SafeWord PremierAccess双因素认证实施方案.docx

SafeWord PremierAccess双因素认证实施方案.docx

《SafeWord PremierAccess双因素认证实施方案.docx》由会员分享，可在线阅读，更多相关《SafeWord PremierAccess双因素认证实施方案.docx（7页珍藏版）》请在冰豆网上搜索。

SafeWordPremierAccess双因素认证实施方案

网管和CMNET系统双因素认证实施方案

目录

一、SafeWordPremierAccess双因素认证系统简介2

二、网管和CMNET系统双因素认证方案建议3

1、SafeWordPremierAccess认证系统架构及功能说明3

2、移动网管和CMNET系统中的双因素认证解决方案4

一、

SafeWordPremierAccess双因素认证系统简介

SafeWordPremierAccess认证产品是由美国SecureComputing公司开发的商业应用软件，通过动态口令卡、PKI数字证书、IC卡、生物辨认技术等所有的通用认证手段对用户进行身份验证，是一个对企业内部系统及网络设备的各种访问进行统一认证、授权、审核的企业级认证服务平台，能够确保企业用户访问各种资源的安全性，全面的实施和贯彻用户制订的资源访问策略。

凭借着先进的技术和良好的声誉，SecureComputing在全球范围内拥有众多客户，SafeWordPremierAccess认证系统产品尤其成为金融、通信及IT业的首选，如金融行业的Citibank（美国花旗银行，60万用户）、FirstCitizensBank、Visa，IT行业的Sony（5万用户）、SunMicrosystems（4万用户）、NTT（3.5万用户）、CiscoSystems（3万用户）、Sybase（3万用户）、Alcatel（7万用户）、Ericsson（2万用户）等都选择了SafeWordPremierAccess认证系统产品做统一的认证平台。

在国内SafeWordPremierAccess认证系统产品已经获得了安全部门的销售许可证，而且被很多用户选择用于关键应用，如广东移动（BOSS/网管）、江苏移动（BOSS）、浙江移动（网管）、四川移动（网管）、河北移动（BOSS/网管）等移动通信系统客户，其中广东移动是我们在国内最大的客户（30,000用户），其他如中国网通（1,200用户），中国电信北方公司（1,000用户）等客户也选择了SafeWordPremierAccess认证系统产品。

二、

网管和CMNET系统双因素认证方案建议

1、SafeWordPremierAccess认证系统架构及功能说明

SafeWordPremierAccess双因素认证系统结构基于标准的C/S结构。

客户端是由各种SafeWordPremierAccessAgent（代理软件）以及基于各种标准的访问协议（如RADIUS协议）所构成认证转发点，负责将用户的认证请求转发到认证服务器端；认证服务器端是认证系统的核心，负责响应认证系统客户端所发过来的用户认证请求，完成用户的身份认证。

下图是SafeWordPremierAccess认证系统的内部结构图。

SafeWordPremierAccess认证系统结构图

SafeWordPremierAccess双因素认证系统主要部分功能详见下表。

组件

描述

DatabaseServer

DatabaseServer用于存储整个系统的数据，包括用户数据，审核日志和认证系统自身的信息，所有数据均被加密存储。

认证系统的冗余备份功能是由DatabaseServer按照基于关系型数据库（RDBMS）的复制机制来实现的。

AdminServer

AdminServer提供认证系统的管理功能，它分别连接管理控制台和DatabaseServer，作为两者之间的沟通桥梁，将系统管理员的管理动作转化为数据库操作，同时将数据库中的变化体现到管理控制台。

它可以与本地或远程的多个管理控制台建立连接，之间的会话，由SSL加密。

AuthenticationServer

AuthenticationServer负责接收和处理由代理软件转发过来的认证请求，提供访问授权，实施访问控制策略，同时记录访问日志。

它与代理软件之间的所有会话，都由SSL加密。

AdminConsole

AdminConsole提供用户管理界面，可以安装在认证服务器本地或远程系统中。

RADIUSServer

RADIUSServer用于处理使用标准RADIUS协议的客户端发起的认证请求，并将其传递给AuthenticationServer进行认证，最后将认证结果回复给RADIUS客户端。

Agents

Agents（代理软件）安装在不同的应用系统中，当用户访问应用系统时，Agents截获访问请求，并将其转发到AuthenticationServer，随后接收AuthenticationServer回复的授权信息，实施允许访问或拒绝访问的动作。

2、移动网管和CMNET系统中的双因素认证解决方案

我们根据移动网管和CMNET系统网络安全需求及SafeWordPremierAccess系统特点，提出解决方案如下：

A.SafeWordPremierAccess认证系统服务器部署

在移动网管和CMNET系统网络环境中，部署最少两台认证服务器，安装SafeWordPremierAccessServer，形成互为备份的认证服务器，用以实现冗余备份及负载分担。

同时，启用SafeWordPremierAccessServer内置的RADIUSServer，用来处理基于RADIUS的网络设备的身份认证请求。

整体上，由这两台认证服务器提供对整个系统中的认证、授权、审核以及用户管理。

两台认证服务器之间自动进行同步数据复制，确保数据的整体完整和协调一致。

当采用负载分担工作方式时，客户端的请求按照代理软件端配置的比例被自动分配到两台认证服务器上，用以降低单台服务器的工作负载，从而提高系统的运转性能。

当采用冗余备份工作方式时，主认证服务器出现故障时，另外一台服务器将会零间隙、无延迟的自动接管原故障服务器的认证服务，直到主服务器恢复正常。

无论在正常工作状态下，还是发生单机故障，SafeWordPremierAccess系统在每台服务器上均可以独立完成全部的系统管理和日志记录任务，真正实现认证系统的高可用性。

