VPN厂家
InteIPrnSeetc
CheckPoint VPN
防火墙
安全VPN
AltaVista Aventail Check Point Fortress IBM Indus River InfoExpress Internet Devices
Nortel NetwFoirrkesWall
Netscreen RedCreek Semaphore Shiva / Intel Sun TimeStep TIS V-ONE VPNet 联想 东软 易尚
您的口令是什么？有人非常想知道 偷窃口令文件 、交际工程学 黑客工具
四川安盟电子信息安全有限责任公司
解决口令中存在的问题
• 把你有的一些东西 混合在一起 ...
– 例如，你的ATM 卡
+ PIN
• 和你知道的... –你的身份证号
= 双因素身份认证!
四川安盟电子信息安全有限责任公司
安盟双因素身份认证
RAScom
FORE Systems Shiva / Intel
Funk Software
Gandalf Technologies
Soliton Systems K.K.
Xyplex Networks
华为
四川安盟电子信息安全有限责任公司
VPN 并不安全
通过公网的加密隧道
谁在另一端？
四川安盟电子信息安全有限责任公司
X
-10
0
+10
如果两个令牌码都正确，系统接受用户认证请求，并修正时钟偏移量。
四川安盟电子信息安全有限责任公司
时钟同步技术
认证设备 234836
伪随机算法
时间
种子
相同的时间
相同的种子
安盟 ACE/Server
234826
伪随机算法
时间
种子
四川安盟电子信息安全有限责任公司
安盟 ACE/Server扩展和集中管理
09:26 947563
09:26 947563
09:27 114696
114696
09:28 678663
四川安盟电子信息安全有限责任公司
时间同步（续三）
如果系统记录的时间不在+ 1 范围 . . .
X
-10
0
+10
. . . 但是偏移量在许可范围内, ACE/Server 将要求用户连续输入当前 令牌码的下一个令牌码。
Web Servers
Microsoft Netscape Lotus Apache Websphere Weblogic
Mainframe Enterprise
Web SeWrveebr应用程序
Server
EnCommerce Gradient Web
安盟
Crusader
ACE/Server
Netegrity SiteMinder
用户名: 口令码:
张三 2468234836
口令码
=
PIN
+
令牌码
令牌码: 每 60 秒变化一次
与 UCT时钟 同步
唯一的 128bit 种子
内部电池
四川安盟电子信息安全有限责任公司
双因素身份认证优势
• 比易猜测或截取的传统静态 口令更能确保网络安全
• 结合用户所知道的和所拥有 的方式来认证用户身份
• 信息安全的基本需要 是强身份认证
• 安盟身份认证可以提 供安全的解决方案
STAGE 4.
数据的完整性
STAGE 3.
不可否认性
STAGE 2.
授权与访问控制
盟电子信息安全有限责任公司
企业应用概况
合作伙伴
客户
办公系统
安全网络应用
供应商
员工
ERP
目录服务
行业/企业综合数据资源
Windows域
主机系统
公共站点
承包人
员工
潜在用户
四川安盟电子信息安全有限责任公司
攻击的来源
外国政府 竞争对手 独立的黑客 心怀不满的 内部员工
21% 48%
72% 89%
四川安盟电子信息安全有限责任公司
“偶然的闯入者- 心怀不满的公司雇员”
•有人会从您的身后窥视您正在键入的密码 •发现保留在纸上的密码
• 可扩展性 –支持11台ACE/Server Cluster集群 –支持20个跨域认证
• 集中管理 –低管理成本 –用户、安全策略集中管理
四川安盟电子信息安全有限责任公司
安盟 ACE/Agent的兼容性
安盟代理： 已嵌入120个厂家的190种网络产品中
Internet/Web
远程访问服务器 (RAS) 路由器 防火墙
Progress WebSpeed
四川安盟电子信息安全有限责任公司
企业访问
安盟代理软件Agents
•UNIX - AIX, HP/UX, Solaris
您不必担心输入的口令码被人窥测 !
