林果動態(tài)口令技術(shù)白皮書

動態(tài)口令雙因素平安認(rèn)證系統(tǒng)LGETDynaPassTwoFactorAuthenticationSystem技術(shù)白皮書上海林果實業(yè)上海林果科技二00二年一月目錄TOC\o"1-3"動態(tài)口令雙因素平安認(rèn)證系統(tǒng)31概述12動態(tài)口令雙因素平安認(rèn)證系統(tǒng)根本原理和功能12.1動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的根本原理12.2動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的組成32.2.1林果電子令牌42.2.2林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器42.2.3林果LGETAGENT平安認(rèn)證代理42.3動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的特點52.4應(yīng)用程序接口62.5令牌物理特性62.6動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的安裝73典型應(yīng)用74應(yīng)用范圍75技術(shù)指標(biāo)76接口庫支持的語言87認(rèn)證算法88成功案例81概述在計算機(jī)網(wǎng)絡(luò)中，最常見而且最簡單的訪問控制方法是使用口令，通過對口令的匹配來確認(rèn)用戶的合法性?？诹畈黄桨彩蔷W(wǎng)絡(luò)系統(tǒng)中普遍存在的隱患。據(jù)美國某專業(yè)平安協(xié)會對近千名公司網(wǎng)絡(luò)管理員的調(diào)查說明，有60%的系統(tǒng)首先被攻擊和突破的地方是口令，而煩瑣的口令設(shè)置又給用戶帶來很多麻煩，對此系統(tǒng)管理員感到進(jìn)退兩難。為什么現(xiàn)行的口令會如此容易被攻破的幾種常見情況：口令在網(wǎng)絡(luò)傳輸中被截獲和分析。長時間使用同一個口令，泄露口令的機(jī)率大大增加。人們通常喜歡用自己熟悉的人名、日期、門牌號、號碼及其組合，易被猜中。在多個業(yè)務(wù)效勞和應(yīng)用系統(tǒng)中共享口令，降低了口令的平安性。為解決靜態(tài)口令所存在的各種問題，上海林果開發(fā)出LGETDynaPassTwoFactorAuthenticationSystem動態(tài)口令雙因素平安認(rèn)證系統(tǒng)。它采用了基于時間而產(chǎn)生的一次性口令來代替?zhèn)鹘y(tǒng)的靜態(tài)口令，從而防止了口令泄密帶來的平安隱患。2動態(tài)口令雙因素平安認(rèn)證系統(tǒng)根本原理和功能2.1動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的根本原理動態(tài)口令雙因素平安認(rèn)證系統(tǒng)〔LGETDynaPassTwoFactorAuthenticationSystem〕為計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)用戶的合法身份認(rèn)證提供了簡捷、有效的認(rèn)證手段。該系統(tǒng)由林果電子令牌、林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器和林果LGETAGENT平安認(rèn)證代理構(gòu)成。電子令牌每隔幾十秒鐘動態(tài)生成一個隨機(jī)的、單次使用的口令，配合LGETDYNAPASS/SERVER平安認(rèn)證效勞器〔基于時間同步機(jī)制〕構(gòu)成一個平安、可靠的認(rèn)證系統(tǒng)，保護(hù)計算機(jī)網(wǎng)絡(luò)授權(quán)用戶的合法利益，防止系統(tǒng)或網(wǎng)絡(luò)受到非授權(quán)用戶的非法訪問。動態(tài)口令雙因素平安認(rèn)證系統(tǒng)〔LGETDynaPassTwoFactorAuthenticationSystem〕保存了原有口令認(rèn)證機(jī)制的簡單易用的優(yōu)點，又增加了動態(tài)口令認(rèn)證的平安性，以實現(xiàn)雙重因素的認(rèn)證保險。認(rèn)證效勞器的認(rèn)證處理對用戶透明，易于使用和管理。