双因子认证(2FA)解决方案

  • 方案应用背景
  • 应用需求
  • 方案阐述
    • 一、方案特点
    • 二、方案设计
    • 三、方案组成
    • 四、环境要求

方案应用背景

随着企业日益发展的需求,企业IT管理面临越来越大的压力与挑战。得益于微软Windows 网络系统架构在企业应用中的普及,企业IT管理者为寻求企业内部安全的统一化管理,他们往往会优先考虑借助Windows AD域来管理企业内部的用户、计算机、打印机、文件等IT资源。然而,尽管Windows域架构管理模式可以解决众多网络安全性问题,用户账号的集中管理,组策略的灵活部署、计算机桌面的方便管控、计算机补丁自动更新等等,但是整个AD域控管理架构依然是基于帐号+密码的身份认证模式,对于庞大的域控管理环境中,用户的Windows域身份安全认证和访问控制问题被视为薄弱的环节。为提升为整个Windows IT管理架构安全性和加强用户身份识别管理,管理者首要考虑通过生物识别方式来实现对用户身份验证的管控。

由此,纹宁考虑到企业用户身份识别管理的复杂性专门为企业定制一套基于Windows AD域的指纹身份认证管理解决方案。该解决方案旨在帮助企业解决在Windows AD域控管理下的用户身份识别与访问控制的问题,我们自主研发的指纹AD域管理系统将生物特征数据、计算机终端设备、AD域帐号有机结合起来并进行统一管理,提高企业内部IT管理架构的安全级别,实现 IT架构的高效、集中管理。

应用需求

企业内部AD域控管理双因子身份认证基本需求:

  1. 基于Active Directory身份和访问控制的安全需要,包括:
    a. 用户身份信息的完整性可用性保密性可靠性
    b. 用户身份的真实性不可否认性
    c. 授权访问控制

  2. Windows安全管理需要,包括:
    a. 计算机、服务器安全访问控制管理;
    b. 日常运营维护管理(账号、密码);

  3. 提供其他业务系统如财务系统、人力资源管理系统等应用软件的统一身份安全认证1集成接口

  4. 满足AD域密码和生物特征(如指纹人脸虹膜指静脉等)多因子安全认证需求

  5. 满足域用户界面的文件、应用程序等PC应用软件和数据的安全保护

方案阐述

一、方案特点

特点 描述
安全性 平台化、网络化的指纹身份认证技术,有别于传统客户端认证模式、安全可靠,并且可能根据安全需要实现多因子身份安全认证
三员分离 系统针对涉密系统的安全管理“三员分离”原则,进行系统功能设计,使系统更贴合现实管理需要,使安全策略更加健壮
分布式网络部署架构 AD域服务器、指纹认证服务器、应用服务器可分别部署于不同服务器中,减少因系统过度紧密结合引发服务器系统不稳定的可能,采用安全备份策略,确保指纹存储安全,采用WebService技术,零障碍穿透防火墙
易用性 采用C#、JAVA技术的B/S架构AD域用户身份管理方式,可随时随地对域用户进行集中的管理
多设备支持 可同时支持国际主流的近10款指纹芯片,动态优化算法,可一次注册,按需要认证,统一标准的软硬件应用界面,满足B/S C/S架构应用系统的二次集成
数据安全 用于管理指纹数据库的Key进行特别加密,只有系统管理员知道,即使数据库被攻破,没有Key解密,指纹特征模板仍然无效
存储安全 系统不保存指纹特征值模板,而是保存经过指纹特征值处理加密后的密钥范本 ,由用户通过指纹识别激活加密密钥,不再由任何第三方掌握加密系统的核心权限,基于指纹读取的随机性,确保生成的密钥也随机且一次有效,显著提高密钥安全级别,实现安全的指纹识别身份认证
身份认证多样性 使用者可根据不同密级设置单指/多指/多人认证,确保各密级信息的安全性
动态密码策略 密码更换周期,一次一密,军工级密码复杂要求
严肃性 利用人类指纹的唯一性,彻底杜绝用户身份的主动或被动转借、身份盗用、冒用
灵活性 支持任意计算机指纹登陆,跨地域办公
易用性 系统界面友好、简洁、功能齐全、操作容易
离线认证 网络不稳定或断网环境下依然可以在本地完成身份识别