四川安盟电子信息安全有限责任公司
安盟 ACE/Server
•安盟身份认证系统的认证引擎 •用户和策略管理 •高性能和可扩展性
–支持每个站点成千上万的用户 •易管理和控制 •黑客克星
四川安盟电子信息安全有限责任公司
安盟 ACE/Server
• 服务器平台
– Windows NT, Windows 2000/2003/XP – Sun Solaris – HP/UX – IBM AIX – Linux
时间同步(续一）
当前时间: 09:23
09:24
09:25
ACE/Server 期望的令牌码: 231587 654493 201467
ACE/Server的当前时间是: 09:24
ACE/Server接受以下三个令牌码: 231587 654493 201467
09:26 947563
09:27 114696
安盟身份认证系统版权证书
四川安盟电子信息安全有限责任公司
具备国家各种信息安全资质
安盟身份认证系统： 1，中国国家保密局的鉴定证书 2，中国国家信息安全测评认证中心证书 3，中华人民共和国公安部计算机信息系统专用产品销售许可证
四川安盟电子信息安全有限责任公司
电子信息安全的“门户技术”
• 信息安全需要每一个 阶段
• 双因素身份认证是“黑客克 星”
• 提供广泛的认证方式选择
“abc123”
+
四川安盟电子信息安全有限责任公司
安盟产品构成
安盟认证设备
安盟认证服务器 安盟认证代理
四川安盟电子信息安全有限责任公司
一次性口令
安盟口令码只能被用一次!
令牌码 被接受 令牌码 被接受 令牌码 被接受 拒绝访问
345656 锁定 568787 锁定 879845 锁定 879845 已被使用
RAS
用户应用/API
应用接入 大主机 企业应用 Unix
拨号接入
局域网接入
四川安盟电子信息安全有限责任公司
安全的远程访问
安盟 支持的拨号访问服主务器机厂商
3Com
Hewlett-Packard
Access Beyond IBM
ACT Networks
ITK
Apple Computer Kasten Chase
四川安盟电子信息安全有限责任公司
拥有自主知识产权
安盟公司通过在信息行业的经验积累以及与行业内知名企业的技术合作， 结合用户需求，自主开发安盟双因素身份认证系统，该系统设计合理，功 能先进，运行可靠，获得广大用户的认可和信赖。与RSA、Secure Computing、ActivCard等国际知名品牌并驾齐驱，成为国内强身份认证市场 的第一品牌。
•便筏 •台历 •猜测密码 •“password” •配偶/宠物/孩子的名字 •用户名
四川安盟电子信息安全有限责任公司
静态口令很容易受到攻击
• • • • • • •
AAlNtaSVisMtaainframe
Ascend Axent (Raptor) Check Point Cisco
CIByMberGEunartderprise
Internet Dynamics Milkyway Networks NEC Technologies Net Associates (TIS)
VPN
四川安盟电子信息安全有限责任公司
安盟 Web代理软件
• 主要支持的 Web 服务器 有
– IIS (NT 和 Win2K)、Netscape/iPlanet 、Domino、
Apache、Websphere、Weblogic等 • 快速配置，用户“零痕迹”认证 • 灵活管理、保护URL根, 目录或页面 • 多Web服务器‘单一签名’ ，简化了管理和易于使用 • 双因素身份认证与SSL的结合，简化PKI
Anmeng E-Security
四川安盟电子信息安全有限责任公司
安盟双因素身份认证系统介绍
四川安盟电子信息安全有限责任公司
产品和业务体系
安盟自公司成立以来，在IT安全领域非常专注地致力于强身份认证解决方案的技术、 产品的研发和市场的发展，随着国内IT应用需求的迅猛增长，安盟正好适时地满足了 目前围绕着电子商务和电子政务应用的IT安全技术中，国内强身份认证技术相对薄弱， 而国外产品的安全性又不能被认可的市场情况。 安 盟 SecurID 双 因 素 身 份 认 证 产 品 包 中 含 安 盟 令 牌 ， 它 是 一 个 由 用 户 携 带 的 防 篡 改 设 备，，每60秒显示一个随机的6位或8位的令牌码。令牌码反映了特定用户所拥有的一 个认证特征。当用户登录时，正确输入个人码（PIN）和令牌码，即双因素用户身份认 证，以此保证用户的合法性和唯一性。具有与国内外第三方产品的兼容性。安盟 SecurID身份认证产品为自主开发、国内制造，防止“后门”隐患，是国内各行业可信 赖的安全产品。 安盟已经形成了从企业用户到个人用户的双因素身份认证产品和解决方案： 网络版产品，包括认证令牌（Token）；认证服务器（ACE/Server）；保护网络资源的代 理软件（ACE/Agent）；适用于企业的从网络接入（RAS,VPN),Web应用，到企业网络资 源的保护。 单机版产品，与Window操作系统有机地结合，提供强身份认证，同时，支持文件加密 （EFS），满足了安全单机的需求。