 认 证 结 合, 实 现 双 因 子 认 证 保 障, 有 效 保 护 企 业 应 用 系 统 安 全, 同 时 能 够 帮 助 企 业 实 现 对 访 客 的 审 计 短 信 认 证 与 硬 件 令 牌 认 证 相 比, 由 于 用 户 通 常 会 随 身 携 带 手 机, 因 此 无 需 携 带 额 外 硬 件, 是 一 种 安 全 与 便 捷 完 美 结 合 的 双 因 子 身 份 认 证 解 决 方 案 DKEY 短 信 认 证 适 合 以 下 业 务 系 统 采 用, 包 括 : VPNs(DKEY 支 持 Cisco ASA/PIX Juniper SA/SSG Array SPX/AG F5 深 信 服 SSL VPN WatchGuard SonicWall Fortinet Microsoft TMG 等 ) WIFI( 公 共 场 所 和 企 业 无 线 热 点,DKEY 支 持 Cisco WLC H3C WX Motorola RFS Aruba 等 ) Citrix OWA 2003 2007 及 标 准.NET 应 用 程 序 SSO(IBM Domino HP 灵 动 Novell IDM) DKEY 短 信 密 码 解 决 方 案 已 经 成 功 于 海 尔 秦 山 核 电 南 方 电 网 大 唐 股 份 中 信 集 团 浙 江 电 信 河 南 移 动 甘 肃 省 国 税 银 泰 百 货 等 不 同 类 型 企 业, 作 为 其 可 信 的 第 三 方 双 因 素 认 证 平 台, 为 其 网 络 资 产 身 份 认 证 增 加 一 层 保 护, 凭 借 稳 定 可 靠 的 产 品, 与 各 种 业 务 系 统 的 无 缝 集 成, DKEY 短 信 密 码 认 证 已 成 为 国 内 企 业 级 占 有 率 最 高 的 企 业 级 短 信 认 证 解 决 方 案 提 供 商, 同 时 该 方 案 支 持 用 户 采 用 硬 件 令 牌 方 式 第 2 页 共 15 页
2 系 统 构 成 DKEY 短 信 认 证 系 统 由 身 份 验 证 器 与 业 务 系 统 集 成 及 认 证 服 务 器 三 部 分 构 成 短 信 密 码 集 成 代 理 认 证 服 务 器 DKEY Agent 短 信 密 码 DKEY SMSID DKEY APIs Radius DKEY TMS ( 需 集 成 短 信 网 关 或 短 信 猫 ) 2.1 短 信 密 码 前 提 条 件 : 请 确 认 企 业 已 有 短 信 网 关 或 者 计 划 申 请 短 信 网 关, 如 果 用 户 规 模 小 可 以 考 虑 采 用 短 信 猫 方 式 DKEY SmsID 是 DKEY S6 的 升 级 版, 短 信 密 码 是 将 随 机 生 成 一 次 性 密 码 发 送 到 手 机, 每 次 产 生 的 密 码 均 不 相 同, 无 需 携 带 额 外 设 备, 由 于 密 码 是 一 次 性 使 用 的, 他 人 即 使 盗 用 了 密 码, 也 无 法 再 次 使 用, 从 而 能 保 证 帐 户 和 信 息 的 安 全, 短 信 密 码 是 手 机 和 动 态 密 码 的 完 美 结 合 特 色 : 无 需 携 带 任 何 认 证 终 端 高 安 全 : 采 用 高 强 度 算 法, 确 保 短 信 密 码 不 被 破 解 支 持 短 信 密 码 长 度 定 制 : 密 码 长 度 可 以 根 据 安 全 需 求, 灵 活 短 信 密 码 有 效 期 短 信 网 关 支 持 : 灵 活 支 持 二 次 开 发 接 口 数 据 库 脚 本 语 言 形 式 支 持 短 信 猫 宁 盾 DKEY SmsID 短 信 密 码 是 国 内 与 各 种 应 用 系 统 集 成 最 多 的 方 案 与 SSL VPN 无 缝 集 成 的 方 案 第 3 页 共 15 页
