林果动态口令技术白皮书.docVIP

动态口令双因素安全认证系统 LGET DynaPass Two Factor Authentication System 技术白皮书 上海林果实业有限公司 上海林果科技有限公司 二00二年一月 目 录 动态口令双因素安全认证系统 3 1 概述 1 2动态口令双因素安全认证系统基本原理和功能 1 2.1 动态口令双因素安全认证系统的基本原理 1 2.2 动态口令双因素安全认证系统的组成 3 2.2.1 林果电子令牌 4 2.2.2 林果LGET DYNAPASS/SERVER安全认证服务器 4 2.2.3 林果LGET AGENT安全认证代理 4 2.3 动态口令双因素安全认证系统的特点 5 2.4 应用程序接口 6 2.5 令牌物理特性 6 2.6 动态口令双因素安全认证系统的安装 7 3 典型应用 7 4 应用范围 7 5 技术指标 7 6 接口库支持的语言 8 7 认证算法 8 8 成功案例 8 1 概述 在计算机网络中，最常见而且最简单的访问控制方法是使用口令，通过对口令的匹配来确认用户的合法性。口令不安全是网络系统中普遍存在的隐患。据美国某专业安全协会对近千名公司网络管理员的调查表明，有60%的系统首先被攻击和突破的地方是口令，而烦琐的口令设置又给用户带来很多麻烦，对此系统管理员感到进退两难。 为什么现行的口令会如此容易被攻破的几种常见情况： 口令在网络传输中被截获和分析。 长时间使用同一个口令，泄露口令的机率大大增加。 人们通常喜欢用自己熟悉的人名、日期、门牌号、电话号码及其组合，易被猜中。 在多个业务服务和应用系统中共享口令，降低了口令的安全性。 为解决静态口令所存在的各种问题，上海林果开发出LGET DynaPass Two Factor Authentication System动态口令双因素安全认证系统。它采用了基于时间而产生的一次性口令来代替传统的静态口令，从而避免了口令泄密带来的安全隐患。 2动态口令双因素安全认证系统基本原理和功能 2.1 动态口令双因素安全认证系统的基本原理 动态口令双因素安全认证系统（LGET DynaPass Two Factor Authentication System）为计算机信息网络系统用户的合法身份认证提供了简捷、有效的认证手段。 该系统由林果电子令牌、林果LGET DYNAPASS/SERVER安全认证服务器和林果LGET AGENT安全认证代理构成。 电子令牌每隔几十秒钟动态生成一个随机的、单次使用的口令，配合LGET DYNAPASS/SERVER安全认证服务器（基于时间同步机制）构成一个安全、可靠的认证系统，保护计算机网络授权用户的合法利益，避免系统或网络受到非授权用户的非法访问。 动态口令双因素安全认证系统（LGET DynaPass Two Factor Authentication System）保留了原有口令认证机制的简单易用的优点，又增加了动态口令认证的安全性，以实现双重因素的认证保险。认证服务器的认证处理对用户透明，易于使用和管理。电子令牌不需要专用的读入设备，也免去了复杂的认证过程，最重要的是，访问控制权仍然掌握在系统管理者手中。 林果LGET DYNAPASS/SERVER安全认证服务器和林果LGET AGENT安全认证代理对林果令牌产生的口令进行认证。具体过程是： 使用时，用户使用管理中心分发的电子令牌（又称为动态口令发生器），动态产生一个口令，然后在系统登录界面，或者电话机等信息输入终端（应用表示层）进行输入。系统将用户输入的静态口令和动态口令送到网络系统中的需要安全认证的资源即林果LGET AGENT安全认证代理服务器，林果LGET AGENT安全认证代理强制执行动态口令认证策略机制，将认证信息送林果LGET DYNAPASS/SERVER安全认证服务器。林果LGET DYNAPASS/SERVER安全认证服务器进行安全身份认证，由此判断用户的合法性。基本结构示意图如下： 基本结构示意图 林果动态口令产品应用体系结构 动态口令认证工作流程 2.2 动态口令双因素安全认证系统的组成 动态口令双因素安全认证系统（LGET DynaPass Two Factor Authentication System）由林果LGET DYNAPASS/SERVER安全认证服务器（LGET DYNAPASS/SERVER）和林果LGET AGENT安全认证代理和林果电子令牌三大部分构成： 2.2.1 林果电子令牌 为用户提供了一个简单、易行的口令产生办法。通过同步信任认证算法产生单次使用且无法预测和跟踪的“动态口令”，这就使得用户口令既无法被窃取，又解决了口令频繁变换所带来的问题。 “动态口令”是与“静态口令”相对而言