林果动态口令技术白皮书

动态口令双因素平安认证系统LGETDynaPassTwoFactorAuthenticationSystem技术白皮书上海林果实业上海林果科技二00二年一月目录TOC\o"1-3"动态口令双因素平安认证系统31概述12动态口令双因素平安认证系统根本原理和功能12.1动态口令双因素平安认证系统的根本原理12.2动态口令双因素平安认证系统的组成32.2.1林果电子令牌42.2.2林果LGETDYNAPASS/SERVER平安认证效劳器42.2.3林果LGETAGENT平安认证代理42.3动态口令双因素平安认证系统的特点52.4应用程序接口62.5令牌物理特性62.6动态口令双因素平安认证系统的安装73典型应用74应用范围75技术指标76接口库支持的语言87认证算法88成功案例81概述在计算机网络中，最常见而且最简单的访问控制方法是使用口令，通过对口令的匹配来确认用户的合法性。口令不平安是网络系统中普遍存在的隐患。据美国某专业平安协会对近千名公司网络管理员的调查说明，有60%的系统首先被攻击和突破的地方是口令，而烦琐的口令设置又给用户带来很多麻烦，对此系统管理员感到进退两难。为什么现行的口令会如此容易被攻破的几种常见情况：口令在网络传输中被截获和分析。长时间使用同一个口令，泄露口令的机率大大增加。人们通常喜欢用自己熟悉的人名、日期、门牌号、号码及其组合，易被猜中。在多个业务效劳和应用系统中共享口令，降低了口令的平安性。为解决静态口令所存在的各种问题，上海林果开发出LGETDynaPassTwoFactorAuthenticationSystem动态口令双因素平安认证系统。它采用了基于时间而产生的一次性口令来代替传统的静态口令，从而防止了口令泄密带来的平安隐患。2动态口令双因素平安认证系统根本原理和功能2.1动态口令双因素平安认证系统的根本原理动态口令双因素平安认证系统〔LGETDynaPassTwoFactorAuthenticationSystem〕为计算机信息网络系统用户的合法身份认证提供了简捷、有效的认证手段。该系统由林果电子令牌、林果LGETDYNAPASS/SERVER平安认证效劳器和林果LGETAGENT平安认证代理构成。电子令牌每隔几十秒钟动态生成一个随机的、单次使用的口令，配合LGETDYNAPASS/SERVER平安认证效劳器〔基于时间同步机制〕构成一个平安、可靠的认证系统，保护计算机网络授权用户的合法利益，防止系统或网络受到非授权用户的非法访问。动态口令双因素平安认证系统〔LGETDynaPassTwoFactorAuthenticationSystem〕保存了原有口令认证机制的简单易用的优点，又增加了动态口令认证的平安性，以实现双重因素的认证保险。认证效劳器的认证处理对用户透明，易于使用和管理。电子令牌不需要专用的读入设备，也免去了复杂的认证过程，最重要的是，访问控制权仍然掌握在系统管理者手中。林果LGETDYNAPASS/SERVER平安认证效劳器和林果LGETAGENT平安认证代理对林果令牌产生的口令进行认证。具体过程是：使用时，用户使用管理中心分发的电子令牌〔又称为动态口令发生器〕，动态产生一个口令，然后在系统登录界面，或者机等信息输入终端〔应用表示层〕进行输入。系统将用户输入的静态口令和动态口令送到网络系统中的需要平安认证的资源即林果LGETAGENT平安认证代理效劳器，林果LGETAGENT平安认证代理强制执行动态口令认证策略机制，将认证信息送林果LGETDYNAPASS/SERVER平安认证效劳器。林果LGETDYNAPASS/SERVER平安认证效劳器进行平安身份认证，由此判断用户的合法性。