坚石诚信科技股份有限公司冲击响应身份认证解决方案(ET99)北京坚石诚信科技股份有限公司2008-6-10坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn2目前,网络上的身份认证手段主要有以下几种方法:用户名/密码、IC卡、生物特征、动态口令、USBKey等,这里介绍一种既简单又不失安全性的认证方式——冲击响应认证模式,这种认证模式是基于USBKey的.
USBKey是一种USB接口的小巧的硬件设备,形状与我们常见的U盘没有什么两样.
但它的内部结构不简单,它内置了CPU、存储器、芯片操作系统(COS),可以存储用户的密钥,利用USBKey内置的密码算法实现对用户身份的认证.
每一个USBKey都具有硬件PIN码保护,同时在硬件中会存储密钥,所以PIN码和硬件构成了用户使用USBKey的两个必要因素.
用户只有同时取得了USBKey和用户PIN码,才可以登录系统.
即使用户的PIN码被泄漏,只要用户持有的USBKey不被盗取,合法用户的身份就不会被仿冒;如果用户的USBKey遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份.
USBKey内置单向散列算法(MD5),预先在USBKey和服务器中存储一个证明用户身份的密钥,当需要在网络上验证用户身份时,先由客户端向服务器发出一个验证请求.
服务器接到此请求后生成一个随机数回传给客户端PC上插着的USBKey,此为"冲击".
USBKey使用该随机数与存储在USBKey中的密钥进行MD5运算得到一个运算结果作为认证证据传送给服务器,此为"响应".
与此同时,服务器使用该随机数与存储在服务器数据库中的该客户密钥进行MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户.
下面以ET99USBKey的ASP示例为例具体说明冲击响应的身份认证过程:1、欲使用ET99USBKey做冲击响应的身份认证首先需要设置ET99USBKey的属性,修改PID等.
坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn3"硬件PID":ET99的产品标示,默认8个F,通过种子码算法产生,种子即是在"PID种子"中输入的.
"SOPIN码":管理员PIN码,开发商保存,可用于对USERPIN的解锁等,通过种子码算法产生,默认16个F.
"USERPIN":用户PIN码,字符限制"0-9,A-F",外壳加密中需要验证,同时读写数据需要该PIN码验证通过,默认16个F.
"新的USERPIN码":用户根据自己的需要设置,注意字符的限制.
"PID种子":用于产生PID的种子,长度在1-51字节范围内.
"SOPIN种子":用于产生SOPIN的种子,长度在1-51字节范围内.
"请选择设置项":用户根据自己的需要,选择需要修改的属性.
"设置":设置完成点击设置按钮,提示设置成功.
坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn4用户需要记住"新的SOPIN"和"新的硬件PID".
2、设置完成之后,在ET99USBKey中设置密钥,该密钥仅用于计算,不可读取,这样的设计保证了密钥的安全.
"硬件PID":ET99的产品标示,默认8个F,通过种子码算法产生,种子即是在"PID种子"中输入的.
"USERPIN":用户PIN码,字符限制"0-9,A-F",即是前面提到的硬件PIN码,默认16个F.
"Key":用于计算的密钥,此密钥不可读取,只能用于计算.
"ConfirmKey":再次输入密钥以确认.
"OK":设置完成点击,提示成功可进行下面操作.
设置成功后会在相同目录下生成user.
txt文件,用于存储用户信息和密钥,坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn5该文本文件在ASPDemo测试中被模拟为服务器端数据库,开发商在实际开发过程中需要将用户信息和密钥写入到系统数据库中,以备验证时使用.
3、因为ET99USBKey都是通过客户端脚本语言访问硬件,所以首先需要在客户端注册组件,注册方式可以选择手动注册、网页安装或者使用我们提供的一个exe安装.
4、在logon.
asp文件中,首先通过FindToken、OpenToken函数查找并打开ET99,然后验证PIN码并获取ET99的硬件序列号,此序列号唯一,最后在调用硬件MD5函数完成客户端的计算.
Logon.
asp详细代码如下:chPid=TheForm.
TokenPid.
Valuetokencount=ET99.
FindToken(chPid)IfErrThenShowErr"NotfoundET99"ShowErrDigestValidate=falseExitfunctionElseET99.
OpenTokenchPid,1IfErrthenShowErr"OpenET99failed.
"Validate=falseExitfunctionEndifET99.
VerifyPIN0,TheForm.
UserPIN.
ValueIfErrThenShowErr"VerifyUserPINFailure!
!
!
"Validate=falseET99.
CloseToken坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn6ExitfunctionEndIfdimresultsresults="01234567890123456"results=ET99.
GetSNIfErrThenShowErr"GetSNfail!
"ET99.
CloseTokenExitfunctionEndIfIfNotbErrThenDigest=ET99.
