productsSolutionsservicesSupport
 
 
AD域雙因子身份認證(2FA)
 面向企業的計(jì)算(suàn)機安全登錄雙因子認證(2FA)身份認證解決方案

解決方案概述
 

應用背景

Microsoft 在Windows 2000推出的時(shí)候就向世人(rén)展示了Active Directory,Active Directory主要是驗證登錄用戶,對用戶和(hé)計(jì)算(suàn)機應用組策略并協助其找到所需打印機。後來(lái),微軟在發布的Windows Server 2003這一重要版本中,Active Directory得(de)到了極大(dà)的改進。Active Directory不再是一種特定的技(jì)術(shù),現在已經成為(wèi)一種品牌,代表一系列Windows身份和(hé)訪問控制(zhì)服務。
也正因如此,Active Directory得(de)到許多(duō)大(dà)中型企業用戶的全力支持并部署使用,随着這些(xiē)大(dà)中型企業在實際的應用部署過程中的不斷深入推進,在身份和(hé)訪問控制(zhì)服務管理(lǐ)使用過程中面臨越來(lái)越嚴峻的挑戰:

  1. 員工之間(jiān)存在密碼共用、借用、盜用現象
  2. 員工密碼經常容易遺忘
  3. 管理(lǐ)員運維壓力與日俱增 

因此,對于企業提出的AD域控管理(lǐ)需求,我們專為(wèi)企業定制(zhì)一套基于指紋身份識别的AD域雙因子認證(2FA)管理(lǐ)解決方案。

方案闡述

一、方案特點

特點 描述
安全性 平台化、網絡化的指紋身份認證技(jì)術(shù),有(yǒu)别于傳統客戶端認證模式、安全可(kě)靠,并且可(kě)能根據安全需要實現多(duō)因子身份安全認證
三員分離 系統針對涉密系統的安全管理(lǐ)“三員分離”原則,進行(xíng)系統功能設計(jì),使系統更貼合現實管理(lǐ)需要,使安全策略更加健壯
分布式網絡部署架構 AD域服務器(qì)、指紋認證服務器(qì)、應用服務器(qì)可(kě)分别部署于不同服務器(qì)中,減少(shǎo)因系統過度緊密結合引發服務器(qì)系統不穩定的可(kě)能,采用安全備份策略,确保指紋存儲安全,采用WebService技(jì)術(shù),零障礙穿透防火(huǒ)牆
易用性 采用JAVA技(jì)術(shù)的B/S架構AD域用戶身份管理(lǐ)方式,可(kě)随時(shí)随地對域用戶進行(xíng)集中的管理(lǐ)
多(duō)設備支持 可(kě)支持國際主流的數(shù)十款指紋采集設備,可(kě)實現交叉比對應用,統一标準的軟硬件應用界面,滿足B/S C/S架構應用系統的二次集成
防指紋數(shù)據庫洩漏 用于管理(lǐ)指紋數(shù)據庫的Key進行(xíng)特别加密,隻有(yǒu)系統管理(lǐ)員知道(dào),即使數(shù)據庫被攻破,沒有(yǒu)Key解密,指紋特征模闆仍然無效
存儲安全 系統不保存指紋特征值模闆,而是保存經過指紋特征值處理(lǐ)加密後的密鑰範本 ,由用戶通(tōng)過指紋識别激活加密密鑰,不再由任何第三方掌握加密系統的核心權限,基于指紋讀取的随機性,确保生(shēng)成的密鑰也随機且一次有(yǒu)效,顯著提高(gāo)密鑰安全級别,實現安全的指紋識别身份認證
身份認證多(duō)樣性 使用者可(kě)根據不同密級設置單指/多(duō)指/多(duō)人(rén)認證,确保各密級信息的安全性
動态密碼策略 密碼動态更新,軍工級密碼規則

二、方案設計(jì)

