近日,国内网络安全的领导厂商——启明星辰信息技术有限公司针对静态口令存在的各种不足,推出了自主研制的天瑶动态口令系统。该系统依据一次性口令机制动态身份认证系统,可以解决网络环境中例如网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试、窥探、社交工程和垃圾搜索等用户身份认证问题,为远程/网络环境中的身份认证提供了一个极佳的解决方案。
天瑶动态口令系统的组成
就该系统的组成而言,动态口令系统又称一次性口令或双因素认证系统,主要由客户端的动态口令卡和安全认证服务器,以及应用程序代理三部分组成。
动态口令卡是发给每个用户的动态口令发生器,通过同步信任认证算法,以时间为参数,每隔16秒/32秒/64秒钟产生一个一次性使用的“动态口令”,而且口令无法预测和跟踪,这就使得用户口令既无法被窃取,而且又能解决常规口令频繁变换所带来的问题。
安全认证服务器是整个系统的核心部分,与应用系统服务器通过网络相连,对所有远程用户对网络的访问进行认证。安全认证服务器拥有完善的自身数据安全保护功能,所有用户数据经加密后存储在数据库中,并具有安全、完备的数据库管理、备份功能;安全认证服务器拥有功能强大的图形化管理界面,提供用户管理、操作员管理、审计管理等全部系统管理功能。安全认证服务器由六部分组成:系统运行模块、用户管理模块、系统通讯模块、系统管理模块、动态口令卡测试模块。
虽说,由安全认证服务器和动态口令卡已经组成了一套完整的认证系统,但认证系统的目的是有效保护某一应用系统的安全,所以动态口令系统必须提供与应用系统的接口。天瑶动态口令系统提供了丰富灵活的应用程序代理(agent),以满足Windows域认证、远程访问、通过VPN的远程访问、Lotus Domino(B/S结构)、各种Unix平台的系统用户管理,以及应用程序接口API等各种常用的应用系统的要求。
随机、灵活的解决方案
该系统构建在安全可靠的数学算法基础之上,并综合考虑了市场、用户等多方面的因素,具有如下特点:
动态口令的随机性:对每个用户不同时间的口令,或不同用户在相同时间的口令,都是随机的,同一用户的相邻时间产生的口令字之间没有相关性,不可能从前一个口令推导出后一个口令。
使用方便灵活:在确保安全的前提下,采用8位密码,而且动态口令卡体积小巧,便于携带。
系统的可靠性:系统的关键数据在数据库中以加密形式存储,并通过完善、周密的密钥管理机制管理数据库主密钥和各级密钥。系统对每个用户的口令连续错误次数都有严格的限制,系统管理员可为每个用户设置一个口令连续错误次数的最大值,当用户连续输入错误口令的次数大于该最大值,系统自动将该用户的帐号锁定。
另外,该系统还具有一定的经济性,这主要表现在算法严谨简洁,对硬件要求低,大大降低了系统成本。并且,通过对各用户的时钟误差进行记录,在一定程度上弥补了对硬件的要求,延长了口令卡的使用期限。
