动态密码系统解决方案
2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+密码的身份验证方式是否依然适合今天的互联网?
1、传统“账号+密码”身份验证方式的优缺点
传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点,比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面:
(1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护;
(2)、静态密码安全性低,容易遭受各种形式的安全攻击;
(3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密;
(4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。
因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。
2、企业/个人到底需要什么样的身份验证方式?
无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种:
(1)、动态令牌
动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。
动态令牌简单、易用,且由于口令不断变化,口令用过之后立即作废,所以安全性较静态口令有较大
幅的提高。它有多种形态,如硬件令牌、软件令牌、手机令牌、短信令牌等,且应用范围十分广泛,它可以广泛应用于银行、证券、网游、电子商务、电子政务、网络教育、企业信息化等领域,可以保护多种类型的应用系统,如主机、各种网络设备以及各种使用计算机、手机、电话、数字电视等作为操作终端的应用系统。
(2)、智能卡(IC卡)
智能卡(IC卡)内置集成电路芯片,芯片中存有与用户身份相关的数据,并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
另外,智能卡需要配合读卡器使用,因此无论在易用性,还是在成本方面,都比动态令牌稍逊一筹。
(3)、USB KEY
USB KEY是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB KEY内置的密码算法实现对用户身份的认证。基于USB KEY身份认证系统主要有两种应用模式:一是基于冲击/响应的认证模式,二是基于PKI体系的认证模式,目前运用在电子政务、网上银行。由于USB KEY采用软硬件相结合、一次一密的强双因子认证模式,所以它的安全级别较动态令牌高。
但是,USB KEY在使用时需要在客户端安装软件,且需要插入到客户端才能使用,对客户端的接口有限制,所以应用范围也受到了限制。因此USB KEY在易用性和应用范围方面比动态令牌稍弱一些。
(4)、生物识别技术
生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括:声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括:签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术;将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术;将血管纹理识别、人体气味识别、DNA识别等归为“深奥的”生物识别技术,指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。
采用生物识别技术进行身份认证时,必须在客户端安装采集生理特征或行为方式的输入设备,它可能会存在误认和误拒的现象,可能会导致正确的用户被拒绝访问,而非法用户被允许访问等情况的发生。同时,它的应用范围也有所限制,例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器等应用中。
个人或企业可以根据其对应用安全等级的实际需求选择相应的身份认证技术,例如,针对安全性要求很高的应用(如较大金额的网上交易等)中,可以选用USB KEY来进行身份认证;如果对于安全性要求一般,同时要求易用性的场合下,比如小额支付或移动互联网身份认证,都可以选用动态令牌来进行身份认证。
3、双因素身份认证的原理与应用
身份认证是在计算机网络中确认操作者身份的过程,对用户的身份认证基本方法可以分为这三种:
(1) 根据用户所知道的信息来证明用户的身份,如静态密码等;
(2) 根据用户所拥有的东西来证明用户的身份,如动态令牌、智能卡、USB Key等;
(3) 根据用户所具有的生物特征来证明用户的身份,如指纹、虹膜、语音等。
所谓的双因素身份认证,就是将以上任意两种认证方法结合起来,对用户的身份进行认证。双因素身份认证将进一步加强认证的安全性。目前使用比较广泛的双因素身份认证方案有:静态口令 + 动态令牌;静态口令 + USB KEY等。
双因素身份认证的应用领域十分广泛,它可以广泛应用于银行、证券、网游、电子商务、电子政务、网络教育、企业信息化等领域,可以保护多种类型的应用系统,如主机、各种网络设备以及各种使用计算机、手机、电话、数字电视等作为操作终端的应用系统。
双因素身份认证可以普及到用户日常网站、论坛的登录中,用户日常网站、论坛在采用双因素身份认证方式时,可以采用网站、论坛原来的登录密码作为一个认证因素,再将动态令牌、USB KEY等作为另外一个认证因素,构成双因素认证机制。通过采用双因素身份认证,可以为日常网站、论坛的登录提供更高安全级别的保障。
双因素身份验证实现的难易程度要根据所选择的认证因素类型来决定。目前使用比较广的双因素身份验证方式有“静态口令 + 动态令牌”和“静态口令 + USB KEY”,这两种方式都需要通过后端认证平台和终端设备配合起来实现的。采用不同类型的认证因素,对于普通用户和企业的要求也不一样。但是总的来说,目前的采用的双因素身份验证方案都较成熟,且已经有较多的应用经验,所以实施起来并不复杂。从使用和维护的角度,对于普通用户和企业来说,门槛也不高。
