亚略特指纹AD域身份安全管理系统(涉密内网强身份认证)

©2009 Aratek Biometrics Technology Co., Ltd.
指纹传输加密机制
TrustLink Client 端
Step1 提出认证需求(按指紋)
TrustLink Server端
Step2 加密送出一次性密码与时间戳
Step 3 解压並根据一次性密 码演算出回应密码
Step4 将回应密码与时间邮戳 与指纹比对特征加密打包
Step5將加密打 包
资料回送
Step6 解密打包资料，验证 1.回应密码正确 2.在时间邮戳时限回传
Step7 与注册特征值比对质问是否正确
©2009 Aratek Biometrics Technology Co., Ltd.
系统价值
 严格身份权限控制，基于指纹认证机制，实现访问权限及授权的精确控制，保护数据安全使用。  简化登陆认证环节，省去键盘输入密码的麻烦，优化用户验证体验。  降低IT维护成本，完全免去密码重置工作，解放IT维护生产力。  提升网络内控效益，基于指纹认证，确保身份、权限部署与实际安全策略全面一致，解决安全管理问题。  统一集中管理域系统中大批量用户身份的可信审计、系统登陆、权限访问。  Web化的域管理，AD域与Trustlink服务器可实现同步信息传输、信息协调管理。  开放性的接入设计，支持不同终端设备验证
指纹AD域身份安全管理系统界面
指纹AD域身份安全管理系统登录界面
指纹AD域身份安全管理系统管理界面 ©2009 Aratek Biometrics Technology Co., Ltd.
系统组成 — Trustlink指纹身份认证平台
亚略特TrustLink指纹识别网络认证平台，用于与第三方IT系统、 应用软件无缝集成，将传统的“ID+密码”身份认证升级为指纹 识别模式，有效解决网络身份冒用、共用、盗用等问题，巩固 IT系统身份安全、IT内控管理安全，优化用户认证体验，提升 服务效率。
更安全的Active Directory 更有效的网络身份与权限管理
— 亚略特指纹AD域身份安全管理系统介绍
©2009 Aratek Biometrics Technology Co., Ltd.
最佳的AD域用户身份安全管理解决方案
 指纹身份认证与windows系统无缝集成  管理员、审计员、保密员“三员分离”管理  完善的安全策略  指纹库、指纹比对、Webservice分布式架构部署  基于指纹平台开发，更独立、高扩展
亚略特指纹AD域身份安全管理系统特点
5 最广泛接入指纹认证终端：
多指身份认证：
可同时支持国际主流的近10款指纹芯片，动态优化算法， 可一次注册，按需要认证，统一标准的软硬件应用接口， 满足B/S C/S架构应用系统的二次集成。
用户可根据不同密级设置多 指认证，确保各密级信息的 安全性。
系统特点
6 防指纹数据库泄漏：
©2009 Aratek Biometrics Technology Co., Ltd.
指纹识别 — 强身份鉴别机制
©2009 Aratek Biometrics Technology Co., Ltd.
几种常见身份认证形式比较
类别
应用特点
安全
密码式认证 需要记忆/易丢失/易被盗、破解、侦听/可以转让 PIN码认证 需要专门的硬件和卡式系统，不同设备不兼容，成本高
系统特点
10 动态密码策略(管理员设置 )：
12
安全日志审计： 系统的认证服务记录将被记载到数据库日志中供管理 人员进行安全核查，实现日志的可配置管理，双机热 备的相关资料日志。
密码更换周期 一次一密 密码长度(军工要求：12位以上) 密码复杂度 (军工要求：大写、 小写、数字、特殊字符四选三)
11
传感器 (光学、晶体)
©2009 Aratek Biometrics Technology Co., Ltd.
指纹AD域身份安全管理系统架构
©2009 Aratek Biometrics Technology Co., Ltd.
