AladdineToen信息安全解决方案.doc_第1页
AladdineToen信息安全解决方案.doc_第2页
AladdineToen信息安全解决方案.doc_第3页
AladdineToen信息安全解决方案.doc_第4页
AladdineToen信息安全解决方案.doc_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Aladdin eToken双因素认证解决方案Aladdin知识系统有限公司2012年2月目录1Aladdin公司简介32eToken产品介绍42.1eToken TMS(令牌管理系统)42.1.1eToken Enterprise套件TMS特点42.1.2优点52.1.3快速简便的用户管理52.1.4灵活的支持和实施52.1.5令牌和智能卡生命周期管理62.1.6eToken实用工具软件62.2eToken认证设备62.2.1多种形式的双因素认证设备73Aladdin eToken解决方案83.1eToken PKI 智能卡方案93.2eToken 一次性密码(OTP)身份验证解决方案93.2.1无线局域网保护113.2.2拨号服务器、路由器和交换机保护123.2.3防火墙和VPN保护133.2.4Web服务器、办公自动化和ERP系统保护143.2.5认证服务器的容错143.2.6详细的报表和事件跟踪功能143.3密码管理 企业级单点登录143.4选择适合您的设备164Aladdin解决方案优势181 Aladdin公司简介Aladdin知识系统公司(Nasdaq: ALDN)始于1985年。在全球设立多个国际办事处,并在超过100个国家建立分销网络。为数以万计的公司与个人用户提供信息安全解决方案。这些客户范围遍布财富100强企业、主要金融、教育与政府机构等。随着软件与互联网技术的不断发展,Aladdin始终走在软件数字版权保护与企业安全领域的最前沿。靠公认的先进技术,为客户提供可靠、高附加值且低成本的解决方案。作为业界的领导者,总是为我们的客户提供市场上最先进的产品。如今,便捷的信息渠道不仅仅是一种可利用的资源,同时也存在着潜在的威胁。Aladdin的宗旨就是建立全方位的产品线,确保信息流通的安全,解除客户的后顾之忧。2 eToken产品介绍eToken 是一种十分轻便的USB,只有房门钥匙那么大,能够安全地存储数字证书、实现安全认证和数字签名所需要的公钥/私钥以及第三方应用程序的静态口令。eToken是在 智能卡技术的基本上发明的,但不需要额外安装智能卡读写器。eToken提供一套完整的安全解决方案,来满足所有认证要求(访问网络、访问VPN和Web服务器),并保障笔记本电脑和文件的安全。在企业组织中,通过令牌管理系统(TMS),以Active Directory为基础,可以轻松地对Token进行分配、调度及个性化管理。2.1 eToken TMS(令牌管理系统)Aladdin的令牌管理系统,是一个健壮的管理系统。能够部署、供应和维护所有的eToken设备,包括安全认证令牌、智能卡和ID证章。它支持大范围的安全应用程序,例如:网络登陆、VPN、Web访问、一次性口令验证、保护电子邮件、数据加密,等等。 管理企业内的安全事务的一个主要挑战,是连接用户和他们的安全设备,以及和安全程序相关联的组织策略。Aladdin TMS提供了独创的解决方案,将上述组件连接到一个自动的可调的系统中,消除了执行这些安全服务的障碍 特别是那些依靠PKI技术的服务。 TMS提供了强大的工具,可以方便高效地管理整个token生命周期的各个方面。TMS能够部署和撤销令牌,通过网页用户可以自己设置和重设密码,自动备份和恢复用户证书,处理丢失和损坏的令牌等等。TMS是一个开放的基于标准的架构,构建于可配置的连接器之上,可以与各种安全程序整合。网络和IT管理员有责任管理用户和安全服务,而又面临巨大的复杂性。鉴于此种情况,Aladdin开发了基于微软活动目录架构的TMS。尽管构建在活动目录之上,TMS也可以独立地操作,允许企业使用任何标准的用户管理系统。