基于動(dòng)態(tài)令牌的雙因素身份認(rèn)證——有力保障網(wǎng)上帳戶和交易的安全

售前電話:13522858185 劉憲德

微信與電話同步！有意向可以與我聯(lián)系，網(wǎng)絡(luò)及系統(tǒng)安全是我們技術(shù)人員的職責(zé)??！

一、 網(wǎng)絡(luò)安全認(rèn)證的需求背景

 網(wǎng)絡(luò)釣魚(yú)、欺詐等網(wǎng)絡(luò)犯罪現(xiàn)象已經(jīng)達(dá)到非常嚴(yán)峻的情況，用戶如果只依賴個(gè)人密碼進(jìn)行帳戶登錄或網(wǎng)上交易，是非常危險(xiǎn)和不可靠的認(rèn)證方法。針對(duì)這些問(wèn)題，北京中科恒倫科技有限公司推出基于動(dòng)態(tài)令牌的雙因素身份認(rèn)證服務(wù)，對(duì)象是那些為企業(yè)×××安全登錄、IDC遠(yuǎn)程訪問(wèn)管理、消費(fèi)者提供網(wǎng)上交易和服務(wù)的網(wǎng)上商戶。他們只要安裝了中科恒倫的雙因素認(rèn)證系統(tǒng)，便能為其客戶提供身份認(rèn)證服務(wù)，使其消費(fèi)者日后能以簡(jiǎn)單輕松的方法，隨時(shí)隨地享受網(wǎng)上服務(wù)。IT管理員或者終端消費(fèi)者也不用再終日提心吊膽，網(wǎng)上商戶因此能與其客戶建立更親密和信任的關(guān)系。

二、 現(xiàn)存主要的身份認(rèn)證技術(shù)分析

目前，計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)中常用的身份認(rèn)證方式主要有以下幾種：

1．用戶名/密碼方式

用戶名/密碼是最簡(jiǎn)單也是最常用的身份認(rèn)證方法，是基于“what you know”的驗(yàn)證手段。每個(gè)用戶的密碼是由用戶自己設(shè)定的，只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。出于對(duì)安全的要求，要求用戶定期更改密碼，且不能重復(fù)，而實(shí)際上，由于許多用戶為防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測(cè)的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣就容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，很容易被駐留在計(jì)算機(jī)內(nèi)存中的***程序或網(wǎng)絡(luò)中的監(jiān)聽(tīng)設(shè)備截獲。因此，從安全性上講，用戶名/密碼方式是一種極不安全的身份認(rèn)證方式。

2．智能卡認(rèn)證

智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專門(mén)的廠商通過(guò)專門(mén)的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。智能卡認(rèn)證是基于“what you have”的手段，能過(guò)智能卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。

3．動(dòng)態(tài)密碼認(rèn)證

動(dòng)態(tài)密碼認(rèn)證是一種基讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。其技術(shù)是基于動(dòng)態(tài)令牌的，密碼生成芯片運(yùn)行專門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過(guò)密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使***截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶的身份 。

4．生物識(shí)別技術(shù)

生物識(shí)別技術(shù)主要是指通過(guò)可測(cè)量的身體或行為等生物特征進(jìn)行身份認(rèn)證的一種技術(shù)。生物特征是指唯一的可以測(cè)量或可自動(dòng)驗(yàn)證的生理特征或行為方式。生物特征分為身份特征和行為特征兩類。身體特征包括：指紋、掌型、視網(wǎng)膜、虹膜、DNA等；行為特征包括：簽名、語(yǔ)音、行走步態(tài)等?；谏锾卣鞯纳矸菡J(rèn)證機(jī)制容易受外界因素影響(如噪聲、位置、方向以及光照的變化或主體本身的特征改變)，使得在提取生物特征或進(jìn)行匹配時(shí)產(chǎn)生困難。此外，所有基于生物特征的識(shí)別技術(shù)是利用提取的生物特征數(shù)據(jù)作為識(shí)別碼，因而在傳送中易被非法截獲，而且生物特征識(shí)別技術(shù)的成本較高。  

三．北京中科恒倫科技有限公司的基于動(dòng)態(tài)令牌的雙因素身份認(rèn)證解決方案

北京中科恒倫科技有限公司 是一家提供消費(fèi)者身份認(rèn)證解決方案的公司，專為網(wǎng)上商戶如網(wǎng)上銀行、IDC服務(wù)器和交換機(jī)管理、×××安全登錄認(rèn)證、電子商務(wù)、網(wǎng)游公司等服務(wù)，向其客戶提供雙因素身份認(rèn)證服務(wù)，讓消費(fèi)者能隨時(shí)、隨地享受安全和方便的網(wǎng)上交易服務(wù)。

1．CKEY令牌

CKEY消費(fèi)者身份認(rèn)證服務(wù)采用業(yè)界知名的硬件令牌和技術(shù)，CKEY令牌 采用時(shí)間同步技術(shù)，實(shí)現(xiàn) 每 60 秒時(shí)間變動(dòng)一次密碼。每一令牌有一個(gè)唯一的種子，根據(jù)行業(yè)標(biāo)準(zhǔn) 運(yùn)算法則每 60 秒時(shí)間就產(chǎn)生一次新的密碼。因?yàn)楫a(chǎn)生的密碼是不可預(yù)測(cè)、動(dòng)態(tài)的，使***很難在任一時(shí)間內(nèi)測(cè)出正確的密碼。這項(xiàng)技術(shù)把身份認(rèn)證設(shè)備和服務(wù)器相聯(lián)系匹配，從而保證了其高度的安全性。只要你考慮到重要的信息資源暴露的風(fēng)險(xiǎn)性，你就會(huì)認(rèn)為這種保護(hù)是必不可少的。

