《唐桓动态口令身份认证技术白皮书v2.1.》由会员分享,可在线阅读,更多相关《唐桓动态口令身份认证技术白皮书v2.1.(27页珍藏版)》请在金锄头文库上搜索。
1、动态口令双向身份认证系统技术白皮书(Version 2.1)北京唐桓科技发展有限公司著作权声明动态口令双向身份认证系统已在国家版权局注册了著作权,受相应版权法保护,并在约束其使用、拷贝、发布及反编译的授权下发布。在未经北京唐桓科技发展有限公司事先书面授权的情况下,软件及文档的任何部分都不得以任何形式和途径进行复制、修改及分发。北京唐桓科技发展有限公司保留在任何时刻对此出版物介绍的产品和/或程序进行添加和/或修改的权利。本文档的最终解释权归: 北京唐桓科技发展有限公司目 录1.引言11.1概述11.2文档主题21.3适用范围22.核心技术32.1技术背景32.2技术内容32.3防盗号和钓鱼网站的
2、技术原理53.产品介绍83.1产品整体构架83.2产品的技术创新点103.3产品特点113.4产品运行环境123.5国内外同类技术与产品比较134.产品应用154.1主机强验证登录154.2集中登录安全门户164.3网络设施安全管理171. 引言1.1 概述随着互联网应用的普及,互联网给人们带来的便利也逐渐明显,人们在享受互联网便利的同时,互联网带来的网络安全问题也越来越突出。根据国家互联网应急中心(CNCERT)近年发布的报告指出,网络安全热点问题如下:一是网站信息失窃及其导致的问题可能更为严重。由于很多社交网站、论坛等安全性差,用户信息极易被盗,并可能导致更为严重的财产损失;二是智能终端将
3、成为黑客攻击的重点目标;三是针对网上银行、证券机构和第三方支付的攻击将急剧增加,可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体,实施更具威胁的攻击;四是随着下一代互联网的应用,IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。另外,在3G网络已趋向成熟、移动互联网业务得到广泛普及的当前,越来越多的网络和手机安全问题开始出现。有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。为了保护信息安全,先后发展有身份认证、授权控制、日志审计、防火墙、VPN等安全技术。其中身份认证是授权控制、日志审计等技术的基础,如果用户的身份能被非法假冒,那么用户
4、权限也就可能被非法使用,审计日志也失去了意义。因此身份认证是信息安全中最重要的环节。目前身份认证技术主要有静态口令、动态口令、USBkey、智能卡(IC卡)、短信、CA数字证书、生物识别等。这里需要特别说明的是,除了动态口令认证技术以外,其它所提到的认证技术都可以看作是静态口令认证的一种变体。传统的静态口令安全性差,非常容易受到各类盗号和钓鱼网站攻击;数字证书安全性较强,具有数字签名和防止抵赖等功能,但其投资较大,使用较复杂,管理费用较高,一般使用于必须要求具有数字签名功能的场合,例如电子政务和部分电子商务活动中;生物识别技术安全性虽然很高,而基于生物识别技术等的产品尚在发展之中,近几年内还无
5、法占据市场主流。动态口令认证技术由于采用了动态技术,其口令一次一变,能抵抗各种攻击,具有极高的安全性,而且使用简单,管理方便,成本较低,适用于大量不需要数字签名的应用场合。通过研究可以发现,现有动态口令系统的身份认证多是服务器对用户的单向认证,用户没有安全易行的方式来对服务器的真假进行鉴别,造成木马病毒和钓鱼网站攻击泛滥。2011年1月至2月期间,中国银行的网上银行使用的动态口令e令牌身份认证系统被钓鱼网站盗号诈骗成功,造成上亿元的损失。中国银行使用的动态口令是基于时间同步机制的动态口令单向认证方式,其被钓鱼网站攻破原因来自两方面,一是基于时间同步机制的动态口令,会因时钟漂移不能认证以及认证窗
