《安盟動態(tài)口令認證系統(tǒng)產品說明書.doc》由會員分享，可在線閱讀，更多相關《安盟動態(tài)口令認證系統(tǒng)產品說明書.doc（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

安盟動態(tài)口令身份認證系統(tǒng) 產品說明文檔 1 動態(tài)口令身份認證系統(tǒng)原理 在傳統(tǒng)的靜態(tài)口令驗證系統(tǒng)中 由于口令為 一次設置 重復使用 由于口令的重復使用而增 加了口令丟失和破解的危險性 降低了系統(tǒng)的安全系數(shù) 特別是在互聯(lián)網(wǎng)環(huán)境下 黑客 木馬和病 毒泛濫 使得靜態(tài)口令更加容易被泄露 造成企業(yè)信息系統(tǒng)和資源的非授權訪問 導致直接經濟損 失和間接的信譽和商譽損失 所以 除了用戶記憶的靜態(tài)口令外 還需要增加一個物理因素 如令牌 這樣采用你所知道的 記憶的靜態(tài)密碼 和你所擁有的 令牌 兩個要素構成有效密碼 實現(xiàn)嚴格身份信息驗證 而你 所擁有的要素必須具有不可復制和篡改的性能 動態(tài)口令認證即是依據(jù)上述原理實現(xiàn)的雙因素強身份認證系統(tǒng) 1 本系統(tǒng)以令牌作為信物 實現(xiàn)雙因素認證 令牌顯示依據(jù)種子密鑰和時間隨機計算的動態(tài) 口令 具有不可復制和篡改的性能 而后臺認證系統(tǒng)認為 只有持有令牌才可能輸入正確 的密碼 反過來說 只要輸入了當前時間點的正確密碼 就可以認為持有可信的要素 即 令牌 用戶登錄時 必須同時驗證靜態(tài)口令 稱之為 PIN 碼 和動態(tài)口令 只有兩者均正 確時才能確認用戶身份 2 令牌與服務器之間的同步 令牌和認證服務器一般以密鑰和時間為基礎 每隔一定時間 常見為 60 妙 就計算出一個口令 由于令牌和認證服務器雙方都共享了對稱密鑰 時間 因子和計算方法 所以計算出來的口令就是同步的和唯一的 3 一次一密 令牌上顯示的密碼只有在當前時間點有效 且使用一次即失效 實現(xiàn)高強度的 安全性 系統(tǒng)的部署結構如下 解決的主要問題 1 密 碼 安 全 管 理 問 題 實 現(xiàn) 不 依 賴 于 客 戶 端 安 全 意 識 和 安 全 習 慣 可 控 的 安 全 性 用 戶 也 免 于 設 置 復 雜 密 碼 記 憶 并 定 期 更 新 之 苦 2 密碼每分鐘變化 只在當前時間點有效 且使用一次即失效 即使黑客在傳輸過程當中截 獲或竊聽了 只有在一分鐘之內解開 且解開之后 必須先于用戶或管理員進入系統(tǒng)才構 成威脅 這幾乎不可能 大大加強了應用系統(tǒng)的安全性和可靠性 3 通過安盟認證器的日志審計系統(tǒng)可以對所有登錄用戶的信息進行記錄 如用戶的登錄時間 登錄的用戶名 使用的哪一塊令牌 從而很快可以確認用戶的身份 2 技術標準 信息技術 安全技術 實體鑒別 第一部分 概述 GB T 15483 1 1999 信息技術 安全技術 實體鑒別 第二部分 采用對稱加密算法的機制 GB T 15483 2 1997 信息技術 安全技術 信息技術安全性評估準則 第二部分 安全功能要求 GB T 18336 2 2001 信息技術 安全技術 信息技術安全性評估準則 第三部分 安全保證要求 GB T 18336 3 2001 計算機信息系統(tǒng)安全保護等級劃分準則 