宁盾多因子认证(MFA)与office365安全认证方案

特色：
l 无需携带任何认证终端 l 管理员集中配置，部署便捷 l 常用于Citrix及SSL VPN l 可以根据安全需求，灵活短信密码有效期 l 宁盾短信密码是国内与各种应用系统集成最多的方案 上海宁盾信息科技有限公司
—— NDKEY 令牌类型

2、用户将动态密码（短信接收或令牌产生），填入二级认证页面，并提交至 DKEY AM进行鉴权；
上海宁盾信息科技有限公司
—— 虚拟应用&虚拟桌面登录
VMWare客户越来越亲睐宁盾方案，而放弃RSA Securid
DKEY双因子认证是一套提供动态密码生成、认证和审计功能的系统，将动态密码与原有 账号密码认证结合，实现双因子认证保障，有效保护企业应用系统安全，同时能够帮助企 业实现对访客的审计。
上海宁盾信息科技有限公司
—— 功能简介
DKEY TMS 组成
动态密码器
用于动态密码生成或接收，由用户持有； 短信密码、硬件令牌、手机令牌三种形式供选择。
上海宁盾信息科技有限公司
—— DKEY TMS 简介
上海宁盾信息科技有限公司
—— DKEY TMS 简介
宁盾拳头产品，是目前使用体验最好的企业级动态密码认证
双因子动态密码认证
上海宁盾信息科技有限公司
—— 功能简介
双因子认证 = 静态密码 + 动态口令
上海宁盾信息科技有限公司
—— 动态口令简介
DKEY动态口令如何产生？
时间型令牌 DKEY SERVER
Token Seed

短信认证
动态令牌
硬件特征码
第三方接口认证
免密认证服务
EMM解决方案安全建设技术 - 业务系统防护
业界连续11年领先的SSL VPN接入网关
接入网关
原来：明文传输
现在：国产密码/国际商用密码 加密传输
业务服务器
安全隧道
EMM解决方案安全建设技术 - 传输安全
全自动，无需开发人员参与。
高体验，启动APP自动拉起客户端并建立VPN隧道。
SaaS OA
典型超级APP：企业微信、钉钉
EMM解决方案- 超级APP场景
防监听、窃取、篡改
保护业务服务器
现在：国产密码/国际商用密码 加密传输
原来：明文传输
国内唯一与企业微信、钉钉进行方案合作的EMM厂商
EMM解决方案 - 专机专用 & 等保合规 场景
单桌面模式
双桌面模式
厂商深度集成方案
融合通用方案（含Android DeviceOwner和多种辅助技术）
基于消费级手机研发，采购成本更低。
累计防护: 999999次
风险设备: 1台
1 2 3 ... 100
EMM解决方案安全建设技术 - 应用安全报表
为应用上线后的审计追溯和安全风险提供数据支撑。
更全面的审计追溯能力
EMM解决方案汇总
EasyWork+（接入安全 + 终端数据安全 + 终端安全）
业务系统防护
EMM解决方案安全建设技术 - 终端环境检测与准入
自动识别终匹配端型号，同时适用于BYOD和CYOD。
防主动泄密
防被动泄密
EMM解决方案安全建设技术 - 应用层双域隔离
完整的数据防泄密体系，更全面的保撑企业数据资产安全。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Office 365 对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

云主机双因素认证解决方案一、面临挑战由于云计算技术的兴起，越来越多企业已经搭建自己的公有云服务器，将数据托管于云服务商的数据中心。

企业上云是时代发展的大势所趋。

而公有云的公有性，导致云主机的安全问题也受到前所未有的考验。

企业对公有云数据的掌控力度减弱，一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。

公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的，并没有针对某个企业或某些数据的特别举措。

因此企业有必要加强自有云主机登录保护，为保障云数据安全设置第一道防线，通过双因素认证，防止密码共享、密码泄露现象，避免非法越权操作。

二、解决方案1.云主机双因素认证解决方案概述静态密码只能对云主机用户身份的真实性进行低级认证。

宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾一体化认证平台负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管云主机帐号的静态密码认证工作。