相比较而言,动态令牌的实施部署和维护成本比较低,而USB KEY的实施维护成本非常高,同时,使用USB KEY需要用户有较高的电脑专业知识。
另外,双因素身份验证的成本也需要根据所选择的认证因素类型来决定。双因素身份验证需要由后端认证平台和终端设备配合起来实现,所以成本也需要包含这两方面。就目前的应用情况来看,主流的双因素身份验证方式的总体成本还是能让大家接受的。
4、完整的企业数据保护方案是这个样子的……
双因素身份验证主要在验证用户身份合法性方面起保护作用,以防止非法人员盗用、冒用合法用户身份登录到应用系统进行非法操作。对于企业的数据安全,除了身份验证保护之外,还需要从以下几方面来确保企业的数据安全:
(1)、数据加密。保存有机密数据的移动设备容易丢失或被盗,而通过公司网络或互联网传输的数据可能会遭到截取,这将会给企业重要数据带来巨大风险。因此,对于重要、敏感数据,需要对数据进行加密之后再存储或传输。数据加密可以采用各种加密算法来实现。
(2)、数据备份。数据备份对于保护企业数据安全来说,是十分必要的。如果由于系统故障、人为误操作或其它因素导致的数据丢失,则需要通过备份的数据来恢复数据。
(3)、数据丢失(泄漏)防护。目前,大多数企业比较关注外部威胁,而忽略了企业内部漏洞,特别是由于企业自身的行为无意引起的数据泄漏,例如数据存储设备(手提电脑、U盘等)的丢失造成的数据泄漏,已经给企业的数据安全带来了巨大的威胁,这也加大了企业对数据泄漏防御(DLP)技术的需求。
(4)、数据保护其它措施。除了上述措施之外,企业还需要有合理的数据管理、数据保护策略和条例,来保护重要数据不受损害、窃取和篡改。
5、双因素身份验证技术的未来
随着信息化程度的深化、应用不断变化以及客户个性化需求的不断提出,认证因素将呈多样性的发展趋势,同时,随着移动通讯技术、云计算等各种新技术的发展,结合了这些新技术的双因素身份验证方案也将会得到广泛的关注和应用。
号令双因素身份认证系统是在终端设备和后台认证系统配合下实现的,是国内首家开放双因素身份认证系统提供商,号令手机令牌在易用性、方便性、应用灵活性等方面得到进一步发展;而后台认证系统将会朝着可以为各种认证终端设备提供统一身份认证的方向发展,同时在性能、稳定性、兼容互通性等方面将得到进一步提高。
关于号令
号令手机令牌是由十指科技研发,意在打造一个开放的平台,基于OTP动态口令技术,为所有接入合作的应用系统及其用户,提供永久免费的银行级账号安全服务。保护范围包括:论坛、微博、聊天账号,网盘、管理、办公账号,前台、后台账号,交易、理财账号、银行、证券账号,社交、邮箱、积分账号,网购、支付、游戏账号等,账号的每一步关键操作,号令都可以贴身保护。
一种实现双向认证的动态口令身份认证方案 来源:网店装修 https://www.doczj.com/doc/306531581.html, 摘要本文在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。 关键词双向身份认证、动态口令、同步重调,动态身份认证系统 身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切安全机制的基础。这也就使之成为黑客攻击的主要目标。因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。 就国内外身份认证技术的发展情况来看,最传统的身份认证方式是帐号——口令方式;新兴的身份认证方式包括:生物特征识别法、动态口令<又称一次性口令)认证法等。本文中主要展开对动态口令认证法的讨论和研究。 1 背景知识介绍 1.1 PKI体系 PKI PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口 动态密码是什么 号令手机令牌的动态口令是根据专门的算法每隔30秒生成一个与时间相关的、不可预测的随机数字组合(One-time Password),每个口令只能使用一次,每天可以产生2880个密码。用户进行认证时候,除输入账号和静态密码之外,必须要求输入动态密码,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。 号令手机令牌最大的优点在于,用户每次使用的口令都不相同,使得不法分子无法仿冒合法用户的身份。动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户口令、假网站等多种网络问题,导致用户的财产或者资料的损失。 动态密码的产生因子一般都采用双运算因子(Two Factor): 其一,为用户的私有密码。它代表用户身份的识别码,是固定不变的。 其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态密码。采用不同的变动因子,形成了不同的动态密码认证技术:基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战/应答方式的非同步(Challenge/Response Asynchronous)认证技术。 其中动态密码的分发方法中,常见的有:口令牌,手机软件令牌,短信发送,密码卡等。这些方法的最大问题是成本问题和操作问题,这些问题直接导致在普及过程中出现了很多的障碍。由于这些障碍,很多没有使用双因素验证的个人或企业正在或将会蒙受严重的损失。除此之外,也存在着短信发送延迟、手机软件令牌存在兼容性、密码卡易丢失易损坏等问题。动态密码的应用范围广泛,包括网上银行、游戏、ATM、企业网络管理系统等一切同身份认证相关的应用。特别是随着木马攻击模式的转换,动态密码是目前最安全的解决手段 动态密码作为最安全的身份认证形式,目前已经被越来越多的行业所应用。动态密码技术已成为身份认证技术的主流,在全球的银行业得到了广泛的应用。