電子令牌不需要專用的讀入設(shè)備，也免去了復(fù)雜的認(rèn)證過程，最重要的是，訪問控制權(quán)仍然掌握在系統(tǒng)管理者手中。林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器和林果LGETAGENT平安認(rèn)證代理對林果令牌產(chǎn)生的口令進(jìn)行認(rèn)證。具體過程是：使用時，用戶使用管理中心分發(fā)的電子令牌〔又稱為動態(tài)口令發(fā)生器〕，動態(tài)產(chǎn)生一個口令，然后在系統(tǒng)登錄界面，或者機(jī)等信息輸入終端〔應(yīng)用表示層〕進(jìn)行輸入。系統(tǒng)將用戶輸入的靜態(tài)口令和動態(tài)口令送到網(wǎng)絡(luò)系統(tǒng)中的需要平安認(rèn)證的資源即林果LGETAGENT平安認(rèn)證代理效勞器，林果LGETAGENT平安認(rèn)證代理強(qiáng)制執(zhí)行動態(tài)口令認(rèn)證策略機(jī)制，將認(rèn)證信息送林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器。林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器進(jìn)行平安身份認(rèn)證，由此判斷用戶的合法性。根本結(jié)構(gòu)示意圖如下：認(rèn)證代理認(rèn)證代理認(rèn)證代理認(rèn)證代理根本結(jié)構(gòu)示意圖IntranetIntranetIntranet遠(yuǎn)程用戶虛擬專用網(wǎng)大型機(jī)IBM企業(yè)系統(tǒng)UNIX，Novell，Microsoft，IBMWebLotusDomino，Microsoft，Netscape遠(yuǎn)程訪問用戶內(nèi)部用戶林果LGET認(rèn)證代理林果LGET認(rèn)證代理林果LGET認(rèn)證效勞林果LGET認(rèn)證代理林果動態(tài)口令產(chǎn)品應(yīng)用體系結(jié)構(gòu)應(yīng)用表示層輸入應(yīng)用表示層輸入口令A(yù)與用戶標(biāo)識輸入LGET認(rèn)證代理LGET認(rèn)證代理1根據(jù)時間、令牌產(chǎn)生一個動態(tài)一次性口令A(yù)對應(yīng)用戶標(biāo)識，認(rèn)證效勞器在數(shù)據(jù)庫中找到令牌并與時間序列一起生成口令(B)，與口令(A)進(jìn)行比擬4用戶標(biāo)識+口令A(yù)發(fā)送至LGET認(rèn)證效勞器3將認(rèn)證信息送至應(yīng)用效勞器〔LGET認(rèn)證代理〕25LGET認(rèn)證效勞器將肯定或否認(rèn)碼送至應(yīng)用效勞器〔LGET認(rèn)證代理〕動態(tài)口令認(rèn)證工作流程2.2動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的組成動態(tài)口令雙因素平安認(rèn)證系統(tǒng)〔LGETDynaPassTwoFactorAuthenticationSystem〕由林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器〔LGETDYNAPASS/SERVER〕和林果LGETAGENT平安認(rèn)證代理和林果電子令牌三大局部構(gòu)成：2.2.1林果電子令牌為用戶提供了一個簡單、易行的口令產(chǎn)生方法。通過同步信任認(rèn)證算法產(chǎn)生單次使用且無法預(yù)測和跟蹤的“動態(tài)口令”，這就使得用戶口令既無法被竊取，又解決了口令頻繁變換所帶來的問題?！皠討B(tài)口令”是與“靜態(tài)口令”相對而言的，它們的主要區(qū)別在于：一個“動態(tài)口令”只能使用一次，而且每次不同；而“靜態(tài)口令”那么重復(fù)屢次使用，每次都一樣。令牌使用方便，簡單易用。目前已研制出以下兩種型號的令牌，以適應(yīng)不同用戶要求：標(biāo)準(zhǔn)型基于時間同步的電子令牌加強(qiáng)型〔保密型〕基于時間同步的電子令牌2.2.2林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器平安認(rèn)證效勞器運(yùn)行在網(wǎng)絡(luò)環(huán)境下，集中控制所有用戶對網(wǎng)絡(luò)的訪問，同時提供認(rèn)證、授權(quán)和審計效勞。使用者在進(jìn)行身份認(rèn)證時，僅需要輸入用戶名和由電子令牌產(chǎn)生的“動態(tài)口令”。