飞天诚信OTP Server动态口令身份认证系统_密钥管理系统

飞天诚信OTP Server动态口令身份认证系统

飞天诚信OTP Server身份认证系统提供了一个动态口令身份认证和交易签名验证平台，帮助用户判断应用系统的真伪，还可以为用户的交易信息进行签名和签名验证，对软件令牌和短信令牌的认证功能、后端认证功能、返回扩展Radius属性功能、SOAP等协议支持等。

立即咨询

首页 > 产品中心 > 身份安全 > 飞天诚信OTP Server动态口令身份认证系统

基本原理

认证原理

OTP特点

防止重放攻击

OTP一个周期一变化，一次变，口令不允许重复使用

防止遗忘

不需要记忆，随用随取，有专用的口令产生工具或APP

兼容性好

使用广泛，无需驱动

成本低

降低IT密码管理成本，降低项目实施成本

安全性高

基于密码学应用，有广泛的实践应用

产品结构

OTP Server动态口令身份认证系统主要包括四个部分，分别是认证服务器、管理中心、用户门户和认证代理。此外还有四个辅助部分，包括用于搭建基本运行环境的数据库系统，用于定制开发的SDK接口以及用于生成动态口令的令牌设备，还有密钥管理系统，密钥管理系统可以与现有的OTP Server产品共同使用，也可以各自单独使用。

产品组成

认证服务
主要用于完成动态口令认证、令牌同步、交易签名验证和转发认证请求等功能。认证服务器能够从认证代理或RADIUS客户端接收认证请求，并根据认证请求进行认证，并将认证结果返回给认证代理或RADIUS客户端。

管理中心
采用Web页面的形式，可以非常方便地实现远程管理和远程维护。管理中心主要是为了实现数据库中的组织机构、管理员、用户、令牌、手机令牌分发、FIDO设备、多厂商、加密机配置、认证服务器、认证代理、认证代理配置、后端认证、报表、监控预警以及日志等信息的管理和维护。

用户门户
采用Web页面形式，可以方便用户自主对令牌进行一些操作使用，以减少管理员的工作压力。包括：绑定令牌、更换令牌、解锁令牌、认证令牌、同步令牌、挂失令牌、解挂令牌、令牌激活、获取一级解锁码、修改应急口令、手机令牌分发、修改静态密码等。

接入协议&接口
IT资源接入方式，标准radius协议，http接口，提供的SDK接口包括认证服务器接口、管理中心接口、认证代理接口，同时为了适应广泛的环境需求，这些接口都提供了多种语言形式，多种操作系统平台支持。。

动态令牌形态

密钥管理系统

对硬件密码设备里生成的种子密钥进行存储、分发和管理。

产品功能

组织机构

组织机构是管理中心的基础功能，反应了企业中的部门层级结构，基于各部门对管理员、用户和令牌等进行管理与被管理。管理员与组织机构是管理与被管理的关系，用户和令牌与组织机构是属于与被属于的关系。

身份认证功能

身份认证功能是OTP Server认证系统V4.8为各种应用系统提供的最关键、最重要的功能之一。目前支持OTP c100/200/300/400类型的令牌生成的动态口令进行身份认证。

令牌同步功能

基于时间和事件同步的动态口令技术决定了令牌与认证服务器之间可能存在不同步的情况，所以必须要有同步功能来保证两者之间的同步。支持的同步操作包括OTP c100/200/300/400类型的硬件令牌、手机令牌、软件令牌与认证服务器之间的时间或事件同步。

支持多种令牌

身份认证系统全面的支持多种类型的令牌使用，从物理类型上看，支持传统的硬件类型、软件类型，同时也支持手机类型和短信类型；从产品类型上看，支持c100事件型、c200时间型和c300挑战应答型；从算法上看，既支持auth算法，也支持国密算法和私有算法；从口令长度上看，既支持6位的动态口令，也支持8位的动态口令。

厂商管理功能

厂商管理功能主要是解决除了能导入飞天的令牌外，其它的厂商令牌也可以导入；通过添加厂商提供的动态库和厂商信息，把某厂商的令牌导入到OTP Server管理中心后，可以对某厂商的令牌进行相应的操作。

设备管理功能

为了适应互联网应用的要求，在OTP Server中集成FIDO身份认证的功能，设备管理主要处理与FIDO设备相关各种操作，通过添加受保护地址，对FIDO设备进行注册和认证等功能。

加密机配置功能

OTP Server认证系统V4.8中支持加密机配置，可以通过配置不同型号的加密机，对导入的令牌文件的种子通过加密机进行加密，突破了以往的加密方式，使得种子密钥更加安全。

手机令牌推送登录功能

在OTP Server管理中心配置推送服务器信息，通过开启推送服务器，就可以分发带有推送功能的手机令牌，用android/Iphone手机扫描二维码激活手机令牌成功，实现手机令牌的推送登录功能。

多对多绑定

突破以往产品一个用户只能绑定一支令牌，以及一支令牌只能被一个用户绑定的情况，V4.8的身份认证系统中实现了多对多的功能：一个用户绑定多个令牌，一个令牌可被多个用户绑定。极大的适应了在实际工作环境中遇到的各种情况。

