口令安盟公司双因素身份认证系统技术白皮书

安盟双因素身份认证系统产品白皮书

安盟公司双因素身份认证系统

技术白皮书

四川安盟电子信息安全有限责任公司

2010-3-14

安盟双因素身份认证系统产品白皮书

安盟双因素身份认证系统产品白皮书

目录

1 安盟产品背景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.1信息安全的提出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.2信息安全的现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.3安盟双因素身份认证系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2 安盟身份认证系统产品介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

2. 1. 安盟双因素身份认证系统组件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

2.1.1 认证服务器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

2.1.2 安盟身份认证令牌. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

2.1.3 代理软件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

2.1.4 多种应用统一认证平台. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

2.2系统特点. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

2.3主要功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

2.4技术数据和主要性能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

2.5系统优越性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

3 安盟双因素身份认证系统支持环境. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

3.1安盟认证服务器的安装环境. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

3.2安盟提供的代理软件运行的平台. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

3.3无须安装代理软件即可支持安盟身份认证的第三方产品. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

4 安盟产品保护及扩展功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

4.1无线局域网WLAN保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

4.2拨号服务器保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

4.3Callcenter接入方式的认证保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

4.4路由器和交换机等网络设备保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

4.5防火墙和V PN保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

4.6UNIX/Linux主机保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

4.7We b服务器、办公自动化、 EIP和ERP系统保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

4.8Oracle数据库保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

4.9电子邮件系统的保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

4.10 涉密单机的保护. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

4.11 认证应用开发包. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

4.12 应用整合. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

4.13 安盟认证服务器的容错和负载均衡. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

4.14 支持与轻目录服务器(LDAP)的资料自动同步. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

安盟双因素身份认证系统产品白皮书

4.15 详细的报表和事件跟踪功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

5 安盟双因素动态身份认证系统构成及软件功能. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

5.1产品基本组成及功能描述、外部接口说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

5. 1. 1基本组成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

5. 1.2功能说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

5.1.3性能指标. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

5.1.4与产品安全保密功能相关的术语及定义说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

5.2安盟身份认证系统的安全体系结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

5.2. 1可能的破坏产品的安全策略的手段方法分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

5.2.2双因素认证机制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

5.2.3令牌的唯一性和安全性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

5.2.4一次一密认证机制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34

5.2.5鉴别处理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

5.3安盟身份认证系统软件功能详解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

5.3.1 与UCT时间同步. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

5.3.2 有效令牌窗口和时钟漂移调整. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

5.3.3 与安盟身份认证服务器进行散列通信. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

5.3.4 网络传输量. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

5.3.5 安盟身份认证服务器灾难恢复能力. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

6 安盟身份认证服务器性能测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

安盟双因素身份认证系统产品白皮书

1 安盟产品背景

1.1 信息安全的提出

随着计算机及网络技术的飞速发展和Internet的快速普及人们通过计算机网络交流信息的频率越来越高特别是随着近几年电子商务、电子政务和网上银行等商业模式的出现人们在利用这些技术方便了生活的同时也在网上传递着大量的敏感信息如银行帐号密码、信用卡帐号密码、公司合同、商业订单等而这些信息对于接收者以外的第三方具有严格的保密需求所以对于所有使用网络的人来说信息传输、信息使用的安全问题亟待解决。

信息安全是指通过保护网络程序、数据或者设备使其免受非授权使用或访问来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下 网络程序和数据在服务器、物理信道和主机上的安全性 网络安全必须有效地实现以下各种功能

 身份认证Authentication鉴定信息的真实性核实源实体与接受实体是否与宣称的一

致

 授权Authorization用一些特殊的参数表明访问或存取的权限

 保密性Confidentiality使信息只被授权用户享用确保通信机密

 完整性Integrity确保数据的完整和准确

 不可否认性Nonrepudiation验明身份后不能够拒绝传送和接受

1.2 信息安全的现状

众所周知计算机与信息犯罪在近年正在呈现出上升的趋势恶意攻击日益频繁且导致越来越大的经济损失促使所有用户都必须采取有效措施保护其信息资源。根据调查到2007年在1美元的IT投入中就有15美分是用在了信息安全方面 同时负责信息安全的员工的雇佣比率也在逐年攀升。然而令人不解的是相对于不小的投入企业的信息安全状况却并没得到多大的改善。

随着信息安全的需求不断提高相应的信息安全技术也得到了长足的发展如防火墙、数字加密技术、入侵检测技术、虚拟专用网技术和认证技术等都是信息安全解决方案的一部分。令人遗憾的是虽然每种技术都旨在加强某一方面的信息安全包括限制访问或防止机密数据被截获但面对形形色色的信息犯罪却没有一种单独应用的安全措施或方法能够消除所有风险。在这种情况下各机构就需要根据受破坏可能性以及可能导致的损失程度来评估预防措施的成本。