指纹AD域身份安全管理系统架构
AD域服务器
应用服务器 Web服务器
指纹数据库
d) TrustLink AD域管理服务器： 利用指纹AD域管理软件实现AD域用户与指纹用户安全信息同步的网络化管理，在实 际应用过程中实现域工作组访问权限分配与指纹登陆操作的实时对接，确保网络系 统的快速访问与准确识别。
©2009 Aratek Biometrics Technology Co., Ltd.
b) 应用服务器： 结合TrustLink提供的安全认证接口，满足业务系统如财务、人力资源管理、办公自 动化等系统软件的指纹身份安全认证集成的需求。
c) Windows AD域服务器： Windows AD域服务器作为企业内部的主控域服务器，通过引入应用指纹技术，达到 企业内部身份与访问控制管理的安全与便捷同时兼顾，相容应用。
以“物”为介质的认证时代，物品本身成为授信凭证，一经转让、丢失即可导致相应的权限转让或外泄， 指纹识别“人证合一”的优势，真正做到授权与授权人身份真实统一，管理执行严密无缝。
©2009 Aratek Biometrics Technology Co., Ltd.
指纹识别 — 强身份鉴别机 制
在信息安全体系中，身份认证是一个非常关键的环节，也是整体信息安全的前提。 生物识别已成为安全与便捷身份认证的最佳选择，而指纹识别因其易用性强、普及性广、技术不断成熟， 已成为当前生物识别领域的主流身份认证技术。
X Agent （.DLL、.CLASS) 生物辨识端
ASP、JSP
应用服务端
XEnroll组件 XVerify组件
XEnroll组件 XVerify组件
Fingerprint Driver
Client-Server架构
Fingerprint Driver
3-Tier架构
XEnroll组件
XVerify组件 客户端
3
©2009 Aratek Biometrics Technology Co., Ltd.
“三员分离” 功能对比表
功能
角色权限
AD域用户/计算机新增
AD域用户/计算机删除
AD域用户/计算机修改
AD域用户/计算机查询
AD域用户登陆固定计算机设定
用户指纹信息初始化
用户指纹新增管理
用户指纹修改管理
用户指纹删除管理
©2009 Aratek Biometrics Technology Co., Ltd.
TrustLink 指纹身份认证平台技术整合架构
储户指纹数据库
指纹数据库端
亚略特TrustLink指纹身份认证平台 SERVER端
生物辨识端
X Agent （.DLL、.CLASS)
Apllication Define Protocol
系统特点
2 “三员分离”的系统设计理念：
4
分布式网络部署架构：
AD域服务器、指纹认证服务器、应用服务器可分别部署于 不同服务器中，减少因系统过度紧密结合引发服务器系统 不稳定的可能，采用安全备份策略，确保指纹存储安全， 采用WebService技术，零障碍穿透防火墙。
系统针对涉密系统的安全管理“三 员分离”原则，进行系统功能设 计，使系统更贴合现实管理需要， 使安全策略更加健壮。
8
指纹特征值存储安全：
系统不保存指纹特征值模板，而是保存经过指纹特征值处理加 密后的密钥模板 ，由用户通过指纹识别激活加密密钥，不再 由任何第三方掌握加密系统的核心权限，基于指纹读取的随机 7 性，确保生成的密钥也随机且一次有效，显著提高密钥安全级 别，实现安全的指纹识别身份认证。
用于管理指纹数据库的Key进 行特别加密，只有系统管理员 知道，即使数据库被攻破，没 有Key解密，指纹特征模板仍 然无效。
防火墙
病毒防御
信息安全技术 身份认证
入侵检测
访问控制
“What you know” (密码、PIN码)
身份认证
“What you have” (U-Key、动态密码)
“Who you are” (生物识别)
掌纹
面像
声音
生物识别 指纹
虹膜
唇语
签名
开放/标准/平台化 C/S、B/S支持
指纹识别
算法 (1:1、1:n)
密 码 通 道
指纹安全验证通道
TrustLink Server
审计员
安全员 系统管理员wenku.baidu.com
工作站
指纹仪
身密
OA系统
份码
验其
ERP/CRM
证它
模指
块纹
其它系统等
使用者1。。。N
©2009 Aratek Biometrics Technology Co., Ltd.