2.1.1 eToken Enterprise套件TMS特点 支持eToken PRO 智能卡身份验证设备 支持eToken NG-OTP PRO:USB和一次性口令技术结合的eToken 支持ID证章、门禁卡、和磁条附件 安全地存储私人密钥、认证和证书 与多种商业程序(CAPI, PKCS#11)的标准连接 支持多种安全解决方案,包括安全网络访问、PC和数据保护,以及密码管理 能够管理整个生命周期,包括部署和撤销 支持用户自助式管理 本地和远程的基于网页的注册和设备维护 自动地安全备份和恢复用户的密钥和证书 处理丢失和损坏的令牌 USB和智能卡个性化支持 凭借活动目录技术,完善地支持兼容LDAP的用户库,还可以与现有企业用户库完全地集成 开放的基于标准的连接器架构,允许添加新的应用程序和令牌 第三方应用程序整合和管理SDK 2.1.2 优点使得token的使用简便而又健壮 可以与现有企业用户库完全地集成 通过增强的用户密钥和访问资料管理,降低管理身份和密码的开销。 消除了执行这些安全服务的障碍,特别是那些依靠PKI技术的服务。 开放的架构,允许添加新的应用程序和Token 2.1.3 快速简便的用户管理凭借TMS,管理可以在活动目录的用户和电脑视图中,方便地创建用户和用户组,然后执行简单的注册请求。TMS会自动检查哪个应用程序被自动分配到这个组,要么创建证书(例如:密钥、认证和密码),要么代表用户请求合适的服务。他们都自动加载到令牌上。2.1.4 灵活的支持和实施TMS,是一个开放的架构,几乎能够灵活的连接到任何一个要求与token或智能卡交互的外部服务或系统上 标准的或独特的。会创建不同的连接器,以支持PKI RAs (注册机构)、防火墙或VPN应用程序,然后执行用户指定的功能。IT管理员不需要深入地了解具体的应用程序,TMS会为他们处理这些细节。2.1.5 令牌和智能卡生命周期管理Aladdin TMS还能管理设备的生命周期,支持门禁卡和磁条数据,照片ID印刷,用户技术支持(例如解锁PIN)和软件部署。不需要另外的用户管理系统,TMS就能完成所有这些工作,只需要对管理员进行极少的培训。TMS提供了一个可以定制的网页界面,用于管理和用户支持。2.1.6 eToken实用工具软件eToken有一套灵活的token管理工具。通过eToken属性工具,用户和管理员可以更改eToken名和密码,依据特定的机构安全需求配置eToken,等等。2.2 eToken认证设备eToken的这组设备提供了足够的灵活性,可以满足不同组织机构的需要。从用于PC和远程网络的USB Token,到用于访问控制的智能卡和ID证章,eToken的易用性、高效率和便携性, 使其成为商业机构在现在这个不断变化的数字化时代中保持领先地位的明智选择。所有的设备都支持同样的安全接口,都能与eToken和第三方安全程序协同工作。 Aladdin eToken系列的USB token和智能卡,搭配了一系列附件和可订制的方案,包括:开门卡、ID证章和自己的印记或商标。2.2.1 多种形式的双因素认证设备eToken PRO (USB)eToken PRO是一个用于数据保护的USB token。它是一个低成本的、不需要阅读器的智能卡设备,能够启用强大的双要素身份验证,易于部署。eToken PRO的安全的板载RSA 1024位和2048位密钥操作,能够与任何PKI或其他的安全架构,做无缝的整合。eToken NG-OTPeToken NG-OTP是一个USB和一次性密码混合token,提供了eToken PRO USB的全部功能和OTP技术,在分离模式下实现强大的身份验证。eToken NG-OTP在一个设备里,集成了多种强大的身份验证方法,适用于多种安全相关的解决方案。eToken NG-FLASHeToken NG-FLASH 提供了和eToken PRO 相同的功能,与增加闪存为流动数据存储.eToken PRO (智能卡)eToken PRO智能卡提供了和eToken PRO USB相同的功能,不过使用传统信用卡的外形。标准的智能卡阅读器可以操作eToken PRO智能卡。门禁卡和照片ID证章附件eToken可以与门禁系统和ID证章方案整合。将物理访问和逻辑访问组合在一个设备中。门禁技术与USB token和智能卡两种形式都可以整合。eToken可以非常完美地将对网络的物理访问和逻辑访问,与可以视觉识别的照片证章结合在一起。3 Aladdin eToken解决方案在商业全球化的今天,您需要一个解决方案,保障您无论何时何地都可以安全地访问商业信息。但它可能需要大量的资金投入。而eToken正为此提供一个应用广阔地标准平台,可以降低资金投入和管理成本。Aladdin eToken 提供了强大的身份验证和密码管理解决方案,具体包括: 增强安全保护,确保信息访问的安全性 高效的密码管理 不管去哪里,都可以随身携带您的个人证书 eToken 产品提供了健壮而又灵活的框架,能够与现在顶尖的安全解决方案整合,是能够满足您对于身份验证和密码管理的需要的解决方案。