动态口令认证系统.docVIP

动态口令认证系统 为解决静态口令安全性的问题，在90年代出现了动态口令技术。动态口令技术也称为一次性口令技术，即用户每次登录系统时都使用不同的口令，这个口令用过后就立刻作废，不能再次使用。动态口令技术也就是业界广泛提到的多因素身份认证方式，或是双因素身份认证方式的一种。它是动态口令牌，口令牌生成的口令和口令牌自身保护的PIN码等多种因素的一种结合，来达到判别用户的唯一身份。 1. 如何使用动态口令 使用动态口令认证时，需要用户持有“认证器”或者“口令牌”，它们是用来生成动态密码的装置。动态口令技术即通过“口令牌”得到随时变化的、不可预知的、一次性有效的口令，客户在登录时用动态口令代替固定口令，通过认证后，该口令即失效，既有效的提高了身份认证的安全性，同时免除了用户记忆密码和经常需要更换密码的麻烦。 2. 动态口令分类 到目前为止，动态口令技术主要应用发展分为三种：时间同步技术，事件同步技术和挑战/应答（异步）技术。 时间同步：基于令牌和服务器的时间同步，通过运算来生成一致的动态口令，基于时间同步的令牌，一般更新率为60秒，每60秒产生一个新口令。 事件同步：基于事件同步的令牌，其原理是通过某一特定的事件次序及相同的种子值作为输入，在算法中运算出一致的密码。用户每次登录时按一下口令牌生成一个口令，服务器在用户登录时每次生成一个口令与口令牌中的口令进行对比。 挑战/应答（异步）：也称为异步令牌，其令牌和服务器之间除相同的算法外没有需要进行同步的条件，用户登录时每次由服务器传过来一个挑站值，用户将挑站值输入到口令牌中计算口令，并将计算的口令输入再回传给服务器进行认证，就像两个人对暗号一样，暗号对上，认证就通过。 3. 动态口令系统组成 动态口令认证系统一般由三个部份组成： 动态口令令牌：硬件设备，像一个小的计算器，用来生成口令，可以随身携带。 动态口令认证服务器：认证服务器端是动态口令认证系统的核心，负责响应认证系统客户端所发过来的用户认证请求（动态口令），完成用户的身份认证。 代理软件（Agent）：Agent（代理软件）以及基于各种标准的访问协议（如RADIUS协议）构成认证转发点，安装在受保护的系统上，负责将用户的认证请求转发到认证服务器端； 4. 动态口令牌 对于上述的这三种技术都需要用户持有一个“认证器”或是“口令牌”来生成动态密码。而为防止动态口令牌丢失时，被别人盗用，一般口令牌使用PIN码保护，根据PIN码保护的形式不同，令牌又具有如下两种特征： 软Pin码保护：软Pin码是在密码输入窗口输入动态密码时，同时输入的个人记忆的静态口令，将其和令牌生成的动态密码一同输入弹出的用户名口令窗口，传送到服务器端实现认证。 硬Pin码保护：硬Pin码既是在开启口令牌时要求输入的记忆密码，不知道该密码的人员不能使用口令牌，既不能开机，类似于手机的Pin码，这个PIN码不会再输入到弹出的登陆窗口。 由于软Pin码每次用户登录时均在网络中传输，又由于该密码的传输过程中并不进行加密，故易被窃听，故在安全级别较高的情况下，建议使用有数字键盘的可以用硬Pin码进行保护的硬件口令牌，从而杜绝安全漏洞。 5. 动态口令应用 动态口令作为一种强身份认证机制，其更适用于对网络设备的认证应用。在当前越来越广泛使用数字证书或USB Key的身份认证方式的情形下，动态口令在对网络设备方面的认证不可取代。USB Key对Windows服务器登录，Telnet登录都有局限性，而动态口令在这方面有很好的解决方案。 动态口令可以保护以下的系统： 拨号服务器及路由器、交换机 防火墙 VPN系统 Citrix MS Windows NT/2000域和服务器 UNIX 系统(Solaris,HP-UX, AIX, Linux) RADIUS兼容设备 除此之外，动态口令也提供Authenticaton SDK进行二次开发，用户便能够更好的保护自己的应用系统。 ? ? ? ?