联创科技统一身份认证解决方案

        作为一直致力于身份认证产品研发的联创公司来说，早就为国内多家电信运营商提供过成功的统一身份认证解决方案。

  

     联创公司的E-Securer 安全身份认证系统将为信息系统提供统一的整体的安全身份认证服务。相比于其他类似产品，E-Securer 安全身份认证系统在对设备的支持的广泛程度、对网络设备的访问控制、对clearcase/" target="_blank" >cc">VPN 的授权控制、对于数据库系统的认证支持、贴近国内企业的现状、系统的易使用、易维护程度等诸多方面，均是很多同类产品所无法比拟的。实际上E-Securer系统所提供的功能远远超出了单纯的认证服务，而是集认证、授权、审计三位一体的安全解决方案。 

　　E-Securer 安全身份认证系统，将从网络层，系统层，应用层等各个层面，为用户的系统来构造认证和鉴别的第一道坚固防线。 

      在使用了我们提供的统一认证解决方案后，用户根据其类型，使用联创安全令牌、短信一次性口令、或者普通的静态口令，访问运行其访问的资源，例如：网络设备、主机设备、VPN、数据库、应用系统等等，而不用每个资源，都要记忆不同的口令。 

　　联创统一认证解决方案充分考虑了系统的可靠性，系统可以采用多台设备冗余或同时工作的方式，从而保证系统的可靠性。 

统一认证解决方案的示意图如下图所示： 

主机设备认证 

　　信息系统内通常存在大量的UNIX、Windows主机，这些主机通常承担着非常关键的应用程序服务以及存放着重要的信息，对于整个系统的运作起到非常关键的作用。 

但是如果这些服务器采用弱口令认证，不管是普通用户还是系统管理员，均使用口令登录到主机系统。这样就有可能给不法用户提供可呈之机，有可能冒用其他用户的帐号和口令进入系统，胡作非为。 

　　为了消除静态口令的安全隐患，管理员不得不经常定期更新口令；有时候需要告诉某个用户系统口令；有时候甚至由于口令遗忘而随便记在某个小本子上等等。这样的例子屡见不鲜，不　　仅给系统管理者带来麻烦，而且也留下了重大的安全隐患。 

E-Securer系统提供的主机安全保护，可以完全消除上述安全问题，从而保证主机系统的安全。 

　　在操作系统上安装了E-Securer认证代理后，当用户通过远程Telnet或本地登录到主机时，需要进行双因素强认证的用户，必须输入正确的用户名、静态口令、动态口令，才能允许进入主机系统，否则就会被拒绝在外。 

　　如使用联创基于PAM技术开发的认证代理，则除了能够对Telnet、本地登录进行双因素认证外，还可以对其他服务：例如FTP等提供双因素认证的安全保护。同时还可以记录用户的上下线记录等审计数据。 

　　E-Securer系统支持多种UNIX、Windows操作系统，包括IBM AIX，HP-UNIX SUN Solaris、Redhat Linux， SCO Unix、Windows XP/NT/2000/2003等。 

网络设备认证 

　　作为信息系统的基础设施，路由器、交换机等网络设备，对整个系统的通信起着至关重要的作用。但是如果仅使用普通口令认证用户身份，非法人员就有可能获得管理员的口令，从而进入网络设备随意修改，带来严重的不安全因素。 

E-Securer系统可以象主机安全保护那样，为各种网络设备提供双因素认证安全保护，当用户需要TELNET到这些网络设备时，必须输入用户名、静态口令和动态口令，然后由这些网络设备这些人证信息发送到认证服务器进行认证，如果是合法用户则可以登录进入网络设备，否则就会被拒绝在外。 

　　除了双因素认证，E-Securer系统针对网络设备，还提供了强大的权限管理和行为审计功能。 

　　通过权限管理功能，管理员可以集中控制每个登录进网络设备人员的权限，包括其所属的权限级别、可以执行的命令等，从而实现设备管理的“最小授权”防止由于误操作或恶意操作带　　来灾难性的影响。  　　

E-Securer系统强大的审计功能，可以详细记录网络设备上各个人员操作，除了基本的登录、退出外，更包括其所执行的任何命令，从而可以精确跟踪每个人员的行为，为安全审计提供详细的依据，或用于故障排查。 

　　因此E-Securer系统为网络设备提供了认证、授权、审计三位一体的安全保护方案。 

VPN远程接入认证 

　　随着互联网的应用越来越广泛，使用VPN实现远程接入的方式也越来越广泛。驻外人员、长期移动办公人员等可以通过VPN接入内网，但是同样遇到了棘手问题，如何确保从互联网接入公司内部网络的人员的身份呢？VPN可以通过加密实现VPN客户端与VPN网关之间的数据通讯的机密性，但是却不能防止黑客通过窃取或猜测VPN口令入侵内部网络。 

通过使用E-Securer系统，实现了VPN的加密特性和双因素认证之间完美的结合，从而提供全方位的安全防护。 

　　当用户需要通过防火墙或者VPN网关接入内部网络时，必须输入用户名、静态口令以及动态口令，然后由这些VPN 设备通过标准的RADIUS协议将这些认证信息发送到E-Securer服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。 

　　同时E-Securer系统提供强大的、无与伦比的访问控制能力，可以有效的控制VPN用户所使用的IP地址、网络路由、可以访问的范围等权限。 

E-Securer会详细记录每个VPN用户接入和退出的时间、在线的时长，从而为VPN安全审计提供详细的依据。 

拨号访问认证 

　　除正在兴起的VPN以外，拨号访问做为一种远程接入方式，仍然还有一定的应用范围。和VPN相同的是，如果采用普通口令进行认证，同样存在极大的安全隐患。所以通过拨号进入内网，同样必须使用双因素认证。 

　　E-Securer为拨号访问提供了与VPN保护相同的、包括双因素认证、访问控制、审计在内的、全面的安全保护。

 

应用系统认证 

　　随着信息化的发展，政府机构、企业等内部的应用系统越来越成为机构正常运行的关键。 

如果采用普通的静态口令，那么就存在极大的安全风险，不法分子就有可能进入应用系统，获得或破坏重要的数据。特别是越来越多的应用系统可以通过互联网进行访问，风险就更大。如果口令的安全不能得到保证，那么其他再多的安全手段都将形同虚设。 

E-Securer系统的认证应用开发包，能够把联创安全令牌集成到第三方应用程序中，从而使应用系统也能获得双因素认证的安全保护。 

        

数据库认证 

对于信息系统来说，数据库系统也是其重要组成部分。E-Securer 身份认证系统能够对数据库系统提供安全身份认证。对于SYBASE,ORACLE 系统安装相应的模块后，均可以使用E-Securer 系统进行强身份认证。

原文转自：http://www.ltesting.net