面向企業的計(jì)算(suàn)機安全登錄雙因子認證(2FA)身份認證解決方案
|
應用背景
Microsoft 在Windows 2000推出的時(shí)候就向世人(rén)展示了Active Directory,Active Directory主要是驗證登錄用戶,對用戶和(hé)計(jì)算(suàn)機應用組策略并協助其找到所需打印機。後來(lái),微軟在發布的Windows Server 2003這一重要版本中,Active Directory得(de)到了極大(dà)的改進。Active Directory不再是一種特定的技(jì)術(shù),現在已經成為(wèi)一種品牌,代表一系列Windows身份和(hé)訪問控制(zhì)服務。 也正因如此,Active Directory得(de)到許多(duō)大(dà)中型企業用戶的全力支持并部署使用,随着這些(xiē)大(dà)中型企業在實際的應用部署過程中的不斷深入推進,在身份和(hé)訪問控制(zhì)服務管理(lǐ)使用過程中面臨越來(lái)越嚴峻的挑戰:
- 員工之間(jiān)存在密碼共用、借用、盜用現象
- 員工密碼經常容易遺忘
- 管理(lǐ)員運維壓力與日俱增
因此,對于企業提出的AD域控管理(lǐ)需求,我們專為(wèi)企業定制(zhì)一套基于指紋身份識别的AD域雙因子認證(2FA)管理(lǐ)解決方案。
方案闡述
一、方案特點
特點 |
描述 |
安全性 |
平台化、網絡化的指紋身份認證技(jì)術(shù),有(yǒu)别于傳統客戶端認證模式、安全可(kě)靠,并且可(kě)能根據安全需要實現多(duō)因子身份安全認證 |
三員分離 |
系統針對涉密系統的安全管理(lǐ)“三員分離”原則,進行(xíng)系統功能設計(jì),使系統更貼合現實管理(lǐ)需要,使安全策略更加健壯 |
分布式網絡部署架構 |
AD域服務器(qì)、指紋認證服務器(qì)、應用服務器(qì)可(kě)分别部署于不同服務器(qì)中,減少(shǎo)因系統過度緊密結合引發服務器(qì)系統不穩定的可(kě)能,采用安全備份策略,确保指紋存儲安全,采用WebService技(jì)術(shù),零障礙穿透防火(huǒ)牆 |
易用性 |
采用JAVA技(jì)術(shù)的B/S架構AD域用戶身份管理(lǐ)方式,可(kě)随時(shí)随地對域用戶進行(xíng)集中的管理(lǐ) |
多(duō)設備支持 |
可(kě)支持國際主流的數(shù)十款指紋采集設備,可(kě)實現交叉比對應用,統一标準的軟硬件應用界面,滿足B/S C/S架構應用系統的二次集成 |
防指紋數(shù)據庫洩漏 |
用于管理(lǐ)指紋數(shù)據庫的Key進行(xíng)特别加密,隻有(yǒu)系統管理(lǐ)員知道(dào),即使數(shù)據庫被攻破,沒有(yǒu)Key解密,指紋特征模闆仍然無效 |
存儲安全 |
系統不保存指紋特征值模闆,而是保存經過指紋特征值處理(lǐ)加密後的密鑰範本 ,由用戶通(tōng)過指紋識别激活加密密鑰,不再由任何第三方掌握加密系統的核心權限,基于指紋讀取的随機性,确保生(shēng)成的密鑰也随機且一次有(yǒu)效,顯著提高(gāo)密鑰安全級别,實現安全的指紋識别身份認證 |
身份認證多(duō)樣性 |
使用者可(kě)根據不同密級設置單指/多(duō)指/多(duō)人(rén)認證,确保各密級信息的安全性 |
動态密碼策略 |
密碼動态更新,軍工級密碼規則 |
二、方案設計(jì)
指紋驗證安全性高(gāo),識别速度快、識别正确率高(gāo);未登記和(hé)非法指紋均無法通(tōng)過驗證,即無法實現指紋登錄操作(zuò)系統;可(kě)以實現跨地域安全登錄Windows客戶端,登錄日志(zhì)記錄實時(shí)查詢;同時(shí)兼容離線指紋登錄,不受網絡狀況影(yǐng)響。
圖一:指紋AD域管理(lǐ)系統示意圖
圖二:Windows客戶端雙因子認證( 2FA)界面
指紋AD域管理(lǐ)身份認證解決方案由以下部分組成: (一)、Windows AD域控服務器(qì); (二)、指紋AD域管理(lǐ)系統; (三)、指紋統一身份認證系統; (四)、指紋安全系統客戶端軟件; (五)、指紋采集終端;
操作(zuò)系統支持: (一)、Windows AD域控服務器(qì)----Windows2003/2008 R2/2012/2016/2019/2022 32位/64位; (二)、Windows AD域客戶端登錄軟件----WindowsXP/Vista/7/8/10/11 32位/64位; (三)、Linux客戶端登錄軟件----Linux Ubuntu/CentOS/統信UOS、中标麒麟、銀河(hé)麒麟等國産操作(zuò)系統;
三、指紋采集終端選型
産品圖片及型号 |
産品描述 |
WMR06指紋儀
|
- 活體(tǐ)檢測技(jì)術(shù),成像質量卓越,比對性能優越
- 采集面積:10.64mm*14.4mm
- 圖像大(dà)小(xiǎo):256*288pixel
- 按壓式采集
- 适合企業用戶使用
|
WMFM02指紋鼠标
|
- 采集面積:10mm*13.5mm
- 圖像大(dà)小(xiǎo):192*256pixel
- 支持360°旋轉按壓采集
- 适合桌面用戶使用
|
WMU05指紋采集儀
|
- 采集面積:10mm*13.5mm
- 圖像大(dà)小(xiǎo):192*256pixel
- 支持360°旋轉按壓采集
- 小(xiǎo)巧,便于攜帶
- 适合個(gè)人(rén)用戶使用
|
四、方案價值
- 嚴格身份權限控制(zhì),基于指紋認證機制(zhì),實現訪問權限及授權的精确控制(zhì),保護數(shù)據安全使用
- 簡化登錄認證環節,省去鍵盤輸入密碼的麻煩,優化使用者驗證體(tǐ)驗
- 降低(dī)IT維護成本,完全免去密碼重置工作(zuò),解放IT維護生(shēng)産力
- 提升網絡內(nèi)控效益,基于指紋認證,确保身份、權限部署與實際安全策略全面一緻,解決安全管理(lǐ)問題
- 統一集中管理(lǐ)域系統中大(dà)批量用戶身份的可(kě)信審計(jì)、系統登錄、權限訪問
- Web化的域管理(lǐ),AD域與指紋服務器(qì)可(kě)實現同步信息傳輸、信息協調管理(lǐ)
- 支持服務器(qì)遠程桌面指紋登錄、支持桌面虛拟化指紋登錄、支持VPN指紋登錄、支持文件指紋授權加解密擴展應用
- 開(kāi)放性的接入設計(jì),支持不同終端設備驗證
- 跨平台設計(jì),支持Windows、Linux、UOS、麒麟等多(duō)種國産操作(zuò)系統
五、指紋AD域雙因子認證(2FA)方案體(tǐ)驗
如有(yǒu)意試用指紋AD域雙因子認證(2FA)管理(lǐ)系統請(qǐng)緻電(diàn)0755-27920930或Email:services@winuim.com ,我們将安排技(jì)術(shù)工程師(shī)現場(chǎng)搭建試用環境供用戶體(tǐ)驗。
| |
| | |