滴滴出行成功接入宁盾双因素认证平台,实现多业务系统账号统一安全保护

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与outlook对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、项目背景1.概述统一身份认证并不是什么新概念，它在企业信息化建设过程中一直被提及，是企业不断发展的必然结果。

粗浅来说，统一身份认证是在企业多应用系统并存的环境下，减少用户在各个独立的应用系统中登录次数的技术。

但因各业务系统建设时间各不相同，再加上系统架构等技术实现问题，很难简单地做统一规划。

在企业高速发展阶段，考虑到耗资不小的系统集成和管理、数据改造、用户培训等方面的成本，企业往往选择暂时搁置统一身份认证问题，而是沿袭传统的系统建设模式，即各业务系统独立用户认证模块，并使用独立的认证机制在各自的数据库中进行用户认证，即便这种系统建设模式有很多弊端。

在企业发展进入稳定期后，各业务系统独立分散的局面所带来的弊端逐渐突出，用户身份分散隔离，用户账号管理不方便、用户资料不统一等等不一而足，造成企业身份管理成本和管控风险的几何倍增加、员工登录各业务系统操作繁琐。

为了能使用这些应用服务，同一用户必须申请多套账号和密码，这不仅登录麻烦而且容易出现账号密码丢失、泄露等安全问题。

且随着互联网发展，安全边界日益扩大，员工、外包、合作伙伴、供应商混杂，账号安全风险日益增加，业务系统身份安全要求越来越高。

而对于管理员来说，需要不断来维护所有系统中分散着的账号。

这意味着每当有新入职或岗位调动，就必须在对应的每个应用中分别创建/修改账号，分配用户权限，而企业应用系统还会增加，所带来的身份管理工作还会不断增加。

应用越多则账号创建和维护的成本就越高。

企业寻求能解决以上多应用系统并行、多账号源共存所带来的操作不便、账号安全、管理困难等一系列问题的有效方案。

统一身份认证和单点登录作为目前主流的业务整合解决方案，被企业正式提上了日程。

2.关键点统一身份管理将分散在各业务系统中的用户和权限资源进行统一、集中的管理，用户的统一认证和单点登录改变原本孤立化的身份认证及授权管理，方便管理员进行运维管理工作，简化用户访问内部各系统的过程，使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Office 365 对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

云主机双因素认证解决方案一、面临挑战由于云计算技术的兴起，越来越多企业已经搭建自己的公有云服务器，将数据托管于云服务商的数据中心。

企业上云是时代发展的大势所趋。

而公有云的公有性，导致云主机的安全问题也受到前所未有的考验。

企业对公有云数据的掌控力度减弱，一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。

公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的，并没有针对某个企业或某些数据的特别举措。

因此企业有必要加强自有云主机登录保护，为保障云数据安全设置第一道防线，通过双因素认证，防止密码共享、密码泄露现象，避免非法越权操作。

二、解决方案1.云主机双因素认证解决方案概述静态密码只能对云主机用户身份的真实性进行低级认证。

宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾一体化认证平台负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管云主机帐号的静态密码认证工作。

通过在云主机配置第三方RADIUS认证，指向宁盾一体化认证平台（内置RADIUS SERVER）。

用户接入云主机进行静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，验证通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成云主机静态密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾一体化认证平台能够验证这个变化的密码是否有效。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与深信服EMM对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

中国国际广播电视台采用宁盾双因素认证方案，确保移动办公身份安全一、客户简介中国国际电视台是央视旗下的国际传媒机构，总部设在北京，另外在美国华盛顿特区、非洲肯尼亚及亚洲新加坡等地皆设有海外广播中心，由来自世界70多个国家和地区的国际专业团队组成，提供面向全球范围的新闻资讯，传播中国声音。

二、项目分析1、客户需求①解决北京总部及3个海外站点的山石网科VPN接入弱密码问题，杜绝弱密码引起的内网信息系统泄漏潜在隐患；②对员工远程访问进行双重身份鉴别，确保访问安全，以满足国家信息安全等级保护制度第三级要求。

2、项目目标实现中国、美国、肯尼亚及新加坡等四个站点的VPN双因素认证登录，采用时间型硬件令牌，每隔60秒产生一个6位随机密码，员工静态+动态密码登录保护，符合三级等保要求。

