ActivCard系統(tǒng)實(shí)施方案和產(chǎn)品簡介

1、ActivCard實(shí)施參考方案二零零四年十一月目 錄i系統(tǒng)實(shí)施方案系統(tǒng)規(guī)劃系統(tǒng)實(shí)施而安裝配置服務(wù)器模塊1.2.2安裝服務(wù)器管理控制模塊2. 2. 1管理模塊安裝配置RADIUS Client客戶端 令牌卡初始化和給用戶分配令牌卡 驗(yàn)收系統(tǒng)并交付使用系統(tǒng)擴(kuò)展應(yīng)用令牌初始化和給用戶分配令牌 建 產(chǎn)品介紹2 . 1 ActivCard 公司介紹2 ActivCard 產(chǎn)品介紹 2. 1 ActivCard 產(chǎn)品概述 2. 2 ActivCard 產(chǎn)品系列2. 3 ActivCard 的應(yīng)用范圍 3 ActivCard的優(yōu)勢(shì)： 3. 1 ActivCard 的關(guān)鍵優(yōu)勢(shì)3. 2 ActivCard 與

2、RSAk匕較的優(yōu)勢(shì)ActivCard系統(tǒng)的安全特性 . 1 ActivCard 系統(tǒng)本身安全特性 3. 1. 1 ActivCard 動(dòng)態(tài)密碼的安全性：3. 1. 2有效防范蠻力攻擊3. 1. 3 ActivPack系統(tǒng)的安全3. 1. 4 ActivPack 服務(wù)器的性能指標(biāo)3 . 2 ActivCard身份認(rèn)證系統(tǒng)的安全性 3. 2. 1 ActivPack AAA 認(rèn)證機(jī)制流程 1系統(tǒng)實(shí)施方案系統(tǒng)規(guī)劃在真正實(shí)施動(dòng)態(tài)口令的身份驗(yàn)證之前， 我們需要對(duì)該系統(tǒng)進(jìn)行完善的規(guī)劃， 考慮所有可 能出現(xiàn)的問題，并綜合各種可能的應(yīng)用，提出一個(gè)完善的實(shí)施計(jì)劃首先我們對(duì)系統(tǒng)目前的應(yīng)用作具體的分析， 了解網(wǎng)上銀

3、行的主要業(yè)務(wù)以及運(yùn)作模式和流程， 明白 ActivCard 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)所能提供的功能以及對(duì)網(wǎng)上銀行整個(gè)系統(tǒng)產(chǎn)生的影響。 ActivCard 可以在不改變用戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，和用戶自有的系統(tǒng)無縫的整合在一起。整個(gè)系統(tǒng)的投資相當(dāng)?shù)男?，并且付出的人力物力也十分有限。其次要制定詳?xì)的系統(tǒng)實(shí)施計(jì)劃，把系統(tǒng)實(shí)施過程中的每一個(gè)步驟都進(jìn)行詳細(xì)的規(guī)劃，準(zhǔn)備工作做好，避免出現(xiàn)意外情況影響自身的正常業(yè)務(wù)。再次我們要針對(duì)每一項(xiàng)系統(tǒng)實(shí)施工作，做好記錄。做到所有有關(guān) ActivCard 動(dòng)態(tài)口令身份驗(yàn)證系統(tǒng)實(shí)施的項(xiàng)目都詳細(xì)的記錄下來，為將來的系統(tǒng)維護(hù)和后期系統(tǒng)擴(kuò)容提供極有價(jià)值的依據(jù)。系統(tǒng)實(shí)施根據(jù) Acti

4、vCard 動(dòng)態(tài)口令身份驗(yàn)證系統(tǒng)的特點(diǎn)，整個(gè)系統(tǒng)實(shí)施工作可以分為如下幾個(gè)部分，本系統(tǒng)運(yùn)行在在 SUN Solaris 平臺(tái)下，數(shù)據(jù)庫基于 Oracle9i 。安裝配置服務(wù)器模塊我們選擇在現(xiàn)有的一臺(tái)SUN Solaris服務(wù)器上安裝ActivPack AAA Server服務(wù)器軟件，Oracle9i 也是 安裝在同一臺(tái)機(jī)器上，這樣我們就不需要再安 裝 Oracle9i 數(shù)據(jù)庫 的 client 軟件 。安裝ActivCard AAA Server 在這臺(tái)機(jī)器上：? Install ActivPack for Solaris? Launch the Configurator (configures

5、 server access and parameters)? Launch the ActivPack AAA Server安裝步驟：Login as root, and at the prompt type:Press “ Enter ” to continduiestTrihbeution displays the following information:The following packages are available:1 ActivPack (ActivPack Server for Solaris)Select package(s) you wish to process

6、 (or all to process allpackages) (default:all) ?,?,q:At the prompt, type all and press “ Enter ” to continue. The following lines display. Processing package instance from /xxx/xxx/xxx/Activ-The distribution displays version and copyright information and the following prompt:Enter the installation p

7、ath ActivCard/ActivPack ?,q. By default, the distribution installs the ActivCard AAA Server in the ActivCard/ActivPack directory.Take the appropriate action.? Press “ Enter ” to leave the default path set to ActivCard/ActivPack.? Type an alternate path, and press to c“onEtinntueer.”The distribution

8、processes the package information, verifies disk space requirements, checks forconflicts with previously installed ActivCard AAA Server packages, and checks for setuid/setidprograms. It then warns you that the package contains scripts which will be executed with superuserpermissions during the insta

9、llation, and then it displays the following prompt:Do you want to continue with the installation of y,n,? Press“ N” and “ Enter ” to abort the installation.? Press“ Y” and “ Enter ” to continue.The ActivCard AAA Server confirms a successful installation and reminds you that you must now“ create the

10、database ” (create tables) using SQL scripts before you configure the server.To create database tables, at the prompt, type:cd /opt/ActivCard/ActivPackPress “ Enter ” to continue. At the prompt, type the following: $ORACLE_HOME/bin/sqlplus /The SQL*Plus utility starts. At the prompt, type the follow

11、ing:Press Enter to continue. The ActivCard AAA Server tells you when the table space has been successfullycreated and displays the SQL prompt. At the prompt, type quit to exit the SQL*Plus utility.配置服務(wù)器：在安裝完成后，需要對(duì)整個(gè)系統(tǒng)進(jìn)行詳細(xì)的配置，根據(jù)功能要求，選擇適合自己的ActivPack AAA Server 服務(wù)器配置。下面詳細(xì)描述系統(tǒng)配置的過程。首先我們要確定ActivPack AAA

