《安盟動(dòng)態(tài)口令認(rèn)證系統(tǒng)產(chǎn)品說(shuō)明書(shū).doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《安盟動(dòng)態(tài)口令認(rèn)證系統(tǒng)產(chǎn)品說(shuō)明書(shū).doc（5頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

安盟動(dòng)態(tài)口令身份認(rèn)證系統(tǒng) 產(chǎn)品說(shuō)明文檔 1 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)原理 在傳統(tǒng)的靜態(tài)口令驗(yàn)證系統(tǒng)中 由于口令為 一次設(shè)置 重復(fù)使用 由于口令的重復(fù)使用而增 加了口令丟失和破解的危險(xiǎn)性 降低了系統(tǒng)的安全系數(shù) 特別是在互聯(lián)網(wǎng)環(huán)境下 黑客 木馬和病 毒泛濫 使得靜態(tài)口令更加容易被泄露 造成企業(yè)信息系統(tǒng)和資源的非授權(quán)訪問(wèn) 導(dǎo)致直接經(jīng)濟(jì)損 失和間接的信譽(yù)和商譽(yù)損失 所以 除了用戶(hù)記憶的靜態(tài)口令外 還需要增加一個(gè)物理因素 如令牌 這樣采用你所知道的 記憶的靜態(tài)密碼 和你所擁有的 令牌 兩個(gè)要素構(gòu)成有效密碼 實(shí)現(xiàn)嚴(yán)格身份信息驗(yàn)證 而你 所擁有的要素必須具有不可復(fù)制和篡改的性能 動(dòng)態(tài)口令認(rèn)證即是依據(jù)上述原理實(shí)現(xiàn)的雙因素強(qiáng)身份認(rèn)證系統(tǒng) 1 本系統(tǒng)以令牌作為信物 實(shí)現(xiàn)雙因素認(rèn)證 令牌顯示依據(jù)種子密鑰和時(shí)間隨機(jī)計(jì)算的動(dòng)態(tài) 口令 具有不可復(fù)制和篡改的性能 而后臺(tái)認(rèn)證系統(tǒng)認(rèn)為 只有持有令牌才可能輸入正確 的密碼 反過(guò)來(lái)說(shuō) 只要輸入了當(dāng)前時(shí)間點(diǎn)的正確密碼 就可以認(rèn)為持有可信的要素 即 令牌 用戶(hù)登錄時(shí) 必須同時(shí)驗(yàn)證靜態(tài)口令 稱(chēng)之為 PIN 碼 和動(dòng)態(tài)口令 只有兩者均正 確時(shí)才能確認(rèn)用戶(hù)身份 2 令牌與服務(wù)器之間的同步 令牌和認(rèn)證服務(wù)器一般以密鑰和時(shí)間為基礎(chǔ) 每隔一定時(shí)間 常見(jiàn)為 60 妙 就計(jì)算出一個(gè)口令 由于令牌和認(rèn)證服務(wù)器雙方都共享了對(duì)稱(chēng)密鑰 時(shí)間 因子和計(jì)算方法 所以計(jì)算出來(lái)的口令就是同步的和唯一的 3 一次一密 令牌上顯示的密碼只有在當(dāng)前時(shí)間點(diǎn)有效 且使用一次即失效 實(shí)現(xiàn)高強(qiáng)度的 安全性 系統(tǒng)的部署結(jié)構(gòu)如下 解決的主要問(wèn)題 1 密 碼 安 全 管 理 問(wèn) 題 實(shí) 現(xiàn) 不 依 賴(lài) 于 客 戶(hù) 端 安 全 意 識(shí) 和 安 全 習(xí) 慣 可 控 的 安 全 性 用 戶(hù) 也 免 于 設(shè) 置 復(fù) 雜 密 碼 記 憶 并 定 期 更 新 之 苦 2 密碼每分鐘變化 只在當(dāng)前時(shí)間點(diǎn)有效 且使用一次即失效 即使黑客在傳輸過(guò)程當(dāng)中截 獲或竊聽(tīng)了 只有在一分鐘之內(nèi)解開(kāi) 且解開(kāi)之后 必須先于用戶(hù)或管理員進(jìn)入系統(tǒng)才構(gòu) 成威脅 這幾乎不可能 大大加強(qiáng)了應(yīng)用系統(tǒng)的安全性和可靠性 3 通過(guò)安盟認(rèn)證器的日志審計(jì)系統(tǒng)可以對(duì)所有登錄用戶(hù)的信息進(jìn)行記錄 