宁盾多因子认证(MFA)与微软ADFS安全认证方案

多因素身份验证的安全性现今互联网世界中，用户账户安全问题逐渐受到重视，各种黑客攻击和恶意软件披露的层出不穷，使得账户的安全性变得日益重要。

身份验证（authentication）是确认用户身份的一种机制。

而多因素身份验证（MFA）正成为保证用户身份安全认证的重要方式之一。

“多因素身份验证的安全性”是本文的主题。

本文将从“多因素身份验证”的定义、多因素身份验证的分类以及多因素身份验证的安全性这三个方面来进行阐述。

一、“多因素身份验证”的定义多因素身份验证，也称“多重身份验证”，是指在用户身份验证时采用了多种因素，以提高身份验证的可靠性。

即在第一因素即账户密码的基础上，加入至少一项或多项身份确认要素，如指纹、面部识别、短信验证等方式。

这种验证机制要求用户提供两个或以上的身份认证因素，以证明用户的身份，确保账户的安全性。

二、多因素身份验证的分类1. 自有因素身份验证：这种方式是指用户提供的身份验证因素完全由用户自己提供的，他们是从用户自身的一些特征中提取出来的，例如常用的账户密码、手势识别或者指纹识别等。

这种验证方式的缺点是容易被盗用，例如，用户可能会将密码和账号都一起泄露。

2. 手持设备身份验证：手机设备是目前最受欢迎的验证因素，例如通常用于验证的基于 token 的安全硬件。

这种方式需要用户用手机的指纹扫描或者生物识别技术来验证身份。

该验证因素相对较安全，因为手机用于身份验证和通信，都可以加密。

3. 第三方验证因素：这种方式是用户不会直接参与的验证方法，用户验证时需要一个可在所有系统间共享的应用程序和协议。

一些机构，例如支付系统，可能会将其添加为第三方身份验证因素，而非所有的平台都接受此种验证因素，但是基于互联网的平台不够信任此类验证方式。

三、多因素身份验证的安全性多因素身份验证的安全性相比单一身份验证要高出很多。

基于单一身份验证的账号，可能会因为口令泄露、密码被盗，而导致账户的不安全。

多因素身份验证就可以防止用户账号信息被窃取，因为即使黑客攻击获得了用户的密码，但无法验证用户二次身份认证因素，例如手机上的短信验证或是指纹识别等。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与outlook对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与深信服EMM对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

普及一下，Google 身份验证器和令牌同属于动态口令生成器，用于加固账号密码安全。

用户在使用账号密码认证的时候，除了输入账号密码外，还需要输入动态口令（又称动态密码/动态Token）。

如在阿里云中账号安全管理中设置开始MFA认证，在使用账号密码身份鉴别的时候就需要输入动态密码。

像Google 身份验证器又或者令牌都属于双因素认证的一部分，即动态口令生成器（又称为动态令牌）。

实际上双因素认证由认证系统和动态令牌两部分组成。

认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。

阿里云服务器就是充当了认证服务器的角色，当用户在“账号安全设置”中开启了“MFA 动态口令校验”（有得地方称Google Authenticator 或Google 身份验证器，意思是说该网站已兼容了Google 开源的动态口令验证方法），用户使用事先下载好的手机令牌（任何兼容Google 动态口令验证方法的令牌，比如令牌）扫码激活后就可以在下次登录时使用。

因此，面向个人账号登录保护，只要应用本身已兼容Google 动态口令验证算法（Google Authenticator），您可以下载任何兼容Google Authenticator的动态令牌，如令牌。

面向企业场景，如VPN、虚拟化、网络设备、Office365等，作为管理员，令牌的选择与服务器所能提供的功能相比，认证服务器的功能就更为重要了。

Google令牌目前仅提供令牌，认证服务器需要客户独立开发。

令牌提供认证服务器及多令牌全场景一体化认证方案。

总结：面向商业个人账号安全，令牌与Google 身份验证器并没有区别，面向企业场景，提供双因素一体化认证解决方案，企业无需再将研发精力花费在成熟商品上，而是让研发将精力花费在重要业务上，提供本地部署和云部署方案。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Linux终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Coremail对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

