动态口令双因素认证及其应用_动态口令认证失败
摘要:身份认证是信息安全技术领域的一个重要部分,文章阐述了身份认证的主要因素和动态口令双因素认证的机制,并详细分析了动态密码双因素认证技术在各种信息系统中的应用。关键词:双因素认证;动态口令;一次性口令;信息安全技术0 引言目前最普遍采用的身份认证机制是结合用户ID和密码的身份认证方案,它已经被广泛的应用于各种网络和系统中。用户的密码过于简单或容易被猜中,用户使用密码存在不良习惯,都可能造成密码的失窃。许多企事业单位开始意识到密码已经不能满足他们对关键信息资源保护的需求,开始着手实施更可靠的身份认证方案来保护他们的信息资源。目前主要采用的强认证方案是动态口令双因素认证方案。 1 双因素身份认证在信息安全领域,对共享信息资源保护的第一步就是实施一种用户身份认证服务。通常这―服务基于指定的用户ID,系统或者网络通过某种方式识别出使用者,这个过程就是身份认证(Authentication)。身份认证是最重要的安全服务,也是其他安全控制的基础,比如访问控制机制基于用户ID来分配信息资源,日志记录机制基于用户ID控制用户的访问和使用信息”。身份认证过程是基于“某种信息片段”如密码、指纹等进行的,这些信息片段被称为认证因素(Authentication factor)。认证因素通常可以分为以下三类:第一类因素是指“你所具备的特征(something you are)”,通常是使用者本身拥有的惟一生物特征,例如指纹、瞳孔、声音等。第二类因素是指“你所知道的事物(something you know)”,通常是需要使用者记忆的身份认证内容,例如密码和身份证号码等。第三类因素是指“你所拥有的事物(Something you have)”,通常是使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。采
用以上三类因素中任意两类因素的身份认证称为双因素认证(Two-factor authentication)。双因素认证并不是新鲜事物,在日常生活中我们经常用到,例如我们通过银行ATM机提款的身份认证就是双因素认证,插入的银行卡是“你所拥有的”因素,输入的密码是“你所知道的”因素。单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。双因素身份认证机制,通常是在静态密码的基础上,增加一个物理因素,构成一个他人无法复制和识破的安全密码。最常见的物理因素有:生物特征和智能卡。生物特征因技术及设备的复杂性而只在某些特殊的领域中使用。静态密码加智能卡是目前应用最广泛的双因素身份认证机制,又称为动态口令认证机制或一次性口令认证机制。动态口令认证机制主要思路是:在登录过程中加入不确定的变化因素用以生成随机用户口令,以一次性动态口令登录,使得每次登录的认证信息都不相同,从而提高登录过程的安全性。 2 动态口令认证机制动态口令是变动的口令,其变动来源于产生口令的运算因子是变化的。动态口令一般都使用两个运算因子生成:其一,为用户的私有密钥,它是代表用户身份的识别码,是固定不变的。其二,为变动因子,正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子形成了不同的动态口令认证技术:基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战,应答方式的异步(Challenge/Response Asynchronous)认证技术。基于时间同步认证技术。这是基于令牌和服务器的时间同步,通过运算来生成一致的动态口令的认证技术。基于时间同步的令牌,一般更新率为60s,每60s产生一个新口令。由于其同步的
参照物是国际标准时间,因此要求服务器能够保持十分精确的时钟,同时对其令牌的晶振频率也有严格的要求。另一方面,基于时间同步的令牌在每次进行认证时,服务器端将会检测令牌的时钟偏移量,相应地不断微调自己的时间记录,从而保证了令牌和服务器的同步。由此可知,对于时间同步的设备,利用系统时钟进行保护是十分必要的,特别是对于软件令牌,由于其依赖的是用户终端PC机或移动电脑的系统时钟,当令牌数量分散,且终端属于多个不可控网络系统时,保证众多的终端同认证服务器的时钟同步十分重要。同样,对于基于时间同步的一台或多台服务器,应严格地保护其系统时钟,不得随意更改,以免发生同步差错。对于失去时间同步的令牌,目前可以通过增大偏移量的技术(前后10分钟)来进行远程同步,确保其能够继续使用,降低对应用的影响;但对于超出默认值(共20分钟)的时间同步令牌,将无法继续使用或进行远程同步的,必须由系统管理员在服务器端另行处理。基于事件同步认证技术。其原理是将某一特定的事件次序及相同的种子值作为输入,利用特定算法运算出一致的密码,其运算机理决定了整个工作流程与时钟无关,不受时钟的影响。令牌中不存在时间脉冲晶振,但由于其算法的一致性,其口令是预先可知的,通过令牌,可以预先知道多个密码,故当令牌遗失且没有使用PIN码对令牌进行保护时,存在非法登录的风险,故使用事件同步的令牌,对PIN码的保护是十分必要的。同样,基于事件同步的令牌也存在失去同步的风险,例如用户多次无目的地生成口令等。对于令牌的失去同步的情况,事件同步的服务器使用增大偏移量的方式进行再同步,服务器端自动向后推算一定次数的密码,来同步令牌和服务器;当失去同步的情况非常严重,大范围超出正常范围时,通过连续输入两次令牌计算出的密码,服务器将在较大的范围内进行令牌同步。一般情况下,令牌同步所需的次数不会超过3次,但在极端情况下,不排除失去同步的可能
