海月百科——动态密码海月百科>>
- 动态密码终端令牌
目录
什么是动态密码
动态密码也称动态口令,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的一次性密码OTP(one time password),每个密码只能使用一次,每天可以产生43200个密码。
用户进行认证时候,除输入账号和静态密码之外,必须要求输入动态密码,只有通过系统验证,才可以正常登录或者交易,从而有效保证用户身份的合法性和唯一性。动态密码最大的优点在于,用户每次使用的密码都不相同,使得不法分子无法仿冒合法用户的身份。
动态密码认证技术被认为是目前能够最有效解决用户的身份认证方式之一,可以有效防范黑客木马盗窃用户账户密码、假网站等多种网络问题,导致用户的财产或者资料的损失。
传统的静态密码有何缺点
相比较动态密码认证方式,静态密码认证缺点如下:
(1) 为了便于记忆,用户多选择有特征作为密码,所有静态密码相比动态密码而言,容易被猜测和破解;
(2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取;
(3) 内部工作人员可通过合法授权取得用户密码而非法使用;
静态密码根本上不能确定用户的身份,其结果是,个人可以轻松地伪造一个假身份或者盗用一个已有使用者的身份,给企业造成巨大的经济和声誉损失。
目前解决静态密码安全问题的手段及优缺点
目前主要有动态密码、数字证书、USB移动证书等方式
(1)数字证书:数字证书认证技术采用加密传输和数字签名技术,可以较好的保障网上信息安全。数字证书的局限是只能在己安装证书的电脑上进行操作,使用不方便。
(2)USB移动证书:将用户的密钥或数字证书存储在USB Key硬件设备中, 利用USB Key 内置的密码学算法实现对用户身份的认证。USB Key的局限是只能在己安装相应驱动程序的电脑上进行操作,在其他没有 USB 插口的设备上则无法使用,使用范围相对狭窄。另外由于必须连接电脑,在已经出现相应的木马病毒的情况下,仍然存在安全隐患。
身份认证系统组成
动态密码认证系统是由动态密码认证服务器集群、动态密码令牌以及动态密码管理服务站点组成。
(1) 动态密码认证服务器群
包含动态密密码认证服务器与备份动态密码认证服务器,其是动态密码认证系统的核心部分,安装在机房内,与业务系统服务器通过局域相连,为内外部用户提供强身份认证,根据业务系统的授权,访问系统资源。动态密码认证服务器具有自身数据安全保护功能,所用户数据经加密后存储在数据库中,动态密码认证服务器与动态密码管理工作站的数据交换也是将数额变换后,以加密方式在网上传输。备份认证服务器是动态密码认证服务器的完全备份,它能够在动态密码认证服务器发生故障或检修时及时接管认证工作。
(2) 动态密码管理服务站点
包括管理员服务以及用户自助服务。
管理员服务:网络管理员可以进行网络配置、动态密码令牌的绑定、激活、用户信息修改、服务统计和用户查询等操作。
用户自助服务:终端用户可以对动态密码令牌的状态进行修改,包括挂失、停用等
(3) 动态密码令牌
软件令牌 海月通信动态密码软件令牌是一种基于挑战/应答方式的手机客户端软件,在该软件上输入服务端下发的挑战码,客户端上生成一个6位的随机数字,这个密码只能使用一次,可以充分的保证登录认证的安全,作为一个单机版的动态密码生成软件,在生成密码的过程中,不会产生任何通信,保证密码不会在网络传输中被截取,目前支持最主流的WINDOWS系统。
硬件令牌 海月通信动态密码硬件令牌是基于时间同步的硬件令牌,它每60秒变换一次OTP密码,密码一次有效,可以支持HMAC-SHA1算法,它产生6位/8位动态数字进行一次一密的方式认证,采用加密算法基于OATH标准算法(TOTP) ,采用大LCD显示屏、显示清晰,与其它相比较时间偏移量小,具有超大容量电池,可以保证产品防水、防拆、防摔,适应在特殊场合使用。
手机令牌 海月通信动态密码手机令牌是推出了最新的身份认证终端,海月通信动态密码手机令牌是一种基于挑战/应答方式的手机客户端软件,在该软件上输入服务端下发的挑战码,手机软件上生成一个6位的随机数字,这个密码只能使用一次,可以充分的保证登录认证的安全,在生成密码的过程中,不会产生任何通信,保证密码不会在通信信道中被截取,也不会产生任何通信费用,手机作为动态密码生成的载体,欠费和无信号对其不产生任何影响,目前可以支持大部分主流的手机,如symbian、WM、IPHONE等,目前主流的有海月通信研发的动态密码手机令牌。
认证系统特点
(1)无需记忆——密码遗忘是令许多人头疼的问题。随着网络应用的普及,需要人们记忆的密码越来越多。动态密码卡使用户无需记忆多个密码。
(2)双重保险——海月动态密码认证系统采用双因素认证机制。用户即使将动态密码卡、账户同时丢失,也不会造成损失。
(3)迅速知情——在传统的认证机制下,用户密码往往是在不知情时丢失、被盗,危害发生后才有所察觉,只能亡羊补牢。动态密码令牌一旦丢失,用户会马上发现并及时挂失,防患未然。
(4)内外兼“固”——在信息系统的入侵者中,内部入侵者占80%以上。就电子商务站点而论,信息安全最薄弱环节是对内防范,如网管人员也能通过正常授权获得用户保密资料,对用户信息安全无疑是一种威胁。而动态密码认证系统把密钥生成和管理完全交给系统自动完成,最大限度地减少了人为因素,有效地防止了内部人员作案,使系统安全防范对内对外同样坚固。
(5)简单易行——IC卡认证、CA认证、指纹认证都需要专用终端认证设备的配合,应用范围受到很大限制,目前较多使用的USK KEY,也需要插入到电脑上,目前拥有大量使用者的电话交易就无法使用。动态密码令牌凡是在可以输入十进制数码的设备上都可以实现,简单使用。
(7) 无缝兼容——系统相对独立,接口简单,易与现有的电子商务站点认证系统对接,采用专用动态密码认证服务器进行认证,保障现有应用系统的完整性,保护系统资源。