通过在云主机配置第三方RADIUS认证，指向宁盾一体化认证平台（内置RADIUS SERVER）。

用户接入云主机进行静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，验证通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成云主机静态密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾一体化认证平台能够验证这个变化的密码是否有效。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与深信服EMM对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

在一次网络安全攻防演习中，由弱口令导致的攻击事件简直惨不忍睹。

弱密码、空密码、单一密码、内置密码、明文密码等逐一被挖掘出来。

其中涉及的不乏有企业重要业务系统、重要基础设施的账号登录保护。

对此，总结了一些小的建议和大家分享一下：1、重要领域增设双因子验证为重要基础设施及核心应用系统增加双因子认证，尤其是核心网络设备、安全设备、邮件系统等其他重要业务系统的登录验证。

双因子动态验证是通过在账号密码的基础上增加动态口令验证环节提升账号密码身份验证强度，从而达到强化身份验证的效果。

动态口令是由动态令牌根据特定算法（国内建议国密算法）每隔固定时间生成一次。

每个口令不可复用，一旦使用立即失效，因为确保了每一次的验证都是唯一的。

面向多场景的安全认证，动态令牌选择的关键在于双因子认证服务器应用场景的兼容性。

双因子产品的兼容性越强，企业可以使用的双因子认证领域越多，比如VPN、虚拟化、网络设备、安全设备、服务器、堡垒机等核心基础设施及邮件系统、多应用系统单点登录（office365、salesforce、SAP等多业务系统的统一登录入口）。

2、定期修改密码，并增强账号密码设置难度已对接双因子认证的领域，双因子动态口令的时效性有效的解决了弱密码破译、账号密码泄漏的安全隐患。

没有对接双因子认证的场景，还需从密码上进行管理，比如定期修改密码、增强密码设置难度等。

对比由管理员负责集中式管理方式，可以采用去中心化的方式对账号密码的定期更改方案。

比如，管理员在认证服务器设置了密码的有效期为30天，在密码过期的前两天开始提醒用户前往指定位置进行修改，同时设置密码强度，提升密码被破译的难度。

要求密码设置要求密码需满足大写字母、小写字母、数字和特殊符号至少三种字符同时使用。

如下图：用户自服务平台：用户通过自己的账号登录自服务平台自助完成密码的修改，从而实现密码管理的去中心化运维。

3、特权账号弱密码治理关于特权账号的管理已成为当前的热门话题，即是因为其权限的控制域较大，又是因为关于特权账号的处理没有统一的监督标准及安全规范。

普及一下，Google 身份验证器和令牌同属于动态口令生成器，用于加固账号密码安全。

用户在使用账号密码认证的时候，除了输入账号密码外，还需要输入动态口令（又称动态密码/动态Token）。

如在阿里云中账号安全管理中设置开始MFA认证，在使用账号密码身份鉴别的时候就需要输入动态密码。

像Google 身份验证器又或者令牌都属于双因素认证的一部分，即动态口令生成器（又称为动态令牌）。

实际上双因素认证由认证系统和动态令牌两部分组成。

认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能；动态令牌在激活后为应用系统提供校验口令。

阿里云服务器就是充当了认证服务器的角色，当用户在“账号安全设置”中开启了“MFA 动态口令校验”（有得地方称Google Authenticator 或Google 身份验证器，意思是说该网站已兼容了Google 开源的动态口令验证方法），用户使用事先下载好的手机令牌（任何兼容Google 动态口令验证方法的令牌，比如令牌）扫码激活后就可以在下次登录时使用。

因此，面向个人账号登录保护，只要应用本身已兼容Google 动态口令验证算法（Google Authenticator），您可以下载任何兼容Google Authenticator的动态令牌，如令牌。

面向企业场景，如VPN、虚拟化、网络设备、Office365等，作为管理员，令牌的选择与服务器所能提供的功能相比，认证服务器的功能就更为重要了。

Google令牌目前仅提供令牌，认证服务器需要客户独立开发。

令牌提供认证服务器及多令牌全场景一体化认证方案。

总结：面向商业个人账号安全，令牌与Google 身份验证器并没有区别，面向企业场景，提供双因素一体化认证解决方案，企业无需再将研发精力花费在成熟商品上，而是让研发将精力花费在重要业务上，提供本地部署和云部署方案。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Linux终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

