在线下载HDIA演示PPT

HDIA海鼎身份认证系统

2004.10

应用背景

随着商业的迅速发展，信息技术也越来越深入的应用于企业，同时网上购物、供应链协同等网络应用系统也逐渐开始普及，企业信息的安全性也在面对更多的威胁，例如：

?病毒感染，破坏数据安全；

?黑客攻击，破坏系统安全；

?管理漏洞，内部人员盗取资料；

?用户的账户密码被窃取、密码被修改；

?……

如何保证网络安全？

研究表明，各种进攻的数量和类型正在上升，并且情况正变得日益严重，不完全统计，每年因网络安全问题而造成的损失超过300 亿美元，其中80％源于非法登录，而60％的进攻来自企业内部。

如何加强信息系统的安全建设、保障网络的安全运行成为当今一大社会问题，而身份认证技术则是网络安全的第一道防线，是信息系统访问控制的重要手段之一，也是最重要的一道防线。

身份认证技术

用户身份的确认技术。网络中的各种应用和计算机系统都需要通过身份认证来确认一个用户的合法性，然后确定这个用户的个人数据和特定权限。对于身份认证系统来说，最重要的技术指标是合法用户的身份是否易于被别人冒充。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他用户和整个系统。

常见身份认证技术

常见的身份认证技术

?PKI技术

意为“公钥基础设施”，是利用公钥理论和技术建立的提供信息安全服务的基础设施。它

保证信息的机密性和不可抵赖性，功能强大，但价格较昂贵、设施复杂、维护工作量大。?生物特征认证技术

又称生物特征识别，是指通过计算机利用人体固有的生理特征或行为特征来进行个人身份

鉴定。具有依附于人体、不易伪造、不易模仿等特点；但技术比较复杂，需要专用的特征

采集设备，价格昂贵，许多外部因素都可能影响认证的准确性；

?IC卡技术

IC卡是将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中，可以有效安

全地储存身份认证信息。IC卡上的信息需要通过相应的读卡器设备来对其存储的内容进行

读取，它的使用必须依赖于读卡器设备；

?USB-Key技术

和IC卡技术基本相同，但USB-Key不需要类似IC卡的读卡器设备来对其存储的内容进行读

取，加强了使用的方便性。但仍必须与电脑设备物理连接，对客户端环境的依赖性较高。?静态密码认证技术

传统的静态密码认证技术操作比较简便，对硬件的依赖性也不高，但安全性不够高，如果

采用加长密码和密码复杂化，则记忆和操作又产生新的问题；

HDIA身份认证系统采用国际上主流的双因素（静态密码＋动态密码）安全认证技术，实行静态、动态双重密码管理：

HDIA身份认证系统

传统

“用户帐户＋静态密码”现在

“用户＋静态密码+令牌”

提高身份认证的安全性

解决静态密码存在的潜在危险

静态密码与动态密码

Administrator

******

静态密码：用户名＋密码

哪怕是使用字母和数字的组合，6位密码在普通计算机上只要3

分钟就可以被破译！！加长密码和密码复杂化不失为一个解决方法，但记忆和操作

又产生新的问题……

动态密码：

用户名＋密码＋动态口令

静态密码与动态密码

******

HDToken

电子令牌

双因素认证方式

317024

Administrator

HDIA的特性

1、动态性：用户的动态密码随设定的时间间隔而自动变化，无需人工干预，某一时刻产生的动态密码不能在其他时刻使用。

2、一次性：任一时刻产生的动态密码在其失效前只能被用户使用一次，否则，系统将视其为非法行为而报警。

3、随机性：动态密码是随机生成、无规律的。即使本次密码被窃听成功，也难以由此猜出下个密码。

4、多重安全性：用户电子令牌产生的动态密码与用户名、静态密码等多因素结合实

现多重认证。

5、通用性：用户只需在提示输入动态密码的客户端键入当时电子令牌上显示的密码。在认证服务器端，采用RADIUS等标准协议实现被访问对象与认证服务器的之间信息交换，方便地在网络环境下实现身份认证。