而随着互联网技术的发展每个企业中存在大量的网络设备对于这些网络设备的保护至关重要如果非法用户获得管理员的权限到网络设备上作了非法修改有可能导致整个网络系统的瘫痪所以有必要对进入网络设备进行配置的人员进行认证最常见而简单的访问控制方法是通过静态口令的匹配来确认用户的真实性。而对于整个网络系统来说有许多从互联网进入企业内部网络的接

安盟双因素身份认证系统产品白皮书

口如拨号服务器、防火墙和VPN网关而互联网是非常不安全的如果黑客获得了合法人员的口令就可以冒充合法人员进入企业内部网络盗取关键的业务数据对网络进行恶意破坏这样企业就面临非常严重的后果 同时对于那些被盗取口令的用户他们本身并不知觉黑客每天都在冒充他的身份访问网络最终的责任还可能由自己承担。

需要指出的是许多最具危害性的犯罪都拥有共同的特点即绕过口令保护获取对信息或资源的访问权限。虽然对于非关键系统的安全性而言使用基本的口令保护已经足够了但最机密的应用、文件及系统则需要更高层次的保护措施。幸运的是现在有了单独使用的安全防护方法能够解决由口令泄密导致的所有入侵问题即用强大的用户认证系统替代基本的口令安全机制帮助消除因口令欺诈而导致的损失防止恶意入侵者或员工对资源的破坏。

口令是网络信息系统最常用的安全与保密措施之一。如果用户采用了适当的口令那么他的信息系统安全性将得到大大加强。但是实际上网络用户中谨慎设置口令的用户却很少这对计算机内信息的安全保护带来了很大的隐患。

网络信息系统的设计安全再强如果用户选择的口令不当仍然存在被破坏的危险。用户对口令的选择存在着以下几个误区

 误区之一用“姓名数字”作口令许多用户用自己或与自己有关的人的姓名再加上其

中某人的生日等作口令。

 误区之二用单个的单词或操作系统如 DOS命令作口令。

 误区之三多个主机用同一个口令将导致一个主机口令被窃从而影响多台主机的安全。

 误区之四只使用一些小写字母作为口令使得用字典攻击攻破的概率大增。

以上四个口令设置的误区将给信息保密与网络安全带来隐患网络用户和管理员应切实注意自己的口令设置不给非法用户以得逞之机。

此外还可以从一个合法的终端上窃听会话并记录所使用的口令采用这种方法无论你所选择的口令如何好都无济于事。例如HTTP和Telnet协议都是不安全的网络协议传输过程中不作任何加密其他人只要在传输过程中安装Sniffer程序就可以非常方便地获得合法用户的口令就可以。

所有的用户口令都是存放在数据库中如果口令字段未做任何加密的话黑客也可以通过攻击数据库来获得合法用户的口令。

对于系统管理员来说每天接到的求助电话中50%以上都是有关用户口令的问题 比如用户遗忘了口令或者系统提示口令出错无法登录给管理员带来很大的负担。

所以必须选择一种更有效的方式进行用户身份的确认。

安盟双因素身份认证系统可以为各类信息网络系统提供安全的门户防卫解决方案。

1.3 安盟双因素身份认证系统

安盟双因素身份认证系统就是顺应上述信息安全的需求的产生的。在传统的静态口令验证系统中 由于口令为“一次设置重复使用”用户并不需要通过额外的手段来获取口令 由于口令

安盟双因素身份认证系统产品白皮书

的重复使用而增加了口令丢失和破解的危险性降低了系统的安全系数。因此需要一个口令可变的身份验证系统 同时必须满足口令便于用户获取的要求。为了满足这些要求除了使用静态口令外另外增加一个物理因素用于产生动态口令。用户登录时必须同时验证静态口令称之为PIN码和动态口令只有两者均正确时才能确认用户身份。

安盟双因素身份验证系统主要由三个模块组成动态口令产生模块、客户端代理模块和验证服务器模块。

在动态口令验证系统中 口令随时变化并且每个口令仅能使用一次。因此必须增加一个功能模块产生动态口令。该模块可以以软件形式实现也可以以硬件形式实现。为了用户的方便及该模块本身的安全性我们采用了硬件的形式实现这里称之为令牌。每块令牌内置芯片和精确时钟同时输入了口令生成算法。令牌使用唯一的用户种子进行初始化随后利用内置算法结合当前时间和初始种子产生一串随机字符串作为用户的登录口令。这样系统的终端用户只需要一块小巧的令牌就能够方便的获得登录口令。

