银行
电子银行整体安全/ 商业银行移动营销系统信息安全及无纸化/ 商业银行柜面无纸化安全/ 商业银行电子回单安全/ 商业银行网银助手安全/ 商业银行批量代发代扣数据安全/ 商业银行在线借贷电子合同安全/ 电子银行风险监控证券
证券行业移动柜台及信息安全保险
保险行业电子投保全流程安全解决方案互联网金融
P2P ( 网贷平台) 安全/ 供应链融资平台安全/ 融资租赁平台安全/ 在线身份认证第三方支付
第三方支付整体安全电子商务
电子招标投标安全/ 大宗交易平台数字证书应用安全移动金融
移动支付TSM 平台接入安全/ 金融IC 卡发卡系统/ 金融IC 卡证书多应用安全移动安全
移动平台整体安全/ 移动平台客户端应用安全加固/ 移动平台应用市场渠道监控/ 移动平台数字证书安全应用/ 移动办公安全企业安全基础设施
CA 数字证书认证系统建设资金管理
企业资金管理系统安全基础通用
数字证书应用与建设电子取证
电子签名验证技术(电子取证)税务
电子发票安全卫生医疗
医疗行业电子签名全流程安全解决方案证照合一
电子证照及“三证合一”政务办公
政府行政审批系统安全/ 政府电子化采购平台安全/ 移动电子政务安全智慧城市
智慧城市智慧钥匙产品检测服务> 认证检测服务
移动金融技术服务认证/ IT产品信息安全认证/ 数据中心检测认证/ 云计算技术金融应用检测/ 网站监测/ 信息安全风险评估/ 中国银联支付应用软件安全认证产品检测服务> 预测试服务
产品检测服务> 委托测试
金融IC卡检测/ 受理终端检测/ 移动终端应用软件(APP)检测/ 安全加固/ 渠道监控/ 行为监控/ USBKey和OTP检测/ 移动金融安全芯片检测/ 移动金融安全载体(SE)检测/ TEE和TA检测/ 条码技术检测其他服务
金融领域安全IC卡和密码经验示范工程验收测试国密验收测试(国密算法改造验收测试)/ 信息安全资讯与同行业动态通报合规类
非银支付检测/ UPDSS合规评估/ 银联入网测评/ 电子招投标系统检测/ 等保测评/ 商用密码应用安全性评估/ App安全认证/ 信息系统安全评估/ 电子社会保障卡服务渠道接入安全评估/ 收单外包服务商安全技术评估评估类
电子银行评估/ 渗透测试/ 移动APP安全检测/ 代码审计/ 金融科技产品认证(移动客户端)咨询类
数据安全治理/ ISO27001咨询/ 个人信息保护咨询&风险评估/ 信息科技风险审计咨询生产系统证书下载
新证书下载平台(生产证书)/ 证书下载支持手册测试系统证书下载
新证书下载平台(测试证书)/ 证书下载支持手册普通证书
普通证书技术支持手册/ 证书常见问题解决办法/ CFCA网站证书查询说明文档/金融IC卡根服务平台相关手册全球服务器证书
全球服务器证书用户手册/ 反欺诈全球服务器证书用户手册/ 全球服务器证书技术支持手册/ 服务器证书在线支持工具本站支持IPv6
银行
证券
保险
互联网金融
第三方支付
电子商务
移动金融
移动安全
税务
卫生医疗
证照合一
政务办公
智慧城市
产品检测服务> 认证检测服务
产品检测服务> 预测试服务
产品检测服务> 委托测试
其他服务
合规类
评估类
咨询类
字号:大中小
口令认证的概念。
口令(password)是最常用的认证方式。口令也常被人俗称为“密码”,请注意,这与密码运算中的密码可不是同一个概念。最早的口令认证出现在网络诞生之前,口令是以明文方式表达的,用于计算机用户访问单机系统。后来,这种技术又被广泛用于网络的远程访问。用户访问时,系统出现提示符,用户遵照要求输入自己的用户名和口令。系统查看用户帐号数据库,如果输入的用户名和口令与数据库中的内容相匹配,系统就允许该用户访问系统。
固定的静态口令认证安全性不高,因为用户的口令可能由于各种原因被其他人得到,常见的途径有:
(1)攻击者通过窃听网络数据,辨别出某种特定系统的认证数据,并提取出用户名和口令。
(2)通过用户主机窃听。远程的黑客能够通过木马程序记录用户的一举一动包括用户输入的口令。
(3)通过简单猜测。很多用户为了方便记忆而选择过于简单的口令,攻击者通过简单猜测就可以识破。
(4)通过黑客程序攻击认证数据库。
