《ActivCard系统实施方案与产品概述.docx》由会员分享,可在线阅读,更多相关《ActivCard系统实施方案与产品概述.docx(34页珍藏版)》请在三一办公上搜索。
1、 ActivCard 实施参考文档 伟令达息技术有限公司二零零年四月 目 录1 系统实施方案1.1 系统规划在真正实施动态口令的身份验证之前,我们需要对该系统进行完善的规划,考虑所有可能出现的问题,并综合各种可能的应用,提出一个完善的实施计划。首先我们对系统目前的应用作具体的分析,了解网上银行的主要业务以及运作模式和流程,明白ActivCard动态口令身份认证系统所能提供的功能以及对网上银行整个系统产生的影响。ActivCard可以在不改变用户现有网络结构的情况下,和用户自有的系统无缝的整合在一起。整个系统的投资相当的小,并且付出的人力物力也十分有限。其次要制定详细的系统实施计划,把系统实施过
2、程中的每一个步骤都进行详细的规划,准备工作做好,避免出现意外情况影响自身的正常业务。再次我们要针对每一项系统实施工作,做好记录。做到所有有关ActivCard动态口令身份验证系统实施的项目都详细的记录下来,为将来的系统维护和后期系统扩容提供极有价值的依据。1.2 系统实施根据ActivCard动态口令身份验证系统的特点,整个系统实施工作可以分为如下几个部分。1.2.1 安装配置服务器模块和管理台模块我们选择在深圳市商业银行现有的一台PC server 服务器上安装ActivPack AAA Server服务器软件,而在局域网内部另外选择一台普通PC机来安装管理工作台。考虑到系统的兼容性问题,我
3、们建议安装管理控制台的机器使用MS Windows 2000操作系统。安装过程中,基本上使用标准安装就可以满足需求。当然,我们可以详细的配置每一步安装选项,使系统更加个性化,满足自己独特的需求。在安装完成后,需要对整个系统进行详细的配置,根据功能要求,选择适合自己的ActivPack AAA Server服务器配置。下面详细描述系统配置的过程。首先我们要确定ActivPack AAA Server系统服务已经启动,设定好管理员用户名和密码后(需要管理员自己设定用户名和密码,为了保障系统的安全性,建议管理员密码不要太简单;并且每次登录进来的时候,系统并不会显示上一次登录所使用的用户名和密码),就
4、可以进入系统管理界面,如下图所示。 (图1-1 系统管理控制台登录窗口)同时ActivPack AAA Server服务器提供一个管理端口,管理控制台可以通过这个端口与服务器通讯。并且这个端口也是可变的,为了控制安全性,我们可以更改该控制端口,并且在防火墙上作相应的设置来屏蔽该端口,从而避免外部针对该端口的非法访问。 登录之后,系统界面如下:(图1-2系统管理控制台界面)下面简要说明上图中每一项设置的方法和作用。首先我们要设定系统需要连接的LDAP服务器。如下图所示,需要详细设定LDAP Server服务器的每一项参数:包括LDAP Server服务器主机地址、端口、登录用户名、密码;所要管理
5、的用户组和查询条件等;以及在LDAP目录里为ActivPack令牌建立索引所使用的字段等。在每一部分设定好之后,可以立刻进行测试以验证设定的正确性和有效性,只需要单击右边的Test按钮即可。(图1-3 LDAP服务器设定界面)LDAP服务器参数设定完成之后,就可以在查询结果里看到相关的查询出来的用户资料了。如下图所示,我们在目录中查到了如下信息,这就表明,我们的LDAP服务器连接设置正确,系统可以在LDAP内通过指定条件查询用户信息了。(图1-4 LDAP目录用户信息查询结果)设定完与LDAP目录服务器的连接之后,我们要配置ActivPack AAA Server自身的参数,使其能够满足我们所
6、需要的安全性要求。首先要做的是我们先要建立一个Servers,然后依次建立Gate、LDAP Server、Profiles、Group,定义每一项具体的设置,在设置完成后我们就应该在Group的查询里查找到LDAP内的每一个用户信息,例如,我使用特定条件查询,得到如下结果。(图1-5LDAP目录查询结果)在上图中,我们只给用户test分配了一个令牌,它的S/N是0673973719。针对不同的系统应用,我们可以建立多个不同的gate,来对应每一个系统应用。每一个Gate使用不同的配置文件Profiles,来满足不同的身份验证的要求。本例中我们使用的是默认的配置文件,它一般可以满足win200
