面对企业对信息化的依赖,企业内部的业务系统逐渐增多,用户的用户名和密码逐渐增多,为了记忆方便,用户通常采用简单易记忆的用户名和密码,希望用户名和密码越简单越好,例如:用姓名作为用户名和密码,同一个用户名和密码登录不同的业务系统,这样的登录方式如何才能保证用户数据的安全性呢?

     针对这种现象,国家信息安全部《信息安全等级保护条例》提出:双因素身份安全认证,针对这种身份认证有不同的认证方式,(如下图 )

           

        双因素认证基本原理

     密码保护管理系统是采用基于时间同步认证技术的双因素动态密码认证系统。在认证过程中,系统采用的第1要素是只有使用者知道的内容,即静态密码;第2要素是只有使用者才拥有令牌,令牌产生动态密码,密码是变化的,且只能使用一次。令牌可被设计成多种样式,便于用户携带,当用户输入口令时,可先输入记忆中的静态密码,再输入自己掌握的令牌上生成的动态密码。

    每个用户都有一个与众不同的、唯一的身份标志的秘密信息——密钥。令牌被发放给用户时,已经进行了初始化,它存储着用户密钥等参数,同时在认证中心服务器上也存储着每个用户的密钥等信息,令牌和认证服务器所产生的密码在时间上同步。用户登录时使用的密码,就是由固化在令牌上的变换函数产生的。在认证服务器上,也有一个使用相同变换函数的密码生成模块,该模块利用系统数据库中的相应用户信息计算出用户当前的正确密码,若登录密码 = 计算出的当前密码,系统判定正在登录的用户为授权用户;否则,即为非授权用户。

   动态令牌

   令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的动态口令,一般每60秒该动态口令就会自动更新一次,其数字只有对指定用户在特定的时刻有效。用户的密码+令牌的动态口令,使得用户的电子身份很难被模仿、盗用或破坏。

   硬件令牌、短信密码、手机令牌等都需要有种子文件,以确保认证本身的安全性。硬件令牌防水、防摔、防震,符合CE、FC标准。动态令牌具有拆卸自毁内部电路功能,有效保护密钥不会泄露。

   动联系列认证令牌确保用户合法性,保证网络访问安全性。动联认证令牌可以以硬件、移动令牌等多种形式向用户提供。所有动联认证令牌均使用已获专利的相同的算法来完成令牌码的散列和加密功能。

  参考资料:

 http://www.bechstar.com.cn/showproduct.asp?aid=109