activcard系统实施参考方案解析

ActivCard 实施参考方案 二零零四年十一月 目 录1 系统实施方案1.1 系统规划在真正实施动态口令的身份验证之前，我们需要对该系统进行完善的规划，考虑所有可能出现的问题，并综合各种可能的应用，提出一个完善的实施计划。首先我们对系统目前的应用作具体的分析，了解网上银行的主要业务以及运作模式和流程，明白ActivCard动态口令身份认证系统所能提供的功能以及对网上银行整个系统产生的影响。ActivCard可以在不改变用户现有网络结构的情况下，和用户自有的系统无缝的整合在一起。整个系统的投资相当的小，并且付出的人力物力也十分有限。其次要制定详细的系统实施计划，把系统实施过程中的每一个步骤都进行详细的规划，准备工作做好，避免出现意外情况影响自身的正常业务。再次我们要针对每一项系统实施工作，做好记录。做到所有有关ActivCard动态口令身份验证系统实施的项目都详细的记录下来，为将来的系统维护和后期系统扩容提供极有价值的依据。1.2 系统实施根据ActivCard动态口令身份验证系统的特点，整个系统实施工作可以分为如下几个部分，本系统运行在在SUN Solaris平台下，数据库基于Oracle9i。1.2.1 安装配置服务器模块我们选择在现有的一台SUN Solaris服务器上安装ActivPack AAA Server服务器软件, Oracle9i也是安装在同一台机器上，这样我们就不需要再安装Oracle9i数据库的client软件。安装ActivCard AAA Server在这台机器上： Install ActivPack for Solaris Launch the Configurator (configures server access and parameters) Launch the ActivPack AAA Server安装步骤：1. Login as root, and at the prompt type:/usr/sbin/pkgadd -d ./ActivPack--sparc.pkg2. Press “Enter” to continue The distribution displays the following information:The following packages are available:1 ActivPack (ActivPack Server for Solaris)(SolarisforSPARC) Select package(s) you wish to process (or all to process allpackages) (default:all) ?,?,q:3. At the prompt, type all and press “Enter” to continue. The following lines display.Processing package instance from The distribution displays version and copyright information and the following prompt:Enter the installation path ActivCard/ActivPack ?,q. By default, the distribution installs the ActivCard AAA Server in the ActivCard/ActivPack directory.Take the appropriate action. Press “Enter” to leave the default path set to ActivCard/ActivPack. Type an alternate path, and press “Enter” to continue.The distribution processes the package information, verifies disk space requirements, checks forconflicts with previously installed ActivCard AAA Server packages, and checks for setuid/setidprograms. It then warns you that the package contains scripts which will be executed with superuserpermissions during the installation, and then it displays the following prompt:Do you want to continue