7、0下的身份验证工作。另外我们还可以建立基于IIS的应用,只需要简单的设定一个配置文件,利用这个配置文件创建一个新的Gate就可以了。另外,如果系统用户比较多,并且使用也比较分散,我们还可以建立多个Server,针对每一个Server来定义Gate,满足不同应用。这样我们就可以使用一个统一的LDAP目录,来进行各种应用上的动态口令的身份验证了。我们还可以针对每一个组织单元OU来定义身份验证安全策略,例如我们定义信息技术部的员工可以访问Internet,定义财务部门的人员使用财务数据库,定义经理等领导人员可以管理用户数据库等。这些应用的动态口令身份验证都可以集中完成,只需要在系统身份验证模块中简单
8、的添加几行身份验证代码,构建一个RADIUS Client客户端,就可以满足不同的需求了。下面是一个配置完成后的窗口界面。(图1-6系统配置完成后的系统管理界面)从图中我们还可以看到,我们可以自己定义系统的端口号,然后在防火墙上开放相应的端口,就可以满足系统安全性的需求;还可以设定RADIUS shared secret密钥,进一步加强系统的安全性。1.2.2令牌初始化和给用户分配令牌一套系统,在使用之前必须对它进行初始化设定,把每一块卡都分配给每一个人,这样系统才可以正常工作。产品在出厂的时候,都随着带有一张初始化的key盘,我们就是用这个key来对系统和令牌进行初始化。首先把key导入Ac
9、tivPack AAA Server系统数据库里,然后再针对每一块卡进行一次系统时钟同步,需要留意的是为了加强自身的安全性,ActivCard在导入令牌信息的时候,需要提供一个初始访问密码,共有16位,详细操作见下图。(图1-7导入令牌卡(Token One)的初始化密钥key)(图1-8导入令牌信息之后的系统管理界面)令牌信息导入以后,需要把它分配(Assign)给每一个用户,针对深圳市商业银行这样有2万余用户的系统,我们可以提供一个简单的工具,自动完成令牌卡(Token One)的用户分配工作和向LDAP目录中的字段中写入令牌卡(Token One)信息的工作,也可以在柜面系统中作一个简单
10、的二次开发,集成该工作到柜面系统,这样就便于柜面营业员在发卡时,直接完成卡和用户的意义对应工作。下图是一个令牌卡(Token One)系统初始化的界面。(图1-9令牌卡(Token One)初始化界面)1.2.3 验证并交付系统整个系统实施完成后,我们会偕同相关人员一道,对系统的运行状况、性能指标做一个综合的客观的检验。由双方派出相关人员,并邀请深圳市商业银行的相关领导以及业界的权威人士对整个系统进行一次全面的检验。具体检验项目包括系统稳定性、安全性因素、系统响应时间、潜在的风险评估、系统兼容新工艺即可扩展性等。检验完毕,伟令达网络会提供一个完整的由双方共同认可的检验报告,作为系统投入试运行的
11、依据。试运行一段时间后,如果系统运行良好,则伟令达网络会把整个系统完全移交给深圳市商业银行,包括系统所有软件产品、说明书、实施文档、开发文档、程序源代码、培训教材等;然后会对深圳市商业银行的相关人员进行一次完整的系统管理培训,真正让用户完全掌握整套系统,从中受益。1.2.4 ActivCard系统扩展应用基于LDAP的用户管理结构可以为系统管理提供最大程度上的管理方便,LDAP是一个现行的工业标准,它提供标准的存储结构,使得用户管理更加方便。将来,深圳市商业银行的所有用户数据可以全部使用LDAP来管理,包括内部OA系统、柜面系统、电话银行系统、网上银行系统等都可以使用统一的LDAP结构来存储管
