动态口令双因素认证及其应用
Citrix Web Interface双因素认证方案
Citrix Web Interface双因素认证方案 一、面临挑战 Citrix Web Interface可帮助企业快速部署桌面虚拟化和应用虚拟化,员工过Citrix Web Interface可访问内部资源,实现移动办公,但同时也给企业信息安全管理带来了极大的挑战。 安全挑战:弱口令一直是企业数据泄露的一个大症结。仅采用一种方式(用户名+静态密码)进行Citrix Web Interface的登录鉴别,若静态密码被暴力破解或泄露,会导致合法用户身份被冒用,严重威胁着企业内部信息安全。 管理挑战:为防止Citrix Web Interface账号信息泄露,控制安全风险,企业通常强制要求员工定期更换登录密码,这给员工及IT运维人员带来许多不必要的麻烦,大大增加了账号的管理成本。 二、解决方案 1.宁盾Citrix Web Interface双因素认证方案概述 静态密码只能对Citrix Web Interface用户身份的真实性进行低级认证。宁盾双因素认证在Citrix Web Interface原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管Citrix Web Interface帐号的静态密码认证工作。通过在Citrix Web Interface配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开Citrix Web Interface进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
一种实现双向认证动态口令身份认证措施
一种实现双向认证的动态口令身份认证方案 来源:网店装修 https://www.360docs.net/doc/5b6263810.html, 摘要本文在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。 关键词双向身份认证、动态口令、同步重调,动态身份认证系统 身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切安全机制的基础。这也就使之成为黑客攻击的主要目标。因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。 就国内外身份认证技术的发展情况来看,最传统的身份认证方式是帐号——口令方式;新兴的身份认证方式包括:生物特征识别法、动态口令<又称一次性口令)认证法等。本文中主要展开对动态口令认证法的讨论和研究。 1 背景知识介绍 1.1 PKI体系 PKI PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口 一、背景需求 随着企业移动化转型,员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。 另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。 二、解决方案 传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。 多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次,一次一密。用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。 1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是,创新性的将 企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。 2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。 3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。 4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。 三、效果展示 通过将认证服务器与Office 365 对接,用户登录时,首先输入账号 动态密码是什么 号令手机令牌的动态口令是根据专门的算法每隔30秒生成一个与时间相关的、不可预测的随机数字组合(One-time Password),每个口令只能使用一次,每天可以产生2880个密码。用户进行认证时候,除输入账号和静态密码之外,必须要求输入动态密码,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。 号令手机令牌最大的优点在于,用户每次使用的口令都不相同,使得不法分子无法仿冒合法用户的身份。动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户口令、假网站等多种网络问题,导致用户的财产或者资料的损失。 