一、背景分析

随着信息的多元化和数字化的迅猛发展，信息安全技术越来越显示其重要地位，新的信息安全风险也层出不穷，企业在进行IT变革的同时，还得应付各类新型安全威胁，首当其冲的就是身份相关的威胁，这些威胁如果不能很好的防御，极易导致账号泄露、数据泄露等重大安全事件，给企业资产带来难以挽回的损失。要解决新形势下的企业身份安全问题，靠传统的功能，传统的技术手段是远远不够的，企业迫切需要采用新型的身份认证解决方案。

天业集团在2012年就认识到很少定期更改的静态口令存在安全隐患，最基本、最简单的口令问题已经成为网络安全最薄弱、最容易被忽视的问题；率先在财务系统中应用强认证动态口令硬件令牌，采用OTP（One Time Password）方式为财务用户提供安全认证，后续在协同办公（OA）系统中推广应用，现集团内部采用硬件令牌进行安全认证数3000多个。

二、先存问题

1、集团内部使用的硬件令牌委托第三方厂商定制生产，采购于2012年和2013年，现已无库存。

2、由于硬件令牌的电池寿命是5年，现在集团内部的硬件令牌到2019年基本处于没电无法使用的状态，继续使用需要重新采购硬件设备进行更换。

3、硬件令牌设备携带不便，影响推广和使用。

4、令牌的发放和维护成本较高。

三、建设内容

1）搭建手机令牌系统，实现统一的认证管理；系统满足1万用户使用；系统应用的场景包括信息化软件、网络设备、服务器、VPN（深信服）等，应用场景无限制。

2）系统支持系统内自建用户，支持集成LDAP、AD协议用户，支持集成自建用户系统，包括但不限于集团统一办公平台（蓝信）和集团数据标准化系统，具有用户同步功能，实现统一用户管理。

3）系统集成短信网关，支持短信认证。

实现与集团ERP、统一办公平台（蓝信）、协同办公OA、BPM系统、集团采购系统、财务系统、单点登录系统、集团数据标准化系统等20个第三方应用系统的接入。

四、技术突破

中科恒伦协助天业集团建设统一安全的双因素身份认证系统（手机令牌），以便确保合适的人在合适的时间访问适当资源；解决由口令泄露导致的入侵问题，在静态口令的基础上，增加动态密码进行认证，避免口令泄密带来的安全隐患。

• 自助派发令牌：支持独立的用户自助管理平台，实现用户自助派发并绑定软件令牌，支持用户绑定令牌后（软件令牌激活后）登录自服务须校验动态口令。

• 自动化运维：支持批量派发、增量派发及自动化派发用户使用权限，员工自助激活令牌，降低运维成本；

• 高可靠性及容灾能力：支撑数万名用户并发量，识别并阻断恶意认证请求，保障正常业务的顺利进行；

• 用户量：支持数万级以上用户规模
  

• 可审计：详细的登录日志；支持登录日志导出，方便日后审计。

• 管理便捷性：后台管理便捷性，方便管理员操作；快速定位潜在故障点，减少运维风险；

五、解决方案

为了满足天业集团定制开发需求，把原有的手机令牌APP架构模式重新修改，做成独有的应用“天业令牌”，实现天业集团协同办公系统的动态口令登录。且系统平台按照天业集团需求定制。并满足如下的建设要求：

1）系统支持集群方式部署，可部署到linux、centos平台上。

2）系统，提供高可用的认证服务，对原应用系统的效率无影响。

3）手机令牌APP能在各种手机平台（iPhone、Android）上安装使用。

4）满足手机令牌APP定制需求，安装后桌面名称、图标和APP内部的各类标识等可以修改。

5）系统可以根据系统需要及用户数的增量，进行方便的用户数扩充。

6）提供全面的 API 接口，支持 Java、C/C++、PHP、ASP、JSP、.net 等多种语言，可以对接各类应用系统的二次集成。

7）提供 Radius、Socket 和 Web Service 多种接入方式。

8）系统涵盖用户管理、设备管理、令牌管理、自助服务、日志审计、统计报表等必要功能。

9）系统自建用户支持分级分权管理。

10）系统支持认证方式调整，可在APP动态密码认证和短信认证之间自由切换。

六、应用价值

部署中科恒伦CKEY动态认证系统，帮助客户提升业务系统、网络设备、云桌面等多种场景的登陆访问安全，通过动态密码生成器获取动态密码，免除为了满足密码合规而定期修改高强度密码带来的工作以及密码遗忘引起无法正常办公及IT支持成本。

1：CKEY双因素动态认证平台、与现有账号认证体系无缝集成，实现统一身份验证，确保用户身份的合规性。

2：减少天业集团静态密码的管理成本，消除静态密码带来的安全隐患。

3：实现与天业集团现有业务系统、网络设备等多种应用场景的统一身份认证。

4：及时发现及预警风险账号，并结合其他手段进行阻断。