安盟動態(tài)口令認(rèn)證系統(tǒng)產(chǎn)品說明書.doc

《安盟動態(tài)口令認(rèn)證系統(tǒng)產(chǎn)品說明書.doc》由會員分享，可在線閱讀，更多相關(guān)《安盟動態(tài)口令認(rèn)證系統(tǒng)產(chǎn)品說明書.doc（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

安盟動態(tài)口令身份認(rèn)證系統(tǒng) 產(chǎn)品說明文檔 1 動態(tài)口令身份認(rèn)證系統(tǒng)原理 在傳統(tǒng)的靜態(tài)口令驗證系統(tǒng)中 由于口令為 一次設(shè)置 重復(fù)使用 由于口令的重復(fù)使用而增 加了口令丟失和破解的危險性 降低了系統(tǒng)的安全系數(shù) 特別是在互聯(lián)網(wǎng)環(huán)境下 黑客 木馬和病 毒泛濫 使得靜態(tài)口令更加容易被泄露 造成企業(yè)信息系統(tǒng)和資源的非授權(quán)訪問 導(dǎo)致直接經(jīng)濟損 失和間接的信譽和商譽損失 所以 除了用戶記憶的靜態(tài)口令外 還需要增加一個物理因素 如令牌 這樣采用你所知道的 記憶的靜態(tài)密碼 和你所擁有的 令牌 兩個要素構(gòu)成有效密碼 實現(xiàn)嚴(yán)格身份信息驗證 而你 所擁有的要素必須具有不可復(fù)制和篡改的性能 動態(tài)口令認(rèn)證即是依據(jù)上述原理實現(xiàn)的雙因素強身份認(rèn)證系統(tǒng) 1 本系統(tǒng)以令牌作為信物 實現(xiàn)雙因素認(rèn)證 令牌顯示依據(jù)種子密鑰和時間隨機計算的動態(tài) 口令 具有不可復(fù)制和篡改的性能 而后臺認(rèn)證系統(tǒng)認(rèn)為 只有持有令牌才可能輸入正確 的密碼 反過來說 只要輸入了當(dāng)前時間點的正確密碼 就可以認(rèn)為持有可信的要素 即 令牌 用戶登錄時 必須同時驗證靜態(tài)口令 稱之為 PIN 碼 和動態(tài)口令 只有兩者均正 確時才能確認(rèn)用戶身份 2 令牌與服務(wù)器之間的同步 令牌和認(rèn)證服務(wù)器一般以密鑰和時間為基礎(chǔ) 每隔一定時間 常見為 60 妙 就計算出一個口令 由于令牌和認(rèn)證服務(wù)器雙方都共享了對稱密鑰 時間 因子和計算方法 所以計算出來的口令就是同步的和唯一的 3 一次一密 令牌上顯示的密碼只有在當(dāng)前時間點有效 且使用一次即失效 實現(xiàn)高強度的 安全性 系統(tǒng)的部署結(jié)構(gòu)如下 解決的主要問題 1 密 碼 安 全 管 理 問 題 實 現(xiàn) 不 依 賴 于 客 戶 端 安 全 意 識 和 安 全 習(xí) 慣 可 控 的 安 全 性 用 戶 也 免 于 設(shè) 置 復(fù) 雜 密 碼 記 憶 并 定 期 更 新 之 苦 2 密碼每分鐘變化 只在當(dāng)前時間點有效 且使用一次即失效 即使黑客在傳輸過程當(dāng)中截 獲或竊聽了 只有在一分鐘之內(nèi)解開 且解開之后 必須先于用戶或管理員進(jìn)入系統(tǒng)才構(gòu) 成威脅 這幾乎不可能 大大加強了應(yīng)用系統(tǒng)的安全性和可靠性 3 通過安盟認(rèn)證器的日志審計系統(tǒng)可以對所有登錄用戶的信息進(jìn)行記錄 如用戶的登錄時間 登錄的用戶名 使用的哪一塊令牌 從而很快可以確認(rèn)用戶的身份 2 技術(shù)標(biāo)準(zhǔn) 信息技術(shù) 安全技術(shù) 實體鑒別 第一部分 概述 GB T 15483 1 1999 信息技術(shù) 安全技術(shù) 實體鑒別 第二部分 采用對稱加密算法的機制 GB T 15483 2 1997 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第二部分 安全功能要求 GB T 18336 2 2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 第三部分 安全保證要求 GB T 18336 3 2001 計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB 