ActivCard系统实施方案和产品简介

1、ActivCard实施参考方案二零零四年十一月目 录i系统实施方案系统规划系统实施而安装配置服务器模块1.2.2安装服务器管理控制模块2. 2. 1管理模块安装配置RADIUS Client客户端 令牌卡初始化和给用户分配令牌卡 验收系统并交付使用系统扩展应用令牌初始化和给用户分配令牌 建 产品介绍2 . 1 ActivCard 公司介绍2 ActivCard 产品介绍 2. 1 ActivCard 产品概述 2. 2 ActivCard 产品系列2. 3 ActivCard 的应用范围 3 ActivCard的优势： 3. 1 ActivCard 的关键优势3. 2 ActivCard 与

2、RSAk匕较的优势ActivCard系统的安全特性 . 1 ActivCard 系统本身安全特性 3. 1. 1 ActivCard 动态密码的安全性：3. 1. 2有效防范蛮力攻击3. 1. 3 ActivPack系统的安全3. 1. 4 ActivPack 服务器的性能指标3 . 2 ActivCard身份认证系统的安全性 3. 2. 1 ActivPack AAA 认证机制流程 1系统实施方案系统规划在真正实施动态口令的身份验证之前， 我们需要对该系统进行完善的规划， 考虑所有可 能出现的问题，并综合各种可能的应用，提出一个完善的实施计划首先我们对系统目前的应用作具体的分析， 了解网上银

3、行的主要业务以及运作模式和流程， 明白 ActivCard 动态口令身份认证系统所能提供的功能以及对网上银行整个系统产生的影响。 ActivCard 可以在不改变用户现有网络结构的情况下，和用户自有的系统无缝的整合在一起。整个系统的投资相当的小，并且付出的人力物力也十分有限。其次要制定详细的系统实施计划，把系统实施过程中的每一个步骤都进行详细的规划，准备工作做好，避免出现意外情况影响自身的正常业务。再次我们要针对每一项系统实施工作，做好记录。做到所有有关 ActivCard 动态口令身份验证系统实施的项目都详细的记录下来，为将来的系统维护和后期系统扩容提供极有价值的依据。系统实施根据 Acti

4、vCard 动态口令身份验证系统的特点，整个系统实施工作可以分为如下几个部分，本系统运行在在 SUN Solaris 平台下，数据库基于 Oracle9i 。安装配置服务器模块我们选择在现有的一台SUN Solaris服务器上安装ActivPack AAA Server服务器软件，Oracle9i 也是 安装在同一台机器上，这样我们就不需要再安 装 Oracle9i 数据库 的 client 软件 。安装ActivCard AAA Server 在这台机器上：? Install ActivPack for Solaris? Launch the Configurator (configures

5、 server access and parameters)? Launch the ActivPack AAA Server安装步骤：Login as root, and at the prompt type:Press “ Enter ” to continduiestTrihbeution displays the following information:The following packages are available:1 ActivPack (ActivPack Server for Solaris)Select package(s) you wish to process

6、 (or all to process allpackages) (default:all) ?,?,q:At the prompt, type all and press “ Enter ” to continue. The following lines display. Processing package instance from /xxx/xxx/xxx/Activ-The distribution displays version and copyright information and the following prompt:Enter the installation p

7、ath ActivCard/ActivPack ?,q. By default, the distribution installs the ActivCard AAA Server in the ActivCard/ActivPack directory.Take the appropriate action.? Press “ Enter ” to leave the default path set to ActivCard/ActivPack.? Type an alternate path, and press to c“onEtinntueer.”The distribution

8、processes the package information, verifies disk space requirements, checks forconflicts with previously installed ActivCard AAA Server packages, and checks for setuid/setidprograms. It then warns you that the package contains scripts which will be executed with superuserpermissions during the insta

9、llation, and then it displays the following prompt:Do you want to continue with the installation of y,n,? Press“ N” and “ Enter ” to abort the installation.? Press“ Y” and “ Enter ” to continue.The ActivCard AAA Server confirms a successful installation and reminds you that you must now“ create the

10、database ” (create tables) using SQL scripts before you configure the server.To create database tables, at the prompt, type:cd /opt/ActivCard/ActivPackPress “ Enter ” to continue. At the prompt, type the following: $ORACLE_HOME/bin/sqlplus /The SQL*Plus utility starts. At the prompt, type the follow