动态密码的产生因子一般都采用双运算因子(Two Factor): 其一,为用户的私有密码。它代表用户身份的识别码,是固定不变的。 其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态密码。采用不同的变动因子,形成了不同的动态密码认证技术:基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战/应答方式的非同步(Challenge/Response Asynchronous)认证技术。 其中动态密码的分发方法中,常见的有:口令牌,手机软件令牌,短信发送,密码卡等。这些方法的最大问题是成本问题和操作问题,这些问题直接导致在普及过程中出现了很多的障碍。由于这些障碍,很多没有使用双因素验证的个人或企业正在或将会蒙受严重的损失。除此之外,也存在着短信发送延迟、手机软件令牌存在兼容性、密码卡易丢失易损坏等问题。动态密码的应用范围广泛,包括网上银行、游戏、ATM、企业网络管理系统等一切同身份认证相关的应用。特别是随着木马攻击模式的转换,动态密码是目前最安全的解决手段 动态密码作为最安全的身份认证形式,目前已经被越来越多的行业所应用。动态密码技术已成为身份认证技术的主流,在全球的银行业得到了广泛的应用。国内外从事动态密码研发和生产的企业也越来越多,十指科技网络是专注于动态密码身份认证研发企业,其优势是动态令牌形式丰富,完全自主研发的号令动态密码身份认证软件系统稳定、高效、支持多种认证模式,它是国内唯一一家的能够提供免费动态密码整体解决方案厂商。动态密码是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。动态密码是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态密码就无需定期密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。 号令手机令牌是由十指科技研发,意在打造一个开放的平台,基于OTP动态口令技术,为所有接入合作的应用系统及其用户,提供永久免费的银行级账号安全服务。保护范围包括:论坛、微博、聊天账号,网盘、管理、办公账号,前台、后台账号,交易、理财账号、银行、证券账号,社交、邮箱、积分账号,网购、支付、游戏账号等,账号的每一步关键操作,号令都可以贴身保护。 华为云桌面双因素认证方案 一、面临挑战 1、安全威胁 华为云桌面是由华为云提供的虚拟Windows桌面与应用服务,帮助企业将办公桌面快速、集中部署在云平台上,方便进行管理维护且节省企业成本,能让员工随时随地登录到自己的桌面环境中,实现移动办公。 但单一的静态密码登录验证机制下,不少员工仍采用初始密码或者过于简单的静态密码,非法入侵者若窃听到云桌面登录账号的用户名及密码,即可得到合法访问权限,并可通过合法访问权限访问内部系统,企业信息安全面临挑战。2、管理成本 为防止云桌面账号信息泄露,企业通常强制要求员工定期更换登录密码,给员工及IT运维人员带来许多不必要的麻烦; 如没有及时收回账号,离职员工仍然有云桌面的合法访问权限,因此额外增加了IT部门的账号回收管理成本。 二、解决方案 1.华为云桌面双因素认证解决方案概述 静态密码只能对云桌面用户身份的真实性进行低级认证。宁盾双因素认证在企业云桌面原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管云桌面帐号的静态密码认证工作。通过在华为云桌面配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。员工打开华为云桌面进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成华为云桌面帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。 认证方式比较 1.认证方式总述 我们日常工作中设置的各种认证保护措施,都可以归纳为三种:他知道的内容、他持有的证明和他就是这个人。他知道的内容可以是一个密码,个人的身份证号或者母亲的姓名等,通过他知道的内容的方式进行认证是最经济的,但同时也是最不安全的;他持有的证明可以是证书、钥匙和门卡等,这种认证方式很容易丢失;他就是这个人指的是生物认证识别,可以唯一标识出你就是这个人。上面的三种方式单独一种都有各自的制约条件,因此出现一种加强认证,加强认证至少包含上面三项认证方式中的任意两项。 2.分类说明 用于身份认证的加密方式大致分为:静态口令、动态口令(令牌)、数字证书、生物识别和智能卡。 2.1静态口令 静态口令的实际就是一个口令字,口令字是一个受保护的字符串,通常用于个人身份的认证,口令字属于上面三种方式中的“他知道的内容”。口令字是日常使用最为普遍的一种认证方式,但是安全性也是最脆弱的一种认证方式,口令字很容易被别人偷窥或者通过猜测你的名字、生日、配偶的名字等猜测出来,复杂的口令字用户很难记住,因此常常会将口令写到便签纸上,这样就很容易给别人可乘之机。 