12、理。这样我们就可以使用ActivCard动态口令身份认证系统来对所有的系统用户身份进行验证。这样就只需要管理一套用户数据库,在ActivPack中针对不同的系统应用建立不同的Server、Gate、Group等,应用不同的身份验证方法,来集中实现用户身份的安全性管理。2. 产品介绍21 ActivCard公司介绍Activcard公司1980年成立,专业从事数据加密及身份认证系统产品生产及研发。美国及法国上市公司,全球多处实验室和研发机构。ActivCard Token产品最早用于法国海军的安全网络的访问管理。随后被推广到银行和其他企业网络的管理应用项目中。业界领导,世界上一百万套以上系统正在
13、使用,合作伙伴及客户遍布全球,包括: Microsoft NEC VOLVO DOD AIRBUS SUN HP ALSTOM GEDAS/VOLKSWAGEN ST MICRO TECHINT BCA 美国国防部 香港汇丰银行 香港电讯 花旗银行 爱立信 国泰君安 大鹏证券 多项专利及领先技术,产品经过多项专业测试及实践检验,倍受好评。详情请见22 ActivCard产品介绍221 ActivCard产品概述ActivCard为企业的内部网络提供强大的身份验证系统,将用户扩展出简单的静态口令的范围,使用者的口令由手持令牌(Token)动态生成,无法预测,无法重复使用,高度安全,完全避免了传统
14、口令的弱点,替代传统的静态口令机制。ActivCard的双因素认证系统(我拥有、我知道)要求用户在登录之前必须具有物理的令牌,同时必须知道自己的PIN码(个人验证码,用于激活令牌)。 而ActivCard独特的动态密码生成有效的消除了风险,这个过程产生一个一次性口令,是无法被猜中、分享、破解的,丢失的密码或再次使用都会被禁止。双因素认证系统可以唯一的确认用户,而且并不要求用户记忆一个新的口令。ActivCard 同时也支持异步挑战码用户认证方式。l 安全性动态的一次性口令,无法推测、无法破解、无法重复使用、无法共享l 唯一性唯一的序列码、唯一的密钥及唯一的用户l 可靠性无效的用户无法通过认证A
15、ctivCard认证过程:用户只需简单的在令牌键区输入PIN码,令牌检验PIN码后,动态生成并显示动态密码。用户在Login用户只需简单的在令牌键区输入PIN码,令牌检验PIN码后,动态生成并显示动态密码。用户在Login屏幕输入密码,认证服务器认证动态密码后,允许用户登录。222 ActivCard产品系列ActivCard产品主要由用户手持令牌和中心端认证软件组成。令牌(Token) :轻便的带有键盘的手持设备,用于动态口令的生成。ActivCoupler:令牌与计算机的连接设备,主要用于令牌的初始化。ActivPack 服务器:基于服务器的认证软件,在采用ActivCard 服务器安全解
16、决方案的应用里起作一把“锁”的作用。现在的版本提供RADIUS验证通信方式。ActivPack Console台:一种图形用户界面(GUI) 的管理模块,用于令牌的初始化、管理ActivEngine的用户和令牌数据库。 令牌(Token)令牌是用户端带键盘的轻便手持设备,用于生成一次性动态口令,提供全面、强大的认证功能。ActivCard提供用户令牌:ActivCard One。需要指出的是,令牌在使用当中,并不需要与系统联机。令牌提供的安全服务同步(专利拥有的时间加事件处理)用户认证异步(挑战/应答)用户认证密值提取每个应用区可存储64位秘密信息(如信用卡号),并以加密格式上载给服务器或应用
17、令牌的PIN码管理Token的使用受PIN码保护PIN码由用户选择,并可随时更换弱PIN码检测(可选)PIN码输错的次数超过门限,Token会自锁开锁密码输错的次数超过门限, Token会自动擦去内存Token可以远程解锁每个Token可以被自动再同步Token特性每个Token拥有唯一的序列号密钥在初始化时随机产生,而非出厂时固定具有光接口与coupler通信时钟漂移小于0.5S/天时钟和注册信息存储于CPU中CPU封装于环氧树脂中,不溶于任何已知溶液可更换的锂电池和备份电池电源节省模式电池缺电检测12个按键(10个数字键和两个功能键)单行10字符/2行12字符+4个通信图标LCD显示。(o
