productsSolutionsservicesSupport
 
 
AD域双因子身份认证(2FA)
 面向企业的计算机安全登录双因子认证(2FA)身份认证解决方案

解决方案概述
 

应用背景

Microsoft 在Windows 2000推出的时候就向世人展示了Active Directory,Active Directory主要是验证登录用户,对用户和计算机应用组策略并协助其找到所需打印机。后来,微软在发布的Windows Server 2003这一重要版本中,Active Directory得到了极大的改进。Active Directory不再是一种特定的技术,现在已经成为一种品牌,代表一系列Windows身份和访问控制服务。
也正因如此,Active Directory得到许多大中型企业用户的全力支持并部署使用,随着这些大中型企业在实际的应用部署过程中的不断深入推进,在身份和访问控制服务管理使用过程中面临越来越严峻的挑战:

  1. 员工之间存在密码共用、借用、盗用现象
  2. 员工密码经常容易遗忘
  3. 管理员运维压力与日俱增 

因此,对于企业提出的AD域控管理需求,我们专为企业定制一套基于指纹身份识别的AD域双因子认证(2FA)管理解决方案。

方案阐述

一、方案特点

特点 描述
安全性 平台化、网络化的指纹身份认证技术,有别于传统客户端认证模式、安全可靠,并且可能根据安全需要实现多因子身份安全认证
三员分离 系统针对涉密系统的安全管理“三员分离”原则,进行系统功能设计,使系统更贴合现实管理需要,使安全策略更加健壮
分布式网络部署架构 AD域服务器、指纹认证服务器、应用服务器可分别部署于不同服务器中,减少因系统过度紧密结合引发服务器系统不稳定的可能,采用安全备份策略,确保指纹存储安全,采用WebService技术,零障碍穿透防火墙
易用性 采用JAVA技术的B/S架构AD域用户身份管理方式,可随时随地对域用户进行集中的管理
多设备支持 可支持国际主流的数十款指纹采集设备,可实现交叉比对应用,统一标准的软硬件应用界面,满足B/S C/S架构应用系统的二次集成
防指纹数据库泄漏 用于管理指纹数据库的Key进行特别加密,只有系统管理员知道,即使数据库被攻破,没有Key解密,指纹特征模板仍然无效
存储安全 系统不保存指纹特征值模板,而是保存经过指纹特征值处理加密后的密钥范本 ,由用户通过指纹识别激活加密密钥,不再由任何第三方掌握加密系统的核心权限,基于指纹读取的随机性,确保生成的密钥也随机且一次有效,显著提高密钥安全级别,实现安全的指纹识别身份认证
身份认证多样性 使用者可根据不同密级设置单指/多指/多人认证,确保各密级信息的安全性
动态密码策略 密码动态更新,军工级密码规则

二、方案设计

指纹验证安全性高,识别速度快、识别正确率高;未登记和非法指纹均无法通过验证,即无法实现指纹登录操作系统;可以实现跨地域安全登录Windows客户端,登录日志记录实时查询;同时兼容离线指纹登录,不受网络状况影响。

图一:指纹AD域管理系统示意图
图二:Windows客户端双因子认证(2FA)界面
图三:Linux客户端双因子认证(2FA)界面

指纹AD域管理身份认证解决方案由以下部分组成:
(一)、Windows AD域控服务器;
(二)、指纹AD域管理系统;
(三)、指纹统一身份认证系统;
(四)、指纹安全系统客户端软件;
(五)、指纹采集终端;

操作系统支持:
(一)、Windows AD域控服务器----Windows2003/2008 R2/2012/2016/2019/2022  32位/64位;
(二)、Windows AD域客户端登录软件----WindowsXP/Vista/7/8/10/11 32位/64位;
(三)、Linux客户端登录软件----Linux Ubuntu/CentOS/统信UOS、中标麒麟、银河麒麟等国产操作系统;

三、指纹采集终端选型

产品图片及型号

产品描述

WMR06指纹仪

  • 活体检测技术,成像质量卓越,比对性能优越
  • 采集面积:10.64mm*14.4mm
  • 图像大小:256*288pixel
  • 按压式采集
  • 适合企业用户使用

WMFM02指纹鼠标

  • 采集面积:10mm*13.5mm
  • 图像大小:192*256pixel
  • 支持360°旋转按压采集
  • 适合桌面用户使用 

WMU05指纹采集仪

  • 采集面积:10mm*13.5mm
  • 图像大小:192*256pixel
  • 支持360°旋转按压采集
  • 小巧,便于携带
  • 适合个人用户使用

四、方案价值

  • 严格身份权限控制,基于指纹认证机制,实现访问权限及授权的精确控制,保护数据安全使用
  • 简化登录认证环节,省去键盘输入密码的麻烦,优化使用者验证体验
  • 降低IT维护成本,完全免去密码重置工作,解放IT维护生产力
  • 提升网络内控效益,基于指纹认证,确保身份、权限部署与实际安全策略全面一致,解决安全管理问题
  • 统一集中管理域系统中大批量用户身份的可信审计、系统登录、权限访问
  • Web化的域管理,AD域与指纹服务器可实现同步信息传输、信息协调管理
  • 支持服务器远程桌面指纹登录、支持桌面虚拟化指纹登录、支持VPN指纹登录、支持文件指纹授权加解密扩展应用 
  • 开放性的接入设计,支持不同终端设备验证
  • 跨平台设计,支持Windows、Linux、UOS、麒麟等多种国产操作系统

五、指纹AD域双因子认证(2FA)方案体验

如有意试用指纹AD域双因子认证(2FA)管理系统请致电0755-27920930或Email:services@winuim.com ,我们将安排技术工程师现场搭建试用环境供用户体验。

在线QQ交谈