性,例如电力耗尽,在更换电池时操作失误等,此时,令牌仍可通过手工输入由管理员生成的一组序列值来实现远程同步,而无需返回服务器端重新同步。挑战/应答方式的异步认证技术。对于异步令牌,由于在令牌和服务器之间除相同的算法外没有需要进行同步,故能够有效地解决令牌失去同步的问题,极大地增加了系统的可靠性。异步口令的缺点主要是在使用时,用户需多―个输入挑战值的步骤,对于操作人员,增加了复杂度,故在应用时,要根据用户应用的敏感程度和对安全的要求程度来选择密码的生成方式。 3 应用案例近年来,随着网络安全事件的大幅度上升,动态口令身份认证系统越来越受到青睐。目前,动态口令已经在各种网络上得到了广泛应用:通过动态口令,企业员工可安全地访问企业内部网,股民可放心地进行证券网上委托交易,银行用户可方便地进行网上银行交易,玩家可以有效地保护虚拟财产,其他如电子报关、电子报税、电子政务等等也都采用了动态口令身份认证技术。下面将进一步分析一些具体应用案例。网上银行案例:随着电子商务的不断发展,越来越多的银行开展网上银行业务,无论是国际的银行巨头还是国内的四大银行都陆续推出了网上银行业务。为保证网上银行交易的安全性,应用了动态口令认证。中国银行使用的动态口令牌是一种内置电源、密码生成芯片和显示屏的专用硬件,它根据专门的算法每隔一定时间自动更新动态口令。其使用十分简单,实现了与电脑的完全物理隔离,无需安装驱动和记忆密码,动态口令牌采取一次一密的方式,每60秒随机更新一次,使得不法分子难以仿冒合法用户的身份,大大提升了网上银行的安全性。具体使用要点如下:用户首先到中国银行营业点办理网上银行业务,注册开通相关帐号,申请动态口令牌并进行银行卡或银行存折的关联。用户登录网上银行时,除了使用用户名、密码之外,还需要输入动态口令牌显示的当前口令;对于高
风险的业务操作,如向他人转账、密码找回等,均需要再输入动态口令牌显示的当前口令。网络游戏案例:网络游戏也是动态口令双因素认证技术应用的热门行业。网游盗号问题的存在,直接威胁玩家的虚拟财产(如装备、道具)安全,一旦玩家虚拟财产受损,会导致玩家的投诉或离开游戏,对游戏运营带来负面影响。因此国内主要的网络游戏运营商,包括盛大、网易、九城、腾讯等,都先后推出了各自的动态口令产品,包括一体化令牌(盛大密宝、网易将军令等)和矩阵式动态口令卡(密保卡),这些动态口令产品正在为越来越多的网游玩家提供账户和虚拟资产保护。上海盛大网络发展有限公司推出了其自主研发的“盛大密宝”,它采用基于时间同步的动态密码认证技术,每分钟能够生成―个新的、且不能重复使用的动态密码。该产品在第二届中国网络游戏年会评选中获得了“2004年度最佳网络游戏帐号安全方案奖”。“盛大密宝”可以绑定各类互联网应用。目前盛大旗下传奇世界、起点中文网、泡泡堂、梦幻国度等不同产品均可使用,同时盛大公司还将其应用推广到了同花顺、金银岛、中商网、51Piao和智买道等等其他电子商务的网站上。企业内部应用案例:在企业内部应用领域,动态口令认证技术主要用于远程用户访问的身份认证、操作授权、技术人员进行系统和网络维护登录等。如当企业员工通过VPN远程接入到内部系统时,由于VPN接入使用静态密码帐号,黑客们可能通过木马、病毒等键盘窃听程序或者暴力破解程序从VPN使用者主机中获得VPN Client的帐号密码,冒充授权用户登录内部网;身份认证作为安全的第一道关口,如果密码被窃取,那么所有的保护措施都会失效。从安全控制的角度看,上海超级计算中心网络系统,由网络、服务器、应用三个层次构成,每一层次又由若干部件构成。对于网管人员来说,为了记住众多服务器及网络设备的密码,常会使用重复并且简单的密码,而对于使用主机服务的用户来说,密码被
破解将致使他们的重要数据被窃取,所以认证和密码管理是重要的安全问题。因此上海超级计算中心在高风险高价值的身份认证处理过程中采用了双因素身份认证技术。 4 结束语动态口令认证不改变用户现有的使用习惯,通常不需要客户服务支持即可完成各种应用的登录,用户使用非常简单,有效地体现了安全性和可用性的平衡。动态口令认证可以非常方便地嵌入到已有应用系统,易与现有的应用系统连接,对正在运行的应用系统仅需做极小改动。采用专用认证服务器进行认证,可保障现有应用系统的完整性,保护系统资源。专用认证服务器通常具有非常强的可扩展性与升级能力,能够提供足够的扩展空间以适应不断发展的应用需求。基于时间同步认证技术的口令只在一分钟内有效,较好地体现了技术的安全性,规避了大部分安全隐患。而基于事件同步认证技术存在着密码可能长时间被人偷窥的问题,有较大的安全隐患。当前,市场上使用最多的是时间同步认证技术。
一种实现双向认证的动态口令身份认证方案 来源:网店装修 https://www.doczj.com/doc/f98211070.html, 摘要本文在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。 关键词双向身份认证、动态口令、同步重调,动态身份认证系统 身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切安全机制的基础。这也就使之成为黑客攻击的主要目标。因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。 就国内外身份认证技术的发展情况来看,最传统的身份认证方式是帐号——口令方式;新兴的身份认证方式包括:生物特征识别法、动态口令<又称一次性口令)认证法等。本文中主要展开对动态口令认证法的讨论和研究。 1 背景知识介绍 1.1 PKI体系 PKI PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口 制造模式 1、简述丰田公司实施精益生产方式的主要做法. 答:(1)拉动式的准时生产方式,杜绝一切超前、超量制造;采用快换工装模具新技术;把单一品种生产线改成多品种混流生产线,把小批次大批量轮番生产改变为多批次小批量生产,最大限度地降低在制品储备,提高适应市场的能力。(2)“零缺陷”工作目标和发现问题随时修改。追求目标是:“零缺陷”,即最低的成本、最好的质量、无废品、零库存与产品的多样性。发现问题可以随时让组装线停下来。(3)以“精简”为主要手段。在组织机构方面,去掉一切多余的环节和人员。在生产过程中,采用先进的柔性加工设备,减少非直接生产方式工人的数量,使每个工人都真正对产品实现增值。此外,减少产品复杂性的同时,提供多样化的产品。(4)在生产组织结构和协作关系上,丰田生产方式一反大量生产方式追求纵向一体化的做法,把70%左右的汽车零部件的设计和制造委托给协作厂进行,主机厂只完成约占整车30%的设计和制造任务。(5)采用多功能作业小组和并行设计方式进行新产品开发。工作小组由企业各部门专业人员组成,全面负责一个产品型号的开发和生产,并格局实际情况调整原有的设计和计划。产品设计采用并行工程方法,克服了大量生产方式中由于分工过细所造成的那些信息传递慢、协调工作难、开发周期城等缺陷。(6)与用户保持密切联系,将用户纳入产品开发过程。不仅向用户提供周到的服务,而且洞悉用户的思想和要求,以生产出适销对路的产品。(7)改变劳资关系,强调人的作用。人是企业一切活动的主体。劳动力和机器一样,不仅从短期看是企业的不变成本,而且从长远看是更重要的固定成本。丰田公司采用终身雇佣制,工资按资历分级,奖金与公司盈利挂钩。