南移动

1           E-Securer系统介绍

E-Securer安全身份认证系统提供了集强身份认证、统一授权、集中审计为一体的安全解决方案，可以为网络设备、主机系统、数据库系统、应用服务系统等提供集中的身份认证和权限控制，其中包括Web应用系统、虚拟专用网（VPN）、网络拨号、UNIX主机、Windows服务器、Oracle、Sybase等数据库系统、网络设备（例如路由器和交换机）等。

1.1         系统组成

E-Securer系统由E-Securer安全身份认证服务器、联创安全令牌、认证代理、认证应用开发包等几部分组成。

1.2         系统功能

Ø         多因素认证

E-Securer系统提供了双因素认证功能，能够有效消除普通静态口令所带来的安全风险，从而提高身份认证安全性。

从机制上划分，身份认证有三种类型，这三个类型包括：

Ø         所知——通过某个个体知道的内容进行鉴别，比如口令、个人识别码PIN、或者加密的密钥等。

Ø         所持——通过某个个体所持有的实体，比如令牌，IC卡等。

Ø         所具有——通过某个人体所具有的特征和能力，比如指纹、视网膜、面部特征、签名等。

系统使用联创安全令牌，通过和传统的静态口令相结合，从而实现“所知的认证方式”和“所持的认证方式”相结合的双因素认证，也就是说用户在进行认证时，必须保证静态口令（PIN）和动态口令（令牌口令）同时正确，才能认证通过。

系统同时还支持手机短信一次性口令的认证方式。在用户需要进行认证时，系统通过手机短信向用户发送一个一次有效的一次性口令，从而为用户提供一种简单、方便的安全口令方式。

       E-Securer系统具有极强的可扩展性，通过扩展可以支持数字证书认证、USB令牌认证、生物特征认证（例如指纹），从而实现多因素认证，为用户提供更加安全的认证机制。

安全令牌用户的使用流程如下图所示。

 

 

手机短信一次性口令（简称SMOTP），可以利用手机短信向用户发送一次有效的一次性口令，为用户提供一种简单、方便的安全口令方式，适合于大范围的使用。SMOTP在使用前，需在系统内注册用户的手机号码。

E-Securer支持两种SMOTP模式，一种为同步模式，即用户在登录前，通过手机向系统发送一条申请短信，系统验证申请的合法性后，通过短信返回一条一次性口令，用户可以使用该一次性口令进行登录。

 

 

另一种为异步模式，即用户在登录时，先输入静态口令，系统验证静态口令正确后，再向该用户的手机发送一条一次性口令，然后用户使用该一次性口令完成整个登录过程。

 

 

使用异步模式，需要被登录系统支持登录时的挑战（challenge）模式。

 

 

Ø         强大的授权

E-Securer系统除了提供双因素认证外，还提供强大的授权和访问控制功能。系统可以根据用户名、所访问的设备对象、访问的时间、认证方式、IP地址等进行授权，控制用户的访问范围和时间。

对于拨号访问、VPN等远程接入应用，系统更可以提供地址分配、访问控制列表、路由控制等深入授权。

对于网络设备管理等应用，系统可以提供服务级别控制、操作命令控制等深度授权服务。

 

Ø         详细的审计

E-Securer系统提供各种详细审计信息，例如：用户认证信息，用户上、下线信息，用户在线信息，用户所执行的操作，以及管理员的各种操作信息等，从而实现对用户行为的准确跟踪，从审计的角度提供安全保障。

 

Ø         丰富的管理

E-Securer系统基于Web的管理系统，提供了丰富的、人性化的管理界面，管理员可以通过这个管理界面，完成系统的各种管理工作，例如：用户的管理、安全令牌的管理、被保护系统的管理、各种权限和角色的管理、审计信息的查看和管理，以及系统自身管理和维护等。管理界面简洁、易用，在帮助管理员完成各项管理工作的同时，也极大的减轻了管理工作量。

从中国企业的机构特点出发，E-Securer 安全身份认证系统支持按机构划分不同的权限对系统进行管理。例如，某公司有很多分公司。如果全公司就分配一个管理员管理系统势必会造成系统管员任务非常繁重。E-Securer 安全身份认证系统支持按照多级机构进行管理，各个机构管理员管理自己机构的资源设备，相关人员，口令令牌等等。同时，为了管理的方便，高级的管理员可以相应的将他所有的资源，等管理权限委派给下一级的管理员等等。基于角色的管理，使得系统的权限管理非常方便灵活，同时也贴近用户的使用习惯。

