authenticator.txt

动态口令身份认证解决方案

你的密码丢失过吗？你的密码被窃取过吗？你的系统被他人非法访问过吗? 

1. 身份认证安全需求
静态密码本身存在的缺陷
静态密码在网络传输中可能被截获和分析 
长时间使用同一口令泄漏的机率会大大增加 
人们通常喜欢用自己熟悉的人名、日期、门牌号、电话号码及其组合，易被猜中 
网上的各种破解静态口令软件泛滥，造成了一定的安全风险 
企业安全要求
企业内控的要求，SOX法案的要求使得有重要信息的企业不得不重视企业内部密码的管理，通常企业要求用户设置复杂的密码，并且定期更新，但对于一个人有多个密码，以及系统管理员来说密码的管理成了他们的负担。

2. 动态口令/USB Key认证优势
为了解决传统静态口令认证存在的各种弊病和安全隐患，出现了增强的身份认证方式。如USB Key，数字证书，和动态口令。

数字证书和USB Key在网银，电子商务中得到广泛应用。但是对于网络设备，字符终端的接入和登录认证，USB Key就显出它的局限性。

动态口令的认证方式正好弥补了这种缺陷，它对网络设备，字符终端，主机服务器和远程接入提供了完善易用的解决方案，满足了企业对不同系统，不同人员的身份认证安全需求。 

3. 动态口令组成因素 
用户持有的认证器――口令牌 
口令牌自身保护――保护口令牌的PIN码 
用户登陆的信息――口令牌生成的口令 
用户登陆信息的变化――口令牌每次生成的口令不同 
认证服务器---对传输过来口令牌生成的口令进行验证 
通过这些多种因素的组合，确保用户登陆时就是其本人，而不是因非法用户盗取得到的口令而登陆系统。 

4. 动态口令解决方案
网络设备的身份认证及授权
在需要保护的骨干路由器、中心交换机、防火墙等网络设备中配置使用RADIUS验证，将RADIUS服务器指向到动态口令认证服务器内置的RADIUS Server。从而为网络设备的访问提供动态口令身份认证。这种配置非常简单，由于几乎所有的网络设备都能支持RADIUS协议，因此，对网络设备提供动态口令认证非常简单且易实现。

为网络管理员配置硬件令牌卡。

Unix/Linux/Windows主机服务器的身份认证
应用系统的管理员管理着业务系统主机，承担很大的安全风险。主机也是非法访问的最好目标，因此，加强主机的安全保护十分重要。实际上，传统密码非常不适合用于业务主机管理，网络中传输的明文极易泄漏，存储在主机中的口令文件也容易被他人获取，通过密码破解程序得到口令。

动态口令系统对主机的认证是通过安装各种Agent来实现的。对于Unix，Linux操作系统的主机，有各种Agent可以实现对动态口令的认证，将Agent安装在主机服务器上，将Agent指向动态口令认证服务器，就可实现对Unix，Linux主机服务器登录的身份认证。一般动态口令系统可以支持市面上常用的服务器操作系统，如HP Unix，IBM AIX等。

Windows域认证
在Windows域控制器上安装Agent，并设置好对哪些域用户使用动态口令进行身份认证，然后在用户的Windows终端安装Agent。

当用户通过Windows终端系统登录域，在登录窗口输入用户名、域口令和动态口令并按确定后，Windows域控制器收到用户的帐号信息（用户名、域口令、动态口令），首先对域帐号合法性进行验证，即用户名和域口令，验证通过后，将用户名和动态口令信息转发到认证服务器上面进行验证，只有这两次认证都成功用户才可以成功登录域。

VPN远程接入认证
VPN系统提供从外网到内部网络的安全通道，使得从外网访问用户访问内部网络上的应用服务更加简单，数据传输更加安全。但同时带来的安全隐患也是不容忽视的。一旦非法用户通过某种手段得到合法用户的密码，他们就可以通过VPN自由出入企业的内部网络，利用黑客工具，收集企业机密信息，攻击应用服务器，造成非常严重的后果。因此，企业在使用VPN系统时要考虑其强认证机制。

在VPN网关上或是拨号路由器上配置使用RADIUS验证，将RADIUS服务器指向动态口令认证服务器内置的RADIUS Server，不用对现有网络结构进行任何调整，就可将VPN用户与动态口令认证系统相结合，对使用VPN接入的用户实现了高强度的安全身份认证。

对于VPN产品同动态口令认证系统的集成，我们已经有很多的案例。无论是IPsec VPN，PPTP，还是SSL VPN，都能很好的同动态口令认证系统结合。

字符终端接入认证
有些企业的应用系统是字符终端，由于字符终端的客户端机器的特殊性，使得其不方便使用数字证书或USB Key进行认证。因此，考虑采用动态口令认证可以很好的解决字符终端的强认证问题。对于字符终端应用系统，使用动态口令提供的SDK开发包，利用其开发接口，可以实现动态口令的认证。

字符终端用户只需要在字符界面上输入口令牌产生的口令即可，不用考虑字符终端的USB Key接口的问题，数字证书调用的问题。动态口令的使用就像静态口令方式使用一样。 

5. 系统部署