指纹AD域身份安全管理系统架构
a) 客户端： 终端计算机的用户，经指纹认证设备输入指纹即可登陆内网域系统联结的应用服务 器，访问在权限控制范围内的各级应用系统，减少因密码被盗、频繁更换等引起的 系统失控风险。
©2009 Aratek Biometrics Technology Co., Ltd.
亚略特指纹AD域身份安全管理系统特点
1 指纹身份认证安全可靠：
身份管理安全易用：
采用JAVA技术的B/S架构AD域 用户身份管理方式，可随时 随地对域用户进行集中的管 理。
平台化、网络化的指纹身份认证技术，有别于传统客户端 认证模式、安全可靠，并且可能根据安全需要实现多因子 身份安全认证。
用户指纹信息获取
日志查看
日志导出备份
系统管理-角色管理
系统管理-LIC管理
系统指纹设备管理
系统服务参数管理
系统客户端分发管理
系统密码策略管理
系统管理员权限
√ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √
注：可根据实际管理需要作不同权限分配
安全员权限
审计员权限
√
√
√
√ √
√
©2009 Aratek Biometrics Technology Co., Ltd.
Fingerprint Driver
Web-Tier 架构
©2009 Aratek Biometrics Technology Co., Ltd.
系统组成 — AD域Windows安全卫士
 全线指纹产品自主研发  严谨的产品测试  通过整合兼容不同厂家的芯片、控制器，支持多种指纹采集设备接入选择  活体识别手指的真皮层，杜绝假冒手指  亚略特Bione动态优化算法，识别精准，指纹比对快速  硬件产品工业设计人性化，将精细理念融入到产品细节中  反跟踪、反编译处理  支持Windows、Linux操作系统  支持PC安全模式  产品年生产量100万次以上
创新指纹识别集成模式
• 无须开发 1天集成 • 分布式架构，支持各种主流数据库、开发语言 • 指纹系统与主应用程序相互独立，不形成系统依赖 • 支持接入全球主流指纹芯片10种以上 • 开发商无需对指纹系统进行开发、维护 • 具备每秒处理上万次指纹数据比对能力
引擎中国指纹IT应用市场
• 成功承建国家级百万人口指纹库 • 整合指纹SSO、指纹ERP等应用模式超过30种 • 通过国家公安部信息安全产品权威认证 • 全球ISV合作伙伴超过1000家 • 全球最终用户超过10000万
©2009 Aratek Biometrics Technology Co., Ltd.
亚略特指纹AD域身份安全管理系统特点
9 防止后台非法篡改：
指纹传输加密机制：
每一枚指纹特征值及用户的ID号都进行唯一性加密，一但 篡改指纹认证作用即失效，确保数据库后台非法篡改。
指纹在传输过程中被加载时 间戳及一次性密鈅，有效时 间内未传回，视为异常，系 统将拒绝认证。
CHAP认证 不能与大多数的主机和微机的登录系统兼容，无法确定用户身份
USB KEY认证 需要携带/易丢失/使用繁琐/可能被盗/可以转让
IC智能卡认证 价格昂贵，兼容性差，适用于小型的用户化系统
方便
执行力＊
手机短信认证 持续的产生发射费用， 依赖手机通讯信号的强弱
指纹识别认证 唯一性/不可转让/随身携带，完全防御背后窥视造成的攻击
©2009 Aratek Biometrics Technology Co., Ltd.
亚略特指纹AD域身份安全管理系统概述
亚略特指纹AD域用户身份安全管理系统 是专门针对国内政府、军队、涉
密科研所安全管理特点，以国家保密局《涉及国家秘密的信息系统分级保护技术要 求》、公安部《计算机信息系统等级保护技术要求》为标准进行设计并研发的身份 安全管理系统。 系统紧密结合AD域用户安全管理策略，以生物特征识别技术为手段，全面解决机构 系统用户口令管理、安全使用等系列问题，采用先进架构设计，确保系统稳定安全、 性能卓越。 产品是目前国内唯一一家全面通过国家军队、国家保密局、公安部的权威认证的产 品，已广泛应用于海军、空军、二炮等机要单位。