如用戶(hù)的登錄時(shí)間 登錄的用戶(hù)名 使用的哪一塊令牌 從而很快可以確認(rèn)用戶(hù)的身份 2 技術(shù)標(biāo)準(zhǔn) 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第一部分 概述 GB T 15483 1 1999 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第二部分 采用對(duì)稱(chēng)加密算法的機(jī)制 GB T 15483 2 1997 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第二部分 安全功能要求 GB T 18336 2 2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第三部分 安全保證要求 GB T 18336 3 2001 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB 17859 1999 中國(guó)人民銀行計(jì)算機(jī)通信網(wǎng)絡(luò)總體技術(shù)規(guī)范 3 安盟身份認(rèn)證系統(tǒng)組成 整個(gè)安盟身份認(rèn)證系統(tǒng)由三部分組成的 如下圖所示 安盟 SecurID 雙因素身份構(gòu)造圖 1 安盟 SecurID 身份認(rèn)證令牌 它是分發(fā)給最終用戶(hù)的 用以證明其身份的硬件或軟件設(shè)備 是安盟雙因素身份認(rèn)證的一個(gè)因 素 您所持有的 產(chǎn)生一分鐘變化一次的動(dòng)態(tài)令牌碼 簡(jiǎn)單易用 便于隨身攜帶 令牌每一分鐘生 成一個(gè)唯一識(shí)別用戶(hù)的 無(wú)法預(yù)知的動(dòng)態(tài)一次性口令 其硬件和軟件版本都具有防篡改能力 如果 某個(gè)用戶(hù)提供了一個(gè)正確的令牌代碼 就可以高度確信該用戶(hù)就是擁有安盟 SecurID 身份認(rèn)證令牌 的合法用戶(hù) 每個(gè)身份認(rèn)證令牌擁有一個(gè)唯一的種子號(hào) 種子號(hào)是區(qū)分身份認(rèn)證令牌的根本方法 一個(gè)用戶(hù)可以綁定多個(gè)身份認(rèn)證令牌 最多三塊 安盟公司提供的身份認(rèn)證令牌在產(chǎn)品設(shè)計(jì) 生產(chǎn) 運(yùn)輸?shù)冗^(guò)程中嚴(yán)格按照國(guó)際標(biāo)準(zhǔn)執(zhí)行 產(chǎn)品 符合 ISO 13491 1 銀行 安全加解密設(shè)備 ISO 8732 密碼生成 ANSI 9 32 數(shù)據(jù)加密標(biāo)準(zhǔn) ISO 11568 密匙管理 ISO 9797 消息認(rèn)證碼 MAC 以及 EN61000 6 2 標(biāo)準(zhǔn) Method RS101 MIL STD 461D EN55022 標(biāo)準(zhǔn) ISO7816 1 等 安盟身份認(rèn)證令牌的技術(shù)參數(shù)如下 年誤差不超過(guò) 30 秒 種子長(zhǎng)度為 128 位 工作極限溫度 20 70 工作濕度范圍 5 90 工作海撥范圍 0 到 4000 米 可抗 1M 的自由跌落 防高頻輻射能力達(dá)到 EN61000 6 2 標(biāo)準(zhǔn)的要求 防低頻輻射能力達(dá)到 Method RS101 MIL STD 461D 標(biāo)準(zhǔn)的要求 信號(hào)輻射達(dá)到 EN55022 標(biāo)準(zhǔn)的要求 安盟硬件令牌的耐化學(xué)性 耐紫外線 耐磁 耐靜電等物理特性達(dá)到 ISO7816 1 標(biāo)準(zhǔn)的要 求 2 安盟身份認(rèn)證代理軟件 安盟身份認(rèn)證代理軟件就象安全衛(wèi)士 可以用它來(lái)保護(hù)各種網(wǎng)絡(luò)設(shè)備 計(jì)算主機(jī)平臺(tái)和應(yīng)用系 統(tǒng) 安盟身份認(rèn)證代理軟件能夠保護(hù) NT 域及 UNIX 