2.2动态口令 动态口令也叫做一次性口令字,它比静态口令安全的多,用户在一次应用中使用一个动态口令,在操作完成以后将废除这个口令字,因此黑客即使获得了动 态口令也是没有用的。动态口令一般分为两种:同步和异步,主要是通过与服务器通讯的硬件令牌产生。同步的动态口令是硬件令牌与服务器端的进行同步的设置,这种同步可以是基于时间的同步,也可以是基于事件的同步,根据同步的类型硬件令牌生成一次性口令字,同时服务器端也可以认证这个口令的有效性;异步的动态口令是硬件令牌通过与服务器完成质询/应答的过程进行认证口令的。 2.3数字证书 数字证书其本质是利用公私钥的数据加解密技术来实现身份认证的技术。数字证书技术是一种完全区别于口令字的一种认证方式,它是一种非对称算法实现的一种公钥机制,它可以完成数据的通明加解密和签名验签。用户的公钥将暴露给外面的任何人,私钥只能由自己保存不能外泄,这样就保证了别人用我的公钥加密后只能由我解密获得信息,这种加解密技术主要是运用数学中的大数分解的原理,因此很难被破解。 2.4生物识别 生物识别的种类大致可以分为:指纹、手掌扫描、手形扫描、视网膜扫描、虹膜扫描等。生物识别技术是最不容易被仿冒和破译的一种认证方式,它可以代表一个真实的主体。对于生物识别技术的应用目前还是在很少的范围内,原因有两个:一是技术还不够成熟,二是生物识别的造价过高。等误判率(crossover error rate,CER)是衡量一种生物识别技术好坏的重要参数,它是两种错误判断的一个比例值,一是错误接收,另一个是错误拒绝。生物识别技术安全系数最高,几乎无法被仿冒和破译,但是由于它的造价过高和CER指数的过高导致了这种技术的应用还不够广泛。 2.5智能卡 由于智能卡本身就是一个微处理器和集成电路,所以智能卡有处理信息的能力。由于智能卡能够处理存储在其中的信息,因而它提供了双因子认证,这是因为他需要用户输入PIN码才能打开智能卡。这就意味着用户必须提供“他知道的 双因子认证机制 双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,特别是在远程访问时,但在其它领域应用还很有限。双因子认证的推广之所以受阻,主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者还指出这种方法也容易遭受攻击,即在非常小的时间窗口内,易受到中间人(man-in-the-middle)攻击(这也是采用严格SSL处理的更多原因)。除了这些障碍以外,实际上现在我们已经开始认识到,不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。受到欧洲银行业的影响,以及欺诈行为带来的成本不断增加,美国金融机构将加快采用双因子认证的步伐,这一行动将会促使消费者更快习惯这一方法。为减轻必须携带专用双因子令牌设备所带来的阻力,可以利用现在无处不在的移动计算平台(如支持Java的手机或通过短信息服务传递的一次性口令)作为双因子客户平台。同时,就象欺诈带来的成本促使银行业采用双因子认证一样,这也是电子商务企业采用双因子认证的主要动力,电子支付行业团体,如PCI和APACS已经开始强制使用双因子认证。这一机制很快将会成为认证领域的通用作法,不久以后我们就会对仅仅采用密码认证的系统产生强烈的不信任感。 一般来说,在安全方面必须接受这样一个事实:并不存在任何形式的硬件或软件能够提供万能的安全解决方案。但这并不妨碍采取相应的安全措施:大门上的锁对“敲锁法”来说可能并不安全,而大门本身也耐不住斧头、锯子、火把或炸药的攻击,但即使这样你仍然不会因为安全系统不完美而始终大门敞开,或者根本不上锁。实际上,多采取一些安全措施会在攻击者和保护者之间的这场战斗中为我们增加一些胜算。当然,前提是这些措施是有效的,否则会造成一种虚假的安全感,反而会使事情恶化,因为用户会因此而警惕性变低。认识到这一点,最好的方式可能是改变游戏的规则,集中精力使数据窃取型犯罪不那么有利可图。 Authwlan无线动态密码认证系统简介 AuthWlan WMS无线动态密码认证系统旨在为客户提供无线Portal动态密码认证整体方案。 AutWlan支持多种认证方式满足不同行业客户需求、强大无线策略可确保无线安全、结合WIFI广告投放满足客户个性化营销需求以及无线运营报表实现对无线运营的整体感知。 AuthWlan迄今已经实现与主流无线设备的无缝对接,并成功应用与银行网点、商场、企业、连锁,解决其WIFI安全管理及商业增值问题,是国内最为领先的无线动态密码portal 认证整体方案。 多种无线认证方式 Authwlan可支持手机号+短信动态密码、域账号+密码、微信获取临时账号密码、二维码扫描四种方式。 商城) 与主流无线设备无缝对接 AuhWlan支持瘦AP+AC的无线网络架构,已成功实施包括Cisco、Aruba、Ruckus、Juniper、H3C、华为、中兴、Aerohive、傲天动联、三元达、寰创、国人、锐捷、飞鱼星等国内外主流无线品牌。 