宁盾多因子认证(MFA)与office365安全认证方案

一、背景需求

随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、用友NC对接方案

1、用友NC商业应用库对接方案

正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用

户选择。客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

用友NC作为企业常用的办公工具，已完成商业应用库对接。为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

一、背景需求

随着企业移动化转型，员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案

传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次，一次一密。用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是，创新性的将

企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

数字认证解决方案

数字认证解决方案是指利用数字技术来确保身份和交易的

真实性和安全性。以下是一些常见的数字认证解决方案：

1. 双因素认证（2FA）：通过使用多种身份验证要素，如密码、生物特征、手机验证码等，来提高认证的安全性。

2. 生物特征认证：使用个体的生物特征信息，如指纹、声纹、面部识别等，作为唯一的身份认证依据。

3. 单点登录（SSO）：用户只需一次登录即可访问多个应

用或系统，提高用户体验的同时确保安全性。

4. 电子身份证（eID）：将传统的身份证和认证过程数字化，通过加密技术和数字签名来确保身份的真实性和完整性。

5. 区块链认证：利用区块链技术来存储和验证身份信息，确保数据的不可篡改性。

6. 多因素认证（MFA）：使用多个独立的身份验证要素，如密码、智能卡、指纹等，来提高认证的安全性。

7. 虚拟专用网络（VPN）：通过建立加密的网络连接，使用户可以安全地访问内部系统和资源。

8. 数字签名：使用非对称加密算法来对数据进行签名，以确保数据的完整性和身份的真实性。

这些数字认证解决方案可以根据具体的需求和应用场景进行选择和组合，以提供最佳的认证安全性和用户体验。

OWA邮件系统宁盾短信认证双因子认证方案

OWA（Outlook Web Access），是Exchange邮件的Web访问形式。OWA作为Exchange的Web 访问客户端，负责提供邮件Web访问页面。用户只需要使用浏览器通过互联网就能访问位于Exchange服务器中的邮箱并随时收发邮件、管理地址簿，而无需借助Outlook客户端。

不过，对于企业来说采用用户名和静态密码登录OWA已无法满足信息安全和管理的需要，在使用静态密码时往往会遇到很多问题，如：

1.采用初始密码或者过于简单的静态密码登录；

2.忘记密码、用户被锁定等问题层出不穷，增加密码维护工作量；

3.弱口令容易引起内网信息系统泄漏事件；

4.定期更改密码的规定不易被执行；

5.员工离职，账号冻结、停用不及时，易被不法分子乘虚而入。

要解决以上因静态密码而引起的安全问题，企业可以在OWA登录步骤启用宁盾双因子认证，在原有静态密码基础上，加入第二层动态密码短信认证步骤，用户在两道密码都验证正确后，才可登录OWA。因此，即使用户邮箱静态密码泄露后，没有与之相匹配的短信动态密码也无法登录系统，从而加强了邮箱账号安全。

（宁盾短信令牌）

为OWA邮件系统添加短信动态密码认证，要确认企业已有短信网关或者计划申请短信网关。宁盾双因子认证服务器将随机生成的一次性动态密码通过短信网关发送到绑定的用户手机上，用户输入手机短信中的动态密码提交验证通过后才能登录成功。密码是一次性使用的，他人即使盗用了密码，也无法再次使用，从而能保证帐户和信息的安全。

（企业微信获取动态密码）

一、背景需求

随着企业移动化转型，员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案

传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次，一次一密。用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是，创新性的将

企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

一、背景需求

随着企业移动化转型，员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案

传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次，一次一密。用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是，创新性的将

企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

面向企业安全的多因素身份认证系统

设计

多因素身份认证（MFA）系统是一种用于提高企业网络安

全的重要工具。随着网络攻击和身份盗窃的增加，传统的用户名和密码认证方式日益不安全。MFA系统通过结合多个身份

认证要素，例如密码、指纹、硬件令牌、手机验证码等，为企业提供了更高级别的身份验证保护。本文将探讨如何设计一种面向企业安全的多因素身份认证系统。

首先，多因素身份认证系统的第一层是传统的用户名和密码。这一层提供了最基本的访问控制，确保只有授权的用户才能登录企业系统。然而，由于密码的安全性容易受到各种攻击的威胁，单独的密码认证已经不能满足企业的安全需求。因此，需要添加第二个身份认证要素。

第二个身份认证要素可以是硬件令牌，例如智能卡或USB

安全密钥。这些令牌存储了一个唯一的标识符，每次用户登录时需要将令牌插入计算机或通过无线接口进行身份验证。令牌中存储的身份认证信息可以根据企业的需求进行定制，例如用

