基于时间同步的身份认证解决方案.docxVIP

基于时间同步的动态口令身份认证解决方案方案背景随着Internet网络技术的飞速发展，电子商务、电子政务、企业内部网的信息管理、Internet网络信息服务已获得广泛应用，由此造成许多重要的信息和机密的资料都存放在计算机或网络上。如何有效识别合法用户并使其能安全地使用受限资源，成为当前网络安全研究的一个重点，其中对网络用户进行身份认证就是其中一项必要手段。身份认证是企业内部系统安全中最重要的问题，只有在进行安全可靠的身份认证的基础上，各种安全系统才能最有效地发挥安全防护作用，也只有完成了身份认证才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。统一的身份认证平台可以提供有效、可靠的账户集中式管理机制。帐号安全保护是提供服务方向服务使用方提供的一项关于帐号的安全保护措施。网上银行、证券及网络游戏等系统的用户资金或虚拟资源正受到越来越严重的安全威胁。例如前段时间的CSDN用户账号密码遭泄露的事件，中国民生银行和中国工商银行等银行用户信息泄露事件，向我们证明身份认证是保护信息系统安全的第一道大门。需求分析基于政府办公信息系统的行业特点，网络安全显得尤其重要。政府办公系统中有大量需要保密的信息，必须对访问系统的人员进行严格的身份认证。目前，公司有3个项目：能源局评审管理系统，大唐集团投资系统二期，湖南省经信委煤电油气运，按照三个项目的业务性质和用户对系统安全的明确要求的标准，以用户名+固定口令的传统的静态口令认证技术作为用户在政府办公信息系统网络中唯一合法的身份标识已不能满足安全的需要。因为传统的静态口令认证技术是通过口令的匹配来确认用户的合法性，这种身份认证方式就是用户名口令核对法：系统为每一个合法用户建立一个ID/PW对，当用户登录系统时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名，口令与系统内已有的合法用户的ID/PW 是否匹配，来验证用户的身份。这种以固定口令为基础的认证方式存在很多问题，最明显的有以下几种：1、为了便于记忆，用户多选择常用词作为密码，因此很容易被猜测和破解。2、密码容易扩散，或者容易得到。例如：趁着操作者输入密码时，在其后偷窥；或者在电脑中放入木马程序，记录操作者输入的数据；再有可以拦截传输的数据，进行分析查找到密码。3、密码可以被多人使用，无法统计真实地使用情况。随着动态口令认证技术的不断发展，应用也日趋广泛。像我们非常熟悉的网易将军令，盛大密保等，这些都是那些大型游戏开发商提供的帐号安全保护措施。它们的基本原理都是动态口令。综合考虑目前各种身份认证技术的特点，利用动态口令技术解决政府办公信息系统的身份认证安全问题是最切实可行的方案之一。基本概念介绍动态口令(Dynamic Password)也称一次性口令(One-time Password)。动态口令的主要思路是：在登陆过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登陆过程安全性。例如：登陆密码=E(用户名，密码，时间)，系统接收到登陆口令后做一个验证即可验证用户的合法。采用不同的不确定因素，形成了不同的动态口令认证技术：基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战/应答方式的非同步(Challenge/Response Asynchronous)认证技术。挑战/应答机制用户要求登陆时，服务器端产生一个挑战码(随机数)发送给用户。客户端用某种单向散列算法将用户的秘密口令和随机数进行运算，把结果(应答数)发给服务器，服务器用同样的方法做验算即可验证用户身份。对于用户来说，进行一次身份认证的操作多达5个步骤。尽管提高了认证的可靠性，但增加了客户端和认证服务器的交互次数，认证过程复杂。事件同步机制这种方法的原理是通过某一事件的序列及种子密钥作为输入值，通过散列算法运算出密码。也就是说用户输入一次ID就会产生一个密码，变化单位是用户的使用次数，如果客户端和服务器端所算出的密码一致，就认证了用户的合法身份。这种动态口令产生机制是依赖于一组有序数列中的下一个数据，该数据不具有随机性，安全性较差，易受到恶意用户的攻击。时间同步机制以用户登陆时间作为随机因素。这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法。基于时间同步的动态口令方案综合基于时间同步的动态口令认证方式是最高效的，操作简单和安全可靠等因素，本方案采用基于系统时间同步的动态口令来实现身份认证。该方案是一种原理简单、操作简便、安全性高、稳定性好、适用范围广、易推广的身份认证方法。实现原理基于时间同步的动态口令身份认证的主要特点是选择单向散列函数作为认证数据的生成算法，以PIN码(即个人识别码，通常是动态口令卡的开机密码或其他身份识别码)和时间值作为单向散列函数的输