目录 1 产品概述系统构成短信密码认证代理 DKEY Agents DKEY APIs Radius 认证服务器

宁盾 DKEY 短信密码认证解决方案上海宁盾信息科技有限公司 www.ndkey.com 第 0 页共 15 页

目录 1 产品概述... 2 2 系统构成... 3 2.1 短信密码... 3 2.2 认证代理... 4 2.2.1 DKEY Agents... 4 2.2.2 DKEY APIs... 4 2.2.3 Radius... 4 2.3 认证服务器... 4 2.3.1 Radius Server... 4 2.3.2 Web Portal... 4 2.3.3 短信凭证生成及验证... 5 2.3.4 用户管理... 5 2.3.5 访问控制... 5 2.3.6 计费服务... 5 2.3.7 凭证发送... 5 2.3.8 IP 地址池... 5 2.3.9 审计日志... 5 3 企业级短信认证方案... 6 3.1 系统组成... 6 3.2 认证服务器部署... 6 3.3 应用系统集成... 7 3.3.1 Web 应用... 7 3.3.2 VPN... 9 3.3.3 Citrx... 10 3.3.4 无线接入... 11 4 附件... 13 第 1 页共 15 页

1 产品概述宁盾 DKEY 短信密码身份认证系统是一套提供短信密码生成发送认证和审计功能的系统, 将短信密码与原有账号密码认证结合, 实现双因子认证保障, 有效保护企业应用系统安全, 同时能够帮助企业实现对访客的审计短信认证与硬件令牌认证相比, 由于用户通常会随身携带手机, 因此无需携带额外硬件, 是一种安全与便捷完美结合的双因子身份认证解决方案 DKEY 短信认证适合以下业务系统采用, 包括 : VPNs(DKEY 支持 Cisco ASA/PIX Juniper SA/SSG Array SPX/AG F5 深信服 SSL VPN WatchGuard SonicWall Fortinet Microsoft TMG 等 ) WIFI( 公共场所和企业无线热点,DKEY 支持 Cisco WLC H3C WX Motorola RFS Aruba 等 ) Citrix OWA 2003 2007 及标准.NET 应用程序 SSO(IBM Domino HP 灵动 Novell IDM) DKEY 短信密码解决方案已经成功于海尔秦山核电南方电网大唐股份中信集团浙江电信河南移动甘肃省国税银泰百货等不同类型企业, 作为其可信的第三方双因素认证平台, 为其网络资产身份认证增加一层保护, 凭借稳定可靠的产品, 与各种业务系统的无缝集成, DKEY 短信密码认证已成为国内企业级占有率最高的企业级短信认证解决方案提供商, 同时该方案支持用户采用硬件令牌方式第 2 页共 15 页

2 系统构成 DKEY 短信认证系统由身份验证器与业务系统集成及认证服务器三部分构成短信密码集成代理认证服务器 DKEY Agent 短信密码 DKEY SMSID DKEY APIs Radius DKEY TMS ( 需集成短信网关或短信猫 ) 2.1 短信密码前提条件 : 请确认企业已有短信网关或者计划申请短信网关, 如果用户规模小可以考虑采用短信猫方式 DKEY SmsID 是 DKEY S6 的升级版, 短信密码是将随机生成一次性密码发送到手机, 每次产生的密码均不相同, 无需携带额外设备, 由于密码是一次性使用的, 他人即使盗用了密码, 也无法再次使用, 从而能保证帐户和信息的安全, 短信密码是手机和动态密码的完美结合特色 : 无需携带任何认证终端高安全 : 采用高强度算法, 确保短信密码不被破解支持短信密码长度定制 : 密码长度可以根据安全需求, 灵活短信密码有效期短信网关支持 : 灵活支持二次开发接口数据库脚本语言形式支持短信猫宁盾 DKEY SmsID 短信密码是国内与各种应用系统集成最多的方案与 SSL VPN 无缝集成的方案第 3 页共 15 页