充分发挥一线职工的积极性和创造性,使他们积极为改进产品的质量献计献策,使一线工人真正成为“零缺陷”生产的主力军。下放部分权力,使人人有权、有责任、有义务随时解决碰到的问题。形成独特的、具有竞争意识的企业文化。 2、制造企业的浪费现象主要有哪些?可以采取哪些方法消除? 答:浪费,(1)超量生产造成的无效劳动。过多的制造和提前生产,其实是一种浪费,其结果是生产过剩的半成品。(2)等待的浪费。不合格品造成的停工;生产线工序不平衡;工作量变动幅度过大;制造通知或设计图纸未按时送达;设备故障维修;产品切换,模具更换;质量不良自动停机;物料供应或前工序能力不足造成等待。(3)搬运的浪费。搬运在工程里是有必要的,但搬运不产生附加价值,具体表现为堆积、放置、移动、整理等动作的浪费。(4)动作的浪费。工位布置不合理,使用工具和操作方法不得当,都会造成动作上的浪费。(5)库存的浪费。虽然适量的库存是必要的,多一点储存多一点保险,但过量库存会造成浪费。(6)加工本省的无效劳动和浪费。在机械技工作业中,由于没有贯彻工艺或者工艺本身的问题,使得加工工时过多、工具耗用过度、损失加工设备、降低工作质量。(7)制造不良品的浪费。在生产过程中出现废品、次品和返修品,是一种最大的浪费。(8)管理的浪费。管理的浪费是由于员工积极性不高,自主管理能力不强,以及管理制度不完善而造成的浪费。消除, 3、推动式生产方式和拉动式生产方式有哪些不同? 答:推动式生产方式。根据主生产计划的要求,确定每个零部件的投入产出计划,按计划发出生产和订货指令。每一工序按生产计划制造工件,并将加工完的工件送到后续工序,不管后续工序当时是否需要。拉动式生产方式。由代表顾客需要的订单开始,根据市场需求制定主生产计划和总装配计划。从产品总装配工序出发,每个工序按照这些指令进行生产。后工序顺序地逐级“拉动”前面的工序,甚至“拉”到供应厂或协作厂。拉动式生产方式是靠看板系统来实现的,看板起到指令的作用。 动态密码是什么 号令手机令牌的动态口令是根据专门的算法每隔30秒生成一个与时间相关的、不可预测的随机数字组合(One-time Password),每个口令只能使用一次,每天可以产生2880个密码。用户进行认证时候,除输入账号和静态密码之外,必须要求输入动态密码,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。 号令手机令牌最大的优点在于,用户每次使用的口令都不相同,使得不法分子无法仿冒合法用户的身份。动态口令认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户口令、假网站等多种网络问题,导致用户的财产或者资料的损失。 动态密码的产生因子一般都采用双运算因子(Two Factor): 其一,为用户的私有密码。它代表用户身份的识别码,是固定不变的。 其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态密码。采用不同的变动因子,形成了不同的动态密码认证技术:基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战/应答方式的非同步(Challenge/Response Asynchronous)认证技术。 其中动态密码的分发方法中,常见的有:口令牌,手机软件令牌,短信发送,密码卡等。这些方法的最大问题是成本问题和操作问题,这些问题直接导致在普及过程中出现了很多的障碍。由于这些障碍,很多没有使用双因素验证的个人或企业正在或将会蒙受严重的损失。除此之外,也存在着短信发送延迟、手机软件令牌存在兼容性、密码卡易丢失易损坏等问题。动态密码的应用范围广泛,包括网上银行、游戏、ATM、企业网络管理系统等一切同身份认证相关的应用。特别是随着木马攻击模式的转换,动态密码是目前最安全的解决手段 动态密码作为最安全的身份认证形式,目前已经被越来越多的行业所应用。动态密码技术已成为身份认证技术的主流,在全球的银行业得到了广泛的应用。国内外从事动态密码研发和生产的企业也越来越多,十指科技网络是专注于动态密码身份认证研发企业,其优势是动态令牌形式丰富,完全自主研发的号令动态密码身份认证软件系统稳定、高效、支持多种认证模式,它是国内唯一一家的能够提供免费动态密码整体解决方案厂商。动态密码是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。动态密码是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态密码就无需定期密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。 号令手机令牌是由十指科技研发,意在打造一个开放的平台,基于OTP动态口令技术,为所有接入合作的应用系统及其用户,提供永久免费的银行级账号安全服务。保护范围包括:论坛、微博、聊天账号,网盘、管理、办公账号,前台、后台账号,交易、理财账号、银行、证券账号,社交、邮箱、积分账号,网购、支付、游戏账号等,账号的每一步关键操作,号令都可以贴身保护。 认证方式比较 1.认证方式总述 我们日常工作中设置的各种认证保护措施,都可以归纳为三种:他知道的内容、他持有的证明和他就是这个人。他知道的内容可以是一个密码,个人的身份证号或者母亲的姓名等,通过他知道的内容的方式进行认证是最经济的,但同时也是最不安全的;他持有的证明可以是证书、钥匙和门卡等,这种认证方式很容易丢失;他就是这个人指的是生物认证识别,可以唯一标识出你就是这个人。上面的三种方式单独一种都有各自的制约条件,因此出现一种加强认证,加强认证至少包含上面三项认证方式中的任意两项。 2.分类说明 用于身份认证的加密方式大致分为:静态口令、动态口令(令牌)、数字证书、生物识别和智能卡。 2.1静态口令 静态口令的实际就是一个口令字,口令字是一个受保护的字符串,通常用于个人身份的认证,口令字属于上面三种方式中的“他知道的内容”。口令字是日常使用最为普遍的一种认证方式,但是安全性也是最脆弱的一种认证方式,口令字很容易被别人偷窥或者通过猜测你的名字、生日、配偶的名字等猜测出来,复杂的口令字用户很难记住,因此常常会将口令写到便签纸上,这样就很容易给别人可乘之机。 2.2动态口令 动态口令也叫做一次性口令字,它比静态口令安全的多,用户在一次应用中使用一个动态口令,在操作完成以后将废除这个口令字,因此黑客即使获得了动 态口令也是没有用的。动态口令一般分为两种:同步和异步,主要是通过与服务器通讯的硬件令牌产生。