企业VPN需求方案.docx

企业VPN需求方案.docx

《企业VPN需求方案.docx》由会员分享，可在线阅读，更多相关《企业VPN需求方案.docx（10页珍藏版）》请在冰豆网上搜索。

企业VPN需求方案

iKEY双因素动态密码身份认证

技术应用方案

目录

序言3

1产品简介4

1.1概述4

1.2系统特点4

1.2.1系统适用性高4

1.2.2系统兼容性强4

1.2.3令牌安全特性突出4

2需求分析6

2.1应用环境6

2.2需求描述6

3网络拓扑7

4应用场景8

4.1用户使用VPN流程8

4.2VPN登录数据流程8

4.3用户登录web服务器流程9

4.4web服务器登录数据流程9

4.5用户单点登录流程10

4.6单点登录数据流程10

5软硬件要求11

5.1软硬件推荐配置11

5.1.1硬件配置要求11

5.1.2软件要求11

5.1.3产品包构成11

6实施周期12

7技术支持12

7.1技术支持内容12

7.2技术支持方式12

序言

众人网络安全技术有限公司非常荣幸能有机会向贵公司提交〈iKEY双因素动态密码认证系统解决方案〉，同时非常感谢贵公司给予众人科技的此次机会，为网络应用系统安全登录提供解决方案的介绍。

“众人科技”是国家密码管理局正式批准的商用密码产品生产定点单位和销售许可单位。

2009年1月，通过ISO9001质量管理体系和ISO27001信息安全管理体系认证。

公司主要生产及销售拥有完全自主知识产权的“iKEY双因素动态密码身份认证系统（SRT0901动态口令系统）”（以下简称iKEY产品）。

iKEY产品是国内首款采用国家密码管理局授权的加密算法，并通过安审获得商用密码产品型号证书的双因素动态密码产品。

“众人科技”在上海总部设立了研发及生产基地，在北京设立了营销中心，并已在浙江、江苏、四川、江西、深圳等地成立销售服务分支机构。

公司总部拥有1000平米的研发办公环境，核心研发人员来自国内外知名IT企业，研发团队成员70%以上具有研究生以上学历。

公司与交通大学、武汉大学等国内著名高校建立的紧密的战略合作关系，并聘请中国人民解放军国家有突出贡献的多位国内著名信息安全专家，担任公司专家顾问团顾问。

多年来，众人科技与各企业客户友好合作，长期的友好合作关系使众人科技对企业的业务需求与发展情况相当熟悉和了解，为解决贵公司的内部系统安全登录方案奠定了基础。

我们有信心、有能力为贵公司网络应用系统提供完善的安全登录解决方案和服务。

上海众人网络安全技术有限公司

1产品简介

1.1概述

iKEY双因素动态密码身份认证系统是一种采用时间同步技术的双因素认证系统。

iKEY双因素动态密码身份认证系统采用强大的用户认证系统替代基本的口令安全机制，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。

iKEY双因素动态密码身份认证系统采用国家商用密码管理局授权的加密算法。

iKEY双因素动态密码身份认证系统采用动态时间窗口技术解决了同类产品普遍存在的令牌与服务器时间误差问题；采用节能降耗设计，解决了同类产品应用高强度算法存在的高功耗影响使用寿命问题。

1.2系统特点

1.2.1系统适用性高

无论是企业的内部员工、外部合作伙伴还是企业交易用户，无论是在本地、异地还是移动办公，都可以使用iKEY双因素动态密码身份认证系统。

用户可通过iKEY双因素动态密码身份认证系统完成身份确认并进行合法授权操作。

1.2.2系统兼容性强

iKEY双因素动态密码身份认证系统支持RADIUS协议、iKEY认证协议（支持TCP、UDP、SOAP、TACAS+）和客户私有协议，支持WindowsXP/2003/Vista、Linux、HP/UX、AIX操作系统，支持Oracle、SQLServer、MYSql等数据库，提供基于C/C++、C#、.Net、JAVA等多种形式API。