2.2 认证代理宁盾提供三种方式实现应用系统集成 DKEY 短信密码保护功能 2.2.1 DKEY Agents 通过给应用系统服务器端安装相应的 DKEY Agent, 实现与认证服务器互操作, 达到快速无缝集成一次性密码保护的目标 DKEY Agent 名称功能 DKEY Web Agent for IIS 集成基于 IIS 上发布的 Web 应用程序 ( 基于.net 开发 ) DKEY Web Agent for Apache Web Server 集成基于 Apatch 上发布的 Web 应用程序 ( 基于 java php 开发 ) 特定 Agent 为支持某款软件而开发的 Agent, 如用友金蝶 Oracle 等 2.2.2 DKEY APIs 通过二次开发与 DKEY TMS( 认证服务器 ) 互操作, 包括动态密码验证内置式的始终校准, 此方案优势在于 0 差错的认证及应急保障, 大大减小由于认证不成功或者令牌丢失损坏带来的 IT 支持成本 DKEY APIS 包含 Java.net C/C++ WebService 等形式的二次开发接口 2.2.3 Radius 目前主流网络设备几乎都支持 RADIUS 认证协议, 由于 DKEY TMS( 令牌管理系统 ) 内建 RADIUS SERVER 模块, 支持 RADIUS 认证协议设备通过配置第三方认证, 即可集成 DKEY 一次性密码认证, 而无需进行二次开发, 这些设备涵盖 VPNs Citrix 及 WIFI 等 2.3 认证服务器 DKEY 短信认证服务软件 (DKEY TMS) 是短信认证系统的管理部分, 它负责生成短信凭证及验证身份验证请求和集中管理企业网络身份验证策略, 除此之外 DKEY 短信认证软件能够实现网络用户的 IP 地址动态分配及回收 DKEY 短信认证服务软件由 Radius Server 短信凭证生成及验证服务用户管理日志审计短信发送模块及 IP 地址分配模块等组成, 并能够根据用户需求进行灵活的策略定制 2.3.1 Radius Server Radius 服务器, 负责接收 Radius 设备的用户认证请求, 目前主流网络设备如无线控制器 VPN 交换机路由器防火墙 Linux 服务器均支持该协议, 它支持 radius 设备通过 PAP CHAP MS CHAPV2 格式传输的报文, 具备兼容性与安全性等特点 2.3.2 Web Portal 通过配置无线控制器的 Portal, 实现对登陆页面的自定义 ; (1) 支持对无线 Portal 页面自定义 (2) 能够根据不同 SSID 返回不同的 Portal 页面第 4 页共 15 页

(3) 能够根据不同终端返回不同的 Portal 页面 ( 方便 BYOD, 如 IPAD IPHONE Andriod 笔记本 ) 2.3.3 短信凭证生成及验证凭证生成过程 : (1) 短信密码生成请求 : 客户通过前端页面来提交短信密码请求 (2) 短信密码生成 : 实现了对短信密码生成算法的封装, 并根据不同帐号手机号生成与时间关联的唯一的密码凭证验证过程 : 为核心业务, 负责与各种应用系统的短信密码认证对接, 实现短信密码的验证算法的封装, 并为应用系统返回验证结果, 认证逻辑中间件可扩展可定制, 具有高稳定性和高并发性 2.3.4 用户管理包括用户信息录入添加删除等操作, 由系统操作员负责, 提供与第三方身份验证接口, 以方便对用户身份信息真实性验证, 实现强认证审计功能 (1) 支持内建账号源 ; (2) 支持 AD/LDAP 账号源 2.3.5 访问控制能够实现如下集中访问控制策略 : (1) 实现基于时间段的访问控制 ; (2) 实现基于天月年的访问时长控制 ; (3) 实现对特定访客的访问锁定, 防止非法进入无线网络 ; 2.3.6 计费服务计费服务能够统计用户上网时长, 并根据设定的用户访问时长, 能够强制用户下线 2.3.7 凭证发送通过调用短信网关实现凭证发送功能, 内置失败重传及多网关轮询机制以提升短信发送成功率, 提升认证服务可靠性 2.3.8 IP 地址池实现 IP 地址池的添加删除, 并为认证成功用户动态分配空闲 IP 地址, 降低 IP 地址冲突几率 2.3.9 审计日志审计日志主要记录监测客户登陆信息管理员日常操作及系统运行情况, 协助管理员了解日常运维概况, 针对存在的问题及时给出相应的解决方法, 确保系统安全稳定运行, 并支持相关日志导出第 5 页共 15 页

