一、需求分析

中国银行准备接入动态口令认证的应用现状大致如下：

（1）登录认证现状：

采用帐号+密码访问各种业务系统，各个系统自制管理;

（2）业务系统多：

数量不断增加如Cisco、VPN、服务器以及满足运维需求的各种支撑系统，目前这些业务系统通过帐号+密码认证;

（3）多帐号源管理：

目前帐号管理AD方式;

（4）应用部署：

中国银行采用内外网隔离机制，即外网满足VPN、Cisco等外网移动办公，内网包括服务器及网络设备管理；

二、实现目标

在现有业务系统帐号+密码基础上增加动态口令认证，提升认证安全，减少密码管理开销，满足多玩业务系统多、多帐号源管理及复杂网络部署环境；

(1)高安全性

在现有认证基础之上增加动态口令认证，提升访问安全；

认证服务器数据安全：确保种子加密存储，确保种子无法泄密；

为认证服务器管理后台增加动态密码认证;

(2)集成便捷性

动态口令认证系统应开放、方便地与各种业务系统集成，且无需对现有系统进行改造，无需二次开发，节约实施人力及时间成本，减小实施风险。

(3)高可靠性

基于多核心业务系统接入认证要求，认证系统必须稳定可靠，提供不间断的可靠身份认证服务，并且需要实现良好的冗余与容错设计，防止出现单点故障。

(4)管理便捷性

后台管理便捷性，方便管理员操作；

快速定位潜在故障点，减少运维风险；

(5)可审计

详细的登录日志；

支持登录日志导出，方便日后审计；

三、解决方案

业务系统通过安装相应的代理软件及配置与部署在公网或内网部署动态口令认证服务器进行通信，使得业务系统方便登陆增加动态口令身份认证，由于采用CKEY 和配置Radius方法集成，此方式十分方便多业务系统接入，无需二次开发工作，减少整体项目实施风险，节约成本。

四、认证流程

(1)登录页面，在Juniper VPN登陆页面上输入认证用户名和密码

(2)认证通过后，接下来会出现如下窗口，需要将令牌上显示的动态密码输入以下窗口，认证成功。

五、方案特点

1、提供手机令牌及硬件令牌供选择

同时提供手机令牌和硬件令牌供用户选择，满足不同客户对动态密码认证终端需求;

2、手机令牌支持主流智能手机平台<

手机令牌支持ios\andriod\wp手机操作系统平台，满足智能手机用户需求；

3、多系统接入动态密码认证

支持多系统同时接入，并分配不同认证策略，有效降低管理及部署成本；

4、快速部署

通过纯配置方式，满足业务系统集成动态口令诉求，具有良好的扩展性及节省部署成本；

5、高可靠性

认证服务器可实现双机互备、并支持跨平台部署；

6、双重因素安全

提升整体身份认证安全性，实现基于用户身份的实名认证，有效管理身份认证；