同步的动态口令是硬件令牌与服务器端的进行同步的设置,这种同步可以是基于时间的同步,也可以是基于事件的同步,根据同步的类型硬件令牌生成一次性口令字,同时服务器端也可以认证这个口令的有效性;异步的动态口令是硬件令牌通过与服务器完成质询/应答的过程进行认证口令的。 2.3数字证书 数字证书其本质是利用公私钥的数据加解密技术来实现身份认证的技术。数字证书技术是一种完全区别于口令字的一种认证方式,它是一种非对称算法实现的一种公钥机制,它可以完成数据的通明加解密和签名验签。用户的公钥将暴露给外面的任何人,私钥只能由自己保存不能外泄,这样就保证了别人用我的公钥加密后只能由我解密获得信息,这种加解密技术主要是运用数学中的大数分解的原理,因此很难被破解。 2.4生物识别 生物识别的种类大致可以分为:指纹、手掌扫描、手形扫描、视网膜扫描、虹膜扫描等。生物识别技术是最不容易被仿冒和破译的一种认证方式,它可以代表一个真实的主体。对于生物识别技术的应用目前还是在很少的范围内,原因有两个:一是技术还不够成熟,二是生物识别的造价过高。等误判率(crossover error rate,CER)是衡量一种生物识别技术好坏的重要参数,它是两种错误判断的一个比例值,一是错误接收,另一个是错误拒绝。生物识别技术安全系数最高,几乎无法被仿冒和破译,但是由于它的造价过高和CER指数的过高导致了这种技术的应用还不够广泛。 2.5智能卡 由于智能卡本身就是一个微处理器和集成电路,所以智能卡有处理信息的能力。由于智能卡能够处理存储在其中的信息,因而它提供了双因子认证,这是因为他需要用户输入PIN码才能打开智能卡。这就意味着用户必须提供“他知道的 Authwlan无线动态密码认证系统简介 AuthWlan WMS无线动态密码认证系统旨在为客户提供无线Portal动态密码认证整体方案。 AutWlan支持多种认证方式满足不同行业客户需求、强大无线策略可确保无线安全、结合WIFI广告投放满足客户个性化营销需求以及无线运营报表实现对无线运营的整体感知。 AuthWlan迄今已经实现与主流无线设备的无缝对接,并成功应用与银行网点、商场、企业、连锁,解决其WIFI安全管理及商业增值问题,是国内最为领先的无线动态密码portal 认证整体方案。 多种无线认证方式 Authwlan可支持手机号+短信动态密码、域账号+密码、微信获取临时账号密码、二维码扫描四种方式。 商城) 与主流无线设备无缝对接 AuhWlan支持瘦AP+AC的无线网络架构,已成功实施包括Cisco、Aruba、Ruckus、Juniper、H3C、华为、中兴、Aerohive、傲天动联、三元达、寰创、国人、锐捷、飞鱼星等国内外主流无线品牌。 精准WIFI广告推送 可实现 (1)认证界面前后部署广告,支持图片、视频的广告格式; (2)可实现基于时间段的广告轮播策略; (3)基于SSID及AP分组的精准广告推送策略。 多种无线安全策略 (1)可支持时长、流量、带宽控制,优化网络性能; (2)支持设备终端数量限制,减少网络负荷,同时为不同的用户提供差异化服务;(3)支持短信数量控制,节省短信费用; 为了满足客户的需求,AtuhWlan将提供更多的无线控制策略。 强大报表日志功能 对认证用户的基本信息进行记录,包括用户手机号、上下线时间、分配的IP、使用的流量统计、终端类型、MAC等。 商家可结合报表日志与微信数据,进行基于位置的微信营销。 来自不同行业成功案例 AuthWlan已成功实施银行、企业、酒店、商场、shopping mall、连锁门店、政府机关、售楼中心、展馆等场所,几乎实现行业全覆盖,已成为国内最为领先的无线portal动态密码认证系统,赢得客户的一致信任。 客户名称:中国建设银行上海分行 方案概述:AuthWlan无线动态密码认证系统为中国建行上海分行360家网点针对普通及VIP 顾客无线接入提供Web认证,普通访客通过输入手机号并获取动态密码方式上网,普通访客拥有2小时上网时长;VIP客户通过建行提供的VIP Code及手机号完成认证,VIP客户在该月内、同一台设备在建行网点上网无需再次认证即可联网。 通过结合宁盾WIFI广告投放平台,能够满足WIFI认证前置、后置广告,包括设置广告展示时间、广告轮播策略,拓展新的宣传渠道。 客户名称:银泰百货湖滨店 方案概述:宁盾AuthWlan无线动态密码认证系统帮助银泰湖滨店实现顾客自助式无线接入认证,让商场管理者了解到访门店顾客情况,并结合数据分析可实现动态广告展示,是一套完整的无线认证、审计、数据分析方案,为决策者提供另一种类型数据支持。 客户名称:喜力酿酒(中国)有限公司 方案概述:喜力酿酒(中国)有限公司通过使用AuthWlan无线动态密码认证系统,实现员工和访客实现两种认证流程。员工SSID通过域账号+密码方式认证,访客SSID是通过员工自助开通访客临时无线账号,访客通过手机号及获取动态密码方式认证,实现违规上网行为可追溯。 36卷 第7期 ol.36 No.7 2010年4月 A 对一个口令认证协议的可攻击性分析及改进 柯芳芳,唐西林,章启恒 (华南理工大学理学院数学系,广州 510640) 摘 要:Rhee H S 等人(Computer Standards & Interfaces, 2009, No.1)提出的协议使用移动设备代替智能卡记忆数据降低风险和成本,但该协议仍存在一些不足。针对该问题,基于Chan-Cheng 攻击案例,指出该协议难以抵抗假冒攻击和离线口令猜测攻击,为克服这些缺陷,给出一种改进方案,通过实验证明了该方案可以有效抵抗上述2种攻击,并能保证其口令的秘密性及身份认证的安全性。 