林果動態(tài)口令技術白皮書

動態(tài)口令雙因素平安認證系統LGETDynaPassTwoFactorAuthenticationSystem技術白皮書上海林果實業(yè)上海林果科技二00二年一月目錄TOC\o"1-3"動態(tài)口令雙因素平安認證系統31概述12動態(tài)口令雙因素平安認證系統根本原理和功能12.1動態(tài)口令雙因素平安認證系統的根本原理12.2動態(tài)口令雙因素平安認證系統的組成32.2.1林果電子令牌42.2.2林果LGETDYNAPASS/SERVER平安認證效勞器42.2.3林果LGETAGENT平安認證代理42.3動態(tài)口令雙因素平安認證系統的特點52.4應用程序接口62.5令牌物理特性62.6動態(tài)口令雙因素平安認證系統的安裝73典型應用74應用范圍75技術指標76接口庫支持的語言87認證算法88成功案例81概述在計算機網絡中，最常見而且最簡單的訪問控制方法是使用口令，通過對口令的匹配來確認用戶的合法性。口令不平安是網絡系統中普遍存在的隱患。據美國某專業(yè)平安協會對近千名公司網絡管理員的調查說明，有60%的系統首先被攻擊和突破的地方是口令，而煩瑣的口令設置又給用戶帶來很多麻煩，對此系統管理員感到進退兩難。為什么現行的口令會如此容易被攻破的幾種常見情況：口令在網絡傳輸中被截獲和分析。長時間使用同一個口令，泄露口令的機率大大增加。人們通常喜歡用自己熟悉的人名、日期、門牌號、號碼及其組合，易被猜中。在多個業(yè)務效勞和應用系統中共享口令，降低了口令的平安性。為解決靜態(tài)口令所存在的各種問題，上海林果開發(fā)出LGETDynaPassTwoFactorAuthenticationSystem動態(tài)口令雙因素平安認證系統。它采用了基于時間而產生的一次性口令來代替?zhèn)鹘y的靜態(tài)口令，從而防止了口令泄密帶來的平安隱患。2動態(tài)口令雙因素平安認證系統根本原理和功能2.1動態(tài)口令雙因素平安認證系統的根本原理動態(tài)口令雙因素平安認證系統〔LGETDynaPassTwoFactorAuthenticationSystem〕為計算機信息網絡系統用戶的合法身份認證提供了簡捷、有效的認證手段。該系統由林果電子令牌、林果LGETDYNAPASS/SERVER平安認證效勞器和林果LGETAGENT平安認證代理構成。電子令牌每隔幾十秒鐘動態(tài)生成一個隨機的、單次使用的口令，配合LGETDYNAPASS/SERVER平安認證效勞器〔基于時間同步機制〕構成一個平安、可靠的認證系統，保護計算機網絡授權用戶的合法利益，防止系統或網絡受到非授權用戶的非法訪問。動態(tài)口令雙因素平安認證系統〔LGETDynaPassTwoFactorAuthenticationSystem〕保存了原有口令認證機制的簡單易用的優(yōu)點，又增加了動態(tài)口令認證的平安性，以實現雙重因素的認證保險。認證效勞器的認證處理對用戶透明，易于使用和管理。電子令牌不需要專用的讀入設備，也免去了復雜的認證過程，最重要的是，訪問控制權仍然掌握在系統管理者手中。林果LGETDYNAPASS/SERVER平安認證效勞器和林果LGETAGENT平安認證代理對林果令牌產生的口令進行認證。具體過程是：使用時，用戶使用管理中心分發(fā)的電子令牌〔又稱為動態(tài)口令發(fā)生器〕，動態(tài)產生一個口令，然后在系統登錄界面，或者機等信息輸入終端〔應用表示層〕進行輸入。系統將用戶輸入的靜態(tài)口令和動態(tài)口令送到網絡系統中的需要平安認證的資源即林果LGETAGENT平安認證代理效勞器，林果LGETAGENT平安認證代理強制執(zhí)行動態(tài)口令認證策略機制，將認證信息送林果LGETDYNAPASS/SERVER平安認證效勞器。林果LGETDYNAPASS/SERVER平安認證效勞器進行平安身份認證，由此判斷用戶的合法性。