二、方案设计

指纹验证安全性极高,识别速度快、识别正确率高;未登记和非法指纹均无法通过验证,即无法实现AD指纹验证;可以实现跨地域指纹验证,指纹验证记录实时查询;计算机登录不依赖网络状况。

图一:指纹AD管理拓扑结构图

图二:Windows客户端双因子认证(2FA)界面

图三:AD域管理系统管理员登录界面

图四:AD域管理系统登记指纹界面

指纹AD域管理系统具备以下功能:
(一)、用户的指纹采集、指纹统一管理;
(二)、用户采用指纹、指纹+密码、指纹或密码的身份认证方式登录AD域环境下的操作系统;
(三)、断网状态下也可以实现指纹登录;
(四)、指纹设备管理;
(五)、日志审计管理:登录日志、系统操作日志、指纹管理日志、AD管理日志:
(六)、三员分离-角色管理:管理员、审计员、操作员、普通用户;

普通员工只需在第一次录入指纹并建立其指纹信息和相关资料库,以后通过指纹认证的方式即可登录AD域管理下的计算机操作系统,员工登录系统的方式由管理员分配,可采用指纹+密码,指纹或密码,仅指纹的方式登录。

图五:指纹AD域管理系统客户端管理界面

三、方案组成

  • 纹宁WMPlatform统一身份认证平台
  • 纹宁指纹安全系统2Windows AD域服务端软件
  • 纹宁指纹安全系统Windows AD域客户端软件
  • 生物识别终端(如指纹采集仪、虹膜仪、人脸摄像头、指静脉采集仪等)

生物识别终端设备选型
方案建议对于固定办公计算机用户每人配备一台按压式指纹仪,便于用户进行指纹身份认证登录。

产品图片及型号 产品描述
WMR06指纹采集仪
  • 采集面积:10.64mm×14.4mm
  • 图像大小:256×288pixel
  • 支持360°旋转按压采集
  • 成像质量卓越,精度高,比对性能优越
  • 性价比高
  • 适合个人、企业用户使用
WMR08指纹采集仪
  • 采集面积:20mm×26mm
  • 图像大小:320*480pixel
  • 支持360°旋转按压采集
  • 成像质量卓越,精度高,比对性能优越
  • 性价比高 适合个人、企业用户使用

四、环境要求

  • 服务器操作系统

    • Microsoft Windows Server 2016 R2
    • Microsoft Windows Server 2012 R2(推荐)
    • Microsoft Windows Server 2008 R2

  • 用户权限:超级管理员(administrator)

  • CPU:建议Intel Xeon(R) E5-2670 V3 @2.30GHz或以上

  • 内存:建议8GB或以上

  • 硬盘:建议500GB或以上

  • 客户端操作系统

    • Microsoft Windows 10 32bit/64bit
    • Microsoft Windows 8/8.1 32bit/64bit
    • Microsoft Windows 7 32bit/64bit(推荐)
    • Microsoft Windows XP 32bit/64bit
    • Microsoft Windows Server 2003/2008/2012/2016

  1. 纹宁WMPlatform统一身份认证平台 ↩︎

  2. 纹宁指纹安全系统 ↩︎

指纹安全系统--双因子认证(2FA)解决方案相关推荐

  1. 什么是双因子认证(2FA)

    双因子验证(2FA),有时又被称作两步验证或者双因素验证,是一种安全验证过程.在这一验证过程中,需要用户提供两种不同的认证因素来证明自己的身份,从而起到更好地保护用户证书和用户可访问的资源.双因子验证 ...

  2. 用双因子认证2FA替换Google authenticator谷歌令牌,助力准上市公司实现等保安全审计

    21世纪初,某人力资源科技公司试水HR SaaS赛道,以大客户为目标客群,持续深耕,稳扎稳打,如今已是一家专门为中大型企业提供一体化HR SaaS及人才管理产品/解决方案的头部企业.其产品覆盖了从员工 ...