Office 365动态密码认证方案一、面临挑战Office 365是微软基于云平台的应用套件，提供完整的云办公服务，将Office桌面端应用的优势融于一体，满足不同类型企业的在线办公需求。

安全挑战：弱口令一直是企业数据泄露的一个大症结。

仅采用一种方式（用户名+密码）进行Office 365的登录鉴别，若静态密码被暴力破解或泄露，会导致合法用户身份被冒用。

冒用者能够随意复制、删除、破坏Office 365账号中包含的敏感信息，可能给企业造成不可估量的经济损失。

管理挑战：为防止Office 365账号信息泄露，控制安全风险，企业通常强制要求员工定期更换登录密码，这给员工及IT运维人员带来许多不必要的麻烦，大大增加了账号的管理成本。

为应对以上挑战，企业需要在Office 365登录环节实现双因素认证，双重保障账号安全，防止密码共享、密码泄露，一旦发生安全事件，也可追责到个人，有效控制信息安全威胁及账号管理成本。

二、解决方案1.宁盾Office 365双因素认证方案概述静态密码只能对Office 365用户身份的真实性进行低级认证。

宁盾双因素认证在Office 365原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管Office 365帐号的静态密码认证工作。

通过在Office 365配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

打开Office 365进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成Office 365帐号密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Coremail对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

宁盾多因子认证(MFA)与office365安全认证方案一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

1. 面临挑战●安全挑战：随着移动化办公场景的增多，企业员工登录移动化办公工具已经是日常操作，但仅使用传统的静态密码验证，存在这账号，密码泄露或被盗取的风险，企业内部网络的安全以及信息防火都面临这挑战。

●运维挑战：如仅使用普通弱密码，对于IT人员定期修改密码的工作量巨大，并且回收，修改账号等信息也存在一定的工作代价。

●身份管理挑战：随着企业员工的更替，以及岗位的变更。

需要去实现统一的身份管理。

●合规挑战：部分行业（如：银行，金融，政企等）为达到红头文件或者等保的要求，需要在登录网络设备时进行双重密码认证。

2. 华为云桌面与宁盾双因素认证解决方案宁盾双因素认证在华为云桌面原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌、企业微信/钉钉H5令牌等多种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管VPN帐号的静态密码认证工作。

通过在华为云桌面服务器配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

员工登录时先使用用户名、静态密码+动态密码认证的方式，实现双因素认证登录保护。

华为云桌面动态密码登录界面3.方案价值①账号双重保护：宁盾双因素认证在云桌面原有账号密码认证基础之上增加一层动态密码认证，以此提升VPN用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患；②多种认证方式：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，客户根据需求自由选择，也可以多种组合；③与现有系统无缝集成：内置Radius认证模块，可与AD、LDAP 等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SAAS等的对接，并为其提供双因素认证服务；④简化管理：减少企业因静态密码定期强制更改，给员工及IT 运维人员带来的麻烦，同时节约账号管理成本；⑤实名追溯：详尽的登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求；⑥体验优化：通过简化移动安全接入，优化用户体验，在为用户登录云桌面提供安全认证的同时，提升了使用的便捷性，助力企业移动化转型。

中国国际广播电视台采取宁盾双原因认证方案, 确保移动办公身份安全一、用户介绍中国国际电视台是中央电视台旗下国际传媒机构, 总部设在北京, 另外在美国华盛顿特区、非洲肯尼亚及亚洲新加坡等地皆设有海外广播中心, 由来自世界70多个国家和地域国际专业团体组成, 提供面向全球范围新闻资讯, 传输中国声音。

二、项目分析1、用户需求①处理北京总部及3个海外站点山石网科VPN接入弱密码问题, 杜绝弱密码引发内网信息系统泄漏潜在隐患;②对职员远程访问进行双重身份判别, 确保访问安全, 以满足国家信息安全等级保护制度第三级要求。

2、项目目标实现中国、美国、肯尼亚及新加坡等四个站点VPN双原因认证登录, 采取时间型硬件令牌, 每隔60秒产生一个6位密码, 职员静态+动态密码登录保护, 符合三级等保要求。

