售前電話:13522858185 劉憲德
微信與電話同步!有意向可以與我聯繫,網絡及系統安全是我們技術人員的職責!!
一、 網絡安全認證的需求背景
網絡釣魚、欺詐等網絡犯罪現象已經達到非常嚴峻的情況,用戶如果只依賴個人密碼進行帳戶登錄或網上交易,是非常危險和不可靠的認證方法。針對這些問題,北京中科恆倫科技有限公司推出基於動態令牌的雙因素身份認證服務,對象是那些爲企業×××安全登錄、IDC遠程訪問管理、消費者提供網上交易和服務的網上商戶。他們只要安裝了中科恆倫的雙因素認證系統,便能爲其客戶提供身份認證服務,使其消費者日後能以簡單輕鬆的方法,隨時隨地享受網上服務。IT管理員或者終端消費者也不用再終日提心吊膽,網上商戶因此能與其客戶建立更親密和信任的關係。二、 現存主要的身份認證技術分析
目前,計算機及網絡系統中常用的身份認證方式主要有以下幾種:
1.用戶名/密碼方式
用戶名/密碼是最簡單也是最常用的身份認證方法,是基於“what you know”的驗證手段。每個用戶的密碼是由用戶自己設定的,只要能夠正確輸入密碼,計算機就認爲操作者就是合法用戶。出於對安全的要求,要求用戶定期更改密碼,且不能重複,而實際上,由於許多用戶爲防止忘記密碼,經常採用諸如生日、電話號碼等容易被猜測的字符串作爲密碼,或者把密碼抄在紙上放在一個自認爲安全的地方,這樣就容易造成密碼泄漏。即使能保證用戶密碼不被泄漏,由於密碼是靜態的數據,很容易被駐留在計算機內存中的***程序或網絡中的監聽設備截獲。因此,從安全性上講,用戶名/密碼方式是一種極不安全的身份認證方式。2.智能卡認證
智能卡是一種內置集成電路的芯片,芯片中存有與用戶身份相關的數據,智能卡由專門的廠商通過專門的設備生產,是不可複製的硬件。智能卡由合法用戶隨身攜帶,登錄時必須將智能卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。智能卡認證是基於“what you have”的手段,能過智能卡硬件不可複製來保證用戶身份不會被仿冒。然而由於每次從智能卡中讀取的數據是靜態的,通過內存掃描或網絡監聽等技術還是很容易截取到用戶的身份驗證信息,因此還是存在安全隱患。3.動態密碼認證
動態密碼認證是一種基讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次的技術。其技術是基於動態令牌的,密碼生成芯片運行專門的密碼算法,根據當前時間生成當前密碼並顯示在顯示屏上。認證服務器採用相同的算法計算當前的有效密碼。用戶使用時只需要將動態令牌上顯示的當前密碼輸入客戶端計算機,即可實現身份認證。由於每次使用的密碼必須由動態令牌來產生,只有合法用戶才持有該硬件,所以只要通過密碼驗證就可以認爲該用戶的身份是可靠的。而用戶每次使用的密碼都不相同,即使***截獲了一次密碼,也無法利用這個密碼來仿冒合法用戶的身份 。4.生物識別技術
生物識別技術主要是指通過可測量的身體或行爲等生物特徵進行身份認證的一種技術。生物特徵是指唯一的可以測量或可自動驗證的生理特徵或行爲方式。生物特徵分爲身份特徵和行爲特徵兩類。身體特徵包括:指紋、掌型、視網膜、虹膜、DNA等;行爲特徵包括:簽名、語音、行走步態等。基於生物特徵的身份認證機制容易受外界因素影響(如噪聲、位置、方向以及光照的變化或主體本身的特徵改變),使得在提取生物特徵或進行匹配時產生困難。此外,所有基於生物特徵的識別技術是利用提取的生物特徵數據作爲識別碼,因而在傳送中易被非法截獲,而且生物特徵識別技術的成本較高。 三.北京中科恆倫科技有限公司的基於動態令牌的雙因素身份認證解決方案
北京中科恆倫科技有限公司 是一家提供消費者身份認證解決方案的公司,專爲網上商戶如網上銀行、IDC服務器和交換機管理、×××安全登錄認證、電子商務、網遊公司等服務,向其客戶提供雙因素身份認證服務,讓消費者能隨時、隨地享受安全和方便的網上交易服務。