根本結構示意圖如下：認證代理認證代理認證代理認證代理根本結構示意圖IntranetIntranetIntranet遠程用戶虛擬專用網大型機IBM企業(yè)系統UNIX，Novell，Microsoft，IBMWebLotusDomino，Microsoft，Netscape遠程訪問用戶內部用戶林果LGET認證代理林果LGET認證代理林果LGET認證效勞林果LGET認證代理林果動態(tài)口令產品應用體系結構應用表示層輸入應用表示層輸入口令A與用戶標識輸入LGET認證代理LGET認證代理1根據時間、令牌產生一個動態(tài)一次性口令A對應用戶標識，認證效勞器在數據庫中找到令牌并與時間序列一起生成口令(B)，與口令(A)進行比擬4用戶標識+口令A發(fā)送至LGET認證效勞器3將認證信息送至應用效勞器〔LGET認證代理〕25LGET認證效勞器將肯定或否認碼送至應用效勞器〔LGET認證代理〕動態(tài)口令認證工作流程2.2動態(tài)口令雙因素平安認證系統的組成動態(tài)口令雙因素平安認證系統〔LGETDynaPassTwoFactorAuthenticationSystem〕由林果LGETDYNAPASS/SERVER平安認證效勞器〔LGETDYNAPASS/SERVER〕和林果LGETAGENT平安認證代理和林果電子令牌三大局部構成：2.2.1林果電子令牌為用戶提供了一個簡單、易行的口令產生方法。通過同步信任認證算法產生單次使用且無法預測和跟蹤的“動態(tài)口令”，這就使得用戶口令既無法被竊取，又解決了口令頻繁變換所帶來的問題?！皠討B(tài)口令”是與“靜態(tài)口令”相對而言的，它們的主要區(qū)別在于：一個“動態(tài)口令”只能使用一次，而且每次不同；而“靜態(tài)口令”那么重復屢次使用，每次都一樣。令牌使用方便，簡單易用。目前已研制出以下兩種型號的令牌，以適應不同用戶要求：標準型基于時間同步的電子令牌加強型〔保密型〕基于時間同步的電子令牌2.2.2林果LGETDYNAPASS/SERVER平安認證效勞器平安認證效勞器運行在網絡環(huán)境下，集中控制所有用戶對網絡的訪問，同時提供認證、授權和審計效勞。使用者在進行身份認證時，僅需要輸入用戶名和由電子令牌產生的“動態(tài)口令”。通過林果LGETAGENT平安認證代理強制執(zhí)行平安口令策略機制，將認證信息送林果LGETDYNAPASS/SERVER平安認證效勞器端調用同步信任認證算法模塊對“動態(tài)口令”進行認證，保證認證過程的完成。2.2.3林果LGETAGENT平安認證代理林果LGETAGENT平安認證代理是林果LGETDYNAPASS/SERVER平安認證效勞器的客戶端，是企業(yè)網絡中任何需要受保護認證資源。林果LGETAGENT平安認證代理在系統中就象一個"平安哨兵"。更特別的是：對Web來說，一個林果LGETAGENT平安認證代理是林果用來保護Web效勞器的平安軟件，并且被TCP/IP網絡連接到運行著林果LGETDYNAPASS/SERVER平安認證效勞的效勞器上，這就為Web效勞器提供了身份認證效勞。林果LGETAGENT平安認證代理是林果動態(tài)口令Web職能關鍵之處，因為林果LGETAGENT平安認證代理直接被安裝在WebServer層上，并且強制執(zhí)行在林果LGETDYNAPASS/SERVER平安認證效勞器上建立的平安策略。當用戶試圖進入被林果LGETAGENT平安認證代理保護的資源時,用戶馬上被要求輸入其有效的身份證明，即PIN碼和從林果動態(tài)口令卡產生的動態(tài)口令。這些數據通過SSL傳送到林果LGETDYNAPASS/SERVER平安認證效勞器上,在那里驗證輸入的PIN和動態(tài)口令是否有效。被授權的林果動態(tài)口令用戶很容易就可進入，而未被授權的人那么被拒絕進入受保護的Web效勞器。林果LGETAGENT平安認證代理保護WebServer所選定的頁面和目錄。在WebServer的目錄和文件啟動代理軟件后，所有試圖訪問這些被保護的Web頁面的用戶，需出示林果動態(tài)口令令牌碼。只有這些Server數據庫中注冊了的用戶才能訪問受林果動態(tài)口令保護的頁面。因此，既可以把網站作為公共資源提供應所有用戶，也可以把它作為高機密網站來給可信任用戶發(fā)送保密信息。林果LGETAGENT平安認證代理對如下Web平臺提供林果動態(tài)口令保護：林果LGETAGENT平安認證代理forWindowsNT和Windows2000-保護IIS虛擬效勞器、路徑和文件；OutlookWebAccess；MicrosoftSiteServer和SiteServerCommerceEdition；MicrosoftProxyServer。