邮件系统（OWA）双因素身份认证解决方案

一、场景分析

OWA是基于微软Hosted Exchange技术的托管邮局的一项Web访问功能，可以直接使用 Web 浏览器通过 Internet 读取或发送电子邮件、管理他们的日历地址簿，任务等协同办公功能，安全级别较高！

二、问题分析

1、密码设置简单，非常容易被撞库破解；

2、密码设置复杂，非常容易忘记密码，增加网络管理员无意义工作；

3、设置统一或有规律的密码，一旦单点被破，极易引发全面危机；

4、定期更改密码，容易密码混淆，难以记住；

5、做密码本、存储位置容易泄漏，引发全面危机；

6、员工离职，需要修改密码，增加管理员工作量；

三、解决方法

采用CKEY DAS做密码加固，登录时需要做二次身份认证。实现效果如下：

“用户名 + 静态密码 + 动态密码 = 成功登录”

四、业务系统认证流程

认证前提：

在业务系统上启用Radius模块或调用CKEY HttpsAPI接口；；

和CKEY DAS认证服务器完成Radius对接或API对接；

登录流程：

用户输入“用户名+静态密码+动态密码”访问目标主机；

目标主机通过Radius Client或API同时将用户名+静态密码发送到企业用户源做静态认证、将用户名+动态密码发送到CKEY DAS认证服务器做动态认证；

用户源和CKEY DAS分别对认证做反馈；

当且仅当用户源认证和CKEY DAS认证同时通过时，才能成功访问，否则登录失败；

五、CKEY DAS介绍

CKEY DAS（中科恒伦双因素认证系统）基于标准的Radius协议和TACACS+协议，为网络设备、业务系统、操作系统提供身份认证、授权和审计，同时支持API、SDK对接方式，满足所有主流场景。

六、产品架构