with the installation of y,n,? Press “N” and “Enter” to abort the installation. Press “Y” and “Enter” to continue.The ActivCard AAA Server confirms a successful installation and reminds you that you must now“create the database” (create tables) using SQL scripts before you configure the server.5. To create database tables, at the prompt, type:cd /opt/ActivCard/ActivPack6. Press “Enter” to continue. At the prompt, type the following:$ORACLE_HOME/bin/sqlplus /7. The SQL*Plus utility starts. At the prompt, type the following:/opt/ActivCard/ActivPack/Sql/OracleCreateServer_v.sql8. Press Enter to continue. The ActivCard AAA Server tells you when the table space has been successfullycreated and displays the SQL prompt. At the prompt, type quit to exit the SQL*Plus utility.配置服务器：在安装完成后，需要对整个系统进行详细的配置，根据功能要求，选择适合自己的ActivPack AAA Server服务器配置。下面详细描述系统配置的过程。首先我们要确定ActivPack AAA Server系统服务已经启动，设定好管理员用户名和密码后（需要管理员自己设定用户名和密码，为了保障系统的安全性，建议管理员密码不要太简单；并且每次登录进来的时候，系统并不会显示上一次登录所使用的用户名和密码），就可以进入系统管理界面，如下图所示。1，以root用户登录，运行以下命令：$ /opt/ActivCard/ActivPack/ActivPackServerCfg2，回车后，系统提示你输入关于数据库的一些信息：Database listener：oracle数据库名Database login：登录名，默认是ActivPackServer，你可以在以后使用中改变 Database password：密码，默认是ActivPackServer，你可以在以后使用中改 变3，产生了登录的用户名和密码后，下一此登录输入你的用户名密码就可以进行以下的操作了。4，配置以下的选项： ActivPack database access: change the login ID and password for the configuration program. Oracle database access: change the login ID and password for the ActivCard AAA Server database access. Log and trace files configuration: configure the settings for active or inactive trace, and specify the log size and path.* ErrLog is located (by default) in /var/log/ActicPack/ActivPackServerErr.txt.* Trace is located (by default) in /var/log/ActicPack/ActivPackServerTra.txt RADIUS and TACACS dictionaries path: set the paths for your dictionaries. The default isset to /opt/ActivCard/ActivPack/Dico. Decipher database: toggles on/off the cipher/decipher database function. Every critical database field is Triple DES encrypted. This option permits you to decipher (or re-cipher) the database. We recommend you maintain the database in cipher mode (toggle on).5，保存你的配置文件：press “0” to Quit and answer Yes to confirm that you want tosave your settings and exit the Solaris settings menu.6，配置程序会提示你重新启动AAA server。