基于双因素认证解决方案

一、 网络安全认证的需求背景
     网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况，用户如果只依赖个人密码进行帐户登录或网上交易，是非常危险和不可靠的认证方法。针对这些问题，北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务，对象是那些为企业VPN安全登录、IDC远程访问管理、消费者提供网上交易和服务的网上商户。他们只要安装了中科恒伦的双因素认证系统，便能为其客户提供身份认证服务，使其消费者日后能以简单轻松的方法，随时随地享受网上服务。IT管理员或者终端消费者也不用再终日提心吊胆，网上商户因此能与其客户建立更亲密和信任的关系。 
二、   现存主要的身份认证技术分析 
目前，计算机及网络系统中常用的身份认证方式主要有以下几种：
1．用户名/密码方式 
    用户名/密码是最简单也是最常用的身份认证方法，是基于“what you know”的验证手段。每个用户的密码是由用户自己设定的，只要能够正确输入密码，计算机就认为操作者就是合法用户。出于对安全的要求，要求用户定期更改密码，且不能重复，而实际上，由于许多用户为防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样就容易造成密码泄漏。即使能保证用户密码不被泄漏，由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，从安全性上讲，用户名/密码方式是一种极不安全的身份认证方式。
2．智能卡认证 
    智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证是基于“what you have”的手段，能过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。
3．动态密码认证 
    动态密码认证是一种基让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。其技术是基于动态令牌的，密码生成芯片运行专门的密码算法，根据当前时间生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份 。 
4．生物识别技术 
    生物识别技术主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动验证的生理特征或行为方式。生物特征分为身份特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、DNA等；行为特征包括：签名、语音、行走步态等。基于生物特征的身份认证机制容易受外界因素影响(如噪声、位置、方向以及光照的变化或主体本身的特征改变)，使得在提取生物特征或进行匹配时产生困难。此外，所有基于生物特征的识别技术是利用提取的生物特征数据作为识别码，因而在传送中易被非法截获，而且生物特征识别技术的成本较高。  
三．北京中科恒伦科技有限公司的基于动态令牌的双因素身份认证解决方案 
   北京中科恒伦科技有限公司 是一家提供消费者身份认证解决方案的公司，专为网上商户如网上银行、IDC服务器和交换机管理、VPN安全登录认证、电子商务、网游公司等服务，向其客户提供双因素身份认证服务，让消费者能随时、随地享受安全和方便的网上交易服务。
1．CKEY令牌 
    CKEY消费者身份认证服务采用业界知名的硬件令牌和技术，CKEY令牌 采用时间同步技术，实现 每 60 秒时间变动一次密码。每一令牌有一个唯一的种子，根据行业标准 运算法则每 60 秒时间就产生一次新的密码。因为产生的密码是不可预测、动态的，使黑客很难在任一时间内测出正确的密码。这项技术把身份认证设备和服务器相联系匹配，从而保证了其高度的安全性。只要你考虑到重要的信息资源暴露的风险性，你就会认为这种保护是必不可少的。 
    CKEY硬件令牌 的使用就如同输入个人密码一样简单，但是要安全得多。每一个最终使用者都会被发到一个令牌，这个令牌每 60 秒产生一个一次性密码。在登陆时，用户输入个人的原有密码（静态密码）后，再输入令牌上显示的动态密码，实现安全的双因素身份认证保护。  
    动态令牌的特点：
使用直观、简易及一次性口令； 
令牌内电路不可读，无法破解、篡改和复制； 类似信用卡大小，容易携带； 清晰可读的LCD显示屏； 
每60秒钟自动产生无法预测的单次使用存取密码； 
每张卡自带唯一128位种子号，并且和认证服务器时间同步； 无须其他读取设备； 防水性强； 防静电性强； 防震性强。 
2．认证服务器 
认证服务器可以实现以下功能： 
企业认证：保证登录的用户确实为授权的个体，大大降低攻击和非法访问的风险  访问控制：自定义访问权限，保护对专用网络系统、文件及应用的访问  规避攻击：识别非法用户接入网络，并有效防范。 
用户责任：访问历史日志保证用户不会被任何非法访问事件所牵连  
3．代理软件 
实现这种强大的认证功能的中间代理软件的功能类似于保安人员，用来实施SAE/Server系统建立的安全策略。SAE/API是一种设备专用代理软件，已经内置在大多数业内主流的网络设备和浏览器以及Web服务器软件系统中，允许安全管理员通过鼠标点击，而不是编写代码，为用户和保护的资源选择和应用相应的设置。 中间代理软件的特点是: 
●提供天衣无缝的集成，不需要安装客户端软件 
●现有的主流网络设备已预装。CKEY拥有最广泛的全球身份认证合作伙伴, 共有170家236种产品支持CKEY SecurID, 如Cisco，3Com, 华为A8010，Alcatel等等。 
●支持现有的大多数主流平台。CKEY支持Sun Solaris, IBM AIX, HP-UX ，SunOS，IRIX.BSDi,Free,BSD,Redhat LINUX, OS/390, OS/400, Dec Unix, Unisys, SGI, MAC OS, DG/UX, Netware, Palm OS, Rocket z/OS等操作系统的认证保护.  
●支持Mircrosoft RAS远程访问认证。 
●CKEY支持Microsoft IIS, iPlanet, Apache, Lotus Domino Web Server等Web服务器. 
●易于配置、运行。 
4．中科恒伦双因素身份认证解决方案的优势 
    与UTC时间同步 ：令牌时钟和认证服务器系统时钟同步化为UCT（格林威治标准时间 ） 有效令牌窗口和时钟漂移调整 ：适用于认证令牌中的时钟略为偏离认证服务器的时间相位的情况 。 
与认证服务器（SAE/Server）进行散列通信 
认证服务器的灾难恢复能力 ：通过网络连接恢复必要的数据到从认证服务器  
动联并发动态令牌认证引擎：单台认证服务器并发认证数达到1000以上，需大量并发认，可采用集群方式，进行自动的认证服务器负载.