关键词:口令认证;智能卡;假冒攻击;离线口令猜测攻击 Attack Analysis and Improvement of Password Authentication Protocol KE Fang-fang, TANG Xi-lin, ZHANG Qi-heng (Department of Mathematics, School of Science, South China University of Technology, Guangzhou 510640) 【Abstract 】Thel protocol proposed by Rhee H S et al(Computer Standards & Interfaces, 2009, No.1) uses mobile equipment to replace smart card to reduce risk and cost, but it exists some demerits. Aiming at this problem, based on Chan-Cheng attack case, it points out that the protocol can not resist impersonation attack and off-line password guessing attack. In order to overcome these drawbacks, it gives the improved scheme. Experimental results show this scheme is strongly resistant to both of these attacks, which keeps the password secret and authenticating ID. 【Key word 】password authentication; smart card; impersonation attack; off-line password guessing attack 计 算 机 工 程 Computer Engineering 第V pril 2010 术· 文章编号:1000—3428(2010)07—0142—02 文献标识码:A 中图分类号:N945 ·安全技1 概述 口令认证协议是远程用户登录系统中必不可少的一个方面。早在20世纪80年代,动态口令认证协议被广泛应用于各种远程登录系统中。口令认证协议发展至今,远程用户登录系统一般分为3个阶段:(1)注册阶段。用户提供身份证明和口令给服务器进行注册,成为合法用户。(2)登录阶段。用户输入口令,提交登录请求和登录信息。(3)验证阶段。服务器验证用户合法性,验证通过后并向用户提交双向认证信息。随着口令认证协议的发展,对于口令认证协议的发展,相应的口令认证协议的攻击也发展起来。对于口令认证协议的攻击有几种:离线口令猜测攻击,假冒攻击,窃取凭证攻击,拒绝服务器攻击,重放攻击等。在传统的口令认证方案中,服务器储存相应的二元对(,)i i ID PW ,用户登录是输入口令与其匹配即可。但这种储存用户口令的方法容易遭受窃取凭证的攻击。此后的诸多协议中,虽然将二元对改为验证因子列表保存,这仍然难以抵抗诸多攻击方法且保存用户口令数据的问题认未解决。在ElGamal 签名认证方案[1]和基于身份认证签名方案[2]的基础上,文献[3]提出一个智能卡口令认证方案,它具有以下意义:(1)用户可以随意修改密码;(2)远程认证系统不再储存口令相关的验证因子列表;(3)运用时间戳方案,系统可以抵抗重放攻击。为减少风险和降低成本,许多协议多使用智能卡保存一些数据,以此不再增加服务器的存储负担。现存的口令认证协议基本上是与智能卡结合使用,可惜智能卡成本较高且限制申请对象。文献[4]协议是在现有智能卡口令认证协议的基础上进行改进,使其协议能配合移动设备使用,降低成本。移动设备虽然成本较低,但不具备良好的防篡改性。文献[4]协议指出了Fan-chan-zhang 协议难以抵抗假冒攻击以及khan-zhang 协议不能抵抗假冒攻击和离线口令猜测攻击,并以安全的移动设备代替智能卡从而降低 成本。而本文则认为文献[4]协议仍然存在一些不足,依然难以抵抗假冒攻击和离线口令猜测攻击。 2 文献[4]协议 本文用到的符号如下:U 表示用户;S 表示服务器;i i ID 表示用户身份证明;i PW 表示用户口令;p 为一个大素数; ()H ?, ()h ?为函数;Hash s x 为服务器密钥;e 为服务器公钥;为阶为G p 的群。 2.1 注册阶段 注册阶段的步骤为:(1)通过安全信道提交i U i ID 和i PW 给服务器。(2)接收到S S i ID 和i PW 后,S 产生一个随机数并计算:,其中,,, i r 12(,)i i i Y Y Y =i r G ∈1()mod i s r x i i Y I i D H PW p =?2i Y =mod i r i ID p 。(3)通过安全信道将写入用户的移动设备保存。 S ((),(),,)i H h p Y ??i U 2.2 登录阶段 如果用户要登录服务器,将移动设备插入终端,输入他的身份i ID 和口令i PW 。移动设备执行以下操作:(1)选取随机数,a b G ∈。(2)计算1 mod () i i i Y Y p H PW ′= 及12()a i C Y == ()mod i r a i ID p od 。(3)计算()m i i M H Y T ID p ′=⊕⊕, 22()a i C Y =? mod M p , ,其中,T 为 当前时间戳。(4)发送到服务器,同 32()()mod i r b b i i C Y ID ==p 2123(,,,,,)i i C ID Y C C C T =S 基金项目:国家自然科学基金资助项目(10571061) 作者简介:柯芳芳(1984-),女,硕士研究生,主研方向:密码学; 唐西林,教授;章启恒,硕士研究生 收稿日期:2009-10-10 E-mail :285797713@https://www.doczj.com/doc/f98211070.html, —142 — 一种实现双向认证动态口令身份认证方案 摘要在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”咨询题的别脚。关键词双向身份认证、动态口令、同步重调,动态身份认证系统,别可否认基于动态口令的身份认证系统给络安全带来了福音。它的优点,如动态性、一次性、随机性、多重安全性等,从全然上有效修补了传统身份认证系统存在的一些安全隐患。比如,能够有效防止重放攻击、窃听、推测攻击等。但就目前的研究成果、使用事情来看,它同样也存在这别脚,以及技术上的难关。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,如此就别能幸免服务器端的攻击。随着络应用的多样性进展,越来越多的络应用要求可以实现双向认证以确保双发的利益,如电子商务、金融业务等,所以实现双向认证就成为了身份认证的一具必定趋势。关于同步认证技术来说,保证服务器端和客户端的高度同步是必需的。此时怎么保持服务器和众多客户端同步就成了一具技术难关。基于同步认证技术的动态身份认证系统都存在“微小漂浮”咨询题,也即“失步”。