户的指纹、虹膜扫描等。这样，即使密码被盗取，攻击者仍然无法访问企业系统，因为他们没有正确的令牌。

第三个身份认证要素可以是生物特征认证，例如指纹或虹

膜识别。这些认证方法通过扫描用户的生物特征来验证其身份。与硬件令牌相比，生物特征认证更难以伪造和盗用，因为每个人的生物特征都是独一无二的。将生物特征认证作为MFA系

统的一部分，可以提供更高级别的安全性。

除了上述三个身份认证要素外，根据企业的需求，还可以

添加其他的认证要素，例如手机验证码、人脸识别等。这些要素可以根据不同的登录场景进行配置，提供更加灵活和个性化的认证方式。企业可以根据员工的角色、风险等级和资源访问需求，为不同的用户分配相应的身份认证方法。

普及一下，Google 身份验证器和令牌同属于动态口令生成器，用于加固账号密码安全。用户在使用账号密码认证的时候，除了输入账号密码外，还需要输入动态口令（又称动态密码/动态Token）。如在阿里云中账号安全管理中设置开始MFA认证，在使用账号密码身份鉴别的时候就需要输入动态密码。

像Google 身份验证器又或者令牌都属于双因素认证的一部分，即动态口令生成器（又称为动态令牌）。实际上双因素认证由认证系统和动态令牌两部分组成。认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。阿里云服务器就是充当了认证服务器的角色，当用户在“账号安全设置”中开启了“MFA 动态口令校验”（有得地方称Google Authenticator 或Google 身份验证器，意思是说该网站已兼容了Google 开源的动态口令验证方法），用户使用事先下载好的手机令牌（任何兼容Google 动态口令验证方法的令牌，比如令牌）扫码激活后就可以在下次登录时使用。

因此，面向个人账号登录保护，只要应用本身已兼容Google 动态口令验证算法（Google Authenticator），您可以下载任何兼容Google Authenticator的动态令牌，如令牌。

面向企业场景，如VPN、虚拟化、网络设备、Office365等，作为管理员，令牌的选择与服务器所能提供的功能相比，认证服务器的功能就更为重要了。Google令牌目前仅提供令牌，认证服务器需要客户独立开发。令牌提供认证服务器及多令牌全场景一体化认证方案。

一、背景需求

随着企业移动化转型，员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案

传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次，一次一密。用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是，创新性的将

企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

企业核心应用系统认证逐渐向双因素动态登录转型

受企业移动化影响，多核心应用系统向移动化、轻量化、统一门户单点登录过渡，受弱密码、账号共享、账号泄露等因素影响，企业既无法保证员工核心应用访问安全，也无法根据员工身份进行严格审计。动态密码是每隔一定时间变幻一次的随机密码，一经使用立即失效，不可追溯，防字典轮询和暴力破解，以手机APP的形式还增加了账号密码的隐私性，提升了核心业务系统及单点登录系统的安全性。

SSO账号动态密码认证界面企业核心应用对双因素认证技术的需求及影响

传统双因素认证主要用于网络基础设施应用场景，如VPN、虚拟化桌面等，用户基数少，对运维成本、厂商技术能力要求主要表现在设备兼容性，访问控制简单。然而，面对企业核心应用数万用户规模，

企业对双因素认证厂商的技术能力鉴别、实施运维成本都提出较高要求。其中用户规模数量级支撑及高并发、令牌自动化及运维成本、实施部署周期、API对接能力、高可靠及容灾能力等都成为新市场机遇下企业对双因素认证厂商的重要指标。

动态密码认证在核心应用领域的能力提升

与边缘网络相比，单点登录整合并统一用户源，为多业务系统提供统一认证服务，覆盖企业数万用户。用户规模越大，运维管理成本、高并发、高可靠、容灾能力所占比重越来越重要。

1、统一身份及双因素账号密码安全认证

在账号密码的基础上增加动态密码，形成账号密码动态保护。动态密码由专业令牌生成器根据国家密码局杂凑算法（SM3）生成，每隔30/60s变化一次。每个动态密码一经使用立即失效，不可追溯。可帮助客户解决：

兼容AD、LDAP、OpenDJ 等多账号源,兼容多应用系统及单点

Office 365动态密码认证方案

一、面临挑战

Office 365是微软基于云平台的应用套件，提供完整的云办公服务，将Office桌面端应用的优势融于一体，满足不同类型企业的在线办公需求。

安全挑战：弱口令一直是企业数据泄露的一个大症结。仅采用一种方式（用户名+密码）进行Office 365的登录鉴别，若静态密码被暴力破解或泄露，会导致合法用户身份被冒用。冒用者能够随意复制、删除、破坏Office 365账号中包含的敏感信息，可能给企业造成不可估量的经济损失。