17859 1999 中國人民銀行計算機通信網(wǎng)絡(luò)總體技術(shù)規(guī)范 3 安盟身份認(rèn)證系統(tǒng)組成 整個安盟身份認(rèn)證系統(tǒng)由三部分組成的 如下圖所示 安盟 SecurID 雙因素身份構(gòu)造圖 1 安盟 SecurID 身份認(rèn)證令牌 它是分發(fā)給最終用戶的 用以證明其身份的硬件或軟件設(shè)備 是安盟雙因素身份認(rèn)證的一個因 素 您所持有的 產(chǎn)生一分鐘變化一次的動態(tài)令牌碼 簡單易用 便于隨身攜帶 令牌每一分鐘生 成一個唯一識別用戶的 無法預(yù)知的動態(tài)一次性口令 其硬件和軟件版本都具有防篡改能力 如果 某個用戶提供了一個正確的令牌代碼 就可以高度確信該用戶就是擁有安盟 SecurID 身份認(rèn)證令牌 的合法用戶 每個身份認(rèn)證令牌擁有一個唯一的種子號 種子號是區(qū)分身份認(rèn)證令牌的根本方法 一個用戶可以綁定多個身份認(rèn)證令牌 最多三塊 安盟公司提供的身份認(rèn)證令牌在產(chǎn)品設(shè)計 生產(chǎn) 運輸?shù)冗^程中嚴(yán)格按照國際標(biāo)準(zhǔn)執(zhí)行 產(chǎn)品 符合 ISO 13491 1 銀行 安全加解密設(shè)備 ISO 8732 密碼生成 ANSI 9 32 數(shù)據(jù)加密標(biāo)準(zhǔn) ISO 11568 密匙管理 ISO 9797 消息認(rèn)證碼 MAC 以及 EN61000 6 2 標(biāo)準(zhǔn) Method RS101 MIL STD 461D EN55022 標(biāo)準(zhǔn) ISO7816 1 等 安盟身份認(rèn)證令牌的技術(shù)參數(shù)如下 年誤差不超過 30 秒 種子長度為 128 位 工作極限溫度 20 70 工作濕度范圍 5 90 工作海撥范圍 0 到 4000 米 可抗 1M 的自由跌落 防高頻輻射能力達(dá)到 EN61000 6 2 標(biāo)準(zhǔn)的要求 防低頻輻射能力達(dá)到 Method RS101 MIL STD 461D 標(biāo)準(zhǔn)的要求 信號輻射達(dá)到 EN55022 標(biāo)準(zhǔn)的要求 安盟硬件令牌的耐化學(xué)性 耐紫外線 耐磁 耐靜電等物理特性達(dá)到 ISO7816 1 標(biāo)準(zhǔn)的要 求 2 安盟身份認(rèn)證代理軟件 安盟身份認(rèn)證代理軟件就象安全衛(wèi)士 可以用它來保護(hù)各種網(wǎng)絡(luò)設(shè)備 計算主機平臺和應(yīng)用系 統(tǒng) 安盟身份認(rèn)證代理軟件能夠保護(hù) NT 域及 UNIX 服務(wù)器 大型機 中型系統(tǒng)和一系列傳統(tǒng)主機上 的資源 它已經(jīng)嵌入到了目前大多主流網(wǎng)絡(luò)設(shè)備中 并且支持多種應(yīng)用平臺上開發(fā)的系統(tǒng) 安盟身 份認(rèn)證代理軟件實施安盟身份認(rèn)證服務(wù)器軟件建立的安全策略 在用戶和被保護(hù)的資源和設(shè)備之間 通過安盟身份認(rèn)證服務(wù)器軟件來強制實施雙因素認(rèn)證 要求指定用戶或組織在獲準(zhǔn)訪問被保護(hù)的企 業(yè) Intranet 資源之前 通過一個安盟 SecurID 身份認(rèn)證令牌向安盟身份認(rèn)證服務(wù)器軟件證明其合法 身份 在用戶和被保護(hù)資源及設(shè)備之間 通過安盟身份認(rèn)證服務(wù)器軟件強制實施雙因素身份認(rèn)證 安盟身份認(rèn)證代理軟件與安盟身份認(rèn)證服務(wù)器軟件之間的通信是通過加密傳輸?shù)?