国内外从事动态密码研发和生产的企业也越来越多,十指科技网络是专注于动态密码身份认证研发企业,其优势是动态令牌形式丰富,完全自主研发的号令动态密码身份认证软件系统稳定、高效、支持多种认证模式,它是国内唯一一家的能够提供免费动态密码整体解决方案厂商。动态密码是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。动态密码是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态密码就无需定期密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。 号令手机令牌是由十指科技研发,意在打造一个开放的平台,基于OTP动态口令技术,为所有接入合作的应用系统及其用户,提供永久免费的银行级账号安全服务。保护范围包括:论坛、微博、聊天账号,网盘、管理、办公账号,前台、后台账号,交易、理财账号、银行、证券账号,社交、邮箱、积分账号,网购、支付、游戏账号等,账号的每一步关键操作,号令都可以贴身保护。 RSA动态口令生成原理 关于动态口令生成方式的简要说明为解决静态口令安全性的问题,在90年代出现了动态口令技术,到目前为止,该技术的应用成果和大体情况如下:动态口令技术主要分两种:同步口令技术异步口令技术→挑战应答同步口令技术中又分为:基于时间的同步口令基于事件的同步口令其主要的技术比较如下:时间同步:基于令牌和服务器的时间同步,通过运算来生成一致的动态口令,基于时间同步的令牌,一般更新率为60S,每60S产生一个新口令,但由于其同步的基础是国际标准时间,则要求其服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求,从而降低系统失去同步的几率,从另一方面,基于时间同步的令牌在每次进行认证时,服务器端将会检测令牌的时钟偏移量,相应不断的微调自己的时间记录,从而保证了令牌和服务器的同步,确保日常的使用,但由于令牌的工作环境不同,在磁场,高温,高压,震荡,入水等情况下易发生时钟脉冲的不确定偏移和损坏。故对于时间同步的设备进行较好的保护是十分必要的,对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用 的影响,但对于超出默认(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步,必须返厂或送回服务器端另行处理。同样,对于基于时间同步的服务器,应较好地保护其系统时钟,不要随意更改,以免发生同步问题,从而影响全部基于此服务器进行认证的令牌。事件同步:基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,在DES算法中运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响,令牌中不存在时间脉冲晶振,但由于其算法的一致性,其口令是预先可知的,通过令牌,你可以预先知道今后的多个密码,故当令牌遗失且没有使用PIN码对令牌进行保护时,存在非法登陆的风险,故使用事件同步的令牌,对PIN码的保护是十分必要的。同样,基于事件同步的令牌同样存在失去同步的风险,例如用户多次无目的的生成口令等,对于令牌的失步,事件同步的服务器使用增大偏移量的方式进行再同步,其服务器端会自动向后推算一定次数的密码,来同步令牌和服务器,当失步情况经非常严重,大范围超出正常范围时,通过连续输入两次令牌计算出的密码,服务器将在较大的范围内进行令牌同步,一般情况下,令牌同步所需的次数不会超过3次。但在极端情况下,不排出失去同步的可能性,例如电力耗尽,在更换电池时操作失误等。此时,令牌仍可通过手工输入由管理员生成的一组序列值来实现远程 认证方式比较 1.认证方式总述 我们日常工作中设置的各种认证保护措施,都可以归纳为三种:他知道的内容、他持有的证明和他就是这个人。他知道的内容可以是一个密码,个人的身份证号或者母亲的姓名等,通过他知道的内容的方式进行认证是最经济的,但同时也是最不安全的;他持有的证明可以是证书、钥匙和门卡等,这种认证方式很容易丢失;他就是这个人指的是生物认证识别,可以唯一标识出你就是这个人。上面的三种方式单独一种都有各自的制约条件,因此出现一种加强认证,加强认证至少包含上面三项认证方式中的任意两项。 2.分类说明 用于身份认证的加密方式大致分为:静态口令、动态口令(令牌)、数字证书、生物识别和智能卡。 2.1静态口令 静态口令的实际就是一个口令字,口令字是一个受保护的字符串,通常用于个人身份的认证,口令字属于上面三种方式中的“他知道的内容”。口令字是日常使用最为普遍的一种认证方式,但是安全性也是最脆弱的一种认证方式,口令字很容易被别人偷窥或者通过猜测你的名字、生日、配偶的名字等猜测出来,复杂的口令字用户很难记住,因此常常会将口令写到便签纸上,这样就很容易给别人可乘之机。 2.2动态口令 动态口令也叫做一次性口令字,它比静态口令安全的多,用户在一次应用中使用一个动态口令,在操作完成以后将废除这个口令字,因此黑客即使获得了动 态口令也是没有用的。动态口令一般分为两种:同步和异步,主要是通过与服务器通讯的硬件令牌产生。同步的动态口令是硬件令牌与服务器端的进行同步的设置,这种同步可以是基于时间的同步,也可以是基于事件的同步,根据同步的类型硬件令牌生成一次性口令字,同时服务器端也可以认证这个口令的有效性;异步的动态口令是硬件令牌通过与服务器完成质询/应答的过程进行认证口令的。 2.3数字证书 数字证书其本质是利用公私钥的数据加解密技术来实现身份认证的技术。数字证书技术是一种完全区别于口令字的一种认证方式,它是一种非对称算法实现的一种公钥机制,它可以完成数据的通明加解密和签名验签。用户的公钥将暴露给外面的任何人,私钥只能由自己保存不能外泄,这样就保证了别人用我的公钥加密后只能由我解密获得信息,这种加解密技术主要是运用数学中的大数分解的原理,因此很难被破解。 2.4生物识别 生物识别的种类大致可以分为:指纹、手掌扫描、手形扫描、视网膜扫描、虹膜扫描等。生物识别技术是最不容易被仿冒和破译的一种认证方式,它可以代表一个真实的主体。