宁盾多因子认证(MFA)与Outlook安全认证方案

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Office 365 对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

mfa totp机制MFA TOTP机制随着互联网的迅猛发展，信息安全问题也日益突出。

为了保护用户的账户和数据安全，各大网站和应用纷纷引入了多因素认证（Multi-Factor Authentication，简称MFA）技术。

而其中一种常见的MFA技术就是基于时间的一次性密码（Time-based One-Time Password，简称TOTP）机制。

MFA TOTP机制基于哈希算法和时间戳生成一次性密码，同时需要用户在输入密码之外提供第二个因素的认证，通常是手机上的动态口令。

通过这种方式，即使密码泄露，黑客也无法登录用户的账户，因为他们无法获取到动态口令。

MFA TOTP机制的实现过程如下：1. 用户在账户设置中开启MFA TOTP功能，并绑定自己的手机；2. 系统生成一个密钥，以二维码的形式展示给用户；3. 用户使用手机上的身份验证应用（如Google Authenticator、Microsoft Authenticator等）扫描二维码，将密钥与账户进行绑定；4. 身份验证应用每隔30秒会生成一个新的动态口令（即一次性密码），这个密码是基于密钥和时间戳计算得出的；5. 用户在登录时，输入账号、密码以及当前手机上显示的动态口令；6. 系统收到用户的登录请求后，从后台获取用户绑定的密钥和当前的时间戳；7. 系统使用相同的哈希算法和密钥计算出一个新的动态口令，并与用户输入的动态口令进行比对；8. 如果两个动态口令一致，则认证成功，用户登录进入系统；如果不一致，则认证失败，用户无法登录。

MFA TOTP机制的优势在于其高度的安全性和便捷性。

首先，动态口令每30秒就会更换一次，即使黑客截获了一个动态口令，也无法在有效时间内再次使用。

其次，由于动态口令只存在于用户绑定的手机上，黑客无法通过网络攻击获取到动态口令。

此外，用户只需要在手机上打开身份验证应用，无需联网即可生成动态口令，方便快捷。

然而，MFA TOTP机制也存在一些潜在的问题。

OWA动态密码认证处理方案一、面临挑战OWA是微软Outlook Web Access简称。

经过访问Outlook Web Access页面, 邮箱用户可直接使用Web浏览器收发邮件, 而不需要安装Outlook用户端软件。

在单一静态密码验证机制下, 登录密码是OWA安全唯一防线。

一旦被非正当用户窃听到OWA登录密码, 就意味着这个人能使用该密码查看到全部邮件、地址簿等关键信息, 可能带来巨大安全威胁。

在OWA登录步骤实现双原因认证, 可双重保障邮箱账号安全, 预防密码共享、密码泄露, 一旦发生安全事件, 也可追责到个人, 有效控制信息安全威胁, 所以不失为一个良策。

二、处理方案1.宁盾OWA双原因认证处理方案概述静态密码只能对OWA用户身份真实性进行低级认证。

宁盾双原因认证在OWA 原有静态密码认证基础上增加第二重保护, 经过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式, 实现双原因认证, 提升账号安全, 加强用户登录认证审计。

宁盾双原因认证服务器负责动态密码生成及验证, 可同时无缝支持AD/LDAP/ACS等帐号源, 接管OWA帐号静态密码认证工作。

经过在OWA配置第三方RADIUS认证, 指向宁盾双原因认证服务器（内置RADIUS SERVER）。

打开OWA 进行用户名+静态密码认证, 认证经过以后获取动态密码（令牌产生/短信接收方法）, 从而进行动态密码验证, 经过以后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码形式。

在用户完成OWA帐号密码认证以后, 宁盾双原因认证服务器会生成一个一次性密码并经过短信网关发送到绑定用户手机上,用户输入该短信密码并提交验证经过后才能完成登录认证。

密码是一次性使用, 她人即使盗用了, 也无法再次使用, 从而能确保账号和信息安全。

手机令牌基于时间动态密码, 由手机APP生成。

基于时间同时技术, 宁盾令牌APP每60秒生成一个独一无二动态验证码, 宁盾认证服务器能够验证这个改变密码是否有效。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与深信服EMM对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、泛微OA对接方案1、泛微OA商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