是公共密鑰技術(shù) 的自然補充 對于保護(hù)寶貴的或受限的信息尤為有效 現(xiàn)有的主流網(wǎng)絡(luò)設(shè)備已預(yù)裝 具有較強的互 操作性 支持現(xiàn)有的大多數(shù)主流平臺 配置過程簡單 易于安裝 運行 安盟身份認(rèn)證代理軟件 API SDK 使用戶能夠創(chuàng)建定制代理 從而保護(hù)其他面向特定的內(nèi)部應(yīng)用 3 安盟身份認(rèn)證服務(wù)器軟件 安盟身份認(rèn)證服務(wù)器軟件是安盟 SecurID 雙因素身份認(rèn)證解決方案中的安全服務(wù)器 包括三個 主要部分 包含用戶 令牌和客戶機信息的數(shù)據(jù)庫 身份認(rèn)證引擎以及一個管理程序 安盟身份認(rèn) 證服務(wù)器軟件用來在選定的網(wǎng)絡(luò)資源周圍建立一個保護(hù)環(huán)境 對要求訪問企業(yè) Intranet 資源的各種 用戶進(jìn)行身份認(rèn)證 除了處理用戶的訪問請求認(rèn)證 安盟身份認(rèn)證服務(wù)器軟件還可進(jìn)行企業(yè)網(wǎng)安全 策略管理 它提供了集中式安全管理能力 向信任的個人簽發(fā)認(rèn)證令牌證 設(shè)置并實施安全策略 保護(hù)對專用網(wǎng)絡(luò)系統(tǒng) 文件及應(yīng)用的訪問 其中包括可以根據(jù)每天的時間 星期幾或根據(jù)小組或用 戶定義的權(quán)限來確定訪問權(quán)限 創(chuàng)建用戶訪問日志 進(jìn)行審計跟蹤 定義和報告報警情況 如某個 網(wǎng)絡(luò)端口訪問失敗重試次數(shù)等 安盟身份認(rèn)證服務(wù)器軟件可運行于多種服務(wù)器平臺上 能夠提供強 大的認(rèn)證服務(wù) 4 安全性與可靠性說明 4 1 安全性保證 1 雙因素認(rèn)證機制 安盟雙因素認(rèn)證系統(tǒng)采用雙因素認(rèn)證機制來鑒別用戶身份 用戶登錄時 除了一個記憶在頭腦 中的口令外 還必須提供他擁有的令牌上顯示的動態(tài)密碼 只有同時使用正確的用戶 PIN 碼和用戶 本人的動態(tài)口令才有可能登陸 使安全性大大提高 2 動態(tài)密碼的唯一性和安全性 安盟身份認(rèn)證系統(tǒng)采用偽隨機算法 取當(dāng)前時間和種子密鑰產(chǎn)生動態(tài)密碼 其中當(dāng)前時間為同 步因子 種子密鑰是為了保證動態(tài)密碼的唯一性和隨機性的因子 時間相當(dāng)于公鑰 種子密鑰相當(dāng) 于私鑰 因此保證種子密鑰的唯一性和隨機性是關(guān)鍵 安盟身份認(rèn)證系統(tǒng)采用如下方法生成種子密 鑰和生命周期安全管理 1 安盟公司應(yīng)用私有隨機算法產(chǎn)生 100 億個隨機數(shù)記錄在數(shù)據(jù)庫 該隨機數(shù)應(yīng)用私有隨機算 法保證其隨機性和不可預(yù)測性 隨機數(shù)生成時包含唯一連續(xù)的種子密鑰序列號 以此來保 證其唯一性 該數(shù)據(jù)庫中的記錄數(shù)量足夠安盟公司使用 100 年以上 可以保證在足夠長的 時間內(nèi)不必循環(huán)使用數(shù)據(jù)庫中的隨機數(shù) 2 生產(chǎn)時 從上述數(shù)據(jù)庫中抽取生產(chǎn)訂單需要數(shù)量的隨機數(shù)記錄 抽取完后自動從數(shù)據(jù)庫中 刪除抽取過的隨機數(shù) 然后采用國密局 128 位的 SM3 雜湊算法對抽取的隨機數(shù)進(jìn)行循環(huán) 加密 生成種子密鑰 該加密算法具有不可逆性 保證種子密鑰的安全性 3 生產(chǎn)訂單的一批種子密鑰生成后 通過私有加密算法加密打包 只有最終用戶通過電話核 實必要的信息后 才能獲得密碼解密 保證物流過程中的種子密鑰安全 4 種子密鑰一經(jīng)導(dǎo)入安盟身份認(rèn)證系統(tǒng) 不可導(dǎo)出 并強烈建議用戶將種子密鑰光盤和解密 密碼保存在足夠安全的地方 如保險柜等 保證在用戶處種子密鑰的安全管理 安全性方面 動態(tài)口令為 6 8 位 因此 同一時間產(chǎn)生相同動態(tài)口令的概率為 10 8 到 10 6 考慮 到用戶 4 8 位的 PIN 碼 同一時間產(chǎn)生相同雙因素動態(tài)口令的概率將下降為 10 16 到 10 10 據(jù)此概率 加上有限的時間窗口 一般為 3 分鐘 可以保證動態(tài)密碼不可預(yù)測和破解 具有足夠的安全性 同時 令牌或者手機號碼 SIM 卡 是不可復(fù)制和篡改的可信的第二身份信息要素 與相應(yīng)的 賬戶名綁定 這一動態(tài)密碼根據(jù)時間而變化 