 

1.3         系统特点

ü         高安全性：提供双因素认证功能，保证身份认证的高度安全；

ü         高通用性：支持Radius、Tacacs+、LDAP等国际标准协议，具有高度的通用性；

ü         高可靠性：多个协议模块之间可以实现负载均衡，多台统一认证服务器之间实现热备份，认证客户端可以在多台服务器之间自动切换；E-Securer产品自动定时进行数据备份，防止关键数据的丢失；系统采用高可用配置方案，保证了7×24持续、稳定工作；

ü         高并发量：系统采用现今成熟技术设计，并且进行了大量的性能优化，保证系统提供实时认证、高并发量运行。

ü         功能丰富：E-Securer系统与国内外其他类似产品相比，功能更加丰富。除了提供双因素强身份认证以外，更提供同类产品所没有的丰富授权、审计等功能。

ü         管理界面简洁易用：采用基于WEB的图形化管理界面，极大的方便了管理员对系统进行集中的管理、维护、审计工作；

ü         基于角色的权限管理：通过用户与角色的结合、角色与权限的配置，可有针对性的实现用户的职责分担，方便灵活的配置用户对资源设备的访问权限；

ü         基于用户所属机构对信息进行分级管理，保证了用户、资源及角色信息的隐秘性，符合中国政府机构、企事业单位的管理模式；

ü         广泛的适用性：采用安全令牌的认证方式，提供了“随时随地认证”的解决方案，适合于任何应用环境，而不象其他强认证方式，对软、硬件环境有较高的要求。

 

2           统一身份认证解决方案

作为一直致力于身份认证产品研发的联创公司来说，早就为国内多家电信运营商提供过成功的统一身份认证解决方案。

联创公司的E-Securer 安全身份认证系统将为信息系统提供统一的整体的安全身份认证服务。相比于其他类似产品，E-Securer 安全身份认证系统在对设备的支持的广泛程度、对网络设备的访问控制、对VPN 的授权控制、对于数据库系统的认证支持、贴近国内企业的现状、系统的易使用、易维护程度等诸多方面，均是很多同类产品所无法比拟的。实际上E-Securer系统所提供的功能远远超出了单纯的认证服务，而是集认证、授权、审计三位一体的安全解决方案。

E-Securer 安全身份认证系统，将从网络层，系统层，应用层等各个层面，为用户的系统来构造认证和鉴别的第一道坚固防线。

在使用了我们提供的统一认证解决方案后，用户根据其类型，使用联创安全令牌、短信一次性口令、或者普通的静态口令，访问运行其访问的资源，例如：网络设备、主机设备、VPN、数据库、应用系统等等，而不用每个资源，都要记忆不同的口令。

联创统一认证解决方案充分考虑了系统的可靠性，系统可以采用多台设备冗余或同时工作的方式，从而保证系统的可靠性。

统一认证解决方案的示意图如下图所示：

 

 

2.1         主机设备认证

信息系统内通常存在大量的UNIX、Windows主机，这些主机通常承担着非常关键的应用程序服务以及存放着重要的信息，对于整个系统的运作起到非常关键的作用。

但是如果这些服务器采用弱口令认证，不管是普通用户还是系统管理员，均使用口令登录到主机系统。这样就有可能给不法用户提供可呈之机，有可能冒用其他用户的帐号和口令进入系统，胡作非为。

为了消除静态口令的安全隐患，管理员不得不经常定期更新口令；有时候需要告诉某个用户系统口令；有时候甚至由于口令遗忘而随便记在某个小本子上等等。这样的例子屡见不鲜，不仅给系统管理者带来麻烦，而且也留下了重大的安全隐患。

E-Securer系统提供的主机安全保护，可以完全消除上述安全问题，从而保证主机系统的安全。

在操作系统上安装了E-Securer认证代理后，当用户通过远程Telnet或本地登录到主机时，需要进行双因素强认证的用户，必须输入正确的用户名、静态口令、动态口令，才能允许进入主机系统，否则就会被拒绝在外。

如使用联创基于PAM技术开发的认证代理，则除了能够对Telnet、本地登录进行双因素认证外，还可以对其他服务：例如FTP等提供双因素认证的安全保护。同时还可以记录用户的上下线记录等审计数据。

