本站支持IPv6

菜单导航
产品介绍
解决方案
信息安全服务
下载专区
服务支持
旗下品牌
解决方案
金融篇
电子商务篇
移动篇
企业信息化篇
信息安全基础篇
电子政务篇
电子数据司法实践
旗下品牌
旗下品牌

动态口令认证

字号:

  口令认证的概念。

  口令(password)是最常用的认证方式。口令也常被人俗称为“密码”,请注意,这与密码运算中的密码可不是同一个概念。最早的口令认证出现在网络诞生之前,口令是以明文方式表达的,用于计算机用户访问单机系统。后来,这种技术又被广泛用于网络的远程访问。用户访问时,系统出现提示符,用户遵照要求输入自己的用户名和口令。系统查看用户帐号数据库,如果输入的用户名和口令与数据库中的内容相匹配,系统就允许该用户访问系统。

  固定的静态口令认证安全性不高,因为用户的口令可能由于各种原因被其他人得到,常见的途径有:

  (1)攻击者通过窃听网络数据,辨别出某种特定系统的认证数据,并提取出用户名和口令。

  (2)通过用户主机窃听。远程的黑客能够通过木马程序记录用户的一举一动包括用户输入的口令。

  (3)通过简单猜测。很多用户为了方便记忆而选择过于简单的口令,攻击者通过简单猜测就可以识破。

  (4)通过黑客程序攻击认证数据库。

  2005年6月17日,万事达卡国际组织公开宣布,储存有大约4000万美国信用卡客户信息的电脑系统 遭到一名黑客入侵,遭入侵的数据库中的信息包括信用卡持有人姓名、银行账号、信用卡号、口令以及有效日期等,这些信息都能够被用来盗用资金。

  黑客靠网络攻击窃取用户的账号、口令等个人信息的案件层出不穷,这使得口令认证的安全性受到极大的威胁。

  什么是动态口令

  我们知道了固定口令认证方式的不安全因素,为了保证口令的安全,虽然可以采用经常更换口令和增加口令长度等措施,但是这样做的同时也给用户带来了很大麻烦。减小固定口令失密的危险性的最好办法就是不用固定口令,而是采用动态的口令,或称为一次性口令。

  一次性口令就是一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令。这样,即使黑客截获了正在使用的口令也没有什么用了,下一次认证的口令又换了。因此动态口令认证具有很高的安全性。

  动态口令技术简介

  动态口令身份认证目前主要有基于时间同步机制的、基于事件同步机制的和基于挑战/应答(异步)机制三种技术模式。动态口令应用的基本特征是,用户必须持有一个用于产生动态口令的设备,用设备产生动态口令后,交给应用系统,再由应用系统转交认证系统认证。

  动态口令身份认证系统的客户端设备和认证系统同时拥有一个对称密钥算法,并且同时拥有对称密钥(客户端设备上的个人密钥是由认证系统发放的)。动态口令的变化,则是由于算法中变量的不同而不同。而所谓时间同步机制,就是以时间作为变量;挑战/应答机制就是以挑战数作为变量;事件同步机制则是以事件(次数/序列数)作为变量。以此形成了三种不同的技术模式。

  我们以时间同步为例,叙述一下动态口令的认证过程:(见图2)

动态口令认证

  图2

  客户手中掌握着一个令牌卡,里面装有微处理器芯片、有时钟和电源。令牌的形状有多种,见图1。

动态口令认证

  图1

  在客户端以时间作为变量,使用对称密钥,进行密码运算,得出一个结果,称为伪随机数,长度假定为128位。为了操作方便,只截取一定的位数(如8位十进制数),显示在令牌卡的液晶屏上,这就是动态口令。用户读取这8位数字后,把它输入终端,传给认证服务器。认证服务器使用同样的对称密钥,对时间加密形成另一个伪随机数,显然,因为双方的时间是同步的,两个伪随机数也会相同,认证服务器截取8位数字后把它与收到的动态口令进行比较,如果相同,这就实现了认证。黑客因为不掌握相同的密钥,产生不出正确的伪随机数和口令,也就通不过认证。而如果黑客靠窃听截获了这个动态口令,想用它来通过下一次认证,也是无法得逞的。因为下一次认证的时间变量已经改变,密码运算得到的伪随机数和动态口令也变了,上一次的口令已经作废了。

  三种技术模式的认证系统端(即后台中心系统)结构非常类似,功能也基本相同,提供着同一级别的安全认证管理。但三种技术模式的客户端则有着较大的不同:1)时间同步机制,由于以时间做变量,因此客户端设备必须具有时钟,从而对设备精度要求高,成本高;耗电量大,应用模式单一,很难支持双向认证及“数字签名”等应用需求。2)挑战/应答机制,由于挑战数是由认证系统提出,客户端设备将挑战数输入后产生应答数,因此应用模式可设计的较丰富,支持不同的应用需求,如:双向认证、数字签名等;但由于需要运算,因此客户端设备必须具备运算功能,同样难以降低成本;同时,认证步骤复杂,对应用系统的改造工作量大。3)事件同步机制,由于这一机制与应用逻辑相吻合(都是以次数为计算单位),因此客户端设备设计要求简单,甚至可不使用运算设备,而为客户印制动态口令表,因此成本极低;结合客户端设备的设计特点,可支持丰富的应用需求。