每 60 秒生成一個不同的動態(tài)密碼 且只在當(dāng)前事件窗 口有效 通過后臺認(rèn)證服務(wù)器認(rèn)證其有效性 如果某個用戶提供了一個正確的動態(tài)口令 就可以高 度確信該用戶即是擁有唯一第二身份要素的合法用戶 3 一次一密認(rèn)證機制 認(rèn)證服務(wù)器對訪問服務(wù)器送來的動態(tài)密碼 進(jìn)行一次一密認(rèn)證 即使黑客通過工具截獲使用過 的動態(tài)密碼 安盟身份認(rèn)證系統(tǒng)也有效防止口令的重發(fā)攻擊 安盟雙因素身份認(rèn)證產(chǎn)品提供了身份鑒別失敗的處理功能 當(dāng)用戶以失敗的身份鑒別嘗試達(dá)到 規(guī)定的數(shù)值時 能夠及時終止用戶與系統(tǒng)之間的會話過程 將用戶帳號鎖定 同時在系統(tǒng)登錄日志 中對身份鑒別失敗事件進(jìn)行審計跟蹤 只有以授權(quán)的身份才能對審計跟蹤信息進(jìn)行修改和刪除 安盟雙因素身份認(rèn)證產(chǎn)品提供了有效鑒的鑒別信息 包括用戶名和動態(tài)密碼 每個授權(quán)用戶都 有唯一的用戶名和唯一的動態(tài)密碼密鑰 用戶的動態(tài)密碼是通過該密鑰生成 為一次性的口令 且 不可預(yù)知和偽造 4 加密數(shù)據(jù)庫 安盟動態(tài)口令身份認(rèn)證系統(tǒng)采用加密數(shù)據(jù)庫 確保賬戶信息和種子密鑰的安全性 安盟動態(tài)口令身份認(rèn)證系統(tǒng)數(shù)據(jù)庫只可通過規(guī)定的接口進(jìn)行訪問 5 加密傳輸協(xié)議 安盟動態(tài)口令身份認(rèn)證系統(tǒng)與受保護(hù)的資源 SSL VPN 和應(yīng)用系統(tǒng)等 之間采用加密傳輸協(xié)議 保證數(shù)據(jù)傳輸過程中的安全 4 2 可靠性保證 1 雙機熱備機制 安盟身份認(rèn)證系統(tǒng)支持雙機熱備機制 建議部署兩臺安盟身份認(rèn)證服務(wù)器 一臺為主服務(wù)器 另一臺為備份服務(wù)器 這樣任何一臺服務(wù)器的死機不會影響整個認(rèn)證過程 同時 最新的安盟身份 認(rèn)證代理軟件會自動尋找相應(yīng)最快的安盟身份認(rèn)證服務(wù)器服務(wù)器 認(rèn)證請求會送到較快的認(rèn)證服務(wù) 器處理 既實現(xiàn)了容錯 以及自動負(fù)載均衡處理 安盟身份認(rèn)證服務(wù)器可以運行于 Solaris AIX HP UX 和 Windows 操作系統(tǒng)平臺上 2 災(zāi)難恢復(fù)能力 如果認(rèn)證服務(wù)器無法工作的話 所有人員均不能夠訪問到任何受保護(hù)的網(wǎng)絡(luò)資源 對于需要可 持續(xù)工作網(wǎng)絡(luò)資源的企業(yè)來說 安盟身份認(rèn)證服務(wù)器支持 HP ServiceGuard 和 IBM HACMP 兩款高可 用硬件平臺 一旦從認(rèn)證服務(wù)器失效 安盟身份認(rèn)證服務(wù)器提供叫做 DB Push 的災(zāi)難恢復(fù)機制 在 從認(rèn)證服務(wù)器硬件恢復(fù)正常以后 可以使用 DB Push 工具通過網(wǎng)絡(luò)連接恢復(fù)必要的數(shù)據(jù)到從認(rèn)證服 務(wù)器 3 近 10 年高端行業(yè)用戶的成功應(yīng)用 安盟身份認(rèn)證系統(tǒng)產(chǎn)品經(jīng)過了市場近 10 年的檢驗 在電力 銀行 電信運營商 證券等眾多高 端行業(yè)客戶都有大量的成功應(yīng)用 是系統(tǒng)成熟性與可靠性的有力佐證 5 信息安全產(chǎn)品認(rèn)證資質(zhì) 公安部頒發(fā)的計算機信息安全專用產(chǎn)品銷售許可證 國家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測證書 中國國家計算機信息安全產(chǎn)品評測認(rèn)證中心的產(chǎn)品型號證書 國家密碼管理局頒發(fā)的商用密碼產(chǎn)品生產(chǎn)定點單位證書 英國 BSI 頒發(fā)的 ISO9001 質(zhì)量管理體系認(rèn)證證書