根本结构示意图如下：认证代理认证代理认证代理认证代理根本结构示意图IntranetIntranetIntranet远程用户虚拟专用网大型机IBM企业系统UNIX，Novell，Microsoft，IBMWebLotusDomino，Microsoft，Netscape远程访问用户内部用户林果LGET认证代理林果LGET认证代理林果LGET认证效劳林果LGET认证代理林果动态口令产品应用体系结构应用表示层输入应用表示层输入口令A与用户标识输入LGET认证代理LGET认证代理1根据时间、令牌产生一个动态一次性口令A对应用户标识，认证效劳器在数据库中找到令牌并与时间序列一起生成口令(B)，与口令(A)进行比拟4用户标识+口令A发送至LGET认证效劳器3将认证信息送至应用效劳器〔LGET认证代理〕25LGET认证效劳器将肯定或否认码送至应用效劳器〔LGET认证代理〕动态口令认证工作流程2.2动态口令双因素平安认证系统的组成动态口令双因素平安认证系统〔LGETDynaPassTwoFactorAuthenticationSystem〕由林果LGETDYNAPASS/SERVER平安认证效劳器〔LGETDYNAPASS/SERVER〕和林果LGETAGENT平安认证代理和林果电子令牌三大局部构成：2.2.1林果电子令牌为用户提供了一个简单、易行的口令产生方法。通过同步信任认证算法产生单次使用且无法预测和跟踪的“动态口令”，这就使得用户口令既无法被窃取，又解决了口令频繁变换所带来的问题。“动态口令”是与“静态口令”相对而言的，它们的主要区别在于：一个“动态口令”只能使用一次，而且每次不同；而“静态口令”那么重复屡次使用，每次都一样。令牌使用方便，简单易用。目前已研制出以下两种型号的令牌，以适应不同用户要求：标准型基于时间同步的电子令牌加强型〔保密型〕基于时间同步的电子令牌2.2.2林果LGETDYNAPASS/SERVER平安认证效劳器平安认证效劳器运行在网络环境下，集中控制所有用户对网络的访问，同时提供认证、授权和审计效劳。使用者在进行身份认证时，仅需要输入用户名和由电子令牌产生的“动态口令”。通过林果LGETAGENT平安认证代理强制执行平安口令策略机制，将认证信息送林果LGETDYNAPASS/SERVER平安认证效劳器端调用同步信任认证算法模块对“动态口令”进行认证，保证认证过程的完成。2.2.3林果LGETAGENT平安认证代理林果LGETAGENT平安认证代理是林果LGETDYNAPASS/SERVER平安认证效劳器的客户端，是企业网络中任何需要受保护认证资源。林果LGETAGENT平安认证代理在系统中就象一个"平安哨兵"。更特别的是：对Web来说，一个林果LGETAGENT平安认证代理是林果用来保护Web效劳器的平安软件，并且被TCP/IP网络连接到运行着林果LGETDYNAPASS/SERVER平安认证效劳的效劳器上，这就为Web效劳器提供了身份认证效劳。林果LGETAGENT平安认证代理是林果动态口令Web职能关键之处，因为林果LGETAGENT平安认证代理直接被安装在WebServer层上，并且强制执行在林果LGETDYNAPASS/SERVER平安认证效劳器上建立的平安策略。当用户试图进入被林果LGETAGENT平安认证代理保护的资源时,用户马上被要求输入其有效的身份证明，即PIN码和从林果动态口令卡产生的动态口令。这些数据通过SSL传送到林果LGETDYNAPASS/SERVER平安认证效劳器上,在那里验证输入的PIN和动态口令是否有效。被授权的林果动态口令用户很容易就可进入，而未被授权的人那么被拒绝进入受保护的Web效劳器。林果LGETAGENT平安认证代理保护WebServer所选定的页面和目录。在WebServer的目录和文件启动代理软件后，所有试图访问这些被保护的Web页面的用户，需出示林果动态口令令牌码。只有这些Server数据库中注册了的用户才能访问受林果动态口令保护的页面。因此，既可以把网站作为公共资源提供应所有用户，也可以把它作为高机密网站来给可信任用户发送保密信息。林果LGETAGENT平安认证代理对如下Web平台提供林果动态口令保护：林果LGETAGENT平安认证代理forWindowsNT和Windows2000-保护IIS虚拟效劳器、路径和文件；OutlookWebAccess；MicrosoftSiteServer和SiteServerCommerceEdition；MicrosoftProxyServer。