精准WIFI广告推送 可实现 (1)认证界面前后部署广告,支持图片、视频的广告格式; (2)可实现基于时间段的广告轮播策略; (3)基于SSID及AP分组的精准广告推送策略。 多种无线安全策略 (1)可支持时长、流量、带宽控制,优化网络性能; (2)支持设备终端数量限制,减少网络负荷,同时为不同的用户提供差异化服务;(3)支持短信数量控制,节省短信费用; 为了满足客户的需求,AtuhWlan将提供更多的无线控制策略。 强大报表日志功能 对认证用户的基本信息进行记录,包括用户手机号、上下线时间、分配的IP、使用的流量统计、终端类型、MAC等。 商家可结合报表日志与微信数据,进行基于位置的微信营销。 来自不同行业成功案例 AuthWlan已成功实施银行、企业、酒店、商场、shopping mall、连锁门店、政府机关、售楼中心、展馆等场所,几乎实现行业全覆盖,已成为国内最为领先的无线portal动态密码认证系统,赢得客户的一致信任。 客户名称:中国建设银行上海分行 方案概述:AuthWlan无线动态密码认证系统为中国建行上海分行360家网点针对普通及VIP 顾客无线接入提供Web认证,普通访客通过输入手机号并获取动态密码方式上网,普通访客拥有2小时上网时长;VIP客户通过建行提供的VIP Code及手机号完成认证,VIP客户在该月内、同一台设备在建行网点上网无需再次认证即可联网。 通过结合宁盾WIFI广告投放平台,能够满足WIFI认证前置、后置广告,包括设置广告展示时间、广告轮播策略,拓展新的宣传渠道。 客户名称:银泰百货湖滨店 方案概述:宁盾AuthWlan无线动态密码认证系统帮助银泰湖滨店实现顾客自助式无线接入认证,让商场管理者了解到访门店顾客情况,并结合数据分析可实现动态广告展示,是一套完整的无线认证、审计、数据分析方案,为决策者提供另一种类型数据支持。 客户名称:喜力酿酒(中国)有限公司 方案概述:喜力酿酒(中国)有限公司通过使用AuthWlan无线动态密码认证系统,实现员工和访客实现两种认证流程。员工SSID通过域账号+密码方式认证,访客SSID是通过员工自助开通访客临时无线账号,访客通过手机号及获取动态密码方式认证,实现违规上网行为可追溯。 云主机双因素认证解决方案 一、面临挑战 由于云计算技术的兴起,越来越多企业已经搭建自己的公有云服务器,将数据托管于云服务商的数据中心。企业上云是时代发展的大势所趋。而公有云的公有性,导致云主机的安全问题也受到前所未有的考验。 企业对公有云数据的掌控力度减弱,一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的,并没有针对某个企业或某些数据的特别举措。因此企业有必要加强自有云主机登录保护,为保障云数据安全设置第一道防线,通过双因素认证,防止密码共享、密码泄露现象,避免非法越权操作。 二、解决方案 1.云主机双因素认证解决方案概述 静态密码只能对云主机用户身份的真实性进行低级认证。宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾一体化认证平台负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管云主机帐号的静态密码认证工作。通过在云主机配置第三方RADIUS认证,指向宁盾一体化认证平台(内置RADIUS SERVER)。用户接入云主机进行静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,验证通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成云主机静态密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。 一种实现双向认证动态口令身份认证方案 摘要在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”咨询题的别脚。关键词双向身份认证、动态口令、同步重调,动态身份认证系统,别可否认基于动态口令的身份认证系统给络安全带来了福音。它的优点,如动态性、一次性、随机性、多重安全性等,从全然上有效修补了传统身份认证系统存在的一些安全隐患。比如,能够有效防止重放攻击、窃听、推测攻击等。但就目前的研究成果、使用事情来看,它同样也存在这别脚,以及技术上的难关。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,如此就别能幸免服务器端的攻击。随着络应用的多样性进展,越来越多的络应用要求可以实现双向认证以确保双发的利益,如电子商务、金融业务等,所以实现双向认证就成为了身份认证的一具必定趋势。关于同步认证技术来说,保证服务器端和客户端的高度同步是必需的。此时怎么保持服务器和众多客户端同步就成了一具技术难关。基于同步认证技术的动态身份认证系统都存在“微小漂浮”咨询题,也即“失步”。目前的解决方法往往是以牺牲口令的随机度来弥补那个缺陷。这无疑给系统带来了很大的安全隐患。