认证江苏网通

江苏网通时间同步双因素身份认证系统的建设与应用孙前明周斌(中国网络通信集团苏州市分公司215011)1前言目前,网络数据窃听、认证信息的截Ira重放、口令破解、字典攻击、暴力破解、键盘监控、员工滥用等恶意或非恶意的行为都对网络安全构成了严重的威胁,而这些行为产生的根源就在于人们使用的密码是长期/7<变的,更由于记忆和使用的烦琐,人们大量使用简单密码或单因素身份认证,给网络资源的管理和维护带来了更多的隐患.
为进一步提高IP城域网核心路由器、汇聚交换路由器的安全性,我公司决定建设双因素身份认证系统.
2双因素身份认证的定义及类型双因素身份认证是指在单一的记忆因素(固定口令)认证基础上结合第二物理认证因素,以使认证的确定性按指数递增.
其中,物理认证因素包括磁卡、条码卡、IC卡和指纹等.
目前,双因素身份认证方法在网络中已广泛采用.
在实现方式上,通常采Ira口令认证与其他认证方法相结合.
下面简单介绍现阶段流行的4种认证方法.
(1)生物识别方法即利用操作人员的身体生物特征作为在网络上识别身份的要素.
(2)智能卡识别方法即每个系统用户都持有一张智能卡,卡内存放系统预置的电子证书,当用户访问系统时,需将智能卡插入到终端的智能卡读写器中.
由于智能卡内存储的信息不能复制,因此具有很高的安全性.
(3)时间同步动态口令方法固:兰:鱼:旦{昱雹|l童i即每个系统用户都持有一个时间同步动态口令计算器(计算器内置时钟种子密钥和加密算法),该计算器可以每分钟动态生成一个一次性有效的口令,当用户需要访问系统时必须将计算器生成的动态口令与静态口令结合在一起,由此形成的口令上传到中心认证系统,认证中心不仅要核对用户的静态口令,同时还将根据当前时间和该用户的种子密钥计算出该用户当前的动态口令并进行核对(中心认证系统和动态口令计算器的时钟保持同步,因此在同一时刻中心认证系统可以计算出相同的动态口令).
由于每个用户的种子密钥不同,因此不同用户在同一时刻的动态口令也不同;而且该口令只在当时有效,不用担心被他人截Ira.

(4)挑战应答动态口令方法即每个系统用户都持有相应的挑战应答令牌,令牌内置种子密钥和加密算法,当用户需要访问系统时,认证系统首先提示输入用户名和静态口令,认证通过后系统N-下传一个中心系统随机生成的挑战数(通常为一个数字串),用户将该挑战数输入到挑战应答令牌中,挑战应答令牌利用内置的种子密钥和加密算法计算出相应的应答数,通常也是一个数字串.
用户将该数字串作为应答数上传给认证中心.
认证中心根据该用户在认证中心保存的种子密钥和同样的加密算法计算出应答数,并将其与用户上传的应答数比较,若两者相同则允许该用户访问系统,否则拒绝用户的登录请求.
上述4种认证方法,生物识别方法,~Ji:JN的设备目前造价比较高,而且/7<方便移动用户使用;智能卡识别方法需要用户在终端上配备相应的智能卡读写器;时间同步动态口令方法具有很高的安全性,操作简单、携带方便,但时间要求严格维普资讯http://www.
cqvip.
com暖E同步;挑战应答动态口令方法虽然操作过程相对复杂,但是算法先进、加密传输,是真正安全可靠的认证方法.
综合考虑各种因素,我公司决定采用时间同步动态口令方式作为双因素身份认证系统的认证机制.
3时间同步双因素身份认证系统时间同步双因素身份认证系统主要由认证服务器(主服务器)、后备服务器(从服务器)、管理工作站、认证代理和动态口令牌5部分组成.
3.
1认证服务器它是认证系统的核心,是与客户服务器协同工作并提供动态口令卡身份认证技术的专用网络服务器,它同时也完成存储和管理用户数据的功能.
认证服务器中有密钥保护卡,用来产生随机的用户密钥.
网络管理员对认证服务器进行管理,可以实现下列功能:·向信任的个人发放认证令牌;·设置并实施安全策略,保护对专用网络系统文件及应用的访问,其中包括根据每天的访问时间、根据小组或用户来定义认证方式和权限;·创建用户访问日志;·定义和报告认证报警,如某个用户访问失败次数超过定义次数、非系统合法用户访问系统;·热备份,即通过使用备份服务器实现认证服务器热备份.
3I2后备服务器(从服务器)后备服务器是对认证服务器的完全备份,它能够在认证服务器发生故障或检修时及时接管认证工作.
3.
3管理工作站它提供认证服务器的管理界面,便于网络管理员实现系统维护和用户管理.
通过管理工作站,网络管理员可以进行网络配置、动态口令牌分发、删除、用户信息修改、用户口令修改、服务统计和用户查询、日志等操作.
3I4认证代理它通过控制对公司网住投络设备、主机系统、数据库、0A、应用营业交易系统、web应用等的访问,使得更加安全的电子商务和网络管理与应用成为可能.
作为认证服务器的代理软件,认证代理能截取访问请求,要求指定用户或组织(无论是本地的还是远程的)在获得被保护资源的访问权之前,通过一个认证令牌向认证服务器表明身份.
网络系统中,每个受保护的资源都必须运行或支持认证代理.
3.

5动态口令牌它产生动态口令,用于用户登录、识别用户身份.
认证令牌可以以硬件、软件和智能卡等多种形式向用户提供.
口令卡与服务器基于H,/间同步,在口令卡中动态植入用户身份密钥,采用单向加密函数对时间和用户身份密钥进行加密,对结果进行动态截取,并以明文的形式在显示屏上显示结果.
4系统建设方案4.
1系统的网络拓扑此次我们选用了联创公司的H,/间同步双因素身份认证系统(以下简称LTFAS系统).
整个系统的网络拓扑如图1所示,13个分公司均配置华为或思科路由交换机作为省公司IP网络的汇聚节点,在省公司核心机房安装主、备用认证服务器和管理工作站,管理员根据各分公司的权限添加普通用户和发放动态口令卡.
4I2LTFAS系统的t作流程U、FAS系统工作流程如图2所示,用户根据管理员分配的用户名和静态密码、当前动态口令认证代理认证代理认证代理认证代理图1LTFAS系统的网络拓扑l从).
.
.
'.
.
,.
w.
.
.
v.
.
v.
.
v.
.
.
.
.
.
'.
L-.
.
t.
.
.
m.
.
c.
.
.
.
o.
.
.
.
m.
.
.
c.
.
.
.
n.
.
.
.
.
.
[].
.
——维普资讯http://www.
cqvip.
com用户登录图2LTFAS系统工作流程卡密码登录路由器,向路由器请求密码认证,路由器接受请求后向认证服务器发送Radius认证报文,认证服务器接受请求后将接收到的密码和服务器自动产生的密码进行比较,再将认证的结果反馈给路由器,最终在用户终端上显示.
如果密码相同,则进入路由器全局配置模式;否则,要求重新输入用户名和登录密码.
4.