2005年6月17日,万事达卡国际组织公开宣布,储存有大约4000万美国信用卡客户信息的电脑系统 遭到一名黑客入侵,遭入侵的数据库中的信息包括信用卡持有人姓名、银行账号、信用卡号、口令以及有效日期等,这些信息都能够被用来盗用资金。
黑客靠网络攻击窃取用户的账号、口令等个人信息的案件层出不穷,这使得口令认证的安全性受到极大的威胁。
什么是动态口令
我们知道了固定口令认证方式的不安全因素,为了保证口令的安全,虽然可以采用经常更换口令和增加口令长度等措施,但是这样做的同时也给用户带来了很大麻烦。减小固定口令失密的危险性的最好办法就是不用固定口令,而是采用动态的口令,或称为一次性口令。
一次性口令就是一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令。这样,即使黑客截获了正在使用的口令也没有什么用了,下一次认证的口令又换了。因此动态口令认证具有很高的安全性。
动态口令技术简介
动态口令身份认证目前主要有基于时间同步机制的、基于事件同步机制的和基于挑战/应答(异步)机制三种技术模式。动态口令应用的基本特征是,用户必须持有一个用于产生动态口令的设备,用设备产生动态口令后,交给应用系统,再由应用系统转交认证系统认证。
动态口令身份认证系统的客户端设备和认证系统同时拥有一个对称密钥算法,并且同时拥有对称密钥(客户端设备上的个人密钥是由认证系统发放的)。动态口令的变化,则是由于算法中变量的不同而不同。而所谓时间同步机制,就是以时间作为变量;挑战/应答机制就是以挑战数作为变量;事件同步机制则是以事件(次数/序列数)作为变量。以此形成了三种不同的技术模式。
我们以时间同步为例,叙述一下动态口令的认证过程:(见图2)
图2
客户手中掌握着一个令牌卡,里面装有微处理器芯片、有时钟和电源。令牌的形状有多种,见图1。
图1
在客户端以时间作为变量,使用对称密钥,进行密码运算,得出一个结果,称为伪随机数,长度假定为128位。为了操作方便,只截取一定的位数(如8位十进制数),显示在令牌卡的液晶屏上,这就是动态口令。用户读取这8位数字后,把它输入终端,传给认证服务器。认证服务器使用同样的对称密钥,对时间加密形成另一个伪随机数,显然,因为双方的时间是同步的,两个伪随机数也会相同,认证服务器截取8位数字后把它与收到的动态口令进行比较,如果相同,这就实现了认证。黑客因为不掌握相同的密钥,产生不出正确的伪随机数和口令,也就通不过认证。而如果黑客靠窃听截获了这个动态口令,想用它来通过下一次认证,也是无法得逞的。因为下一次认证的时间变量已经改变,密码运算得到的伪随机数和动态口令也变了,上一次的口令已经作废了。
三种技术模式的认证系统端(即后台中心系统)结构非常类似,功能也基本相同,提供着同一级别的安全认证管理。但三种技术模式的客户端则有着较大的不同:1)时间同步机制,由于以时间做变量,因此客户端设备必须具有时钟,从而对设备精度要求高,成本高;耗电量大,应用模式单一,很难支持双向认证及“数字签名”等应用需求。2)挑战/应答机制,由于挑战数是由认证系统提出,客户端设备将挑战数输入后产生应答数,因此应用模式可设计的较丰富,支持不同的应用需求,如:双向认证、数字签名等;但由于需要运算,因此客户端设备必须具备运算功能,同样难以降低成本;同时,认证步骤复杂,对应用系统的改造工作量大。3)事件同步机制,由于这一机制与应用逻辑相吻合(都是以次数为计算单位),因此客户端设备设计要求简单,甚至可不使用运算设备,而为客户印制动态口令表,因此成本极低;结合客户端设备的设计特点,可支持丰富的应用需求。
版权所有 CFCA
地址:北京市西城区金融大街37号8层 邮编:100031
北京市西城区菜市口南大街平原里20-3 邮编:100054
版权所有@CFCA本站支持IPv6
地址:北京市西城区金融大街37号8层 邮编:100031
北京市西城区菜市口南大街平原里20-3 邮编:100054
客服电话:400-880-9888
投诉电话:010-80864105、4106
全国渠道合作伙伴招募电话:010-80864274