12、 Server 系統(tǒng)服務(wù)已經(jīng)啟動(dòng)，設(shè)定好管理員用戶名和密碼后(需要管理員自己設(shè)定用戶名和密碼，為了保障系統(tǒng)的安全性，建議管理員密碼不要太簡單；并且每次登錄進(jìn)來的時(shí)候，系統(tǒng)并不會(huì)顯示上一次登錄所使用的用戶名和密碼)，就可以進(jìn)入系統(tǒng)管理界面，如下圖所示。1，以 root 用戶登錄，運(yùn)行以下命令：$ /opt/ActivCard/ActivPack/ActivPackServerCfg2，回車后，系統(tǒng)提示你輸入關(guān)于數(shù)據(jù)庫的一些信息：Database listener oracle 數(shù)據(jù)庫名Database login登錄名，默認(rèn)是 ActivPackServer,你可以在以后使用中改變Databas

13、e password密碼，默認(rèn)是 ActivPackServer,你可以在以后使用中改變3，產(chǎn)生了登錄的用戶名和密碼后，下一此登錄輸入你的用戶名密碼就可以進(jìn)行以下的操作了。4，配置以下的選項(xiàng)：? ActivPack database access: change the login ID and password for the configuration program.? Oracle database access: change the login ID and password for the ActivCard AAA Server database access.? Log an

14、d trace files configuration: configure the settings for active or inactive trace, and specify the log size and path.* ErrLog is located (by default) in /var/log/ActicPack/ActivPackServerErr.txt.* Trace is located (by default) in /var/log/ActicPack/ActivPackServerTra.txt? RADIUS and TACACS dictionari

15、es path: set the paths for your dictionaries. The default is set to /opt/ActivCard/ActivPack/Dico.? Decipher database: toggles on/off the cipher/decipher database function. Every critical databasefield is Triple DES encrypted. This option permits you to decipher (or re-cipher) the database. We recom

16、mend you maintain the database in cipher mode (toggle on).5，保存你的配置文件：press“ 0” to Quit and answer Yes to confirm that you want tosave your settings and exit the Solaris settings menu.6，配置程序會(huì)提示你重新啟動(dòng)AAA server 。所有的配置結(jié)果在如下的一個(gè)文件中：1.2.2 安裝服務(wù)器管理控制模塊1 2 2 1 管理模塊安裝在安裝完服務(wù)器模塊后，必須在一臺(tái) win 2000 的機(jī)器上安裝管理模塊( Admin

17、istrationConsole )：登管理控制臺(tái)可以通過服務(wù)器所提供的端口與服務(wù)器通訊。并且這個(gè)端口也是可變的，為了控制安全性，我們可以更改該控制端口，并且在防火墻上作相應(yīng)的設(shè)置來屏蔽該端口，從而避免外部針對(duì)該端口的非法訪問。下面簡要說明每一項(xiàng)設(shè)置的方法和作用。首先我們要設(shè)定系統(tǒng)需要連接的 LDAP 服務(wù)器。如下圖所示，需要詳細(xì)設(shè)定 LDAP Server 服務(wù)器的每一項(xiàng)參數(shù)：包括LDAP Server 服務(wù)器主機(jī)地址、端口、登錄用戶名、密碼；所要管理的用戶組和查詢條件等；以及在 LDAP目錄里為 ActivPack AAA Server 令牌卡建立索引所使用的字段等。 在每一部分設(shè)定好之后

18、，可以立刻進(jìn)行測(cè)試以認(rèn)證設(shè)定的正確性和有效性，只需要單擊右邊的 Test 按鈕即可。圖表 1(圖 3-2 LDAP 服務(wù)器設(shè)定界面)LDAP 服務(wù)器參數(shù)設(shè)定完成之后， 就可以在查詢結(jié)果里看到相關(guān)的查詢出來的用戶資料了。我們?cè)谀夸浿胁榈搅诵畔?，這就表明，我們的 LDAP 服務(wù)器連接設(shè)置正確，系統(tǒng)可以在 LDAP 內(nèi)通過指定條件查詢用戶信息了。設(shè)定完與 LDAP 目錄服務(wù)器的連接之后，我們要配置ActivPack AAA Server 自身的參數(shù)，使其能夠滿足我們所需要的安全性要求。首先要做的是我們先要建立一個(gè)Servers ，然后依次建立 Gate、 LDAP Server 、 Profiles

19、 、 Group ，定義每一項(xiàng)具體的設(shè)置，在設(shè)置完成后我們就應(yīng)該在 Group 的查詢里查找到 LDAP 內(nèi)的每一個(gè)用戶信息。針對(duì)不同的系統(tǒng)應(yīng)用， 我們可以建立多個(gè)不同的 gate ， 來對(duì)應(yīng)每一個(gè)系統(tǒng)應(yīng)用。 每一個(gè)Gate 使用不同的配置文件Profiles ，來滿足不同的身份認(rèn)證的要求。本例中我們使用的是默認(rèn)的配置文件，它一般可以滿足 win2000 下的身份認(rèn)證工作。另外我們還可以建立基于IIS 的應(yīng)用，只需要簡單的設(shè)定一個(gè)配置文件，利用這個(gè)配置文件創(chuàng)建一個(gè)新的 Gate 就可 以了。另外， 如果系統(tǒng)用戶比較多，并且使用也比較分散， 我們還可以建立多個(gè)Server ，針對(duì)每一個(gè) Serv

20、er 來定義 Gate ，滿足不同應(yīng)用。這樣我們就可以使用一個(gè)統(tǒng)一的 LDAP 目錄，來進(jìn)行各種應(yīng)用上的動(dòng)態(tài)口令的身份認(rèn)證了。我們還可以針對(duì)每一個(gè)組織單元 OU 來定義身份認(rèn)證安全策略，例如我們定義信息技術(shù)部的員工可以訪問 Internet ，定義財(cái)務(wù)部門的人員使用財(cái)務(wù)數(shù)據(jù)庫，定義經(jīng)理等領(lǐng)導(dǎo)人員可以管理用戶數(shù)據(jù)庫等。這些應(yīng)用的動(dòng)態(tài)口令身份認(rèn)證都可以集中完成，只需要在系統(tǒng)身份認(rèn)證模塊中簡單的添加幾行身份認(rèn)證代碼，構(gòu)建一個(gè) RADIUS Client 客戶端，就可以滿足不同的需求了。下面是一個(gè)配置完成后的窗口界面。（圖 3-3 系統(tǒng)配置完成后的系統(tǒng)管理界面）從圖中我們還可以看到， 我們可以自己定義

