TK1000動態身份認證系統(轉)

TK1000動態身份認證系統(轉)[@more@]

常規固定口令的危機

　　以固定口令為基礎的常規身份認證方式存在多種口令被竊取的隱患：

　　　■　網路資料流竊聽(Sniffer)　：很多透過網路傳遞的認證資訊是未經加密的明文，容易被攻擊者透過竊聽網路資料分辨出認證資料，並提取使用者名稱和口令。

　　　■　認證資訊擷取/重放(Record/Replay)　：簡單加密後進行傳輸的認證資訊，攻擊者會使用擷取/重放方式推算出密碼。

　　　■　字典攻擊：以有意義的單詞或數字作為密碼，　攻擊者會使用字典中的單詞來嘗試使用者的密碼。

　　　■　窮舉嘗試(Brute　Force)　：這是一種特殊的字典攻擊，它使用字串的　全集作為字典。如果使用者的密碼較短，很容易被窮舉出來。

　　　■　窺探：攻擊者利用與被攻擊系統接近的機會，安裝監視器或親自窺探合　法使用者輸入口令的過程，以得到口令。

　　　■　社交工程：攻擊者冒充合法使用者傳送郵件或打電話給管理人員，以騙取　使用者口令。

　　　■　垃圾搜尋：攻擊者透過搜尋被攻擊者的廢棄物，得到與被攻擊系統有關的資訊。

　　雖然使用者可以透過經常更換密碼和增加密碼長度來保證安全，但這同時也　給使用者帶來了很大麻煩。

　　系統介紹

　　　

　　TK1000　動態身份認證系統採用業界領先的動態（一次性）口令機制來解決使用者身份認證問題。其實現方式是：

　　在登入過程中加入不確定因素，以一次性口令登入，使每次登入傳送的資訊都不相同。驗證系統接收到登入口令後做一個驗算即可確認使用者的合法性，從而提高登入過程的安全性。

　　該系統使使用者所輸入的口令（密碼）動態地變化，每分鐘所使用的口令都不相同。系統派發的“動態口令器”利用特定的加密演算法，每60秒鐘產生一個動態口令顯示給使用者。在應用系統要求輸入口令時，使用者把顯示的口令輸入。中心的動態口令認證伺服器根據同步認證演算法檢查密碼的正確與否。動態口令系統使入侵者即使竊聽到了口令，也不能使用這個已經失效的口令登入。

　　TK1000動態身份認證系統由客戶端的動態口令器（也稱為令牌）和認證伺服器組成。

　　動態口令器：透過同步信任認證演算法產生單次使用的“動態口令”，而且口令無法預測和跟蹤，這就使得使用者口令既無法被竊取，而且又能解決常規口令頻繁變換所帶來的問題。

　　安全認證伺服器：安全認證伺服器執行在網路環境下，集中控制了所有的遠端使用者對網路的訪問，提供全面的認證、授權和審計服務。使用者在進行身份認證時，需要輸入使用者名稱和由動態口令器計算出的當時“動態口令”。伺服器端的軟體模組和加密機硬體，能自動和動態口令器產生的“動態口令”同步，從而保證認證過程的完成。

　　TK1000動態身份認證系統和RADIUS的整合

　　RADIUS是“Remote　Authentication　Dial　In　User　Service”的縮寫，它為多個網路接入裝置NAS（伺服器、路由器、防火牆等）間共享使用者認證資料提供了協議支援。

　　TK1000動態身份認證系統和RADIUS可以很好的整合，採用RADIUS技術後，網路使用者的認證過程如下：NAS被看作是RADIUS的客戶端，當使用者採用TK1000動態身份認證系統登入到NAS時，客戶端將使用者提供的認證資訊（如動態口令器產生的動態口令）傳送給指定的RADIUS　SERVER，並根據SERVER的回應作出相應的“允許/不允許登入”的決定。RADIUS　Server　負責接收認證請求並進行認證，然後將認證結果（包括連線協議、埠資訊、　ACL　等授權資訊）傳送回RADIUS　Client，Client根據　授權資訊限制使用者對資源的訪問。

　　目前，多數的NAS如路由器、防火牆產品都提供對RADIUS的支援，TK1000中的認證伺服器也支援RADIUS協議族，可以配置成為RADIUS　SERVER使用。這樣，TK1000和各種NAS裝置協同工作，進一步提高了使用者身份認證過程的安全性。