指紋驗證安全性高(gāo),識别速度快、識别正确率高(gāo);未登記和(hé)非法指紋均無法通(tōng)過驗證,即無法實現指紋登錄操作(zuò)系統;可(kě)以實現跨地域安全登錄Windows客戶端,登錄日志(zhì)記錄實時(shí)查詢;同時(shí)兼容離線指紋登錄,不受網絡狀況影(yǐng)響。

圖一:指紋AD域管理(lǐ)系統示意圖
圖二:Windows客戶端雙因子認證(2FA)界面
圖三:Linux客戶端雙因子認證(2FA)界面

指紋AD域管理(lǐ)身份認證解決方案由以下部分組成:
(一)、Windows AD域控服務器(qì);
(二)、指紋AD域管理(lǐ)系統;
(三)、指紋統一身份認證系統;
(四)、指紋安全系統客戶端軟件;
(五)、指紋采集終端;

操作(zuò)系統支持:
(一)、Windows AD域控服務器(qì)----Windows2003/2008 R2/2012/2016/2019/2022  32位/64位;
(二)、Windows AD域客戶端登錄軟件----WindowsXP/Vista/7/8/10/11 32位/64位;
(三)、Linux客戶端登錄軟件----Linux Ubuntu/CentOS/統信UOS、中标麒麟、銀河(hé)麒麟等國産操作(zuò)系統;

三、指紋采集終端選型

産品圖片及型号

産品描述

WMR06指紋儀

  • 活體(tǐ)檢測技(jì)術(shù),成像質量卓越,比對性能優越
  • 采集面積:10.64mm*14.4mm
  • 圖像大(dà)小(xiǎo):256*288pixel
  • 按壓式采集
  • 适合企業用戶使用

WMFM02指紋鼠标

  • 采集面積:10mm*13.5mm
  • 圖像大(dà)小(xiǎo):192*256pixel
  • 支持360°旋轉按壓采集
  • 适合桌面用戶使用 

WMU05指紋采集儀

  • 采集面積:10mm*13.5mm
  • 圖像大(dà)小(xiǎo):192*256pixel
  • 支持360°旋轉按壓采集
  • 小(xiǎo)巧,便于攜帶
  • 适合個(gè)人(rén)用戶使用

四、方案價值

  • 嚴格身份權限控制(zhì),基于指紋認證機制(zhì),實現訪問權限及授權的精确控制(zhì),保護數(shù)據安全使用
  • 簡化登錄認證環節,省去鍵盤輸入密碼的麻煩,優化使用者驗證體(tǐ)驗
  • 降低(dī)IT維護成本,完全免去密碼重置工作(zuò),解放IT維護生(shēng)産力
  • 提升網絡內(nèi)控效益,基于指紋認證,确保身份、權限部署與實際安全策略全面一緻,解決安全管理(lǐ)問題
  • 統一集中管理(lǐ)域系統中大(dà)批量用戶身份的可(kě)信審計(jì)、系統登錄、權限訪問
  • Web化的域管理(lǐ),AD域與指紋服務器(qì)可(kě)實現同步信息傳輸、信息協調管理(lǐ)
  • 支持服務器(qì)遠程桌面指紋登錄、支持桌面虛拟化指紋登錄、支持VPN指紋登錄、支持文件指紋授權加解密擴展應用 
  • 開(kāi)放性的接入設計(jì),支持不同終端設備驗證
  • 跨平台設計(jì),支持Windows、Linux、UOS、麒麟等多(duō)種國産操作(zuò)系統

五、指紋AD域雙因子認證(2FA)方案體(tǐ)驗

如有(yǒu)意試用指紋AD域雙因子認證(2FA)管理(lǐ)系統請(qǐng)緻電(diàn)0755-27920930或Email:services@winuim.com ,我們将安排技(jì)術(shù)工程師(shī)現場(chǎng)搭建試用環境供用戶體(tǐ)驗。

在線QQ交談