ERP集成动态密码身份认证，提升登录安全

一、方案背景

ERP 系统就像企业的 “ 黑匣子 ” ，内部涵盖了应用企业最关键和最敏感的信息资源。

    ERP 的特点是大而全，使用者可以从中寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息。正因为如此，建立信息安全管理机制、保护 ERP 的安全已经迫在眉睫。

      目前，绝大多数 B/S 结构的 ERP 系统在用户身份认证方面采用的是传统的" 用户名＋静态密码" 的认证方式，这一传统认证方式存在以下缺陷：
（1 ）静态密码，难于记忆；
（2 ）密码太短，容易破解。
（3 ）密码容易扩散，或者容易得到。例如：趁着操作者输入密码时，在其后偷窥；或者在电脑中放入木马程序，记录操作者输入的数据；再有可以拦截传输的数据，进行分析查找到密码。
（4 ） 密码可以被多人使用，无法统计真实地使用情况。

身份认证是安全的第一道关口，如果用户帐号密码失窃，将威胁到企业信息资产安全。

 

二、方案简述
        针对传统“ 用户名+ 静态密码” 认证方式存在的缺陷，密码安全厂商宁盾 提出了” 静态密码+ 动态密码” 双因素身份认证的解决方案，通过在静态密码基础之上加上动态密码进行二次认证，首先验证动态密码然后验证静态密码，防止盗号产生的ERP 系统数据失窃或者泄露，提升数据安全性。

2.1 方案拓扑

2.2 认证终端
ERP系统动态密码生成终端可以采用短信密码、动态令牌解决方案。
2.2.1 短信密码
以手机短信形式请求包含6位随机数的动态密码，也是一种手机动态密码形式，身份认证系统以短信形式发送随机的6/8位密码到客户的手机上，客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。

　　

2.2.2 硬件令牌　
当前最主流的是基于时间同步的硬件令牌，它每60秒变换一次动态密码，密码一次有效，它产生6位/8位动态数字。


2.2.3 手机令牌　
它是用来生成动态密码的手机客户端软件，在生成动态密码的过程中不会产生任何通信，因此不存在密码在通信信道中被截取的可能性，手机作为动态密码生成载 体，欠费和无信号对其不产生任何影响，由于其在具有高安全性、0成本、无需携带、获取以及无物流等优势，相比硬件令牌其更符合互联网的精神，由于以上优 势，手机令牌可能会成为3G时代动态密码身份认证令牌的主流形式。


三、方案特点 
1、 双因素，高安全性。 
2、 方便性
3、 与各种主流ERP系统无缝对接，如金蝶、用友、金和等，也可以根据客户需求定制，系统耦合性低。
详细方案可以咨询宁盾科技。

------------------------------------------------------------------------------
宁盾专注动态密码身份认证 - 短信密码 | 动态令牌（硬件令牌，手机令牌）
http://www.ndkey.com.cn
-------------------------------------------------------------------------------