对于生物识别技术的应用目前还是在很少的范围内,原因有两个:一是技术还不够成熟,二是生物识别的造价过高。等误判率(crossover error rate,CER)是衡量一种生物识别技术好坏的重要参数,它是两种错误判断的一个比例值,一是错误接收,另一个是错误拒绝。生物识别技术安全系数最高,几乎无法被仿冒和破译,但是由于它的造价过高和CER指数的过高导致了这种技术的应用还不够广泛。 2.5智能卡 由于智能卡本身就是一个微处理器和集成电路,所以智能卡有处理信息的能力。由于智能卡能够处理存储在其中的信息,因而它提供了双因子认证,这是因为他需要用户输入PIN码才能打开智能卡。这就意味着用户必须提供“他知道的 Authwlan无线动态密码认证系统简介 AuthWlan WMS无线动态密码认证系统旨在为客户提供无线Portal动态密码认证整体方案。 AutWlan支持多种认证方式满足不同行业客户需求、强大无线策略可确保无线安全、结合WIFI广告投放满足客户个性化营销需求以及无线运营报表实现对无线运营的整体感知。 AuthWlan迄今已经实现与主流无线设备的无缝对接,并成功应用与银行网点、商场、企业、连锁,解决其WIFI安全管理及商业增值问题,是国内最为领先的无线动态密码portal 认证整体方案。 多种无线认证方式 Authwlan可支持手机号+短信动态密码、域账号+密码、微信获取临时账号密码、二维码扫描四种方式。 商城) 与主流无线设备无缝对接 AuhWlan支持瘦AP+AC的无线网络架构,已成功实施包括Cisco、Aruba、Ruckus、Juniper、H3C、华为、中兴、Aerohive、傲天动联、三元达、寰创、国人、锐捷、飞鱼星等国内外主流无线品牌。 精准WIFI广告推送 可实现 (1)认证界面前后部署广告,支持图片、视频的广告格式; (2)可实现基于时间段的广告轮播策略; (3)基于SSID及AP分组的精准广告推送策略。 多种无线安全策略 (1)可支持时长、流量、带宽控制,优化网络性能; (2)支持设备终端数量限制,减少网络负荷,同时为不同的用户提供差异化服务;(3)支持短信数量控制,节省短信费用; 为了满足客户的需求,AtuhWlan将提供更多的无线控制策略。 强大报表日志功能 对认证用户的基本信息进行记录,包括用户手机号、上下线时间、分配的IP、使用的流量统计、终端类型、MAC等。 商家可结合报表日志与微信数据,进行基于位置的微信营销。 来自不同行业成功案例 AuthWlan已成功实施银行、企业、酒店、商场、shopping mall、连锁门店、政府机关、售楼中心、展馆等场所,几乎实现行业全覆盖,已成为国内最为领先的无线portal动态密码认证系统,赢得客户的一致信任。 客户名称:中国建设银行上海分行 方案概述:AuthWlan无线动态密码认证系统为中国建行上海分行360家网点针对普通及VIP 顾客无线接入提供Web认证,普通访客通过输入手机号并获取动态密码方式上网,普通访客拥有2小时上网时长;VIP客户通过建行提供的VIP Code及手机号完成认证,VIP客户在该月内、同一台设备在建行网点上网无需再次认证即可联网。 通过结合宁盾WIFI广告投放平台,能够满足WIFI认证前置、后置广告,包括设置广告展示时间、广告轮播策略,拓展新的宣传渠道。 客户名称:银泰百货湖滨店 方案概述:宁盾AuthWlan无线动态密码认证系统帮助银泰湖滨店实现顾客自助式无线接入认证,让商场管理者了解到访门店顾客情况,并结合数据分析可实现动态广告展示,是一套完整的无线认证、审计、数据分析方案,为决策者提供另一种类型数据支持。 客户名称:喜力酿酒(中国)有限公司 方案概述:喜力酿酒(中国)有限公司通过使用AuthWlan无线动态密码认证系统,实现员工和访客实现两种认证流程。员工SSID通过域账号+密码方式认证,访客SSID是通过员工自助开通访客临时无线账号,访客通过手机号及获取动态密码方式认证,实现违规上网行为可追溯。 一种实现双向认证动态口令身份认证方案 摘要在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”咨询题的别脚。关键词双向身份认证、动态口令、同步重调,动态身份认证系统,别可否认基于动态口令的身份认证系统给络安全带来了福音。它的优点,如动态性、一次性、随机性、多重安全性等,从全然上有效修补了传统身份认证系统存在的一些安全隐患。比如,能够有效防止重放攻击、窃听、推测攻击等。但就目前的研究成果、使用事情来看,它同样也存在这别脚,以及技术上的难关。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,如此就别能幸免服务器端的攻击。随着络应用的多样性进展,越来越多的络应用要求可以实现双向认证以确保双发的利益,如电子商务、金融业务等,所以实现双向认证就成为了身份认证的一具必定趋势。关于同步认证技术来说,保证服务器端和客户端的高度同步是必需的。此时怎么保持服务器和众多客户端同步就成了一具技术难关。基于同步认证技术的动态身份认证系统都存在“微小漂浮”咨询题,也即“失步”。目前的解决方法往往是以牺牲口令的随机度来弥补那个缺陷。这无疑给系统带来了很大的安全隐患。固然异步认证技术别存在“极小”咨询题,但是它进行认证的过程比较繁琐,占用通讯时刻太长,效率比较低。针对上面提到的动态口令认证系统的别脚和缺陷设计了一具新方案。该方案采纳双向认证通信协议实现了双向认证,并设计了一种失步重调机制。2.2改进方案2.2.1双向认证通信协议在那个协议中使用了直接信任模型,即客户端和服务器端经过注册时期而建立直接信任关系。(直接信任是最简单的信任形式。两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。)协议中包括两个时期:注册时期、登陆时期。1)注册时期注册时期是为了让Client和Server建立初始信任关系。整个注册过程经过安全信道进行。注册时期中Client和Server交换各自的id和公钥。服务器端将加密后存储。客户端将加密后存储在令牌中。Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R一并用Server的公钥加密后发送给Server。发送完毕后,客户端会将R备份,并启动计时器,若超过一定时刻T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。,,,一种实现双向认证动态口令身份认证方案飞雪 一种基于动态口令的身份认证系统研究 傅德胜1,陈 昕2 (南京信息工程大学 计算机与软件学院, 江苏 南京 210044) 摘 要:身份认证在信息安全中起着非常重要的作用,建立安全的身份认证机制成为终端安全的关键之一。作为一种新型的认证模式,动态口令比传统的静态口令更加安全、可靠。本文阐述了动态口令的原理及现有动态口令方案的缺点,设计了一种新型的身份认证系统,并对其有效性进行了分析。 关键词:动态口令;身份认证;安全性 中图法分类号:TP309文献标识码: A A Study of Authentication System based on Dynamic Password FU De-sheng1, CHEN Xin2 (Department of Computer & software, Nanjing University of Information Science & Technology, Nanjing Jiangsu 210044, China) Abstract: Identity authentication plays a very important role in the system security, establishing a secure authentication mechanism becomes one of the keys in the terminal security. As a new mode of authentication,dynamic password is more secure and reliable than traditional static password. This paper describes the principle of dynamic password and disadvantages of the existing dynamic protocols,designs a new type of authentication system and analyzes the effectiveness of it. Key words: dynamic password; identity authentication; security 0 引言 身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。 目前大部分网络系统所使用的访问控制方法是传统的静态口令认证技术,通过用户名和口令的匹配来确认用户的合法性。但是,随着网络技术的进一步发展,以静态口令为基础的认证方式面临着很多的安全问题,渐渐无法满足用户的需求。动态口令的概念就是在这样的情况下产生的,它采用了基于同步或者异步方式而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。目前,基于动态口令的身份认证系统已应用在电子商务,电子政务,银行,证券等诸多领域。 1 传统的身份认证方式 传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW是否匹配,来验证用户的身份。 这种静态口令认证方式存在很多问题,最常见的是网络数据流窃听、截取/重放、暴力破解、窥探等攻击方式。静态口令的不安全因素是信息系统普遍存在的隐患。基于口令认证的身份鉴别的安全性成为信息安全中迫切需要解决的一个问题,动态口令认证方式应运而1傅德胜,男(1950--),教授,主要研究领域:信息安全 2陈昕,女(1984--),在读硕士研究生,主要研究领域:信息安全 动态密码系统解决方案 2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+密码的身份验证方式是否依然适合今天的互联网? 1、传统“账号+密码”身份验证方式的优缺点 传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点,比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面: (1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护; (2)、静态密码安全性低,容易遭受各种形式的安全攻击; (3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密; (4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。 因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。 2、企业/个人到底需要什么样的身份验证方式? 无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种: (1)、动态令牌 动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。 