客户端代理模块是实现认证功能的中间模块它可以部署在应用服务器上用来实施动态口令的安全策略。客户端代理模块可以根据不同的应用设计主要功能是将具体应用的身份认证请求通过安全的通道传输给验证服务器并通知用户验证结果。

验证服务器模块是系统的核心模块是网络中认证引擎其主要作用为

验证用户口令的有效性

向用户签发口令令牌

签发可信代理主机证书

实时监控创建日志信息等。

这三个模块协同工作验证服务器在选定的网络节点之间通过签发代理主机证书建立一个保护的环境。每个受保护的网络节点都是一个客户端必须运行客户端代理软件模块。无论什么时候访问网络节点客户端软件都会启动一个会话过程要求验证用户身分。如果用户提供的用户名、PIN码和动态密码均正确则允许访问网络资源否则拒绝。

在系统中用户令牌和验证服务器共享相同的动态口令生成算法不同的令牌用户拥有唯一的初始密钥动态口令生成算法根据初始密钥和当前时间产生动态口令。用户访问受保护网络节点时客户端代理软件要求用户输入验证信息用户名、 PIN码和动态密码并同时将客户端的节点密文传输到验证服务器。验证服务器在接受到验证信息后首先根据节点密文确定客户端是否为可信节点然后根据用户名在用户信息数据库中取出用户的初始密钥并在当前时间前后的一定时间段内生成一系列动态口令如果用户提交的动态口令在这组口令中得以匹配并且PIN码也相符则可以认定该用户为合法用户接受用户的验证请求。这种动态口令和用户PI N码相结合的验证方式被称为双因素验证方式并且已经在许多领域中得到了广泛的使用。

安盟双因素身份认证系统产品白皮书

2 安盟身份认证系统产品介绍

2. 1. 安盟双因素身份认证系统组件

安盟身份认证系统由安盟身份认证服务器、安盟身份认证代理、认证设备以及认证应用编程接口 API组成。

2.1.1 认证服务器

在安盟身份认证解决方案中安盟身份认证服务器软件是网络中的认证引擎 由安全管理员或网络管理员进行维护可以实现以下功能

 认证

安盟身份认证服务器只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系统这将保证登录的用户确实为授权的个体大大降低了攻击和非法访问的风险。即使是拥有上万用户和多个办公室的企业网络仍能受到安盟身份认证服务器的保护该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。

 访问控制

安盟身份认证服务器允许用户定义合适的安全策略可以有效保护对专用网络系统、文件及应用的访问其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。

 规避攻击

黑客会使用各种无法预料的方法来接入网络。安盟身份认证服务器可以识别威胁情况然后报告给UNIX系统日志或Windows事件日志。例如 当有人多次试图接入远程访问端口、数据文件或防火墙时安盟身份认证服务器会向系统管理员发出报警帮助发现并在导致损失前采取相应防范措施。

安盟双因素身份认证系统产品白皮书

 用户责任

通过使用某个员工的密码可以在该员工不知情或不同意的情况下侵入系统。 由于安盟双因素认证要求输入用户令牌代码和个人PIN 因此进一步确保了员工不会被任何非法访问事件所牵连。这种特性再加上安盟身份认证服务器能够报告对所有保护资源的访问情况可以帮助员工识别其对信息安全的责任并采取相应的措施。此外黑客经常试图抹掉自己的足迹安盟身份认证服务器的访问历史日志则可以作为犯罪调查和取证的重要组成部分。

2.1.2 安盟身份认证令牌

利用四川安盟电子信息安全有限责任公司的安盟身份认证系列令牌确保用户合法性保证网络访问安全性。安盟认证令牌产品如图2-2所示

图1-2认证令牌产品

除钥匙链型号外其它令牌类型包括运行在普通PC、 Palm、 WinCE操作平台上以及在智能卡中存储种子的软件令牌、在I E浏览器或WAP上的软件令牌。

2.1.3 代理软件

实现这种强大的认证功能的中间代理软件称为安盟身份认证代理。该代理软件的功能类似于保安人员用来实施安盟身份认证服务器系统建立的安全策略。一个安盟身份认证服务器可以支持几千个安盟身份认证代理为保护企业资源提供巨大的容量。安盟身份认证代理是一种设备专用代理软件无论是保护Window s网络还是保护IBM大型机或Web应用认证代理都能保证您的宝贵资源得到有效的保障。已经内置在大多数业内主流的网络设备和浏览器以及Web服务器软件系统中允许安全管理员通过鼠标点击而不是编写代码为用户和保护的资源选择和应用相应的设置。