宁盾多因子认证(MFA)与Outlook安全认证方案

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Office 365 对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

mfa totp机制MFA TOTP机制随着互联网的迅猛发展，信息安全问题也日益突出。

为了保护用户的账户和数据安全，各大网站和应用纷纷引入了多因素认证（Multi-Factor Authentication，简称MFA）技术。

而其中一种常见的MFA技术就是基于时间的一次性密码（Time-based One-Time Password，简称TOTP）机制。

MFA TOTP机制基于哈希算法和时间戳生成一次性密码，同时需要用户在输入密码之外提供第二个因素的认证，通常是手机上的动态口令。

通过这种方式，即使密码泄露，黑客也无法登录用户的账户，因为他们无法获取到动态口令。

MFA TOTP机制的实现过程如下：1. 用户在账户设置中开启MFA TOTP功能，并绑定自己的手机；2. 系统生成一个密钥，以二维码的形式展示给用户；3. 用户使用手机上的身份验证应用（如Google Authenticator、Microsoft Authenticator等）扫描二维码，将密钥与账户进行绑定；4. 身份验证应用每隔30秒会生成一个新的动态口令（即一次性密码），这个密码是基于密钥和时间戳计算得出的；5. 用户在登录时，输入账号、密码以及当前手机上显示的动态口令；6. 系统收到用户的登录请求后，从后台获取用户绑定的密钥和当前的时间戳；7. 系统使用相同的哈希算法和密钥计算出一个新的动态口令，并与用户输入的动态口令进行比对；8. 如果两个动态口令一致，则认证成功，用户登录进入系统；如果不一致，则认证失败，用户无法登录。

MFA TOTP机制的优势在于其高度的安全性和便捷性。

首先，动态口令每30秒就会更换一次，即使黑客截获了一个动态口令，也无法在有效时间内再次使用。

其次，由于动态口令只存在于用户绑定的手机上，黑客无法通过网络攻击获取到动态口令。

此外，用户只需要在手机上打开身份验证应用，无需联网即可生成动态口令，方便快捷。

然而，MFA TOTP机制也存在一些潜在的问题。

OWA动态密码认证处理方案一、面临挑战OWA是微软Outlook Web Access简称。

经过访问Outlook Web Access页面, 邮箱用户可直接使用Web浏览器收发邮件, 而不需要安装Outlook用户端软件。

在单一静态密码验证机制下, 登录密码是OWA安全唯一防线。

一旦被非正当用户窃听到OWA登录密码, 就意味着这个人能使用该密码查看到全部邮件、地址簿等关键信息, 可能带来巨大安全威胁。

在OWA登录步骤实现双原因认证, 可双重保障邮箱账号安全, 预防密码共享、密码泄露, 一旦发生安全事件, 也可追责到个人, 有效控制信息安全威胁, 所以不失为一个良策。

二、处理方案1.宁盾OWA双原因认证处理方案概述静态密码只能对OWA用户身份真实性进行低级认证。

宁盾双原因认证在OWA 原有静态密码认证基础上增加第二重保护, 经过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式, 实现双原因认证, 提升账号安全, 加强用户登录认证审计。

宁盾双原因认证服务器负责动态密码生成及验证, 可同时无缝支持AD/LDAP/ACS等帐号源, 接管OWA帐号静态密码认证工作。

经过在OWA配置第三方RADIUS认证, 指向宁盾双原因认证服务器（内置RADIUS SERVER）。

打开OWA 进行用户名+静态密码认证, 认证经过以后获取动态密码（令牌产生/短信接收方法）, 从而进行动态密码验证, 经过以后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码形式。

在用户完成OWA帐号密码认证以后, 宁盾双原因认证服务器会生成一个一次性密码并经过短信网关发送到绑定用户手机上,用户输入该短信密码并提交验证经过后才能完成登录认证。

密码是一次性使用, 她人即使盗用了, 也无法再次使用, 从而能确保账号和信息安全。

手机令牌基于时间动态密码, 由手机APP生成。

基于时间同时技术, 宁盾令牌APP每60秒生成一个独一无二动态验证码, 宁盾认证服务器能够验证这个改变密码是否有效。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与深信服EMM对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、泛微OA对接方案1、泛微OA商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

泛微OA作为企业常用办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

员工在可在NDSSO User Center 门户内进行查看。

中国国际广播电视台采用宁盾双因素认证方案，确保移动办公身份安全一、客户简介中国国际电视台是央视旗下的国际传媒机构，总部设在北京，另外在美国华盛顿特区、非洲肯尼亚及亚洲新加坡等地皆设有海外广播中心，由来自世界70多个国家和地区的国际专业团队组成，提供面向全球范围的新闻资讯，传播中国声音。