所有的配置结果在如下的一个文件中：1.2.2 安装服务器管理控制模块1221 管理模块安装在安装完服务器模块后，必须在一台win 2000的机器上安装管理模块（Administration Console）：登管理控制台可以通过服务器所提供的端口与服务器通讯。并且这个端口也是可变的，为了控制安全性，我们可以更改该控制端口，并且在防火墙上作相应的设置来屏蔽该端口，从而避免外部针对该端口的非法访问。下面简要说明每一项设置的方法和作用。首先我们要设定系统需要连接的LDAP服务器。如下图所示，需要详细设定LDAP Server服务器的每一项参数：包括LDAP Server服务器主机地址、端口、登录用户名、密码；所要管理的用户组和查询条件等；以及在LDAP目录里为ActivPack AAA Server令牌卡建立索引所使用的字段等。在每一部分设定好之后，可以立刻进行测试以认证设定的正确性和有效性，只需要单击右边的Test按钮即可。图表 1（图3-2 LDAP服务器设定界面）LDAP服务器参数设定完成之后，就可以在查询结果里看到相关的查询出来的用户资料了。我们在目录中查到了信息，这就表明，我们的LDAP服务器连接设置正确，系统可以在LDAP内通过指定条件查询用户信息了。设定完与LDAP目录服务器的连接之后，我们要配置ActivPack AAA Server自身的参数，使其能够满足我们所需要的安全性要求。首先要做的是我们先要建立一个Servers，然后依次建立Gate、LDAP Server、Profiles、Group，定义每一项具体的设置，在设置完成后我们就应该在Group的查询里查找到LDAP内的每一个用户信息。 针对不同的系统应用，我们可以建立多个不同的gate，来对应每一个系统应用。每一个Gate使用不同的配置文件Profiles，来满足不同的身份认证的要求。本例中我们使用的是默认的配置文件，它一般可以满足win2000下的身份认证工作。另外我们还可以建立基于IIS的应用，只需要简单的设定一个配置文件，利用这个配置文件创建一个新的Gate就可以了。另外，如果系统用户比较多，并且使用也比较分散，我们还可以建立多个Server，针对每一个Server来定义Gate，满足不同应用。这样我们就可以使用一个统一的LDAP目录，来进行各种应用上的动态口令的身份认证了。我们还可以针对每一个组织单元OU来定义身份认证安全策略，例如我们定义信息技术部的员工可以访问Internet，定义财务部门的人员使用财务数据库，定义经理等领导人员可以管理用户数据库等。这些应用的动态口令身份认证都可以集中完成，只需要在系统身份认证模块中简单的添加几行身份认证代码，构建一个RADIUS Client客户端，就可以满足不同的需求了。下面是一个配置完成后的窗口界面。（图3-3系统配置完成后的系统管理界面）从图中我们还可以看到，我们可以自己定义系统的端口号，然后在防火墙上开放相应的端口，就可以满足系统安全性的需求；还可以设定RADIUS shared secret密钥，进一步加强系统的安全性。以上是简单的服务器设置，详细的系统配置以及实现方法，请参见相关产品文档。配置RADIUS Client客户端服务器端配置完成后，我们需要配置RADIUS Client客户端，由于ActivPack AAA Server本身是一个标准的RADIUS Server，拨号接入服务器作为RADIUS Server的客户端（前提是路由器支持标准的RADIUS协议，如果不支持需要开发相应的客户端软件）。令牌卡初始化和给用户分配令牌卡一套系统，在使用之前必须对它进行初始设定，把每一块卡都分配给每一个人，这样系统才可以正常工作。产品在出厂的时候，都随着带有一张令牌卡初始化时产生的密钥（key）软盘。我们首先把密钥（key）导入ActivPack AAA Server系统数据库里，需要留意的是为了加强令牌卡密钥的安全性，ActivCard在导入令牌卡密钥的时候，需要提供一个解密的密码，共有16位，详细操作见下图。（图3-4导入令牌卡(Token One)的初始化密钥key）令牌卡密钥导入以后，需要把它分配（Assign）给每一个用户，针对招商局集团100余用户的系统，我们可以提供两种令牌卡的分配方式：1令牌卡的批量分配：我们可以开发一个简单的程序，自动向LDAP目录中的字段中写入令牌卡(Token One)的序列号，完成令牌卡(Token One)的用户分配工作；2在ActivPack AAA Server的Console进行令牌卡的分配； 根据招商局集团具体的需要，我们可以灵活的选择合适的令牌卡分配方式。