固然异步认证技术别存在“极小”咨询题,但是它进行认证的过程比较繁琐,占用通讯时刻太长,效率比较低。针对上面提到的动态口令认证系统的别脚和缺陷设计了一具新方案。该方案采纳双向认证通信协议实现了双向认证,并设计了一种失步重调机制。2.2改进方案2.2.1双向认证通信协议在那个协议中使用了直接信任模型,即客户端和服务器端经过注册时期而建立直接信任关系。(直接信任是最简单的信任形式。两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。)协议中包括两个时期:注册时期、登陆时期。1)注册时期注册时期是为了让Client和Server建立初始信任关系。整个注册过程经过安全信道进行。注册时期中Client和Server交换各自的id和公钥。服务器端将加密后存储。客户端将加密后存储在令牌中。Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R一并用Server的公钥加密后发送给Server。发送完毕后,客户端会将R备份,并启动计时器,若超过一定时刻T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。,,,一种实现双向认证动态口令身份认证方案飞雪 一种基于动态口令的身份认证系统研究 傅德胜1,陈 昕2 (南京信息工程大学 计算机与软件学院, 江苏 南京 210044) 摘 要:身份认证在信息安全中起着非常重要的作用,建立安全的身份认证机制成为终端安全的关键之一。作为一种新型的认证模式,动态口令比传统的静态口令更加安全、可靠。本文阐述了动态口令的原理及现有动态口令方案的缺点,设计了一种新型的身份认证系统,并对其有效性进行了分析。 关键词:动态口令;身份认证;安全性 中图法分类号:TP309文献标识码: A A Study of Authentication System based on Dynamic Password FU De-sheng1, CHEN Xin2 (Department of Computer & software, Nanjing University of Information Science & Technology, Nanjing Jiangsu 210044, China) Abstract: Identity authentication plays a very important role in the system security, establishing a secure authentication mechanism becomes one of the keys in the terminal security. As a new mode of authentication,dynamic password is more secure and reliable than traditional static password. This paper describes the principle of dynamic password and disadvantages of the existing dynamic protocols,designs a new type of authentication system and analyzes the effectiveness of it. Key words: dynamic password; identity authentication; security 0 引言 身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。 目前大部分网络系统所使用的访问控制方法是传统的静态口令认证技术,通过用户名和口令的匹配来确认用户的合法性。但是,随着网络技术的进一步发展,以静态口令为基础的认证方式面临着很多的安全问题,渐渐无法满足用户的需求。动态口令的概念就是在这样的情况下产生的,它采用了基于同步或者异步方式而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。目前,基于动态口令的身份认证系统已应用在电子商务,电子政务,银行,证券等诸多领域。 1 传统的身份认证方式 传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW是否匹配,来验证用户的身份。 这种静态口令认证方式存在很多问题,最常见的是网络数据流窃听、截取/重放、暴力破解、窥探等攻击方式。静态口令的不安全因素是信息系统普遍存在的隐患。基于口令认证的身份鉴别的安全性成为信息安全中迫切需要解决的一个问题,动态口令认证方式应运而1傅德胜,男(1950--),教授,主要研究领域:信息安全 2陈昕,女(1984--),在读硕士研究生,主要研究领域:信息安全 动态密码系统解决方案 2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+密码的身份验证方式是否依然适合今天的互联网? 