动态令牌简单、易用,且由于口令不断变化,口令用过之后立即作废,所以安全性较静态口令有较大 基于时间的动态口令令牌技术规范 (修改稿) 《基于时间的动态口令令牌技术规范》编写组 2011年02月 目 次 前言.............................................................................II 1 范围 (1) 2 规范性引用文件 (1) 3 术语和定义 (1) 3.1令牌 (1) 3.2动态口令 (1) 3.3令牌种子 (1) 3.4 SM1算法 (1) 3.5 SM3算法 (1) 3.6 SM3-TOTP计算 (1) 3.7当前时间 (1) 3.8认证服务器 (1) 3.9口令正常 (1) 3.10时间源服务器 (1) 4 技术要求 (2) 4.1 SM3-TOTP计算要求 (2) 4.2 认证实施过程与安全性要求 (2) 附录 A (资料性附录) SM3-TOTP计算用例 (4) 附录 B (资料性附录) SM3-TOTP计算输入输出示例 (5) 附录 C (资料性附录)令牌其他特性 (6) C.1 物理特性要求 (6) C.2 电磁特性要求 (6) C.3 产品元件特性要求 (6) 附录 D (资料性附录)试验方法 (7) D.1 试验条件 (7) D.2 技术要求试验 (7) 前 言 基于时间的动态口令令牌产品因目前无国家标准和行业标准,本规范参照全国各地企业相关现有的技术规范,制定出本规范。本规范适用组织基于时间的动态口令令牌产品的生产和检测产品的依据,其中各项技术指标可随企业的技术进步和产品改进而提高标准。 本规范由上海市密码管理局提出。 本规范起草单位:上海众人网络安全技术有限公司,上海市信息安全行业协会。 本规范主要起草人:谈剑峰,尤磊,单蓉胜。 动态口令身份认证专利技术分析 动态口令能弥补静态口令技术的大部分安全缺陷,广泛应用于身份认证技术中。文章基于CPRSABS和DWPI数据库,对基于动态口令的身份认证技术相关专利进行了梳理和分析,对涉及动态口令技术的研发有较大帮助。 关鍵词:动态口令(OTP);身份认证;技术演进;专利 Abstract:The one-time password (OTP)can make up for most of the security defects of static password technology,and is widely used in identity authentication technology. Based on the databases of CPRSABS and DWPI,this paper sorts out and analyzes the patents of identity authentication technology based on dynamic password,which is helpful to the research and development of OTP technology. Keywords:one-time password (OTP);identity authentication;technology evolution;patent 1 概述 本文以基于动态口令身份认证的专利申请作为分析对象,重点分析全球范围内关于动态口令身份认证专利的四个主要技术分支,研究动态口令身份验证技术的技术发展趋势。 2 技术发展概述 随着网络交易的猛增所带来的安全问题日益突出,动态口令身份认证技术开始受到越来越多人的青睐;美国的RSA公司最早开始本领域的专利申请,2001-2008年动态口令身份认证专利申请量增长显著,2009年其申请量达到一个小高峰,2009年至今整体呈现稳步上升的趋势。本文通过分析专利申请的趋势来梳理动态口令技术的技术发展脉络;总的来说,动态口令身份认证技术专利主要集中在以下几个方面:动态口令的产生、口令的下发、口令表现形式以及动态口令与其他认证方法结合的多重认证技术。 2.1 动态口令的产生 动态口令身份机制需要基于一种密码算法,将用户的身份和某种变动因子作为密码算法的输入参数,输出的结果即为动态口令,不同的变动因子构成了不同的动态口令产生技术。 90年代基于动态口令的身份验证技术开始萌芽,美国RSA公司成功研制了基于时间同步的动态口令认证系统RSA SecureID,RSA于1984年抢先进行了专利布局,申请了基于时间同步的动态口令相关专利(US4720860B),其提供一个用户身份唯一标识码以及动态变量,通过预定的算法生成一个不可预测的码,该 安盟动态口令身份认证系统 产品说明文档 1动态口令身份认证系统原理 在传统的静态口令验证系统中,由于口令为“一次设置,重复使用”,由于口令的重复使用而增加了口令丢失和破解的危险性,降低了系统的安全系数,特别是在互联网环境下,黑客、木马和病毒泛滥,使得静态口令更加容易被泄露,造成企业信息系统和资源的非授权访问,导致直接经济损失和间接的信誉和商誉损失。 所以,除了用户记忆的静态口令外,还需要增加一个物理因素,如令牌,这样采用你所知道的(记忆的静态密码)和你所拥有的(令牌)两个要素构成有效密码,实现严格身份信息验证,而你所拥有的要素必须具有不可复制和篡改的性能。 动态口令认证即是依据上述原理实现的双因素强身份认证系统: 1)本系统以令牌作为信物,实现双因素认证。令牌显示依据种子密钥和时间随机计算的动态口 令,具有不可复制和篡改的性能,而后台认证系统认为,只有持有令牌才可能输入正确的密码,反过来说,只要输入了当前时间点的正确密码,就可以认为持有可信的要素,即令牌。 用户登录时,必须同时验证静态口令(称之为PIN码)和动态口令,只有两者均正确时才能确认用户身份 2)令牌与服务器之间的同步。令牌和认证服务器一般以密钥和时间为基础,每隔一定时间(常 见为60妙)就计算出一个口令,由于令牌和认证服务器双方都共享了对称密钥、时间因子和计算方法,所以计算出来的口令就是同步的和唯一的。 3)一次一密。令牌上显示的密码只有在当前时间点有效,且使用一次即失效,实现高强度的安 全性。 系统的部署结构如下: 解决的主要问题: 1)密码安全管理问题,实现不依赖于客户端安全意识和安全习惯可控的安全性,用户也免于设置复 杂密码、记忆并定期更新之苦。 OWA动态密码认证解决方案 一、面临挑战 OWA是微软Outlook Web Access的简称。通过访问Outlook Web Access页面,邮箱用户可直接使用Web浏览器收发邮件,而不需要安装Outlook客户端软件。 在单一的静态密码验证机制下,登录密码是OWA安全的唯一防线。一旦被非合法用户窃听到OWA的登录密码,就意味着这个人能使用该密码查看到所有的邮件、地址簿等重要信息,可能带来巨大的安全威胁。 