安盟双因素身份认证解决方案

1、概述

随着网络的飞速发展，网络已经深入到我们的生活中，全球信息化已成为人类发展的大趋势。对企业来说，联网信息和应用是企业最重要的战略性资产，它们是实现生产率和竞争优势最大化的关键所在。

信息安全是决定着电子商务、电子政务进一步发展的必要基础，会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部份。虽然每种技术都是在加强某一方面的信息安全，包括限制访问或防止机密数据被截获，但没有一种技术的设计目标是解决最具危害性的信息犯罪的基本安全问题：即这个用户是不是正在试图接入受保护的文件？资源的可信性如何？是不是冒名顶替者？
在进行安全方案设计时，一个层面必须依赖于另一个层面。“安全金字塔”必须建立在管理策略和过程的基础上，而用户认证是整个金字塔的关键组成模块。若不首先采用强力用户认证，其余的授权层面、加密层面和审计层面就会变得毫无意义。
2、身份认证现状分析

(1)在计算机网络中，最常见而简单的访问控制方法是通过对静态口令的匹配来确认用户的真实性。而调查表明，有60%的系统首先被攻击和突破的地方是口令。许多最具危害性的犯罪都拥有共同的特点：即绕过密码保护以获取对信息或资金的访问权限。信息安全的关键在于确切地了解谁正在访问您的最机密的网络信息资产。不幸的是，事实证明，建立在静态口令之上的安全机制非常容易被黑客攻破。
(2)密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷，如：密码容易被人猜测或通过交际工程学、社会工程师等途径获取，输入密码时容易被人窥视，密码容易被很多工具破解，存在着没有被检测到的缺陷和漏洞，密码可以在网络离线时被窥测，密码和文件容易从PC和服务器上被转移等等。虽然一次性密码比可重用的静态密码强壮，但它们仍存在能被利用的弱点（需要更多的技巧），其中包括中间人攻击和竞争攻击。而且一次性密码依然是单因素认证，而不是我们所说的强力用户认证。因此静态密码是最不安全、最弱的一种识别与身份认证手段。

3、安盟双因素身份认证系统

安盟SecurID是目前世界上最先进的双因素用户认证解决方案，整个系统是由三部分组成的，如左图所示：

1、它是分发给最终用户的，用以证明其身份的硬件或软件设备，是安盟SecurID双因素身份认证的一个因素（您所拥有的），产生一分钟变化一次的动态令牌码。有硬件、软件和智能卡等多种形式。

2、安盟ACE/Agent就象安全卫士，可以用它来保护各种网络信息、计算平台和应用。安盟ACE/Agent还能够安全地访问NT域及UNIX服务器、大型机、中型系统和一系列传统主机上的资源。它已经嵌入到了目前大多主流网络设备中，并且支持多种平台。

3、安盟ACE/Server是安盟SecurID双因素身份认证解决方案中的安全服务器，包括三个主要部分：包含用户、令牌和客户机信息的数据库；身份认证引擎以及一个管理程序。