联系我们

双因素验证 (2FA) 解决方案

通过强身份认证保护身份资料和数据

双因素验证 (2FA)

双因素身份验证方法基于各种技术,其中最突出的便是一次性密码 (OTP) 和公钥基础设施 (PKI)。其中的不同之处是什么,您应为您的组织使用哪种技术?

一次性密码

一次性密码 (OTP) 是一种“对称”身份验证,在这种技术中,一次性密码在两处同时生成:身份认证服务器和用户拥有的硬件令牌或软件令牌。如果由令牌生成的 OTP 与由身份认证服务器生成的 OTP 相匹配,则认证成功,并且您将被授予访问权限。

PKI 身份认证

PKI 认证是一种“非对称”认证,因其依赖于一对不同的加密密钥,即私有加密密钥和公共加密密钥。基于证书的硬件 PKI 令牌(如智能卡和 USB 令牌)旨在安全存储您的秘密私人密钥。例如,在向企业网络服务器进行身份验证时,服务器会发出数字“质询”。该质询将使用您的私人密钥进行签名。如果签名的质询和您的公共加密密钥(您的网络服务器已知)之间存在数学关联或“匹配”,则认证成功,并且您将被授予网络访问权限。(这是过度简化的一种方法。欲了解更多信息,请观看 Simon Singh 的视频:保密的科学。)

什么是最好的强身份认证方法?

当涉及身份认证时,不同组织需要不同的方法。在选择最适合您的组织的方法时,需注意以下几点:

虽然 OTP 身份认证(例如 OTP 应用程序)可能为大多数企业使用案例提供了充分的保护,但对于需要更高级别保证的垂直行业(例如电子政务和电子健康)来说,可能会被依法要求使用 PKI 安全性策略。

行业标准和要求

在 PKI 认证中使用的是私人加密密钥,当存储在硬件令牌中时,该密钥不可转让。鉴于其不对称性,PKI 被应用于世界许多地区的高级别安全保证用例中。但是,OTP 的安全性也日益受到许多部门的认可,例如美国的医疗保健行业,并且在使用符合 FIPS 的 OTP 应用程序时,也可满足 DEA 的 EPCS 要求。

根据与您所在行业相关的法规,您部署的硬件或软件令牌可能需要符合北美地区的 FIPS 140-2 规定或世界其他地区的通用标准。

物理/逻辑访问

在需要物理和逻辑组合访问的情况下,支持基于 RFID 的物理访问控制的硬件令牌可能是最优选择。欲了解更多信息,请访问我们的物理和逻辑访问控制解决方案页面。

多因素验证

在评估登录尝试的额外上下文属性(例如各种设备和基于行为的变量)时,无论使用何种双因素身份验证技术都可以提高安全性。欲了解更多信息,请访问我们的基于上下文的身份认证页面。

减轻多种威胁载体

不同的身份认证技术可以有效对付不同的威胁。欲了解有关身份认证方法和威胁的调查,请下载认证技术调查白皮书

部署和管理成本

OTP 身份认证一向成本更低,部署也更容易、更快捷,因为它不需要设置 PKI 基础设施,即从证书颁发机构为每个用户购买 PKI 数字证书。OTP 身份认证使用的是可以安装在用户移动设备和桌面上的 OTP 应用程序,与此不同的是,PKI 身份验证需要每位用户获得硬件令牌以保证其私人加密密钥的安全。因此,OTP 身份认证的部署成本通常更低,耗时更少,且减轻了 IT 员工的工作负担。

当使用软件令牌时,无论是基于 PKI 还是基于 OTP 的令牌都可以通过无线方式进行替换,从而消除了邮寄替代硬件令牌的成本。

保留当前令牌投资

若组织已经部署了双因素身份验证解决方案,无论是基于 PKI 还是基于 OTP 的解决方案,组织都可能会寻求保留当前投资的方法。
在已经部署了 PKI 令牌的情况下,组织可以扩展或改进其部署以适应移动性。为此,移动技术的进步,如蓝牙智能 PKI 读卡器,可使组织能够保留当前的令牌投资,并充分利用其当前的 PKI 基础设施。
在已经部署了 OTP 令牌的情况下,企业可以寻求支持第三方令牌和第三方 RADIUS 服务器的解决方案,以保留当前的投资;或寻求相关解决方案,以将其当前基于标准的令牌导入新解决方案(如基于 OATH 的令牌

对于提供更大员工流动性或将强身份认证扩展到合作伙伴和顾问的组织,它们可能会寻求日益透明的认证方法。软件、基于移动的令牌和无令牌的解决方案提供了更便利的认证过程,有助于实施安全移动计划。


金雅拓为我们提供了一个低成本、安全可靠的认证基础设施以支持各种云服务。这为我们的 PKI 服务带来了更强大的灵活性,使用户可以在任何计算机或设备上、在办公室或家中对云应用程序进行身份验证。
Masashi Tadokoro
销售主管
Nippon Registry Authentication


访问管理 FAQ - 图片

什么是云访问管理?