3 企业级短信认证方案该方案特点是为应用系统访问增加短信认证, 并不修改原有系统部署架构, 通过如下步骤 : (1) 将短信网关集成至 DKEY 短信认证服务器, 使其具备短信身份凭证能力 ; (2) 部署 DKEY 短信认证服务器, 需确保 7*24 小时服务, 建议部署在运营商处, 复用其强大的运维能力 ; (3) 通过安装 DKEY Agent 或者配置 Radius, 无需修改其他设置, 即可使得应用系统与 DKEY 短信认证服务器互操作 ; 3.1 系统组成短信认证系统由手机移动终端 ( 笔记本 IPAD 智能手机 ) 应用系统 DKEY 短信认证服务器短信网关等组成, 在整体方案中, 它们充当角色分别如下 : (1) 手机 : 负责访客短信身份凭证接收, 与用户是一一对应关系 ; (2) 终端 : 属于用户使用, 最终实现其接入企业内外网 ; (3) 应用系统 : 需集成短信认证系统 ( 如 CITRIX VPN SSO OWA); (4) DKEY 短信认证服务器 : 与应用系统互操作, 负责用户短信凭证生成验证以及用户管理 ; (5) 短信网关 : 短信身份凭证发送设备 ( 或程序 ), 通过集成入 DKEY 短信认证服务器, 支持电信移动联通三网发送能力, 具有低延时高可达的特点 3.2 认证服务器部署该方案将部署 2 台认证服务器, 互为主从方案, 当一台服务器由于某种原因 ( 宕机或网络状况 ) 而无第 6 页共 15 页

法正常提供认证服务, 另外一台服务器切换接管认证, 从而提升认证的可靠性 DKEY TMS 有 Windows 和 Linux 发行版, 默认采用 My SQL5.5 数据库, 支持 AD/LDAP 3.3 应用系统集成下面演示通过安装 Web Agent 和配置 Radius 集成 DKEY 短信密码示例 3.3.1 Web 应用 Web 应用如 SSO 邮件网站等, 下面以 OWA 为例, 配置其增加 DKEY 短信密码认证 3.3.1.1 配置 (1) 将 DKEY 目录 ( 内容为二级认证页面 ) 和 DKEYWebModule.config 拷贝到 OWA 站点根目录 : (2) 修改 DKEYWebModule.config, 配置 DKEY TMS 认证服务器地址, 域名和口令 : 第 7 页共 15 页

3.3.1.2 OWA 登陆测试 (1) 浏览 OWA 站点, 输入用户名和密码登录 : (2) 如果认证成功并且用户绑定了手机号码, 浏览器将跳转到 DKEY 二级认证页面, 同时向用户手机发送密码短信 : 第 8 页共 15 页

(3) 输入短信密码之后点击提交将完成登录 : 3.3.2 VPN DKEY 短信认证可支持 Juniper Cisco F5 Array Checkpoint 深信服天融信等 VPN, 并无缝支持 AD 账号源用户登录认证的流程如下 : (1) 用户在网络接入设备 Cisco VPN( 拨号客户端 or Web) 提供的登录页面中输入用户的帐号口令 ; 在 PC 上通过 Web 访问的截图如下 : (2) Cisco VPN 通过 radius 协议将帐号和加密后的口令提交给 radius 动态短信认证系统进行认证 (3) radius 动态短信认证将接收到的帐号与口令进行鉴权, 如果鉴权通过, 则生成动态口令并通过短信发送给用户, 通过发给 Cisco 一个 radius 协议中的 challenge 消息 ; 如果鉴权失败, 则返回给 Cisco 一个 radius 协议中的 reject 消息 (4) Cisco 根据 radius 系统返回的 challenge 消息, 反馈给用户进一步输入动态口令的页面 ; 如果 radius 系统返回的是 reject 消息,Cisco 则立即提示用户认证失败在 PC 上通过 Web 访问的截图如下 : 第 9 页共 15 页