目前的解决方法往往是以牺牲口令的随机度来弥补那个缺陷。这无疑给系统带来了很大的安全隐患。固然异步认证技术别存在“极小”咨询题,但是它进行认证的过程比较繁琐,占用通讯时刻太长,效率比较低。针对上面提到的动态口令认证系统的别脚和缺陷设计了一具新方案。该方案采纳双向认证通信协议实现了双向认证,并设计了一种失步重调机制。2.2改进方案2.2.1双向认证通信协议在那个协议中使用了直接信任模型,即客户端和服务器端经过注册时期而建立直接信任关系。(直接信任是最简单的信任形式。两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。)协议中包括两个时期:注册时期、登陆时期。1)注册时期注册时期是为了让Client和Server建立初始信任关系。整个注册过程经过安全信道进行。注册时期中Client和Server交换各自的id和公钥。服务器端将加密后存储。客户端将加密后存储在令牌中。Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R一并用Server的公钥加密后发送给Server。发送完毕后,客户端会将R备份,并启动计时器,若超过一定时刻T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。,,,一种实现双向认证动态口令身份认证方案飞雪 一种基于动态口令的身份认证系统研究 傅德胜1,陈 昕2 (南京信息工程大学 计算机与软件学院, 江苏 南京 210044) 摘 要:身份认证在信息安全中起着非常重要的作用,建立安全的身份认证机制成为终端安全的关键之一。作为一种新型的认证模式,动态口令比传统的静态口令更加安全、可靠。本文阐述了动态口令的原理及现有动态口令方案的缺点,设计了一种新型的身份认证系统,并对其有效性进行了分析。 关键词:动态口令;身份认证;安全性 中图法分类号:TP309文献标识码: A A Study of Authentication System based on Dynamic Password FU De-sheng1, CHEN Xin2 (Department of Computer & software, Nanjing University of Information Science & Technology, Nanjing Jiangsu 210044, China) Abstract: Identity authentication plays a very important role in the system security, establishing a secure authentication mechanism becomes one of the keys in the terminal security. As a new mode of authentication,dynamic password is more secure and reliable than traditional static password. This paper describes the principle of dynamic password and disadvantages of the existing dynamic protocols,designs a new type of authentication system and analyzes the effectiveness of it. Key words: dynamic password; identity authentication; security 0 引言 身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。 目前大部分网络系统所使用的访问控制方法是传统的静态口令认证技术,通过用户名和口令的匹配来确认用户的合法性。但是,随着网络技术的进一步发展,以静态口令为基础的认证方式面临着很多的安全问题,渐渐无法满足用户的需求。动态口令的概念就是在这样的情况下产生的,它采用了基于同步或者异步方式而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。目前,基于动态口令的身份认证系统已应用在电子商务,电子政务,银行,证券等诸多领域。 1 传统的身份认证方式 传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW是否匹配,来验证用户的身份。 这种静态口令认证方式存在很多问题,最常见的是网络数据流窃听、截取/重放、暴力破解、窥探等攻击方式。静态口令的不安全因素是信息系统普遍存在的隐患。基于口令认证的身份鉴别的安全性成为信息安全中迫切需要解决的一个问题,动态口令认证方式应运而1傅德胜,男(1950--),教授,主要研究领域:信息安全 2陈昕,女(1984--),在读硕士研究生,主要研究领域:信息安全 动态密码系统解决方案 2011年末爆发了中国互联网史上最为严重的网站数据泄漏事件,很多中招用户开始修改自己的密码,“今天你改密码了吗?”成了最流行的网络问候语,很多用户都在抱怨改密码改到手软。想起互联网刚刚在国内兴起时候的一个名词:“网上冲浪”,现在看来,如今的互联网用户依然是在用一个账号+一个密码在互联网上肆无忌惮的“冲浪”。随着黑客技术的不断进步,这种传统的账号+密码的身份验证方式是否依然适合今天的互联网? 1、传统“账号+密码”身份验证方式的优缺点 传统的“账号+密码”身份验证方式中提及的密码为静态密码,是由用户自己设定的一串静态数据,静态密码一旦设定之后,除非用户更改,否则将保持不变。陈达谈到,这也就导致了静态密码的安全性缺点,比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。为了从一定程度上提高静态密码的安全性,用户可以定期对密码进行更改,但是这又导致了静态密码在使用和管理上的困难,特别是当一个用户有几个甚至几十个密码需要处理时,非常容易造成密码记错和密码遗忘等问题,而且也很难要求所有的用户都能够严格执行定期修改密码的操作,即使用户定期修改,密码也会有相当一段时间是固定的。