11、ing:Press Enter to continue. The ActivCard AAA Server tells you when the table space has been successfullycreated and displays the SQL prompt. At the prompt, type quit to exit the SQL*Plus utility.配置服务器：在安装完成后，需要对整个系统进行详细的配置，根据功能要求，选择适合自己的ActivPack AAA Server 服务器配置。下面详细描述系统配置的过程。首先我们要确定ActivPack AAA

12、 Server 系统服务已经启动，设定好管理员用户名和密码后(需要管理员自己设定用户名和密码，为了保障系统的安全性，建议管理员密码不要太简单；并且每次登录进来的时候，系统并不会显示上一次登录所使用的用户名和密码)，就可以进入系统管理界面，如下图所示。1，以 root 用户登录，运行以下命令：$ /opt/ActivCard/ActivPack/ActivPackServerCfg2，回车后，系统提示你输入关于数据库的一些信息：Database listener oracle 数据库名Database login登录名，默认是 ActivPackServer,你可以在以后使用中改变Databas

13、e password密码，默认是 ActivPackServer,你可以在以后使用中改变3，产生了登录的用户名和密码后，下一此登录输入你的用户名密码就可以进行以下的操作了。4，配置以下的选项：? ActivPack database access: change the login ID and password for the configuration program.? Oracle database access: change the login ID and password for the ActivCard AAA Server database access.? Log an

14、d trace files configuration: configure the settings for active or inactive trace, and specify the log size and path.* ErrLog is located (by default) in /var/log/ActicPack/ActivPackServerErr.txt.* Trace is located (by default) in /var/log/ActicPack/ActivPackServerTra.txt? RADIUS and TACACS dictionari

15、es path: set the paths for your dictionaries. The default is set to /opt/ActivCard/ActivPack/Dico.? Decipher database: toggles on/off the cipher/decipher database function. Every critical databasefield is Triple DES encrypted. This option permits you to decipher (or re-cipher) the database. We recom

16、mend you maintain the database in cipher mode (toggle on).5，保存你的配置文件：press“ 0” to Quit and answer Yes to confirm that you want tosave your settings and exit the Solaris settings menu.6，配置程序会提示你重新启动AAA server 。所有的配置结果在如下的一个文件中：1.2.2 安装服务器管理控制模块1 2 2 1 管理模块安装在安装完服务器模块后，必须在一台 win 2000 的机器上安装管理模块( Admin

17、istrationConsole )：登管理控制台可以通过服务器所提供的端口与服务器通讯。并且这个端口也是可变的，为了控制安全性，我们可以更改该控制端口，并且在防火墙上作相应的设置来屏蔽该端口，从而避免外部针对该端口的非法访问。下面简要说明每一项设置的方法和作用。首先我们要设定系统需要连接的 LDAP 服务器。如下图所示，需要详细设定 LDAP Server 服务器的每一项参数：包括LDAP Server 服务器主机地址、端口、登录用户名、密码；所要管理的用户组和查询条件等；以及在 LDAP目录里为 ActivPack AAA Server 令牌卡建立索引所使用的字段等。 在每一部分设定好之后

18、，可以立刻进行测试以认证设定的正确性和有效性，只需要单击右边的 Test 按钮即可。图表 1(图 3-2 LDAP 服务器设定界面)LDAP 服务器参数设定完成之后， 就可以在查询结果里看到相关的查询出来的用户资料了。我们在目录中查到了信息，这就表明，我们的 LDAP 服务器连接设置正确，系统可以在 LDAP 内通过指定条件查询用户信息了。设定完与 LDAP 目录服务器的连接之后，我们要配置ActivPack AAA Server 自身的参数，使其能够满足我们所需要的安全性要求。首先要做的是我们先要建立一个Servers ，然后依次建立 Gate、 LDAP Server 、 Profiles

19、 、 Group ，定义每一项具体的设置，在设置完成后我们就应该在 Group 的查询里查找到 LDAP 内的每一个用户信息。针对不同的系统应用， 我们可以建立多个不同的 gate ， 来对应每一个系统应用。 每一个Gate 使用不同的配置文件Profiles ，来满足不同的身份认证的要求。本例中我们使用的是默认的配置文件，它一般可以满足 win2000 下的身份认证工作。另外我们还可以建立基于IIS 的应用，只需要简单的设定一个配置文件，利用这个配置文件创建一个新的 Gate 就可 以了。另外， 如果系统用户比较多，并且使用也比较分散， 我们还可以建立多个Server ，针对每一个 Serv