多因素认证技术的安全性评估第一部分多因素认证技术概述 (2)第二部分安全性评估方法介绍 (5)第三部分多因素认证技术分类 (8)第四部分技术安全性分析与评估 (10)第五部分系统脆弱性识别与测试 (15)第六部分风险管理与安全策略制定 (18)第七部分漏洞修复与性能优化建议 (22)第八部分应用场景及未来发展趋势 (25)第一部分多因素认证技术概述在信息安全领域，身份验证是保护系统和数据免受未经授权访问的重要步骤。

传统的身份验证方法，如用户名和密码，已经不足以满足当前的安全需求，因为这些方法容易受到攻击，例如密码猜测、社会工程学攻击等。

因此，多因素认证技术（ Multi-Factor Authentication，MFA）逐渐成为主流的身份验证方式。

多因素认证技术是一种使用多种身份验证因素组合进行身份验证的方法。

与单一因素认证相比，多因素认证提供了更高的安全性，因为它要求用户提供更多的信息来证明自己的身份。

通常情况下，多因素认证需要用户至少提供两种不同的认证因素，这三种主要的认证因素包括：知识因素（Something you know）、拥有因素（Something you have）和生物特征因素（Something you a r e）。

1.知识因素：这是最常见的一种身份验证因素，包括密码、 PIN 码、安全问题答案等。

这种因素基于用户记忆的信息来进行身份验证，但是由于人类的记忆存在局限性，很容易被破解或者遗忘。

2.拥有因素：这是一种基于物理设备或者数字证书进行身份验证的因素，例如智能卡、USB 令牌、手机短信验证码等。

这种因素比知识因素更安全，因为物理设备或者数字证书难以复制。

3.生物特征因素：这是一种基于用户的生理或行为特性进行身份验证的因素，例如指纹识别、面部识别、声纹识别等。

这种因素最为安全，因为每个人的生物特征都是独一无二的。

根据不同的应用场景和安全需求，可以将这些认证因素组合起来，形成不同的多因素认证方案。

如今的企业网络比以往任何时候都更加动态化，企业网络中用户、设备和访问方式的数量都在不断增加。

随着访问量的增加和设备的激增，出现安全漏洞和新的运营挑战的可能性也在增加。

因此，维护网络安全、提升运营效率均需要新的解决方案，这些方案应能够有效地执行访问策略、审核网络使用情况、监控访问的合规性并全面了解整个网络中的活动状况。

为了加固网络设备安全。

企业一步步实现网络设备全应用双因子保护、授权、日志审计。

一、客户需求解决网络及安全设备及业务系统的弱密码安全隐患问题；统一管理不同品牌、不同类型设备（包括网络设备、防火墙、堡垒机、VPN及重要服务器等）；统一管理特权账号，实现账号的增、删、改、查及角色/用户组的统一更改；规范对特权账号的可访问权限到可操作命令/命令集，审计特权账号的操作命令，追溯误操作及非法操作并落实到相关责任人。

二、解决方案网络设备AAA属于一体化身份认证与访问控制（DKEY AM）的一部分，基于Tacacs+ 协议，自定义可操作命令/命令集以达到特权账号细分权限的目的。

同时兼容异构网络设备（华为、H3C、Cisco、Aruba等），实现不同品牌、不同类型网络设备的统一认证、授权和审计。

同时，基于Radius协议，为不同厂商的VPN、虚拟化、网络设备、堡垒机、服务器（本地/云）、数据库、网络层及应用层身份认证提供一体化认证及账号加固解决方案。

1、T acacs+ 网络设备AAA：支持不同品牌交换机、路由器、防火墙等主流网络设备，帮助其实现网络设备账号统一AAA认证授权审计、动态密码安全加固。

统一对接网络设备异构兼容华为、H3C、Cisco、Aruba等不同品牌交换机、路由器等网络设备，实现数据中心网络设备统一管理。

自定义命令/命令集授权自定义可操作命令/命令集，为不同厂商、不同设备级别的分配可操作命令/命令集权限；统一账号源或账号身份，为不同用户角色/用户组分配可操作的设备及操作权限，实现数据中心自定义授权及统一监管。

