雙因素認證
一、 網路安全認證的需求背景
網路釣魚、欺詐等網路犯罪現象已經達到非常嚴峻的情況,用戶如果只依賴個人密碼進行帳戶登錄或網上交易,是非常危險和不可靠的認證方法。針對這些問題,北京中科恆倫科技有限公司推出基於動態令牌的雙因素身份認證服務,對象是那些為企業VPN安全登錄、IDC遠程訪問管理、消費者提供網上交易和服務的網上商戶。他們只要安裝了中科恆倫的雙因素認證系統,便能為其客戶提供身份認證服務,使其消費者日後能以簡單輕鬆的方法,隨時隨地享受網上服務。IT管理員或者終端消費者也不用再終日提心弔膽,網上商戶因此能與其客戶建立更親密和信任的關係。
二、 現存主要的身份認證技術分析
目前,計算機及網路系統中常用的身份認證方式主要有以下幾種:
1.用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,是基於「what you know」的驗證手段。每個用戶的密碼是由用戶自己設定的,只要能夠正確輸入密碼,計算機就認為操作者就是合法用戶。出於對安全的要求,要求用戶定期更改密碼,且不能重複,而實際上,由於許多用戶為防止忘記密碼,經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼,或者把密碼抄在紙上放在一個自認為安全的地方,這樣就容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由於密碼是靜態的數據,很容易被駐留在計算機內存中的木馬程序或網路中的監聽設備截獲。因此,從安全性上講,用戶名/密碼方式是一種極不安全的身份認證方式。
2.智能卡認證
智能卡是一種內置集成電路的晶元,晶元中存有與用戶身份相關的數據,智能卡由專門的廠商通過專門的設備生產,是不可複製的硬體。智能卡由合法用戶隨身攜帶,登錄時必須將智能卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。智能卡認證是基於「what you have」的手段,能過智能卡硬體不可複製來保證用戶身份不會被仿冒。然而由於每次從智能卡中讀取的數據是靜態的,通過內存掃描或網路監聽等技術還是很容易截取到用戶的身份驗證信息,因此還是存在安全隱患。
3.動態密碼認證
動態密碼認證是一種基讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。其技術是基於動態令牌的,密碼生成晶元運行專門的密碼演算法,根據當前時間生成當前密碼並顯示在顯示屏上。認證伺服器採用相同的演算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份認證。由於每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬體,所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使黑客截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份 。
4.生物識別技術
生物識別技術主要是指通過可測量的身體或行為等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動驗證的生理特徵或行為方式。生物特徵分為身份特徵和行為特徵兩類。身體特徵包括:指紋、掌型、視網膜、虹膜、DNA等;行為特徵包括:簽名、語音、行走步態等。基於生物特徵的身份認證機制容易受外界因素影響(如雜訊、位置、方向以及光照的變化或主體本身的特徵改變),使得在提取生物特徵或進行匹配時產生困難。此外,所有基於生物特徵的識別技術是利用提取的生物特徵數據作為識別碼,因而在傳送中易被非法截獲,而且生物特徵識別技術的成本較高。
三.北京中科恆倫科技有限公司的基於動態令牌的雙因素身份認證解決方案
北京中科恆倫科技有限公司 是一家提供消費者身份認證解決方案的公司,專為網上商戶如網上銀行、IDC伺服器和交換機管理、VPN安全登錄認證、電子商務、網遊公司等服務,向其客戶提供雙因素身份認證服務,讓消費者能隨時、隨地享受安全和方便的網上交易服務。
1.CKEY令牌
CKEY消費者身份認證服務採用業界知名的硬體令牌和技術,CKEY令牌 採用時間同步技術,實現 每 60 秒時間變動一次密碼。每一令牌有一個唯一的種子,根據行業標準 運演算法則每 60 秒時間就產生一次新的密碼。因為產生的密碼是不可預測、動態的,使黑客很難在任一時間內測出正確的密碼。這項技術把身份認證設備和伺服器相聯繫匹配,從而保證了其高度的安全性。只要你考慮到重要的信息資源暴露的風險性,你就會認為這種保護是必不可少的。
CKEY硬體令牌 的使用就如同輸入個人密碼一樣簡單,但是要安全得多。每一個最終使用者都會被發到一個令牌,這個令牌每 60 秒產生一個一次性密碼。在登陸時,用戶輸入個人的原有密碼(靜態密碼)後,再輸入令牌上顯示的動態密碼,實現安全的雙因素身份認證保護。
動態令牌的特點:
使用直觀、簡易及一次性口令;
令牌內電路不可讀,無法破解、篡改和複製; 類似信用卡大小,容易攜帶; 清晰可讀的LCD顯示屏;
每60秒鐘自動產生無法預測的單次使用存取密碼;
每張卡自帶唯一128位種子號,並且和認證伺服器時間同步; 無須其他讀取設備; 防水性強; 防靜電性強; 防震性強。
2.認證伺服器
認證伺服器可以實現以下功能:
企業認證:保證登錄的用戶確實為授權的個體,大大降低攻擊和非法訪問的風險 訪問控制:自定義訪問許可權,保護對專用網路系統、文件及應用的訪問 規避攻擊:識別非法用戶接入網路,並有效防範。
用戶責任:訪問歷史日誌保證用戶不會被任何非法訪問事件所牽連
3.代理軟體
實現這種強大的認證功能的中間代理軟體的功能類似於保安人員,用來實施SAE/Server系統建立的安全策略。SAE/API是一種設備專用代理軟體,已經內置在大多數業內主流的網路設備和瀏覽器以及Web伺服器軟體系統中,允許安全管理員通過滑鼠點擊,而不是編寫代碼,為用戶和保護的資源選擇和應用相應的設置。 中間代理軟體的特點是:
●提供天衣無縫的集成,不需要安裝客戶端軟體
●現有的主流網路設備已預裝。CKEY擁有最廣泛的全球身份認證合作夥伴, 共有170家236種產品支持CKEY SecurID, 如Cisco,3Com, 華為A8010,Alcatel等等。
●支持現有的大多數主流平台。CKEY支持Sun Solaris, IBM AIX, HP-UX ,SunOS,IRIX.BSDi,Free,BSD,Redhat LINUX, OS/390, OS/400, Dec Unix, Unisys, SGI, MAC OS, DG/UX, Netware, Palm OS, Rocket z/OS等操作系統的認證保護.
●支持Mircrosoft RAS遠程訪問認證。
●CKEY支持Microsoft IIS, iPlanet, Apache, Lotus Domino Web Server等Web伺服器.
●易於配置、運行。
4.中科恆倫雙因素身份認證解決方案的優勢
與UCT時間同步 :令牌時鐘和認證伺服器系統時鐘同步化為UCT(格林威治標準時間 ) 有效令牌窗口和時鐘漂移調整 :適用於認證令牌中的時鐘略為偏離認證伺服器的時間相位的情況 。
與認證伺服器(SAE/Server)進行散列通信
認證伺服器的災難恢復能力 :通過網路連接恢復必要的數據到從認證伺服器
動聯並發動態令牌認證引擎:單台認證伺服器並發認證數達到1000以上,需大量並發認,可採用集群方式,進行自動的認證伺服器負載.
y.c???S?
推薦閱讀:
※下一代應用安全網關的實踐與體會
※一個黑客會經歷怎樣的人生?
※軟體安全live第六期:軟體安全-格式化字元串攻擊
※物理隔離與數據交換-網閘的設計原理與誤區
※火絨安全警報:病毒偽裝成「滙豐銀行」郵件盜取用戶賬號
TAG:網路安全 |