2.2 认 证 代 理 宁 盾 提 供 三 种 方 式 实 现 应 用 系 统 集 成 DKEY 短 信 密 码 保 护 功 能 2.2.1 DKEY Agents 通 过 给 应 用 系 统 服 务 器 端 安 装 相 应 的 DKEY Agent, 实 现 与 认 证 服 务 器 互 操 作, 达 到 快 速 无 缝 集 成 一 次 性 密 码 保 护 的 目 标 DKEY Agent 名 称 功 能 DKEY Web Agent for IIS 集 成 基 于 IIS 上 发 布 的 Web 应 用 程 序 ( 基 于.net 开 发 ) DKEY Web Agent for Apache Web Server 集 成 基 于 Apatch 上 发 布 的 Web 应 用 程 序 ( 基 于 java php 开 发 ) 特 定 Agent 为 支 持 某 款 软 件 而 开 发 的 Agent, 如 用 友 金 蝶 Oracle 等 2.2.2 DKEY APIs 通 过 二 次 开 发 与 DKEY TMS( 认 证 服 务 器 ) 互 操 作, 包 括 动 态 密 码 验 证 内 置 式 的 始 终 校 准, 此 方 案 优 势 在 于 0 差 错 的 认 证 及 应 急 保 障, 大 大 减 小 由 于 认 证 不 成 功 或 者 令 牌 丢 失 损 坏 带 来 的 IT 支 持 成 本 DKEY APIS 包 含 Java.net C/C++ WebService 等 形 式 的 二 次 开 发 接 口 2.2.3 Radius 目 前 主 流 网 络 设 备 几 乎 都 支 持 RADIUS 认 证 协 议, 由 于 DKEY TMS( 令 牌 管 理 系 统 ) 内 建 RADIUS SERVER 模 块, 支 持 RADIUS 认 证 协 议 设 备 通 过 配 置 第 三 方 认 证, 即 可 集 成 DKEY 一 次 性 密 码 认 证, 而 无 需 进 行 二 次 开 发, 这 些 设 备 涵 盖 VPNs Citrix 及 WIFI 等 2.3 认 证 服 务 器 DKEY 短 信 认 证 服 务 软 件 (DKEY TMS) 是 短 信 认 证 系 统 的 管 理 部 分, 它 负 责 生 成 短 信 凭 证 及 验 证 身 份 验 证 请 求 和 集 中 管 理 企 业 网 络 身 份 验 证 策 略, 除 此 之 外 DKEY 短 信 认 证 软 件 能 够 实 现 网 络 用 户 的 IP 地 址 动 态 分 配 及 回 收 DKEY 短 信 认 证 服 务 软 件 由 Radius Server 短 信 凭 证 生 成 及 验 证 服 务 用 户 管 理 日 志 审 计 短 信 发 送 模 块 及 IP 地 址 分 配 模 块 等 组 成, 并 能 够 根 据 用 户 需 求 进 行 灵 活 的 策 略 定 制 2.3.1 Radius Server Radius 服 务 器, 负 责 接 收 Radius 设 备 的 用 户 认 证 请 求, 目 前 主 流 网 络 设 备 如 无 线 控 制 器 VPN 交 换 机 路 由 器 防 火 墙 Linux 服 务 器 均 支 持 该 协 议, 它 支 持 radius 设 备 通 过 PAP CHAP MS CHAPV2 格 式 传 输 的 报 文, 具 备 兼 容 性 与 安 全 性 等 特 点 2.3.2 Web Portal 通 过 配 置 无 线 控 制 器 的 Portal, 实 现 对 登 陆 页 面 的 自 定 义 ; (1) 支 持 对 无 线 Portal 页 面 自 定 义 (2) 能 够 根 据 不 同 SSID 返 回 不 同 的 Portal 页 面 第 4 页 共 15 页
(3) 能 够 根 据 不 同 终 端 返 回 不 同 的 Portal 页 面 ( 方 便 BYOD, 如 IPAD IPHONE Andriod 笔 记 本 ) 2.3.3 短 信 凭 证 生 成 及 验 证 凭 证 生 成 过 程 : (1) 短 信 密 码 生 成 请 求 : 客 户 通 过 前 端 页 面 来 提 交 短 信 密 码 请 求 (2) 短 信 密 码 生 成 : 实 现 了 对 短 信 密 码 生 成 算 法 的 封 装, 并 根 据 不 同 帐 号 手 机 号 生 成 与 时 间 关 联 的 唯 一 的 密 码 凭 证 验 证 过 程 : 为 核 心 业 务, 负 责 与 各 种 应 用 系 统 的 短 信 密 码 认 证 对 接, 实 现 短 信 密 码 的 验 证 算 法 的 封 装, 并 为 应 用 系 统 返 回 验 证 结 果, 认 证 逻 辑 中 间 件 可 扩 展 可 定 制, 具 有 高 稳 定 性 和 高 并 