`
ningdun
  • 浏览: 36814 次
  • 性别: Icon_minigender_1
  • 来自: 上海
文章分类
社区版块
存档分类
最新评论

宁盾动态密码应用案例: 国内某大型油田OA集成dKey动态口令牌认证功能

阅读更多

一、背景

 

      国内某知名油田应信息化发展需要,前几年开发了一套基于B/S模式的OA系统满足办公要求,员工通过这套系统进行日常办公,并将OA服务器部署在公网上以满足处在不同地域的员工即时收发电子邮件、协同办公等。

       为了IT管理的方便,以员工工号作为OA系统帐号,初始密码设置为123456,管理员并通知员工要修改初始密码,然而在现实应用中只有极少员工修改初始 密 码,就会导致一个很坏的情况,因为帐号是很容易猜测的,OA系统上敏感信息很容易被一些别有用心的人获取,尤其是一些高管的邮件系统信息十分重要,公司曾 经出现过由于以上原因造成信息泄漏后果,给油田造成很大损失。

       因此该单位通过网络找到宁盾,希望通过动态密码方式来保护登录安全。

 

二、登录口设计 

 

 宁盾在登录口设计推荐了以下2种方案供选择:

(1)帐号 + 静态密码 + 动态密码,双因素更加安全。

(2)帐号 + 动态密码,无需以及任何密码,需防止口令牌丢失。

 

三、系统架构方案1 - OA部署在内网,通过VPN + 动态口令方案访问 

 

       在 内网部署SSL VPN,将内部应用设为禁止外部IP访问,通过部署宁盾动态身份认证服务器,与SSL VPN对接,即通过SSL VPN + 动态口令,OA不开通外网直接访问权限,用户通过IE输入SSL VPN的地址,配合动态令牌访登录内部系统。此方案可以达到内网用户不做任何更改,外网用户需要登录VPN通过身份认证才可以访问内部应用的效果,达到保 护OA登录安全。


优点:

   1. 部署方便,一天之内可以完成
   2. 不对内部系统本身构成影响,不影响公司日常办公
   3. 增加新系统不需再次进行投资
   4. 增加了VPN功能,对公司内外网形成隔离,安全性更高

缺点:

    1. 增加了VPN部署费用
    2. 需要对原网络设置进行更改

 

四、系统架构方案2 - OA通过二次开发接口整合动态口令认证 

 

对接步骤:

(1) 部署宁盾dKey统一动态密码认证服务器
(2) 对于不支持标准身份认证的系统需二次开发以支持动态密码身份认证
(3) 将原OA系统的用户信息导入到身份认证服务器,dKey承担统一身份认证功能 

优点:

   (1)此方案不需要更改公司原来的网络结构和设置
   (2)对于内网和外网用户都需要通过动态身份认证才可以登录某个OA系统
   (3)更方便实现多应用系统统一动态密码认证

缺点:

    (1)由于需要二次开发,因此部署时间长
    (2)更改了原系统配置,需进行一段时间测试

 

五、最终方案 

 

    考虑到未来可能接入多个应用系统如:邮件、ERP、OA、CRM、加密,统一动态密码认证且不更改现有的应用习惯,最终选择的方案如下:

(1)登录口采用 工号 + 动态密码方案,并预留双因素做扩展。

(2)系统架构采用在OA系统基础之上做二次开发方案。

(3)考虑到认证系统需要提供7×24小时服务,最终采用2台动态密码认证服务器策略。

 

-----------------------------------------------------

宁盾专注动态密码身份认证(动态令牌 | 短信密码)

http://www.ndkey.com.cn

电话:021 - 54263385

-------------------------------------------------------

分享到:
评论

相关推荐

    Windows系统开机登录双因素认证方案——宁盾DKey MFA.pdf

    在Windows系统中,用户首先输入本地静态密码,然后通过另外一种验证方式,如手机接收的动态口令、短信验证码或硬件令牌产生的动态密码,完成第二重身份验证。这样,即使攻击者获取了用户的静态密码,也无法在没有第...

    宁盾单点登录(SSO)与SAP对接方案.docx

    宁盾凭借其在动态密码双因素认证领域的专业,提供了一套全面的身份与访问管理解决方案,涵盖了智能多因素认证、终端准入控制、智能访客管理、统一身份管理和SSO、网络设备AAA授权以及大型商业WiFi认证等多个领域,以...

    宁盾单点登录(SSO)与致远A8对接方案.pdf

    宁盾自成立以来专注于动态密码认证,提供一体化的身份认证与访问管理解决方案,适应移动化和云趋势,涵盖多因素认证、准入控制、访客管理等多个领域。 这个对接方案为企业构建了一个安全、高效的信息化工作环境,...

    AC DKEY认证基础配置文档.doc

    《AC DKEY认证基础配置详解》 在网络安全领域,DKEY认证是一种常用的身份验证方法,它为用户提供了一种安全、便捷的身份验证手段。深信服的DKEY产品就是这种技术的具体应用,它通过硬件令牌(DKEY)进行身份验证,...