林果LGETAGENT平安认证代理forLotusDomino-保护Lotus数据库〔地址簿、日历、邮件等〕、URL路径和安装在WindowsNT平台上的DominoWeb效劳器上的文件。林果LGETAGENT平安认证代理forNetscape或iPlanetWebServers-保护Web效劳器根目录或在WindowsNT或UNIX平台〔Solaris、HP-UX和AIX〕上的登录认证。 林果LGETAGENT平安认证代理可快捷简便地布置平安效劳，而不需要与用户的桌面交互。在用户获准访问机密Web资源之前，必须确定用户的身份，强制实施他们制定的平安策略，既可以把网站作为公共资源提供应所有用户，也可以把它作为高机密网站来给可信任用户发送保密信息。2.3动态口令双因素平安认证系统的特点开放式体系，系统支持WINDOWSNT、NETWARE、UNIX、LINUX等网络系统平台。用户数据和动态密码种子受加密保护。采用双因素(静态口令及动态口令双因素)身份认证技术和一次性认证原那么,保证一次一密。可支持TACACS和RADIUS远程拨号访问认证协议，允许用户进行远程拨号访问。用户的重要信息〔如口令〕均以变换形式在存储设备中存储或在信道中传输。客户端提供认证API开发接口，包括C、VC、VB、FoxPro、POWERBUILDER等各种软件开发接口。可以非常方便地嵌入原应用系统，无需添加额外的访问设备。支持IIS和APACHE等WWW效劳器，可控制网页的特殊访问。提供ASP调用接口，可轻易实现与WEB效劳器的无缝集成。由于令牌是脱机使用的，客户端的应用环境并不局限于计算机系统，对委托系统，甚至是ATM、POS等都可以使用令牌。单向、简捷的认证过程，有效防止非授权用户的访问。集中式的网络认证和管理，完整的日志功能，便于审计追踪。抗反向工程，自我保护。可选的热备份认证效劳器，确保系统可靠性。2.4应用程序接口提供多种应用系统开发接口：C接口、VB接口、FoxPro接口、DELPHI接口、PB接口CGI接口ASP接口JAVA接口2.5令牌物理特性工程塑料外壳电子令牌小巧便捷，使用方便加强型电子令牌有按键选择，可提供PIN码输入不使用时自动进入省电状态〔指卡式令牌〕超低功耗，节能环保2.6动态口令双因素平安认证系统的安装动态口令双因素平安认证系统安装时除了添加必要的设备〔如平安认证效劳器、平安认证代理、令牌等，平安认证效劳器需要接入客户原有的网络内，平安认证代理是需要保护的网络资源是系统中已经存在的应用〕外，只需对原应用系统的口令认证局部稍作改动，就能实现动态口令系统的无缝嵌入，LGETDYNAPASS/SERVER提供多种认证接口，包括C、VC、VB、FOXPRO、POWERBUILDER等，以适应不同用户的需要。对于互联网的应用，LGETDYNAPASS/SERVER提供ASP调用接口、控件模块，实现与现有WEB效劳器的无缝集成。3典型应用网上委托系统身份认证拨号登录访问通过动态口令对平安网页访问进行限制证券委托、银行网络设备的口令管理及主机登录NETWARE/NT/UNIX系统登录功能ORACLE/SQLSERVER等大型数据库的用户连接访问控制4应用范围适用于银行网络范围、证券效劳、移动办公及电子商务。适用于基于计算机主机和通信网络的平安系统，提供用户认证。适用于任何远程终端的访问控制，如远程PC、终端等。5技术指标动态口令6位〔十进制〕口令更换周期：60sec。系统用户数：根据相应数据库的用户遭物理破坏卡上数据自毁；时间误差小于2秒/24小时；使用温度范围：-20—＋70电池使用时间：4年嵌入Web方式CGI、ASP、JAVA系统支持通讯协议TCP/IP、IPX；支持Tacacs协议和Radius协议6接口库支持的语言VC、VB、PB；FoxPro、Delphi等。7认证算法参照DES、ISO和ANSI国际标准，基于专用算法。支持时间同步认证算法协议。8成功案例国家信息平安重点示范工程，S219中国农业银行上海市分行，拨号接入管理系统上海市黄浦区区政府，政务平安管理系统，信访平安登录系统芜湖