21、系統(tǒng)的端口號(hào)， 然后在防火墻上開放相應(yīng)的端口，就可以滿足系統(tǒng)安全性的需求；還可以設(shè)定 RADIUS shared secret 密鑰，進(jìn)一步加強(qiáng)系統(tǒng)的安全性。以上是簡單的服務(wù)器設(shè)置，詳細(xì)的系統(tǒng)配置以及實(shí)現(xiàn)方法，請(qǐng)參見相關(guān)產(chǎn)品文檔。RADIUS Client 客戶端服務(wù)器端配置完成后，我們需要配置RADIUS Client 客戶端，由于 ActivPack AAAServer 本身是一個(gè)標(biāo)準(zhǔn)的 RADIUS Server ， 撥號(hào)接入服務(wù)器作為 RADIUS Server 的客戶端（前提是路由器支持標(biāo)準(zhǔn)的 RADIUS 協(xié)議，如果不支持需要開發(fā)相應(yīng)的客戶端軟件）。一套系統(tǒng)，在使用之前必須對(duì)它進(jìn)行

22、初始設(shè)定，把每一塊卡都分配給每一個(gè)人，這樣系統(tǒng)才可以正常工作。 產(chǎn)品在出廠的時(shí)候， 都隨著帶有一張令牌卡初始化時(shí)產(chǎn)生的密鑰 （ key ）軟盤。我們首先把密鑰（key）導(dǎo)入ActivPack AAA Server系統(tǒng)數(shù)據(jù)庫里，需要留意的是為了加強(qiáng)令牌卡密鑰的安全性， ActivCard 在導(dǎo)入令牌卡密鑰的時(shí)候，需要提供一個(gè)解密的密碼，共有 16 位，詳細(xì)操作見下圖。（圖 3-4 導(dǎo)入令牌卡 （Token One） 的初始化密鑰 key ）令牌卡密鑰導(dǎo)入以后，需要把它分配（ Assign ）給每一個(gè)用戶，針對(duì)招商局集團(tuán) 100余用戶的系統(tǒng)，我們可以提供兩種令牌卡的分配方式：令牌卡的批量分配：我們

23、可以開發(fā)一個(gè)簡單的程序，自動(dòng)向 LDAP 目錄中的字段中寫入令牌卡 （Token One） 的序列號(hào)，完成令牌卡（Token One） 的用戶分配工作；在 ActivPack AAA Server 的 Console 進(jìn)行令牌卡的分配；根據(jù)招商局集團(tuán)具體的需要，我們可以靈活的選擇合適的令牌卡分配方式。整個(gè)系統(tǒng)實(shí)施完成后，我們會(huì)偕同相關(guān)人員一道，對(duì)系統(tǒng)的運(yùn)行狀況、性能指標(biāo)做一個(gè)綜合的客觀的檢驗(yàn)。具體檢驗(yàn)項(xiàng)目包括系統(tǒng)穩(wěn)定性、安全性因素、系統(tǒng)響應(yīng)時(shí)間、潛在的風(fēng)險(xiǎn)評(píng)估、系統(tǒng)兼容新工藝即可擴(kuò) 展性等。檢驗(yàn)完畢，萬維易化會(huì)提供一個(gè)完整的由雙方共同認(rèn)可的檢驗(yàn)報(bào)告，作為系統(tǒng)投入試運(yùn)行的依據(jù)。試運(yùn)行一段時(shí)間后，

24、如果系統(tǒng)運(yùn)行良好，則萬維易化會(huì)把整個(gè)系統(tǒng)完全移交給招商局集團(tuán)，包括系統(tǒng)所有軟件產(chǎn)品、說明書、實(shí)施文檔、開發(fā)文檔、程序源代碼、培訓(xùn)教材等；然后會(huì)對(duì)招商局集團(tuán)的相關(guān)人員進(jìn) 行一次完整的系統(tǒng)管理培訓(xùn)，真正讓用戶完全掌握整套系統(tǒng)，從中受益。ActivCard 系統(tǒng)擴(kuò)展應(yīng)用基于 LDAP 的用戶管理結(jié)構(gòu)可以為系統(tǒng)管理提供最大程度上的管理方便， LDAP 是一個(gè) 現(xiàn)行的工業(yè)標(biāo)準(zhǔn)，它提供標(biāo)準(zhǔn)的存儲(chǔ)結(jié)構(gòu)，使得用戶管理更加方便。將來，招商局集團(tuán)的所有用戶數(shù)據(jù)可以全部使用 LDAP 來管理，包括內(nèi)部OA 系統(tǒng)、柜面系統(tǒng)、電話銀行系統(tǒng)、網(wǎng)上銀行系統(tǒng)等都可以使用統(tǒng)一的 LDAP 結(jié)構(gòu)來存儲(chǔ)管理。 這樣我們就可以使用

25、ActivCard 動(dòng)態(tài)口令身令牌初始化和給用戶分配令牌一套系統(tǒng)，在使用之前必須對(duì)它進(jìn)行初始化設(shè)定，把每一塊卡都分配給每一個(gè)人，這樣系統(tǒng)才可以正常工作。 產(chǎn)品在出廠的時(shí)候， 都隨著帶有一張初始化的 key 盤， 我們就是用這個(gè)key來對(duì)系統(tǒng)和令牌進(jìn)行初始化。首先把 key導(dǎo)入ActivPack AAA Server系統(tǒng)數(shù)據(jù)庫里， 然后再針對(duì)每一塊卡進(jìn)行一次系統(tǒng)時(shí)鐘同步，需要留意的是為了加強(qiáng)自身的安全性，ActivCard 在導(dǎo)入令牌信息的時(shí)候， 需要提供一個(gè)初始訪問密碼， 共有 16位， 詳細(xì)操作見下 圖。(圖1-7導(dǎo)入令牌卡(Token One)的初始化密鑰key)(圖 1-8 導(dǎo)入令牌信息

26、之后的系統(tǒng)管理界面)令牌信息導(dǎo)入以后，需要把它分配(Assign)給每一個(gè)用戶，針對(duì)深圳市商業(yè)銀行這樣 有2萬余用戶的系統(tǒng)，我們可以提供一個(gè)簡單的工具，自動(dòng)完成令牌卡(Token One)的用戶分配工作和向LDAP目錄中的字段中寫入令牌卡(Token One)信息的工作，也可以在柜面系 統(tǒng)中作一個(gè)簡單的二次開發(fā)，集成該工作到柜面系統(tǒng)，這樣就便于柜面營業(yè)員在發(fā)卡時(shí)， 直接完成卡和用戶的意義對(duì)應(yīng)工作。下圖是一個(gè)令牌卡(Token One)系統(tǒng)初始化的界面。(圖1-9令牌卡(Token One)初始化界面)2. 產(chǎn)品介紹2 1 ActivCard 公司介紹Activcard 公司 1980年成立，專

