联创安全身份认证系统解决方案

• 关 键 词：
• windows操作系统
• windows xp
• ibm aix
• solaris
• 访问控制列表

　　1.3 系统特点

　　ü 高安全性:提供双因素认证功能，保证身份认证的高度安全;

　　ü 高通用性:支持Radius、Tacacs+、LDAP等国际标准协议，具有高度的通用性;

　　ü 高可靠性:多个协议模块之间可以实现负载均衡，多台统一认证服务器之间实现热备份，认证客户端可以在多台服务器之间自动切换;E-Securer产品自动定时进行数据备份，防止关键数据的丢失;系统采用高可用配置方案，保证了7×24持续、稳定工作;

　　ü 高并发量:系统采用现今成熟技术设计，并且进行了大量的性能优化，保证系统提供实时认证、高并发量运行。

　　ü 功能丰富:E-Securer系统与国内外其他类似产品相比，功能更加丰富。除了提供双因素强身份认证以外，更提供同类产品所没有的丰富授权、审计等功能。

　　ü 管理界面简洁易用:采用基于WEB的图形化管理界面，极大的方便了管理员对系统进行集中的管理、维护、审计工作;

　　ü 基于角色的权限管理:通过用户与角色的结合、角色与权限的配置，可有针对性的实现用户的职责分担，方便灵活的配置用户对资源设备的访问权限;

　　ü 基于用户所属机构对信息进行分级管理，保证了用户、资源及角色信息的隐秘性，符合中国政府机构、企事业单位的管理模式;

　　ü 广泛的适用性:采用安全令牌的认证方式，提供了“随时随地认证”的解决方案，适合于任何应用环境，而不象其他强认证方式，对软、硬件环境有较高的要求。

　　2 统一身份认证解决方案

　　作为一直致力于身份认证产品研发的联创公司来说，早就为国内多家电信运营商提供过成功的统一身份认证解决方案。

　　联创公司的E-Securer 安全身份认证系统将为信息系统提供统一的整体的安全身份认证服务。相比于其他类似产品，E-Securer 安全身份认证系统在对设备的支持的广泛程度、对网络设备的访问控制、对VPN 的授权控制、对于数据库系统的认证支持、贴近国内企业的现状、系统的易使用、易维护程度等诸多方面，均是很多同类产品所无法比拟的。实际上E-Securer系统所提供的功能远远超出了单纯的认证服务，而是集认证、授权、审计三位一体的安全解决方案。

　　E-Securer 安全身份认证系统，将从网络层，系统层，应用层等各个层面，为用户的系统来构造认证和鉴别的第一道坚固防线。

　　在使用了我们提供的统一认证解决方案后，用户根据其类型，使用联创安全令牌、短信一次性口令、或者普通的静态口令，访问运行其访问的资源，例如:网络设备、主机设备、VPN、数据库、应用系统等等，而不用每个资源，都要记忆不同的口令。

　　联创统一认证解决方案充分考虑了系统的可靠性，系统可以采用多台设备冗余或同时工作的方式，从而保证系统的可靠性。

　　统一认证解决方案的示意图如下图所示:

　　2.1 主机设备认证

　　信息系统内通常存在大量的UNIX、Windows主机，这些主机通常承担着非常关键的应用程序服务以及存放着重要的信息，对于整个系统的运作起到非常关键的作用。

　　但是如果这些服务器采用弱口令认证，不管是普通用户还是系统管理员，均使用口令登录到主机系统。这样就有可能给不法用户提供可呈之机，有可能冒用其他用户的帐号和口令进入系统，胡作非为。

　　为了消除静态口令的安全隐患，管理员不得不经常定期更新口令;有时候需要告诉某个用户系统口令;有时候甚至由于口令遗忘而随便记在某个小本子上等等。这样的例子屡见不鲜，不仅给系统管理者带来麻烦，而且也留下了重大的安全隐患。

　　E-Securer系统提供的主机安全保护，可以完全消除上述安全问题，从而保证主机系统的安全。

　　在操作系统上安装了E-Securer认证代理后，当用户通过远程Telnet或本地登录到主机时，需要进行双因素强认证的用户，必须输入正确的用户名、静态口令、动态口令，才能允许进入主机系统，否则就会被拒绝在外。

　　如使用联创基于PAM技术开发的认证代理，则除了能够对Telnet、本地登录进行双因素认证外，还可以对其他服务:例如FTP等提供双因素认证的安全保护。同时还可以记录用户的上下线记录等审计数据。

　　E-Securer系统支持多种UNIX、Windows操作系统，包括IBM AIX，HP-UNIX SUN Solaris、Redhat Linux， SCO Unix、Windows XP/NT/2000/2003等。

　　2.2 网络设备认证

　　作为信息系统的基础设施，路由器、交换机等网络设备，对整个系统的通信起着至关重要的作用。但是如果仅使用普通口令认证用户身份，非法人员就有可能获得管理员的口令，从而进入网络设备随意修改，带来严重的不安全因素。

　　E-Securer系统可以象主机安全保护那样，为各种网络设备提供双因素认证安全保护，当用户需要TELNET到这些网络设备时，必须输入用户名、静态口令和动态口令，然后由这些网络设备这些人证信息发送到认证服务器进行认证，如果是合法用户则可以登录进入网络设备，否则就会被拒绝在外。

　　除了双因素认证，E-Securer系统针对网络设备，还提供了强大的权限管理和行为审计功能。

　　通过权限管理功能，管理员可以集中控制每个登录进网络设备人员的权限，包括其所属的权限级别、可以执行的命令等，从而实现设备管理的“最小授权”防止由于误操作或恶意操作带来灾难性的影响。

　　E-Securer系统强大的审计功能，可以详细记录网络设备上各个人员操作，除了基本的登录、退出外，更包括其所执行的任何命令，从而可以精确跟踪每个人员的行为，为安全审计提供详细的依据，或用于故障排查。

　　因此E-Securer系统为网络设备提供了认证、授权、审计三位一体的安全保护方案。

　　2.3 VPN远程接入认证

　　随着互联网的应用越来越广泛，使用VPN实现远程接入的方式也越来越广泛。驻外人员、长期移动办公人员等可以通过VPN接入内网，但是同样遇到了棘手问题，如何确保从互联网接入公司内部网络的人员的身份呢?VPN可以通过加密实现VPN客户端与VPN网关之间的数据通讯的机密性，但是却不能防止黑客通过窃取或猜测VPN口令入侵内部网络。

　　通过使用E-Securer系统，实现了VPN的加密特性和双因素认证之间完美的结合，从而提供全方位的安全防护。

　　当用户需要通过防火墙或者VPN网关接入内部网络时，必须输入用户名、静态口令以及动态口令，然后由这些VPN 设备通过标准的RADIUS协议将这些认证信息发送到E-Securer服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。

　　同时E-Securer系统提供强大的、无与伦比的访问控制能力，可以有效的控制VPN用户所使用的IP地址、网络路由、可以访问的范围等权限。

　　E-Securer会详细记录每个VPN用户接入和推出的时间、在线的时长，从而为VPN安全审计提供详细的依据。文章地址： http://www.qqread.com/erp/26/l575157004.html 更多内容请看数字化校园网解决方案、路由安全配置专题、局域网安全管理专题，或进入讨论组讨论。

【深 度 阅 读】 相 关 文 章

• 南京远古Web VOD5.0点播系统解决方案
• 北京林业大学校园网络信息系统解决方案
• 重庆某高校校园网服务器系统解决方案
• 利玛物流配送系统解决方案