20、er 来定义 Gate ，满足不同应用。这样我们就可以使用一个统一的 LDAP 目录，来进行各种应用上的动态口令的身份认证了。我们还可以针对每一个组织单元 OU 来定义身份认证安全策略，例如我们定义信息技术部的员工可以访问 Internet ，定义财务部门的人员使用财务数据库，定义经理等领导人员可以管理用户数据库等。这些应用的动态口令身份认证都可以集中完成，只需要在系统身份认证模块中简单的添加几行身份认证代码，构建一个 RADIUS Client 客户端，就可以满足不同的需求了。下面是一个配置完成后的窗口界面。（图 3-3 系统配置完成后的系统管理界面）从图中我们还可以看到， 我们可以自己定义

21、系统的端口号， 然后在防火墙上开放相应的端口，就可以满足系统安全性的需求；还可以设定 RADIUS shared secret 密钥，进一步加强系统的安全性。以上是简单的服务器设置，详细的系统配置以及实现方法，请参见相关产品文档。RADIUS Client 客户端服务器端配置完成后，我们需要配置RADIUS Client 客户端，由于 ActivPack AAAServer 本身是一个标准的 RADIUS Server ， 拨号接入服务器作为 RADIUS Server 的客户端（前提是路由器支持标准的 RADIUS 协议，如果不支持需要开发相应的客户端软件）。一套系统，在使用之前必须对它进行

22、初始设定，把每一块卡都分配给每一个人，这样系统才可以正常工作。 产品在出厂的时候， 都随着带有一张令牌卡初始化时产生的密钥 （ key ）软盘。我们首先把密钥（key）导入ActivPack AAA Server系统数据库里，需要留意的是为了加强令牌卡密钥的安全性， ActivCard 在导入令牌卡密钥的时候，需要提供一个解密的密码，共有 16 位，详细操作见下图。（图 3-4 导入令牌卡 （Token One） 的初始化密钥 key ）令牌卡密钥导入以后，需要把它分配（ Assign ）给每一个用户，针对招商局集团 100余用户的系统，我们可以提供两种令牌卡的分配方式：令牌卡的批量分配：我们

23、可以开发一个简单的程序，自动向 LDAP 目录中的字段中写入令牌卡 （Token One） 的序列号，完成令牌卡（Token One） 的用户分配工作；在 ActivPack AAA Server 的 Console 进行令牌卡的分配；根据招商局集团具体的需要，我们可以灵活的选择合适的令牌卡分配方式。整个系统实施完成后，我们会偕同相关人员一道，对系统的运行状况、性能指标做一个综合的客观的检验。具体检验项目包括系统稳定性、安全性因素、系统响应时间、潜在的风险评估、系统兼容新工艺即可扩 展性等。检验完毕，万维易化会提供一个完整的由双方共同认可的检验报告，作为系统投入试运行的依据。试运行一段时间后，

24、如果系统运行良好，则万维易化会把整个系统完全移交给招商局集团，包括系统所有软件产品、说明书、实施文档、开发文档、程序源代码、培训教材等；然后会对招商局集团的相关人员进 行一次完整的系统管理培训，真正让用户完全掌握整套系统，从中受益。ActivCard 系统扩展应用基于 LDAP 的用户管理结构可以为系统管理提供最大程度上的管理方便， LDAP 是一个 现行的工业标准，它提供标准的存储结构，使得用户管理更加方便。将来，招商局集团的所有用户数据可以全部使用 LDAP 来管理，包括内部OA 系统、柜面系统、电话银行系统、网上银行系统等都可以使用统一的 LDAP 结构来存储管理。 这样我们就可以使用

25、ActivCard 动态口令身令牌初始化和给用户分配令牌一套系统，在使用之前必须对它进行初始化设定，把每一块卡都分配给每一个人，这样系统才可以正常工作。 产品在出厂的时候， 都随着带有一张初始化的 key 盘， 我们就是用这个key来对系统和令牌进行初始化。首先把 key导入ActivPack AAA Server系统数据库里， 然后再针对每一块卡进行一次系统时钟同步，需要留意的是为了加强自身的安全性，ActivCard 在导入令牌信息的时候， 需要提供一个初始访问密码， 共有 16位， 详细操作见下 图。(图1-7导入令牌卡(Token One)的初始化密钥key)(图 1-8 导入令牌信息