GB 17859 1999 中國人民銀行計算機通信網(wǎng)絡總體技術規(guī)范 3 安盟身份認證系統(tǒng)組成 整個安盟身份認證系統(tǒng)由三部分組成的 如下圖所示 安盟 SecurID 雙因素身份構造圖 1 安盟 SecurID 身份認證令牌 它是分發(fā)給最終用戶的 用以證明其身份的硬件或軟件設備 是安盟雙因素身份認證的一個因 素 您所持有的 產生一分鐘變化一次的動態(tài)令牌碼 簡單易用 便于隨身攜帶 令牌每一分鐘生 成一個唯一識別用戶的 無法預知的動態(tài)一次性口令 其硬件和軟件版本都具有防篡改能力 如果 某個用戶提供了一個正確的令牌代碼 就可以高度確信該用戶就是擁有安盟 SecurID 身份認證令牌 的合法用戶 每個身份認證令牌擁有一個唯一的種子號 種子號是區(qū)分身份認證令牌的根本方法 一個用戶可以綁定多個身份認證令牌 最多三塊 安盟公司提供的身份認證令牌在產品設計 生產 運輸?shù)冗^程中嚴格按照國際標準執(zhí)行 產品 符合 ISO 13491 1 銀行 安全加解密設備 ISO 8732 密碼生成 ANSI 9 32 數(shù)據(jù)加密標準 ISO 11568 密匙管理 ISO 9797 消息認證碼 MAC 以及 EN61000 6 2 標準 Method RS101 MIL STD 461D EN55022 標準 ISO7816 1 等 安盟身份認證令牌的技術參數(shù)如下 年誤差不超過 30 秒 種子長度為 128 位 工作極限溫度 20 70 工作濕度范圍 5 90 工作海撥范圍 0 到 4000 米 可抗 1M 的自由跌落 防高頻輻射能力達到 EN61000 6 2 標準的要求 防低頻輻射能力達到 Method RS101 MIL STD 461D 標準的要求 信號輻射達到 EN55022 標準的要求 安盟硬件令牌的耐化學性 耐紫外線 耐磁 耐靜電等物理特性達到 ISO7816 1 標準的要 求 2 安盟身份認證代理軟件 安盟身份認證代理軟件就象安全衛(wèi)士 可以用它來保護各種網(wǎng)絡設備 計算主機平臺和應用系 統(tǒng) 安盟身份認證代理軟件能夠保護 NT 域及 UNIX 服務器 大型機 中型系統(tǒng)和一系列傳統(tǒng)主機上 的資源 它已經嵌入到了目前大多主流網(wǎng)絡設備中 并且支持多種應用平臺上開發(fā)的系統(tǒng) 安盟身 份認證代理軟件實施安盟身份認證服務器軟件建立的安全策略 在用戶和被保護的資源和設備之間 通過安盟身份認證服務器軟件來強制實施雙因素認證 要求指定用戶或組織在獲準訪問被保護的企 業(yè) Intranet 資源之前 通過一個安盟 SecurID 身份認證令牌向安盟身份認證服務器軟件證明其合法 身份 在用戶和被保護資源及設備之間 通過安盟身份認證服務器軟件強制實施雙因素身份認證 安盟身份認證代理軟件與安盟身份認證服務器軟件之間的通信是通過加密傳輸?shù)?