(5) 用户收到动态口令短信之后在 Cisco 提供的进一步输入动态口令的页面中输入动态密码, 并提交后 CISCO 再通过 radius 协议将动态密码传输给 radius 系统做进一步认证 3.3.3 Citrx 通过配置 Radius 及 DKEY 短信认证与 Citrix 相关配置, 即可完成 Citrix 与 DKEY 短信密码认证集成, 下面以 Citrix 配置为例 Citrix 登陆测试 (1) 浏览 Citrix 站点或者通过 Reciver, 输入域账号和密码登录 : (2) 认证通过, 用户手机会接收一条包含 6/8 位随机数字的短信, 将其输入二级认证页面的框中, 并提交认证第 10 页共 15 页

3.3.4 无线接入 DKEY 短信认证可无缝支持 Abrua Cisco H3C 华为摩托罗拉傲天动联系列无线控制器 Portal 可自适应手机 / 平板 /PC 的 Portal, 登陆流程如下, 可定制 : 第 11 页共 15 页

第 12 页共 15 页

4 附件 DKEY TMS( 认证服务器软件 ) 一功能对比版本 DKEY TMS DKEY TMS DKEY TMS 功能 -Standard -Express -PRO BUILD-IN 账户源 AD/LDAP 账户源令牌 / 用户多对多映射用户管理用户域归属 ( 支持不同组织 / 站点, 支持树形授权管理机制, 此项功能适合大型客户如运营商集团客户, 具有良好扩展性 ) 支持硬件令牌短信密码认证支持二选一支持二选一同时选择手机令牌认证 VPDN 认证认证强度设定 ( 一次一密时间窗口设定 ) 强认证开关键, 支持部分 / 认证模块所有用户采用强认证方式令牌自校准模块基于时间段的认证策略正则表达式认证策略 ( 支持多令牌绑定一个帐号, 支持一个帐号同时有多个令牌同时登陆, 适合高权限业务系统分权登录 ) 无限制接入授权支持最高强认证用户数 100 300 ( 无短信接入授权费 ) 默认支持接入系统类型 1 3 无限制 IP 地址池 IP 地址动态分配及回收支持分段查询登陆日志导出审计模块记录登陆 IP/MAC( 考虑设备兼容性 ) Web Server( 支持 IIS 支持矩阵 Apache Tomcat Websphere 上部署, 支第 13 页共 15 页

软件部署无线 Portal 售后服务持 http https 访问 ) Radius 设备 ( 支持交换机 VPN/Citrix/ 防火墙 / 无线接入 ACS 设备 ) Windows 服务器 ( 支持 2008&R2) Linux/Unix(AIX HP-UNIX Solaris RHEL FreeBSD CentOS Ubuntu), 支持与证书机制同时使用 C/S 应用商用邮件 (OWA LOUTS NOTES WEB MAIL) ERP/OA( 微软 DYNAMICS ORACLE 用友金蝶泛微通达致远 ) SSO(IBM Domino Novell 短信密码短信密码 IDM HP 灵动 ) 硬件令牌硬件令牌支持副本数量 1 2 4 跨平台部署热备策略无双机互备主备机 2 组互备环路 DNS/IP 支持数据库 ( 支持 my sql postgresql ORACLE My 内置 My SQL5.5 内置 My SQL5.5 SQL) 可根据不同 SSID 分配 Portal 可基于用户终端类型自适应 Portal, 如智能手机平板笔记本等 Portal 内容可定制软件远程电话服服务内容软件远程电话服软件远程电话服务支持, 硬件更换, 务支持, 硬件更换务支持, 硬件更换提升上门产品安装培训服务响应时间工作日,5*8,6 小工作日,5*10,2 时内小时内 7*24,1 小时内服务人员随机随机 1 对 1 工程师费用 1 年期免费, 超过 1 年期免费, 超过 3 年期免费, 软件按照年 15% 收取按照年 10% 收取终身免费升级服务第 14 页共 15 页

目 录 1 产 品 概 述... 2 2 系 统 构 成... 3 2.1 短 信 密 码... 3 2.2 认 证 代 理... 4 2.2.1 DKEY Agents... 4 2.2.2 DKEY APIs... 4 2.2.3 Radius... 4 2.3 认 证 服 务 器... 4 2

目录 1 产品概述... 2 2 系统构成... 3 2.1 短信密码... 3 2.2 认证代理... 4 2.2.1 DKEY Agents... 4 2.2.2 DKEY APIs... 4 2.2.3 Radius... 4 2.3 认证服务器... 4 2