通過林果LGETAGENT平安認(rèn)證代理強(qiáng)制執(zhí)行平安口令策略機(jī)制，將認(rèn)證信息送林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器端調(diào)用同步信任認(rèn)證算法模塊對“動態(tài)口令”進(jìn)行認(rèn)證，保證認(rèn)證過程的完成。2.2.3林果LGETAGENT平安認(rèn)證代理林果LGETAGENT平安認(rèn)證代理是林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器的客戶端，是企業(yè)網(wǎng)絡(luò)中任何需要受保護(hù)認(rèn)證資源。林果LGETAGENT平安認(rèn)證代理在系統(tǒng)中就象一個"平安哨兵"。更特別的是：對Web來說，一個林果LGETAGENT平安認(rèn)證代理是林果用來保護(hù)Web效勞器的平安軟件，并且被TCP/IP網(wǎng)絡(luò)連接到運(yùn)行著林果LGETDYNAPASS/SERVER平安認(rèn)證效勞的效勞器上，這就為Web效勞器提供了身份認(rèn)證效勞。林果LGETAGENT平安認(rèn)證代理是林果動態(tài)口令Web職能關(guān)鍵之處，因為林果LGETAGENT平安認(rèn)證代理直接被安裝在WebServer層上，并且強(qiáng)制執(zhí)行在林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器上建立的平安策略。當(dāng)用戶試圖進(jìn)入被林果LGETAGENT平安認(rèn)證代理保護(hù)的資源時,用戶馬上被要求輸入其有效的身份證明，即PIN碼和從林果動態(tài)口令卡產(chǎn)生的動態(tài)口令。這些數(shù)據(jù)通過SSL傳送到林果LGETDYNAPASS/SERVER平安認(rèn)證效勞器上,在那里驗證輸入的PIN和動態(tài)口令是否有效。被授權(quán)的林果動態(tài)口令用戶很容易就可進(jìn)入，而未被授權(quán)的人那么被拒絕進(jìn)入受保護(hù)的Web效勞器。林果LGETAGENT平安認(rèn)證代理保護(hù)WebServer所選定的頁面和目錄。在WebServer的目錄和文件啟動代理軟件后，所有試圖訪問這些被保護(hù)的Web頁面的用戶，需出示林果動態(tài)口令令牌碼。只有這些Server數(shù)據(jù)庫中注冊了的用戶才能訪問受林果動態(tài)口令保護(hù)的頁面。因此，既可以把網(wǎng)站作為公共資源提供應(yīng)所有用戶，也可以把它作為高機(jī)密網(wǎng)站來給可信任用戶發(fā)送保密信息。林果LGETAGENT平安認(rèn)證代理對如下Web平臺提供林果動態(tài)口令保護(hù)：林果LGETAGENT平安認(rèn)證代理forWindowsNT和Windows2000-保護(hù)IIS虛擬效勞器、路徑和文件；OutlookWebAccess；MicrosoftSiteServer和SiteServerCommerceEdition；MicrosoftProxyServer。林果LGETAGENT平安認(rèn)證代理forLotusDomino-保護(hù)Lotus數(shù)據(jù)庫〔地址簿、日歷、郵件等〕、URL路徑和安裝在WindowsNT平臺上的DominoWeb效勞器上的文件。林果LGETAGENT平安認(rèn)證代理forNetscape或iPlanetWebServers-保護(hù)Web效勞器根目錄或在WindowsNT或UNIX平臺〔Solaris、HP-UX和AIX〕上的登錄認(rèn)證。 林果LGETAGENT平安認(rèn)證代理可快捷簡便地布置平安效勞，而不需要與用戶的桌面交互。在用戶獲準(zhǔn)訪問機(jī)密Web資源之前，必須確定用戶的身份，強(qiáng)制實施他們制定的平安策略，既可以把網(wǎng)站作為公共資源提供應(yīng)所有用戶，也可以把它作為高機(jī)密網(wǎng)站來給可信任用戶發(fā)送保密信息。2.3動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的特點開放式體系，系統(tǒng)支持WINDOWSNT、NETWARE、UNIX、LINUX等網(wǎng)絡(luò)系統(tǒng)平臺。用戶數(shù)據(jù)和動態(tài)密碼種子受加密保護(hù)。