3.1 eToken PKI 智能卡方案eToken PKI解决方案,能让PKI软件在基于USB的eToken或eToken智能卡内生成、存储和操作私人密钥和数字认证,创造了一个操作简便、易于携带的安全环境。eToken PKI方案含有与工业产品整合所需要的所有PKI组件和驱动程序。用户不再需要为不同的帐号设置不同的密码,仅仅需要eToken密码。所有的验证数据都安全方便地存储在eToken上,可以在任何一台配置好的计算机上使用。 公钥基础设施(PKI)可用于多种安全服务,包括用户身份验证和事务认可。Aladdin的eToken PKI解决方案为企业机构带来了强大的双要素用户身份验证,适用于网页访问,远程VPN访问,网络登陆,PC保护,电子邮件保护和任何标准的PKI软件。优势 对用户私人证书和数字认证进行高级别的安全保护。用户可以完全放心地对电子交易进行验证、加密、签字和解密。 启用双因素验证,电子商务和电子银行软件可以通过硬件设备确保高级别的安全性。 在eToken上安全地生成、存储用户的密钥和认证,能与任何标准PKI软件一起透明式协作。 3.2 eToken 一次性密码(OTP)身份验证解决方案Aladdin eToken为企业提供了物有所值的强大而又灵活的用户身份验证方案。eToken OTP方案,实现了无需客户端的登陆方式,使用了一次性密码身份验证技术,结合eToken智能卡解决方案,为您的数字商务资源提供了强大而又灵活的安全保护。商业组织努力地通过扩展IT基础设施建设来提高自身的商务处理能力。相应的,强大的身份验证解决方案成为保障IT安全的关键因素。企业通过保护对企业网络和商业数据的访问, 使得消费者、合作伙伴和雇员可以随时随地(在办公室、家里或路上)地使用商务软件。在基于智能卡的身份验证、密码管理和公钥基础设施(PKI)方案等领域内,Aladdin都取得了稳固的领先地位,现在提供基于一次性密码技术的身份验证解决方案。eToken OTP方案满足您对身份验证的需求,增强您的电子商务能力。eToken OTP方案基于eToken NG-OTP设备,是Aladdin独创的基于智能卡的混合token。可以在连通模式(采用USB连接)或分离模式(采用one-time密码)下安全地访问您的网络和应用程序。eToken OTP解决方案由用于后台验证的eToken RADIUS服务器和整合的RADIUS软件组成,包括:领先的VPN方案、网页访问方案等。OTP解决方案由Aladdin的令牌管理系统提供完善的支持和管理,能够应对整个企业的令牌部署和生命周期管理。优势 提供灵活的用户身份验证基础设施,满足您的需要 客户端不需要安装额外的软件来支持一次性口令认证 只需极少的IT帮助和维护 与eToken智能卡身份验证和安全服务完全整合 eToken NG-OTP: USB和OTP混合Token Aladdin eToken NG-OTP是一种混合的一次性密码USB token,它把基于智能卡的eToken PRO的全部功能与OTP技术集成在一起,为用户提供了分离模式下的高强度用户身份验证。eToken OTP可以与token管理系统(TMS)完全整合。它是一个健壮的管理系统,能够胜任对令牌的部署和供应以及管理整 个生命周期。TMS支持所有的eToken设备(包括eToken NG-OTP),并为管理员提供全方位的token管理服务:部署和撤销令牌,备份或恢复已丢失或损坏令牌的用户证书,综合的用户自助部署令牌、重设密码,等等。 3.2.1 无线局域网保护使用无线局域网可以为企业带来很大的方便性,员工可以在公司的各个区域接入局域网,方便地访问企业资源。但是无线局域网的使用也带来了安全隐患,主要问题就是缺乏有效的用户身份认证机制,很多管理员在配置基站时仅要求用户名和口令认证,甚至是不需要任何身份认证机制,对于非法人员来说只需要一台笔记本电脑和一块无线网卡就可以接入企业网络,带来极大的安全问题;另外,如果配置无线网络使用WEP加密传输数据的话,由于这种加密方式使用静态的加密密钥,很容易被非法人员破解,造成用户名和口令的泄漏,以及其它关键企业资源的泄漏。Aladdin eToken可以支持无线局域网的强双因素认证,当用户通过无线网卡需要访问公司网络的时候启动双因素用户身份认证,只有通过的认证的合法用户才能访问公司网络。