安盟动态口令认证系统产品说明书.doc

安盟动态口令身份认证系统 产品说明文档 1 动态口令身份认证系统原理 在传统的静态口令验证系统中，由于口令为“一次设置，重复使用”，由于口令的重复使用而增加了口令丢失和破解的危险性，降低了系统的安全系数，特别是在互联网环境下，黑客、木马和病毒泛滥，使得静态口令更加容易被泄露，造成企业信息系统和资源的非授权访问，导致直接经济损失和间接的信誉和商誉损失。 所以，除了用户记忆的静态口令外，还需要增加一个物理因素，如令牌，这样采用你所知道的（记忆的静态密码）和你所拥有的（令牌）两个要素构成有效密码，实现严格身份信息验证，而你所拥有的要素必须具有不可复制和篡改的性能。 动态口令认证即是依据上述原理实现的双因素强身份认证系统： 本系统以令牌作为信物，实现双因素认证。令牌显示依据种子密钥和时间随机计算的动态口令，具有不可复制和篡改的性能，而后台认证系统认为，只有持有令牌才可能输入正确的密码，反过来说，只要输入了当前时间点的正确密码，就可以认为持有可信的要素，即令牌。用户登录时，必须同时验证静态口令（称之为PIN码）和动态口令，只有两者均正确时才能确认用户身份 令牌与服务器之间的同步。令牌和认证服务器一般以密钥和时间为基础，每隔一定时间（常见为60妙）就计算出一个口令，由于令牌和认证服务器双方都共享了对称密钥、时间因子和计算方法，所以计算出来的口令就是同步的和唯一的。 一次一密。令牌上显示的密码只有在当前时间点有效，且使用一次即失效，实现高强度的安全性。 系统的部署结构如下： 解决的主要问题： 密码安全管理问题，实现不依赖于客户端安全意识和安全习惯可控的安全性，用户也免于设置复杂密码、记忆并定期更新之苦。 密码每分钟变化，只在当前时间点有效，且使用一次即失效，即使黑客在传输过程当中截获或窃听了，只有在一分钟之内解开，且解开之后，必须先于用户或管理员进入系统才构成威胁，这几乎不可能，大大加强了应用系统的安全性和可靠性。 通过安盟认证器的日志审计系统可以对所有登录用户的信息进行记录，如用户的登录时间，登录的用户名，使用的哪一块令牌，从而很快可以确认用户的身份。 2 技术标准 《信息技术 安全技术 实体鉴别 第一部分:概述》 GB/T 15483.1-1999 《信息技术 安全技术 实体鉴别 第二部分:采用对称加密算法的机制》 GB/T 15483.2-1997 《信息技术 安全技术 信息技术安全性评估准则 第二部分:安全功能要求》 GB/T 18336.2-2001 《信息技术 安全技术 信息技术安全性评估准则 第三部分:安全保证要求》 GB/T 18336.3-2001 《计算机信息系统安全保护等级划分准则》 GB 17859-1999 《中国人民银行计算机通信网络总体技术规范》 3 安盟身份认证系统组成 整个安盟身份认证系统由三部分组成的，如下图所示： 安盟SecurID双因素身份构造图 1）安盟SecurID身份认证令牌 它是分发给最终用户的，用以证明其身份的硬件或软件设备，是安盟双因素身份认证的一个因素（您所持有的），产生一分钟变化一次的动态令牌码，简单易用，便于随身携带。令牌每一分钟生成一个唯一识别用户的、无法预知的动态一次性口令。其硬件和软件版本都具有防篡改能力。如果某个用户提供了一个正确的令牌代码，就可以高度确信该用户就是拥有安盟SecurID身份认证令牌的合法用户。每个身份认证令牌拥有一个唯一的种子号，种子号是区分身份认证令牌的根本方法。一个用户可以绑定多个身份认证令牌（最多三块）。 安盟公司提供的身份认证令牌在产品设计、生产、运输等过程中严格按照国际标准执行，产品符合：ISO 13491-1：银行-安全加解密设备、ISO 8732(密码生成)、ANSI*9.32(数据加密标准)、ISO 11568(密匙管理)、ISO 9797(消息认证码，MAC)。以及EN61000-6-2标准、Method RS101，MIL-STD-461D、EN55022标准、ISO7816-1等。 安盟身份认证令牌的技术参数如下： 年误差不超过30秒 种子长度为128位 工作极限温度：－20～+70℃ 工作湿度范围：5％～90% 工作海拨范围：0到4000米。 可抗1M的自由跌落 防高频辐射能力达到EN61000-6-2标准的要求 防低频辐射能力达到Method RS101，MIL-STD-461D标准的要求 信号辐射达到EN55022标准的要求 安盟硬件令牌的耐化学性、耐紫外线、耐磁、耐静电等物理特性达到ISO7816-1标准的要求 2）安盟身份认证代理软件 安盟身份认证代理软件就象安全卫士，可以用它来保护各种网络设备、计算主机平台和应用系统。安盟身份认证代理软件能够保护NT域及UNIX服务器、大