为提升Google网站的登录安全，Google开发了一款称之为Google Authenticator的动态口令验证算法并且将其开源共享。

对此，国内大型厂商也开始引进。

但因为Google仅提供了动态令牌，如果要使用Google身份验证器，企业需要自研认证服务器。

也就是说是否支持动态口令验证取决于厂商是否开发了认证服务器，进而导致用户处于被动状态！随着企业数字化转型，私有云、公有云、托管云及各类云应用场景的融合成为企业上云的重要趋势。

因此面向多云主机账号登录保护，企业需要一款第三方动态口令认证产品，用于对接各类云主机的账号登录保护。

作为第三方双因素动态口令认证服务商，同时为您提供动态令牌和认证服务器。

双因素认证方案由认证系统和动态令牌两部分组成。

认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。

面向多云融合场景，不同品牌云主机与认证服务器对接，实现多云主机的集中账号安全加固。

1、云服务器对接，支持与不同品牌的云服务器对接，提供Linux/Windows账号登录保护。

2、绑定用户源，派发动态令牌。

3、用户登录审计,审计用户IP、登录时间、登录设备、令牌序列号及登录结果。

4、用户登录双因素动态口令校验。

如Linux（Cent OS）双因素动态口令验证：总结：通过在账号密码的基础上增加动态密码，提升了云主机账号密码安全。

第三方双因素认证兼容阿里云、AWS、微软Azure及私有云等云主机，为企业多云融合提供一体化账号安全加固解决方案。

名词解释：1.动态令牌（dynamic password token；one time passwordtoken）：生成并显示动态口令的载体。

2.认证系统（authentication system）：能够为应用系统提供动态口令身份认证服务的系统。

3.动态口令（dynamic password；one time password）：由种子密钥与其他数据，通过特定算法，运算生成的一次性口令。

宁盾一体化认证平台服务无忧英语，保障企业无线网络及移
动办公安全
近期，宁盾科技服务在线英语教育知名品牌——无忧英语（51Talk），为其无线网络增设portal入网认证，并为VPN远程接入添加动态密码保护，提升公司内网信息及移动办公安全。

无忧英语通过思科设备实现无线网络全面覆盖。

外来人员一般是向内部员工索要登录密码来连网，不仅不方便，而且公司也无法对外来人员上网进行有效管控，存在一定的安全隐患。

另一方面，公司员工出差办公时采用Cisco VPN远程访问内网信息资源，但这其中长期存在着弱密码等账号安全问题，给公司带来了极大的困扰。

无忧英语一体化认证解决方案
基于以上现状，宁盾科技为无忧英语推荐了一体化身份认证解决方案。

在无线认证安全问题上，通过portal认证，实现公司外来人员的入网身份安全认证和访问管理，支持短信认证、微信认证、协助扫码等多种认证方式，适用于不同的认证场景。

在VPN账号安全问题上，宁盾提出了双因素认证解决方案，对接AD账户源，通过配置radius协议，实现Cisco VPN与一体化认证平台（ND AM）之间的互操作。

考虑到认证的便捷性与可靠性，无忧英语选取了手机令牌动态密码方式，提升移动办公安全性，减少密码相关管理成本，且无需携带任何额外设备。

本项目宁盾共在客户环境中部署了2套一体化认证服务器，分别管控无线网络portal认证及VPN双因素认证，且互做热备，确保了系统的高可用。

方案实施效果满足了客户的要求，宁盾科技的技术实力也再次得到了肯定。

无忧英语pc端portal认证界面
移动端portal认证界面
思科VPN双因素认证界面。

中国国际广播电视台采取宁盾双原因认证方案, 确保移动办公身份安全一、用户介绍中国国际电视台是中央电视台旗下国际传媒机构, 总部设在北京, 另外在美国华盛顿特区、非洲肯尼亚及亚洲新加坡等地皆设有海外广播中心, 由来自世界70多个国家和地域国际专业团体组成, 提供面向全球范围新闻资讯, 传输中国声音。