三、处理方案1、方案概述经过在亚马逊云上布署4套宁盾双原因认证平台, 分别对应中国国际电视台4个站点, 基于标准RADIUS, 实现在山石网科VPN账号密码认证基础上增加宁盾硬件令牌认证, 职员静态密码+动态密码登录保护, 增强远程办公数据安全。

2、网络拓扑项目中关键产品有宁盾双原因认证平台、亚马逊云平台、山石网科虚拟VPN、宁盾硬件令牌。

四、中国国际电视台VPN双原因认证步骤山石网科VPN登陆页面, 职员需在“密码”框中前几位输入静态密码, 后几位输入宁盾硬件令牌上动态密码, 点击登录。

系统对职员提交信息进行认证, 认证经过, 职员接入VPN网络; 认证失败, 提醒密码错误并断开连接。

五、项目成效①职员采取静态+动态密码认证方法连接VPN, 加固现在账号认证体系安全, 消除弱密码风险。

②采取双重验证技术来判别身份, 确保身份安全, 符合国家信息系统安全等级保护要求。

③降低VPN登录密码遗忘或定时强制更改给职员与IT管理人员带来麻烦, 提升工作效率。

④基于角色访问控制策略, 增强远程办公访问安全, 提升管理效率。

⑤硬件令牌内置时钟自校准机制, 消除令牌本身时钟失序带来时钟校准工作, 双原因认证平台采取线性回归技术, 突破以往因为令牌内晶振误差造成令牌失序, 提升用户体验。

解决方案
有限的人手、有限的预算、无限的应用需求，这是诸多学校都面临的巨大挑战。
宁波诺丁汉大学信息技术服务处在这个挑战面前，虽然无法投入巨资对现有数据中 心进行大规模升级，但是通过借鉴国外校区的成功经验，顺利地将本地部署的电子邮件 系统平滑地迁移到 Office 365 云端。
邮箱容量从 50M 到 50G，增加 1000 倍
国际化是宁波诺丁汉大学的一项核心发展战略。这一战略的实现由一 支强大的国际师资队伍加以保证。目前，学校已拥有众多来自世界上不同 国家的专任外籍教师，以及一支不断壮大的国际学生队伍。
在诺丁汉大学的英国和马来西亚校区，已经率先采用了 Office 365 为师 生提供服务。为了保持国际化的交流水平，为师生提供一流的 IT 服务，宁 波诺丁汉大学通过进一步改进和优化本地 IT 环境，顺利地将教学生电子邮 箱迁移至 Office 365 云端，良好地实现了学校、学生、教职员工和信息技术 服务处等多方协作共赢。
在教学过程中，学校一直注重培养学生的团队协作能力，老师经常布置作业给一个 学生团队来完成。利用 Office 365 资源共享平台，同学们可以上传文件共享给其他人， 甚至和老师一起编辑，增强了协同学习能力。以前不能发送大附件，现在可以用 OneDrive for Business 发送共享链接。
英国校区最早使用了 Office 365 中提供的 Yammer 社交平台，并在系统中创建很多 讨论小组，是师生的交流共享平台。现在在中国校区也进行了推广，全校师生积极参与， 畅所欲言。学校战略规划团队在制定 5 年战略规划时，也通过 Yammer 收集学生的需求
——徐贝，系统与运维主管 宁波诺丁汉大学
支持多平台访问
学生和老师使用各种移动设备（iPhone、iPad、Android、Windows Phone、Surface 等）都可以同步邮箱、日历和联系人，并可下载各种系统下的移动版本的 Office 软件， 访问 Office 365 中的文档和数据。

