版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
动态口令双因素平安认证系统LGETDynaPassTwoFactorAuthenticationSystem技术白皮书上海林果实业上海林果科技二00二年一月目录TOC\o"1-3"动态口令双因素平安认证系统31概述12动态口令双因素平安认证系统根本原理和功能12.1动态口令双因素平安认证系统的根本原理12.2动态口令双因素平安认证系统的组成32.2.1林果电子令牌42.2.2林果LGETDYNAPASS/SERVER平安认证效劳器42.2.3林果LGETAGENT平安认证代理42.3动态口令双因素平安认证系统的特点52.4应用程序接口62.5令牌物理特性62.6动态口令双因素平安认证系统的安装73典型应用74应用范围75技术指标76接口库支持的语言87认证算法88成功案例81概述在计算机网络中,最常见而且最简单的访问控制方法是使用口令,通过对口令的匹配来确认用户的合法性。口令不平安是网络系统中普遍存在的隐患。据美国某专业平安协会对近千名公司网络管理员的调查说明,有60%的系统首先被攻击和突破的地方是口令,而烦琐的口令设置又给用户带来很多麻烦,对此系统管理员感到进退两难。为什么现行的口令会如此容易被攻破的几种常见情况:口令在网络传输中被截获和分析。长时间使用同一个口令,泄露口令的机率大大增加。人们通常喜欢用自己熟悉的人名、日期、门牌号、号码及其组合,易被猜中。在多个业务效劳和应用系统中共享口令,降低了口令的平安性。为解决静态口令所存在的各种问题,上海林果开发出LGETDynaPassTwoFactorAuthenticationSystem动态口令双因素平安认证系统。它采用了基于时间而产生的一次性口令来代替传统的静态口令,从而防止了口令泄密带来的平安隐患。2动态口令双因素平安认证系统根本原理和功能2.1动态口令双因素平安认证系统的根本原理动态口令双因素平安认证系统〔LGETDynaPassTwoFactorAuthenticationSystem〕为计算机信息网络系统用户的合法身份认证提供了简捷、有效的认证手段。该系统由林果电子令牌、林果LGETDYNAPASS/SERVER平安认证效劳器和林果LGETAGENT平安认证代理构成。电子令牌每隔几十秒钟动态生成一个随机的、单次使用的口令,配合LGETDYNAPASS/SERVER平安认证效劳器〔基于时间同步机制〕构成一个平安、可靠的认证系统,保护计算机网络授权用户的合法利益,防止系统或网络受到非授权用户的非法访问。动态口令双因素平安认证系统〔LGETDynaPassTwoFactorAuthenticationSystem〕保存了原有口令认证机制的简单易用的优点,又增加了动态口令认证的平安性,以实现双重因素的认证保险。认证效劳器的认证处理对用户透明,易于使用和管理。电子令牌不需要专用的读入设备,也免去了复杂的认证过程,最重要的是,访问控制权仍然掌握在系统管理者手中。林果LGETDYNAPASS/SERVER平安认证效劳器和林果LGETAGENT平安认证代理对林果令牌产生的口令进行认证。具体过程是:使用时,用户使用管理中心分发的电子令牌〔又称为动态口令发生器〕,动态产生一个口令,然后在系统登录界面,或者机等信息输入终端〔应用表示层〕进行输入。系统将用户输入的静态口令和动态口令送到网络系统中的需要平安认证的资源即林果LGETAGENT平安认证代理效劳器,林果LGETAGENT平安认证代理强制执行动态口令认证策略机制,将认证信息送林果LGETDYNAPASS/SERVER平安认证效劳器。林果LGETDYNAPASS/SERVER平安认证效劳器进行平安身份认证,由此判断用户的合法性。根本结构示意图如下:认证代理认证代理认证代理认证代理根本结构示意图IntranetIntranetIntranet远程用户虚拟专用网大型机IBM企业系统UNIX,Novell,Microsoft,IBMWebLotusDomino,Microsoft,Netscape远程访问用户内部用户林果LGET认证代理林果LGET认证代理林果LGET认证效劳林果LGET认证代理林果动态口令产品应用体系结构应用表示层输入应用表示层输入口令A与用户标识输入LGET认证代理LGET认证代理1根据时间、令牌产生一个动态一次性口令A对应用户标识,认证效劳器在数据库中找到令牌并与时间序列一起生成口令(B),与口令(A)进行比拟4用户标识+口令A发送至LGET认证效劳器3将认证信息送至应用效劳器〔LGET认证代理〕25LGET认证效劳器将肯定或否认码送至应用效劳器〔LGET认证代理〕动态口令认证工作流程2.2动态口令双因素平安认证系统的组成动态口令双因素平安认证系统〔LGETDynaPassTwoFactorAuthenticationSystem〕由林果LGETDYNAPASS/SERVER平安认证效劳器〔LGETDYNAPASS/SERVER〕和林果LGETAGENT平安认证代理和林果电子令牌三大局部构成:2.2.1林果电子令牌为用户提供了一个简单、易行的口令产生方法。