基于时间同步的身份认证解决方案.pdf

博观而约取，厚积而薄发。——苏轼

基于时间同步的动态口令身份认证解决方案

一、方案背景

随着Internet网络技术的飞速发展，电子商务、电子政务、企业内部网的信

息管理、Internet网络信息服务已获得广泛应用，由此造成许多重要的信息和机

密的资料都存放在计算机或网络上。如何有效识别合法用户并使其能安全地使用

受限资源，成为当前网络安全研究的一个重点，其中对网络用户进行身份认证就

是其中一项必要手段。身份认证是企业内部系统安全中最重要的问题，只有在进

行安全可靠的身份认证的基础上，各种安全系统才能最有效地发挥安全防护作用，

也只有完成了身份认证才可能安全、高效地开放和共享各种网络资源、系统资源、

信息资源。统一的身份认证平台可以提供有效、可靠的账户集中式管理机制。

帐号安全保护是提供服务方向服务使用方提供的一项关于帐号的安全保护

措施。网上银行、证券及网络游戏等系统的用户资金或虚拟资源正受到越来越严

重的安全威胁。例如前段时间的CSDN用户账号密码遭泄露的事件，中国民生

银行和中国工商银行等银行用户信息泄露事件，向我们证明身份认证是保护信息

系统安全的第一道大门。

二、需求分析

基于政府办公信息系统的行业特点，网络安全显得尤其重要。政府办公系统

中有大量需要保密的信息，必须对访问系统的人员进行严格的身份认证。

目前，公司有3个项目：能源局评审管理系统，大唐集团投资系统二期，湖

南省经信委煤电油气运，按照三个项目的业务性质和用户对系统安全的明确要求

的标准，以用户名+固定口令的传统的静态口令认证技术作为用户在政府办公信

息系统网络中唯一合法的身份标识已不能满足安全的需要。

因为传统的静态口令认证技术是通过口令的匹配来确认用户的合法性，这种

身份认证方式就是用户名口令核对法：系统为每一个合法用户建立一个ID/PW

对，当用户登录系统时，提示用户输入自己的用户名和口令，系统通过核对用户

博观而约取，厚积而薄发。——苏轼

输入的用户名，口令与系统内已有的合法用户的ID/PW是否匹配，来验证用户

的身份。这种以固定口令为基础的认证方式存在很多问题，最明显的有以下几种：

1、为了便于记忆，用户多选择常用词作为密码，因此很容易被猜测和破解。

2、密码容易扩散，或者容易得到。例如：趁着操作者输入密码时，在其后偷

窥；或者在电脑中放入木马程序，记录操作者输入的数据；再有可以拦截传输的

数据，进行分析查找到密码。

3、密码可以被多人使用，无法统计真实地使用情况。

随着动态口令认证技术的不断发展，应用也日趋广泛。像我们非常熟悉的网

易将军令，盛大密保等，这些都是那些大型游戏开发商提供的帐号安全保护措施。

它们的基本原理都是动态口令。综合考虑目前各种身份认证技术的特点，利用动

态口令技术解决政府办公信息系统的身份认证安全问题是最切实可行的方案之

一。

三、基本概念介绍

动态口令(DynamicPassword)

也称一次性口令(One-timePassword)。动态口令的主要思路是：在登陆过程

中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登陆过程安

全性。例如：登陆密码=E(用户名，密码，时间)，系统接收到登陆口令后做一个

验证即可验证用户的合法。采用不同的不确定因素，形成了不同的动态口令认证

技术：基于时间同步(TimeSynchronous)认证技术、基于事件同步(Event

Synchronous)认