18、ne/Plus)含电池,25/40克。(one/Plus)82mmX52mmX5mm,信用卡大小寿命为8年遵从的标准ANSI X3.92 DES算法ANSI X9.17和ANSI X9.24 DES密钥导出和管理标准ANSI X9.9动态口令计算和显示标准ANSI X9.26挑战/应答,签名认证处理标准Token的平均寿命30个同步认证/天,25个异步认证/天,15个光接口认证/天在上述使用情况下,Token可更换的电池可以使用2年。 Token本身的寿命为8年。 ActivPack V5 的功能及特征1 )全面LDAP解决方案ActivPack 在版本V4.4 之前,支持内建的本地用户数据库
19、和LDAP服务器,从版本V5 开始,全部由LDAP服务器提供用户数据,以充分利用LDAP强大的用户管理功能,实现高效的集中式管理。ActivPack V5 支持标准的LDAP服务,从企业级LDAP如AD,到运营商级LDAP 如 iPlanet 。LDAP简介轻量级目录访问协议(LightweightDirectoryAccessProtocol)。一个使用Web浏览器和与LDAP兼容的电子邮件程序访问在线目录服务的协议。一些人可能希望LDAP提供搜索Internet上的电子邮件地址的通用方法,最终带来一个全球性的白页。LDAP在InternetEngineeringTaskForce(IETF
20、)中定义,以推动对X.500目录的采用。LDAP是一种相对简单的协议,它用于更新和搜索基于TCP/IP运行的目录。对于简单的Internet客户机的使用来说,LDAP以前的“目录访问协议(DAP)”太复杂。LDAP目录项是带有名称的属性集合。称为识别名称(DN)。DN清楚的指明是项目。各项目的属性包括一个类型和一个或更多值。这些类型通常是有助于记忆的字符串,如cn指常见名称,或mail指电子邮件地址。值取决于类型。LDAP目录项以一种等级结构排列,它反映了政治的、地理的、和/或组织边界。代表国家的项出现在该树的最顶端,随后是代表州或国家组织的项,然后是代表民族、组织单位、打印机和文档等的项。L
21、DAP目录的优势现在LDAP的流行是很多因数共同作用的结果。基本的原因如下:1可能LDAP最大的优势是:可以在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。2LDAP协议是跨平台的和标准的协议,因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上,LDAP得到了业界的广泛认可,因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持,因为他们根本不用考虑另一端(客户端或服务端)是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器(或者还可能是具有LDA
22、P界面的关系型数据库),因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是,如果软件产商想在软件产品中集成对DBMS的支持,那么通常都要对每一个数据库服务器单独定制。不象很多商用的关系型数据库,你不必为LDAP的每一个客户端连接或许可协议付费。3大多数的LDAP服务器安装起来很简单,也容易维护和优化。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,例如:可以把数据“推”到远程的办公室,以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能,数据库产商就会要你支付额外的费用,而且也很难管理。
23、4LDAP允许你根据需要使用ACI(一般都称为ACL或者访问控制列表)控制对数据读和写的权限。例如,设备管理员可以有权改变员工的工作地点和办公室号码,但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的,所以不用担心在客户端的应用程序上是否要进行安全检查。LDAP对于这样存储这样的信息最为有用,也就是数据需要从不同的地点读取,但是不需要经常更新。例如,这些信息存储在LDAP目录中是十分有效的:l 公司员工的电话号码簿和组织结构图l 客户的联系信息l 计算机管理需要的信息,包括NIS映射、emai
