使用一次性密码解决方案更安全地验证身份.docVIP

目录 一次性密码 完整的 OTP 解决方案 测试 OTP 生成器客户端 示例网站 身份验证 Web 服务 完整的体系结构 运行代码示例 部署注意事项 尝试一下 密码的安全和管理是令企业 IT 管理员 非常头疼的一个问题。用户往往创建非常简单的密码，或将其密码写下来以确保他们能够记住这些密码。此外，几乎没有安全有效的程序来重置密码。 既然存在这些限制，如何才能在远程用户访问您的网络时减少此类安全问题呢？由于许多用户都会写下他们的密码，如何才能使公司的密码解决方案更加可靠呢？我将介绍如何使用基于标准的技术以及 C# 和 C 来开发一次性密码 (OTP) 概念验证。但是，我想先大致介绍一下密码替代技术。 有多种方法可用于消除远程用户的标准密码。可使用证书颁发机构来向用户颁发证书，但这需要公钥基础结构 (PKI)，并且其设置和维护成本比较昂贵。同时还难于管理远程用户的证书，尤其是使用基于硬件的令牌（如智能卡）时。此类高安全性常常导致高成本。 另外，可使用 RSA 提供的一次性密码解决方案 SecureID。但是，应当注意 SecureID 并非基于标准的技术，因此它可能导致不兼容问题和授权开销。 第三种选择是使用基于标准的 OTP 解决方案。但是，它有些什么类型的一次性密码选项，为什么 OTP 优于传统的密码？我们这就来研究一下。 一次性密码 传统的静态密码通常只在需要时才进行更改：当它过期时或者当用户忘记密码并需要重置时。由于密码缓存在计算机硬盘上并存储在服务器上，因此它们很容易被破解。便携式计算机尤其如此，因为它们容易被盗。 许多企业都为员工配备了便携式计算机，并将网络打开以允许远程访问。他们还会雇用临时员工和供应商。在此环境中，简单的静态密码解决方案可能成为一种不利因素。 与静态密码不同，一次性密码会在用户每次登录时发生更改。密码有以下两种生成方式：与时间同步或与计数器同步。两种方法通常都要求用户携带一个与服务器同步的小型硬件设备（通常可以挂在钥匙链上），并且通常都使用一些算法来生成密码。 与时间同步的 OTP 已得到广泛部署，但可能出现时钟偏差问题。即，如果身份验证服务器和用户令牌的时间不同，则无法生成预期的 OTP 值，并且用户身份验证将失败。使用与时间同步的 OTP 时，用户通常必须在特定时间段内输入该密码，否则会将其视为过期且必须生成另一密码。 与计数器同步的 OTP 解决方案将同步客户端设备与服务器之间的计数器。每次请求设备的 OTP 值时，计数器都会增加。就像使用与时间同步的 OTP 一样，当用户想要登录时，他必须输入设备上当前显示的 OTP。 用于应对复杂情况的 OTP 是一种特殊情况，它们通常还会使用硬件设备。但是，用户必须提供一个已知值（如个人标识号 (PIN)）才能生成 OTP。此类 OTP 目前正在欧洲广泛应用，用于为信用卡和借记卡增加身份验证。目前使用的 OTP 解决方案均建立在某种加密处理之上，以根据同步参数（即时间或计数器值）、密钥以及可能需要的 PIN 生成当前密码。 例如，基于哈希的 OTP 使用加密哈希算法来计算密码。如您所知，加密哈希是一种单向函数，即将任意长度的消息映射为固定长度的摘要。因此，基于哈希的 OTP 首先进行输入（同步参数、密钥、PIN），然后通过单向函数运行它们，并且生成固定长度的密码。 那么，究竟应选择哪种方法呢？由于希望了解其工作原理，因此我创建并测试了一个解决方案。接下来，我将介绍如何使用 IIS 7.0 和密钥哈希消息身份验证来创建与计数器同步的 OTP（如 RFC 2104 和 RFC 4426 标准所述。其中 RFC 2104 是“HMAC:键入-散列法用于信息身份验证”，网址是 /fwlink/?LinkID=112151；而 RFC 4226 是“HOTP:基于 HMAC 的一次性密码算法”，网址是 /fwlink/?LinkID=112153）。 因为是测试部署，我将使用简单的客户端应用程序来创建 OTP。如前所述，在实际情况中，您可能希望将其与防篡改硬件设备结合使用。我将大致介绍使用这种方法所需的基础知识，并提供一些入门资源。 完整的 OTP 解决方案 为构建 OTP 解决方案，我需要创建一个基于标准的 OTP 身份验证 Web 服务，该服务由 SQL Server? 提供支持且集成到 ASP.NET 中。我将创建一个 OTP 生成器，通过将其安装到每台客户端计算机上，用户就可运行它来生成新的 OTP。 当收到 Web 浏览器提示时，用户需要键入 OTP 值并单击“Submit”（提交）按钮进行身份验证。OTP 插件模块从 IIS 得到通知，并且随后调用 Web 服务来检验身份验证请求。Web 服务在 SQL Server 表中查找用户的密钥