27、業(yè)從事數(shù)據(jù)加密及身份認(rèn)證系統(tǒng)產(chǎn)品生產(chǎn)及研發(fā)。美國及法國上市公司，全球多處實(shí)驗(yàn)室和研發(fā)機(jī)構(gòu)。 ActivCard Token 產(chǎn)品最早用于法國海軍的 安全網(wǎng)絡(luò)的訪問管理。隨后被推廣到銀行和其他企業(yè)網(wǎng)絡(luò)的管理應(yīng)用項(xiàng)目中。業(yè)界領(lǐng)導(dǎo)，世界上一百萬套以上系統(tǒng)正在使用，合作伙伴及客戶遍布全球，包括：? Microsoft? NEC? VOLVO? DOD? AIRBUS? SUN? HP? ALSTOM? GEDAS/VOLKSWAGEN? ST MICRO? TECHINT? BCA? 美國國防部? 香港匯豐銀行? 香港電訊? 花旗銀行? 愛立信? 國泰君安? 大鵬證券?.多項(xiàng)專利及領(lǐng)先技術(shù)，產(chǎn)品經(jīng)過多

28、項(xiàng)專業(yè)測(cè)試及實(shí)踐檢驗(yàn)，倍受好評(píng)。詳情請(qǐng)見2 2 ActivCard 產(chǎn)品介紹2 2 1 ActivCard 產(chǎn)品概述ActivCard 為企業(yè)的內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的身份驗(yàn)證系統(tǒng)， 將用戶擴(kuò)展出簡單的靜態(tài)口令的范圍，使用者的口令由手持令牌（Token）動(dòng)態(tài)生成，無法預(yù)測(cè)，無法重復(fù)使用，高度安 全，完全避免了傳統(tǒng)口令的弱點(diǎn)，替代傳統(tǒng)的靜態(tài)口令機(jī)制。ActivCard 的雙因素認(rèn)證系統(tǒng) （我擁有、 我知道） 要求用戶在登錄之前必須具有物理的令牌，同時(shí)必須知道自己的 PIN 碼（個(gè)人驗(yàn)證碼，用于激活令牌）。 而 ActivCard 獨(dú)特的動(dòng)態(tài)密碼生成有效的消除了風(fēng)險(xiǎn)，這個(gè)過程產(chǎn)生一個(gè)一次性口令，是無法被

29、猜中、分享、破解的，丟失的密碼或再次使用都會(huì)被禁止。 雙因素認(rèn)證系統(tǒng)可以唯一的確認(rèn)用戶，而且并不要求用戶記憶一個(gè)新的口令。ActivCard 同時(shí)也支持異步挑戰(zhàn)碼用戶認(rèn)證方式。安全性動(dòng)態(tài)的一次性口令，無法推測(cè)、無法破解、無法重復(fù)使用、無法共享唯一性唯一的序列碼、唯一的密鑰及唯一的用戶可靠性無效的用戶無法通過認(rèn)證ActivCard 認(rèn)證過程：用戶只需簡單的在令牌鍵區(qū)輸入PIN碼，令牌檢驗(yàn)PIN碼后，動(dòng)態(tài)生成并顯示動(dòng)態(tài)密碼。 用戶在Login用戶只需簡單的在令牌鍵區(qū)輸入 PIN碼，令牌檢驗(yàn)PIN碼后，動(dòng)態(tài)生成并顯示動(dòng) 態(tài)密碼。用戶在 Login 屏幕輸入密碼，認(rèn)證服務(wù)器認(rèn)證動(dòng)態(tài)密碼后，允許用戶登錄

30、。2 2 2 ActivCard 產(chǎn)品系列ActivCard 產(chǎn)品主要由用戶手持令牌和中心端認(rèn)證軟件組成。令牌 （Token） ： 輕便的帶有鍵盤的手持設(shè)備，用于動(dòng)態(tài)口令的生成。ActivCoupler ： 令牌與計(jì)算機(jī)的連接設(shè)備，主要用于令牌的初始化。ActivPack 服務(wù)器： 基于服務(wù)器的認(rèn)證軟件，在采用 ActivCard 服務(wù)器安全解決方案的應(yīng)用里起作一把“鎖”的作用。現(xiàn)在的版本提供RADIUS僉證通信方式。ActivPack Console 臺(tái)： 一種圖形用戶界面（GUI） 的管理模塊，用于令牌的初始化、管理 ActivEngine 的用戶和令牌數(shù)據(jù)庫。令牌（Token）令牌是用戶

31、端帶鍵盤的輕便手持設(shè)備，用于生成一次性動(dòng)態(tài)口令，提供全面、強(qiáng)大的 認(rèn)證功能。ActivCard提供用戶令牌：ActivCard One。需要指出的是，令牌在使用當(dāng)中, 并不需要與系統(tǒng)聯(lián)機(jī)。令牌提供的安全服務(wù)同步（專利擁有的時(shí)間加事件處理）用戶認(rèn)證異步（挑戰(zhàn)/應(yīng)答）用戶認(rèn)證密值提取一每個(gè)應(yīng)用區(qū)可存儲(chǔ) 64位秘密信息（如信用卡號(hào)），并以加密格式上載給服 務(wù)器或應(yīng)用令牌的PIN碼管理Token的使用受PIN碼保護(hù)PIN碼由用戶選擇，并可隨時(shí)更換弱PIN碼檢測(cè)（可選）PIN碼輸錯(cuò)的次數(shù)超過門限，Token會(huì)自鎖開鎖密碼輸錯(cuò)的次數(shù)超過門限，Token會(huì)自動(dòng)擦去內(nèi)存Token可以遠(yuǎn)程解鎖每個(gè)Token可以

32、被自動(dòng)再同步Token特性每個(gè)Token擁有唯一的序列號(hào)密鑰在初始化時(shí)隨機(jī)產(chǎn)生，而非出廠時(shí)固定具有光接口與coupler通信時(shí)鐘漂移小于0.5S/天時(shí)鐘和注冊(cè)信息存儲(chǔ)于CPUfrCPUS寸裝于環(huán)氧樹脂中，不溶于任何已知溶液可更換的鋰電池和備份電池電源節(jié)省模式電池缺電檢測(cè)12 個(gè)按鍵( 10個(gè)數(shù)字鍵和兩個(gè)功能鍵)單行10字符/2行12字符+4個(gè)通信圖標(biāo)LCD!示。(one/PluS)含電池， 25/40 克。( one/Plus )82mmX52mmX5 mm用卡大小壽命為 8 年遵從的標(biāo)準(zhǔn)ANSI X3.92 DES 算法ANSI X9.17和ANSI X9.24 DES密鑰導(dǎo)出和管理標(biāo)準(zhǔn)AN