24、l假名,等等l 软件包的配置信息l 公用证书和安全密匙ActivCard身份认证系统与LDAP的集成采用ActivCard的ActivPack建立一个统一的身份认证系统,可以供网上银行WEB登录使用,作为一个强力的身份认证系统,未来可供其它系统的认证。ActivPack能够和LDAP服务器同步用户。要建立一个大型的身份认证系统,除了要有强大的认证体系,还需要完善的用户管理体系,采用LDAP服务器专门管理用户,ActivPack专门完成身份认证工作。2) Web Help Desk 功能ActivPack V5 新增Web Help Desk 功能,方便用户管理及故障检测。3) 支持多种设备Ac
25、tivPack V5 新增了对一些设备的支持,提供多样的选择:Token One, KeyChain, Gold Smart Cards, ActivKey,Palm Pilot, Soft-Token4) 支持Sun Solaris 平台Windows NT4 SP6aWindows 2000 ServerWindows 2000 Advanced serverSolaris 85) 高可用性ActivPack V5 通过内建的 Replication 功能实现双机容错的高可用性。223 ActivCard的应用范围ActivCard基于开放的系统平台,允许运行于最多的计算机及通信网络上,包
26、括:l 公用电话交换网l 基于信元的网络l LANS/WANSl Internet/Intranet 广泛的应用于:l Intranet 登录l Internet 登录l Extranet 登录l 电话银行服务l 电话委托证券交易l 网上银行l 网上证券交易23 ActivCard的优势:231 ActivCard的关键优势 1) 增强的网络安全: 2) ActivCard使得用户在得到动态密码前必须具备两个要素:令牌和PIN码。利用动态密码大大减少了无认证连接的风险。 3) 高性价比的安全: 4) ActivCard One令牌结束了以往围绕静态密码认证展开的IT系统管理员需定期更改密码的烦
27、琐工作。这不仅大大节省了系统管理员的时间,降低了企业的管理费用,也极大地强化了身份认证系统的安全。 5) ActivCard One集成的动态口令认证功能把系统管理员从以往烦琐的日常例行工作中解脱出来,可以有足够的时间和精力关注企业内基于Web和其他方式的数据通讯和交易处理顺畅进行。 6) 平滑过渡为大规模、全企业内使用ActivCard One动态口令认证:7) 结合ActiveCard服务器产品系列,系统管理员能有效管理ActivCard One令牌的分发、用户授权、远程初始化以及令牌再同步等。 8)ActiveCard 动态口令认证技术能与诸如Cisco,CheckPoint,Axent
28、,Lucent,Novell等主流网络、防火墙厂商的产品无缝集成,在企业网内已有的认证系统基础上进一步强化认证安全。 9)日后可以灵活调整: ActivCard令牌可以在基于PC工作站和Unix网络终端混杂的计算机环境进行动态身份认证。 ActiveCard服务器产品系列还支持ActiveCard 智能卡,以逐步实现向基于PKI和数字签名的认证系统过渡。 10)突出点 专利技术: 使用基于标准的3种算法产生一次性使用的口令 11)随时随地进行连接: 相对其他手持令牌ActivCard One更为小巧轻便,在任一地方提供灵活先进的远端接入 12)已证明的可伸缩性:支持全面的鉴定解决方案企业级电子
29、金融服务网上银行方案的全球提供商,已经有超过1000,000套ActiveCard令牌正在使用232 ActivCard与RSA比较的优势Activcard独特的七个卖点:1)ActivPack for LDAP实现企业中所有LDAP的单点管理2)齐全的产品线,提供多种多样的选择: Token One, KeyChain, Gold Smart Cards, ActivKey, Palm Pilot, Soft-Token3)独特的灵活性应用于不同的认证模式、目录、数据库、设备,支持全球性的解决方案:4)保护您的投资:Gold Cards 支持随时迁移/增加到PKI或SKI5)更高层次的安全观