6、口时间过长、被窃取的口令有一定的生命期因而能被窃取者非法使用;二是采用单向认证方式,客户端不能辨别登录的是黑客服务器还是正确的目标服务器。北京唐桓科技发展有限公司研发的基于事件同步的动态口令双向身份认证系统是具有自主知识产权的专利技术(专利申请号:200710195695.3),利用高强度加密算法、应用事件激发和同步机制,实现用户端和服务器端的双向身份认证。该技术能够防止现有的各种攻击手段,并且能够兼容现有的基于静态口令认证的各种网络应用系统,具有系统升级改造成本低,所需时间短,用户使用习惯不需改变等优点。1.2 文档主题本文档主要介绍了唐桓动态口令身份认证系统的核心技术、产品特点和产品应用等
7、方面的内容,并对产品功能进行了详细的介绍,以帮助读者对唐桓动态口令身份认证系统达到快速和全面的了解。1.3 适用范围本文档适用于需要对唐桓动态口令身份认证系统进行全面了解或以前接触过该系统并想做进一步了解的用户。如需要了解产品文档外的其他信息,请联系本公司的销售工程师,由他们对您提出的问题和疑问集中进行解答。2. 核心技术2.1 技术背景动态口令也称一次性口令,其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子:其一,为用户的私有密钥。它是代表用户身份的识别码,是固定不变的。其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,形
8、成了不同的动态口令认证技术:时间同步认证技术、事件同步认证技术和挑战/应答认证技术。本产品所采用的核心技术是在事件同步认证技术基础上实现客户端和认证服务器双向认证基于事件同步的动态口令双向身份认证技术。2.2 技术内容基于事件同步技术的动态口令身份认证过程,在系统设置的初始时刻,每一个系统用户都与认证服务器设置了共享密钥Ku和一个相同的状态计数器值Nu(起同步作用,也可称为同步计数器值)。动态口令Pn就是加密函数在输入为密钥Ku和状态计数器值Nu为n时的函数输出值。即:Pn=E(Ku,n) ,其中:E()为加密函数。如图1所示。图1 基于事件同步的技术原理 采用认证服务器和客户端的双向认证技术
9、,双向认证的流程分为三步,如图2所示。图2 基于动态口令的双向认证过程示意图第1步:用户提交帐号和静态口令给认证服务器进行第一次身份认证;第2步:静态口令认证通过后将同步计数器值加1,服务器将生成的动态口令传送到用户端,供用户对服务器的身份进行认证;第3步:用户核对服务器显示的动态口令是否与自己令牌产生的动态口令相同,相同则认证通过,向服务器提交下一次的动态口令进行身份认证。为了防御并发多个认证请求连接之类的攻击方法,认证服务器需要在静态口令认证成功后记录下本次连接用户的IP地址。后续的动态口令认证中还要验证这两次连接的IP地址是否相同,确保用户与认证系统连接的唯一性。整个认证过程如图3所示。
10、图3 认证服务器的认证流程2.3 防盗号和钓鱼网站的技术原理网络盗号常用的技术手段如图4所示。图4 网络盗号常用的技术手段网络盗号的技术模式如图5所示。图5 网络盗号的技术模式第1步:木马病毒修改数据包中的动态口令,并将用户帐号和正确的动态口令传送到后台攻击者;第2步:服务器返回动态口令错误的信息给用户;第3步:攻击者使用盗取的账号和动态口令成功登录服务器。本发明成功防止盗号的技术流程分解如图6所示。图6 唐桓防盗号技术流程分解第1步:用户输入帐号和静态口令;木马病毒把用户帐号和静态口令传送给攻击者;第2步:服务器认证静态口令后,返回Ns=1的动态口令给用户;第3步:用户提交Nc=2的动态口令