二、项目分析1、用户需求①处理北京总部及3个海外站点山石网科VPN接入弱密码问题, 杜绝弱密码引发内网信息系统泄漏潜在隐患;②对职员远程访问进行双重身份判别, 确保访问安全, 以满足国家信息安全等级保护制度第三级要求。

2、项目目标实现中国、美国、肯尼亚及新加坡等四个站点VPN双原因认证登录, 采取时间型硬件令牌, 每隔60秒产生一个6位密码, 职员静态+动态密码登录保护, 符合三级等保要求。

三、处理方案1、方案概述经过在亚马逊云上布署4套宁盾双原因认证平台, 分别对应中国国际电视台4个站点, 基于标准RADIUS, 实现在山石网科VPN账号密码认证基础上增加宁盾硬件令牌认证, 职员静态密码+动态密码登录保护, 增强远程办公数据安全。

2、网络拓扑项目中关键产品有宁盾双原因认证平台、亚马逊云平台、山石网科虚拟VPN、宁盾硬件令牌。

四、中国国际电视台VPN双原因认证步骤山石网科VPN登陆页面, 职员需在“密码”框中前几位输入静态密码, 后几位输入宁盾硬件令牌上动态密码, 点击登录。

系统对职员提交信息进行认证, 认证经过, 职员接入VPN网络; 认证失败, 提醒密码错误并断开连接。

五、项目成效①职员采取静态+动态密码认证方法连接VPN, 加固现在账号认证体系安全, 消除弱密码风险。

②采取双重验证技术来判别身份, 确保身份安全, 符合国家信息系统安全等级保护要求。

③降低VPN登录密码遗忘或定时强制更改给职员与IT管理人员带来麻烦, 提升工作效率。

④基于角色访问控制策略, 增强远程办公访问安全, 提升管理效率。

⑤硬件令牌内置时钟自校准机制, 消除令牌本身时钟失序带来时钟校准工作, 双原因认证平台采取线性回归技术, 突破以往因为令牌内晶振误差造成令牌失序, 提升用户体验。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、云管理平台对接方案1、云管理平台对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

AWS、Azure、阿里云等常见云平台在企业中使用已经司空见惯了，已完成与AWS、Azure及阿里云云平台的应用对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

深圳能源选择宁盾无线认证平台-为员工访客提供身份安全认证深圳能源选择宁盾无线认证平台，为员工访客提供身份安全认证一、客户简介深圳能源集团前身系深圳市能源集团有限公司，是全国电力行业第一家在深圳上市的大型股份制企业，自建立以来逐渐形成了庞大的网络设备及上网用户体系。

随着集团传统有线业务向无线端转移，无线上网账号的管理也越来越受到重视，以实现对内部员工、外来访客接入无线网络执行严格的准入控制策略，增强企业网络的安全性及可控性。

二、项目分析1、客户需求深圳能源通过思科瘦AP+AC架构实现无线覆盖，目前员工、访客采用WPA/WPA2认证方式连接无线，导致IT管理人员难以对无线使用进行管控，也无法甄别用户属性，实名制审计比较困难。

分析需求如下：①在现有无线网络条件下，不新增任何无线网络设备，无缝实现登录接入管理；②支持多种认证方式，对应不同的上网用户（内部员工、外包人员、普通访客），增强企业内、外网的安全性及可控性；③与AD域对接，实现内部员工通过AD域账号源认证登录；④与深圳能源集团短信网关对接，实现域账号的双因素认证；⑤配合行为管理，实现上网实名审计。