33、SI X9.9 動(dòng)態(tài)口令計(jì)算和顯示標(biāo)準(zhǔn)ANSI X9.26 挑戰(zhàn) / 應(yīng)答，簽名認(rèn)證處理標(biāo)準(zhǔn)Token 的平均壽命30個(gè)同步認(rèn)證/天，25個(gè)異步認(rèn)證 / 天，15個(gè)光接口認(rèn)證/天在上述使用情況下， Token 可更換的電池可以使用 2 年。 Token 本身的壽命為 8 年。ActivPack V5 的功能及特征1 )全面 LDAP 解決方案ActivPack在版本V4.4之前，支持內(nèi)建的本地用戶數(shù)據(jù)庫和LDAP艮務(wù)器，從版本V5開 始，全部由LDAP艮務(wù)器提供用戶數(shù)據(jù)，以充分利用 LDAP雖大的用戶管理功能，實(shí)現(xiàn)高效的 集中式管理。ActivPack V5支持標(biāo)準(zhǔn)的LDAPI務(wù)，從企業(yè)級(jí)LD

34、AF5口 AD,到運(yùn)營商級(jí)LDAP如 iPlanet 。LDAP?簡介輕量級(jí)目錄訪問協(xié)議( Lightweight?Directory?Access?Protocol )。一個(gè)使用 ?Web? 瀏覽器和與？LDAP兼容的電子郵件程序訪問在線目錄服務(wù)的協(xié)議。一些人可能希望？LDAP?提供搜索 ?Internet? 上的電子郵件地址的通用方法，最終帶來一個(gè)全球性的白頁。 LDAP? 在 ?Internet?Engineering?Task?Force?(IETF)? 中定義，以推動(dòng)對(duì)?X.500? 目錄的采用。LDAP?1一種相對(duì)簡單的協(xié)議，它用于更新和搜索基于？TCP/IP?運(yùn)行的目錄。對(duì)于簡單

35、的？Internet?客戶機(jī)的使用來說，LDAP姒前的“目錄訪問協(xié)議？(DAP)”太復(fù)雜。LDAP?! 錄項(xiàng)是帶有名稱的屬性集合。稱為識(shí)別名稱 ？(DN)。DN?#楚的指明是項(xiàng)目。？各項(xiàng)目的屬性 包括一個(gè)類型和一個(gè)或更多值。這些類型通常是有助于記憶的字符串，如？cn?指常見名稱， 或？mail?指電子郵件地址。值取決于類型。LDAP用錄項(xiàng)以一種等級(jí)結(jié)構(gòu)排列，它反映了政 治的、地理的、和 / 或組織邊界。代表國家的項(xiàng)出現(xiàn)在該樹的最頂端，隨后是代表州或國家組織的項(xiàng)，然后是代表民族、組織單位、打印機(jī)和文檔等的項(xiàng)。 LDAP 目錄的優(yōu)勢(shì)現(xiàn)在LDAP勺流行是很多因數(shù)共同作用的結(jié)果?；镜脑蛉缦拢?可能

36、LDAP最大的優(yōu)勢(shì)是：可以在任何計(jì)算機(jī)平臺(tái)上，用很容易獲得的而且數(shù)目不斷增 加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由?LDAP勺支持。. LDAPB議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議，因此應(yīng)用程序就不用為LDAP目錄放在什么樣的服務(wù)器上操心了。實(shí)際上，LDAP馬到了業(yè)界的廣泛認(rèn)可，因?yàn)樗荌nternet的標(biāo)準(zhǔn)。產(chǎn)商都 很愿意在產(chǎn)品中加入對(duì)LDAP勺支持，因?yàn)樗麄兏静挥每紤]另一端（客戶端或服務(wù)端）是 怎么樣的。LDAP服務(wù)器可以是任何一個(gè)開發(fā)源代碼或商用的LDAP目錄服務(wù)器（或者還可能是具有LDA叫面的關(guān)系型數(shù)據(jù)庫），因?yàn)榭梢杂猛瑯拥膮f(xié)議、客戶端連接軟件包和查詢命 令

37、與LDAP服務(wù)器進(jìn)行交互。與LDAP同的是，如果軟件產(chǎn)商想在軟件產(chǎn)品中集成對(duì)DBMS的支持，那么通常都要對(duì)每一個(gè)數(shù)據(jù)庫服務(wù)器單獨(dú)定制。不象很多商用的關(guān)系型數(shù)據(jù)庫，你不必為 LDAP勺每一個(gè)客戶端連接或許可協(xié)議付費(fèi)。.大多數(shù)的LDAF務(wù)器安裝起來很簡單，也容易維護(hù)和優(yōu)化。LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)，例如：可以把數(shù)據(jù)“推” 到遠(yuǎn)程的辦公室，以增加數(shù)據(jù)的安全性。復(fù)制技術(shù)是內(nèi)置在LDAF務(wù)器中的而且很容易配置。如果要在DBM外使用相同的復(fù)制功能，數(shù)據(jù)庫產(chǎn)商就會(huì)要你支付額外的費(fèi)用，而且也 很難管理。. LDAPfc許你根據(jù)需要使用ACI （一般都稱為ACL或者訪問控制列表

38、）控制對(duì)數(shù)據(jù)讀和寫 的權(quán)限。例如，設(shè)備管理員可以有權(quán)改變員工的工作地點(diǎn)和辦公室號(hào)碼，但是不允許改變記錄中其它的域。 ACI 可以根據(jù)誰訪問數(shù)據(jù)、訪問什么數(shù)據(jù)、數(shù)據(jù)存在什么地方以及其它對(duì)數(shù)據(jù)進(jìn)行訪問控制。因?yàn)檫@些都是由 LDAP目錄服務(wù)器完成的，所以不用擔(dān)心在客戶端的應(yīng) 用程序上是否要進(jìn)行安全檢查。LDAP對(duì)于這樣存儲(chǔ)這樣的信息最為有用，也就是數(shù)據(jù)需要從不同的地點(diǎn)讀取，但是不需要 經(jīng)常更新。例如，這些信息存儲(chǔ)在 LDAP目錄中是十分有效的： ? 公司員工的電話號(hào)碼簿和組織結(jié)構(gòu)圖 ? 客戶的聯(lián)系信息 ? 計(jì)算機(jī)管理需要的信息，包括NIS 映射、email 假名，等等? 軟件包的配置信息? 公用證書