1.CKEY令牌
CKEY消費者身份認證服務採用業界知名的硬件令牌和技術,CKEY令牌 採用時間同步技術,實現 每 60 秒時間變動一次密碼。每一令牌有一個唯一的種子,根據行業標準 運算法則每 60 秒時間就產生一次新的密碼。因爲產生的密碼是不可預測、動態的,使***很難在任一時間內測出正確的密碼。這項技術把身份認證設備和服務器相聯繫匹配,從而保證了其高度的安全性。只要你考慮到重要的信息資源暴露的風險性,你就會認爲這種保護是必不可少的。
CKEY硬件令牌 的使用就如同輸入個人密碼一樣簡單,但是要安全得多。每一個最終使用者都會被髮到一個令牌,這個令牌每 60 秒產生一個一次性密碼。在登陸時,用戶輸入個人的原有密碼(靜態密碼)後,再輸入令牌上顯示的動態密碼,實現安全的雙因素身份認證保護。
動態令牌的特點:使用直觀、簡易及一次性口令;
令牌內電路不可讀,無法破解、篡改和複製; 類似信用卡大小,容易攜帶; 清晰可讀的LCD顯示屏;
每60秒鐘自動產生無法預測的單次使用存取密碼;
每張卡自帶唯一128位種子號,並且和認證服務器時間同步; 無須其他讀取設備; 防水性強; 防靜電性強; 防震性強。
2.認證服務器
認證服務器可以實現以下功能:
企業認證:保證登錄的用戶確實爲授權的個體,大大降低***和非法訪問的風險 訪問控制:自定義訪問權限,保護對專用網絡系統、文件及應用的訪問 規避***:識別非法用戶接入網絡,並有效防範。
用戶責任:訪問歷史日誌保證用戶不會被任何非法訪問事件所牽連
3.代理軟件
實現這種強大的認證功能的中間代理軟件的功能類似於保安人員,用來實施SAE/Server系統建立的安全策略。SAE/API是一種設備專用代理軟件,已經內置在大多數業內主流的網絡設備和瀏覽器以及Web服務器軟件系統中,允許安全管理員通過鼠標點擊,而不是編寫代碼,爲用戶和保護的資源選擇和應用相應的設置。 中間代理軟件的特點是:
●提供天衣無縫的集成,不需要安裝客戶端軟件
●現有的主流網絡設備已預裝。CKEY擁有最廣泛的全球身份認證合作伙伴, 共有170家236種產品支持CKEY SecurID, 如Cisco,3Com, 華爲A8010,Alcatel等等。
●支持現有的大多數主流平臺。CKEY支持Sun Solaris, IBM AIX, HP-UX ,SunOS,IRIX.BSDi,Free,BSD,Redhat LINUX, OS/390, OS/400, Dec Unix, Unisys, SGI, MAC OS, DG/UX, Netware, Palm OS, Rocket z/OS等操作系統的認證保護.
●支持Mircrosoft RAS遠程訪問認證。
●CKEY支持Microsoft IIS, iPlanet, Apache, Lotus Domino Web Server等Web服務器.
●易於配置、運行。
4.中科恆倫雙因素身份認證解決方案的優勢
與UTC時間同步 :令牌時鐘和認證服務器系統時鐘同步化爲UCT(格林威治標準時間 ) 有效令牌窗口和時鐘漂移調整 :適用於認證令牌中的時鐘略爲偏離認證服務器的時間相位的情況 。與認證服務器(SAE/Server)進行散列通信
認證服務器的災難恢復能力 :通過網絡連接恢復必要的數據到從認證服務器
動聯並發動態令牌認證引擎:單臺認證服務器併發認證數達到1000以上,需大量併發認,可採用集羣方式,進行自動的認證服務器負載.
售前電話:13522858185 劉憲德
微信與電話同步!有意向可以與我聯繫,網絡及系統安全是我們技術人員的職責!!
作者:CKEY動態密碼
來源:CSDN
原文:https://blog.csdn.net/andywhitestar/article/details/87626609
版權聲明:本文爲博主原創文章,轉載請附上博文鏈接!