三、解决方案1、方案概述通过在亚马逊云上部署4套宁盾双因素认证平台，分别对应中国国际电视台的4个站点，基于标准RADIUS，实现在山石网科VPN账号密码认证基础上增加宁盾硬件令牌认证，员工静态密码+动态密码登录保护，增强远程办公数据安全。

2、网络拓扑项目中主要产品有宁盾双因素认证平台、亚马逊云平台、山石网科虚拟VPN、宁盾硬件令牌。

四、中国国际电视台VPN双因素认证流程山石网科VPN登陆页面，员工需在“密码”框中前几位输入静态密码，后几位输入宁盾硬件令牌上的动态密码，点击登录。

系统对员工提交的信息进行认证，认证通过，员工接入VPN网络；认证失败，提示密码错误并断开连接。

五、项目成效①员工采用静态+动态密码的认证方式连接VPN，加固现在账号认证体系安全，消除弱密码风险。

②采用双重验证技术来鉴别身份，确保身份安全，符合国家信息系统安全等级保护要求。

③减少VPN登录密码遗忘或定期强制更改给员工与IT管理人员带来的麻烦，提升工作效率。

④基于角色的访问控制策略，增强远程办公访问安全，提升管理效率。

⑤硬件令牌内置时钟自校准机制，消除令牌本身时钟失序带来的时钟校准工作，双因素认证平台采用线性回归技术，突破以往由于令牌内的晶振误差导致的令牌失序，提升用户体验。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Linux终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

滴滴出行的出行服务平台优势滴滴出行作为中国领先的出行服务平台，为广大用户提供了便捷、安全、高效的出行解决方案。

滴滴出行以其独特的优势在市场竞争中脱颖而出，成为人们日常出行的首选。

本文将重点分析滴滴出行的出行服务平台优势，探讨其成功的原因。

一、多元化的出行服务选择滴滴出行提供丰富的出行服务，满足了用户不同出行需求。

平台包括滴滴出行、优享打车、快车、顺风车、专车等多种出行服务，用户可以根据自己的实际需求选择适合的服务。

无论是短途出行、长途跋涉，还是商务出行，滴滴出行都能为用户提供全方位的服务选择，这是滴滴出行的首要优势。

二、智能化的调度技术滴滴出行凭借其先进的智能化调度技术，实现了出行服务的高效率和精确性。

通过大数据分析和智能算法，滴滴出行能够准确估计车辆到达和等待时间，提前预判交通状况，并智能分配司机资源，最大限度地提高用户等车的效率。

这种智能化的调度技术保证了用户出行的时间准确性和可靠性，为用户的出行提供了便捷和舒适的体验。

三、安全可靠的出行环境滴滴出行注重用户的出行安全，提供严格的背景核查和驾驶员资质认证，保证用户乘车的安全可靠性。

滴滴出行平台上的车辆都配备了GPS定位系统和实时监控设备，用户可以随时通过手机端监控行程和实时位置，保证乘车的安全和可控。

同时，滴滴出行还提供了紧急救援服务，确保用户在出行过程中的安全。

四、优质的乘客和司机服务滴滴出行致力于提供优质的乘客和司机服务，为用户提供舒适的出行体验。

平台要求司机通过服务质量和行为评价，对不合格的司机进行评级和限制，避免乘车过程中的不良经历。

同时，滴滴出行还为优秀的司机提供奖励和福利，激发司机为用户提供更好的服务。

这种用户至上的服务理念，使滴滴出行在市场竞争中脱颖而出。

五、强大的技术支持和创新实践滴滴出行依托先进的技术手段，不断进行创新实践，提升用户服务品质。

平台通过应用智能导航、优化路线搜索等技术手段，为用户提供更快捷、精准的路线规划。

同时，滴滴出行还开展了多项技术研究和合作项目，不断推动出行服务的发展和创新。

企业核心应用系统认证逐渐向双因素动态登录转型受企业移动化影响，多核心应用系统向移动化、轻量化、统一门户单点登录过渡，受弱密码、账号共享、账号泄露等因素影响，企业既无法保证员工核心应用访问安全，也无法根据员工身份进行严格审计。

动态密码是每隔一定时间变幻一次的随机密码，一经使用立即失效，不可追溯，防字典轮询和暴力破解，以手机APP的形式还增加了账号密码的隐私性，提升了核心业务系统及单点登录系统的安全性。

