宁盾动态密码技术案例-运用动态口令牌dKey T6加强ERP登录安全

一、方案背景

ERP 系统就像企业的 “ 黑匣子 ” ，内部涵盖了应用企业最关键和最敏感的信息资源。

ERP 的特点是大而全，使用者可以从中寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。正因为如此，建立信息安全管理机制、保护 ERP 的安全已经迫在眉睫。

目前，绝大多数 B/S 结构的 ERP 系统在用户身份认证方面采用的是传统的" 用户名＋静态密码" 的认证方式，这一传统认证方式存在以下缺陷：

（1）静态密码可能被盗号，增加ERP系统数据泄漏的风险。

（2）静态密码由于需要记忆，随着企业信息化程度越来越高，越来越多的应用系统被企业运用，因此存在遗忘可能性，增加企业IT管理负担和员工记忆各种系统密码的烦恼。

（3）由于ERP对于企业的重要性，企业要求员工定期修改ERP系统，而在实际操作中，很多员工为了便于记忆会将各种系统密码设置为相同或者抄在纸上，一旦某个系统密码被盗，其他应用系统也会存在威胁，无形中增加了企业的信息安全风险。

二、方案简述

针对传统“ 用户名+ 静态密码” 认证方式存在的缺陷，宁盾提出在ERP登录层面运用” 静态密码+ 动态密码” 双因素身份认证的解决方案，通过在静态密码基础之上加上动态密码进行二次认证，首先验证动态密码然后验证静态密码，防止盗号产生的ERP 系统数据失窃或者泄露，提升数据安全性。

2.1 网络拓扑

2.2 ERP系统如何对接动态密码身份认证

下面以动态密码身份认证厂商宁盾为例，ERP对接动态密码应包含以下几部分因素：

（1）动态口令牌 ： 用户手持用来生成动态密码的工具。

宁盾 dKey T6 是动态口令生成工具，是一种硬件形式的动态令牌；它是基于主流时间同步技术，密码一分钟变化一次且不能重复使用；从安全和简便易用角度比较，动态口令牌作 为第二因子认证工具较为理想；动态口令牌外形小巧可爱，不用安装驱动，不用连接电脑。



（2）ERP整合动态口令身份认证API ：通过该API，ERP系统即可对接动态密码身份认证，如果ERP系统内置Radius、LDAP等标准认证协议，则无需对ERP系统进行二次开发即可直接对接宁盾dKey动态密码身份认证。

（3）动态密码身份认证服务器： 它由2个部分组成，

一是动态密码验证服务，负责动态密码验证。

二是动态令牌管理服务，负责用户动态令牌状态管理，如添加令牌、绑定等。

三、动态密码的优势

（1）对接方便：系统对接非常方便，逻辑结构简单，由于宁盾dKey动态密码身份认证系统与业务逻辑无关，因此不会增加系统的复杂度。

（2）安全性：由于一分钟一个密码，大大增加了ERP系统的安全性。

（3）减轻员工烦恼：无需记忆各种密码，也无需定期修改密码，帮员工解决解决各种密码的烦恼。

（4）减少IT管理成本：减少IT处理与应用系统密码相关的工作量，节约IT管理成本，提升企业工作效率。

采用动态密码对于员工和企业都是双赢的策略。

----------------------------------------------------------

宁盾专注动态密码身份认证（动态口令牌 | 短信密码）
http://www.ndkey.com.cn
----------------------------------------------------------