从总体上来说,静态密码的缺点和不足主要表现在以下几个方面: (1)、静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护; (2)、静态密码安全性低,容易遭受各种形式的安全攻击; (3)、静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密; (4)、静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。 因此,静态密码机制虽然使用和部署非常简单,但从安全性上讲,静态密码属于单因素的身份认证方式,已无法满足互联网对于身份认证安全性的需求。 2、企业/个人到底需要什么样的身份验证方式? 无论是确保个人信息的隐私性,还是企业保护核心数据的安全性,采用全新的身份验证方式已经是势在必行。我们盘点了目前可以用的大部分身份验证方式,除了静态密码之外,今天可以采用的身份验证方式还有如下几种: (1)、动态令牌 动态令牌是用于产生动态口令的身份认证终端设备,它需要配合后台认证系统进行使用。动态口令也称一次性口令。动态口令是变动的口令,其变动来源于产生口令的运算因子的变化,比如时间、次数、交易金额、对方帐号、交易流水号等信息。动态口令的产生因子一般都采用多运算因子:其一为令牌的种子密钥,它是代表用户身份的识别码,是固定不变的;其二为变动因子,正是这些变动因子的不断变化,才产生了不断变动的动态口令。 动态令牌简单、易用,且由于口令不断变化,口令用过之后立即作废,所以安全性较静态口令有较大 动态口令身份认证专利技术分析 动态口令能弥补静态口令技术的大部分安全缺陷,广泛应用于身份认证技术中。文章基于CPRSABS和DWPI数据库,对基于动态口令的身份认证技术相关专利进行了梳理和分析,对涉及动态口令技术的研发有较大帮助。 关鍵词:动态口令(OTP);身份认证;技术演进;专利 Abstract:The one-time password (OTP)can make up for most of the security defects of static password technology,and is widely used in identity authentication technology. Based on the databases of CPRSABS and DWPI,this paper sorts out and analyzes the patents of identity authentication technology based on dynamic password,which is helpful to the research and development of OTP technology. Keywords:one-time password (OTP);identity authentication;technology evolution;patent 1 概述 本文以基于动态口令身份认证的专利申请作为分析对象,重点分析全球范围内关于动态口令身份认证专利的四个主要技术分支,研究动态口令身份验证技术的技术发展趋势。 2 技术发展概述 随着网络交易的猛增所带来的安全问题日益突出,动态口令身份认证技术开始受到越来越多人的青睐;美国的RSA公司最早开始本领域的专利申请,2001-2008年动态口令身份认证专利申请量增长显著,2009年其申请量达到一个小高峰,2009年至今整体呈现稳步上升的趋势。本文通过分析专利申请的趋势来梳理动态口令技术的技术发展脉络;总的来说,动态口令身份认证技术专利主要集中在以下几个方面:动态口令的产生、口令的下发、口令表现形式以及动态口令与其他认证方法结合的多重认证技术。 2.1 动态口令的产生 动态口令身份机制需要基于一种密码算法,将用户的身份和某种变动因子作为密码算法的输入参数,输出的结果即为动态口令,不同的变动因子构成了不同的动态口令产生技术。 90年代基于动态口令的身份验证技术开始萌芽,美国RSA公司成功研制了基于时间同步的动态口令认证系统RSA SecureID,RSA于1984年抢先进行了专利布局,申请了基于时间同步的动态口令相关专利(US4720860B),其提供一个用户身份唯一标识码以及动态变量,通过预定的算法生成一个不可预测的码,该 安盟动态口令身份认证系统 产品说明文档 1动态口令身份认证系统原理 在传统的静态口令验证系统中,由于口令为“一次设置,重复使用”,由于口令的重复使用而增加了口令丢失和破解的危险性,降低了系统的安全系数,特别是在互联网环境下,黑客、木马和病毒泛滥,使得静态口令更加容易被泄露,造成企业信息系统和资源的非授权访问,导致直接经济损失和间接的信誉和商誉损失。 所以,除了用户记忆的静态口令外,还需要增加一个物理因素,如令牌,这样采用你所知道的(记忆的静态密码)和你所拥有的(令牌)两个要素构成有效密码,实现严格身份信息验证,而你所拥有的要素必须具有不可复制和篡改的性能。 动态口令认证即是依据上述原理实现的双因素强身份认证系统: 1)本系统以令牌作为信物,实现双因素认证。令牌显示依据种子密钥和时间随机计算的动态口 令,具有不可复制和篡改的性能,而后台认证系统认为,只有持有令牌才可能输入正确的密码,反过来说,只要输入了当前时间点的正确密码,就可以认为持有可信的要素,即令牌。 用户登录时,必须同时验证静态口令(称之为PIN码)和动态口令,只有两者均正确时才能确认用户身份 2)令牌与服务器之间的同步。令牌和认证服务器一般以密钥和时间为基础,每隔一定时间(常 见为60妙)就计算出一个口令,由于令牌和认证服务器双方都共享了对称密钥、时间因子和计算方法,所以计算出来的口令就是同步的和唯一的。 3)一次一密。令牌上显示的密码只有在当前时间点有效,且使用一次即失效,实现高强度的安 全性。 系统的部署结构如下: 解决的主要问题: 1)密码安全管理问题,实现不依赖于客户端安全意识和安全习惯可控的安全性,用户也免于设置复 杂密码、记忆并定期更新之苦。 OWA动态密码认证解决方案 一、面临挑战 OWA是微软Outlook Web Access的简称。通过访问Outlook Web Access页面,邮箱用户可直接使用Web浏览器收发邮件,而不需要安装Outlook客户端软件。 在单一的静态密码验证机制下,登录密码是OWA安全的唯一防线。一旦被非合法用户窃听到OWA的登录密码,就意味着这个人能使用该密码查看到所有的邮件、地址簿等重要信息,可能带来巨大的安全威胁。 在OWA登录环节实现双因素认证,可双重保障邮箱账号安全,防止密码共享、密码泄露,一旦发生安全事件,也可追责到个人,有效控制信息安全威胁,因此不失为一种良策。 