SSO账号动态密码认证界面企业核心应用对双因素认证技术的需求及影响传统双因素认证主要用于网络基础设施应用场景，如VPN、虚拟化桌面等，用户基数少，对运维成本、厂商技术能力要求主要表现在设备兼容性，访问控制简单。

然而，面对企业核心应用数万用户规模，企业对双因素认证厂商的技术能力鉴别、实施运维成本都提出较高要求。

其中用户规模数量级支撑及高并发、令牌自动化及运维成本、实施部署周期、API对接能力、高可靠及容灾能力等都成为新市场机遇下企业对双因素认证厂商的重要指标。

动态密码认证在核心应用领域的能力提升与边缘网络相比，单点登录整合并统一用户源，为多业务系统提供统一认证服务，覆盖企业数万用户。

用户规模越大，运维管理成本、高并发、高可靠、容灾能力所占比重越来越重要。

1、统一身份及双因素账号密码安全认证在账号密码的基础上增加动态密码，形成账号密码动态保护。

动态密码由专业令牌生成器根据国家密码局杂凑算法（SM3）生成，每隔30/60s变化一次。

每个动态密码一经使用立即失效，不可追溯。

可帮助客户解决：兼容AD、LDAP、OpenDJ 等多账号源,兼容多应用系统及单点登录，实现统一身份认证及账号加固;∙避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响；∙避免账号密码共享，增强账号登录审计，即使把验证码给别人使用，本人也有不可推卸的责任；∙降低账号密码泄漏及弱密码对核心业务的影响，即使账号密码无意泄漏，在没有动态密码的情况下也无法登录。

为提升Google网站的登录安全，Google开发了一款称之为Google Authenticator的动态口令验证算法并且将其开源共享。

对此，国内大型厂商也开始引进。

但因为Google仅提供了动态令牌，如果要使用Google身份验证器，企业需要自研认证服务器。

也就是说是否支持动态口令验证取决于厂商是否开发了认证服务器，进而导致用户处于被动状态！随着企业数字化转型，私有云、公有云、托管云及各类云应用场景的融合成为企业上云的重要趋势。

因此面向多云主机账号登录保护，企业需要一款第三方动态口令认证产品，用于对接各类云主机的账号登录保护。

作为第三方双因素动态口令认证服务商，同时为您提供动态令牌和认证服务器。

双因素认证方案由认证系统和动态令牌两部分组成。

认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。

面向多云融合场景，不同品牌云主机与认证服务器对接，实现多云主机的集中账号安全加固。

1、云服务器对接，支持与不同品牌的云服务器对接，提供Linux/Windows账号登录保护。

2、绑定用户源，派发动态令牌。

3、用户登录审计,审计用户IP、登录时间、登录设备、令牌序列号及登录结果。

4、用户登录双因素动态口令校验。

如Linux（Cent OS）双因素动态口令验证：总结：通过在账号密码的基础上增加动态密码，提升了云主机账号密码安全。

第三方双因素认证兼容阿里云、AWS、微软Azure及私有云等云主机，为企业多云融合提供一体化账号安全加固解决方案。

名词解释：1.动态令牌（dynamic password token；one time passwordtoken）：生成并显示动态口令的载体。

2.认证系统（authentication system）：能够为应用系统提供动态口令身份认证服务的系统。

3.动态口令（dynamic password；one time password）：由种子密钥与其他数据，通过特定算法，运算生成的一次性口令。

1. 面临挑战●安全挑战：随着移动化办公场景的增多，企业员工登录移动化办公工具已经是日常操作，但仅使用传统的静态密码验证，存在这账号，密码泄露或被盗取的风险，企业内部网络的安全以及信息防火都面临这挑战。

●运维挑战：如仅使用普通弱密码，对于IT人员定期修改密码的工作量巨大，并且回收，修改账号等信息也存在一定的工作代价。

●身份管理挑战：随着企业员工的更替，以及岗位的变更。

需要去实现统一的身份管理。

●合规挑战：部分行业（如：银行，金融，政企等）为达到红头文件或者等保的要求，需要在登录网络设备时进行双重密码认证。

2. 华为云桌面与宁盾双因素认证解决方案宁盾双因素认证在华为云桌面原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等多种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管VPN帐号的静态密码认证工作。