是公共密鑰技術 的自然補充 對于保護寶貴的或受限的信息尤為有效 現(xiàn)有的主流網(wǎng)絡設備已預裝 具有較強的互 操作性 支持現(xiàn)有的大多數(shù)主流平臺 配置過程簡單 易于安裝 運行 安盟身份認證代理軟件 API SDK 使用戶能夠創(chuàng)建定制代理 從而保護其他面向特定的內部應用 3 安盟身份認證服務器軟件 安盟身份認證服務器軟件是安盟 SecurID 雙因素身份認證解決方案中的安全服務器 包括三個 主要部分 包含用戶 令牌和客戶機信息的數(shù)據(jù)庫 身份認證引擎以及一個管理程序 安盟身份認 證服務器軟件用來在選定的網(wǎng)絡資源周圍建立一個保護環(huán)境 對要求訪問企業(yè) Intranet 資源的各種 用戶進行身份認證 除了處理用戶的訪問請求認證 安盟身份認證服務器軟件還可進行企業(yè)網(wǎng)安全 策略管理 它提供了集中式安全管理能力 向信任的個人簽發(fā)認證令牌證 設置并實施安全策略 保護對專用網(wǎng)絡系統(tǒng) 文件及應用的訪問 其中包括可以根據(jù)每天的時間 星期幾或根據(jù)小組或用 戶定義的權限來確定訪問權限 創(chuàng)建用戶訪問日志 進行審計跟蹤 定義和報告報警情況 如某個 網(wǎng)絡端口訪問失敗重試次數(shù)等 安盟身份認證服務器軟件可運行于多種服務器平臺上 能夠提供強 大的認證服務 4 安全性與可靠性說明 4 1 安全性保證 1 雙因素認證機制 安盟雙因素認證系統(tǒng)采用雙因素認證機制來鑒別用戶身份 用戶登錄時 除了一個記憶在頭腦 中的口令外 還必須提供他擁有的令牌上顯示的動態(tài)密碼 只有同時使用正確的用戶 PIN 碼和用戶 本人的動態(tài)口令才有可能登陸 使安全性大大提高 2 動態(tài)密碼的唯一性和安全性 安盟身份認證系統(tǒng)采用偽隨機算法 取當前時間和種子密鑰產生動態(tài)密碼 其中當前時間為同 步因子 種子密鑰是為了保證動態(tài)密碼的唯一性和隨機性的因子 時間相當于公鑰 種子密鑰相當 于私鑰 因此保證種子密鑰的唯一性和隨機性是關鍵 安盟身份認證系統(tǒng)采用如下方法生成種子密 鑰和生命周期安全管理 1 安盟公司應用私有隨機算法產生 100 億個隨機數(shù)記錄在數(shù)據(jù)庫 該隨機數(shù)應用私有隨機算 法保證其隨機性和不可預測性 隨機數(shù)生成時包含唯一連續(xù)的種子密鑰序列號 以此來保 證其唯一性 該數(shù)據(jù)庫中的記錄數(shù)量足夠安盟公司使用 100 年以上 可以保證在足夠長的 時間內不必循環(huán)使用數(shù)據(jù)庫中的隨機數(shù) 2 生產時 從上述數(shù)據(jù)庫中抽取生產訂單需要數(shù)量的隨機數(shù)記錄 抽取完后自動從數(shù)據(jù)庫中 刪除抽取過的隨機數(shù) 然后采用國密局 128 位的 SM3 雜湊算法對抽取的隨機數(shù)進行循環(huán) 加密 生成種子密鑰 該加密算法具有不可逆性 保證種子密鑰的安全性 3 生產訂單的一批種子密鑰生成后 通過私有加密算法加密打包 只有最終用戶通過電話核 實必要的信息后 才能獲得密碼解密 保證物流過程中的種子密鑰安全 4 種子密鑰一經導入安盟身份認證系統(tǒng) 不可導出 并強烈建議用戶將種子密鑰光盤和解密 密碼保存在足夠安全的地方 如保險柜等 保證在用戶處種子密鑰的安全管理 安全性方面 動態(tài)口令為 6 8 位 因此 同一時間產生相同動態(tài)口令的概率為 10 8 到 10 6 考慮 到用戶 4 8 位的 PIN 碼 同一時間產生相同雙因素動態(tài)口令的概率將下降為 10 16 到 10 10 據(jù)此概率 加上有限的時間窗口 一般為 3 分鐘 可以保證動態(tài)密碼不可預測和破解 具有足夠的安全性 同時 令牌或者手機號碼 SIM 卡 是不可復制和篡改的可信的第二身份信息要素 