产品功能

后端认证功能
OTP Server认证系统中支持后端认证功能，根据转发策略配置内容，将认证请求转发到别的认证服务器上认证，支持Radius和AD后端认证。

短信令牌认证功能
OTP Server认证系统中支持对短信令牌的认证，短信认证有两种实现方式，一种通过接口获取用户的短信网关信息，通过用户短信网关向用户发送短信令牌口令，另外一种使用飞天诚信的短信网关，向用户发送短信令牌口令。

高配置性
OTP Server认证系统中提供了强大的配置功能，有系统公共配置、认证配置、用户配置、令牌配置、管理中心配置、用户门户配置和监控预警配置。使得产品更灵活，扩展性更强，也更容易满足复杂多变的实际使用环境。

用户来源功能
用户来源功能满足了从LDAP或远程数据库中引用用户的要求。通过简单的配置，便可将LDAP中的用户导入到管理中心中来，甚至可以将LDAP中的组织机构也一并导入到系统中。除了可使用LDAP外，还可以将其它数据库中的用户导入到系统中。

用户门户
OTP Server认证系统为了减轻管理员的工作量，将管理中心中关于用户管理的一部分功能开放给用户，让用户自己维护和管理。开放哪些权限给用户可以由管理员来控制。

IIS认证代理
IIS认证代理提供了对IIS中网站下各文件夹及网页的保护功能，保护类型也有多种选择，如基本认证保护、模板认证保护和集成认证保护。同时支持的操作系统类型也有所扩展，即可以支持32位的操作系统，也支持64的操作系统，具体详见《IIS代理用户手册》。

域登录认证代理
域登录认证代理实现了对客户端的本地、远程和UAC保护，同时也支持后端认证服务器认证。

应用集成功能
X OTP Server认证系统V4.8与应用系统的集成方式主要包括三种，第一种是采用RADIUS认证协议；第二种是直接安装和配置认证代理；第三种是使用SDK接口，具体又可以分为认证代理SDK和认证服务SDK，具体采取哪种方式，则需要根据具体的应用环境来决定。

OTPServer硬件服务器产品 icon

OTPServer硬件服务器产品形态 icon

动态口令应用场景

Linux PAM

支持普通OTP口令认证
支持直接输入口令进行认证

支持短信令牌认证
通过选择短信认证触发短信发送，之后接收短信，在OTP框中输入短信OTP

支持手机推送认证
通过选择认证方式为推送认证手机令牌APP即可收到推送消息，确认即可进入系统

支持大多数主流的Linux
支持RedHat系列

支持SUSE

配套Server为最新版本
代理不兼容旧版本

支持大多数远程登录软件
支持CRT

支持XShell

适配列表

入围信创名录

标准RADIUS应用方案 icon

主机系统登录应用方案 icon

主机系统登录应用方案 icon

认证接口应用方案

基础方案

高可用方案

高可用方案&加密机

服务支持

全方位服务支持

电话服务：010-82737931

企业QQ ：206574765

邮件支持：support@cloudentify.com

上门支持：国内15个办事处

独家OTP系统支持服务

快速应对突发事件

关于飞天

1998年6月16日成立，2014年创业版上市，股票代码：300386，坚持自主创新的发展战略，专注于两个核心领域的研究和发展：

核心数据

标准

9件国家标准 / 13件行业标准 / 2件团体标准已颁布实施

密码行业标准化技术委员会委员

全国金融标准化技术委员会专家

国家信息安全标准化技术委员会WG3和WG4工作组成员

国家信息技术标准化技术委员会卡与身份识别安全设备分委员会委员

资质科研实力

产学研协同发展：行业内首家建立院士专家工作站，战略合作伙伴：国家信息技术安全研究中心、中国银联、中钞区块链研究院等。

典型客户

产品推荐查看更多>>

飞连数字化办公平台

飞连，原生具备安全属性的新一代数字化办公 IT 基础设施。产品具备身份与权限管理、虚拟专用网络（VPN）、办公网络准入、终端资产管理、终端安全合规、动态控制等核心模块，在帮助企业构建端到端安全访问体系的同时，提升 IT 效率与办公体验。

通信传输

边界防护

身份鉴别

数据保密性

立即咨询查看详情

Authing身份云EIAM员工统一身份认证管理平台

Authing身份云EIAM员工统一身份认证管理平台，建立数字身份体系，构建统一数字身份标准，通过「身份中台」保障身份互联、数据互通等能力，让业务流转加速，提升企业整体效率。数字化驱动智能生态融合发展，构建业务新形态，打造智能运营、服务等模式，为产业升级提供重要动能。

建立数字身份体系

保障身份互联

构建业务新形态

提升企业整体效率

立即咨询查看详情

思福迪LogBase SOM运维安全管理平台

思福迪LogBase SOM运维安全管理平台运维用户不再直接访问服务器，先访问堡垒机再进行跳转。为用户创建独立的运维账号，人员账号一一对应，有效辨别人员身份。将网络中所有服务器资源账号信息统一管理，无需再对用户提供账号信息。用户只能访问他有权访问管理的服务器与资源。

统一运维

身份鉴别

统一资产

统一访问

立即咨询查看详情

数字化社区查看更多>>