林果LGETAGENT平安認證代理forLotusDomino-保護Lotus數據庫〔地址簿、日歷、郵件等〕、URL路徑和安裝在WindowsNT平臺上的DominoWeb效勞器上的文件。林果LGETAGENT平安認證代理forNetscape或iPlanetWebServers-保護Web效勞器根目錄或在WindowsNT或UNIX平臺〔Solaris、HP-UX和AIX〕上的登錄認證。 林果LGETAGENT平安認證代理可快捷簡便地布置平安效勞，而不需要與用戶的桌面交互。在用戶獲準訪問機密Web資源之前，必須確定用戶的身份，強制實施他們制定的平安策略，既可以把網站作為公共資源提供應所有用戶，也可以把它作為高機密網站來給可信任用戶發(fā)送保密信息。2.3動態(tài)口令雙因素平安認證系統的特點開放式體系，系統支持WINDOWSNT、NETWARE、UNIX、LINUX等網絡系統平臺。用戶數據和動態(tài)密碼種子受加密保護。采用雙因素(靜態(tài)口令及動態(tài)口令雙因素)身份認證技術和一次性認證原那么,保證一次一密?？芍С諸ACACS和RADIUS遠程撥號訪問認證協議，允許用戶進行遠程撥號訪問。用戶的重要信息〔如口令〕均以變換形式在存儲設備中存儲或在信道中傳輸?？蛻舳颂峁┱J證API開發(fā)接口，包括C、VC、VB、FoxPro、POWERBUILDER等各種軟件開發(fā)接口?？梢苑浅７奖愕厍度朐瓚孟到y，無需添加額外的訪問設備。支持IIS和APACHE等WWW效勞器，可控制網頁的特殊訪問。提供ASP調用接口，可輕易實現與WEB效勞器的無縫集成。由于令牌是脫機使用的，客戶端的應用環(huán)境并不局限于計算機系統，對委托系統，甚至是ATM、POS等都可以使用令牌。單向、簡捷的認證過程，有效防止非授權用戶的訪問。集中式的網絡認證和管理，完整的日志功能，便于審計追蹤?？狗聪蚬こ?，自我保護?？蛇x的熱備份認證效勞器，確保系統可靠性。2.4應用程序接口提供多種應用系統開發(fā)接口：C接口、VB接口、FoxPro接口、DELPHI接口、PB接口CGI接口ASP接口JAVA接口2.5令牌物理特性工程塑料外殼電子令牌小巧便捷，使用方便加強型電子令牌有按鍵選擇，可提供PIN碼輸入不使用時自動進入省電狀態(tài)〔指卡式令牌〕超低功耗，節(jié)能環(huán)保2.6動態(tài)口令雙因素平安認證系統的安裝動態(tài)口令雙因素平安認證系統安裝時除了添加必要的設備〔如平安認證效勞器、平安認證代理、令牌等，平安認證效勞器需要接入客戶原有的網絡內，平安認證代理是需要保護的網絡資源是系統中已經存在的應用〕外，只需對原應用系統的口令認證局部稍作改動，就能實現動態(tài)口令系統的無縫嵌入，LGETDYNAPASS/SERVER提供多種認證接口，包括C、VC、VB、FOXPRO、POWERBUILDER等，以適應不同用戶的需要。對于互聯網的應用，LGETDYNAPASS/SERVER提供ASP調用接口、控件模塊，實現與現有WEB效勞器的無縫集成。3典型應用網上委托系統身份認證撥號登錄訪問通過動態(tài)口令對平安網頁訪問進行限制證券委托、銀行網絡設備的口令管理及主機登錄NETWARE/NT/UNIX系統登錄功能ORACLE/SQLSERVER等大型數據庫的用戶連接訪問控制4應用范圍適用于銀行網絡范圍、證券效勞、移動辦公及電子商務。適用于基于計算機主機和通信網絡的平安系統，提供用戶認證。適用于任何遠程終端的訪問控制，如遠程PC、終端等。5技術指標動態(tài)口令6位〔十進制〕口令更換周期：60sec。系統用戶數：根據相應數據庫的用戶遭物理破壞卡上數據自毀；時間誤差小于2秒/24小時；使用溫度范圍：-20—＋70電池使用時間：4年嵌入Web方式CGI、ASP、JAVA系統支持通訊協議TCP/IP、IPX；支持Tacacs協議和Radius協議6接口庫支持的語言VC、VB、PB；FoxPro、Delphi等。7認證算法參照DES、ISO和ANSI國際標準，基于專用算法。支持時間同步認證算法協議。8成功案例國家信息平安重點示范工程，S219中國農業(yè)銀行上海市分行，撥號接入管理系統上海市黃浦區(qū)區(qū)政府，政務平安管理系統，信訪平安登錄系統蕪湖