與相應的 賬戶名綁定 這一動態(tài)密碼根據(jù)時間而變化 每 60 秒生成一個不同的動態(tài)密碼 且只在當前事件窗 口有效 通過后臺認證服務器認證其有效性 如果某個用戶提供了一個正確的動態(tài)口令 就可以高 度確信該用戶即是擁有唯一第二身份要素的合法用戶 3 一次一密認證機制 認證服務器對訪問服務器送來的動態(tài)密碼 進行一次一密認證 即使黑客通過工具截獲使用過 的動態(tài)密碼 安盟身份認證系統(tǒng)也有效防止口令的重發(fā)攻擊 安盟雙因素身份認證產品提供了身份鑒別失敗的處理功能 當用戶以失敗的身份鑒別嘗試達到 規(guī)定的數(shù)值時 能夠及時終止用戶與系統(tǒng)之間的會話過程 將用戶帳號鎖定 同時在系統(tǒng)登錄日志 中對身份鑒別失敗事件進行審計跟蹤 只有以授權的身份才能對審計跟蹤信息進行修改和刪除 安盟雙因素身份認證產品提供了有效鑒的鑒別信息 包括用戶名和動態(tài)密碼 每個授權用戶都 有唯一的用戶名和唯一的動態(tài)密碼密鑰 用戶的動態(tài)密碼是通過該密鑰生成 為一次性的口令 且 不可預知和偽造 4 加密數(shù)據(jù)庫 安盟動態(tài)口令身份認證系統(tǒng)采用加密數(shù)據(jù)庫 確保賬戶信息和種子密鑰的安全性 安盟動態(tài)口令身份認證系統(tǒng)數(shù)據(jù)庫只可通過規(guī)定的接口進行訪問 5 加密傳輸協(xié)議 安盟動態(tài)口令身份認證系統(tǒng)與受保護的資源 SSL VPN 和應用系統(tǒng)等 之間采用加密傳輸協(xié)議 保證數(shù)據(jù)傳輸過程中的安全 4 2 可靠性保證 1 雙機熱備機制 安盟身份認證系統(tǒng)支持雙機熱備機制 建議部署兩臺安盟身份認證服務器 一臺為主服務器 另一臺為備份服務器 這樣任何一臺服務器的死機不會影響整個認證過程 同時 最新的安盟身份 認證代理軟件會自動尋找相應最快的安盟身份認證服務器服務器 認證請求會送到較快的認證服務 器處理 既實現(xiàn)了容錯 以及自動負載均衡處理 安盟身份認證服務器可以運行于 Solaris AIX HP UX 和 Windows 操作系統(tǒng)平臺上 2 災難恢復能力 如果認證服務器無法工作的話 所有人員均不能夠訪問到任何受保護的網(wǎng)絡資源 對于需要可 持續(xù)工作網(wǎng)絡資源的企業(yè)來說 安盟身份認證服務器支持 HP ServiceGuard 和 IBM HACMP 兩款高可 用硬件平臺 一旦從認證服務器失效 安盟身份認證服務器提供叫做 DB Push 的災難恢復機制 在 從認證服務器硬件恢復正常以后 可以使用 DB Push 工具通過網(wǎng)絡連接恢復必要的數(shù)據(jù)到從認證服 務器 3 近 10 年高端行業(yè)用戶的成功應用 安盟身份認證系統(tǒng)產品經過了市場近 10 年的檢驗 在電力 銀行 電信運營商 證券等眾多高 端行業(yè)客戶都有大量的成功應用 是系統(tǒng)成熟性與可靠性的有力佐證 5 信息安全產品認證資質 公安部頒發(fā)的計算機信息安全專用產品銷售許可證 國家保密局頒發(fā)的涉密信息系統(tǒng)產品檢測證書 中國國家計算機信息安全產品評測認證中心的產品型號證書 國家密碼管理局頒發(fā)的商用密碼產品生產定點單位證書 英國 BSI 頒發(fā)的 ISO9001 質量管理體系認證證書