CKEY硬件令牌 的使用就如同輸入個(gè)人密碼一樣簡(jiǎn)單，但是要安全得多。每一個(gè)最終使用者都會(huì)被發(fā)到一個(gè)令牌，這個(gè)令牌每 60 秒產(chǎn)生一個(gè)一次性密碼。在登陸時(shí)，用戶輸入個(gè)人的原有密碼（靜態(tài)密碼）后，再輸入令牌上顯示的動(dòng)態(tài)密碼，實(shí)現(xiàn)安全的雙因素身份認(rèn)證保護(hù)。  

動(dòng)態(tài)令牌的特點(diǎn)：

使用直觀、簡(jiǎn)易及一次性口令；

令牌內(nèi)電路不可讀，無(wú)法破解、篡改和復(fù)制； 類似信用卡大小，容易攜帶； 清晰可讀的LCD顯示屏；

每60秒鐘自動(dòng)產(chǎn)生無(wú)法預(yù)測(cè)的單次使用存取密碼；

每張卡自帶唯一128位種子號(hào)，并且和認(rèn)證服務(wù)器時(shí)間同步； 無(wú)須其他讀取設(shè)備； 防水性強(qiáng)； 防靜電性強(qiáng)； 防震性強(qiáng)。

2．認(rèn)證服務(wù)器

認(rèn)證服務(wù)器可以實(shí)現(xiàn)以下功能：

企業(yè)認(rèn)證：保證登錄的用戶確實(shí)為授權(quán)的個(gè)體，大大降低***和非法訪問(wèn)的風(fēng)險(xiǎn) 訪問(wèn)控制：自定義訪問(wèn)權(quán)限，保護(hù)對(duì)專用網(wǎng)絡(luò)系統(tǒng)、文件及應(yīng)用的訪問(wèn) 規(guī)避***：識(shí)別非法用戶接入網(wǎng)絡(luò)，并有效防范。

用戶責(zé)任：訪問(wèn)歷史日志保證用戶不會(huì)被任何非法訪問(wèn)事件所牽連

3．代理軟件

實(shí)現(xiàn)這種強(qiáng)大的認(rèn)證功能的中間代理軟件的功能類似于保安人員，用來(lái)實(shí)施SAE/Server系統(tǒng)建立的安全策略。SAE/API是一種設(shè)備專用代理軟件，已經(jīng)內(nèi)置在大多數(shù)業(yè)內(nèi)主流的網(wǎng)絡(luò)設(shè)備和瀏覽器以及Web服務(wù)器軟件系統(tǒng)中，允許安全管理員通過(guò)鼠標(biāo)點(diǎn)擊，而不是編寫(xiě)代碼，為用戶和保護(hù)的資源選擇和應(yīng)用相應(yīng)的設(shè)置。 中間代理軟件的特點(diǎn)是:

●提供天衣無(wú)縫的集成，不需要安裝客戶端軟件

●現(xiàn)有的主流網(wǎng)絡(luò)設(shè)備已預(yù)裝。CKEY擁有最廣泛的全球身份認(rèn)證合作伙伴, 共有170家236種產(chǎn)品支持CKEY SecurID, 如Cisco，3Com, 華為A8010，Alcatel等等。

●支持現(xiàn)有的大多數(shù)主流平臺(tái)。CKEY支持Sun Solaris, IBM AIX, HP-UX ，SunOS，IRIX.BSDi,Free,BSD,Redhat LINUX, OS/390, OS/400, Dec Unix, Unisys, SGI, MAC OS, DG/UX, Netware, Palm OS, Rocket z/OS等操作系統(tǒng)的認(rèn)證保護(hù).

●支持Mircrosoft RAS遠(yuǎn)程訪問(wèn)認(rèn)證。

●CKEY支持Microsoft IIS, iPlanet, Apache, Lotus Domino Web Server等Web服務(wù)器.

●易于配置、運(yùn)行。

4．中科恒倫雙因素身份認(rèn)證解決方案的優(yōu)勢(shì)

與UTC時(shí)間同步 ：令牌時(shí)鐘和認(rèn)證服務(wù)器系統(tǒng)時(shí)鐘同步化為UCT（格林威治標(biāo)準(zhǔn)時(shí)間 ） 有效令牌窗口和時(shí)鐘漂移調(diào)整 ：適用于認(rèn)證令牌中的時(shí)鐘略為偏離認(rèn)證服務(wù)器的時(shí)間相位的情況 。

與認(rèn)證服務(wù)器（SAE/Server）進(jìn)行散列通信

認(rèn)證服務(wù)器的災(zāi)難恢復(fù)能力 ：通過(guò)網(wǎng)絡(luò)連接恢復(fù)必要的數(shù)據(jù)到從認(rèn)證服務(wù)器

動(dòng)聯(lián)并發(fā)動(dòng)態(tài)令牌認(rèn)證引擎：?jiǎn)闻_(tái)認(rèn)證服務(wù)器并發(fā)認(rèn)證數(shù)達(dá)到1000以上，需大量并發(fā)認(rèn)，可采用集群方式，進(jìn)行自動(dòng)的認(rèn)證服務(wù)器負(fù)載.

售前電話:13522858185 劉憲德

微信與電話同步！有意向可以與我聯(lián)系，網(wǎng)絡(luò)及系統(tǒng)安全是我們技術(shù)人員的職責(zé)?。?/p>

作者：CKEY動(dòng)態(tài)密碼
來(lái)源：CSDN
原文：https://blog.csdn.net/andywhitestar/article/details/87626609
版權(quán)聲明：本文為博主原創(chuàng)文章，轉(zhuǎn)載請(qǐng)附上博文鏈接！