39、和安全密匙ActivCard 身份認(rèn)證系統(tǒng)與LDAP 的集成采用ActivCard的ActivPack建立一個(gè)統(tǒng)一的身份認(rèn)證系統(tǒng)，可以供網(wǎng)上銀行WEBS錄使用，作為一個(gè)強(qiáng)力的身份認(rèn)證系統(tǒng)，未來可供其它系統(tǒng)的認(rèn)證。ActivPack能夠和LDAP服務(wù)器同步用戶。要建立一個(gè)大型的身份認(rèn)證系統(tǒng)，除了要有 強(qiáng)大的認(rèn)證體系，還需要完善的用戶管理體系，采用LDAP服務(wù)器專門管理用戶，ActivPack 專門完成身份認(rèn)證工作。Web Help Desk 功能ActivPack V5 新增 Web Help Desk 功能，方便用戶管理及故障檢測(cè)。支持多種設(shè)備ActivPack V5 新增了對(duì)一些設(shè)備的支持，

40、提供多樣的選擇：Token One,KeyChain,Gold Smart Cards,ActivKey,Palm Pilot,Soft-Token支持 Sun Solaris 平臺(tái)Windows NT4 SP6aWindows 2000 ServerWindows 2000 Advanced serverSolaris 8高可用性ActivPack V5 通過內(nèi)建的 Replication 功能實(shí)現(xiàn)雙機(jī)容錯(cuò)的高可用性。2 2 3 ActivCard 的應(yīng)用范圍ActivCard 基于開放的系統(tǒng)平臺(tái)，允許運(yùn)行于最多的計(jì)算機(jī)及通信網(wǎng)絡(luò)上，包括：公用電話交換網(wǎng)基于信元的網(wǎng)絡(luò)LANS/WANSInt

41、ernet/Intranet廣泛的應(yīng)用于：Intranet 登錄Internet 登錄 Extranet 登錄電話銀行服務(wù) 電話委托證券交易 網(wǎng)上銀行網(wǎng)上證券交易2. 3 ActivCard 的優(yōu)勢(shì)：3. 1 ActivCard 的關(guān)鍵優(yōu)勢(shì)）增強(qiáng)的網(wǎng)絡(luò)安全：） ActivCard使得用戶在得到動(dòng)態(tài)密碼前必須具備兩個(gè)要素：令牌和 PIN碼。利用 動(dòng)態(tài)密碼大大減少了無認(rèn)證連接的風(fēng)險(xiǎn)。）高性價(jià)比的安全：） ActivCard One令牌結(jié)束了以往圍繞靜態(tài)密碼認(rèn)證展開的IT系統(tǒng)管理員需定期更改密碼的煩瑣工作。這不僅大大節(jié)省了系統(tǒng)管理員的時(shí)間，降低了企業(yè)的管理費(fèi)用，也極 大地強(qiáng)化了身份認(rèn)證系統(tǒng)的安全。）

42、 ActivCard One集成的動(dòng)態(tài)口令認(rèn)證功能把系統(tǒng)管理員從以往煩瑣的日常例行工 作中解脫出來，可以有足夠的時(shí)間和精力關(guān)注企業(yè)內(nèi)基于Web和其他方式的數(shù)據(jù)通訊和交易處理順暢進(jìn)行。）平滑過渡為大規(guī)模、全企業(yè)內(nèi)使用ActivCard One動(dòng)態(tài)口令認(rèn)證：7）結(jié)合ActiveCard服務(wù)器產(chǎn)品系列，系統(tǒng)管理員能有效管理 ActivCard One令牌的 分發(fā)、用戶授權(quán)、遠(yuǎn)程初始化以及令牌再同步等。） ActiveCard 動(dòng)態(tài)口令認(rèn)證技術(shù)能與諸如 Cisco,CheckPoint,Axent,Lucent,Novell 等主流網(wǎng)絡(luò)、防火墻廠商的產(chǎn)品無縫集成，在企業(yè)網(wǎng)內(nèi)已有的認(rèn)證系統(tǒng)基礎(chǔ)上進(jìn)一步強(qiáng)

43、化 認(rèn)證安全。ActivCard）日后可以靈活調(diào)整：令牌可以在基于PCT作立和Unix網(wǎng)絡(luò)終端混雜的計(jì)算機(jī)環(huán)境進(jìn)行動(dòng)態(tài)身份認(rèn)證。ActiveCard 服務(wù)器產(chǎn)品系列還支持 ActiveCard 智能卡，以逐步實(shí)現(xiàn)向基于 PKI 和 數(shù)字簽名的認(rèn)證系統(tǒng)過渡。 10 ）突出點(diǎn) 專利技術(shù) : 使用基于標(biāo)準(zhǔn)的 3 種算法產(chǎn)生一次性使用的口令 11 ）隨時(shí)隨地進(jìn)行連接: 相對(duì)其他手持令牌 ActivCard One 更為小巧輕便，在任一地方提供靈活先進(jìn)的遠(yuǎn)端接入 12 ）已證明的可伸縮性: 支持全面的鑒定解決方案企業(yè)級(jí)電子金融服務(wù)網(wǎng)上銀行方案的全球提供商，已經(jīng)有超過1000,000 套 ActiveCa

44、rd 令牌正在使用3. 2 ActivCard 與RSA比較的優(yōu)勢(shì)Activcard 獨(dú)特的七個(gè)賣點(diǎn)：ActivPack for LDAP 實(shí)現(xiàn)企業(yè)中所有LDAP的單點(diǎn)管理2）齊全的產(chǎn)品線，提供多種多樣的選擇: Token One, KeyChain, Gold Smart Cards,ActivKey, Palm Pilot, Soft-Token3）獨(dú)特的靈活性應(yīng)用于不同的認(rèn)證模式、目錄、數(shù)據(jù)庫、設(shè)備，支持全球性的解決方案：4）保護(hù)您的投資：Gold Cards支持隨時(shí)遷移/增加到PKI或SKI5）更高層次的安全觀點(diǎn)：軟件與硬件的結(jié)合6）更好的可管理性和界面7）更優(yōu)越的性價(jià)比Activca

