【文章內(nèi)容簡(jiǎn)介】 業(yè)測(cè)試及實(shí)踐檢驗(yàn)，倍受好評(píng)。詳情請(qǐng)見2．2 ActivCard產(chǎn)品介紹2．2．1 ActivCard產(chǎn)品概述ActivCard為企業(yè)的內(nèi)部網(wǎng)絡(luò)提供強(qiáng)大的身份驗(yàn)證系統(tǒng)，將用戶擴(kuò)展出簡(jiǎn)單的靜態(tài)口令的范圍，使用者的口令由手持令牌（Token）動(dòng)態(tài)生成，無法預(yù)測(cè)，無法重復(fù)使用，高度安全，完全避免了傳統(tǒng)口令的弱點(diǎn)，替代傳統(tǒng)的靜態(tài)口令機(jī)制。ActivCard的雙因素認(rèn)證系統(tǒng)（我擁有、我知道）要求用戶在登錄之前必須具有物理的令牌，同時(shí)必須知道自己的PIN碼（個(gè)人驗(yàn)證碼，用于激活令牌）。 而ActivCard獨(dú)特的動(dòng)態(tài)密碼生成有效的消除了風(fēng)險(xiǎn)，這個(gè)過程產(chǎn)生一個(gè)一次性口令，是無法被猜中、分享、破解的，丟失的密碼或再次使用都會(huì)被禁止。雙因素認(rèn)證系統(tǒng)可以唯一的確認(rèn)用戶，而且并不要求用戶記憶一個(gè)新的口令。ActivCard 同時(shí)也支持異步挑戰(zhàn)碼用戶認(rèn)證方式。l 安全性——?jiǎng)討B(tài)的一次性口令，無法推測(cè)、無法破解、無法重復(fù)使用、無法共享l 唯一性——唯一的序列碼、唯一的密鑰及唯一的用戶l 可靠性——無效的用戶無法通過認(rèn)證ActivCard認(rèn)證過程：用戶只需簡(jiǎn)單的在令牌鍵區(qū)輸入PIN碼，令牌檢驗(yàn)PIN碼后，動(dòng)態(tài)生成并顯示動(dòng)態(tài)密碼。用戶在Login用戶只需簡(jiǎn)單的在令牌鍵區(qū)輸入PIN碼，令牌檢驗(yàn)PIN碼后，動(dòng)態(tài)生成并顯示動(dòng)態(tài)密碼。用戶在Login屏幕輸入密碼，認(rèn)證服務(wù)器認(rèn)證動(dòng)態(tài)密碼后，允許用戶登錄。2．2．2 ActivCard產(chǎn)品系列ActivCard產(chǎn)品主要由用戶手持令牌和中心端認(rèn)證軟件組成。令牌(Token) ：輕便的帶有鍵盤的手持設(shè)備，用于動(dòng)態(tài)口令的生成。ActivCoupler：令牌與計(jì)算機(jī)的連接設(shè)備，主要用于令牌的初始化。ActivPack 服務(wù)器：基于服務(wù)器的認(rèn)證軟件，在采用ActivCard 服務(wù)器安全解決方案的應(yīng)用里起作一把“鎖”的作用。現(xiàn)在的版本提供RADIUS驗(yàn)證通信方式。ActivPack Console臺(tái)：一種圖形用戶界面(GUI) 的管理模塊，用于令牌的初始化、管理ActivEngine的用戶和令牌數(shù)據(jù)庫(kù)。 令牌（Token）令牌是用戶端帶鍵盤的輕便手持設(shè)備，用于生成一次性動(dòng)態(tài)口令，提供全面、強(qiáng)大的認(rèn)證功能。ActivCard提供用戶令牌：ActivCard One。需要指出的是，令牌在使用當(dāng)中，并不需要與系統(tǒng)聯(lián)機(jī)。令牌提供的安全服務(wù)同步（專利擁有的時(shí)間加事件處理）用戶認(rèn)證異步（挑戰(zhàn)/應(yīng)答）用戶認(rèn)證密值提取—每個(gè)應(yīng)用區(qū)可存儲(chǔ)64位秘密信息（如信用卡號(hào)），并以加密格式上載給服務(wù)器或應(yīng)用令牌的PIN碼管理Token的使用受PIN碼保護(hù)PIN碼由用戶選擇，并可隨時(shí)更換弱PIN碼檢測(cè)（可選）PIN碼輸錯(cuò)的次數(shù)超過門限，Token會(huì)自鎖開鎖密碼輸錯(cuò)的次數(shù)超過門限， Token會(huì)自動(dòng)擦去內(nèi)存Token可以遠(yuǎn)程解鎖每個(gè)Token可以被自動(dòng)再同步Token特性每個(gè)Token擁有唯一的序列號(hào)密鑰在初始化時(shí)隨機(jī)產(chǎn)生，而非出廠時(shí)固定具有光接口與coupler通信時(shí)鐘和注冊(cè)信息存儲(chǔ)于CPU中CPU封裝于環(huán)氧樹脂中，不溶于任何已知溶液可更換的鋰電池和備份電池電源節(jié)省模式電池缺電檢測(cè)12個(gè)按鍵（10個(gè)數(shù)字鍵和兩個(gè)功能鍵）單行10字符/2行12字符+4個(gè)通信圖標(biāo)LCD顯示。（one/Plus）含電池，25/40克。（one/Plus）82mmX52mmX5mm，信用卡大小壽命為8年遵從的標(biāo)準(zhǔn)ANSI DES算法ANSI DES密鑰導(dǎo)出和管理標(biāo)準(zhǔn)ANSI ANSI ，簽名認(rèn)證處理標(biāo)準(zhǔn)Token的平均壽命30個(gè)同步認(rèn)證/天，25個(gè)異步認(rèn)證/天，15個(gè)光接口認(rèn)證/天在上述使用情況下，Token可更換的電池可以使用2年。 Token本身的壽命為8年。 ActivPack V5 的功能及特征1 ）全面LDAP解決方案 ActivPack 之前，支持內(nèi)建的本地用戶數(shù)據(jù)庫(kù)和LDAP服務(wù)器，從版本V5 開始，全部由LDAP服務(wù)器提供用戶數(shù)據(jù)，以充分利用LDAP強(qiáng)大的用戶管理功能，實(shí)現(xiàn)高效的集中式管理。 ActivPack V5 支持標(biāo)準(zhǔn)的LDAP服務(wù)，從企業(yè)級(jí)LDAP如AD，到運(yùn)營(yíng)商級(jí)LDAP 如 iPlanet 。LDAP簡(jiǎn)介輕量級(jí)目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）。一個(gè)使用Web瀏覽器和與LDAP兼容的電子郵件程序訪問在線目錄服務(wù)的協(xié)議。一些人可能希望LDAP提供搜索Internet上的電子郵件地址的通用方法，最終帶來一個(gè)全球性的白頁(yè)。LDAP在InternetEngineeringTaskForce(IETF)中定義，以推動(dòng)對(duì)目錄的采用。LDAP是一種相對(duì)簡(jiǎn)單的協(xié)議，它用于更新和搜索基于TCP/IP運(yùn)行的目錄。對(duì)于簡(jiǎn)單的Internet客戶機(jī)的使用來說，LDAP以前的“目錄訪問協(xié)議(DAP)”太復(fù)雜。LDAP目錄項(xiàng)是帶有名稱的屬性集合。稱為識(shí)別名稱(DN)。DN清楚的指明是項(xiàng)目。各項(xiàng)目的屬性包括一個(gè)類型和一個(gè)或更多值。這些類型通常是有助于記憶的字符串，如指常見名稱，或mail指電子郵件地址。值取決于類型。LDAP目錄項(xiàng)以一種等級(jí)結(jié)構(gòu)排列，它反映了政治的、地理的、和/或組織邊界。代表國(guó)家的項(xiàng)出現(xiàn)在該樹的最頂端，隨后是代表州或國(guó)家組織的項(xiàng)，然后是代表民族、組織單位、打印機(jī)和文檔等的項(xiàng)。LDAP目錄的優(yōu)勢(shì)現(xiàn)在LDAP的流行是很多因數(shù)共同作用的結(jié)果?；镜脑蛉缦拢?．可能LDAP最大的優(yōu)勢(shì)是：可以在任何計(jì)算機(jī)平臺(tái)上，用很容易獲得的而且數(shù)目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定制應(yīng)用程序?yàn)樗由螸DAP的支持。2．LDAP協(xié)議是跨平臺(tái)的和標(biāo)準(zhǔn)的協(xié)議，因此應(yīng)用程序就不用為L(zhǎng)DAP目錄放在什么樣的服務(wù)器上操心了。