通过同步信任认证算法产生单次使用且无法预测和跟踪的“动态口令”,这就使得用户口令既无法被窃取,又解决了口令频繁变换所带来的问题。“动态口令”是与“静态口令”相对而言的,它们的主要区别在于:一个“动态口令”只能使用一次,而且每次不同;而“静态口令”那么重复屡次使用,每次都一样。令牌使用方便,简单易用。目前已研制出以下两种型号的令牌,以适应不同用户要求:标准型基于时间同步的电子令牌加强型〔保密型〕基于时间同步的电子令牌2.2.2林果LGETDYNAPASS/SERVER平安认证效劳器平安认证效劳器运行在网络环境下,集中控制所有用户对网络的访问,同时提供认证、授权和审计效劳。使用者在进行身份认证时,仅需要输入用户名和由电子令牌产生的“动态口令”。通过林果LGETAGENT平安认证代理强制执行平安口令策略机制,将认证信息送林果LGETDYNAPASS/SERVER平安认证效劳器端调用同步信任认证算法模块对“动态口令”进行认证,保证认证过程的完成。2.2.3林果LGETAGENT平安认证代理林果LGETAGENT平安认证代理是林果LGETDYNAPASS/SERVER平安认证效劳器的客户端,是企业网络中任何需要受保护认证资源。林果LGETAGENT平安认证代理在系统中就象一个"平安哨兵"。更特别的是:对Web来说,一个林果LGETAGENT平安认证代理是林果用来保护Web效劳器的平安软件,并且被TCP/IP网络连接到运行着林果LGETDYNAPASS/SERVER平安认证效劳的效劳器上,这就为Web效劳器提供了身份认证效劳。林果LGETAGENT平安认证代理是林果动态口令Web职能关键之处,因为林果LGETAGENT平安认证代理直接被安装在WebServer层上,并且强制执行在林果LGETDYNAPASS/SERVER平安认证效劳器上建立的平安策略。当用户试图进入被林果LGETAGENT平安认证代理保护的资源时,用户马上被要求输入其有效的身份证明,即PIN码和从林果动态口令卡产生的动态口令。这些数据通过SSL传送到林果LGETDYNAPASS/SERVER平安认证效劳器上,在那里验证输入的PIN和动态口令是否有效。被授权的林果动态口令用户很容易就可进入,而未被授权的人那么被拒绝进入受保护的Web效劳器。林果LGETAGENT平安认证代理保护WebServer所选定的页面和目录。在WebServer的目录和文件启动代理软件后,所有试图访问这些被保护的Web页面的用户,需出示林果动态口令令牌码。只有这些Server数据库中注册了的用户才能访问受林果动态口令保护的页面。因此,既可以把网站作为公共资源提供应所有用户,也可以把它作为高机密网站来给可信任用户发送保密信息。林果LGETAGENT平安认证代理对如下Web平台提供林果动态口令保护:林果LGETAGENT平安认证代理forWindowsNT和Windows2000-保护IIS虚拟效劳器、路径和文件;OutlookWebAccess;MicrosoftSiteServer和SiteServerCommerceEdition;MicrosoftProxyServer。林果LGETAGENT平安认证代理forLotusDomino-保护Lotus数据库〔地址簿、日历、邮件等〕、URL路径和安装在WindowsNT平台上的DominoWeb效劳器上的文件。林果LGETAGENT平安认证代理forNetscape或iPlanetWebServers-保护Web效劳器根目录或在WindowsNT或UNIX平台〔Solaris、HP-UX和AIX〕上的登录认证。 林果LGETAGENT平安认证代理可快捷简便地布置平安效劳,而不需要与用户的桌面交互。在用户获准访问机密Web资源之前,必须确定用户的身份,强制实施他们制定的平安策略,既可以把网站作为公共资源提供应所有用户,也可以把它作为高机密网站来给可信任用户发送保密信息。