服務(wù)器 大型機(jī) 中型系統(tǒng)和一系列傳統(tǒng)主機(jī)上 的資源 它已經(jīng)嵌入到了目前大多主流網(wǎng)絡(luò)設(shè)備中 并且支持多種應(yīng)用平臺(tái)上開(kāi)發(fā)的系統(tǒng) 安盟身 份認(rèn)證代理軟件實(shí)施安盟身份認(rèn)證服務(wù)器軟件建立的安全策略 在用戶(hù)和被保護(hù)的資源和設(shè)備之間 通過(guò)安盟身份認(rèn)證服務(wù)器軟件來(lái)強(qiáng)制實(shí)施雙因素認(rèn)證 要求指定用戶(hù)或組織在獲準(zhǔn)訪問(wèn)被保護(hù)的企 業(yè) Intranet 資源之前 通過(guò)一個(gè)安盟 SecurID 身份認(rèn)證令牌向安盟身份認(rèn)證服務(wù)器軟件證明其合法 身份 在用戶(hù)和被保護(hù)資源及設(shè)備之間 通過(guò)安盟身份認(rèn)證服務(wù)器軟件強(qiáng)制實(shí)施雙因素身份認(rèn)證 安盟身份認(rèn)證代理軟件與安盟身份認(rèn)證服務(wù)器軟件之間的通信是通過(guò)加密傳輸?shù)?是公共密鑰技術(shù) 的自然補(bǔ)充 對(duì)于保護(hù)寶貴的或受限的信息尤為有效 現(xiàn)有的主流網(wǎng)絡(luò)設(shè)備已預(yù)裝 具有較強(qiáng)的互 操作性 支持現(xiàn)有的大多數(shù)主流平臺(tái) 配置過(guò)程簡(jiǎn)單 易于安裝 運(yùn)行 安盟身份認(rèn)證代理軟件 API SDK 使用戶(hù)能夠創(chuàng)建定制代理 從而保護(hù)其他面向特定的內(nèi)部應(yīng)用 3 安盟身份認(rèn)證服務(wù)器軟件 安盟身份認(rèn)證服務(wù)器軟件是安盟 SecurID 雙因素身份認(rèn)證解決方案中的安全服務(wù)器 包括三個(gè) 主要部分 包含用戶(hù) 令牌和客戶(hù)機(jī)信息的數(shù)據(jù)庫(kù) 身份認(rèn)證引擎以及一個(gè)管理程序 安盟身份認(rèn) 證服務(wù)器軟件用來(lái)在選定的網(wǎng)絡(luò)資源周?chē)⒁粋€(gè)保護(hù)環(huán)境 對(duì)要求訪問(wèn)企業(yè) Intranet 資源的各種 用戶(hù)進(jìn)行身份認(rèn)證 除了處理用戶(hù)的訪問(wèn)請(qǐng)求認(rèn)證 安盟身份認(rèn)證服務(wù)器軟件還可進(jìn)行企業(yè)網(wǎng)安全 策略管理 它提供了集中式安全管理能力 向信任的個(gè)人簽發(fā)認(rèn)證令牌證 設(shè)置并實(shí)施安全策略 保護(hù)對(duì)專(zhuān)用網(wǎng)絡(luò)系統(tǒng) 文件及應(yīng)用的訪問(wèn) 其中包括可以根據(jù)每天的時(shí)間 星期幾或根據(jù)小組或用 戶(hù)定義的權(quán)限來(lái)確定訪問(wèn)權(quán)限 創(chuàng)建用戶(hù)訪問(wèn)日志 進(jìn)行審計(jì)跟蹤 定義和報(bào)告報(bào)警情況 如某個(gè) 網(wǎng)絡(luò)端口訪問(wèn)失敗重試次數(shù)等 安盟身份認(rèn)證服務(wù)器軟件可運(yùn)行于多種服務(wù)器平臺(tái)上 能夠提供強(qiáng) 大的認(rèn)證服務(wù) 4 安全性與可靠性說(shuō)明 4 1 安全性保證 1 雙因素認(rèn)證機(jī)制 安盟雙因素認(rèn)證系統(tǒng)采用雙因素認(rèn)證機(jī)制來(lái)鑒別用戶(hù)身份 用戶(hù)登錄時(shí) 除了一個(gè)記憶在頭腦 中的口令外 還必須提供他擁有的令牌上顯示的動(dòng)態(tài)密碼 只有同時(shí)使用正確的用戶(hù) PIN 碼和用戶(hù) 本人的動(dòng)態(tài)口令才有可能登陸 使安全性大大提高 2 動(dòng)態(tài)密碼的唯一性和安全性 安盟身份認(rèn)證系統(tǒng)采用偽隨機(jī)算法 取當(dāng)前時(shí)間和種子密鑰產(chǎn)生動(dòng)態(tài)密碼 