一、项目背景面向数据中心运维：数据中心动辄上千台设备，海量设备由不同运维人员负责不同领域的数百台设备，这就造成了设备分区、运维操作难以统一审计的现象。

因此企业需要一份网络设备异构兼容且运维人员统一认证、授权及审计的解决方案。

另为解决数据中心基础设施“弱密码”、“僵尸账号”等情况，解决定期账号修改的重复性劳动，需使用双因子认证解决方案。

面向移动化网络的员工、访客、合作伙伴/供应商及分支下属公司办公/来访的网络使用需求，需要一套分场景认证解决方案替换当前的WPA2认证。

综上几点，为其提供“双因素认证”、“网络设备AAA”及“无线身份认证”一体化解决方案。

二、解决方案双因素认证面向数据中心基础设施、网络层、应用层提供全场景一体化认证解决方案，在账号密码的基础上增加动态密码，实现账号密码动态加固。

令牌提供手机令牌、硬件令牌、短信令牌、企业微信/钉钉H5令牌及“扫一扫”认证、推送认证等认证方式，同时兼容RSA、Google等第三方验证器。

网络设备AAA管理集认证、授权、审计于一体的网络设备综合运维管理平台。

面向企业运维人员提供双因素身份验证、细力度授权用户可操作权限及业务场景，并实时审计操作行为。

具有良好的可扩展性，可兼容cisco、华为、H3C等不同品牌网络设备，实现对所有异构交换机、路由器等不同类型网络设备进行统一集中运维。

大型数据中心，网络设备AAA是堡垒机的强有力的补充。

无线网络身份认证兼容华为、H3C、Cisco、锐捷、Aruba、信锐等无线网络设备，为不同用户角色提供多种认证方式（用户名密码+动态密码、短信认证、协助扫码、邮件审批等）以满足不同不同角色认证的需求。

前期准备：双因素认证方案、无线认证方案及网络设备AAA共用一套认证平台（DKEY AM）1、统一AD账号源；2、统一派发手机令牌，确保身份的唯一性；3、分场景对接。

三、应用化方案1、Citrix 双因素认证将Citrix 虚拟化与一体化认证平台（DKEY AM）对接，用户在账号密码的基础上增加动态密码，实现Citrix 虚拟化的账号密码动态加固。

一、项目背景XX律师事务所即北京市XX律师事务所，是中国司法部最早批准设立的合伙制律师事务所之一。

北京市XX律师事务所成立于1993年，XX总部设于北京，在上海、深圳、成都、广州、重庆、西安、杭州、天津、苏州、香港、日本东京和美国硅谷、纽约均设有分所。

秉承创始合伙人不断创新及追求卓越的现代法律理念，XX已成为中国律师业中规模最大并居于领先地位的综合性律师事务所，拥有1000余名律师、代理人及专业人员，全球就职员工超过5000余名，为全球不同需求的客户提供着优质的法律服务。

为了增强企业网络的安全性及可控性，XX律师事务所深圳分所期望针对旗下企业的员工、访客接入有线、无线网络执行严格的准入控制策略，实现对网络安全更精细粒度的控制。

二、方案目标根据对现有IT系统的调研和分析，参考对应网络架构，并结合相关业务需求，为完善安全保护技术措施加强无线网络安全管理的要求，本次项目其主要需要实现目标如下：1、认证系统可提供统一的有线、无线认证管理，并实现分级、分权、分域管控；2、针对不同用户群体实现不同认证方式，做到基于角色的访问控制以及闭环的身份管理；3、结合当前网络架构，实现分区域、分时间段、分用户角色、分流量的精细化准入控制；4、认证平台兼容、扩展性，同时对接多品牌设备、多账号源系统实现统一有线、无线的身份准入。

5、MAC地址无感知认证，提升用户接入的客户感知度；6、Portal个性化定制，提升宣传形象；7、认证系统双机部署，实现高可用性。

8、提供完善的报表功能（用户上下线时间、MAC地址、IP地址、用户使用流量大小等；三、方案拓扑四、方案解读统一身份认证系统采用软件加硬件的部署形式，软件可以采用虚拟化部署，软件与硬件旁挂在核心交换机或汇聚交换机旁，无需对现网做任何改动，软件DKEY AM部署可采用Windows与Linux系统环境，可以为内部员工与访客提供全场景认证方式，例如，LDAP账号认证、短信认证、微信认证、协助扫码、邮件审批等多种认证流程，满足不同类型用户群体的不同身份认证需求。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、Office365对接方案1、Office365商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

Office 365作为企业常用的办公工具，为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以避免工期拖延。

同时DKEY AM 完成了与Azure AD的对接，方便打通Azure AD与本地AD系统的对应关系，帮助企业实现统一身份管理。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。