26、之后的系统管理界面)令牌信息导入以后，需要把它分配(Assign)给每一个用户，针对深圳市商业银行这样 有2万余用户的系统，我们可以提供一个简单的工具，自动完成令牌卡(Token One)的用户分配工作和向LDAP目录中的字段中写入令牌卡(Token One)信息的工作，也可以在柜面系 统中作一个简单的二次开发，集成该工作到柜面系统，这样就便于柜面营业员在发卡时， 直接完成卡和用户的意义对应工作。下图是一个令牌卡(Token One)系统初始化的界面。(图1-9令牌卡(Token One)初始化界面)2. 产品介绍2 1 ActivCard 公司介绍Activcard 公司 1980年成立，专

27、业从事数据加密及身份认证系统产品生产及研发。美国及法国上市公司，全球多处实验室和研发机构。 ActivCard Token 产品最早用于法国海军的 安全网络的访问管理。随后被推广到银行和其他企业网络的管理应用项目中。业界领导，世界上一百万套以上系统正在使用，合作伙伴及客户遍布全球，包括：? Microsoft? NEC? VOLVO? DOD? AIRBUS? SUN? HP? ALSTOM? GEDAS/VOLKSWAGEN? ST MICRO? TECHINT? BCA? 美国国防部? 香港汇丰银行? 香港电讯? 花旗银行? 爱立信? 国泰君安? 大鹏证券?.多项专利及领先技术，产品经过多

28、项专业测试及实践检验，倍受好评。详情请见2 2 ActivCard 产品介绍2 2 1 ActivCard 产品概述ActivCard 为企业的内部网络提供强大的身份验证系统， 将用户扩展出简单的静态口令的范围，使用者的口令由手持令牌（Token）动态生成，无法预测，无法重复使用，高度安 全，完全避免了传统口令的弱点，替代传统的静态口令机制。ActivCard 的双因素认证系统 （我拥有、 我知道） 要求用户在登录之前必须具有物理的令牌，同时必须知道自己的 PIN 码（个人验证码，用于激活令牌）。 而 ActivCard 独特的动态密码生成有效的消除了风险，这个过程产生一个一次性口令，是无法被

29、猜中、分享、破解的，丢失的密码或再次使用都会被禁止。 双因素认证系统可以唯一的确认用户，而且并不要求用户记忆一个新的口令。ActivCard 同时也支持异步挑战码用户认证方式。安全性动态的一次性口令，无法推测、无法破解、无法重复使用、无法共享唯一性唯一的序列码、唯一的密钥及唯一的用户可靠性无效的用户无法通过认证ActivCard 认证过程：用户只需简单的在令牌键区输入PIN码，令牌检验PIN码后，动态生成并显示动态密码。 用户在Login用户只需简单的在令牌键区输入 PIN码，令牌检验PIN码后，动态生成并显示动 态密码。用户在 Login 屏幕输入密码，认证服务器认证动态密码后，允许用户登录

30、。2 2 2 ActivCard 产品系列ActivCard 产品主要由用户手持令牌和中心端认证软件组成。令牌 （Token） ： 轻便的带有键盘的手持设备，用于动态口令的生成。ActivCoupler ： 令牌与计算机的连接设备，主要用于令牌的初始化。ActivPack 服务器： 基于服务器的认证软件，在采用 ActivCard 服务器安全解决方案的应用里起作一把“锁”的作用。现在的版本提供RADIUS佥证通信方式。ActivPack Console 台： 一种图形用户界面（GUI） 的管理模块，用于令牌的初始化、管理 ActivEngine 的用户和令牌数据库。令牌（Token）令牌是用户

31、端带键盘的轻便手持设备，用于生成一次性动态口令，提供全面、强大的 认证功能。ActivCard提供用户令牌：ActivCard One。需要指出的是，令牌在使用当中, 并不需要与系统联机。令牌提供的安全服务同步（专利拥有的时间加事件处理）用户认证异步（挑战/应答）用户认证密值提取一每个应用区可存储 64位秘密信息（如信用卡号），并以加密格式上载给服 务器或应用令牌的PIN码管理Token的使用受PIN码保护PIN码由用户选择，并可随时更换弱PIN码检测（可选）PIN码输错的次数超过门限，Token会自锁开锁密码输错的次数超过门限，Token会自动擦去内存Token可以远程解锁每个Token可以