6、集成性好：易与用户现有系统集成，对实际使用的大量应用系统仅做最少的改动。

HDIA可以按不同的用户网络和应用布局提供合适的解决方案。基本部分包括：

HDIA系统组成

1.HDToken电子令牌

2.HDIA认证服务器

3.HDIA认证代理和客户端软件

4.HDIA认证系统开发包

HDToken电子令牌

令牌信息输入

HDIA认证服务器

HDIA认证系统

开发包

HDIA认证代理

和客户端软件

HDTOKEN 电子令牌

HDIA系统中用户使用的动态密码由硬件电子令牌产生。该电子令牌由内置微处理器和一个显示6位阿拉伯数字的LCD窗口组成，其体积很小，可以系在链环和挂带上。

在向用户分发这种令牌时，已经使用唯一的种子密钥将其初始化，确保该令牌无法被伪造；处理器每分钟都会使用内置安全算法，组合当前时间和预置的种子密钥，生成一个伪随机的、不可猜测的数字串供令牌持有者作为动态密码使用。

电子令牌内置电池可供内部系统连续工作数年，使用时不需要任何读入设备，操作方便，适合用户在任何用户终端上使用。电子令牌采用密封防损结构和拆解自毁设计，可防止复制和伪造。

HDIA认证服务器

这是一个基于Linux平台和RADIUS网络通讯协议的身份认证系统。主要包括以下两种功能：

身份认证：为持有电子令牌的用户使用动态密码登录系统时提供认证服务；日志审计：提供完善的日志管理功能，分析用户的各种使用情况，提供各种审计报表。

HDIA认证服务器同时通过Web方式提供对系统的管理维护功能。系统管理员可通过这个平台管理认证系统的参数配置、用户、令牌、资源、日志等等，完成系统访问控制的日常管理。

HDIA专用认证服务器是一种软硬件一体化的产品，用户可选择桌面或机架式的产品，可实现用户系统快速部署和简化维护。

HDIA认证代理和客户端软件

用户使用电子令牌产生的动态密码通过客户端登录操作系统（例如访问Windows服务器和其他网络资源）时，HDIA通过认证代理或客户端软件与认证服务器进行通讯，提交用户的动态密码认证请求完成认证过程。

HDIA认证系统开发包

用户需要在应用系统的用户登录时采用动态密码的认证保护时，可使用HDIA认证系统开发包。这个开发包可以方便地将HDIA与用户应用程序实现整合，实现动态密码认证和相关的日常管理功能。

HDIA产品典型应用

HDIA可广泛适用于保护任何信息系统的用户登录。用户可以按照自己需求部署HDIA的各个部件构成一个实用的系统。通常典型的应用方案有以下几种：

1、Windows操作系统登录保护

2、用户应用系统的登录保护

3、WEB登录保护

4、增强VPN登录保护

操作系统登录保护

Windows

在一个典型的Windows2000网络系统上部署HDIA，只要将HDIA认证

服务器接入网络，按要求设置参数；同时在网络的客户端安装相关软件，就可以完成系统的部署。这样构建的HDIA系统可以让持有HDToken电子

令牌的用户通过客户终端登录网络系统时获得动态密码身份认证的服务，无论是访问网络的域服务器、网内的其他计算机资源或本机资源，HDIA

都能有效地实现系统对网络资源的有效访问控制。

Windows操作系统登录保护方案简介

?用于Windows操作系统登录保护

?产品包括：

?电子令牌

?Windows登录保护软件

?认证服务器

?SDK开发包

?支持的平台：

?Windows 2000序列、Windows XP、Windows 2003、Windows NT

应用系统登录保护

现在每家企业都有管理信息系统，财务、进销存、OA、ERP、CRM等等，不论是对全部的用户或者只对系统中部分有特殊权限的人员（如系统管理员、经理、专门负责充值卡的管理员）需要加强身份认证，都可以采用嵌入HDIA的解决方案。

应用系统登录保护方案简介

?用于应用系统的嵌入式解决方案

?产品包括：

?电子令牌

?认证服务器

?SDK开发包

?支持的平台：

?Windows 2000序列、Windows XP、Windows 2003、Windows NT ?Linux

登录保护

Web

用户从浏览器访问受HDIA保护的网络资源时，输入自己电子令牌当时显示的动态密码实现安全登录，由于HDToken电子令牌密码值具有一次性使用的特点，可以有效防止窥探、字典攻击、穷举尝试、网络数据流窃听、重放

攻击等潜在威胁，保护用户帐户的安全。