验收系统并交付使用整个系统实施完成后，我们会偕同相关人员一道，对系统的运行状况、性能指标做一个综合的客观的检验。具体检验项目包括系统稳定性、安全性因素、系统响应时间、潜在的风险评估、系统兼容新工艺即可扩展性等。检验完毕，万维易化会提供一个完整的由双方共同认可的检验报告，作为系统投入试运行的依据。试运行一段时间后，如果系统运行良好，则万维易化会把整个系统完全移交给招商局集团，包括系统所有软件产品、说明书、实施文档、开发文档、程序源代码、培训教材等；然后会对招商局集团的相关人员进行一次完整的系统管理培训，真正让用户完全掌握整套系统，从中受益。 ActivCard系统扩展应用基于LDAP的用户管理结构可以为系统管理提供最大程度上的管理方便，LDAP是一个现行的工业标准，它提供标准的存储结构，使得用户管理更加方便。将来，招商局集团的所有用户数据可以全部使用LDAP来管理，包括内部OA系统、柜面系统、电话银行系统、网上银行系统等都可以使用统一的LDAP结构来存储管理。这样我们就可以使用ActivCard动态口令身令牌初始化和给用户分配令牌一套系统，在使用之前必须对它进行初始化设定，把每一块卡都分配给每一个人，这样系统才可以正常工作。产品在出厂的时候，都随着带有一张初始化的key盘，我们就是用这个key来对系统和令牌进行初始化。首先把key导入ActivPack AAA Server系统数据库里，然后再针对每一块卡进行一次系统时钟同步，需要留意的是为了加强自身的安全性，ActivCard在导入令牌信息的时候，需要提供一个初始访问密码，共有16位，详细操作见下图。（图1-7导入令牌卡(Token One)的初始化密钥key）（图1-8导入令牌信息之后的系统管理界面）令牌信息导入以后，需要把它分配（Assign）给每一个用户，针对深圳市商业银行这样有2万余用户的系统，我们可以提供一个简单的工具，自动完成令牌卡(Token One)的用户分配工作和向LDAP目录中的字段中写入令牌卡(Token One)信息的工作，也可以在柜面系统中作一个简单的二次开发，集成该工作到柜面系统，这样就便于柜面营业员在发卡时，直接完成卡和用户的意义对应工作。下图是一个令牌卡(Token One)系统初始化的界面。（图1-9令牌卡(Token One)初始化界面）2. 产品介绍21 ActivCard公司介绍Activcard公司1980年成立，专业从事数据加密及身份认证系统产品生产及研发。美国及法国上市公司，全球多处实验室和研发机构。ActivCard Token产品最早用于法国海军的安全网络的访问管理。随后被推广到银行和其他企业网络的管理应用项目中。业界领导，世界上一百万套以上系统正在使用，合作伙伴及客户遍布全球，包括： Microsoft NEC VOLVO DOD AIRBUS SUN HP ALSTOM GEDAS/VOLKSWAGEN ST MICRO TECHINT BCA 美国国防部 香港汇丰银行 香港电讯 花旗银行 爱立信 国泰君安 大鹏证券 多项专利及领先技术，产品经过多项专业测试及实践检验，倍受好评。详情请见22 ActivCard产品介绍221 ActivCard产品概述ActivCard为企业的内部网络提供强大的身份验证系统，将用户扩展出简单的静态口令的范围，使用者的口令由手持令牌（Token）动态生成，无法预测，无法重复使用，高度安全，完全避免了传统口令的弱点，替代传统的静态口令机制。ActivCard的双因素认证系统（我拥有、我知道）要求用户在登录之前必须具有物理的令牌，同时必须知道自己的PIN码（个人验证码，用于激活令牌）。 而ActivCard独特的动态密码生成有效的消除了风险，这个过程产生一个一次性口令，是无法被猜中、分享、破解的，丢失的密码或再次使用都会被禁止。双因素认证系统可以唯一的确认用户，而且并不要求用户记忆一个新的口令。ActivCard 同时也支持异步挑战码用户认证方式。l 安全性动态的一次性口令，无法推测、无法破解、无法重复使用、无法共享l 唯一性唯一的序列码、唯一的密钥及唯一的用户l 可靠性无效的用户无法通过认证ActivCard认证过程：用户只需简单的在令牌键区输入PIN码，令牌检验PIN码后，动态生成并显示动态密码。用户在Login用户只需简单的在令牌键区输入PIN码，令牌检验PIN码后，动态生成并显示动态密码。用户在Login屏幕输入密码，认证服务器认证动态密码后，允许用户登录。222 ActivCard产品系列ActivCard产品主要由用户手持令牌和中心端认证软件组成。