32、被自动再同步Token特性每个Token拥有唯一的序列号密钥在初始化时随机产生，而非出厂时固定具有光接口与coupler通信时钟漂移小于0.5S/天时钟和注册信息存储于CPUfrCPUS寸装于环氧树脂中，不溶于任何已知溶液可更换的锂电池和备份电池电源节省模式电池缺电检测12 个按键( 10个数字键和两个功能键)单行10字符/2行12字符+4个通信图标LCD!示。(one/PluS)含电池， 25/40 克。( one/Plus )82mmX52mmX5 mm用卡大小寿命为 8 年遵从的标准ANSI X3.92 DES 算法ANSI X9.17和ANSI X9.24 DES密钥导出和管理标准AN

33、SI X9.9 动态口令计算和显示标准ANSI X9.26 挑战 / 应答，签名认证处理标准Token 的平均寿命30个同步认证/天，25个异步认证 / 天，15个光接口认证/天在上述使用情况下， Token 可更换的电池可以使用 2 年。 Token 本身的寿命为 8 年。ActivPack V5 的功能及特征1 )全面 LDAP 解决方案ActivPack在版本V4.4之前，支持内建的本地用户数据库和LDAP艮务器，从版本V5开 始，全部由LDAP艮务器提供用户数据，以充分利用 LDAP虽大的用户管理功能，实现高效的 集中式管理。ActivPack V5支持标准的LDAPI务，从企业级LD

34、AF5口 AD,到运营商级LDAP如 iPlanet 。LDAP?简介轻量级目录访问协议( Lightweight?Directory?Access?Protocol )。一个使用 ?Web? 浏览器和与？LDAP兼容的电子邮件程序访问在线目录服务的协议。一些人可能希望？LDAP?提供搜索 ?Internet? 上的电子邮件地址的通用方法，最终带来一个全球性的白页。 LDAP? 在 ?Internet?Engineering?Task?Force?(IETF)? 中定义，以推动对?X.500? 目录的采用。LDAP?1一种相对简单的协议，它用于更新和搜索基于？TCP/IP?运行的目录。对于简单

35、的？Internet?客户机的使用来说，LDAP姒前的“目录访问协议？(DAP)”太复杂。LDAP?! 录项是带有名称的属性集合。称为识别名称 ？(DN)。DN?#楚的指明是项目。？各项目的属性 包括一个类型和一个或更多值。这些类型通常是有助于记忆的字符串，如？cn?指常见名称， 或？mail?指电子邮件地址。值取决于类型。LDAP用录项以一种等级结构排列，它反映了政 治的、地理的、和 / 或组织边界。代表国家的项出现在该树的最顶端，随后是代表州或国家组织的项，然后是代表民族、组织单位、打印机和文档等的项。 LDAP 目录的优势现在LDAP勺流行是很多因数共同作用的结果。基本的原因如下：.可能

36、LDAP最大的优势是：可以在任何计算机平台上，用很容易获得的而且数目不断增 加的LDAP的客户端程序访问LDAP目录。而且也很容易定制应用程序为它加上 LDAP勺支持。. LDAPB议是跨平台的和标准的协议，因此应用程序就不用为LDAP目录放在什么样的服务器上操心了。实际上，LDAP马到了业界的广泛认可，因为它是Internet的标准。产商都 很愿意在产品中加入对LDAP勺支持，因为他们根本不用考虑另一端（客户端或服务端）是 怎么样的。LDAP服务器可以是任何一个开发源代码或商用的LDAP目录服务器（或者还可能是具有LDA叫面的关系型数据库），因为可以用同样的协议、客户端连接软件包和查询命 令

37、与LDAP服务器进行交互。与LDAP同的是，如果软件产商想在软件产品中集成对DBMS的支持，那么通常都要对每一个数据库服务器单独定制。不象很多商用的关系型数据库，你不必为 LDAP勺每一个客户端连接或许可协议付费。.大多数的LDAF务器安装起来很简单，也容易维护和优化。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推” 到远程的办公室，以增加数据的安全性。复制技术是内置在LDAF务器中的而且很容易配置。如果要在DBM外使用相同的复制功能，数据库产商就会要你支付额外的费用，而且也 很难管理。. LDAPfc许你根据需要使用ACI （一般都称为ACL或者访问控制列表

38、）控制对数据读和写 的权限。例如，设备管理员可以有权改变员工的工作地点和办公室号码，但是不允许改变记录中其它的域。 ACI 可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由 LDAP目录服务器完成的，所以不用担心在客户端的应 用程序上是否要进行安全检查。LDAP对于这样存储这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要 经常更新。例如，这些信息存储在 LDAP目录中是十分有效的： ? 公司员工的电话号码簿和组织结构图 ? 客户的联系信息 ? 计算机管理需要的信息，包括NIS 映射、email 假名，等等? 软件包的配置信息? 公用证书