管理挑战：为防止Office 365账号信息泄露，控制安全风险，企业通常强制要求员工定期更换登录密码，这给员工及IT运维人员带来许多不必要的麻烦，大大增加了账号的管理成本。

为应对以上挑战，企业需要在Office 365登录环节实现双因素认证，双重保障账号安全，防止密码共享、密码泄露，一旦发生安全事件，也可追责到个人，有效控制信息安全威胁及账号管理成本。

二、解决方案

1.宁盾Office 365双因素认证方案概述

静态密码只能对Office 365用户身份的真实性进行低级认证。宁盾双因素认证在Office 365原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管Office 365帐号的静态密码认证工作。通过在Office 365配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。打开Office 365进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

宁盾多因子认证(MFA)与office365安全认证方案

一、背景需求

随着企业移动化转型，员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素

严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现

对用户登录认证的保护。假设企业规定30天修改一次密码，那么对于30天内发生的账号

密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案

传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了

认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有

所区别。认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次，一次一密。用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等

软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是，创新性的将

企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸

识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，

运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用

内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场

宁盾一体化认证平台服务无忧英语，保障企业无线网络及移

动办公安全

近期，宁盾科技服务在线英语教育知名品牌——无忧英语（51Talk），为其无线网络增设portal入网认证，并为VPN远程接入添加动态密码保护，提升公司内网信息及移动办公安全。

无忧英语通过思科设备实现无线网络全面覆盖。外来人员一般是向内部员工索要登录密码来连网，不仅不方便，而且公司也无法对外来人员上网进行有效管控，存在一定的安全隐患。另一方面，公司员工出差办公时采用Cisco VPN远程访问内网信息资源，但这其中长期存在着弱密码等账号安全问题，给公司带来了极大的困扰。

无忧英语一体化认证解决方案

基于以上现状，宁盾科技为无忧英语推荐了一体化身份认证解决方案。

在无线认证安全问题上，通过portal认证，实现公司外来人员的入网身份安全认证和访问管理，支持短信认证、微信认证、协助扫码等多种认证方式，适用于不同的认证场景。

在VPN账号安全问题上，宁盾提出了双因素认证解决方案，对接AD账户源，通过配置radius协议，实现Cisco VPN与一体化认证平台（ND AM）之间的互操作。考虑到认证的便捷性与可靠性，无忧英语选取了手机令牌动态密码方式，提升移动办公安全性，减少密码相关管理成本，且无需携带任何额外设备。

本项目宁盾共在客户环境中部署了2套一体化认证服务器，分别管控无线网络portal认证及VPN双因素认证，且互做热备，确保了系统的高可用。方案实施效果满足了客户的要求，宁盾科技的技术实力也再次得到了肯定。

无忧英语pc端portal认证界面

微软即将拓展Office 365多因素身份验证应用范围

早些时候，微软便为Office 365订阅用户推出了多因素身份验证(multi-factor authentication)，无需任何额外的购买或订阅，不过仅面向管理员。日前，微软在其官方博客中宣布，将把Office 365的多因素身份验证扩展至中小企业、学术、非盈利、以及单独的Office 365套餐中，包括Exchange Online和SharePoint Online。

多因素身份验证可以增强用户登录云服务的安全性，不仅仅是一个密码那么简单。通过Office 365的多因素身份验证，正确输入密码后，用户需要确认其智能手机的电话、短信或者应用程序通知。只有第二个身份验证因素满足才允许用户登录。

以下便是“多因素身份认证”的选项：

•呼叫用户移动电话——用户需要接听来电，并按下井号键(#)才能完成登陆。

•短信验证码——用户必须输入手机接收到的6位数短信验证码。

•呼叫办公室座机——与“呼叫移动电话”功能相同。

•应用通知——用户在智能手机端配置后，应用程序会为之推送是否确认登录的通知(该应用支持WP/iPhone/Android)。

•在应用内显示一次性代码——与“应用通知”类似，但是需要手动输入6位数的代码。

此外，微软还向用户提供了“应用密码”(App Passwords)的选项，并计划在今年晚些时候，为Office 2013中的Outlook、Lync、Word、Excel、PowerPoint、PowerShell以及OneDrive for Business等应用增加本地多因素认证。