令牌(Token) ：轻便的带有键盘的手持设备，用于动态口令的生成。ActivCoupler：令牌与计算机的连接设备，主要用于令牌的初始化。ActivPack 服务器：基于服务器的认证软件，在采用ActivCard 服务器安全解决方案的应用里起作一把“锁”的作用。现在的版本提供RADIUS验证通信方式。ActivPack Console台：一种图形用户界面(GUI) 的管理模块，用于令牌的初始化、管理ActivEngine的用户和令牌数据库。 令牌（Token）令牌是用户端带键盘的轻便手持设备，用于生成一次性动态口令，提供全面、强大的认证功能。ActivCard提供用户令牌：ActivCard One。需要指出的是，令牌在使用当中，并不需要与系统联机。令牌提供的安全服务同步（专利拥有的时间加事件处理）用户认证异步（挑战/应答）用户认证密值提取每个应用区可存储64位秘密信息（如信用卡号），并以加密格式上载给服务器或应用令牌的PIN码管理Token的使用受PIN码保护PIN码由用户选择，并可随时更换弱PIN码检测（可选）PIN码输错的次数超过门限，Token会自锁开锁密码输错的次数超过门限， Token会自动擦去内存Token可以远程解锁每个Token可以被自动再同步Token特性每个Token拥有唯一的序列号密钥在初始化时随机产生，而非出厂时固定具有光接口与coupler通信时钟漂移小于0.5S/天时钟和注册信息存储于CPU中CPU封装于环氧树脂中，不溶于任何已知溶液可更换的锂电池和备份电池电源节省模式电池缺电检测12个按键（10个数字键和两个功能键）单行10字符/2行12字符+4个通信图标LCD显示。（one/Plus）含电池，25/40克。（one/Plus）82mmX52mmX5mm，信用卡大小寿命为8年遵从的标准ANSI X3.92 DES算法ANSI X9.17和ANSI X9.24 DES密钥导出和管理标准ANSI X9.9动态口令计算和显示标准ANSI X9.26挑战/应答，签名认证处理标准Token的平均寿命30个同步认证/天，25个异步认证/天，15个光接口认证/天在上述使用情况下，Token可更换的电池可以使用2年。 Token本身的寿命为8年。 ActivPack V5 的功能及特征1 ）全面LDAP解决方案ActivPack 在版本V4.4 之前，支持内建的本地用户数据库和LDAP服务器，从版本V5 开始，全部由LDAP服务器提供用户数据，以充分利用LDAP强大的用户管理功能，实现高效的集中式管理。ActivPack V5 支持标准的LDAP服务，从企业级LDAP如AD，到运营商级LDAP 如 iPlanet 。LDAP简介轻量级目录访问协议（LightweightDirectoryAccessProtocol）。一个使用Web浏览器和与LDAP兼容的电子邮件程序访问在线目录服务的协议。一些人可能希望LDAP提供搜索Internet上的电子邮件地址的通用方法，最终带来一个全球性的白页。LDAP在InternetEngineeringTaskForce(IETF)中定义，以推动对X.500目录的采用。LDAP是一种相对简单的协议，它用于更新和搜索基于TCP/IP运行的目录。对于简单的Internet客户机的使用来说，LDAP以前的“目录访问协议(DAP)”太复杂。LDAP目录项是带有名称的属性集合。称为识别名称(DN)。DN清楚的指明是项目。各项目的属性包括一个类型和一个或更多值。这些类型通常是有助于记忆的字符串，如cn指常见名称，或mail指电子邮件地址。值取决于类型。LDAP目录项以一种等级结构排列，它反映了政治的、地理的、和/或组织边界。代表国家的项出现在该树的最顶端，随后是代表州或国家组织的项，然后是代表民族、组织单位、打印机和文档等的项。LDAP目录的优势现在LDAP的流行是很多因数共同作用的结果。基本的原因如下：1可能LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上LDAP的支持。2LDAP协议是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上，LDAP得到了业界的广泛认可，因为它是Internet的标准。产商都很愿意在产品中加入对LDAP的支持，因为他们根本不用考虑另一端（客户端或服务端）是怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDAP界面的关系型数据库），因为可以用同样的协议、客户端连接软件包和查询命令与LDAP服务器进行交互。与LDAP不同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。不象很多商用的关系型数据库，你不必为LDAP的每一个客户端连接或许可协议付费。