實(shí)際上，LDAP得到了業(yè)界的廣泛認(rèn)可，因?yàn)樗荌nternet的標(biāo)準(zhǔn)。產(chǎn)商都很愿意在產(chǎn)品中加入對(duì)LDAP的支持，因?yàn)樗麄兏静挥每紤]另一端（客戶端或服務(wù)端）是怎么樣的。LDAP服務(wù)器可以是任何一個(gè)開發(fā)源代碼或商用的LDAP目錄服務(wù)器（或者還可能是具有LDAP界面的關(guān)系型數(shù)據(jù)庫(kù)），因?yàn)榭梢杂猛瑯拥膮f(xié)議、客戶端連接軟件包和查詢命令與LDAP服務(wù)器進(jìn)行交互。與LDAP不同的是，如果軟件產(chǎn)商想在軟件產(chǎn)品中集成對(duì)DBMS的支持，那么通常都要對(duì)每一個(gè)數(shù)據(jù)庫(kù)服務(wù)器單獨(dú)定制。不象很多商用的關(guān)系型數(shù)據(jù)庫(kù)，你不必為L(zhǎng)DAP的每一個(gè)客戶端連接或許可協(xié)議付費(fèi)。3．大多數(shù)的LDAP服務(wù)器安裝起來很簡(jiǎn)單，也容易維護(hù)和優(yōu)化。LDAP服務(wù)器可以用“推”或“拉”的方法復(fù)制部分或全部數(shù)據(jù)，例如：可以把數(shù)據(jù)“推”到遠(yuǎn)程的辦公室，以增加數(shù)據(jù)的安全性。復(fù)制技術(shù)是內(nèi)置在LDAP服務(wù)器中的而且很容易配置。如果要在DBMS中使用相同的復(fù)制功能，數(shù)據(jù)庫(kù)產(chǎn)商就會(huì)要你支付額外的費(fèi)用，而且也很難管理。4．LDAP允許你根據(jù)需要使用ACI（一般都稱為ACL或者訪問控制列表）控制對(duì)數(shù)據(jù)讀和寫的權(quán)限。例如，設(shè)備管理員可以有權(quán)改變員工的工作地點(diǎn)和辦公室號(hào)碼，但是不允許改變記錄中其它的域。ACI可以根據(jù)誰(shuí)訪問數(shù)據(jù)、訪問什么數(shù)據(jù)、數(shù)據(jù)存在什么地方以及其它對(duì)數(shù)據(jù)進(jìn)行訪問控制。因?yàn)檫@些都是由LDAP目錄服務(wù)器完成的，所以不用擔(dān)心在客戶端的應(yīng)用程序上是否要進(jìn)行安全檢查。LDAP對(duì)于這樣存儲(chǔ)這樣的信息最為有用，也就是數(shù)據(jù)需要從不同的地點(diǎn)讀取，但是不需要經(jīng)常更新。例如，這些信息存儲(chǔ)在LDAP目錄中是十分有效的：l 公司員工的電話號(hào)碼簿和組織結(jié)構(gòu)圖l 客戶的聯(lián)系信息l 計(jì)算機(jī)管理需要的信息，包括NIS映射、假名，等等l 軟件包的配置信息l 公用證書和安全密匙ActivCard身份認(rèn)證系統(tǒng)與LDAP的集成采用ActivCard的ActivPack建立一個(gè)統(tǒng)一的身份認(rèn)證系統(tǒng)，可以供網(wǎng)上銀行WEB登錄使用，作為一個(gè)強(qiáng)力的身份認(rèn)證系統(tǒng)，未來可供其它系統(tǒng)的認(rèn)證。ActivPack能夠和LDAP服務(wù)器同步用戶。要建立一個(gè)大型的身份認(rèn)證系統(tǒng)，除了要有強(qiáng)大的認(rèn)證體系，還需要完善的用戶管理體系，采用LDAP服務(wù)器專門管理用戶，ActivPack專門完成身份認(rèn)證工作。2） Web Help Desk 功能 ActivPack V5 新增Web Help Desk 功能，方便用戶管理及故障檢測(cè)。3） 支持多種設(shè)備ActivPack V5 新增了對(duì)一些設(shè)備的支持，提供多樣的選擇：Token One, KeyChain, Gold Smart Cards, ActivKey,Palm Pilot, SoftToken4） 支持Sun Sol