二、解决方案 1.宁盾OWA双因素认证解决方案概述 静态密码只能对OWA用户身份的真实性进行低级认证。宁盾双因素认证在OWA原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。 宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管OWA帐号的静态密码认证工作。通过在OWA配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。打开OWA 进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。 2.宁盾动态密码形式 短信令牌 基于短信发送动态密码的形式。在用户完成OWA帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。 手机令牌 基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。 PKI身份认证和动态口令身份认证技术比较 ?本文将就网络环境下的PKI认证技术和动态口令认证技术从实现原理、算法安全性、密钥安全性、通信安全性、系统风险性和可实施度六个方面进行技术比较。 1. 身份认证系统概述 对于身份认证而言,其目的就是鉴别网上实体的现实身份,即:网上虚拟实体所代表的现实对象。 举例: Authen(我的账号)网上实体 XXX(姓名隐含) 现实实体 ?现实中能够凭借看到、听到、闻到、接触到、感觉到现实实体的特征来判定对象的真实性。但是在网上如何判定虚拟实体的真实性呢?目前采用各种密码算法的身份认证技术,从表现形式而言有:传统静态口令认证技术、特征认证(如指纹、虹膜)技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术、动态口令身份认证技术等。 本文仅对基于双钥的PKI身份认证技术和动态口令身份认证技术进行探讨。 2. 两种身份认证技术实现原理 2.1 PKI身份认证技术实现原理 采用PKI技术的身份认证系统其基本认证模型为: 2.2 动态口令身份认证技术实现原理 动态口令认证技术有至少两个因子,一个是常量,即电子令牌瞬间触电的种子值;另一个是变量,即时间值。 采用动态口令技术的基本认证模型为: 3. 算法安全性分析 对于采用上述PKI基本模型的认证技术而言,其算法安全性目前可以说是安全的,但是某些PKI身份认证系统在认证流程中采用了简单的签名技术;其认证模型为: 随着2004年8月17日美国加州圣巴巴拉召开的国际密码学会议(Crypto’2004)上,山东大学王小云教授所作的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告,宣告采用该种算法的身份认证技术已不再安全。 根据王小云教授的密码分析成果,现有的数字签名技术已不再可靠;因此现有的某些采用签名技术的身份认证系统实际上已经不能保证网络实体的唯一性。对于采用PKI基本模型的认证技术而言,Authentication需要强劲的运算能力,特别是网内用户数量较多且并发量较高的网络环境。 采用动态口令技术的身份认证系统在国内市场可见,其安全性依赖于算法的严格保密。 4. 密钥安全性分析 采用PKI认证技术基本模型的系统而言,其私钥的安全保管可谓是系统整体安全的重中之重。为防止私钥文件的复制,目前多采用两种私钥载体保存私钥。一种是将私钥固化在IC芯片中,另一种是将私钥写入U-KEY外形的闪存中。 对于固化有私钥的IC芯片,其本身是个微系统,复制难度较大。 存储私钥的U-KEY介质目前分为两类,一种是带微系统的U-KEY,计算过程在U-KEY内完成,只输出结果;另一种是不带微系统的U-KEY,计算过程在计算机内存中完成。后者(不带微系统的U-KEY)可能在计算机内存中被复制或影响计算过程。 采用动态口令技术的身份认证系统,用户持有的动态令牌,其本身物理封装,内含一块电池;设计为断电后芯片数据销毁工艺。Authentication端为软件,运行在计算机内存中;对于其计算过程能否被复制的问题,如上所述。 号令双因素动态密码身份认证解决方案 借助号令双因素身份认证系统,企业能够获得以下收益: (1)提升信息系统安全,消除弱身份鉴别带来的信息泄漏风险 (2)减小静态密码遗忘或定期强制更改密码给员工与IT管理人员带来的开销,节约管理成本 (3)实现多个业务系统密码集中管理机制 (4)与AD/LDAP无缝集成,互享企业统一认证信息 用户成功申请号令手机令牌之后,每次进入系统都必须输入号令客户端提供的动态密码,动态密码输入之后即作废,下次登录时,需通过号令客户端重新取得新动态密码。通过这种动态认证方式,能极为有效的防止木马外挂,病毒,窥探等盗号方式,保护账号安全。 一:背景: 由于目前频频出现网络用户账号泄露的不安全事件,为了保护我们的用户账号以此研发手机密令基于智能手机,可为各类手机支付、手机端购物及各类手机智能客户端应用提供二次加密保护,它是3G时代账号保护和身份认证服务的必然发展趋势。 二:号令概述: 1、号令“双因素动态密码身份认证系统”是一种采用时间同步技术的双因素认证系统。 2、号令双因素动态密码身份认证系统”采用动态的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。 3、号令手机令牌,它是一款基于OTP技术(One Time Password)的软件令牌,可直接下载至手机,通过智能手机屏幕每隔30秒展现一组6位数字的动态密码,可应用于云计算和应用、企业内网应用统一认证、电子商务、网络游戏、银行、证券等行业的各类账号保护和二次验证操作保护等。所有的账号及身份认证可集成在同一个客户端,用户只需拿起手机就能方便查阅到各账号登录所需动态密码,从此甩掉随身携带各种硬件的烦恼。 三:流程逻辑制造模式部分答案
动态密码的原理
认证方式比较口令、动态口令、证书和指纹
Authwlan无线动态密码认证系统介绍
对一个口令认证协议的可攻击性分析及改进
一种实现双向认证动态口令身份认证方案
基于动态口令的身份认证机制及其安全性分析
动态密码系统解决方案
动态口令身份认证专利技术分析
安盟动态口令认证系统产品说明书
OWA动态密码认证解决方案
PKI身份认证和动态口令身份认证技术比较
双因素动态密码身份认证解决方案
相关主题
文本预览