1、传统“账号+密码”身份验证方式的优缺点 传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点,比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面: (1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护; (2)、静态密码安全性低,容易遭受各种形式的安全攻击; (3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密; (4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。 因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。 2、企业/个人到底需要什么样的身份验证方式? 无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种: (1)、动态令牌 动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。 动态令牌简单、易用,且由于口令不断变化,口令用过之后立即作废,所以安全性较静态口令有较大 动态口令身份认证专利技术分析 动态口令能弥补静态口令技术的大部分安全缺陷,广泛应用于身份认证技术中。文章基于CPRSABS和DWPI数据库,对基于动态口令的身份认证技术相关专利进行了梳理和分析,对涉及动态口令技术的研发有较大帮助。 关鍵词:动态口令(OTP);身份认证;技术演进;专利 Abstract:The one-time password (OTP)can make up for most of the security defects of static password technology,and is widely used in identity authentication technology. Based on the databases of CPRSABS and DWPI,this paper sorts out and analyzes the patents of identity authentication technology based on dynamic password,which is helpful to the research and development of OTP technology. Keywords:one-time password (OTP);identity authentication;technology evolution;patent 1 概述 本文以基于动态口令身份认证的专利申请作为分析对象,重点分析全球范围内关于动态口令身份认证专利的四个主要技术分支,研究动态口令身份验证技术的技术发展趋势。 2 技术发展概述 随着网络交易的猛增所带来的安全问题日益突出,动态口令身份认证技术开始受到越来越多人的青睐;美国的RSA公司最早开始本领域的专利申请,2001-2008年动态口令身份认证专利申请量增长显著,2009年其申请量达到一个小高峰,2009年至今整体呈现稳步上升的趋势。本文通过分析专利申请的趋势来梳理动态口令技术的技术发展脉络;总的来说,动态口令身份认证技术专利主要集中在以下几个方面:动态口令的产生、口令的下发、口令表现形式以及动态口令与其他认证方法结合的多重认证技术。 2.1 动态口令的产生 动态口令身份机制需要基于一种密码算法,将用户的身份和某种变动因子作为密码算法的输入参数,输出的结果即为动态口令,不同的变动因子构成了不同的动态口令产生技术。 90年代基于动态口令的身份验证技术开始萌芽,美国RSA公司成功研制了基于时间同步的动态口令认证系统RSA SecureID,RSA于1984年抢先进行了专利布局,申请了基于时间同步的动态口令相关专利(US4720860B),其提供一个用户身份唯一标识码以及动态变量,通过预定的算法生成一个不可预测的码,该 安盟动态口令身份认证系统 产品说明文档 1动态口令身份认证系统原理 在传统的静态口令验证系统中,由于口令为“一次设置,重复使用”,由于口令的重复使用而增加了口令丢失和破解的危险性,降低了系统的安全系数,特别是在互联网环境下,黑客、木马和病毒泛滥,使得静态口令更加容易被泄露,造成企业信息系统和资源的非授权访问,导致直接经济损失和间接的信誉和商誉损失。 所以,除了用户记忆的静态口令外,还需要增加一个物理因素,如令牌,这样采用你所知道的(记忆的静态密码)和你所拥有的(令牌)两个要素构成有效密码,实现严格身份信息验证,而你所拥有的要素必须具有不可复制和篡改的性能。 动态口令认证即是依据上述原理实现的双因素强身份认证系统: 1)本系统以令牌作为信物,实现双因素认证。