其中當(dāng)前時(shí)間為同 步因子 種子密鑰是為了保證動(dòng)態(tài)密碼的唯一性和隨機(jī)性的因子 時(shí)間相當(dāng)于公鑰 種子密鑰相當(dāng) 于私鑰 因此保證種子密鑰的唯一性和隨機(jī)性是關(guān)鍵 安盟身份認(rèn)證系統(tǒng)采用如下方法生成種子密 鑰和生命周期安全管理 1 安盟公司應(yīng)用私有隨機(jī)算法產(chǎn)生 100 億個(gè)隨機(jī)數(shù)記錄在數(shù)據(jù)庫(kù) 該隨機(jī)數(shù)應(yīng)用私有隨機(jī)算 法保證其隨機(jī)性和不可預(yù)測(cè)性 隨機(jī)數(shù)生成時(shí)包含唯一連續(xù)的種子密鑰序列號(hào) 以此來(lái)保 證其唯一性 該數(shù)據(jù)庫(kù)中的記錄數(shù)量足夠安盟公司使用 100 年以上 可以保證在足夠長(zhǎng)的 時(shí)間內(nèi)不必循環(huán)使用數(shù)據(jù)庫(kù)中的隨機(jī)數(shù) 2 生產(chǎn)時(shí) 從上述數(shù)據(jù)庫(kù)中抽取生產(chǎn)訂單需要數(shù)量的隨機(jī)數(shù)記錄 抽取完后自動(dòng)從數(shù)據(jù)庫(kù)中 刪除抽取過(guò)的隨機(jī)數(shù) 然后采用國(guó)密局 128 位的 SM3 雜湊算法對(duì)抽取的隨機(jī)數(shù)進(jìn)行循環(huán) 加密 生成種子密鑰 該加密算法具有不可逆性 保證種子密鑰的安全性 3 生產(chǎn)訂單的一批種子密鑰生成后 通過(guò)私有加密算法加密打包 只有最終用戶(hù)通過(guò)電話核 實(shí)必要的信息后 才能獲得密碼解密 保證物流過(guò)程中的種子密鑰安全 4 種子密鑰一經(jīng)導(dǎo)入安盟身份認(rèn)證系統(tǒng) 不可導(dǎo)出 并強(qiáng)烈建議用戶(hù)將種子密鑰光盤(pán)和解密 密碼保存在足夠安全的地方 如保險(xiǎn)柜等 保證在用戶(hù)處種子密鑰的安全管理 安全性方面 動(dòng)態(tài)口令為 6 8 位 因此 同一時(shí)間產(chǎn)生相同動(dòng)態(tài)口令的概率為 10 8 到 10 6 考慮 到用戶(hù) 4 8 位的 PIN 碼 同一時(shí)間產(chǎn)生相同雙因素動(dòng)態(tài)口令的概率將下降為 10 16 到 10 10 據(jù)此概率 加上有限的時(shí)間窗口 一般為 3 分鐘 可以保證動(dòng)態(tài)密碼不可預(yù)測(cè)和破解 具有足夠的安全性 同時(shí) 令牌或者手機(jī)號(hào)碼 SIM 卡 是不可復(fù)制和篡改的可信的第二身份信息要素 與相應(yīng)的 賬戶(hù)名綁定 這一動(dòng)態(tài)密碼根據(jù)時(shí)間而變化 每 60 秒生成一個(gè)不同的動(dòng)態(tài)密碼 且只在當(dāng)前事件窗 口有效 通過(guò)后臺(tái)認(rèn)證服務(wù)器認(rèn)證其有效性 如果某個(gè)用戶(hù)提供了一個(gè)正確的動(dòng)態(tài)口令 就可以高 度確信該用戶(hù)即是擁有唯一第二身份要素的合法用戶(hù) 3 一次一密認(rèn)證機(jī)制 認(rèn)證服務(wù)器對(duì)訪問(wèn)服務(wù)器送來(lái)的動(dòng)態(tài)密碼 進(jìn)行一次一密認(rèn)證 即使黑客通過(guò)工具截獲使用過(guò) 的動(dòng)態(tài)密碼 安盟身份認(rèn)證系統(tǒng)也有效防止口令的重發(fā)攻擊 安盟雙因素身份認(rèn)證產(chǎn)品提供了身份鑒別失敗的處理功能 當(dāng)用戶(hù)以失敗的身份鑒別嘗試達(dá)到 規(guī)定的數(shù)值時(shí) 能夠及時(shí)終止用戶(hù)與系統(tǒng)之間的會(huì)話過(guò)程 將用戶(hù)帳號(hào)鎖定 同時(shí)在系統(tǒng)登錄日志 中對(duì)身份鑒別失敗事件進(jìn)行審計(jì)跟蹤 只有以授權(quán)的身份才能對(duì)審計(jì)跟蹤信息進(jìn)行修改和刪除 