39、和安全密匙ActivCard 身份认证系统与LDAP 的集成采用ActivCard的ActivPack建立一个统一的身份认证系统，可以供网上银行WEBS录使用，作为一个强力的身份认证系统，未来可供其它系统的认证。ActivPack能够和LDAP服务器同步用户。要建立一个大型的身份认证系统，除了要有 强大的认证体系，还需要完善的用户管理体系，采用LDAP服务器专门管理用户，ActivPack 专门完成身份认证工作。Web Help Desk 功能ActivPack V5 新增 Web Help Desk 功能，方便用户管理及故障检测。支持多种设备ActivPack V5 新增了对一些设备的支持，

40、提供多样的选择：Token One,KeyChain,Gold Smart Cards,ActivKey,Palm Pilot,Soft-Token支持 Sun Solaris 平台Windows NT4 SP6aWindows 2000 ServerWindows 2000 Advanced serverSolaris 8高可用性ActivPack V5 通过内建的 Replication 功能实现双机容错的高可用性。2 2 3 ActivCard 的应用范围ActivCard 基于开放的系统平台，允许运行于最多的计算机及通信网络上，包括：公用电话交换网基于信元的网络LANS/WANSInt

41、ernet/Intranet广泛的应用于：Intranet 登录Internet 登录 Extranet 登录电话银行服务 电话委托证券交易 网上银行网上证券交易2. 3 ActivCard 的优势：3. 1 ActivCard 的关键优势）增强的网络安全：） ActivCard使得用户在得到动态密码前必须具备两个要素：令牌和 PIN码。利用 动态密码大大减少了无认证连接的风险。）高性价比的安全：） ActivCard One令牌结束了以往围绕静态密码认证展开的IT系统管理员需定期更改密码的烦琐工作。这不仅大大节省了系统管理员的时间，降低了企业的管理费用，也极 大地强化了身份认证系统的安全。）

42、 ActivCard One集成的动态口令认证功能把系统管理员从以往烦琐的日常例行工 作中解脱出来，可以有足够的时间和精力关注企业内基于Web和其他方式的数据通讯和交易处理顺畅进行。）平滑过渡为大规模、全企业内使用ActivCard One动态口令认证：7）结合ActiveCard服务器产品系列，系统管理员能有效管理 ActivCard One令牌的 分发、用户授权、远程初始化以及令牌再同步等。） ActiveCard 动态口令认证技术能与诸如 Cisco,CheckPoint,Axent,Lucent,Novell 等主流网络、防火墙厂商的产品无缝集成，在企业网内已有的认证系统基础上进一步强

43、化 认证安全。ActivCard）日后可以灵活调整：令牌可以在基于PCT作立和Unix网络终端混杂的计算机环境进行动态身份认证。ActiveCard 服务器产品系列还支持 ActiveCard 智能卡，以逐步实现向基于 PKI 和 数字签名的认证系统过渡。 10 ）突出点 专利技术 : 使用基于标准的 3 种算法产生一次性使用的口令 11 ）随时随地进行连接: 相对其他手持令牌 ActivCard One 更为小巧轻便，在任一地方提供灵活先进的远端接入 12 ）已证明的可伸缩性: 支持全面的鉴定解决方案企业级电子金融服务网上银行方案的全球提供商，已经有超过1000,000 套 ActiveCa

44、rd 令牌正在使用3. 2 ActivCard 与RSA比较的优势Activcard 独特的七个卖点：ActivPack for LDAP 实现企业中所有LDAP的单点管理2）齐全的产品线，提供多种多样的选择: Token One, KeyChain, Gold Smart Cards,ActivKey, Palm Pilot, Soft-Token3）独特的灵活性应用于不同的认证模式、目录、数据库、设备，支持全球性的解决方案：4）保护您的投资：Gold Cards支持随时迁移/增加到PKI或SKI5）更高层次的安全观点：软件与硬件的结合6）更好的可管理性和界面7）更优越的性价比Activca

45、rd 实现企业的单点管理1）大公司通常使用LDAP#储公司的所有信息，包括用户的信息.2）使用ActivPack for LDAP ，公司无需管理额外的用户数据库，即可使用 ActivCard的强力认证解决方案 .3）用户仍然在LDAP目录中进行存储和管理4）查询是动态的：当在LDAM增力口用户，在ActivPack中立即生效（无需导入）5）无需修改LDAP勺架构（Schema6）支持所有LDAP目录（所有厂家的）单点管理的优势1）更低的管理花费2）单点的维护3）只需一个数据库的管理，代替以前两个数据库的管理4）一个数据库提供更优的安全性和一致性5）一个数据库管理一个组6）只有单点的攻击 容易