二、项目分析1、客户需求①解决北京总部及3个海外站点的山石网科VPN接入弱密码问题，杜绝弱密码引起的内网信息系统泄漏潜在隐患；②对员工远程访问进行双重身份鉴别，确保访问安全，以满足国家信息安全等级保护制度第三级要求。

2、项目目标实现中国、美国、肯尼亚及新加坡等四个站点的VPN双因素认证登录，采用时间型硬件令牌，每隔60秒产生一个6位随机密码，员工静态+动态密码登录保护，符合三级等保要求。

三、解决方案1、方案概述通过在亚马逊云上部署4套宁盾双因素认证平台，分别对应中国国际电视台的4个站点，基于标准RADIUS，实现在山石网科VPN账号密码认证基础上增加宁盾硬件令牌认证，员工静态密码+动态密码登录保护，增强远程办公数据安全。

2、网络拓扑项目中主要产品有宁盾双因素认证平台、亚马逊云平台、山石网科虚拟VPN、宁盾硬件令牌。

四、中国国际电视台VPN双因素认证流程山石网科VPN登陆页面，员工需在“密码”框中前几位输入静态密码，后几位输入宁盾硬件令牌上的动态密码，点击登录。

系统对员工提交的信息进行认证，认证通过，员工接入VPN网络；认证失败，提示密码错误并断开连接。

五、项目成效①员工采用静态+动态密码的认证方式连接VPN，加固现在账号认证体系安全，消除弱密码风险。

②采用双重验证技术来鉴别身份，确保身份安全，符合国家信息系统安全等级保护要求。

③减少VPN登录密码遗忘或定期强制更改给员工与IT管理人员带来的麻烦，提升工作效率。

④基于角色的访问控制策略，增强远程办公访问安全，提升管理效率。

⑤硬件令牌内置时钟自校准机制，消除令牌本身时钟失序带来的时钟校准工作，双因素认证平台采用线性回归技术，突破以往由于令牌内的晶振误差导致的令牌失序，提升用户体验。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

OWA动态密码认证解决方案一、面临挑战OWA是微软Outlook Web Access的简称。

通过访问Outlook Web Access页面，邮箱用户可直接使用Web浏览器收发邮件，而不需要安装Outlook客户端软件。

在单一的静态密码验证机制下，登录密码是OWA安全的唯一防线。

一旦被非合法用户窃听到OWA的登录密码，就意味着这个人能使用该密码查看到所有的邮件、地址簿等重要信息，可能带来巨大的安全威胁。

在OWA登录环节实现双因素认证，可双重保障邮箱账号安全，防止密码共享、密码泄露，一旦发生安全事件，也可追责到个人，有效控制信息安全威胁，因此不失为一种良策。

二、解决方案1.宁盾OWA双因素认证解决方案概述静态密码只能对OWA用户身份的真实性进行低级认证。

宁盾双因素认证在OWA原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管OWA帐号的静态密码认证工作。

通过在OWA配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

打开OWA 进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成OWA帐号密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾认证服务器能够验证这个变化的密码是否有效。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、对接方案1、Confluence、JIRA等研发应用系统商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

Confluence、JIRA等研发应用系统作为企业研发常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Linux终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、网易邮箱对接方案1、网易邮箱商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

网易邮箱作为企业常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

员工在可在NDSSO User Center 门户内进行查看。

企业核心应用系统认证逐渐向双因素动态登录转型受企业移动化影响，多核心应用系统向移动化、轻量化、统一门户单点登录过渡，受弱密码、账号共享、账号泄露等因素影响，企业既无法保证员工核心应用访问安全，也无法根据员工身份进行严格审计。

动态密码是每隔一定时间变幻一次的随机密码，一经使用立即失效，不可追溯，防字典轮询和暴力破解，以手机APP的形式还增加了账号密码的隐私性，提升了核心业务系统及单点登录系统的安全性。

SSO账号动态密码认证界面企业核心应用对双因素认证技术的需求及影响传统双因素认证主要用于网络基础设施应用场景，如VPN、虚拟化桌面等，用户基数少，对运维成本、厂商技术能力要求主要表现在设备兼容性，访问控制简单。