通过在华为云桌面服务器配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

员工登录时先使用用户名、静态密码+动态密码认证的方式，实现双因素认证登录保护。

华为云桌面动态密码登录界面3.方案价值①账号双重保护：宁盾双因素认证在云桌面原有账号密码认证基础之上增加一层动态密码认证，以此提升VPN用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；②多种认证方式：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；③与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP 等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，并为其提供双因素认证服务；④简化管理：减少企业因静态密码定期强制更改，给员工及IT 运维人员带来的麻烦，同时节约账号管理成本；⑤实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；⑥体验优化：通过简化移动安全接入，优化用户体验，在为用户登录云桌面提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。

一、项目背景面向数据中心运维：数据中心动辄上千台设备，海量设备由不同运维人员负责不同领域的数百台设备，这就造成了设备分区、运维操作难以统一审计的现象。

因此企业需要一份网络设备异构兼容且运维人员统一认证、授权及审计的解决方案。

另为解决数据中心基础设施“弱密码”、“僵尸账号”等情况，解决定期账号修改的重复性劳动，需使用双因子认证解决方案。

面向移动化网络的员工、访客、合作伙伴/供应商及分支下属公司办公/来访的网络使用需求，需要一套分场景认证解决方案替换当前的WPA2认证。

综上几点，为其提供“双因素认证”、“网络设备AAA”及“无线身份认证”一体化解决方案。

二、解决方案双因素认证面向数据中心基础设施、网络层、应用层提供全场景一体化认证解决方案，在账号密码的基础上增加动态密码，实现账号密码动态加固。

令牌提供手机令牌、硬件令牌、短信令牌、企业微信/钉钉H5令牌及“扫一扫”认证、推送认证等认证方式，同时兼容RSA、Google等第三方验证器。

网络设备AAA管理集认证、授权、审计于一体的网络设备综合运维管理平台。

面向企业运维人员提供双因素身份验证、细力度授权用户可操作权限及业务场景，并实时审计操作行为。

具有良好的可扩展性，可兼容cisco、华为、H3C等不同品牌网络设备，实现对所有异构交换机、路由器等不同类型网络设备进行统一集中运维。

大型数据中心，网络设备AAA是堡垒机的强有力的补充。

无线网络身份认证兼容华为、H3C、Cisco、锐捷、Aruba、信锐等无线网络设备，为不同用户角色提供多种认证方式（用户名密码+动态密码、短信认证、协助扫码、邮件审批等）以满足不同不同角色认证的需求。

前期准备：双因素认证方案、无线认证方案及网络设备AAA共用一套认证平台（DKEY AM）1、统一AD账号源；2、统一派发手机令牌，确保身份的唯一性；3、分场景对接。

三、应用化方案1、Citrix 双因素认证将Citrix 虚拟化与一体化认证平台（DKEY AM）对接，用户在账号密码的基础上增加动态密码，实现Citrix 虚拟化的账号密码动态加固。

一、项目背景XX律师事务所即北京市XX律师事务所，是中国司法部最早批准设立的合伙制律师事务所之一。

北京市XX律师事务所成立于1993年，XX总部设于北京，在上海、深圳、成都、广州、重庆、西安、杭州、天津、苏州、香港、日本东京和美国硅谷、纽约均设有分所。

秉承创始合伙人不断创新及追求卓越的现代法律理念，XX已成为中国律师业中规模最大并居于领先地位的综合性律师事务所，拥有1000余名律师、代理人及专业人员，全球就职员工超过5000余名，为全球不同需求的客户提供着优质的法律服务。

为了增强企业网络的安全性及可控性，XX律师事务所深圳分所期望针对旗下企业的员工、访客接入有线、无线网络执行严格的准入控制策略，实现对网络安全更精细粒度的控制。

二、方案目标根据对现有IT系统的调研和分析，参考对应网络架构，并结合相关业务需求，为完善安全保护技术措施加强无线网络安全管理的要求，本次项目其主要需要实现目标如下：1、认证系统可提供统一的有线、无线认证管理，并实现分级、分权、分域管控；2、针对不同用户群体实现不同认证方式，做到基于角色的访问控制以及闭环的身份管理；3、结合当前网络架构，实现分区域、分时间段、分用户角色、分流量的精细化准入控制；4、认证平台兼容、扩展性，同时对接多品牌设备、多账号源系统实现统一有线、无线的身份准入。