46、防御7）减少撤销的延迟和出错的风险8）当删除雇员 立即全面生效LDAP的移除与ActivPack的移除无延迟时间！10）免除了忘记从第二个数据库中移除用户的风险齐全的产品线1）当前的设备要求不同类型的认证设备：如笔记本电脑不希望携带Smart Card 读卡器,ActivPack 提供一个广泛范围的设备来满足所有客户的需要：ActivKey （USB Key） 用于笔记本电脑时无需读卡器Token One or KeyChain 用于 no footprint 的解决方案Smart Cards 用于多用途的应用和目的 （PKI, SKI, 物理访问 , branding, 等等 .）Soft

47、Token 用于无花费的或者试验性的解决方案Palm ID for Palm Pilot齐全的产品线的优势1）满足所有用户的需求2）满足各种应用的需要3）提供可能扩充到PKI 或 SKI 的路径 （ 参见第 4 点）4）更好的投资回收率（ROI） , 设备销售给客户，不租用 !独特的灵活性应用于全球性的解决方案中1）各公司面临各种技术和解决方案之间的配合问题的挑战。ActivCard 提供一个独特的整体解决方案，用一种更简单和更易管理的方案来满足公司不同的安全需要。ActivCard 易与其它客户体系结构集成 :3）认证办法: PKI, SKI, 静态和生物测定学Single-Sign On5

48、）支持多种数据库6）与PKI 厂家的特殊集成（Entrust, Baltimore）与VPN 厂家的特殊集成（Checkpoint）独特灵活性的优势Activcard 全面支持 PKIRSAR支持 RSA Keon PKIActivcard 可选择多种部署的数据库，便于客户的管理RSAR提供和支持Progress数据库。DBAS需再学习额外的数据库！ActivPack 可于任何 Tacacs+/Cisco 或 Radius 设备的接口RSAR支持Radius,不能全面支持Tacacs +协议的所有功能Activcard 有更多动态认证方式的选择，可采用挑战 / 应答方式RSA不能采用挑战/应答

49、认证方式Activcard 有更广泛的设备选择范围，包括USB keysActivPack for Checkpoint VPN 客户端和 FW 的简化终端用户 ,使用强力认证的过程：只需输入 PIN ，余下工作由ActivPack 客户端完成!独特的迁移 / 扩展性1）为满足将来的需求，公司当前的结构需要更好的扩展性。在进行技术/ 产品迁移和扩展时， ActivCard 具有独特的灵活性，来保障客户的投资。Activcard 提供所有方式的扩展（ SKI-PKI , Static-SKI, Static-SKI-PKI ）3）可从RSA（或者其它的解决方案）平稳迁移到ActivCard 。4

50、）产品和物理产品访问（如HID和Mifair ）互操作的可能性5）设备的专业化（ 如 : Alstom ）独特的迁移 / 扩展的优势1）迁移的可能性!RSA 不提供迁移到其它市场产品的路径（SKI, PKI 厂家如 Entrust, Baltimore,Verisign）Activcard 容易实现迁移 !由于扩展的路由能力，我们的产品提供一个迁移路径，防止迁移问题和延迟。3）更少的迁移花费!4）客户更强的拥有感： Activcard 能定制设备高层次的安全观点1）网络链路的安全取决于链接中最薄弱的一环。使用ActivCard 产品，控制链路中的每一环节，提供给客户牢固的基础。2）每个客户能建

51、立自己的秘密，打破了客户对编辑者的安全依赖。3）使用 Smart Cards, 可产生 （SKI 动态密码 , 或签名 key-pair） ，卡不会被遗忘。PIN 码的值不会跟随动态密码在线发送3 因素 （clock, counter, and 3DES key） 认证提供更强、更稳定的动态密码6）可能的检验编码（FW-1, VPN-1, RAS, 或SDKS于client的开发）提供互惠的认证7）设备能存储长且复杂的静态密码8）使用读卡器技术，可直接在读卡器的安全键盘上输入PIN码（不通过PC的RAM）9） ActivCard支持使用MS- CHAPS全协议进彳T认证。而 RSA支持！高层次