11、时,木马病毒截获用户提交给认证服务器的动态口令,同时修改用户认证数据包中的内容;第4步:服务器返回错误信息给用户,状态为Ns=2;第5步:攻击者输入用户帐号和窃取的静态口令;第6步:服务器返回Ns=3的动态口令给攻击者,攻击者不验证;第7步:攻击者将窃取到的Nc=2的动态口令传给服务器,而服务器状态已经变成Ns=4,故攻击者口令认证失败。本发明成功防止钓鱼网站攻击的技术流程分解如图7所示。07图7 唐桓防钓鱼网站攻击的技术原理3. 产品介绍3.1 产品整体构架唐桓动态口令身份认证系统是以AAA(Authentication身份认证、Authorization授权、Administrator安全
12、管理)技术为基础,采用国际公认的第三代动态口令技术、研制开发的基于多种形式令牌的新一代动态口令身份认证系统。整个系统由各式令牌、认证服务器、令牌账号管理服务器、外部调用接口和数据库等五个部分组成(如图8所示)。系统中的服务器软件可以安装到多台计算机上,各个部分之间通过网络进行通信,也可以安装在同一台服务器中。图8 唐桓动态口令身份认证系统组成多种令牌形式如LCD硬件令牌、USB令牌、智能卡令牌、软件令牌和手机令牌等,可满足不同用户的需求。需要客户端程序的,可以在客户端绑定机器的硬件信息,如网卡MAC地址、CPU序列号等,增加令牌的安全性。不需要客户端程序的,更适合于移动且不安全的环境(如公共网
13、吧)中使用。各种形式令牌特点如下表:种类图片共同特点各自特点硬件令牌口令动态变化,保证一次一变。采用双因素的强身份认证技术。令牌码显示6-8位或以上;认证信息随身携带,安全放心;可更换电池软件令牌通过下载即可获得,分发方便,成本低廉USB令牌认证信息随身携带,安全放心;口令不可视,保密性好;可包含PKI数字证书智能卡令牌同USB令牌手机令牌通过手机获得,分发方便,成本低廉系统定位于企业级动态口令认证服务中心,即对于企业网络内的多个应用系统,只需安装一套认证服务软件即可对各应用系统的用户进行身份认证,且每个用户只需要拥有一个令牌就能进入多个应用系统。产品在企业内部应用的网络架构如图9所示。图9
14、唐桓动态口令身份认证系统在企业内部应用架构3.2 产品的技术创新点1. 基于事件同步的动态口令生成技术动态口令生成技术实现了服务器和终端之间的双向认证,能够防止现有的各种攻击手段,并且能够兼容现有的基于静态口令认证的各种网络应用系统,具有系统升级、改造成本低,所需时间短,用户使用习惯不需改变等优点。2. 完全支持采用第三方独立认证服务器进行身份认证本系统技术完全支持采用第三方独立认证服务器进行身份认证,采用第三方独立认证服务器不仅可以提高认证效率,而且有利于企业对多个应用系统采用同一个认证服务器来进行身份认证,这将更有利于企业实现诸如身份管理、单点登录、内网审核等安全管理功能。采用第三方独立认
15、证服务器进行身份认证时,客户端和接入服务器之间的通信过程和传送的数据方面是有所变化,增加了接入服务器和第三方独立认证服务器之间的通信过程。接入服务器传送给认证服务器的数据至少包括“用户账号”“用户口令”“口令属性”和“IP地址”四项,其中的口令属性表明了需要认证的口令是静态口令还是动态口令,认证服务器根据口令属性选择相应的认证方法。而认证服务器传送给接入服务器的数据主要包括认证结果(认证成功、认证失败、需要动态口令再认证)和发送给用户对接入服务器进行认证的动态口令P(Ns+1)。接入服务器主要起着信息转发的作用。需要指明的是,接入服务器与第三方独立认证服务器之间所采用的通信协议要具有数据完整性检验功能,如标准的Radius协议等,以确保认证服务器提供的认证结果是完整可信的。3. 非输入隐式口令技术非输入隐式口令技术是指用户在登陆的时候,只要将口令令牌产生的口令用鼠标拖入输入框,提交到后台的认证服务器进行认证,用户勿需用手工麻烦地逐位输入很长的