45、rd 實(shí)現(xiàn)企業(yè)的單點(diǎn)管理1）大公司通常使用LDAP#儲(chǔ)公司的所有信息，包括用戶的信息.2）使用ActivPack for LDAP ，公司無需管理額外的用戶數(shù)據(jù)庫，即可使用 ActivCard的強(qiáng)力認(rèn)證解決方案 .3）用戶仍然在LDAP目錄中進(jìn)行存儲(chǔ)和管理4）查詢是動(dòng)態(tài)的：當(dāng)在LDAM增力口用戶，在ActivPack中立即生效（無需導(dǎo)入）5）無需修改LDAP勺架構(gòu)（Schema6）支持所有LDAP目錄（所有廠家的）單點(diǎn)管理的優(yōu)勢(shì)1）更低的管理花費(fèi)2）單點(diǎn)的維護(hù)3）只需一個(gè)數(shù)據(jù)庫的管理，代替以前兩個(gè)數(shù)據(jù)庫的管理4）一個(gè)數(shù)據(jù)庫提供更優(yōu)的安全性和一致性5）一個(gè)數(shù)據(jù)庫管理一個(gè)組6）只有單點(diǎn)的攻擊 容易

46、防御7）減少撤銷的延遲和出錯(cuò)的風(fēng)險(xiǎn)8）當(dāng)刪除雇員 立即全面生效LDAP的移除與ActivPack的移除無延遲時(shí)間！10）免除了忘記從第二個(gè)數(shù)據(jù)庫中移除用戶的風(fēng)險(xiǎn)齊全的產(chǎn)品線1）當(dāng)前的設(shè)備要求不同類型的認(rèn)證設(shè)備：如筆記本電腦不希望攜帶Smart Card 讀卡器,ActivPack 提供一個(gè)廣泛范圍的設(shè)備來滿足所有客戶的需要：ActivKey （USB Key） 用于筆記本電腦時(shí)無需讀卡器Token One or KeyChain 用于 no footprint 的解決方案Smart Cards 用于多用途的應(yīng)用和目的 （PKI, SKI, 物理訪問 , branding, 等等 .）Soft

47、Token 用于無花費(fèi)的或者試驗(yàn)性的解決方案Palm ID for Palm Pilot齊全的產(chǎn)品線的優(yōu)勢(shì)1）滿足所有用戶的需求2）滿足各種應(yīng)用的需要3）提供可能擴(kuò)充到PKI 或 SKI 的路徑 （ 參見第 4 點(diǎn)）4）更好的投資回收率（ROI） , 設(shè)備銷售給客戶，不租用 !獨(dú)特的靈活性應(yīng)用于全球性的解決方案中1）各公司面臨各種技術(shù)和解決方案之間的配合問題的挑戰(zhàn)。ActivCard 提供一個(gè)獨(dú)特的整體解決方案，用一種更簡單和更易管理的方案來滿足公司不同的安全需要。ActivCard 易與其它客戶體系結(jié)構(gòu)集成 :3）認(rèn)證辦法: PKI, SKI, 靜態(tài)和生物測(cè)定學(xué)Single-Sign On5

48、）支持多種數(shù)據(jù)庫6）與PKI 廠家的特殊集成（Entrust, Baltimore）與VPN 廠家的特殊集成（Checkpoint）獨(dú)特靈活性的優(yōu)勢(shì)Activcard 全面支持 PKIRSAR支持 RSA Keon PKIActivcard 可選擇多種部署的數(shù)據(jù)庫，便于客戶的管理RSAR提供和支持Progress數(shù)據(jù)庫。DBAS需再學(xué)習(xí)額外的數(shù)據(jù)庫！ActivPack 可于任何 Tacacs+/Cisco 或 Radius 設(shè)備的接口RSAR支持Radius,不能全面支持Tacacs +協(xié)議的所有功能Activcard 有更多動(dòng)態(tài)認(rèn)證方式的選擇，可采用挑戰(zhàn) / 應(yīng)答方式RSA不能采用挑戰(zhàn)/應(yīng)答

49、認(rèn)證方式Activcard 有更廣泛的設(shè)備選擇范圍，包括USB keysActivPack for Checkpoint VPN 客戶端和 FW 的簡化終端用戶 ,使用強(qiáng)力認(rèn)證的過程：只需輸入 PIN ，余下工作由ActivPack 客戶端完成!獨(dú)特的遷移 / 擴(kuò)展性1）為滿足將來的需求，公司當(dāng)前的結(jié)構(gòu)需要更好的擴(kuò)展性。在進(jìn)行技術(shù)/ 產(chǎn)品遷移和擴(kuò)展時(shí)， ActivCard 具有獨(dú)特的靈活性，來保障客戶的投資。Activcard 提供所有方式的擴(kuò)展（ SKI-PKI , Static-SKI, Static-SKI-PKI ）3）可從RSA（或者其它的解決方案）平穩(wěn)遷移到ActivCard 。4

50、）產(chǎn)品和物理產(chǎn)品訪問（如HID和Mifair ）互操作的可能性5）設(shè)備的專業(yè)化（ 如 : Alstom ）獨(dú)特的遷移 / 擴(kuò)展的優(yōu)勢(shì)1）遷移的可能性!RSA 不提供遷移到其它市場(chǎng)產(chǎn)品的路徑（SKI, PKI 廠家如 Entrust, Baltimore,Verisign）Activcard 容易實(shí)現(xiàn)遷移 !由于擴(kuò)展的路由能力，我們的產(chǎn)品提供一個(gè)遷移路徑，防止遷移問題和延遲。3）更少的遷移花費(fèi)!4）客戶更強(qiáng)的擁有感： Activcard 能定制設(shè)備高層次的安全觀點(diǎn)1）網(wǎng)絡(luò)鏈路的安全取決于鏈接中最薄弱的一環(huán)。使用ActivCard 產(chǎn)品，控制鏈路中的每一環(huán)節(jié)，提供給客戶牢固的基礎(chǔ)。2）每個(gè)客戶能建

51、立自己的秘密，打破了客戶對(duì)編輯者的安全依賴。3）使用 Smart Cards, 可產(chǎn)生 （SKI 動(dòng)態(tài)密碼 , 或簽名 key-pair） ，卡不會(huì)被遺忘。PIN 碼的值不會(huì)跟隨動(dòng)態(tài)密碼在線發(fā)送3 因素 （clock, counter, and 3DES key） 認(rèn)證提供更強(qiáng)、更穩(wěn)定的動(dòng)態(tài)密碼6）可能的檢驗(yàn)編碼（FW-1, VPN-1, RAS, 或SDKS于client的開發(fā)）提供互惠的認(rèn)證7）設(shè)備能存儲(chǔ)長且復(fù)雜的靜態(tài)密碼8）使用讀卡器技術(shù)，可直接在讀卡器的安全鍵盤上輸入PIN碼（不通過PC的RAM）9） ActivCard支持使用MS- CHAPS全協(xié)議進(jìn)彳T認(rèn)證。而 RSA支持！高層次

