Safeword双因素身份认证案例分析

银行内部因业务需求需要提供员工VPN远程接入到银行内部，使用银行内部系统（如Domino或调试管理网络设备等）。在VPN传输中两端都有3DES的加密，要从公网中窃取数据解密是一件庞大的计算工作。但由于VPN接入使用静态密码帐号，存在使用者大量使用弱口令，黑客们可以通过木马、病毒等键盘窃听程序或者暴力破解程序从VPN使用者主机中获得VPN Client的帐号密码，冒充授权用户登陆银行内部。由此很难保证远程的身份为授权用户，有鉴于此该银行选择美国Securecomputing公司的Safeword动态身份认证系统作为VPN接入动态密码VPN接入解决方案。

Securecomputing PremierAccess产品简介

Secure Computing公司的产品最初的设计思路是针对美国政法、军事部门等大型机构，所以其商业产品非常适合大型公司、跨国企业的应用。

SafeWord PremierAccess在网络认证系统方面，通过动态密码令牌卡、PKI、IC卡、生物辨认技术等所有的通用认证手段对用户进行统一认证，详尽的授权和完善的审核制度确保了电子商务时代企业内部用户及其合作伙伴和客户访问企业内部资源的安全性，并以此保证内部安全策略能得以执行。

Secure Computing公司以先进技术为驱动，所以在全球范围内拥有众多严格的客户，以其AAA身份认证SafeWord系列产品为例，金融行业的Citibank（美国花旗银行，60万用户）、First Citizens Bank、Visa，IT行业的Sony（5万用户）、Sun Microsystems（4万用户）、NTT（3.5万用户）、Cisco Systems（3万用户）、Sybase（3万用户）、Alcatel（7万用户）、Ericsson（2万用户）等都选择了SafeWord系列产品做统一的认证平台。

认证环境及过程描述

认证环境

1) 某银行使用Cisco ASA作为VPN接入设备。
2) Cisco ACS作为AAA授权服务器。
3) Safeword作为动态密码认证服务器。

认证请求过程

1) VPN用户把认证请求发送给Cisco ASA设备。
2) Cisco ASA本身不做授权工作，因此Cisco ASA把认证请求通过Tacacs协议转发给Cisco ACS做认证授权。
3) 因为Cisco ACS并不具备双因素动态密码认证方式，于是把密码认证通过Radius协议转发到Safeword服务器做身份认证。

认证返回过程

1) 经过Safeword验证密码后同样通过Radius返回该用户是否合法用户给Cisco ACS。
2) Cisco ACS取得该用户合法性后判断是发送请求失败还是授权该用户进去并赋予该用户权限的结果给Cisco ASA。
3) Cisco ASA得到Cisco ACS返回结果并发送返回结果给的用户认证请求。

现在网络中双因素动态身份认证需求不断涌现。Safeword产品保护着网络设备、核心应用系统、远程接入、Windows域登陆、Web的保护等应用，涵盖大如跨国银行、跨国企业的核心应用系统，小如中小企业网络设备管理动态密码保护。使得多种应用使用统一的动态密码实时授权，简化无需记不同系统的多个静态密码，减少管理员对密码管理的成本。