  3. 九州云腾双因素认证系统_“等保2.0”新标准落地 双因子认证(2FA)成标配...

    2019年5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称"等保2.0"),新标准将于2019年12月1日开始实施,这意味着"等保2.0&q ...

  4. 双因子认证不知不觉间已经普及大众

    今天收到一家安全厂商的邮件,告知注册账号需要启用双因子认证.这其实是必须的,也可以光明一下未来从事双因子认证的厂商会有相当不错的市场钱景了. Dear *********** Super User & ...

  5. 2FA双因子认证之OTP算法

    2FA双因子认证之OTP算法 概述 2 Factor Authentication简称2FA,双因子认证是一种安全密码验证方式.区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符. ...

  6. 网御数据库审计系统配置Radius启用双因素/双因子(2FA/MFA)认证

    网御数据库审计系统是针对数据库操作行为进行细粒度审计和防护的管理与监控系统.它通过对数据库管理员.业务员的数据库访问行为进行解析.记录.控制.分析,帮助用户实现事前预防.事中监控.实时响应.事后追溯, ...

  7. 深信服上网行为管理如何配置双因素/双因子(2FA)身份认证

    上网行为管理是指帮助互联网用户控制和管理对互联网的使用.其包括对网页访问过滤.上网隐私保护.网络应用控制.带宽流量管理.信息收发审计.用户行为分析等. 深信服上网行为管理作为该领域的佼佼者,被很多企业 ...

  8. 网神防火墙如何启用双因素/双因子认证(2FA/MFA)身份认证

    网神防火墙基于多核处理器架构和自主开发的新一代多核并行操作系统 SecOS,完整实现了状态检测包过滤/应用代理防火墙.IPSec VPN/SSL VPN.抗DDoS攻击.深度内容检测.入侵检测防护.带 ...

  9. Centos SSH双因子认证

    一.简介 双因子认证 – Two-factor authenticator(即 2FA),是一种通过组合两种不同的验证方式进行用户验证的机制. OpenSSH双因子认证是信息安全等级保护中较为重要的安 ...

最新文章

  1. 关于CSS中的下拉表单和文本域元素
  2. 不同网段的两台主机互通问题
  3. linux中js文件有乱码,解决node.js读取文件时中文乱码问题
  4. [转]Backup and restore history details
  5. 44 | 套路篇:网络性能优化的几个思路(下)
  6. (jQuery,SVG)使用jQuery和svg仿QQ地图测距功能(抛砖引玉)
  7. YEAH!!距离拿回touch4倒计时:7days
  8. 通信业正面临一场巨变,要么滚蛋要么改变
  9. 新CentOS配制使用时会遇到的问题,Yum的使用,Yum源切换
  10. android nv21 nv12,直接进行nv21或者nv12的resize
  11. Android studio导入项目报错Please refer to the user guide chapter on the daemon at http://gradle.org/docs/2
  12. 快速部署开源的 Java 博客系统 Tale
  13. oracle group by优化
  14. Java编程:随机生成数字串
  15. office2016 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动
  16. csp2015-03
  17. 八年成就开发梦——IT精英中的活雷锋郭红俊
  18. 螺吡喃/聚丙烯酸丁酯/聚丙烯酸丁酯和螺吡喃/聚丙烯酸丁酯/聚丙烯酸甲酯双重网络弹性体的应变-应力曲线
  19. 前端-vue-node.js+很多学习资料
  20. 华为eNSP配置访问控制列表ACL

热门文章

  1. 主流应用系统的进化路线
  2. Go语言使用之JSO使用、源码解析和JSON工具类
  3. 带你了解什么是Push消息推送
  4. 计算几何课堂:DCEL(双向边链表)
  5. 使用Python脚本玩转类FOMO3D游戏
  6. 【C语言指针】一些易混淆的定义
  7. 一个端口只能被一个镜像组镜像 trunk口 交换机各个端口类型的概述 H3C 多个目的镜像端口 多监控口
  8. ZZULIOJ:1169: 大整数(指针专题)
  9. input获取焦点和失去焦点
  10. Hive可视化客户端工具