发 性 2.3.4 用 户 管 理 包 括 用 户 信 息 录 入 添 加 删 除 等 操 作, 由 系 统 操 作 员 负 责, 提 供 与 第 三 方 身 份 验 证 接 口, 以 方 便 对 用 户 身 份 信 息 真 实 性 验 证, 实 现 强 认 证 审 计 功 能 (1) 支 持 内 建 账 号 源 ; (2) 支 持 AD/LDAP 账 号 源 2.3.5 访 问 控 制 能 够 实 现 如 下 集 中 访 问 控 制 策 略 : (1) 实 现 基 于 时 间 段 的 访 问 控 制 ; (2) 实 现 基 于 天 月 年 的 访 问 时 长 控 制 ; (3) 实 现 对 特 定 访 客 的 访 问 锁 定, 防 止 非 法 进 入 无 线 网 络 ; 2.3.6 计 费 服 务 计 费 服 务 能 够 统 计 用 户 上 网 时 长, 并 根 据 设 定 的 用 户 访 问 时 长, 能 够 强 制 用 户 下 线 2.3.7 凭 证 发 送 通 过 调 用 短 信 网 关 实 现 凭 证 发 送 功 能, 内 置 失 败 重 传 及 多 网 关 轮 询 机 制 以 提 升 短 信 发 送 成 功 率, 提 升 认 证 服 务 可 靠 性 2.3.8 IP 地 址 池 实 现 IP 地 址 池 的 添 加 删 除, 并 为 认 证 成 功 用 户 动 态 分 配 空 闲 IP 地 址, 降 低 IP 地 址 冲 突 几 率 2.3.9 审 计 日 志 审 计 日 志 主 要 记 录 监 测 客 户 登 陆 信 息 管 理 员 日 常 操 作 及 系 统 运 行 情 况, 协 助 管 理 员 了 解 日 常 运 维 概 况, 针 对 存 在 的 问 题 及 时 给 出 相 应 的 解 决 方 法, 确 保 系 统 安 全 稳 定 运 行, 并 支 持 相 关 日 志 导 出 第 5 页 共 15 页
3 企 业 级 短 信 认 证 方 案 该 方 案 特 点 是 为 应 用 系 统 访 问 增 加 短 信 认 证, 并 不 修 改 原 有 系 统 部 署 架 构, 通 过 如 下 步 骤 : (1) 将 短 信 网 关 集 成 至 DKEY 短 信 认 证 服 务 器, 使 其 具 备 短 信 身 份 凭 证 能 力 ; (2) 部 署 DKEY 短 信 认 证 服 务 器, 需 确 保 7*24 小 时 服 务, 建 议 部 署 在 运 营 商 处, 复 用 其 强 大 的 运 维 能 力 ; (3) 通 过 安 装 DKEY Agent 或 者 配 置 Radius, 无 需 修 改 其 他 设 置, 即 可 使 得 应 用 系 统 与 DKEY 短 信 认 证 服 务 器 互 操 作 ; 3.1 系 统 组 成 短 信 认 证 系 统 由 手 机 移 动 终 端 ( 笔 记 本 IPAD 智 能 手 机 ) 应 用 系 统 DKEY 短 信 认 证 服 务 器 短 信 网 关 等 组 成, 在 整 体 方 案 中, 它 们 充 当 角 色 分 别 如 下 : (1) 手 机 : 负 责 访 客 短 信 身 份 凭 证 接 收, 与 用 户 是 一 一 对 应 关 系 ; (2) 终 端 : 属 于 用 户 使 用, 最 终 实 现 其 接 入 企 业 内 外 网 ; (3) 应 用 系 统 : 需 集 成 短 信 认 证 系 统 ( 如 CITRIX VPN SSO OWA); (4) DKEY 短 信 认 证 服 务 器 : 与 应 用 系 统 互 操 作, 负 责 用 户 短 信 凭 证 生 成 验 证 以 及 用 户 管 理 ; (5) 短 信 网 关 : 短 信 身 份 凭 证 发 送 设 备 ( 或 程 序 ), 通 过 集 成 入 DKEY 短 信 认 证 服 务 器, 支 持 电 信 移 动 联 通 三 网 发 送 能 力, 具 有 低 延 时 高 可 达 的 特 点 3.2 认 证 服 务 器 部 署 该 方 案 将 部 署 2 台 认 证 服 务 器, 互 为 主 从 方 案, 当 一 台 服 务 器 由 于 某 种 原 因 ( 宕 机 或 网 络 状 况 ) 而 无 第 6 页 共 15 页