3大多数的LDAP服务器安装起来很简单，也容易维护和优化。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也很难管理。4LDAP允许你根据需要使用ACI（一般都称为ACL或者访问控制列表）控制对数据读和写的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的，所以不用担心在客户端的应用程序上是否要进行安全检查。LDAP对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。例如，这些信息存储在LDAP目录中是十分有效的：l 公司员工的电话号码簿和组织结构图l 客户的联系信息l 计算机管理需要的信息，包括NIS映射、email假名，等等l 软件包的配置信息l 公用证书和安全密匙ActivCard身份认证系统与LDAP的集成采用ActivCard的ActivPack建立一个统一的身份认证系统，可以供网上银行WEB登录使用，作为一个强力的身份认证系统，未来可供其它系统的认证。ActivPack能够和LDAP服务器同步用户。要建立一个大型的身份认证系统，除了要有强大的认证体系，还需要完善的用户管理体系，采用LDAP服务器专门管理用户，ActivPack专门完成身份认证工作。2） Web Help Desk 功能ActivPack V5 新增Web Help Desk 功能，方便用户管理及故障检测。3） 支持多种设备ActivPack V5 新增了对一些设备的支持，提供多样的选择：Token One, KeyChain, Gold Smart Cards, ActivKey,Palm Pilot, Soft-Token4） 支持Sun Solaris 平台Windows NT4 SP6aWindows 2000 ServerWindows 2000 Advanced serverSolaris 85） 高可用性ActivPack V5 通过内建的 Replication 功能实现双机容错的高可用性。223 ActivCard的应用范围ActivCard基于开放的系统平台，允许运行于最多的计算机及通信网络上，包括：l 公用电话交换网l 基于信元的网络l LANS/WANSl Internet/Intranet 广泛的应用于：l Intranet 登录l Internet 登录l Extranet 登录l 电话银行服务l 电话委托证券交易l 网上银行l 网上证券交易23 ActivCard的优势：231 ActivCard的关键优势 1） 增强的网络安全: 2） ActivCard使得用户在得到动态密码前必须具备两个要素：令牌和PIN码。利用动态密码大大减少了无认证连接的风险。 3） 高性价比的安全: 4） ActivCard One令牌结束了以往围绕静态密码认证展开的IT系统管理员需定期更改密码的烦琐工作。这不仅大大节省了系统管理员的时间，降低了企业的管理费用，也极大地强化了身份认证系统的安全。 5） ActivCard One集成的动态口令认证功能把系统管理员从以往烦琐的日常例行工作中解脱出来，可以有足够的时间和精力关注企业内基于Web和其他方式的数据通讯和交易处理顺畅进行。 6） 平滑过渡为大规模、全企业内使用ActivCard One动态口令认证:7） 结合ActiveCard服务器产品系列，系统管理员能有效管理ActivCard One令牌的分发、用户授权、远程初始化以及令牌再同步等。 8）ActiveCard 动态口令认证技术能与诸如Cisco,CheckPoint,Axent,Lucent,Novell等主流网络、防火墙厂商的产品无缝集成，在企业网内已有的认证系统基础上进一步强化认证安全。 9）日后可以灵活调整: ActivCard令牌可以在基于PC工作站和Unix网络终端混杂的计算机环境进行动态身份认证。 ActiveCard服务器产品系列还支持ActiveCard 智能卡，以逐步实现向基于PKI和数字签名的认证系统过渡。 10）突出点 专利技术: 使用基于标准的3种算法产生一次性使用的口令 11）随时随地进行连接: 相对其他手持令牌ActivCard One更为小巧轻便，在任一地方提供灵活先进的远端接入 12）已证明的可伸缩性:支持全面的鉴定解决方案企业级电子金融服务网上银行方案的全球提供商，已经有超过1000,000套ActiveCard令牌正在使用232 ActivCard与RSA比较的优势Activcard独特的七个卖点：1）ActivPack for LDAP实现企业中所有LDAP的单点管理2）齐全的产品线，提供多种多样的选择: Token One, KeyChain, Gold Smart Cards, ActivKey, Palm