S2动态令牌身份认证系统产品白皮书Word文档格式.docx

1、（4） 共享性泄密：为了方便，用户会在多个系统中使用相同的口令，因此当有一个系统被破解，那么用户在其它系统的帐号也就危险了。（5） 记录泄密：为避免复杂的、难于记忆的口令被忘记，用户往往会将其记录在纸上或电脑文件中，这记录下来的口令可能会失窃。（6） 可被穷举攻击：由于静态口令在一段时间内保持不变，所以可以被黑客工具长时间地、多电脑地进行穷举分析。（7） 泄密不易发现：当静态口令泄密后，系统和用户都无法及时地获知口令是否已经泄密。只有当造成危害之后、或者查看了日志之后才能确切知道。（8） 不便性：定期更换口令，设置复杂口令，用户容易忘记，一旦口令忘记可能会导致一些不必要的损失和不方便，具有很大

2、隐患。（9） 长期性：静态口令多使用一天就多一天泄密的危险，其危险性与日俱增。从上述可以看出，静态口令认证从客户端到传输媒介，再到服务器端都存在着口令泄密的危险。2动态口令认证动态口令是根据专门的算法生成一个不可预测的随机数字组合的口令，一个口令使用一次有效。动态口令技术用于身份认证，主要具有以下特点：（1）动态性：动态口令牌产生的口令每分钟变化（以时间同步技术的动态口令牌而言）一次，不同时刻使用不同口令登录，每个口令都只在其产生的时间范围内有效。（2）随机性：动态口令每次都是随机产生的，不可预测。（3）一次性：每个动态口令使用过一次后，不能再连续重复使用。（4）抗偷看窃听性：由于动态性和一次

3、性的特点，即使某一个动态口令被人偷看或窃听了，也无法使用。（5）不可复制性：动态口令与口令牌是紧密相关的，不同的口令牌产生不同的动态口令。而且口令牌是密封的，口令牌内密钥数据一旦断电就会丢失。因此也就保证只有拥有口令牌的用户才能使用动态口令，其他用户无法获得，也无法共享。（6）方便性：口令牌随身携带，动态口令显示在口令牌上或手机等设备上，无需再为记忆复杂的、定期更改的口令而烦恼。（7）危险及时发现性：口令牌随身携带，一旦遗失或失窃，就会及时发现、及时挂失，把损失降到最小。（8）抗穷举攻击性：由于动态性的特点，如果一分钟内穷举不到，那么下一分钟就需要重新穷举，因此新的动态口令可能就在已经穷举过的

4、口令中。另外还可以通过系统设置，限制一分钟内用户登录尝试的次数，从而进一步降低穷举攻击的风险。正是因为动态口令认证具有以上特点，其和传统的静态密码配合使用，可以很大地提高用户身份认证的安全。三、动态口令牌认证系统介绍 1 动态口令牌它是分发给最终用户的，用以证明其身份的硬件或软件设备。（样图如图1所示）图1 动态口令牌样图图2 动态口令牌工作原理图动态口令牌的特点和技术参数如下：（1）采用内置高容量锂电池，至少可使用4年以上；（2）电源电压监控模块起到监控和稳定电压的作用，可以根据装置所需电量调节电压的输出；（3）CPU集成抗干扰智能电量调节处理，负责从存储单元中获取参数和方法，把读取到的动态

5、令牌序号因子结合读取到的时间因子，依据特定的OTP算法，计算生成动态口令，并把它输出到段显示驱动器。CPU采用的是超低电压超低功耗微处理器；（4）时间晶振为CPU模块提供时钟信号，采用业界时钟标准晶振；（5）液晶屏采用订制行6位 带时间计量格式屏幕；（6）口令生成装置是基于时间同步的，每60秒钟生成长度为6位数字的新动态口令，使用一次有效。 2动态口令牌认证系统动态口令牌认证系统主要由动态口令认证服务器和动态口令牌两部分组成。图3给出该系统的示意图。动态口令由动态口令牌自动地、动态地产生的。动态口令牌是一个电子动态口令牌（简称：口令牌）。口令牌上的口令每隔一分钟变化一次。在发放口令牌给用户的时

6、候，用户的静态信息被记录在口令认证服务器上，此外还把一部分初始化在口令牌上，另外一部分（比如，用户名）由用户自己记忆。在动态口令认证服务器上安装了动态口令认证系统。用户在服务器的客户端输入自己所记忆的静态用户信息以及口令牌上当前所显示的动态口令，此后服务器上的动态口令认证系统根据用户输入的静态用户信息，动态口令，以及存储在服务器上的用户信息，对用户身份的合法性进行认证。动态口令只能一次有效，使用过的动态口令不能重复使用，因此即使被偷看或窃听了也不会造成很大的危险。另外，虽然口令牌可能会遗失，但是由于还有一部分静态信息由用户记忆记在脑子里的，所以只要口令牌和用户信息不同时失窃，就不会发生重大危险