B.VPN系统和网络系统设备管理的身份认证

公司VPN系统中采用Cisco的PIX作为VPN服务器，后台采用CiscoSecureACS系统对接入用户进行认证、授权和管理。

同时，网络系统中的路由器、交换机等网络设备，也采用CiscoSecureACS作为管理员登录的认证和管理系统。

然而，整个系统仍然采用传统的用户名＋静态口令的认证方式，用户需要记忆多个静态密码，很容易忘记，而一旦管理员口令被盗用，产生的后果则无法预料。

我们建议将SafeWord取代CiscoSecureACS，在VPN网关或网络设备上配置用户认证信息转发到后台的SafeWord系统，这样由SafeWord系统提供的高强度动态口令认证作为补充，从而提供完善的VPN接入和网络设备管理的整体安全方案。

VPN登录的流程如下，用户打开Cisco的VPNClient，在登录界面输入SafeWord系统中的用户名，并用自己的SafeWord令牌生成一个一次性的口令，作为密码填写在登录窗口中，进行登录即可。

而在网络设备管理中，系统管理员通过Telnet方式连接到网络设备时，输入用户名后，系统将在登录窗口要求用户输入动态口令，用户打开自己的动态口令牌，生成动态一次性口令，添入到登录窗口中，用户名和口令由网络设备传输到SafeWord系统，这样，SafeWord系统对用户完成了认证。

根据用户的实际情况，可以在SafeWord认证服务器中创建访问控制列表，综合多种因素对用户的访问进行控制，用户的访问日志也会同时记录在系统中，从而进一步提高系统整体安全水平。

移动网管和CMNET系统中配置有很多关键的网络设备，除了从Unix管理主机对这些设备进行管理工作之外，管理人员也会直接从管理终端连接到设备上，所以，直接的网络设备管理也存在着身份认证的要求。

传统的固定密码认证方式迫使管理人员记忆大量的复杂密码，要不就是所有设备都使用同一个密码，显然这增加了设备管理人员的工作强度或者降低了系统安全性，二者不能兼顾。

同时由于工作的需要，管理人员经常需要通过Telnet等方式远程连接到网络设备进行调试，而对于Telnet连接，输入的静态密码在网络中是明文传播的，极易被窃听并非法利用，形成安全隐患，是很不安全的。

我们建议在需要保护的关键网络设备中配置使用RADIUS认证，将RADIUS服务器指向到SafeWordPremierAccess内置的RADIUSServer，从而为网络设备的访问提供动态口令身份验证。

不同的网络设备通过标准的RADIUS协议使用SafeWordPremierAccess服务器进行身份认证，管理人员可以利用令牌卡进行远程登录，即使密码在传输过程中被窃听，由于动态密码的一次性特性，无法再次使用，杜绝了非法使用。

在使用基于挑战－应答的异步密码方式时，由于密码根本不在传输过程中出现，从而可以彻底避免密码在网络中明文传输和泄漏的问题。

同时由于使用同一硬件令牌登录不同网络设备，能够实现统一认证，无需记忆多个设备的静态密码，从而在加强网络设备管理安全性的同时降低了设备管理人员的工作强度。

系统结构参见下图：

C.网管系统和CMNET系统管理主机的身份认证

移动网管系统和CMNET系统中采用Unix系统作为整个系统的管理主机，系统管理员通过Unix系统管理着所有的骨干网设备，承担着很大的安全责任，特别是管理主机更是不法分子觊觎的目标。

因此，加强管理主机的安全十分重要。

实际上，传统密码非常不适合用于Unix系统管理，使用Telnet或r系列命令连接Unix主机时，用户密码在网络中采用明文传输，极易泄漏，而且，存储在主机中的口令文件也容易被他人获取，通过密码破解程序得到Root口令，这会给整个系统的安全带来难以想象的灾难。

将SafeWordPremierAccess提供的PAM（PlugableAuthenticationModules）代理程序安装到Unix系统中，可以为用户的Unix本地登录、Telnet登录，rLogin登录，XWindow本地或远程登录，FTP登录以及Su命令提供动态口令身份认证，其流程如下：

系统管理员通过Telnet或者其他方式连接到管理主机时，输入用户名后，系统将在登录窗口要求用户输入动态口令，用户打开自己的动态口令牌，生成动态一次性口令，添入到登录窗口中，点击确认，用户名和口令传输到PAM代理程序上，PAM将通过加密方式将用户信息传送到SafeWordPremierAccess认证系统进行口令确认，随后认证系统将认证结果（允许或拒绝）回复给PAM代理程序，同时将认证过程记录于系统日志中，Unix主机收到SafeWordPremierAccess认证服务器返回的认证结果，根据其认证成功与否决定是否允许用户登录。

根据用户的实际情况，我们建议在认证服务器中创建访问控制列表，按照工作时间，认证发起IP等因素对用户的访问进行控制，从而进一步提高系统整体安全水平。

网管系统和CMNET系统管理主机的认证系统结构图

D.

Windows登录认证

在Windows域控制器上安装SafeWordDomainAgent，在Windows工作站上安装SafeWordDomainPlug-in，用户在登录Windows域时，必须使用动态口令牌生成的动态口令登录，从而保证系统的安全性。

Windows域登录认证的系统结构

E.整体部署

SafeWordPremierAccess系统可以作为系统中的统一认证平台为所有系统提供身份认证。

参见下图：

统一认证部署结构图