2、项目目标通过在现有网络环境中部署宁盾一体化认证平台，实现如下目标:①企业内部员工实现802.1X+AD+双因素认证；②访客—企业外包人员实现邮件审批认证；③访客—普通访客实现协助扫码认证；④与Cisco AC（无线控制器）对接，为员工及访客推送Portal页面，并实现无感知认证；⑤提供上网用户信息报表，如手机号、在线时间、流量等；⑥对接专业的上网行为管理设备，实现上网实名审计。

三、解决方案1、方案概述在2台服务器上进行部署，服务器1安装宁盾一体化认证平台，对接Cisco WLC、对接AD辅助域控制器读取用户数据、对接集团短信网关做短信密码认证，服务器2安装AD辅助域控、网络策略和访问服务（NPS），安装辅助域控将无线认证设置在辅助域控上进行，可以减少无线认证对AD域控的性能消耗，NPS用作Radius认证报文的策略转发。

云计算规划方案目录1. 内容综述 (2)1.1 项目背景 (2)1.2 规划目标 (3)1.3 规划范围 (4)1.4 术语与缩略语 (6)2. 云计算环境现状分析 (7)2.1 现有资源分析 (8)2.2 业务需求分析 (10)2.3 技术能力分析 (11)3. 云计算规划目标 (12)3.1 业务目标 (13)3.2 技术目标 (14)4. 云计算架构设计 (15)4.1 总体架构设计 (16)4.2 数据中心设计 (18)4.3 网络架构设计 (20)4.4 安全架构设计 (21)5. 关键技术选型与实施策略 (22)5.1 云计算平台选型 (24)5.2 数据存储与处理技术 (25)5.3 安全技术选型 (28)5.4 运营与维护策略 (29)6. 实施计划 (32)6.1 项目管理计划 (33)6.2 任务分解与责任分配 (34)6.3 预算与成本控制 (35)6.4 风险评估与应对措施 (37)7. 评估与监控 (37)7.1 规划效果评估 (39)7.2 监控系统设计 (40)7.3 性能优化与调整计划 (42)1. 内容综述本文档旨在全面阐述企业云计算规划方案，为企业高效、安全、可扩展地迁移和运行业务于云端提供指导。

该方案将从现状分析、目标设定到实施策略、安全保障、成本控制等关键环节进行详细阐述。

通过本次规划，将明确企业云计算的最终目标，并根据企业自身特点和业务需求，确定最佳的云平台选择、云服务模式和资源配置方案。

还将对云迁移过程中可能遇到的挑战进行预判并制定应对策略，确保云计算转型过程顺利进行。

本方案旨在帮助企业充分利用云计算优势，降低IT成本，提升业务效率，实现数字化转型目标。

1.1 项目背景本项目旨在借助云计算技术构建一个高效、灵活且经济的计算基础设施，以支撑企业的日常运作及业务发展需求。

随着信息技术的飞速发展，企业对信息系统的依赖日益增强，随之而来的是对数据中心的计算资源需求不断增长。

宁盾数据库双因素认证方案一、面临挑战在大型数据库系统中集中存放着大量重要数据，而且为许多最终用户直接共享。

数据库登录密码若被暴力破解或泄露，导致数据信息外泄、更改或破坏，会造成不可估量的严重后果，其安全性问题往往更为突出。

常规的用户名和登录密码的鉴别机制下，弱密码普遍存在，其安全隐患越来越得到重视。

由于密码过于简单，考虑到系统安全而强制要求定期更换密码又给用户带来使用上的不便。

因此需借用宁盾双因素认证机制来完善现行数据库用户的身份标识与鉴别，构筑起数据库安全的第一道防线。

二、解决方案1.宁盾数据库双因素认证方案概述静态密码只能对数据库用户身份的真实性进行低级认证。

宁盾双因素认证在数据库系统原有静态密码认证基础上增加第二重保护，通过提供手机令牌、硬件令牌等动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

