Entrust IdentityGuard

Entrust IdentityGuard – программная платформа, реализующая разнообразные методы строгой аутентификации пользователей.

C ее помощью обеспечивается защищенный доступ к корпоративным и web-приложениям, информационным системам, VPN и пр. ресурсам на базе динамически изменяемых данных .

Entrust IdentityGuard, являясь решением строгой аутентификации, легко и просто интегрируется в существующую инфраструктуру. Различные методы аутентификации могут быть использованы для защиты разных ресурсов с учетом их важности. Это дает возможность накладывать различные требования для разных типов пользователей, приложений, ресурсов, операций и пр.

Системы аутентификации, основанные на статических данных, используемых многократно(например, логин/пароль) ненадежны, т.к. могут быть легко перехвачены.

Надежность и простота. Использование бесконтактных методов аутентификации является простыми и удобными для конечного пользователя. Защищает доступ к наиболее важным ресурсам с помощью открытых методов многофакторной аутентификации;

Интеграция с передовыми технологиями. Открытая архитектура системы и устойчивая платформа позволяет добавлять новые методы аутентификации, возникающие на базе инновационных технологий;

Минимизация расходов достигается за счет комплексности решения, что позволяет реализовать различные методы аутентификации для порой несвязанных друг с другом ресурсов. При этом уровень защищенности для каждого ресурса соответствует необходимому;

Простота администрирования достигается за счет использования ролевого принципа. Поддержка единой платформы всегда проще и выгоднее, чем управление несколькими, пусть даже и однотипными решениями. Ролевой принцип администрирования позволяет разделить обязанности между сотрудниками ИТ-службы, исходя из различных критериев: разрешенные операции, группы администрируемых пользователей, приложений или ресурсов. Возможность использования различных политик безопасности для разных групп позволяет задать требуемый уровень защищенности для каждого объекта;

Возможность выбора подходящего метода аутентификации в соответствии с важностью за- щищаемого ресурса. Соответственно, на базе одной платформы Entrust IdentityGuard может быть реализовано несколько методов аутентификации для разных ресурсов и пользователей.

Методы аутентификации

В зависимости от типа защищаемого ресурса можно выбрать один из нескольких методов аутентификации пользователя:

  • Генераторы одноразовых паролей (OTP);
  • Табличная (сеточная) аутентификация;
  • Аутентификация на базе списка паролей;
  • Использование контрольных вопросов;
  • Высылаемый PIN-код;
  • Аутентификация компьютера;
  • Биометрические технологии.

Характеристики и преимущества

Генерация одноразовых паролей:EntrustIdentityGuard_OTPMiniToken.jpg

В основе этого метода лежит использование аппаратного генератора одноразовых паролей. Это портативное устройство содержит внутренний элемент питания, а его работа основана на встроенных часах реального времени и генераторе случайных чисел. Устройство выдает новые значения каждые 36 секунд. При желании, можно ввести дополнительный уровень защиты – использовать еще и статический код. Это позволяет защищать данные от несанкционированного использования при краже или потере такого генератора. Статический код является дополнением к динамическому.

Существуют и другие виды генераторов одноразовых паролей с миниатюрной клавиатурой для ввода PIN-кода, который обеспечивает дополнительный уровень защиты.

Табличная аутентификация:EntrustIdentityGuard_table.jpg

Наиболее интересный и финансово выгодный метод. Его использование позволяет выполнять взаимную аутентификацию. Пользователь владеет таблицей (специальной сеткой), состоящей из определенного количества строк и столбцов. Каждая ячейка содержит некоторое количество символов. Система запрашивает значения определенных ячеек и эта информация является вторым фактором, используемым для аутентификации.

Процесс аутентификации:

  • Пользователь проходит первичную аутентификацию на базе логин-пароля;
  • Entrust IdentityGuard генерирует запрос (номера ячеек, значения которых необходимо указать);
  • Пользователь вводит требуемые значения;
  • Entrust IdentityGuard проверяет введенные значения.

EntrustIdentityGuard_diagramm1.jpg

Возможен и одноэтапный вариант — пользовать сразу же указывает имя, пароль и данные ячеек, которые запрашивает Entrust IdentityGuard.

Список паролей:

Это определенная модификация табличного метода. Пользователю предоставляется список паролей, сгенерированный случайным образом. Каждый пароль может быть использован только один раз. Эффективность перехвата такого пароля равна нулю, так как его нельзя использовать повторно.

Дополнительно список паролей можно защитить с помощью специального защитного слоя, наподобие того, что используется в картах моментальной оплаты.

Высылаемый PIN:

Эта технология предполагает генерацию одноразового пароля Entrust IdentityGuard по запросу пользователя, например, автоматически при прохождении первого этапа аутентификации. Связь может инициироваться как системой Entrust IdentityGuard, так и самим пользователем. При этом сгенерированный пароль или PIN-код отправляется пользователю, например, в виде SMS-сообщения, электронного письма или звонка на определенный телефонный номер.

_Entrust-Identity-Guard_diagramm2.jpg

Рекомендуемая архитектура:

  • Сервер Entrust IdentityGuard;
  • Сервер приложений выполняет первичную аутентификацию;
  • Web-сервер располагается в ДМЗ;
  • ДМЗ реализует два аппаратных межсетевых экрана;
  • Для управления системой используется место администратора Entrust IdentityGuard.

EntrustIdentityGuard_diagramm.jpg

Спецификации

Поддерживаемые ОС:

Cервер приложений

Операционная система

Со встроенным сервером Apache Tomcat

Linux Red Hat Enterprise 4 with libstdc++.so.5 library file (AS/ES editions);

Linux Red Hat Enterprise 3 update 4 or update 5 (AS/ES editions);
Sun Solaris 9 or 10;

Microsoft Windows Server 2003 SP1 and R2, Enterprise and Standard Editions.

BEA WebLogic Server 8.1 and 9.1 Standard or Express

Sun Solaris 9 or 10

IBM WebSphere Server 6.0 Standard or Express

Sun Solaris 9 or 10

Поддерживаемые службы каталога:

  • Microsoft Active Directory on Microsoft Windows 2003 Server;
  • Microsoft Active Directory Application Mode (ADAM) Microsoft Windows Server 2003;
  • Sun ONE Directory Server 5.2;
  • Critical Path Injoin 4.2;
  • Novell eDirectory 8.7;
  • IBM Tivoli Directory Server 5.2 and 6.0.

Поддерживаемые базы данных:

  • Oracle 9i and 10g database;
  • IBM DB2 8.2;
  • Microsoft SQL 2000 SP4 Server.

ActivIdentity 4TRESS AAA Сервер

Масштабируемое решение строгой аутентификации Безопасный удаленный доступ и WLAN с помощью одноразовых паролей

Узнать больше

Вопрос–ответ

«Где я могу получить подробную информацию о системах защиты WIBU?»

Узнать больше

Теги