Pilot, Soft-Token3）独特的灵活性应用于不同的认证模式、目录、数据库、设备，支持全球性的解决方案：4）保护您的投资：Gold Cards 支持随时迁移/增加到PKI或SKI5）更高层次的安全观点：软件与硬件的结合6）更好的可管理性和界面7）更优越的性价比Activcard实现企业的单点管理 1）大公司通常使用LDAP存储公司的所有信息, 包括用户的信息.2）使用ActivPack for LDAP，公司无需管理额外的用户数据库，即可使用ActivCard的强力认证解决方案.3）用户仍然在LDAP目录中进行存储和管理4）查询是动态的：当在LDAP中增加用户，在ActivPack中立即生效（无需导入）5）无需修改LDAP的 架构（Schema） 6）支持所有LDAP目录（所有厂家的）单点管理的优势1）更低的管理花费2）单点的维护3）只需一个数据库的管理，代替以前两个数据库的管理4）一个数据库提供更优的安全性和一致性5）一个数据库管理一个组6）只有单点的攻击容易防御7）减少撤销的延迟和出错的风险8）当删除雇员立即全面生效9）LDAP的移除与ActivPack的移除无延迟时间!10）免除了忘记从第二个数据库中移除用户的风险齐全的产品线1）当前的设备要求不同类型的认证设备：如笔记本电脑不希望携带Smart Card读卡器, 2）ActivPack 提供一个广泛范围的设备来满足所有客户的需要：3）ActivKey (USB Key) 用于笔记本电脑时无需读卡器4）Token One or KeyChain 用于 no footprint 的解决方案5）Smart Cards 用于多用途的应用和目的 (PKI, SKI, 物理访问, branding, 等等.)6）Soft Token 用于无花费的或者试验性的解决方案7）Palm ID for Palm Pilot齐全的产品线的优势1）满足所有用户的需求2）满足各种应用的需要3）提供可能扩充到 PKI 或 SKI 的路径 (参见第4点)4）更好的投资回收率（ROI）,设备销售给客户，不租用!独特的灵活性应用于全球性的解决方案中1）各公司面临各种技术和解决方案之间的配合问题的挑战。ActivCard提供一个独特的整体解决方案，用一种更简单和更易管理的方案来满足公司不同的安全需要。2）ActivCard易与其它客户体系结构集成 :3）认证办法: PKI, SKI, 静态和生物测定学4）Single-Sign On5）支持多种数据库6）与 PKI 厂家的特殊集成 (Entrust, Baltimore)7）与 VPN 厂家的特殊集成 (Checkpoint) 独特灵活性的优势1）Activcard全面支持PKIRSA只支持RSA Keon PKI2）Activcard可选择多种部署的数据库，便于客户的管理RSA只提供和支持 Progress数据库。DBA无需再学习额外的数据库!3）ActivPack可于任何 Tacacs+/Cisco或Radius设备的接口RSA只支持Radius，不能全面支持Tacacs协议的所有功能 4）Activcard有更多动态认证方式的选择，可采用挑战/应答方式RSA 不能采用挑战/应答认证方式5）Activcard有更广泛的设备选择范围，包括 USB keys6）ActivPack for Checkpoint VPN 客户端和 FW 的简化终端用户,使用强力认证的过程：只需输入 PIN，余下工作由ActivPack 客户端完成!独特的迁移/扩展性1）为满足将来的需求，公司当前的结构需要更好的扩展性。在进行技术/产品迁移和扩展时，ActivCard具有独特的灵活性，来保障客户的投资。2）Activcard 提供所有方式的扩展 ( SKI-PKI , Static-SKI, Static-SKI-PKI )3）可从RSA（或者其它的解决方案）平稳迁移到ActivCard。 4）产品和物理产品访问（如HID和Mifair）互操作的可能性5）设备的专业化 (如: Alstom )独特的迁移/扩展的优势1）迁移的可能性!RSA 不提供迁移到其它市场产品的路径 (SKI, PKI 厂家如 Entrust, Baltimore, Verisign) 2）Activcard容易实现迁移!由于扩展的路由能力，我们的产品提供一个迁移路径，防止迁移问题和延迟。3）更少的迁移花费!4）客户更强的拥有感：Activcard能定制设备高层次的安全观点1）网络链路的安全取决于链接中最薄弱的一环。使用ActivCard产品，控制链路中的每一环节，提供给客户牢固的基础。2）每个客户能建立自己的秘密，打破了客户对编辑者的安全依赖。3）使用Smart Cards, 可产生 (SKI 动态密码, 或签名 key-pair) ，卡不会被遗忘。