E-Securer系统支持多种UNIX、Windows操作系统，包括IBM AIX，HP-UNIX SUN Solaris、Redhat Linux， SCO Unix、Windows XP/NT/2000/2003等。

 

2.2         网络设备认证

作为信息系统的基础设施，路由器、交换机等网络设备，对整个系统的通信起着至关重要的作用。但是如果仅使用普通口令认证用户身份，非法人员就有可能获得管理员的口令，从而进入网络设备随意修改，带来严重的不安全因素。

E-Securer系统可以象主机安全保护那样，为各种网络设备提供双因素认证安全保护，当用户需要TELNET到这些网络设备时，必须输入用户名、静态口令和动态口令，然后由这些网络设备这些人证信息发送到认证服务器进行认证，如果是合法用户则可以登录进入网络设备，否则就会被拒绝在外。

除了双因素认证，E-Securer系统针对网络设备，还提供了强大的权限管理和行为审计功能。

通过权限管理功能，管理员可以集中控制每个登录进网络设备人员的权限，包括其所属的权限级别、可以执行的命令等，从而实现设备管理的“最小授权”防止由于误操作或恶意操作带来灾难性的影响。

E-Securer系统强大的审计功能，可以详细记录网络设备上各个人员操作，除了基本的登录、退出外，更包括其所执行的任何命令，从而可以精确跟踪每个人员的行为，为安全审计提供详细的依据，或用于故障排查。

因此E-Securer系统为网络设备提供了认证、授权、审计三位一体的安全保护方案。

2.3         VPN远程接入认证

随着互联网的应用越来越广泛，使用VPN实现远程接入的方式也越来越广泛。驻外人员、长期移动办公人员等可以通过VPN接入内网，但是同样遇到了棘手问题，如何确保从互联网接入公司内部网络的人员的身份呢？VPN可以通过加密实现VPN客户端与VPN网关之间的数据通讯的机密性，但是却不能防止黑客通过窃取或猜测VPN口令入侵内部网络。

通过使用E-Securer系统，实现了VPN的加密特性和双因素认证之间完美的结合，从而提供全方位的安全防护。

当用户需要通过防火墙或者VPN网关接入内部网络时，必须输入用户名、静态口令以及动态口令，然后由这些VPN 设备通过标准的RADIUS协议将这些认证信息发送到E-Securer服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。

同时E-Securer系统提供强大的、无与伦比的访问控制能力，可以有效的控制VPN用户所使用的IP地址、网络路由、可以访问的范围等权限。

E-Securer会详细记录每个VPN用户接入和推出的时间、在线的时长，从而为VPN安全审计提供详细的依据。

2.4         拨号访问认证

除正在兴起的VPN以外，拨号访问做为一种远程接入方式，仍然还有一定的应用范围。和VPN相同的是，如果采用普通口令进行认证，同样存在极大的安全隐患。所以通过拨号进入内网，同样必须使用双因素认证。

E-Securer为拨号访问提供了与VPN保护相同的、包括双因素认证、访问控制、审计在内的、全面的安全保护。

2.5         应用系统认证

随着信息化的发展，政府机构、企业等内部的应用系统越来越成为机构正常运行的关键。

如果采用普通的静态口令，那么就存在极大的安全风险，不法分子就有可能进入应用系统，获得或破坏重要的数据。特别是越来越多的应用系统可以通过互联网进行访问，风险就更大。如果口令的安全不能得到保证，那么其他再多的安全手段都将形同虚设。

E-Securer系统的认证应用开发包，能够把联创安全令牌集成到第三方应用程序中，从而使应用系统也能获得双因素认证的安全保护。   

2.6         数据库认证

对于信息系统来说，数据库系统也是其重要组成部分。E-Securer 身份认证系统能够对数据库系统提供安全身份认证。对于SYBASE,ORACLE 系统安装相应的模块后，均可以使用E-Securer 系统进行强身份认证。

3           成功案例

Ø         天津移动、安徽移动

Ø         江苏电信

Ø         中国联通总部、江苏联通、安徽联通、浙江联通、黑龙江联通、苏州联通、云南联通

Ø         南京浦发银行、无锡华夏银行、南京光大银行

Ø         苏州电力、扬州电力

Ø         江苏人保

Ø         江苏省高速公路管理局，南通公路局。