MD5HMAC(1,,20)IfErrThenShowErr"HashTokencompute"Validate=falseET99.
CloseTokenExitfunctionEndIf在硬件MD5计算中,第一个参数为密钥指示,"1"代表取第一个单元的密钥,在做身份认证时这个参数固定为"1".
第二个参数为待加密的数据,这里使用随机数,这样保证了每次验证的过程产生的散列结果都不相同,同时这个随机数也需要传送到服务器端参与计算.
第三个参数为待加密数据的长度,这里即是随机数的长度.
5、在服务器端首先通过CreateObject方法创建一个对象实例,然后调坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn7用软件MD5计算,产生服务器端的散列结果,这是将客户端计算传来的散列结果拿来做比较,如果结果相同,说明当前用户是合法的,如果不同,则说明用户不合法或者是密钥不正确.
Verify.
asp实例代码如下:IfbErr=0ThenSetS=Server.
CreateObject("ET99_FULL.
ET99Full.
1")ServerDigest=S.
Soft_MD5HMAC(1,RandomData,PasswordInFile)ServerDigest=CStr(ServerDigest)IfServerDigestClientDigestThenbErr=4'Passworderror.
EndIfSetS=NothingEndIf在软件实现MD5计算中,第一个参数是标志位,"0"表示MD5计算用于产生能够存储在ET99硬件中的密钥,"1"表示MD5计算用于产生服务器端散列结果,第二个参数"RandomData"即是待加密数据,参与MD5计算的随机数,第三个参数"PasswordInFile"存储在数据库中的密钥.
6、使用坚石公司为您提供的ASPDemo测试冲击响应的身份认证.
测试ASPDemo时需要预先安装IIS服务并建立虚拟目录.
坚石诚信科技股份有限公司坚石诚信科技股份有限公司地址:北京市海淀区学院路40号南一楼2层电话:010-62304411传真:010-62304415网址:www.
jansh.
com.
cn8该ASPDemo的登录页面如上图所示,登录验证的时候需要USBKey插在客户端,输入PID和USERPIN(即硬件PIN码),点击"Letmein",验证通过则会出现如下提示,说明登录用户合法.
如果客户端没有插USBKey或者密钥不正确等,登录系统,则会转到错误页面.
香港大带宽服务器香港大带宽云服务器目前市场上可以选择的商家十分少,这次给大家推荐的是我们的老便宜提速啦的香港大带宽云服务器,默认通用BGP线路(即CN2+BGP)是由三网直连线路 中国电信骨干网以及HGC、NTT、PCCW等国际线路混合而成的高品质带宽(精品带宽)线路,可有效覆盖全球200多个国家和地区。(适用于绝大部分应用场景,适合国内外访客访问,域名无需备案)提速啦官网链接:点击进入香港Cer...
RackNerd 商家从2019年上线以来争议也是比较大的,一直低价促销很多网友都认为坚持时间不长可能会跑路。不过,目前看到RackNerd还是在坚持且这次黑五活动也有发布,且活动促销也是比较多的,不过对于我们用户来说选择这些低价服务商尽量的不要将长远项目放在上面,低价年付套餐服务商一般都是用来临时业务的。RackNerd商家这次发布黑五促销活动,一共有五款年付套餐,涉及到多个机房。最低年付的套餐...
CloudServer是一家新的VPS主机商,成立了差不多9个月吧,提供基于KVM架构的VPS主机,支持Linux或者Windows操作系统,数据中心在美国纽约、洛杉矶和芝加哥机房,都是ColoCrossing的机器。目前商家在LEB提供了几款特价套餐,最低月付4美元(或者$23.88/年),购买更高级别套餐还能三个月费用使用6个月,等于前半年五折了。下面列出几款特别套餐配置信息。CPU:1cor...
asp文件怎么打开为你推荐
乐划锁屏乐视手机屏幕锁怎么自己就变了insomniac英文歌中有一句歌词是这样的:“here tonight”,谁知道这首歌曲叫什么名?www.983mm.com哪有mm图片?你懂得www.yahoo.com.hk香港有什么有名的娱乐门户网站吗?www.haole012.comhttp://fj.qq.com/news/wm/wm012.htm 这个链接的视频的 第3分20秒开始的 背景音乐 是什么?sss17.comwww.com17com.com是什么啊?www.kanav001.com翻译为日文: 主人,请你收养我一天吧. 带上罗马音标会更好wwwwww4399com4399是什么网站啊???sodu.tw台湾的可以看小说的网站龚如敏请问这张图片出自哪里?
电信服务器租赁 flashfxp怎么用 fastdomain simcentric 美元争夺战 rackspace 免费全能空间 本网站在美国维护 骨干网络 阿里云浏览器 免空 免费吧 个人免费主页 四川电信商城 免费的asp空间 下载速度测试 万网注册 服务器硬件配置 开心online 塔式服务器 更多