采用雙因素(靜態(tài)口令及動態(tài)口令雙因素)身份認(rèn)證技術(shù)和一次性認(rèn)證原那么,保證一次一密?？芍С諸ACACS和RADIUS遠(yuǎn)程撥號訪問認(rèn)證協(xié)議，允許用戶進(jìn)行遠(yuǎn)程撥號訪問。用戶的重要信息〔如口令〕均以變換形式在存儲設(shè)備中存儲或在信道中傳輸?？蛻舳颂峁┱J(rèn)證API開發(fā)接口，包括C、VC、VB、FoxPro、POWERBUILDER等各種軟件開發(fā)接口。可以非常方便地嵌入原應(yīng)用系統(tǒng)，無需添加額外的訪問設(shè)備。支持IIS和APACHE等WWW效勞器，可控制網(wǎng)頁的特殊訪問。提供ASP調(diào)用接口，可輕易實現(xiàn)與WEB效勞器的無縫集成。由于令牌是脫機(jī)使用的，客戶端的應(yīng)用環(huán)境并不局限于計算機(jī)系統(tǒng)，對委托系統(tǒng)，甚至是ATM、POS等都可以使用令牌。單向、簡捷的認(rèn)證過程，有效防止非授權(quán)用戶的訪問。集中式的網(wǎng)絡(luò)認(rèn)證和管理，完整的日志功能，便于審計追蹤?？狗聪蚬こ?，自我保護(hù)?？蛇x的熱備份認(rèn)證效勞器，確保系統(tǒng)可靠性。2.4應(yīng)用程序接口提供多種應(yīng)用系統(tǒng)開發(fā)接口：C接口、VB接口、FoxPro接口、DELPHI接口、PB接口CGI接口ASP接口JAVA接口2.5令牌物理特性工程塑料外殼電子令牌小巧便捷，使用方便加強(qiáng)型電子令牌有按鍵選擇，可提供PIN碼輸入不使用時自動進(jìn)入省電狀態(tài)〔指卡式令牌〕超低功耗，節(jié)能環(huán)保2.6動態(tài)口令雙因素平安認(rèn)證系統(tǒng)的安裝動態(tài)口令雙因素平安認(rèn)證系統(tǒng)安裝時除了添加必要的設(shè)備〔如平安認(rèn)證效勞器、平安認(rèn)證代理、令牌等，平安認(rèn)證效勞器需要接入客戶原有的網(wǎng)絡(luò)內(nèi)，平安認(rèn)證代理是需要保護(hù)的網(wǎng)絡(luò)資源是系統(tǒng)中已經(jīng)存在的應(yīng)用〕外，只需對原應(yīng)用系統(tǒng)的口令認(rèn)證局部稍作改動，就能實現(xiàn)動態(tài)口令系統(tǒng)的無縫嵌入，LGETDYNAPASS/SERVER提供多種認(rèn)證接口，包括C、VC、VB、FOXPRO、POWERBUILDER等，以適應(yīng)不同用戶的需要。對于互聯(lián)網(wǎng)的應(yīng)用，LGETDYNAPASS/SERVER提供ASP調(diào)用接口、控件模塊，實現(xiàn)與現(xiàn)有WEB效勞器的無縫集成。3典型應(yīng)用網(wǎng)上委托系統(tǒng)身份認(rèn)證撥號登錄訪問通過動態(tài)口令對平安網(wǎng)頁訪問進(jìn)行限制證券委托、銀行網(wǎng)絡(luò)設(shè)備的口令管理及主機(jī)登錄NETWARE/NT/UNIX系統(tǒng)登錄功能ORACLE/SQLSERVER等大型數(shù)據(jù)庫的用戶連接訪問控制4應(yīng)用范圍適用于銀行網(wǎng)絡(luò)范圍、證券效勞、移動辦公及電子商務(wù)。適用于基于計算機(jī)主機(jī)和通信網(wǎng)絡(luò)的平安系統(tǒng)，提供用戶認(rèn)證。適用于任何遠(yuǎn)程終端的訪問控制，如遠(yuǎn)程PC、終端等。5技術(shù)指標(biāo)動態(tài)口令6位〔十進(jìn)制〕口令更換周期：60sec。系統(tǒng)用戶數(shù)：根據(jù)相應(yīng)數(shù)據(jù)庫的用戶遭物理破壞卡上數(shù)據(jù)自毀；時間誤差小于2秒/24小時；使用溫度范圍：-20—＋70電池使用時間：4年嵌入Web方式CGI、ASP、JAVA系統(tǒng)支持通訊協(xié)議TCP/IP、IPX；支持Tacacs協(xié)議和Radius協(xié)議6接口庫支持的語言VC、VB、PB；FoxPro、Delphi等。7認(rèn)證算法參照DES、ISO和ANSI國際標(biāo)準(zhǔn)，基于專用算法。支持時間同步認(rèn)證算法協(xié)議。8成功案例國家信息平安重點示范工程，S219中國農(nóng)業(yè)銀行上海市分行，撥號接入管理系統(tǒng)上海市黃浦區(qū)區(qū)政府，政務(wù)平安管理系統(tǒng)，信訪平安登錄系統(tǒng)蕪湖