2.宁盾动态密码形式手机令牌基于时间的动态密码，由手机APP生成。

基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾认证服务器能够验证这个变化的密码是否有效。

硬件令牌基于时间的动态密码，由硬件生成。

硬件令牌每60秒产生一个6位随机密码，使用寿命3年。

需要为每个数据库用户分发一枚宁盾硬件令牌，用户登录时输入静态密码+硬件令牌上显示的动态密码，验证通过即可完成登录。

3.宁盾数据库双因素认证平台配置流程以My SQL数据库为例，下图为宁盾双因素认证平台创建本地用户，并配置相应的双因素认证策略的示意图。

4.宁盾数据库双因素认证流程以Oracle数据库为例，下图为宁盾双因素认证登录界面，采用单步认证方式，一并完成静态密码和动态密码的认证过程。

①新建连接；②输入用户名及静态密码、动态密码信息，点击“Test”，显示双因素认证状态为“Success”，说明认证成功，这时再点击“Connect”按钮就可以成功登录了。

Oracle数据库单步认证（同步认证模式）原理三、方案价值①账号双重保护：宁盾双因素认证在数据库原有账号密码认证基础之上增加一层动态密码认证，以此提升数据库用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；②多种认证方式：手机令牌、硬件令牌动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；③与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，提供数据库的双因素认证服务；④实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；⑤系统兼容性：支持几乎所有主流数据库系统，如Oracle、My SQL 、No SQL 等；⑥体验优化：通过简化移动安全接入，优化用户体验，在为用户登录数据库提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。

微软ADFS实施方案微软ADFS（Active Directory Federation Services）是一种基于标准的身份验证解决方案，旨在帮助组织实现单点登录和安全访问控制。