泛微OA作为企业常用办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

员工在可在NDSSO User Center 门户内进行查看。

中国国际广播电视台采用宁盾双因素认证方案，确保移动办公身份安全一、客户简介中国国际电视台是央视旗下的国际传媒机构，总部设在北京，另外在美国华盛顿特区、非洲肯尼亚及亚洲新加坡等地皆设有海外广播中心，由来自世界70多个国家和地区的国际专业团队组成，提供面向全球范围的新闻资讯，传播中国声音。

二、项目分析1、客户需求①解决北京总部及3个海外站点的山石网科VPN接入弱密码问题，杜绝弱密码引起的内网信息系统泄漏潜在隐患；②对员工远程访问进行双重身份鉴别，确保访问安全，以满足国家信息安全等级保护制度第三级要求。

2、项目目标实现中国、美国、肯尼亚及新加坡等四个站点的VPN双因素认证登录，采用时间型硬件令牌，每隔60秒产生一个6位随机密码，员工静态+动态密码登录保护，符合三级等保要求。

三、解决方案1、方案概述通过在亚马逊云上部署4套宁盾双因素认证平台，分别对应中国国际电视台的4个站点，基于标准RADIUS，实现在山石网科VPN账号密码认证基础上增加宁盾硬件令牌认证，员工静态密码+动态密码登录保护，增强远程办公数据安全。

2、网络拓扑项目中主要产品有宁盾双因素认证平台、亚马逊云平台、山石网科虚拟VPN、宁盾硬件令牌。

四、中国国际电视台VPN双因素认证流程山石网科VPN登陆页面，员工需在“密码”框中前几位输入静态密码，后几位输入宁盾硬件令牌上的动态密码，点击登录。

系统对员工提交的信息进行认证，认证通过，员工接入VPN网络；认证失败，提示密码错误并断开连接。

五、项目成效①员工采用静态+动态密码的认证方式连接VPN，加固现在账号认证体系安全，消除弱密码风险。

②采用双重验证技术来鉴别身份，确保身份安全，符合国家信息系统安全等级保护要求。

③减少VPN登录密码遗忘或定期强制更改给员工与IT管理人员带来的麻烦，提升工作效率。

④基于角色的访问控制策略，增强远程办公访问安全，提升管理效率。

⑤硬件令牌内置时钟自校准机制，消除令牌本身时钟失序带来的时钟校准工作，双因素认证平台采用线性回归技术，突破以往由于令牌内的晶振误差导致的令牌失序，提升用户体验。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

OWA动态密码认证解决方案一、面临挑战OWA是微软Outlook Web Access的简称。

通过访问Outlook Web Access页面，邮箱用户可直接使用Web浏览器收发邮件，而不需要安装Outlook客户端软件。

在单一的静态密码验证机制下，登录密码是OWA安全的唯一防线。

一旦被非合法用户窃听到OWA的登录密码，就意味着这个人能使用该密码查看到所有的邮件、地址簿等重要信息，可能带来巨大的安全威胁。

在OWA登录环节实现双因素认证，可双重保障邮箱账号安全，防止密码共享、密码泄露，一旦发生安全事件，也可追责到个人，有效控制信息安全威胁，因此不失为一种良策。

二、解决方案1.宁盾OWA双因素认证解决方案概述静态密码只能对OWA用户身份的真实性进行低级认证。

宁盾双因素认证在OWA原有静态密码认证基础上增加第二重保护，通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双因素认证，提升账号安全，加强用户登录认证审计。

宁盾双因素认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管OWA帐号的静态密码认证工作。

通过在OWA配置第三方RADIUS认证，指向宁盾双因素认证服务器（内置RADIUS SERVER）。

打开OWA 进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。

在用户完成OWA帐号密码认证之后，宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上，用户输入该短信密码并提交验证通过后才能完成登录认证。

密码是一次性使用的，他人即使盗用了，也无法再次使用，从而能保证账号和信息的安全。

手机令牌基于时间的动态密码，由手机APP生成。

基于时间同步技术，宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码，宁盾认证服务器能够验证这个变化的密码是否有效。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、对接方案1、Confluence、JIRA等研发应用系统商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

Confluence、JIRA等研发应用系统作为企业研发常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Linux终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。