方案应用背景
随着企业日益发展的需求,企业IT管理面临越来越大的压力与挑战。得益于微软Windows 网络系统架构在企业应用中的普及,企业IT管理者为寻求企业内部安全的统一化管理,他们往往会优先考虑借助Windows AD域来管理企业内部的用户、计算机、打印机、文件等IT资源。然而,尽管Windows域架构管理模式可以解决众多网络安全性问题,用户账号的集中管理,组策略的灵活部署、计算机桌面的方便管控、计算机补丁自动更新等等,但是整个AD域控管理架构依然是基于帐号+密码的身份认证模式,对于庞大的域控管理环境中,用户的Windows域身份安全认证和访问控制问题被视为薄弱的环节。为提升为整个Windows IT管理架构安全性和加强用户身份识别管理,管理者首要考虑通过生物识别方式来实现对用户身份验证的管控。
由此,纹宁考虑到企业用户身份识别管理的复杂性专门为企业定制一套基于Windows AD域的指纹身份认证管理解决方案。该解决方案旨在帮助企业解决在Windows AD域控管理下的用户身份识别与访问控制的问题,我们自主研发的指纹AD域管理系统将生物特征数据、计算机终端设备、AD域帐号有机结合起来并进行统一管理,提高企业内部IT管理架构的安全级别,实现 IT架构的高效、集中管理。
应用需求
企业内部AD域控管理双因子身份认证基本需求:
-
基于Active Directory身份和访问控制的安全需要,包括:
a. 用户身份信息的完整性、可用性、保密性和可靠性;
b. 用户身份的真实性、不可否认性;
c. 授权访问控制; -
Windows安全管理需要,包括:
a. 计算机、服务器安全访问控制管理;
b. 日常运营维护管理(账号、密码); -
提供其他业务系统如财务系统、人力资源管理系统等应用软件的统一身份安全认证1集成接口
-
满足AD域密码和生物特征(如指纹、人脸、虹膜、指静脉等)多因子安全认证需求
-
满足域用户界面的文件、应用程序等PC应用软件和数据的安全保护
方案阐述
一、方案特点
| 特点 | 描述 |
|---|---|
| 安全性 | 平台化、网络化的指纹身份认证技术,有别于传统客户端认证模式、安全可靠,并且可能根据安全需要实现多因子身份安全认证 |
| 三员分离 | 系统针对涉密系统的安全管理“三员分离”原则,进行系统功能设计,使系统更贴合现实管理需要,使安全策略更加健壮 |
| 分布式网络部署架构 | AD域服务器、指纹认证服务器、应用服务器可分别部署于不同服务器中,减少因系统过度紧密结合引发服务器系统不稳定的可能,采用安全备份策略,确保指纹存储安全,采用WebService技术,零障碍穿透防火墙 |
| 易用性 | 采用C#、JAVA技术的B/S架构AD域用户身份管理方式,可随时随地对域用户进行集中的管理 |
| 多设备支持 | 可同时支持国际主流的近10款指纹芯片,动态优化算法,可一次注册,按需要认证,统一标准的软硬件应用界面,满足B/S C/S架构应用系统的二次集成 |
| 数据安全 | 用于管理指纹数据库的Key进行特别加密,只有系统管理员知道,即使数据库被攻破,没有Key解密,指纹特征模板仍然无效 |
| 存储安全 | 系统不保存指纹特征值模板,而是保存经过指纹特征值处理加密后的密钥范本 ,由用户通过指纹识别激活加密密钥,不再由任何第三方掌握加密系统的核心权限,基于指纹读取的随机性,确保生成的密钥也随机且一次有效,显著提高密钥安全级别,实现安全的指纹识别身份认证 |
| 身份认证多样性 | 使用者可根据不同密级设置单指/多指/多人认证,确保各密级信息的安全性 |
| 动态密码策略 | 密码更换周期,一次一密,军工级密码复杂要求 |
| 严肃性 | 利用人类指纹的唯一性,彻底杜绝用户身份的主动或被动转借、身份盗用、冒用 |
| 灵活性 | 支持任意计算机指纹登陆,跨地域办公 |
| 易用性 | 系统界面友好、简洁、功能齐全、操作容易 |
| 离线认证 | 网络不稳定或断网环境下依然可以在本地完成身份识别 |
二、方案设计
指纹验证安全性极高,识别速度快、识别正确率高;未登记和非法指纹均无法通过验证,即无法实现AD指纹验证;可以实现跨地域指纹验证,指纹验证记录实时查询;计算机登录不依赖网络状况。
指纹AD域管理系统具备以下功能:
(一)、用户的指纹采集、指纹统一管理;
(二)、用户采用指纹、指纹+密码、指纹或密码的身份认证方式登录AD域环境下的操作系统;
(三)、断网状态下也可以实现指纹登录;
(四)、指纹设备管理;
(五)、日志审计管理:登录日志、系统操作日志、指纹管理日志、AD管理日志:
(六)、三员分离-角色管理:管理员、审计员、操作员、普通用户;
普通员工只需在第一次录入指纹并建立其指纹信息和相关资料库,以后通过指纹认证的方式即可登录AD域管理下的计算机操作系统,员工登录系统的方式由管理员分配,可采用指纹+密码,指纹或密码,仅指纹的方式登录。
三、方案组成
- 纹宁WMPlatform统一身份认证平台
- 纹宁指纹安全系统2Windows AD域服务端软件
- 纹宁指纹安全系统Windows AD域客户端软件
- 生物识别终端(如指纹采集仪、虹膜仪、人脸摄像头、指静脉采集仪等)
生物识别终端设备选型
方案建议对于固定办公计算机用户每人配备一台按压式指纹仪,便于用户进行指纹身份认证登录。
| 产品图片及型号 | 产品描述 |
|---|---|
WMR06指纹采集仪 |
|
WMR08指纹采集仪 |
四、环境要求
-
服务器操作系统
- Microsoft Windows Server 2016 R2
- Microsoft Windows Server 2012 R2(推荐)
- Microsoft Windows Server 2008 R2
-
用户权限:超级管理员(administrator)
-
CPU:建议Intel Xeon(R) E5-2670 V3 @2.30GHz或以上
-
内存:建议8GB或以上
-
硬盘:建议500GB或以上
-
客户端操作系统
- Microsoft Windows 10 32bit/64bit
- Microsoft Windows 8/8.1 32bit/64bit
- Microsoft Windows 7 32bit/64bit(推荐)
- Microsoft Windows XP 32bit/64bit
- Microsoft Windows Server 2003/2008/2012/2016