30、点:软件与硬件的结合6)更好的可管理性和界面7)更优越的性价比Activcard实现企业的单点管理 1)大公司通常使用LDAP存储公司的所有信息, 包括用户的信息.2)使用ActivPack for LDAP,公司无需管理额外的用户数据库,即可使用ActivCard的强力认证解决方案.3)用户仍然在LDAP目录中进行存储和管理4)查询是动态的:当在LDAP中增加用户,在ActivPack中立即生效(无需导入)5)无需修改LDAP的 架构(Schema) 6)支持所有LDAP目录(所有厂家的)单点管理的优势1)更低的管理花费2)单点的维护3)只需一个数据库的管理,代替以前两个数据库的管理4)一个
31、数据库提供更优的安全性和一致性5)一个数据库管理一个组6)只有单点的攻击容易防御7)减少撤销的延迟和出错的风险8)当删除雇员立即全面生效9)LDAP的移除与ActivPack的移除无延迟时间!10)免除了忘记从第二个数据库中移除用户的风险齐全的产品线1)当前的设备要求不同类型的认证设备:如笔记本电脑不希望携带Smart Card读卡器, 2)ActivPack 提供一个广泛范围的设备来满足所有客户的需要:3)ActivKey (USB Key) 用于笔记本电脑时无需读卡器4)Token One or KeyChain 用于 no footprint 的解决方案5)Smart Cards 用于多
32、用途的应用和目的 (PKI, SKI, 物理访问, branding, 等等.)6)Soft Token 用于无花费的或者试验性的解决方案7)Palm ID for Palm Pilot齐全的产品线的优势1)满足所有用户的需求2)满足各种应用的需要3)提供可能扩充到 PKI 或 SKI 的路径 (参见第4点)4)更好的投资回收率(ROI),设备销售给客户,不租用!独特的灵活性应用于全球性的解决方案中1)各公司面临各种技术和解决方案之间的配合问题的挑战。ActivCard提供一个独特的整体解决方案,用一种更简单和更易管理的方案来满足公司不同的安全需要。2)ActivCard易与其它客户体系结构集
33、成 :3)认证办法: PKI, SKI, 静态和生物测定学4)Single-Sign On5)支持多种数据库6)与 PKI 厂家的特殊集成 (Entrust, Baltimore)7)与 VPN 厂家的特殊集成 (Checkpoint) 独特灵活性的优势1)Activcard全面支持PKIRSA只支持RSA Keon PKI2)Activcard可选择多种部署的数据库,便于客户的管理RSA只提供和支持 Progress数据库。DBA无需再学习额外的数据库!3)ActivPack可于任何 Tacacs+/Cisco或Radius设备的接口RSA只支持Radius,不能全面支持Tacacs协议的所
34、有功能 4)Activcard有更多动态认证方式的选择,可采用挑战/应答方式RSA 不能采用挑战/应答认证方式5)Activcard有更广泛的设备选择范围,包括 USB keys6)ActivPack for Checkpoint VPN 客户端和 FW 的简化终端用户,使用强力认证的过程:只需输入 PIN,余下工作由ActivPack 客户端完成!独特的迁移/扩展性1)为满足将来的需求,公司当前的结构需要更好的扩展性。在进行技术/产品迁移和扩展时,ActivCard具有独特的灵活性,来保障客户的投资。2)Activcard 提供所有方式的扩展 ( SKI-PKI , Static-SKI,