法 正 常 提 供 认 证 服 务, 另 外 一 台 服 务 器 切 换 接 管 认 证, 从 而 提 升 认 证 的 可 靠 性 DKEY TMS 有 Windows 和 Linux 发 行 版, 默 认 采 用 My SQL5.5 数 据 库, 支 持 AD/LDAP 3.3 应 用 系 统 集 成 下 面 演 示 通 过 安 装 Web Agent 和 配 置 Radius 集 成 DKEY 短 信 密 码 示 例 3.3.1 Web 应 用 Web 应 用 如 SSO 邮 件 网 站 等, 下 面 以 OWA 为 例, 配 置 其 增 加 DKEY 短 信 密 码 认 证 3.3.1.1 配 置 (1) 将 DKEY 目 录 ( 内 容 为 二 级 认 证 页 面 ) 和 DKEYWebModule.config 拷 贝 到 OWA 站 点 根 目 录 : (2) 修 改 DKEYWebModule.config, 配 置 DKEY TMS 认 证 服 务 器 地 址, 域 名 和 口 令 : 第 7 页 共 15 页
3.3.1.2 OWA 登 陆 测 试 (1) 浏 览 OWA 站 点, 输 入 用 户 名 和 密 码 登 录 : (2) 如 果 认 证 成 功 并 且 用 户 绑 定 了 手 机 号 码, 浏 览 器 将 跳 转 到 DKEY 二 级 认 证 页 面, 同 时 向 用 户 手 机 发 送 密 码 短 信 : 第 8 页 共 15 页
(3) 输 入 短 信 密 码 之 后 点 击 提 交 将 完 成 登 录 : 3.3.2 VPN DKEY 短 信 认 证 可 支 持 Juniper Cisco F5 Array Checkpoint 深 信 服 天 融 信 等 VPN, 并 无 缝 支 持 AD 账 号 源 用 户 登 录 认 证 的 流 程 如 下 : (1) 用 户 在 网 络 接 入 设 备 Cisco VPN( 拨 号 客 户 端 or Web) 提 供 的 登 录 页 面 中 输 入 用 户 的 帐 号 口 令 ; 在 PC 上 通 过 Web 访 问 的 截 图 如 下 : (2) Cisco VPN 通 过 radius 协 议 将 帐 号 和 加 密 后 的 口 令 提 交 给 radius 动 态 短 信 认 证 系 统 进 行 认 证 (3) radius 动 态 短 信 认 证 将 接 收 到 的 帐 号 与 口 令 进 行 鉴 权, 如 果 鉴 权 通 过, 则 生 成 动 态 口 令 并 通 过 短 信 发 送 给 用 户, 通 过 发 给 Cisco 一 个 radius 协 议 中 的 challenge 消 息 ; 如 果 鉴 权 失 败, 则 返 回 给 Cisco 一 个 radius 协 议 中 的 reject 消 息 (4) Cisco 根 据 radius 系 统 返 回 的 challenge 消 息, 反 馈 给 用 户 进 一 步 输 入 动 态 口 令 的 页 面 ; 如 果 radius 系 统 返 回 的 是 reject 消 息,Cisco 则 立 即 提 示 用 户 认 证 失 败 在 PC 上 通 过 Web 访 问 的 截 图 如 下 : 第 9 页 共 15 页
(5) 用 户 收 到 动 态 口 令 短 信 之 后 在 Cisco 提 供 的 进 一 步 输 入 动 态 口 令 的 页 面 中 输 入 动 态 密 码, 并 提 交 后 CISCO 再 通 过 radius 协 议 将 动 态 密 码 传 输 给 radius 系 统 做 进 一 步 认 证 3.3.3 Citrx 通 过 配 置 Radius 及 DKEY 短 信 认 证 与 Citrix 相 关 配 置, 即 可 完 成 Citrix 与 DKEY 短 信 密 码 认 证 集 成, 下 面 以 Citrix 配 置 为 例 Citrix 登 陆 测 试 (1) 浏 览 Citrix 站 点 或 者 通 过 Reciver, 输 入 域 账 号 和 密 码 登 录 : (2) 认 证 通 过, 用 户 手 机 会 接 收 一 条 包 含 6/8 位 随 机 数 字 的 短 信, 将 其 输 入 二 级 认 证 页 面 的 框 中, 并 提 交 认 证 第 10 页 共 15 页