4）PIN码的值不会跟随动态密码在线发送5）3 因素 (clock, counter, and 3DES key) 认证提供更强、更稳定的动态密码6）可能的检验编码 (FW-1, VPN-1, RAS, 或SDK基于client的开发) 提供互惠的认证7）设备能存储长且复杂的静态密码8）使用读卡器技术，可直接在读卡器的安全键盘上输入PIN码（不通过PC的RAM！）9）ActivCard支持使用MSCHAP安全协议进行认证。而RSA不支持！高层次安全观点的优势1）只有ActivCard能提供完全独立的安全!在RSA的部署中，客户和RSA都知道每个部署设备的秘密。2）ActivCard使用真正的强力认证，提供更好的安全性RSA的密码是明文传输，容易在网络中被探测到。设备的SecurID可能被窃取和假冒。 3）检验码能保障客户正在连接的服务器的身份4）ActivPack clients 或 SDK 开发 客户端 clients5）一些客户使用MSCHAP协议保护他们的认证线路。ActivCard产品能够在MSCHAP上使用，而RSA不能！6）ActivCard挑战/应答认证提供不基于时间因素的认证方式以供选择。RSA 从属于时间的导出和同步。7）ActivCard设备（如Smart Cards 或 ActivKey）提供弱密码检测功能，不认同容易攻破的传统密码，改善安全性。更好的易管理性和界面1）在管理方面，ActivPack容易嵌入企业体系结构，快速安装，更快的管理。在终端用户方面，ActivPack设备简单，容易使用。2）支持所有厂家LDAP 目录 (v2 and v3) 3）快速且容易安装4）使用友好的管理和终端用户界面5）无需修改LDAP的架构（schema），能使用任何字段存储Token SN6）在每一个认证尝试间无延迟7）能够处理如xyzdomain 或 domainxyz 的域名或者NT名8）不需任何的增加，提供全面的AAA功能更好的易管理性和界面的优势1）无其它附加的要求:2）全面的AAA性能（RSA需要第三方授权服务器）3）客户有选择！ 用户数据库的管理：ActivPack 数据库LDAP V2或V3 目录4）使用ActivPack for LDAP，无需改变客户存在LDAP的配置!5）Activcard在实时的任务中花费更少的时间RSA Ace 服务器需要附加的用户管理6）Activcard有直观和快速的管理RSA 使用 Unix 图形方式，用户界面不好、效率较低7）Activcard易实现多领域的管理RSA 不支持所有的领域管理更优的性价比 1）ActivCard 提供的解决方案，满足每个客户对价格和价值的要求。2）设备销售给客户。而RSA租借设备!3）我们提供比RSA更优惠的价格!4）保护客户的投资5）同样的价格，客户能选择在PKI，SKI和静态密码认证方式中选择最好的解决方案更优性价比的优势1）Activcard设备具有永久的许可对于RSA：当租期过期时，客户必须再次租借设备2）对于ActivCard：设备销售给客户，电池可替换 3）设备只需一半价格RSA 设备比Activcard设备贵的多4）ActivCard的质量/功能/价值更好RSA的价格更高，而提供的功能更少5）Activcard降低工作时的额外花费RSA同步时占有全部的带宽6）Activcard减少设备丢失的费用当你丢失一个还有2年许可的RSA 令牌，你必须重新换一个新的3年许可的令牌：丢失了2年的许可费用。Activcard具有更低的整体花费（TCO）1）投资的价格2）操作/管理花费3）对所有认证办法，统一的设备管理4）一台服务器支持所有的PSDs6）升级到PKI时，客户端无需额外的投资7）一台 LDAP 服务器可实现AAA, PKI, SSO, Applet 和 卡的管理,3.ActivCard系统的安全特性31 ActivCard系统本身安全特性311 ActivCard 动态密码的安全性：1 算法不可逆保证动态密码的安全：动态密码的认证和授权流程如上图所示，1） 用户使用令牌的密钥（Key1）和时间、事件计算出Password1（6位），然后再加上时间、事件变量的最后一位生成动态密码1（8位），最后递交动态密码给RADIUS Client；2） RADIUS Client递交动态密码给RADIUS Server（ActivPack Server）请求认证；3） 根据RADIUS Client的认证请求，触发RADIUS Server上的API对RADIUS Client认证请求进行响应；4） RADIUS Server根据递交的用户名找到对应的密钥（Key2），用密钥（Key2）和时间、事件计算出Password2（6位，是不可见的），然后再加上时间、事件变量的最后一位生成动态密码2（8位）。将算出的动态密码2和RADIUS Client递交来的动态密码1进行比较，最后将比较结果（1/0）返回给RADIUS Client；5） RADIUS Client根据RADIUS 认