然而，面对企业核心应用数万用户规模，企业对双因素认证厂商的技术能力鉴别、实施运维成本都提出较高要求。

其中用户规模数量级支撑及高并发、令牌自动化及运维成本、实施部署周期、API对接能力、高可靠及容灾能力等都成为新市场机遇下企业对双因素认证厂商的重要指标。

动态密码认证在核心应用领域的能力提升与边缘网络相比，单点登录整合并统一用户源，为多业务系统提供统一认证服务，覆盖企业数万用户。

用户规模越大，运维管理成本、高并发、高可靠、容灾能力所占比重越来越重要。

1、统一身份及双因素账号密码安全认证在账号密码的基础上增加动态密码，形成账号密码动态保护。

动态密码由专业令牌生成器根据国家密码局杂凑算法（SM3）生成，每隔30/60s变化一次。

每个动态密码一经使用立即失效，不可追溯。

可帮助客户解决：兼容AD、LDAP、OpenDJ 等多账号源,兼容多应用系统及单点登录，实现统一身份认证及账号加固;∙避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响；∙避免账号密码共享，增强账号登录审计，即使把验证码给别人使用，本人也有不可推卸的责任；∙降低账号密码泄漏及弱密码对核心业务的影响，即使账号密码无意泄漏，在没有动态密码的情况下也无法登录。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Coremail对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

为提升Google网站的登录安全，Google开发了一款称之为Google Authenticator的动态口令验证算法并且将其开源共享。

对此，国内大型厂商也开始引进。

但因为Google仅提供了动态令牌，如果要使用Google身份验证器，企业需要自研认证服务器。

也就是说是否支持动态口令验证取决于厂商是否开发了认证服务器，进而导致用户处于被动状态！随着企业数字化转型，私有云、公有云、托管云及各类云应用场景的融合成为企业上云的重要趋势。

因此面向多云主机账号登录保护，企业需要一款第三方动态口令认证产品，用于对接各类云主机的账号登录保护。

作为第三方双因素动态口令认证服务商，同时为您提供动态令牌和认证服务器。

双因素认证方案由认证系统和动态令牌两部分组成。

认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。

面向多云融合场景，不同品牌云主机与认证服务器对接，实现多云主机的集中账号安全加固。

1、云服务器对接，支持与不同品牌的云服务器对接，提供Linux/Windows账号登录保护。

2、绑定用户源，派发动态令牌。

3、用户登录审计,审计用户IP、登录时间、登录设备、令牌序列号及登录结果。

4、用户登录双因素动态口令校验。

如Linux（Cent OS）双因素动态口令验证：总结：通过在账号密码的基础上增加动态密码，提升了云主机账号密码安全。

第三方双因素认证兼容阿里云、AWS、微软Azure及私有云等云主机，为企业多云融合提供一体化账号安全加固解决方案。

名词解释：1.动态令牌（dynamic password token；one time passwordtoken）：生成并显示动态口令的载体。

2.认证系统（authentication system）：能够为应用系统提供动态口令身份认证服务的系统。

3.动态口令（dynamic password；one time password）：由种子密钥与其他数据，通过特定算法，运算生成的一次性口令。

1. 面临挑战●安全挑战：随着移动化办公场景的增多，企业员工登录移动化办公工具已经是日常操作，但仅使用传统的静态密码验证，存在这账号，密码泄露或被盗取的风险，企业内部网络的安全以及信息防火都面临这挑战。

●运维挑战：如仅使用普通弱密码，对于IT人员定期修改密码的工作量巨大，并且回收，修改账号等信息也存在一定的工作代价。

●身份管理挑战：随着企业员工的更替，以及岗位的变更。

需要去实现统一的身份管理。

●合规挑战：部分行业（如：银行，金融，政企等）为达到红头文件或者等保的要求，需要在登录网络设备时进行双重密码认证。

2. 华为云桌面与宁盾双因素认证解决方案宁盾双因素认证在华为云桌面原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等多种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管VPN帐号的静态密码认证工作。

通过在华为云桌面服务器配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

员工登录时先使用用户名、静态密码+动态密码认证的方式，实现双因素认证登录保护。

华为云桌面动态密码登录界面3.方案价值①账号双重保护：宁盾双因素认证在云桌面原有账号密码认证基础之上增加一层动态密码认证，以此提升VPN用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；②多种认证方式：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；③与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP 等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，并为其提供双因素认证服务；④简化管理：减少企业因静态密码定期强制更改，给员工及IT 运维人员带来的麻烦，同时节约账号管理成本；⑤实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；⑥体验优化：通过简化移动安全接入，优化用户体验，在为用户登录云桌面提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、云管理平台对接方案1、云管理平台对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

AWS、Azure、阿里云等常见云平台在企业中使用已经司空见惯了，已完成与AWS、Azure及阿里云云平台的应用对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。