52、安全觀點(diǎn)的優(yōu)勢(shì)1）只有 ActivCard 能提供完全獨(dú)立的安全!在RSA勺部署中，客戶和RSAIB知道每個(gè)部署設(shè)備的秘密。2） ActivCard 使用真正的強(qiáng)力認(rèn)證，提供更好的安全性RSA勺密碼是明文傳輸，容易在網(wǎng)絡(luò)中被探測(cè)到。設(shè)備的 SecurID可能被竊取和假冒。3）檢驗(yàn)碼能保障客戶正在連接的服務(wù)器的身份4） ActivPack clients 或 SDK 開發(fā) 客戶端 clients5）一些客戶使用MS-CHA初議保護(hù)他們白認(rèn)證線路。ActivCard產(chǎn)品能夠在MS-CHAP 上使用，而RSA能！ActivCard 挑戰(zhàn) / 應(yīng)答認(rèn)證提供不基于時(shí)間因素的認(rèn)證方式以供選擇。RSA從屬于

53、時(shí)間的導(dǎo)出和同步。ActivCard 設(shè)備（如 Smart Cards 或 ActivKey ）提供弱密碼檢測(cè)功能，不認(rèn)同容易攻破的傳統(tǒng)密碼，改善安全性。更好的易管理性和界面1）在管理方面， ActivPack 容易嵌入企業(yè)體系結(jié)構(gòu)，快速安裝，更快的管理。在終端用戶方面， ActivPack 設(shè)備簡單，容易使用。2）支持所有廠家LDAP 目錄 （v2 and v3）3）快速且容易安裝4）使用友好的管理和終端用戶界面5）無需修改LDAP勺架構(gòu)（schema ,能使用任何字段存儲(chǔ) Token SN6）在每一個(gè)認(rèn)證嘗試間無延遲7）能夠處理如xyzdomain或domainxyz 的域名或者NT名8）

54、不需任何的增加，提供全面的 AAAft能更好的易管理性和界面的優(yōu)勢(shì)1）無其它附加的要求:2）全面的AAA性能（RSA需要第三方授權(quán)服務(wù)器）3）客戶有選擇！用戶數(shù)據(jù)庫的管理：ActivPack 數(shù)據(jù)庫LDAP V2或V3目錄4）使用ActivPack for LDAP ,無需改變客戶存在 LDAP的配置！Activcard 在實(shí)時(shí)的任務(wù)中花費(fèi)更少的時(shí)間RSA Ace 服務(wù)器需要附加的用戶管理Activcard 有直觀和快速的管理RSA 使用 Unix 圖形方式，用戶界面不好、效率較低Activcard 易實(shí)現(xiàn)多領(lǐng)域的管理RSA不支持所有的領(lǐng)域管理更優(yōu)的性價(jià)比ActivCard 提供的解決方案，滿

55、足每個(gè)客戶對(duì)價(jià)格和價(jià)值的要求。2）設(shè)備銷售給客戶。而RSAS借設(shè)備！3）我們提供比RSAS優(yōu)惠的價(jià)格！4）保護(hù)客戶的投資5）同樣的價(jià)格，客戶能選擇在PKI， SKI 和靜態(tài)密碼認(rèn)證方式中選擇最好的解決方案更優(yōu)性價(jià)比的優(yōu)勢(shì)Activcard 設(shè)備具有永久的許可對(duì)于RSA當(dāng)租期過期時(shí)，客戶必須再次租借設(shè)備2）對(duì)于ActivCard ：設(shè)備銷售給客戶，電池可替換3）設(shè)備只需一半價(jià)格RSA 設(shè)備比Activcard 設(shè)備貴的多ActivCard 的質(zhì)量 / 功能 / 價(jià)值更好RSA勺價(jià)格更高，而提供的功能更少Activcard 降低工作時(shí)的額外花費(fèi)RSA步時(shí)占有全部的帶寬Activcard 減少設(shè)備丟

56、失的費(fèi)用當(dāng)你丟失一個(gè)還有2 年許可的 RSA 令牌，你必須重新?lián)Q一個(gè)新的 3 年許可的令牌：丟失了 2 年的許可費(fèi)用。Activcard 具有更低的整體花費(fèi)（TCO）1）投資的價(jià)格2）操作/ 管理花費(fèi)3）對(duì)所有認(rèn)證辦法，統(tǒng)一的設(shè)備管理4）一臺(tái)服務(wù)器支持所有的PSDs6）升級(jí)到PKI 時(shí)，客戶端無需額外的投資一臺(tái)LDAP服務(wù)器可實(shí)現(xiàn)AAA, PKI, SSO, Applet 和 卡的管理,ActivCard系統(tǒng)的安全特性1 ActivCard 系統(tǒng)本身安全特性1 . 1 ActivCard 動(dòng)態(tài)密碼的安全性：.算法不可逆保證動(dòng)態(tài)密碼的安全：動(dòng)態(tài)密碼的認(rèn)證和授權(quán)流程如上圖所示，用戶使用令牌的密鑰（

57、Key1）和時(shí)間、事件計(jì)算出Password1 （6位），然后再 加上時(shí)間、事件變量的最后一位生成動(dòng)態(tài)密碼 1 （8位），最后遞交動(dòng)態(tài)密碼給 RADIUS Client ;RADIUS Client 遞交動(dòng)態(tài)密碼給 RADIUS Server （ActivPack Server ）請(qǐng)求認(rèn)證； 3）根據(jù) RADIUS Client 的認(rèn)證請(qǐng)求，觸發(fā) RADIUS Server上的 API對(duì)RADIUS Client 認(rèn)證請(qǐng)求進(jìn)行響應(yīng)；RADIUS Server據(jù)遞交的用戶名找到對(duì)應(yīng)的密鑰（Key2）,用密鑰（Key2）和 時(shí)間、事件計(jì)算出Password2 （6位，是不可見的），然后再加上時(shí)間、事件變 量的最后一位生成動(dòng)態(tài)密碼2 （8位）。將算出的動(dòng)態(tài)密碼2和RADIUS Client遞 交來的動(dòng)態(tài)密碼1進(jìn)行比較，最后將比較結(jié)果（1/0）返回給RADIUS Client ;RADIUS Client根據(jù)RADIUS認(rèn)證服務(wù)器的返回結(jié)果（1/0）對(duì)用戶進(jìn)行授權(quán)或拒 絕；根據(jù)以上所述，ActivPack算法的不可逆性保證了動(dòng)態(tài)密碼的安全。即使攻