安盟雙因素身份認(rèn)證產(chǎn)品提供了有效鑒的鑒別信息 包括用戶(hù)名和動(dòng)態(tài)密碼 每個(gè)授權(quán)用戶(hù)都 有唯一的用戶(hù)名和唯一的動(dòng)態(tài)密碼密鑰 用戶(hù)的動(dòng)態(tài)密碼是通過(guò)該密鑰生成 為一次性的口令 且 不可預(yù)知和偽造 4 加密數(shù)據(jù)庫(kù) 安盟動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)采用加密數(shù)據(jù)庫(kù) 確保賬戶(hù)信息和種子密鑰的安全性 安盟動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)數(shù)據(jù)庫(kù)只可通過(guò)規(guī)定的接口進(jìn)行訪問(wèn) 5 加密傳輸協(xié)議 安盟動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)與受保護(hù)的資源 SSL VPN 和應(yīng)用系統(tǒng)等 之間采用加密傳輸協(xié)議 保證數(shù)據(jù)傳輸過(guò)程中的安全 4 2 可靠性保證 1 雙機(jī)熱備機(jī)制 安盟身份認(rèn)證系統(tǒng)支持雙機(jī)熱備機(jī)制 建議部署兩臺(tái)安盟身份認(rèn)證服務(wù)器 一臺(tái)為主服務(wù)器 另一臺(tái)為備份服務(wù)器 這樣任何一臺(tái)服務(wù)器的死機(jī)不會(huì)影響整個(gè)認(rèn)證過(guò)程 同時(shí) 最新的安盟身份 認(rèn)證代理軟件會(huì)自動(dòng)尋找相應(yīng)最快的安盟身份認(rèn)證服務(wù)器服務(wù)器 認(rèn)證請(qǐng)求會(huì)送到較快的認(rèn)證服務(wù) 器處理 既實(shí)現(xiàn)了容錯(cuò) 以及自動(dòng)負(fù)載均衡處理 安盟身份認(rèn)證服務(wù)器可以運(yùn)行于 Solaris AIX HP UX 和 Windows 操作系統(tǒng)平臺(tái)上 2 災(zāi)難恢復(fù)能力 如果認(rèn)證服務(wù)器無(wú)法工作的話 所有人員均不能夠訪問(wèn)到任何受保護(hù)的網(wǎng)絡(luò)資源 對(duì)于需要可 持續(xù)工作網(wǎng)絡(luò)資源的企業(yè)來(lái)說(shuō) 安盟身份認(rèn)證服務(wù)器支持 HP ServiceGuard 和 IBM HACMP 兩款高可 用硬件平臺(tái) 一旦從認(rèn)證服務(wù)器失效 安盟身份認(rèn)證服務(wù)器提供叫做 DB Push 的災(zāi)難恢復(fù)機(jī)制 在 從認(rèn)證服務(wù)器硬件恢復(fù)正常以后 可以使用 DB Push 工具通過(guò)網(wǎng)絡(luò)連接恢復(fù)必要的數(shù)據(jù)到從認(rèn)證服 務(wù)器 3 近 10 年高端行業(yè)用戶(hù)的成功應(yīng)用 安盟身份認(rèn)證系統(tǒng)產(chǎn)品經(jīng)過(guò)了市場(chǎng)近 10 年的檢驗(yàn) 在電力 銀行 電信運(yùn)營(yíng)商 證券等眾多高 端行業(yè)客戶(hù)都有大量的成功應(yīng)用 是系統(tǒng)成熟性與可靠性的有力佐證 5 信息安全產(chǎn)品認(rèn)證資質(zhì) 公安部頒發(fā)的計(jì)算機(jī)信息安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證 國(guó)家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū) 中國(guó)國(guó)家計(jì)算機(jī)信息安全產(chǎn)品評(píng)測(cè)認(rèn)證中心的產(chǎn)品型號(hào)證書(shū) 國(guó)家密碼管理局頒發(fā)的商用密碼產(chǎn)品生產(chǎn)定點(diǎn)單位證書(shū) 英國(guó) BSI 頒發(fā)的 ISO9001 質(zhì)量管理體系認(rèn)證證書(shū)