以下是系统的网络结构图:用户的笔记本电脑通过802.1X协议连接到基站,配置基站通过Radius协议将认证请求发送到Microsoft IAS (Internet Authentication Server) 微软的Radius服务器,在Radius服务器上配置Aladdin etoken双因素认证,由IAS上的一次性密码认证模块对用户进行身份认证,只有通过认证的用户才能建立连接。整个的过程使用PEAP(受保护的扩展认证协议)来保证用户认证信息的私密性同时使用WEP加密用户数据传送的整个过程:1.用户的笔记本电脑通过无线电信号关联到相应的基站,建立认证和数据通讯的基础。2.由于这时还没有认证用户身份,所以这个时候用户发出的认证指令都会被基站拒绝。3.用户提供登录认证凭证,在客户端和Microsoft IAS之间建立安全加密的SSL通道。4.客户端获得Microsoft IAS的服务器证书,检查此服务器证书是否由所信任的CA服务器发放。5.Microsoft IAS 服务器认证用户,用户必须在登录窗口中输入正确的用户名和双因素认证号码,这些资料会通过Microsoft IAS上的Aladdin eToken一次性密码认证模块到后台的AD库中进行认证。6.Microsoft IAS和客户端共同产生Unicast WEP加密密钥,分别存放在Microsoft和客户端。7.Microsoft IAS将Unicast WEP加密密钥传送到基站。8.基站使用Unicast WEP加密密钥将Broadcast WEP加密密钥递送至客户端。9.客户端和基站之间激活WEP加密机制并使用Unicast WEP加密密钥和Broadcast WEP加密密钥传送数据。从以上过程可以看出,使用基于PEAP协议之上的WEP加密即可以支持Aladdin eToken一次性密码认证,确保访问无线局域网用户的身份,同时动态产生WEP所需要的加密密钥,增强了数据传送的安全性,给企业实施安全有效的无线局域网提供了有力的保障。3.2.2 拨号服务器、路由器和交换机保护在现有的网络配置中,用户可能通过拨号接入公司网络;同时也可能有大量的路由器连接到互联网,即使在企业内部也有大量的交换机,由于若口令带来的安全隐患,管理员可能需要定期修改路由器和交换机上的管理员密码,这种方法并没有从根本上堵住安全隐患,同时也带来大量的管理负担。所以需要考虑使用双因素强认证,确保只有合法用户才可以访问网络资源。主流的网络设备(包括路由器和交换机)均支持Radius协议来集成第三方认证服务器,缺省情况下是在这些设备上创建帐号并且设置静态密码,管理员通过这些静态密码登陆网络设备。如果需要切换到令牌认证的话,需要在这些网络设备中启动Radius认证,指定Aladdin etoken一次性密码认证模块所在的认证服务器的IP地址,在认证服务器和网络设备上设置相同的加密密钥来加密数据通讯。当用户需要访问这些网络设备时,提示输入用户名和双因素认证吗,用户输入认证信息以后,网络设备将这些认证信息通过RADIUS协议传送到Aladdin认证服务器进行用户认证,最后将认证结果返回给网络设备,只有那些通过认证的用户才能够访问这些网络设备,确保了管理员身份的安全性。目前为止,微软的拨号服务器、思科、3COM和华为等这些主流的网络设备均可以支持Aladdin eToken认证。如果需要在思科的网络设备上启动AAA认证,使用Aladdin eToken认证管理员的登陆的话,只需要加上以下几行配置即可,非常简单:aaa new-model aaa authentication login default radius line enable radius-server host xxx.xxx.xxx.xxx auth-port 1645 acct-port 1646 radius-server key “your key” 如果顾虑到Aladdin eToken认证服务器发生故障导致管理员因为无法进行认证从而无法登陆网络设备的话,可以配置网络设备首先使用Radius进行认证,如果无法联系到Aladdin认证服务器,可以使用本地配置的Line或者Enable的静态密码进行。3.2.3 防火墙和VPN保护在当今竞争越来越激烈的商业环境中,如何以最快的速度,安全可靠地获得信息变得越来越重要,同时由于互联网的应用越来越普遍,使用VPN实现远程接入的方式也越来越广泛。