它允许用户使用单组凭证登录多个应用程序，而无需为每个应用程序单独进行身份验证。

在本文中，我们将讨论微软ADFS的实施方案，以及一些最佳实践和注意事项。

首先，为了成功实施微软ADFS，您需要确保您的环境符合一些先决条件。

首先，您需要一个运行Windows Server操作系统的服务器，该服务器将承担ADFS角色。

其次，您需要一个有效的Active Directory基础架构，因为ADFS依赖于Active Directory来验证用户身份。

最后，您需要一个有效的SSL证书，以确保通信的安全性。

一旦您的环境符合这些先决条件，您就可以开始实施ADFS了。

首先，您需要安装ADFS服务器角色，并对其进行基本配置。

这包括配置ADFS属性存储、设置标识提供程序和信任关系，以及配置身份验证策略。

接下来，您需要配置应用程序组，以便将应用程序映射到ADFS中的标识提供程序。

最后，您需要配置网络防火墙和代理服务器，以确保外部用户可以安全地访问ADFS。

在实施ADFS时，有一些最佳实践和注意事项需要牢记。

首先，您应该定期备份ADFS服务器的配置和数据库，以防止意外数据丢失。

其次，您应该定期审查ADFS服务器的日志和事件，以及监控其性能和可用性。

最后，您应该定期进行安全审计和漏洞扫描，以确保ADFS服务器的安全性。

除了最佳实践和注意事项外，您还应该考虑一些常见的问题和故障排除步骤。

例如，如果用户无法登录或遇到身份验证问题，您应该检查其ADFS属性存储和标识提供程序配置。

如果外部用户无法访问ADFS，您应该检查网络防火墙和代理服务器的配置。

综上所述，微软ADFS是一种强大的身份验证解决方案，可以帮助组织实现单点登录和安全访问控制。

在实施ADFS时，您需要确保环境符合先决条件，并遵循最佳实践和注意事项。

多因素认证的重要性和实施方法在当今信息时代，网络安全问题日益突出，个人信息泄露和身份盗窃已经成为普遍存在的风险。

为了更好地保护用户的隐私和安全，多因素认证（Multi-factor Authentication，简称MFA）被广泛应用于各个领域。

本文旨在探讨多因素认证的重要性以及其实施方法。

1. 多因素认证的重要性在传统的单因素认证中，用户只需提供账户和密码即可登录系统或完成交易。

然而，随着技术的进步和黑客技术的不断发展，密码已经不再安全可靠。

例如，许多用户倾向于使用弱密码，或者在多个账户中使用相同的密码，这给黑客提供了进一步破解其他账户的机会。

因此，多因素认证作为一种提高安全性的解决方案，逐渐得到重视。

首先，多因素认证提供了更高的安全性。

它结合了多个不同因素，如密码、指纹、声纹、人脸识别等，以确保用户身份的可信度。

即使黑客已经获取了用户的密码，他们无法绕过其他认证因素，从而无法登录用户的账户。

其次，多因素认证可以减少身份盗窃和欺诈活动。

通过引入其他因素验证用户身份，盗用用户账户的风险大大降低，保护用户的个人信息和财产安全。

最后，多因素认证可以提高用户对系统的信任和满意度。

用户相信使用多因素认证的系统更加安全可靠，因此更愿意在该平台上进行敏感操作，如支付、交易等。

这也从根本上增强了用户体验。

2. 多因素认证的实施方法实施多因素认证需要综合考虑系统的安全需求、用户体验以及成本效益等因素。

下面介绍几种常见的多因素认证实施方法。

（1）短信验证码短信验证码是最常见的多因素认证方式之一。

用户在输入账户和密码后，系统会向用户注册的手机号发送一条包含验证码的短信。

用户需要在指定时间内输入正确的验证码才能完成登录或交易。

这种方式简单易用，成本低廉，受到广泛应用。

然而，由于存在SIM卡被盗用、短信被劫持等问题，短信验证码的安全性受到一定质疑。

（2）硬件令牌硬件令牌是一种物理设备，类似于USB设备或智能卡。

用户在登录或进行敏感操作时，需要将硬件令牌插入电脑或手机上，并按下按钮生成动态密码。

多重因素认证在当今数字化时代，安全威胁愈发增加，个人和公司的机密信息、财务资产等都面临被盗取的风险。

为了应对这些威胁，各行各业纷纷采取多重因素认证来加强身份验证和安全措施。

本文将探讨多重因素认证的定义、原理以及应用，并重点讨论其在金融、社交媒体和企业网络等领域中的实际应用。

1. 多重因素认证的定义多重因素认证，简称MFA，是一种基于“你知道的”、“你拥有的”和“你是”等不同因素的身份验证方法。

它通过结合两个或多个不同的身份要素，如密码、指纹、手机令牌、面部识别等，来确保用户的身份被正确认证。

相较于传统的单一因素认证，多重因素认证极大增强了安全性。

2. 多重因素认证的原理多重因素认证基于“三要素认证原理”，即知识因素、拥有因素和生物因素。

知识因素是指只有用户知道的信息，如密码、个人问题等；拥有因素是指只有用户拥有的物品，如手机、令牌等；生物因素是指用户的生物特征，如指纹、面部识别等。

当用户进行认证时，系统会要求用户提供符合以上三个因素的其中两个或多个，以确保身份的真实性。

3. 多重因素认证的应用3.1 金融领域在金融行业，多重因素认证被广泛应用于网银、支付平台以及电子钱包等系统中。

用户登陆时除了输入用户名和密码外，还需要输入手机动态验证码，或使用指纹识别等生物特征进行确认。

这种方式大大减少了账户被盗用或恶意攻击的风险。

3.2 社交媒体随着社交媒体的普及，用户的个人信息和账号安全问题也逐渐成为焦点。

多重因素认证在社交媒体平台中得到了广泛应用，如使用手机短信验证码、指纹识别或面部识别等方式来确认用户的身份。

这不仅有效防范了账号被恶意盗用，还提升了用户对平台的信任度。

3.3 企业网络企业网络中的安全问题直接关系到企业的核心机密信息。

为了防止黑客入侵，多重因素认证在企业网络中被广泛应用。

员工登录企业网络时需要通过密码、指纹、令牌等方式进行身份验证，确保只有授权人员才能访问敏感信息。

这种方式大大减少了内部威胁和数据泄露的风险。