堡壘機(360)雙因素身份認證解決方案
一、場景分析
堡壘機是一種在特定的網路環境下,為了保障網路和資料不受來自外部和內部使用者的入侵和破壞,而運用各種技術手段監控和記錄運維人員對網路內的伺服器、網路裝置、安全裝置、資料庫等裝置的操作行為,安全級別極高!
二、問題分析
1、密碼設定簡單,非常容易被撞庫破解;
2、密碼設定複雜,非常容易忘記密碼,增加網路管理員無意義工作;
3、設定統一或有規律的密碼,一旦單點被破,極易引發全面危機;
4、定期更改密碼,容易密碼混淆,難以記住;
5、做密碼本、儲存位置容易洩漏,引發全面危機;
6、員工離職,需要修改密碼,增加管理員工作量;
三、解決方法
採用CKEY DAS做密碼加固,登入時需要做二次身份認證。實現效果如下:
“ 使用者名稱 + 靜態密碼 + 動態密碼 = 成功登入 ”
四、堡壘機認證流程
認證前提:
1、在堡壘機上找到並啟用Radius模組;
2、和CKEY DAS認證伺服器完成Radius對接;
登入流程:
1、使用者輸入“使用者名稱+靜態密碼+動態密碼”訪問目標主機;
2、目標主機通過Radius Client同時將使用者名稱+靜態密碼傳送到企業使用者源做靜態認證、將使用者名稱+動態密碼傳送到CKEY DAS認證伺服器做動態認證;
3、使用者源和CKEY DAS分別對認證做反饋;
4、當且僅當使用者源認證和CKEY DAS認證同時通過時,才能成功訪問,否則登入失敗;
四、CKEY DAS介紹
CKEY DAS(中科恆倫雙因素認證系統)基於標準的Radius協議和TACACS+協議,為網路裝置、業務系統、作業系統提供身份認證、授權和審計,同時支援API、SDK對接方式,滿足所有主流場景。
六、產品架構
七、接入方法
八、認證方式
|
認證方式 |
動態密碼認證 |
掃碼認證 |
指紋認證 |
人臉認證 |
Ukey證書認證 |
|
呈現方式 |
簡訊令牌 |
掃碼令牌 (軟體令牌內建功能) |
指紋儀 |
人臉識別 |
Ukey令牌 |
|
APP令牌 | |||||
|
PC令牌 |
|||||
|
硬體令牌 |
|||||
|
微信小程式令牌 |
|||||
|
釘釘令牌 |
注:可以任選其一,也可以多種方式組合使用!
九、OTP技術原理
十、CKEY DAS八大優勢
|
1 |
部署簡單靈活 |
在不改變網路拓撲的情況下,旁路接入認證伺服器,方便入網,並可以很方便的組建認證服務叢集,工作狀態下負載均衡,單點發生故障立即熱備 |
|
2 |
認證方式豐富 |
支援簡訊認證、APP認證、小程式認證、釘釘認證、硬體令牌認證、指紋認證、人臉認證、U盤證書認證等多種認證方式,還可以多種方式組合使用 |
|
3 |
業務場景豐富 |
支援路由器、交換機、VPN、防火牆、閘道器等多種網路裝置,支援OA、CRM、ERP、財務、人事、Web應用、虛擬桌面等多種業務應用、支援Linux、Windows、Unix等多種作業系統; |
|
4 |
使用者源豐富 |
支援AD、LDAP、DataBase、等多種使用者源,快速對接,減少管理成本 |
|
5 |
策略管理靈活 |
可以為不同使用者、不同組、不同角色,設定不同的管理策略,配置靈活,管理方便 |
|
6 |
日誌審計完善 |
詳細記錄系統操作日誌、API認證日誌、協議認證日誌、終端認證日誌、授權日誌等,有效監管操作動態 |
|
7 |
對接方式豐富 |
Ckey-DAS支援標準的Radius、Tacacs+協議,支援所有此協議裝置,並且支援SDK、API整合方式對接,基本滿足企業所有業務系統,特殊情況下還支援原始碼整合。 |
|
8 |
自助服務強大 |
使用者可以根據管理員提示,自助啟用繫結認證服務,提高工作效率,降低管理成本 |
十一、適用品牌
CKEY DAS可以完美對接啟明星辰、建恆信安、藍盾、綠盟、黑盾、360、德訊、聖博潤、金盾、思福迪、帕拉迪、尚思卓越、科友、齊治、極地、派拉、昂楷科技等國內外主流堡壘機廠商,獲得數百家企業客戶高度認