    宁盾单点登录(SSO)与SAP对接方案.pdf

    宁盾单点登录(SSO)与SAP对接方案旨在解决现代企业中多应用系统登录繁琐、安全性低的问题,通过构建以身份为中心的统一管理方案(IAM),提高工作效率并强化安全防护。以下是对该方案的详细说明: 1. **统一身份...

    宁盾单点登录(SSO)与Salesforce对接方案.pdf

    宁盾单点登录(SSO)与Salesforce的对接方案主要关注的是如何通过宁盾的SSO技术,实现用户在企业环境中对多个应用系统的一次性登录,包括对流行的SAAS应用Salesforce的无缝整合。这涉及到身份和访问管理(IAM)的...

    宁盾单点登录(SSO)与致远A8对接方案.docx

    宁盾单点登录(SSO)与致远A8的对接方案主要关注的是企业信息化安全与效率提升。...宁盾作为专注于动态密码认证市场的领先者,其产品线涵盖了多种身份管理和访问控制解决方案,为企业提供了全面的安全保障。

    宁盾单点登录(SSO)与Salesforce对接方案.docx

    宁盾单点登录(SSO)与Salesforce的对接方案主要关注的是如何在企业环境中实现高效、安全的身份管理和应用访问。随着企业对移动化和云计算的依赖加深,传统的网络安全策略已经无法满足需求,因此需要转向以身份为...

    测试 使用Dkey登录 下载Dkey控

    使用Dkey登录 下载Dkey控

    SANGFOR_AC_v11.0_2016年度渠道初级认证培训05_基础认证.ppt

    【深信服AC基础认证培训】讲解了网络访问控制设备SANGFOR AC v11.0的初级认证机制,旨在让渠道合作伙伴理解并掌握不同认证方式的配置与应用。认证功能是确保网络用户身份验证的关键,它允许AC设备识别并管理内网用户...

    深信服AC基础认证技术.ppt

    在具体的应用场景中,例如某集团公司的案例,办公区用户使用IP/MAC绑定的认证方式,确保用户不能随意更改IP和MAC地址;公共上网区则需要用户输入用户名和密码,以便跟踪网络行为;总经理使用免审计KEY,确保其上网...

    SANGFOR_SSL_v5.X_DKEY登陆配置指导.pdf

    2. **基于冲击-响应的认证**:无驱KEY认证依赖于不可逆密码算法和KEY的独立运算,同样需要PIN码和KEY设备,但不依赖外部驱动程序。 **第二章 DKEY认证配置流程** 配置DKEY认证分为有驱KEY和无驱KEY两种方式。 **...

    深信服上网行为管理-基础访问认证介绍.pptx

    认证功能配置包括不需要认证、密码认证、DKEY 认证等多种方式的配置。 典型应用场景与配置 1. 不需要认证场景 在这个场景中,办公区用户上网时不需要输入用户名密码信息。配置思路是将办公区用户的 IP 和 MAC ...

    2020深信服销售专家初级认证.docx

    其中,用户认证方式多样,如IP/MAC绑定、本地用户名-密码认证、第三方服务器认证、DKEY双因素认证、单点登录以及短信/微信认证。 5. SSL VPN支持:AC支持SSL VPN,这是一种安全的远程访问解决方案,提供了传输安全...

    深信服上网行为管理-基础访问认证介绍.pdf

    深信服上网行为管理-基础访问认证介绍 深信服上网行为管理基础访问...深信服上网行为管理基础访问认证提供了多种认证方式和配置方法,可以满足不同的应用场景需求,保护用户的上网安全并提供流量管理和应用审计功能。

    集成测试文档

    ### 集成测试文档知识点解析 #### 一、引言 **目的与范围:** 本文档旨在描述产品将要经历的功能性需求验证测试。这些测试的目的在于通过黑盒方式验证产品的所有操作功能,确保软件模块集成后能够满足设计规格。 *...

    深信服上网行为管理-外部认证介绍.pdf

    只有当用户属性未勾选“本地密码”和“启用DKEY”,且认证策略选择“密码认证/单点登录”时,用户才会被引导至外部认证流程。 对于LDAP认证,例如,当公司内部有AD域服务器时,配置包括两部分:创建外部认证服务器...

    上网认证客户端

    在提供的"校园网 HK"这个压缩文件中,很可能包含了适用于香港地区某学校的上网认证客户端软件及其相关配置文件。用户解压后,按照说明进行安装和配置,即可在该校的网络环境下正常使用。不过,具体使用前,用户应...

    SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术.ppt

    主要认证方式包括本地认证,如用户名/密码、数字证书、硬件特征码等,辅助认证则有短信认证、LDAP认证、RADIUS认证等。对于主要认证,系统允许设置多个,可设定必须全部通过或只需通过一种即可。 1. 用户名/密码...

Global site tag (gtag.js) - Google Analytics