2.3动态口令双因素平安认证系统的特点开放式体系,系统支持WINDOWSNT、NETWARE、UNIX、LINUX等网络系统平台。用户数据和动态密码种子受加密保护。采用双因素(静态口令及动态口令双因素)身份认证技术和一次性认证原那么,保证一次一密。可支持TACACS和RADIUS远程拨号访问认证协议,允许用户进行远程拨号访问。用户的重要信息〔如口令〕均以变换形式在存储设备中存储或在信道中传输。客户端提供认证API开发接口,包括C、VC、VB、FoxPro、POWERBUILDER等各种软件开发接口。可以非常方便地嵌入原应用系统,无需添加额外的访问设备。支持IIS和APACHE等WWW效劳器,可控制网页的特殊访问。提供ASP调用接口,可轻易实现与WEB效劳器的无缝集成。由于令牌是脱机使用的,客户端的应用环境并不局限于计算机系统,对委托系统,甚至是ATM、POS等都可以使用令牌。单向、简捷的认证过程,有效防止非授权用户的访问。集中式的网络认证和管理,完整的日志功能,便于审计追踪。抗反向工程,自我保护。可选的热备份认证效劳器,确保系统可靠性。2.4应用程序接口提供多种应用系统开发接口:C接口、VB接口、FoxPro接口、DELPHI接口、PB接口CGI接口ASP接口JAVA接口2.5令牌物理特性工程塑料外壳电子令牌小巧便捷,使用方便加强型电子令牌有按键选择,可提供PIN码输入不使用时自动进入省电状态〔指卡式令牌〕超低功耗,节能环保2.6动态口令双因素平安认证系统的安装动态口令双因素平安认证系统安装时除了添加必要的设备〔如平安认证效劳器、平安认证代理、令牌等,平安认证效劳器需要接入客户原有的网络内,平安认证代理是需要保护的网络资源是系统中已经存在的应用〕外,只需对原应用系统的口令认证局部稍作改动,就能实现动态口令系统的无缝嵌入,LGETDYNAPASS/SERVER提供多种认证接口,包括C、VC、VB、FOXPRO、POWERBUILDER等,以适应不同用户的需要。对于互联网的应用,LGETDYNAPASS/SERVER提供ASP调用接口、控件模块,实现与现有WEB效劳器的无缝集成。3典型应用网上委托系统身份认证拨号登录访问通过动态口令对平安网页访问进行限制证券委托、银行网络设备的口令管理及主机登录NETWARE/NT/UNIX系统登录功能ORACLE/SQLSERVER等大型数据库的用户连接访问控制4应用范围适用于银行网络范围、证券效劳、移动办公及电子商务。适用于基于计算机主机和通信网络的平安系统,提供用户认证。适用于任何远程终端的访问控制,如远程PC、终端等。5技术指标动态口令6位〔十进制〕口令更换周期:60sec。系统用户数:根据相应数据库的用户遭物理破坏卡上数据自毁;时间误差小于2秒/24小时;使用温度范围:-20—+70电池使用时间:4年嵌入Web方式CGI、ASP、JAVA系统支持通讯协议TCP/IP、IPX;支持Tacacs协议和Radius协议6接口库支持的语言VC、VB、PB;FoxPro、Delphi等。7认证算法参照DES、ISO和ANSI国际标准,基于专用算法。支持时间同步认证算法协议。8成功案例国家信息平安重点示范工程,S219中国农业银行上海市分行,拨号接入管理系统上海市黄浦区区政府,政务平安管理系统,信访平安登录系统芜湖
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 写字楼外墙翻新合同
- 电力工程国际质量认证合同模板
- 建筑管理班组施工合同
- 居民社区绿化施工总承包合同
- 旅游景点砂石道路铺设施工合同
- 企业财产管理制度培训
- 野外探险挖掘机租赁协议样本
- 环保出行选择:汽车租赁合同
- 厨房装修翻新项目合同
- 民用锅炉更新拆除施工合同
- 《稻草人》课件-2024-2025学年语文三年级上册统编版
- 《12 玩也有学问》教学设计-2024-2025学年道德与法治一年级上册统编版
- 头脑特工队-Inside-Out中英文字幕对照
- 逆风飞翔向阳而生抗逆力主题班会
- 《野在秋风里》地产秋日美拉德复古生活节市集游园会艺术节活动策划方案
- 2024年全国应急通信比武理论考核试题库(含答案)
- 2025年考研政治政治理论时政热点知识测试题库及答案(共三套)
- 医药行业高效药品配送体系建设方案
- 一年级体育下册 第三课 我与大自然教案
- 中考数学《整式与因式分解》复习教案
- 自贸港生活英语智慧树知到答案2024年海南工商职业学院
评论
0/150
提交评论