令牌显示依据种子密钥和时间随机计算的动态口 令,具有不可复制和篡改的性能,而后台认证系统认为,只有持有令牌才可能输入正确的密码,反过来说,只要输入了当前时间点的正确密码,就可以认为持有可信的要素,即令牌。 用户登录时,必须同时验证静态口令(称之为PIN码)和动态口令,只有两者均正确时才能确认用户身份 2)令牌与服务器之间的同步。令牌和认证服务器一般以密钥和时间为基础,每隔一定时间(常 见为60妙)就计算出一个口令,由于令牌和认证服务器双方都共享了对称密钥、时间因子和计算方法,所以计算出来的口令就是同步的和唯一的。 3)一次一密。令牌上显示的密码只有在当前时间点有效,且使用一次即失效,实现高强度的安 全性。 系统的部署结构如下: 解决的主要问题: 1)密码安全管理问题,实现不依赖于客户端安全意识和安全习惯可控的安全性,用户也免于设置复 杂密码、记忆并定期更新之苦。 OWA动态密码认证解决方案 一、面临挑战 OWA是微软Outlook Web Access的简称。通过访问Outlook Web Access页面,邮箱用户可直接使用Web浏览器收发邮件,而不需要安装Outlook客户端软件。 在单一的静态密码验证机制下,登录密码是OWA安全的唯一防线。一旦被非合法用户窃听到OWA的登录密码,就意味着这个人能使用该密码查看到所有的邮件、地址簿等重要信息,可能带来巨大的安全威胁。 在OWA登录环节实现双因素认证,可双重保障邮箱账号安全,防止密码共享、密码泄露,一旦发生安全事件,也可追责到个人,有效控制信息安全威胁,因此不失为一种良策。 二、解决方案 1.宁盾OWA双因素认证解决方案概述 静态密码只能对OWA用户身份的真实性进行低级认证。宁盾双因素认证在OWA原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管OWA帐号的静态密码认证工作。通过在OWA配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。打开OWA 进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成OWA帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。 手机令牌 基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。 PKI身份认证和动态口令身份认证技术比较 ?本文将就网络环境下的PKI认证技术和动态口令认证技术从实现原理、算法安全性、密钥安全性、通信安全性、系统风险性和可实施度六个方面进行技术比较。 1. 身份认证系统概述 对于身份认证而言,其目的就是鉴别网上实体的现实身份,即:网上虚拟实体所代表的现实对象。 举例: Authen(我的账号)网上实体 XXX(姓名隐含) 现实实体 ?现实中能够凭借看到、听到、闻到、接触到、感觉到现实实体的特征来判定对象的真实性。但是在网上如何判定虚拟实体的真实性呢?目前采用各种密码算法的身份认证技术,从表现形式而言有:传统静态口令认证技术、特征认证(如指纹、虹膜)技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术、动态口令身份认证技术等。 本文仅对基于双钥的PKI身份认证技术和动态口令身份认证技术进行探讨。 2. 两种身份认证技术实现原理 2.1 PKI身份认证技术实现原理 采用PKI技术的身份认证系统其基本认证模型为: 2.2 动态口令身份认证技术实现原理 动态口令认证技术有至少两个因子,一个是常量,即电子令牌瞬间触电的种子值;另一个是变量,即时间值。 采用动态口令技术的基本认证模型为: 3. 算法安全性分析 对于采用上述PKI基本模型的认证技术而言,其算法安全性目前可以说是安全的,但是某些PKI身份认证系统在认证流程中采用了简单的签名技术;其认证模型为: 随着2004年8月17日美国加州圣巴巴拉召开的国际密码学会议(Crypto’2004)上,山东大学王小云教授所作的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告,宣告采用该种算法的身份认证技术已不再安全。 根据王小云教授的密码分析成果,现有的数字签名技术已不再可靠;因此现有的某些采用签名技术的身份认证系统实际上已经不能保证网络实体的唯一性。对于采用PKI基本模型的认证技术而言,Authentication需要强劲的运算能力,特别是网内用户数量较多且并发量较高的网络环境。 采用动态口令技术的身份认证系统在国内市场可见,其安全性依赖于算法的严格保密。 4. 密钥安全性分析 采用PKI认证技术基本模型的系统而言,其私钥的安全保管可谓是系统整体安全的重中之重。为防止私钥文件的复制,目前多采用两种私钥载体保存私钥。一种是将私钥固化在IC芯片中,另一种是将私钥写入U-KEY外形的闪存中。 对于固化有私钥的IC芯片,其本身是个微系统,复制难度较大。 存储私钥的U-KEY介质目前分为两类,一种是带微系统的U-KEY,计算过程在U-KEY内完成,只输出结果;另一种是不带微系统的U-KEY,计算过程在计算机内存中完成。