举例来说,许多企业每天都会有大量员工出差,这些员工需要安全接入公司内部网络访问电子邮件和其他重要的价格和公司信息;另外,许多企业正在建设或者即将建设办公自动化系统,企业员工可以在远程办事处甚至家里就可以象在公司内部网络那样登录OA系统处理每天事务;对于制造性企业来说,改进与合作伙伴和代理商的关系非常重要,必须让他们通过Extranet很快了解公司营销策略,访问瞬息万变的价格,并通过Extranet快速下单。所有这些需求都遇到了同样棘手的问题,如何确保从互联网接入公司内部网络的人员的身份呢?VPN可以通过加密实现VPN客户端与VPN网关之间的数据通讯的机密性,但是只有与SECURID一起使用才能真正确保企业网络的安全性。市场上主流的VPN厂商已经集成了RADIUS认证协议在VPN设备中,管理员只需要在图形界面上非常简单地配置RADIUS信息就可以实现双因素认证功能。而客户端只需要安装VPN客户端程序,不需要安装额外的软件来支持双因素认证。当用户需要通过防火墙或者VPN网关接入企业内部网络时,只需要在原来输入用户名/口令的地方输入双因素认证码,然后由这些网络设备内置地代理软件或者标准的RADIUS协议发送到认证服务器进行认证,如果是合法用户则可以访问网络资源,否则就会被拒绝在外。目前支持的防火墙和VPN厂商包括Checkpoint/Norkia、Netscreen、Nortel和Cisco等IPSec VPN厂商以及Juniper、F5等SSL VPN厂商。3.2.4 Web服务器、办公自动化和ERP系统保护Extranet已经成为电子商务的关键部分,它使得客户、合作伙伴和供应商进行交流成为可能。Aladdin Client for IIS的功能就像安全警卫,充当一个URL过滤器,代理软件截取访问请求并且要求指定的用户或组在获得受保护的网站资源访问许可之前,使用认证设备到后台认证服务器进行认证。另外,您可以自己控制用户权限,决定用户被认证通过以后,是否能够访问这些资源。2.9Oracle数据库保护Oracle是全球领先的信息管理软件的供应商,由其提供的Advanced Security Option(ASO)软件保护SQL*Net和Net 8环境下的敏感的以及有价值的信息。当用户试图访问Oracle数据库时,Advanced Security Option软件加密并且执行安全检查。Aladdin使用预先发给每个用户的eToken令牌认证用户的身份。使用Oracle的Advanced Security Option和Aladdin eToken令牌,所有基于Oracle数据库的网络应用程序均可以得到由Aladdin etoken令牌提供的强用户认证。3.2.5 认证服务器的容错由于会在关键的应用中使用双因素认证,如果后台认证服务器死机,所有的用户均无法访问这些资源,给用户的使用带来很大不便,所以为了减少停机的可能,至少应该安装两台认证服务器任何一台服务器的发生故障的话不会影响整个认证过程。3.2.6 详细的报表和事件跟踪功能对于用户的每一次认证企图和通过管理程序做的任何动作,都会在后台认证服务器的日志中产生相应的一条记录,管理员可以运行大量的报告来查账审计。第三方的日志管理工具实时采集Event Log中的认证信息,以最快的速度响应系统问题。3.3 密码管理 企业级单点登录让您的用户使用一个eToken设备安全的存储和管理他们所有的密码和登陆证章。他们不再需要记住不同的应用程序和账户的无数个密码只需要记住一个eToken密码。eToken 简便登陆(SSO) 管理Windows应用程序登陆证书。在一个eToken上,安全地存储和管理用户所有的计算机应用程序登陆证书。使得IT 管理人员可以确保,只有获得授权的人可以员访问公司的网络和受保护的应用程序。eToken 网页登陆(WSO) 用一个eToken密码,安全地存储和管理所有的网页登陆证书 。能够直接从网页获取用户的登陆和访问证书,简单、便捷和安全。存储所有登陆信息,包括:密码、PIN号、账号、信用卡信息、电话号码、URL、过期日期和帐单。自动识别保存的网页,然后提交。使用户能够直接访问他们所有的网络账 号。 eToken 安全网络登陆(GINA API) 管理网络登陆证书使得网络管理员可以对Windows登陆施行现强大的双要素用户验证,基于密码和PKI智能卡皆可。支持基于密码和基于PKI的网络验证,能够为智能卡登陆生 成并存储PKI密钥,也能安全地存储用户的网络访问证书。用户只需一个Aladdin eToken设备,就能安全地存储和管理所有的应用程序登陆帐号,仅仅需要记住一个eToken密码。IT经理能够

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论