3.3.4 无 线 接 入 DKEY 短 信 认 证 可 无 缝 支 持 Abrua Cisco H3C 华 为 摩 托 罗 拉 傲 天 动 联 系 列 无 线 控 制 器 Portal 可 自 适 应 手 机 / 平 板 /PC 的 Portal, 登 陆 流 程 如 下, 可 定 制 : 第 11 页 共 15 页
第 12 页 共 15 页
4 附 件 DKEY TMS( 认 证 服 务 器 软 件 ) 一 功 能 对 比 版 本 DKEY TMS DKEY TMS DKEY TMS 功 能 -Standard -Express -PRO BUILD-IN 账 户 源 AD/LDAP 账 户 源 令 牌 / 用 户 多 对 多 映 射 用 户 管 理 用 户 域 归 属 ( 支 持 不 同 组 织 / 站 点, 支 持 树 形 授 权 管 理 机 制, 此 项 功 能 适 合 大 型 客 户 如 运 营 商 集 团 客 户, 具 有 良 好 扩 展 性 ) 支 持 硬 件 令 牌 短 信 密 码 认 证 支 持 二 选 一 支 持 二 选 一 同 时 选 择 手 机 令 牌 认 证 VPDN 认 证 认 证 强 度 设 定 ( 一 次 一 密 时 间 窗 口 设 定 ) 强 认 证 开 关 键, 支 持 部 分 / 认 证 模 块 所 有 用 户 采 用 强 认 证 方 式 令 牌 自 校 准 模 块 基 于 时 间 段 的 认 证 策 略 正 则 表 达 式 认 证 策 略 ( 支 持 多 令 牌 绑 定 一 个 帐 号, 支 持 一 个 帐 号 同 时 有 多 个 令 牌 同 时 登 陆, 适 合 高 权 限 业 务 系 统 分 权 登 录 ) 无 限 制 接 入 授 权 支 持 最 高 强 认 证 用 户 数 100 300 ( 无 短 信 接 入 授 权 费 ) 默 认 支 持 接 入 系 统 类 型 1 3 无 限 制 IP 地 址 池 IP 地 址 动 态 分 配 及 回 收 支 持 分 段 查 询 登 陆 日 志 导 出 审 计 模 块 记 录 登 陆 IP/MAC( 考 虑 设 备 兼 容 性 ) Web Server( 支 持 IIS 支 持 矩 阵 Apache Tomcat Websphere 上 部 署, 支 第 13 页 共 15 页
软 件 部 署 无 线 Portal 售 后 服 务 持 http https 访 问 ) Radius 设 备 ( 支 持 交 换 机 VPN/Citrix/ 防 火 墙 / 无 线 接 入 ACS 设 备 ) Windows 服 务 器 ( 支 持 2008&R2) Linux/Unix(AIX HP-UNIX Solaris RHEL FreeBSD CentOS Ubuntu), 支 持 与 证 书 机 制 同 时 使 用 C/S 应 用 商 用 邮 件 (OWA LOUTS NOTES WEB MAIL) ERP/OA( 微 软 DYNAMICS ORACLE 用 友 金 蝶 泛 微 通 达 致 远 ) SSO(IBM Domino Novell 短 信 密 码 短 信 密 码 IDM HP 灵 动 ) 硬 件 令 牌 硬 件 令 牌 支 持 副 本 数 量 1 2 4 跨 平 台 部 署 热 备 策 略 无 双 机 互 备 主 备 机 2 组 互 备 环 路 DNS/IP 支 持 数 据 库 ( 支 持 my sql postgresql ORACLE My 内 置 My SQL5.5 内 置 My SQL5.5 SQL) 可 根 据 不 同 SSID 分 配 Portal 可 基 于 用 户 终 端 类 型 自 适 应 Portal, 如 智 能 手 机 平 板 笔 记 本 等 Portal 内 容 可 定 制 软 件 远 程 电 话 服 服 务 内 容 软 件 远 程 电 话 服 软 件 远 程 电 话 服 务 支 持, 硬 件 更 换, 务 支 持, 硬 件 更 换 务 支 持, 硬 件 更 换 提 升 上 门 产 品 安 装 培 训 服 务 响 应 时 间 工 作 日,5*8,6 小 工 作 日,5*10,2 时 内 小 时 内 7*24,1 小 时 内 服 务 人 员 随 机 随 机 1 对 1 工 程 师 费 用 1 年 期 免 费, 超 过 1 年 期 免 费, 超 过 3 年 期 免 费, 软 件 按 照 年 15% 收 取 按 照 年 10% 收 取 终 身 免 费 升 级 服 务 第 14 页 共 15 页