35、Static-SKI-PKI )3)可从RSA(或者其它的解决方案)平稳迁移到ActivCard。 4)产品和物理产品访问(如HID和Mifair)互操作的可能性5)设备的专业化 (如: Alstom )独特的迁移/扩展的优势1)迁移的可能性!RSA 不提供迁移到其它市场产品的路径 (SKI, PKI 厂家如 Entrust, Baltimore, Verisign) 2)Activcard容易实现迁移!由于扩展的路由能力,我们的产品提供一个迁移路径,防止迁移问题和延迟。3)更少的迁移花费!4)客户更强的拥有感:Activcard能定制设备高层次的安全观点1)网络链路的安全取决于链接中最薄弱的
36、一环。使用ActivCard产品,控制链路中的每一环节,提供给客户牢固的基础。2)每个客户能建立自己的秘密,打破了客户对编辑者的安全依赖。3)使用Smart Cards, 可产生 (SKI 动态密码, 或签名 key-pair) ,卡不会被遗忘。4)PIN码的值不会跟随动态密码在线发送5)3 因素 (clock, counter, and 3DES key) 认证提供更强、更稳定的动态密码6)可能的检验编码 (FW-1, VPN-1, RAS, 或SDK基于client的开发) 提供互惠的认证7)设备能存储长且复杂的静态密码8)使用读卡器技术,可直接在读卡器的安全键盘上输入PIN码(不通过PC
37、的RAM!)9)ActivCard支持使用MSCHAP安全协议进行认证。而RSA不支持!高层次安全观点的优势1)只有ActivCard能提供完全独立的安全!在RSA的部署中,客户和RSA都知道每个部署设备的秘密。2)ActivCard使用真正的强力认证,提供更好的安全性RSA的密码是明文传输,容易在网络中被探测到。设备的SecurID可能被窃取和假冒。 3)检验码能保障客户正在连接的服务器的身份4)ActivPack clients 或 SDK 开发 客户端 clients5)一些客户使用MSCHAP协议保护他们的认证线路。ActivCard产品能够在MSCHAP上使用,而RSA不能!6)Ac
38、tivCard挑战/应答认证提供不基于时间因素的认证方式以供选择。RSA 从属于时间的导出和同步。7)ActivCard设备(如Smart Cards 或 ActivKey)提供弱密码检测功能,不认同容易攻破的传统密码,改善安全性。更好的易管理性和界面1)在管理方面,ActivPack容易嵌入企业体系结构,快速安装,更快的管理。在终端用户方面,ActivPack设备简单,容易使用。2)支持所有厂家LDAP 目录 (v2 and v3) 3)快速且容易安装4)使用友好的管理和终端用户界面5)无需修改LDAP的架构(schema),能使用任何字段存储Token SN6)在每一个认证尝试间无延迟7)
39、能够处理如xyzdomain 或 domainxyz 的域名或者NT名8)不需任何的增加,提供全面的AAA功能更好的易管理性和界面的优势1)无其它附加的要求:2)全面的AAA性能(RSA需要第三方授权服务器)3)客户有选择! 用户数据库的管理:ActivPack 数据库LDAP V2或V3 目录4)使用ActivPack for LDAP,无需改变客户存在LDAP的配置!5)Activcard在实时的任务中花费更少的时间RSA Ace 服务器需要附加的用户管理6)Activcard有直观和快速的管理RSA 使用 Unix 图形方式,用户界面不好、效率较低7)Activcard易实现多领域的管理
40、RSA 不支持所有的领域管理更优的性价比 1)ActivCard 提供的解决方案,满足每个客户对价格和价值的要求。2)设备销售给客户。而RSA租借设备!3)我们提供比RSA更优惠的价格!4)保护客户的投资5)同样的价格,客户能选择在PKI,SKI和静态密码认证方式中选择最好的解决方案更优性价比的优势1)Activcard设备具有永久的许可对于RSA:当租期过期时,客户必须再次租借设备2)对于ActivCard:设备销售给客户,电池可替换 3)设备只需一半价格RSA 设备比Activcard设备贵的多4)ActivCard的质量/功能/价值更好RSA的价格更高,而提供的功能更少5)Activca
