首页
联系我们
自主产品
安全产品
存储和数据
解决方案
合作伙伴
客户案例
公司简介
安全产品
网络准入控制系统
数据库审计系统
4A系统
4准系统
Anchiva 防病毒网关
动态口令认证系统
SSL VPN 远程接入系统
Linux/Unix权限管理系统
联系我们
致电 (8610) 6297-9918
(8610) 6297-5581
或
发送电子邮件
加入UTrust渠道计划
详情
动态口令认证系统
动态口令认证系统
为解决静态口令安全性的问题,在90年代出现了动态口令技术。动态口令技术也称为一次性口令技术,即用户每次登录系统时都使用不同的口令,这个口令用过后就立刻作废,不能再次使用。动态口令技术也就是业界广泛提到的多因素身份认证方式,或是双因素身份认证方式的一种。它是动态口令牌,口令牌生成的口令和口令牌自身保护的PIN码等多种因素的一种结合,来达到判别用户的唯一身份。
1. 如何使用动态口令
使用动态口令认证时,需要用户持有"认证器"或者"口令牌",它们是用来生成动态密码的装置。动态口令技术即通过"口令牌"得到随时变化的、不可预知的、一次性有效的口令,客户在登录时用动态口令代替固定口令,通过认证后,该口令即失效,既有效的提高了身份认证的安全性,同时免除了用户记忆密码和经常需要更换密码的麻烦。
2. 动态口令分类
到目前为止,动态口令技术主要应用发展分为三种:时间同步技术,事件同步技术和挑战/应答(异步)技术。
时间同步:基于令牌和服务器的时间同步,通过运算来生成一致的动态口令,基于时间同步的令牌,一般更新率为60秒,每60秒产生一个新口令。
事件同步:基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,在算法中运算出一致的密码。用户每次登录时按一下口令牌生成一个口令,服务器在用户登录时每次生成一个口令与口令牌中的口令进行对比。
挑战/应答(异步):也称为异步令牌,其令牌和服务器之间除相同的算法外没有需要进行同步的条件,用户登录时每次由服务器传过来一个挑站值,用户将挑站值输入到口令牌中计算口令,并将计算的口令输入再回传给服务器进行认证,就像两个人对暗号一样,暗号对上,认证就通过。
3. 动态口令系统组成
动态口令认证系统一般由三个部份组成:
动态口令令牌:硬件设备,像一个小的计算器,用来生成口令,可以随身携带。
动态口令认证服务器:认证服务器端是动态口令认证系统的核心,负责响应认证系统客户端所发过来的用户认证请求(动态口令),完成用户的身份认证。
代理软件(Agent):Agent(代理软件)以及基于各种标准的访问协议(如RADIUS协议)构成认证转发点,安装在受保护的系统上,负责将用户的认证请求转发到认证服务器端;
4. 动态口令牌
对于上述的这三种技术都需要用户持有一个"认证器"或是"口令牌"来生成动态密码。而为防止动态口令牌丢失时,被别人盗用,一般口令牌使用PIN码保护,根据PIN码保护的形式不同,令牌又具有如下两种特征:
软Pin码保护:软Pin码是在密码输入窗口输入动态密码时,同时输入的个人记忆的静态口令,将其和令牌生成的动态密码一同输入弹出的用户名口令窗口,传送到服务器端实现认证。
硬Pin码保护:硬Pin码既是在开启口令牌时要求输入的记忆密码,不知道该密码的人员不能使用口令牌,既不能开机,类似于手机的Pin码,这个PIN码不会再输入到弹出的登陆窗口。
由于软Pin码每次用户登录时均在网络中传输,又由于该密码的传输过程中并不进行加密,故易被窃听,故在安全级别较高的情况下,建议使用有数字键盘的可以用硬Pin码进行保护的硬件口令牌,从而杜绝安全漏洞。
5. 动态口令应用
动态口令作为一种强身份认证机制,其更适用于对网络设备的认证应用。在当前越来越广泛使用数字证书或USB Key的身份认证方式的情形下,动态口令在对网络设备方面的认证不可取代。USB Key对Windows服务器登录,Telnet登录都有局限性,而动态口令在这方面有很好的解决方案。
动态口令可以保护以下的系统:
拨号服务器及路由器、交换机
防火墙
VPN系统
Citrix
MS Windows NT/2000域和服务器
UNIX 系统(Solaris,HP-UX, AIX, Linux)
RADIUS兼容设备
除此之外,动态口令也提供Authenticaton SDK进行二次开发,用户便能够更好的保护自己的应用系统。