在OWA登录环节实现双因素认证,可双重保障邮箱账号安全,防止密码共享、密码泄露,一旦发生安全事件,也可追责到个人,有效控制信息安全威胁,因此不失为一种良策。 二、解决方案 1.宁盾OWA双因素认证解决方案概述 静态密码只能对OWA用户身份的真实性进行低级认证。宁盾双因素认证在OWA原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管OWA帐号的静态密码认证工作。通过在OWA配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。打开OWA 进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成OWA帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。 手机令牌 基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。 PKI身份认证和动态口令身份认证技术比较 ?本文将就网络环境下的PKI认证技术和动态口令认证技术从实现原理、算法安全性、密钥安全性、通信安全性、系统风险性和可实施度六个方面进行技术比较。 1. 身份认证系统概述 对于身份认证而言,其目的就是鉴别网上实体的现实身份,即:网上虚拟实体所代表的现实对象。 举例: Authen(我的账号)网上实体 XXX(姓名隐含) 现实实体 ?现实中能够凭借看到、听到、闻到、接触到、感觉到现实实体的特征来判定对象的真实性。但是在网上如何判定虚拟实体的真实性呢?目前采用各种密码算法的身份认证技术,从表现形式而言有:传统静态口令认证技术、特征认证(如指纹、虹膜)技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术、动态口令身份认证技术等。 本文仅对基于双钥的PKI身份认证技术和动态口令身份认证技术进行探讨。 2. 两种身份认证技术实现原理 2.1 PKI身份认证技术实现原理 采用PKI技术的身份认证系统其基本认证模型为: 2.2 动态口令身份认证技术实现原理 动态口令认证技术有至少两个因子,一个是常量,即电子令牌瞬间触电的种子值;另一个是变量,即时间值。 采用动态口令技术的基本认证模型为: 3. 算法安全性分析 对于采用上述PKI基本模型的认证技术而言,其算法安全性目前可以说是安全的,但是某些PKI身份认证系统在认证流程中采用了简单的签名技术;其认证模型为: 随着2004年8月17日美国加州圣巴巴拉召开的国际密码学会议(Crypto’2004)上,山东大学王小云教授所作的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告,宣告采用该种算法的身份认证技术已不再安全。 根据王小云教授的密码分析成果,现有的数字签名技术已不再可靠;因此现有的某些采用签名技术的身份认证系统实际上已经不能保证网络实体的唯一性。对于采用PKI基本模型的认证技术而言,Authentication需要强劲的运算能力,特别是网内用户数量较多且并发量较高的网络环境。 采用动态口令技术的身份认证系统在国内市场可见,其安全性依赖于算法的严格保密。 4. 密钥安全性分析 采用PKI认证技术基本模型的系统而言,其私钥的安全保管可谓是系统整体安全的重中之重。为防止私钥文件的复制,目前多采用两种私钥载体保存私钥。一种是将私钥固化在IC芯片中,另一种是将私钥写入U-KEY外形的闪存中。 对于固化有私钥的IC芯片,其本身是个微系统,复制难度较大。 存储私钥的U-KEY介质目前分为两类,一种是带微系统的U-KEY,计算过程在U-KEY内完成,只输出结果;另一种是不带微系统的U-KEY,计算过程在计算机内存中完成。后者(不带微系统的U-KEY)可能在计算机内存中被复制或影响计算过程。 采用动态口令技术的身份认证系统,用户持有的动态令牌,其本身物理封装,内含一块电池;设计为断电后芯片数据销毁工艺。Authentication端为软件,运行在计算机内存中;对于其计算过程能否被复制的问题,如上所述。 号令双因素动态密码身份认证解决方案 借助号令双因素身份认证系统,企业能够获得以下收益: (1)提升信息系统安全,消除弱身份鉴别带来的信息泄漏风险 (2)减小静态密码遗忘或定期强制更改密码给员工与IT管理人员带来的开销,节约管理成本 (3)实现多个业务系统密码集中管理机制 (4)与AD/LDAP无缝集成,互享企业统一认证信息 用户成功申请号令手机令牌之后,每次进入系统都必须输入号令客户端提供的动态密码,动态密码输入之后即作废,下次登录时,需通过号令客户端重新取得新动态密码。通过这种动态认证方式,能极为有效的防止木马外挂,病毒,窥探等盗号方式,保护账号安全。 一:背景: 由于目前频频出现网络用户账号泄露的不安全事件,为了保护我们的用户账号以此研发手机密令基于智能手机,可为各类手机支付、手机端购物及各类手机智能客户端应用提供二次加密保护,它是3G时代账号保护和身份认证服务的必然发展趋势。 二:号令概述: 1、号令“双因素动态密码身份认证系统”是一种采用时间同步技术的双因素认证系统。 2、号令双因素动态密码身份认证系统”采用动态的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。 3、号令手机令牌,它是一款基于OTP技术(One Time Password)的软件令牌,可直接下载至手机,通过智能手机屏幕每隔30秒展现一组6位数字的动态密码,可应用于云计算和应用、企业内网应用统一认证、电子商务、网络游戏、银行、证券等行业的各类账号保护和二次验证操作保护等。所有的账号及身份认证可集成在同一个客户端,用户只需拿起手机就能方便查阅到各账号登录所需动态密码,从此甩掉随身携带各种硬件的烦恼。 三:流程逻辑 动态口令双因素认证及其应用_动态口令认证失败 摘要:身份认证是信息安全技术领域的一个重要部分,文章阐述了身份认证的主要因素和动态口令双因素认证的机制,并详细分析了动态密码双因素认证技术在各种信息系统中的应用。