其如何工作?


双因素验证产品


  • SafeNet OTP 身份认证设备: 金雅拓可提供最广泛的硬件、软件和移动式 OTP 身份验证设备,使企业能够在保护任何企业解决方案(无论是本地、基于云、远程还是虚拟)时满足不同的保证级别。
  • 金雅拓 SafeNet OOB 身份认证设备: 通过推送通知、短信或电子邮件提供带外身份验证,金雅拓的身份认证设备利用除受访问之外的通信渠道提供一次性密码,提升了安全性和用户便利性。
  • MobilePKI 办公套件:金雅拓的 MobilePKI Office 解决方案套件可帮助企业扩展 PKI 安全性、智能手机和平板电脑,从而使得在移动设备上使用高级 PKI (包括数字签名、加密和强身份认证)成为可能。
  • 物理和逻辑访问控制:通过将物理访问控制与逻辑访问相结合,企业可以实现对办公室、工业地点和制造地点的安全物理访问,同时还可保护对敏感网络和应用程序的访问。
  • PKI 认证设备:金雅拓 SafeNet 的基于证书的 PKI 令牌套件能够确保安全访问各种资源以及其他高级安全应用程序,包括数字签名、电子邮件加密和双因素身份验证。


Gartner 用户身份认证市场指南 CTA

Gartner 用户身份认证市场指南

获取最新的用户认证趋势和观点。

下载免费副本

2FA 常见问题

双因素验证 (2FA) 可确保用户的身份正确。用于确定个体身份的因素越多,真实性就越可靠。

例如,您不希望银行仅通过简单的密码即可访问您的支票帐户,而希望通过询问员工来提供一个额外的身份认证因素,从而确保您的资源得到保护。这能确保员工的身份信息正确无误,保证其登录凭证不会被轻易攻击或盗用。您不希望仅通过一个因素(通常就是一个脆弱的密码)就能访问您的重要资产(VPN、Citrix、Outlook Web Access 或云应用程序)。

双因素验证能大幅降低各种安全攻击(包括盗用身份、钓鱼、网络欺诈等)的几率,从而加强对重要资源的保护。

用于个人身份认证的验证方法有很多种。SafeNet 提供了最广泛的身份认证方法和形式,使客户能够满足各种用例、安全级别和威胁载体的要求。

  • 基于硬件的身份认证 - 为用户安装一个额外的硬件;如果没有该硬件,就无法进行身份认证。
  • 带外身份认证 – 用户已拥有硬件,可通过该硬件以短信或电子邮件的方式安全接收信息。
  • 基于软件的身份认证 - 此类身份认证方法会在用户的计算机、智能手机或移动设备上部署一个软件应用程序。
  • 一次性口令 (OTP) - 使用令牌、移动设备或基于网格的身份认证为关键应用程序和数据的用户生成动态的一次性口令 (OTP)。
  • 基于证书的身份认证设备 (CBA) USB 令牌 - 提供安全远程访问和其他高级应用程序,包括数字签名、密码管理、网络登录和综合物理/逻辑访问。
  • 基于证书的身份认证设备 (CBA) 智能卡令牌 - 传统信用卡形式的多因素验证,使组织能够满足 PKI 安全性和访问控制需求。
  • 混合身份认证设备 - 在一件强身份认证设备中组合一次性口令、加密闪存或基于证书的技术的认证设备。
 

基于上下文的身份认证使用上下文信息来验证用户身份信息的真实与否。推荐作为其他强身份认证技术的补充。

SafeNet 下一代身份认证解决方案为 IT 管理员执行访问控制提供了多层方法。员工只要符合管理员提前设置的策略规则,即可方便且安全地访问企业和 SaaS 应用程序。如果用户不符合既定的访问规则,则他们可能需要提供更多的身份认证信息才能被允许访问。这可以是一条短信,也可以是手机令牌或硬件令牌生成的一次性密码,具体取决于组织的策略。单击此处查看我们的“基于上下文的身份认证”信息图。

因为到云的切换模糊了传统网络安全的边界,所以组织难以提供、实施和管理一致的访问策略来分发企业资源。随着 SaaS 的应用越来越广泛,公司应用程序不再使用单一入口点。

SafeNet 身份认证解决方案让组织通过身份联合将安全访问无缝地延伸到云,从而解决了这个难题。SafeNet 身份认证平台利用组织当前的身份认证基础设施,使其能够将用户的内部身份资料延伸到云,并能够为云和网络应用程序实施统一的访问控制策略。详细了解基于云的 SaaS 应用程序和服务的强身份认证  

SafeNet 提供单点管理来定义和实施对所有虚拟、云端和内部资源的访问控制,使双因素验证 (2FA) 的范围扩大到所有风险水平的所有用户,包括移动员工。

其采用的不同的身份认证方法和形式可以满足不同风险水平用户的要求。因此,只能访问企业门户网站的员工所使用的身份认证方法/形式与公司的 IT 管理员是不同的。

为确保从移动设备安全访问网络资源、电子邮件、VDI 等,SafeNet 提供了多种方法:

  • 用户验证 - 主动识别通过 VPN、无线网络、接入点、VDI 访问公司资源的用户。
  • 为 iOS 设备颁发证书 - 只有在为用户的设备分配证书后才能访问公司资源。
  • 使用基于上下文的身份认证来识别设备 - 识别通过手机浏览器登录基于 Web 的应用程序的注册用户。

SafeNet 身份认证解决方案通过要求用户注册其设备来保证自带设备的安全访问。通过这种方法,组织可以决定只有预先注册的设备可以访问网络,或要求未注册设备的用户提供其他身份认证方法,例如一次性口令。

为建立和保持对目前深受移动性影响的员工环境的安全访问,针对 SaaS 应用程序、云解决方案和内部环境实施统一的访问策略尤为重要。

在降低成本和证明价值的压力下,IT 管理人员一直在寻求降低 TCO 的方法。简化管理措施包括集成 LDAP/Active Directory 的用户管理、权限分配、单一登录、强身份认证、授权、报告、审计和政策警告。

SafeNet 的集中管理身份认证解决方案基于支持以下功能的单一管理平台:

  • 保证员工在公司和个人移动设备的移动性
  • 保证远程 (VPN) 安全访问企业网络
  • 安全访问云应用程序
  • 安全访问虚拟桌面基础设施 (VDI)
  • 安全的网络登录
  • 安全访问 Web 门户
  • 高级安全应用程序,例如预启动身份认证和数字签名
 

分散式 IT 生态系统会妨碍安全和合规性。事实上,在这样的分散式环境中,保证员工安全访问企业资源是一项相当具有挑战性的任务。SafeNet 身份认证解决方案提供了单点管理方式,该方式能对整个 IT 生态系统进行始终如一的访问控制。随着用例部署的不断完善,我们为云、VPN、VDI、Web 门户以及 LAN 提供了 100 多种无缝即用型集成解决方案。

SafeNet 通过提供以下功能确保 IT 管理员的顺畅管理:

  • 完全自动化的工作流程
  • 解决方案例外管理
  • 所有访问事件单一审计跟踪
  • 使用自助门户
  • 可从任何设备进行安全访问
  • 软件令牌无线分配

在不加重最终用户负担的情况下,为保持可接受的安全访问水平,并满足对多种设备的支持需求,使得组织更趋向于采用对用户体验影响最小的解决方案。SafeNet 通过各种 2FA 令牌、无令牌身份认证方法和云端联合 SSO 方式为用户顺利执行身份认证。


双因素验证资源

SafeNet MobilePASS+ 产品简介图标

SafeNet MobilePASS+ 产品简介

了解更多利用推送通知进行的简单而安全的带外身份认证,让用户在其移动设备上一键即可完成身份认证,同时提供即设即忘式管理和高级安全功能。

获取产品简介

SafeNet MobilePKI 办公解决方案简介图标

SafeNet MobilePKI 办公解决方案简介

利用蓝牙智能技术,Gemalto 的 MobilePKI Office 将 PKI 功能扩展到了智能手机和平板,在这些设备上实现了 PKI 用例,包括数字签名、电子邮件加密和强双因素验证。

获取解决方案简介

强身份认证技术调查白皮书图标

强身份认证技术调查白皮书

验证证明很少万无一失。本文详细介绍了不同类型的认证方法及其基本安全机制,并讨论了各种方法如何有效地减轻不同类型的攻击。

获取白皮书

企业移动安全挑战白皮书图标

企业移动安全挑战白皮书

企业环境中的移动应用需求众多,IT 专业人员该如何解决访问和安全问题?金雅拓想要找出答案,并于 2015 年 7 月调查了全球 900 位 IT 决策者。本报告概述了调查结果,并阐述了这一结果对工作场所移动性未来的意义。

获取白皮书

移动员工的 A4 身份认证电子书图标

移动员工的 A4 身份认证电子书

有多个挑战阻碍许多组织寻求更高的灵活性。企业仍可按照该电子书所述的重要指导方针进行操作,为其员工提供方便、安全、可扩展、合规和高性价比的移动性解决方案。

获取电子书

使用 MobilePASS+ 在您的手机上使用推送式身份认证视频 - 缩略图

使用 MobilePASS+ 从您的手机推送身份验证 - 视频

了解借助推送身份验证和 MobilePASS+ 后,在您的手机上使用推送式身份认证有多么简单。

观看视频


索取信息

 

感谢您关注我们的产品。如果您希望获得更多信息,或者希望Gemalto代表与您联系,请您填写并提交此表格。

 

您的信息

* 电邮地址:  
* 名:  
* 姓:  
* 公司:  
* 手机:  
* 国家:  
* State (US Only):  
* Province (Canada/Australia Only):  
城市:  
备注:  
 


点击提交,即表示您同意接收Gemalto及其关联公司的电子邮件及同意隐私政策中的描述。