41、rd降低工作时的额外花费RSA同步时占有全部的带宽6)Activcard减少设备丢失的费用当你丢失一个还有2年许可的RSA 令牌,你必须重新换一个新的3年许可的令牌:丢失了2年的许可费用。Activcard具有更低的整体花费(TCO)1)投资的价格2)操作/管理花费3)对所有认证办法,统一的设备管理4)一台服务器支持所有的PSDs6)升级到PKI时,客户端无需额外的投资7)一台 LDAP 服务器可实现AAA, PKI, SSO, Applet 和 卡的管理,3.ActivCard系统的安全特性31 ActivCard系统本身安全特性311 ActivCard 动态密码的安全性:1 算法不可逆保
42、证动态密码的安全:动态密码的认证和授权流程如上图所示,1) 用户使用令牌的密钥(Key1)和时间、事件计算出Password1(6位),然后再加上时间、事件变量的最后一位生成动态密码1(8位),最后递交动态密码给RADIUS Client;2) RADIUS Client递交动态密码给RADIUS Server(ActivPack Server)请求认证;3) 根据RADIUS Client的认证请求,触发RADIUS Server上的API对RADIUS Client认证请求进行响应;4) RADIUS Server根据递交的用户名找到对应的密钥(Key2),用密钥(Key2)和时间、事件计
43、算出Password2(6位,是不可见的),然后再加上时间、事件变量的最后一位生成动态密码2(8位)。将算出的动态密码2和RADIUS Client递交来的动态密码1进行比较,最后将比较结果(1/0)返回给RADIUS Client;5) RADIUS Client根据RADIUS 认证服务器的返回结果(1/0)对用户进行授权或拒绝;根据以上所述,ActivPack算法的不可逆性保证了动态密码的安全。即使攻击者设法获取了密钥,因为ActivPack服务器上无RADIUS Client认证请求的触发动作,不会进行动态密码的计算。同时,ActivPack服务器算出的Password2 也是不可见的
44、,用户只能得到两个动态密码比较的结果(1/0)。这样,就保证了动态密码的安全性。2 密钥采用3DES加密:ActivCard 使用ANSI X9.17和ANSI X9.24 DES密钥导出/管理标准,当你导出ActivCard 密钥时,ActivPack服务器要求你必须设置16位密码用于对ActivCard 密钥进行加密。这样,当你导入ActivCard 密钥时,ActivPack服务器要求你输入16位密码解密。这样,可保证ActivCard 密钥的安全性。3 时间和事件的变化 ActivCard公司开发出动态口令安全认证技术。它采用了基于时间、事件和密钥三变量来产生一次性口令。每个令牌都有一
45、个唯一的密钥,该密钥同时存放在服务器端,每次认证时令牌与服务器分别根据同样的密钥,同样的随机参数(时间、事件或挑战)和同样的算法计算了认证的动态口令,从而确保口令的一致和认证的成功,因每次认证时的随机参数不同,所以每次产生的动态口令也不同。即使攻击者获取了密钥,由于每次计算时其它参数(时间、事件)的随机性保证了每次口令的不可预测性,从而在最基本的口令认证这一环节保证了系统的安全性。4 令牌卡和用户的对应关系: 令牌和用户有对应关系,即每块令牌卡对应一个确定的用户。即使攻击者获取了密钥,因不知道令牌和用户的对应关系,破解一次性口令几乎不可能。5 限制导出密钥的操作:必须在ActivPack操作台
46、才能进行导出密钥的操作。这样,我们可以用防火墙或物理隔离的办法,降低攻击者进行这种操作的可能性。312 有效防范蛮力攻击蛮力攻击攻击较慢,几乎是不可能的。蛮力攻击是指他人用人工或使用工具来猜测密码,一次一条,直到能够获得访问权。根据一般密码8位,密码可使用10个数字符号来计算。即使攻击者在知道用户名的情况下,一次猜中的概率是10的8次方分之一(千万分之一),而我们在ActivPack认证服务器上设定输入错误的密码几次后该用户被锁定。因此,ActivPack可有效的对付蛮力攻击。313 ActivPack系统的安全ActivPack系统的安全使用加密技术来保证。在默认情况下,所有关键性的信息(静态密码和用于产生密钥)都是用3DES加密后存储在