后者(不带微系统的U-KEY)可能在计算机内存中被复制或影响计算过程。 采用动态口令技术的身份认证系统,用户持有的动态令牌,其本身物理封装,内含一块电池;设计为断电后芯片数据销毁工艺。Authentication端为软件,运行在计算机内存中;对于其计算过程能否被复制的问题,如上所述。 号令双因素动态密码身份认证解决方案 借助号令双因素身份认证系统,企业能够获得以下收益: (1)提升信息系统安全,消除弱身份鉴别带来的信息泄漏风险 (2)减小静态密码遗忘或定期强制更改密码给员工与IT管理人员带来的开销,节约管理成本 (3)实现多个业务系统密码集中管理机制 (4)与AD/LDAP无缝集成,互享企业统一认证信息 用户成功申请号令手机令牌之后,每次进入系统都必须输入号令客户端提供的动态密码,动态密码输入之后即作废,下次登录时,需通过号令客户端重新取得新动态密码。通过这种动态认证方式,能极为有效的防止木马外挂,病毒,窥探等盗号方式,保护账号安全。 一:背景: 由于目前频频出现网络用户账号泄露的不安全事件,为了保护我们的用户账号以此研发手机密令基于智能手机,可为各类手机支付、手机端购物及各类手机智能客户端应用提供二次加密保护,它是3G时代账号保护和身份认证服务的必然发展趋势。 二:号令概述: 1、号令“双因素动态密码身份认证系统”是一种采用时间同步技术的双因素认证系统。 2、号令双因素动态密码身份认证系统”采用动态的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。 3、号令手机令牌,它是一款基于OTP技术(One Time Password)的软件令牌,可直接下载至手机,通过智能手机屏幕每隔30秒展现一组6位数字的动态密码,可应用于云计算和应用、企业内网应用统一认证、电子商务、网络游戏、银行、证券等行业的各类账号保护和二次验证操作保护等。所有的账号及身份认证可集成在同一个客户端,用户只需拿起手机就能方便查阅到各账号登录所需动态密码,从此甩掉随身携带各种硬件的烦恼。 三:流程逻辑 双因素认证方案 一、网络安全认证的需求背景 网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况,用户如果只依赖个人密码进行帐户登录或网上交易,是非常危险和不可靠的认证方法。针对这些问题,北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务,对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统,便能为其客户提供身份认证服务,使其消费者日后能以简单轻松的方法,随时随地享受网上服务。IT管理员或者终端消费者也不用再终日提心吊胆,网上商户因此能与其客户建立更亲密和信任的关系。 二、现存主要的身份认证技术分析 目前,计算机及网络系统中常用的身份认证方式主要有以下几种: 1.用户名/密码方式 用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的,只要能够正确输入密码,计算机就认为操作者就是合法用户。出于对安全的要求,要求用户定期更改密码,且不能重复,而实际上,由于许多用户为防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样就容易造成密码泄漏。即使能保证用户密码不被泄漏,由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此,从安全性上讲,用户名/密码方式是一种极不安全的身份认证方式。 2.智能卡认证 智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。智能卡认证是基于 “what you have”的手段,能过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。 3.动态密码认证 动态密码认证是一种基让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。其技术是基于动态令牌的,密码生成芯片运行专门的密码算法,根据当前时间生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机,即可实现身份认证。由于每次使用的密码必须由动态令牌来产生,只有合法用户才持有该硬件,所以只要通过密码验证就可以认宁盾多因子认证(MFA)与office365安全认证方案
动态密码的原理
华为云桌面双因素认证方案
认证方式比较口令、动态口令、证书和指纹
双因子认证
Authwlan无线动态密码认证系统介绍
云主机双因素认证解决方案
一种实现双向认证动态口令身份认证方案
基于动态口令的身份认证机制及其安全性分析
动态密码系统解决方案
动态口令身份认证专利技术分析
安盟动态口令认证系统产品说明书
OWA动态密码认证解决方案
PKI身份认证和动态口令身份认证技术比较
双因素动态密码身份认证解决方案
双因素认证解决方案