5、MAC地址无感知认证，提升用户接入的客户感知度；6、Portal个性化定制，提升宣传形象；7、认证系统双机部署，实现高可用性。

8、提供完善的报表功能（用户上下线时间、MAC地址、IP地址、用户使用流量大小等；三、方案拓扑四、方案解读统一身份认证系统采用软件加硬件的部署形式，软件可以采用虚拟化部署，软件与硬件旁挂在核心交换机或汇聚交换机旁，无需对现网做任何改动，软件DKEY AM部署可采用Windows与Linux系统环境，可以为内部员工与访客提供全场景认证方式，例如，LDAP账号认证、短信认证、微信认证、协助扫码、邮件审批等多种认证流程，满足不同类型用户群体的不同身份认证需求。

如今的企业网络比以往任何时候都更加动态化，企业网络中用户、设备和访问方式的数量都在不断增加。

随着访问量的增加和设备的激增，出现安全漏洞和新的运营挑战的可能性也在增加。

因此，维护网络安全、提升运营效率均需要新的解决方案，这些方案应能够有效地执行访问策略、审核网络使用情况、监控访问的合规性并全面了解整个网络中的活动状况。

为了加固网络设备安全。

企业一步步实现网络设备全应用双因子保护、授权、日志审计。

一、客户需求解决网络及安全设备及业务系统的弱密码安全隐患问题；统一管理不同品牌、不同类型设备（包括网络设备、防火墙、堡垒机、VPN及重要服务器等）；统一管理特权账号，实现账号的增、删、改、查及角色/用户组的统一更改；规范对特权账号的可访问权限到可操作命令/命令集，审计特权账号的操作命令，追溯误操作及非法操作并落实到相关责任人。

二、解决方案网络设备AAA属于一体化身份认证与访问控制（DKEY AM）的一部分，基于Tacacs+ 协议，自定义可操作命令/命令集以达到特权账号细分权限的目的。

同时兼容异构网络设备（华为、H3C、Cisco、Aruba等），实现不同品牌、不同类型网络设备的统一认证、授权和审计。

同时，基于Radius协议，为不同厂商的VPN、虚拟化、网络设备、堡垒机、服务器（本地/云）、数据库、网络层及应用层身份认证提供一体化认证及账号加固解决方案。

1、T acacs+ 网络设备AAA：支持不同品牌交换机、路由器、防火墙等主流网络设备，帮助其实现网络设备账号统一AAA认证授权审计、动态密码安全加固。

统一对接网络设备异构兼容华为、H3C、Cisco、Aruba等不同品牌交换机、路由器等网络设备，实现数据中心网络设备统一管理。

自定义命令/命令集授权自定义可操作命令/命令集，为不同厂商、不同设备级别的分配可操作命令/命令集权限；统一账号源或账号身份，为不同用户角色/用户组分配可操作的设备及操作权限，实现数据中心自定义授权及统一监管。

滴滴网络安全审查什么
滴滴网络安全审查是一项重要且必要的工作。

在这个信息时代，滴滴作为一家互联网公司，拥有庞大的用户基础和海量的数据。

为了保护用户的隐私和数据安全，滴滴必须严格审查网络安全，并采取相应的安全措施。

滴滴的网络安全审查工作主要包括以下几个方面：
1. 用户隐私保护：滴滴必须确保用户的个人信息不被泄露或滥用。

因此，滴滴会审查所有与用户个人信息相关的系统和流程，确保其安全性。

2. 数据安全保护：滴滴处理大量的用户数据，如行程信息、支付信息等。

为了保护这些数据不受到未经授权的访问和篡改，滴滴会进行全面的网络安全审查，包括对数据存储、传输和处理过程的审查和加密。

3. 平台安全性审查：滴滴为用户提供在线交通出行服务，平台的安全性对用户来说至关重要。

滴滴会定期审查平台的安全性，发现并修复可能存在的安全漏洞和风险。

4. 政策合规审查：滴滴需要遵守各种网络安全和隐私保护的法律法规。

滴滴会进行政策合规审查，确保自身业务符合相关法律法规的要求。

综上所述，滴滴的网络安全审查工作涵盖了用户隐私保护、数据安全保护、平台安全性审查和政策合规审查等方面。

通过不
断加强网络安全审查和安全防护措施，滴滴致力于为用户提供更安全、可靠的服务。