1.2.3令牌安全特性突出

●无接触：

密码的产生过程完全与网络隔绝，有效杜绝了令牌密码算法、算法因子被复制、破解，从根本上保障了身份认证密码的安全性。

●保密性：

用户的密钥安全存储，不需在信道上传送，最大限度地防止用户身份的泄露。

●抗抵赖性：

只有持有动态密码产生设备的使用者能生成包含抗抵赖信息的动态密码，认证方和任何第第三方不能生成该用户的动态密码。

●抗重放性：

一个动态密码只能使用一次，一旦使用就立即作废。

●抗暴露性：

由于动态密码有使用作废和超时作废的功能，即使密码泄露，也不会出现安全隐患。

●方便性：

密码不需要记忆。

2需求分析

2.1应用环境

●使用VPN客户端登录VPN服务器。

●通过登录部署于Internet页面使用内部应用系统。

●成功登录web页面后再使用内部应用系统部需要另外输入密码。

2.2需求描述

●VPN客户端登录VPN服务器时，实现动态密码认证。

●用户登录Web页面时，实现动态密码认证。

3网络拓扑

●iKEY认证服务器部署为双机方式，以排除单点故障。

●web页面系统需要根据iKEY认证API进行二次开发。

●VPN设备与认证系统的对接通过Radius协议完成。

4应用场景

4.1用户使用VPN流程

1.远端通过VPN连接登录server服务器。

2.输入用户名和动态密码，ikey认证服务器验证通过后，可以连接到公司内部网络中，应用业务办公系统。

4.2VPN登录数据流程

1.异地的用户通过VPN连接，打开VPN连接客户端。

2.用户输入用户名和动态密码至IPsecVPN服务器。

3.IPsecVPN服务器将用户名和动态密码提交至iKEY认证服务器。

4.iKEY认证服务器对用户名和动态密码进行认证，将认证结果返回IPsecVPN服务器。

5.IPsecVPN服务器根据认证结果做不同的处理：

a）认证失败，提示用户认证失败，要求再次进行认证。

b）认证成功，将自动连接到内部应用网络中。

6.用户可以进行办公应用。

4.3用户登录web服务器流程

1．远端通过SSH连接登录web服务器。

2．输入用户名和动态密码，ikey认证服务器验证通过后，进入web服务器进行系统数据操作。

4.4web服务器登录数据流程

1．远端用户通过ssh登录web服务器。

2．输入需访问的web服务器ip地址,用户名和动态密码至web服务器。

3．web服务器将用户名和动态密码提交至iKEY认证服务器。

4．iKEY认证服务器对用户名和动态密码进行认证，将认证结果返回web服务器。

5．web服务器根据认证结果做不同的处理：

a）认证失败，提示用户认证失败，要求再次进行认证。

b）认证成功，将进入所要登录的服务器系统。

6．用户可对所登录的服务器进行应用。

4.5用户单点登录流程

1．使用浏览器，打开统一登录页面。

2．输入用户名和动态密码。

认证服务器验证通过后，进入到用户资源列表，用户只能看见自己拥有登录权限的应用系统，并登录。

3．在不关闭浏览器的状态下，用户想登录其他应用系统，不需要再次登录，直接以当前的用户身份进入应用。

4.6单点登录数据流程

1.未登录的用户输入应用网址，浏览器打开统一登录页面。

2.用户输入用户名和动态密码至统一登录站点。

3.统一登录站点将用户名和动态密码提交至iKEY认证服务器。

4.iKEY认证服务器对用户名和动态密码进行认证，将认证结果返回统一登录站点。

5.统一登录站点根据认证结果做不同的处理：

a）认证失败，提示用户认证失败，要求再次进行认证。

b）认证成功，将认证凭据写入用户浏览器，并转向至用户登录的资源网址。

6.用户访问其他应用网址时，浏览器将认证凭据提交至应用服务器。

7.应用服务器将认证凭据提交至iKEY认证服务器。

8.iKEY认证服务器对认证凭据验证后，将认证结果返回应用服务器。

9.用户进入应用网站。

5软硬件要求

5.1软硬件推荐配置

5.1.1硬件配置要求

用途

规格

单位

数量

iKEY认证服务器

CPU：

Pentium双核2.66G

内存：

4G

硬盘：

320G

网卡：

2块

台

1

5.1.2软件要求

用途

规格

操作系统

WindowsServer2003或RedHat5.4

数据库

SQLServer2005或MySQL5.1

5.1.3产品包构成

产品

介绍

部件

iKEY-Server3.0

认证服务系统软件

软件包

用户手册

API及文档

6实施周期

工作内容

时间周期

备注

需求分析及技术解决方案确定

5个工作日

在此方案上按客户实际需求调整

系统安装

3个工作日

iKEY双因素动态密码身份认证系统部署

技术培训

2个工作日

系统上线

预期3个工作日

系统上线测试

7技术支持

7.1技术支持内容

售中技术支持

售后技术支持

系统试用部署

系统部署

系统迁移

数据库管理与维护

系统升级

故障的诊断与排除

7.2技术支持方式

●电话热线支持

服务热线电话：

上海+86-21-33933330-8901，（上午9:

15-下午6:

15；每周5天）；

24小时支持热线：

指定一名技术支持工程师跟踪服务。

●现场服务

工作时间：

星期一至星期五早9：

00到晚5：

30。

系统免费维护期：

对于iKEY双因素动态密码身份认证系统提供一年（从最终验收签字之日起计算）内免费维护。

一年后按协议收取维修费用。

●Email咨询解答

众人科技为客户提供成本低、响应迅速的Email咨询答疑。

您可以将遇到的各种问题或要求直接发往以下Email地址：

support@；

一般情况，众人科技将在24小时内答复。

●网上远程指导和咨询

除了电话支持和邮件咨询之外，众人科技为客户提供了更进一步的网上远程指导与咨询服务众人科技的售后工程师将通过MSN、QQ、SKYPE等即时通讯工具与客户实现远程面对面的交流，并在提供各种技术指导、方案咨询和远程培训服务。

最后:

感谢您对我们产品的支持和信赖，为客户提供优质的技术支持是我们的承诺。

如果您有任何本方案无法解决的技术问题请发电子邮件（service@）到我们的技术支持部门，我们将尽快回答您的问题。

您的意见和建议对我们很重要，我们会根据您的建议对产品不断地进行改进。