关键词:双因素认证;动态口令;一次性口令;信息安全技术0 引言目前最普遍采用的身份认证机制是结合用户ID和密码的身份认证方案,它已经被广泛的应用于各种网络和系统中。用户的密码过于简单或容易被猜中,用户使用密码存在不良习惯,都可能造成密码的失窃。许多企事业单位开始意识到密码已经不能满足他们对关键信息资源保护的需求,开始着手实施更可靠的身份认证方案来保护他们的信息资源。目前主要采用的强认证方案是动态口令双因素认证方案。 1 双因素身份认证在信息安全领域,对共享信息资源保护的第一步就是实施一种用户身份认证服务。通常这―服务基于指定的用户ID,系统或者网络通过某种方式识别出使用者,这个过程就是身份认证(Authentication)。身份认证是最重要的安全服务,也是其他安全控制的基础,比如访问控制机制基于用户ID来分配信息资源,日志记录机制基于用户ID控制用户的访问和使用信息”。身份认证过程是基于“某种信息片段”如密码、指纹等进行的,这些信息片段被称为认证因素(Authentication factor)。认证因素通常可以分为以下三类:第一类因素是指“你所具备的特征(something you are)”,通常是使用者本身拥有的惟一生物特征,例如指纹、瞳孔、声音等。第二类因素是指“你所知道的事物(something you know)”,通常是需要使用者记忆的身份认证内容,例如密码和身份证号码等。第三类因素是指“你所拥有的事物(Something you have)”,通常是使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。采 动态短信密码验证功能系统解决方案 摘要:为进一步丰富网上银行等电子支付渠道安全手段,改善 客户安全体验,各商业银行正在陆续推出短信验证服务,通过动态 短信码方式实现账户转账、发放贷款等金融服务。但随着短信验证 服务在网银、手机银行、自助终端等各渠道的应用推广,短信验证 系统、短信平台与应用系统的关系越来越复杂,本文将介绍商业银 行基于现有短信平台的两种系统解决方案。 关键词:电子支付;短信验证;解决方案 中图分类号:tn918 文献标识码:a 文章编号:1007-9599 (2013) 04-0000-02 1 引言 随着电子商务及网络金融的普遍发展,网上银行等电子支付方 式给人们的生产、生活带来了前所未有的变化。但伴随着网络安全 事件的频频发生,安全问题依然成为各金融机构面临的严峻问题, 目前各商业银行普遍采取的安全认证方式有动态口令、数字证书、 短信密码或者上述几种方式的组合,其中短信密码由于具有算法独 立性、密码时效性高、安全性较其他方式更好,成为近年来各商业 银行所大力推行的认证方式。本文将介绍短信密码验证系统的系统 解决方案。 2 短信密码验证系统功能 短信密码验证系统是通过sms(短信)将包含一次性密码发送 到用户手机中,用户以此作为登录、支付、查询环节的密码认证或 者公共场所上网凭据。主要有短信密码生成模块、短信密码验证模 块以及短信密码管理服务模块组成。其中短信密码生成模块负责接 收应用系统短信密码生产请求、实现对短信密码生成算法的封装, 并根据不同账号、手机号等信息生成与时间关联的唯一的密码;短 信密码验证模块负责与各种应用系统的短信密码认证对接,实现短 信密码的验证算法的封装,并为应用系统返回验证结果,认证逻辑 中间件可扩展、可定制,具有高稳定性和高并发性;短信密码管理 服务是指对短信密码生命周期中状态的管理,包括短信密码的启用、作废等状态管理功能。 3 短信密码验证系统与应用系统集成方案 3.1 方案介绍 Windows Server动态密码认证方案 一、面临挑战 Windows Server是微软的服务器操作系统,可以实现对计算机硬件与软件的直接控制和管理协调。任何服务器的运行都离不开操作系统。 弱口令一直是服务器数据泄露的一个大症结。仅采用一种方式(用户名+密码)进行Windows Server的登录鉴别,若静态密码被暴力破解或泄露,会导致合法用户身份被冒用。冒用者能够随意复制、删除、破坏Windows Server中包含的敏感数据,可能造成不可估量的经济损失。 在Windows Server登录环节实现双因素认证,可双重保障账号安全,防止密码共享、密码泄露,一旦发生安全事件,也可追责到个人,有效控制信息安全威胁。 二、解决方案 1.宁盾Windows Server双因素认证方案概述 静态密码只能对Windows Server用户身份的真实性进行低级认证。宁盾双因素认证在Windows Server原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管Windows Server帐号的静态密码认证工作。通过在Windows Server配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。打开Windows Server进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成Windows Server帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。 手机令牌 基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP动态密码的原理
RSA动态口令生成原理
认证方式比较口令、动态口令、证书和指纹
Authwlan无线动态密码认证系统介绍
一种实现双向认证动态口令身份认证方案
基于动态口令的身份认证机制及其安全性分析
动态密码系统解决方案
基于时间的动态口令令牌技术规范
动态口令身份认证专利技术分析
安盟动态口令认证系统产品说明书
OWA动态密码认证解决方案
PKI身份认证和动态口令身份认证技术比较
双因素动态密码身份认证解决方案
小度写范文动态口令双因素认证及其应用_动态口令认证失败模板
活动方案之动态短信密码验证功能系统解决方案
Windows Server动态密码认证方案
相关主题
文本预览