7、，这正好弥补了静态口令与动态口令各自的缺陷。把动态口令和静态口令结合起来使用，构成了一个双因素口令系统，既保留了静态口令的特性，又增加了动态口令的优点，因此具有双保险的意义。以网上银行为例，如果用户不小心进入了钓鱼网站，即使用户的口令被窃取，由于该口令是随时变化的，因此非法窃取者得到的用户口令也是不能正确使用的，从而保护用户的帐户资金安全。图3 动态口令认证系统示意图 动态口令牌认证系统包含动态口令认证接口和动态口令牌管理系统。动态口令认证接口主要用于与用户现有应用系统的集成，提供动态口令认证功能，增强应用系统用户身份认证的安全性。如可以在应用系统的用户登录部分集成动态口令认证，也可以在用户进

8、行重要操作的位置（如网银转账）集成动态口令认证。动态口令认证接口有两种方式为用户应用系统提供认证服务。一种是与用户应用系统进行紧密集成；另一种是独立于应用系统，成立专门的认证中心，集中提供动态口令认证。 动态口令牌管理系统用于动态口令牌的发放管理，包括：令牌的发放登记；令牌的用户绑定管理；令牌的维护：包括新增令牌，查询令牌，令牌挂失，令牌同步，令牌验证等；以及日志记录及查询等功能。 以下是一些动态口令牌管理系统的部分界面： 图4 新增动态口令牌 图5令牌绑定管理 图6 令牌验证 图7 令牌同步四、主要安全认证技术比较目前安全认证技术主要有动态口令、USB卡、IC卡、磁卡、指纹、虹膜、CA数字证

9、书等。这里需要特别说明的是，除了动态口令认证技术以外，其它所提到的认证技术都可以看作是静态口令认证的一种变体。本节将对这几种主要的认证技术进行安全性与实用性的比较。安全性比较如表1安全认证技术安全性危险性动态口令认证 动态性 随机性 一次性 不可复制性 抗穷举攻击性 抗偷看窃听性 危险及时发现性 丢失性：动态口令牌是可能丢失的，但与静态口令因素结合，可以避免口令牌丢失的危险性，而且因为口令牌随身携带，一旦丢失可以很快得知并挂失。USB卡、智能IC卡、磁卡 随身性：这类卡一般都随身携带，这样可以保证认证信息由用户唯一使用。 随机性：没有特征，无法进行字典分析 静态性：假如其认证信息是静态的，并且

10、没有使用强动态加密传输，那就可能在传输中被截取和重用。卡是可能丢失的。 可穷举攻击：假如其认证信息是静态的，那么可在任意长的时间内进行穷举攻击。 泄密性：可以使用窃听木马程序截取分析卡的读写过程，从而获得卡中的数据。指纹、虹膜 每个人的生物特征很少重复，不可更改。用户的生物特征是不可更改的静态认证信息，如果一旦泄密就可以被非法使用。 复制性：在目前的技术条件下，具有一定的可复制性。用户的指纹会在很多地方留下，很容易被窃取。 误认率与误拒率不能同时为低。CA认证2 公钥私钥机制：由第三方CA认证中心保证公钥的正确性。 随机性、不可逆：没有特征，无法进行字典分析，采用不可逆算法，无法从公钥逆推私钥

11、。用户的数字证书是静态认证信息，如果一旦泄密就可能被非法使用。 用户使用数字证书必须先导入在电脑上，如果在公用电脑上使用之后忘了删除所导入的数字证书，那么非法用户就有机会窃取。 黑客木马程序也能记录用户的数字证书导入口令，然后窃取用户的数字证书。 CA认证中心一般在其服务协议中声明了对因为用户端的数字证书泄密引起的损失概不负责。数字证书一般是保存在软盘、硬盘、USB卡或IC卡中，这些介质有一部分是可以被复制和阅读的、或者在计算机的交互过程中被侦听分析。 非随身性：因为数字证书并非随身之物，当数字证书泄密后用户并不一定能及时知道。 表1实用性比较如表2系统建设和改造的便利性使用的方便性 只要有数

12、字键盘，例：电脑、POS小键盘、电话机等。 只需要在服务器上安装软件，一般不需要在客户端安装软件。 随时随地可以使用，可以在家里、办公室、公众场合使用。USB卡 只能在有USB的电脑上使用。 必须在使用的客户端电脑上安装USB卡读写软件。 不能在没有安装USB卡读写软件的电脑上使用。 不能用于电话委托系统、电视遥控器系统等。智能IC卡 必须在客户端电脑上安装读卡器才能使用。 只能在安装了读卡器的客户端电脑上使用。 读卡器可动部件较多，容易损坏。 必须在客户端安装指纹、虹膜输入设备。 非常便利。 有时候指纹会模糊，有些人天生指纹模糊。 误认率与误拒率不能同时为低，导致正确的用户可能被拒绝。CA认证 必须在使用的客户端电脑上导入用户数字证书，客户端电脑必须支持CA认证，可能还需要安装USB证书驱动。 必须有CA认证中心联网，并且进行复杂用户密钥、有效期、黑名单管理。 只能在导入了用户数字证书的电脑上使用。 最好在家里使用，如果在公众电脑上使用，必须在使用后删除用户数字证书。 最好在保存用户数字证书的电脑上安装防火墙软件，以免网络黑客窃取电脑中的用户数字证书。 表2