52、安全观点的优势1）只有 ActivCard 能提供完全独立的安全!在RSA勺部署中，客户和RSAIB知道每个部署设备的秘密。2） ActivCard 使用真正的强力认证，提供更好的安全性RSA勺密码是明文传输，容易在网络中被探测到。设备的 SecurID可能被窃取和假冒。3）检验码能保障客户正在连接的服务器的身份4） ActivPack clients 或 SDK 开发 客户端 clients5）一些客户使用MS-CHA初议保护他们白认证线路。ActivCard产品能够在MS-CHAP 上使用，而RSA能！ActivCard 挑战 / 应答认证提供不基于时间因素的认证方式以供选择。RSA从属于

53、时间的导出和同步。ActivCard 设备（如 Smart Cards 或 ActivKey ）提供弱密码检测功能，不认同容易攻破的传统密码，改善安全性。更好的易管理性和界面1）在管理方面， ActivPack 容易嵌入企业体系结构，快速安装，更快的管理。在终端用户方面， ActivPack 设备简单，容易使用。2）支持所有厂家LDAP 目录 （v2 and v3）3）快速且容易安装4）使用友好的管理和终端用户界面5）无需修改LDAP勺架构（schema ,能使用任何字段存储 Token SN6）在每一个认证尝试间无延迟7）能够处理如xyzdomain或domainxyz 的域名或者NT名8）

54、不需任何的增加，提供全面的 AAAft能更好的易管理性和界面的优势1）无其它附加的要求:2）全面的AAA性能（RSA需要第三方授权服务器）3）客户有选择！用户数据库的管理：ActivPack 数据库LDAP V2或V3目录4）使用ActivPack for LDAP ,无需改变客户存在 LDAP的配置！Activcard 在实时的任务中花费更少的时间RSA Ace 服务器需要附加的用户管理Activcard 有直观和快速的管理RSA 使用 Unix 图形方式，用户界面不好、效率较低Activcard 易实现多领域的管理RSA不支持所有的领域管理更优的性价比ActivCard 提供的解决方案，满

55、足每个客户对价格和价值的要求。2）设备销售给客户。而RSAS借设备！3）我们提供比RSAS优惠的价格！4）保护客户的投资5）同样的价格，客户能选择在PKI， SKI 和静态密码认证方式中选择最好的解决方案更优性价比的优势Activcard 设备具有永久的许可对于RSA当租期过期时，客户必须再次租借设备2）对于ActivCard ：设备销售给客户，电池可替换3）设备只需一半价格RSA 设备比Activcard 设备贵的多ActivCard 的质量 / 功能 / 价值更好RSA勺价格更高，而提供的功能更少Activcard 降低工作时的额外花费RSA步时占有全部的带宽Activcard 减少设备丢

56、失的费用当你丢失一个还有2 年许可的 RSA 令牌，你必须重新换一个新的 3 年许可的令牌：丢失了 2 年的许可费用。Activcard 具有更低的整体花费（TCO）1）投资的价格2）操作/ 管理花费3）对所有认证办法，统一的设备管理4）一台服务器支持所有的PSDs6）升级到PKI 时，客户端无需额外的投资一台LDAP服务器可实现AAA, PKI, SSO, Applet 和 卡的管理,ActivCard系统的安全特性1 ActivCard 系统本身安全特性1 . 1 ActivCard 动态密码的安全性：.算法不可逆保证动态密码的安全：动态密码的认证和授权流程如上图所示，用户使用令牌的密钥（

57、Key1）和时间、事件计算出Password1 （6位），然后再 加上时间、事件变量的最后一位生成动态密码 1 （8位），最后递交动态密码给 RADIUS Client ;RADIUS Client 递交动态密码给 RADIUS Server （ActivPack Server ）请求认证； 3）根据 RADIUS Client 的认证请求，触发 RADIUS Server上的 API对RADIUS Client 认证请求进行响应；RADIUS Server据递交的用户名找到对应的密钥（Key2）,用密钥（Key2）和 时间、事件计算出Password2 （6位，是不可见的），然后再加上时间、事件变 量的最后一位生成动态密码2 （8位）。将算出的动态密码2和RADIUS Client递 交来的动态密码1进行比较，最后将比较结果（1/0）返回给RADIUS Client ;RADIUS Client根据RADIUS认证服务器的返回结果（1/0）对用户进行授权或拒 绝；根据以上所述，ActivPack算法的不可逆性保证了动态密码的安全。即使攻