唐桓动态口令身份认证技术白皮书v21

动态口令双向身份认证系统技术白皮书（Version2.1）北京唐桓科技发展有限公司著作权声明动态口令双向身份认证系统已在国家版权局注册了著作权，受相应版权法保护，并在约束其使用、拷贝、发布及反编译的授权下发布。在未经北京唐桓科技发展有限公司事先书面授权的情况下，软件及文档的任何部分都不得以任何形式和途径进行复制、修改及分发。北京唐桓科技发展有限公司保留在任何时刻对此出版物介绍的产品和/或程序进行添加和/或修改的权利。本文档的最终解释权归:北京唐桓科技发展有限公司目录1.引言...........................................................................................................................................01.1概述..............................................................................................................................01.2文档主题......................................................................................................................11.3适用范围......................................................................................................................12.核心技术...................................................................................................................................22.1技术背景......................................................................................................................22.2技术内容......................................................................................................................22.3防盗号和钓鱼网站的技术原理..................................................................................43.产品介绍...................................................................................................................................73.1产品整体构架..............................................................................................................73.2产品的技术创新点......................................................................................................93.3产品特点....................................................................................................................103.4产品运行环境............................................................................................................113.5国内外同类技术与产品比较....................................................................................124.产品应用.................................................................................................................................144.1主机强验证登录........................................................................................................144.2集中登录安全门户....................................................................................................154.3网络设施安全管理....................................................................................................161.引言1.1概述随着互联网应用的普及，互联网给人们带来的便利也逐渐明显，人们在享受互联网便利的同时，互联网带来的网络安全问题也越来越突出。根据国家互联网应急中心（CNCERT）近年发布的报告指出，网络安全热点问题如下：一是网站信息失窃及其导致的问题可能更为严重。由于很多社交网站、论坛等安全性差，用户信息极易被盗，并可能导致更为严重的财产损失；二是智能终端将成为黑客攻击的重点目标；三是针对网上银行、证券机构和第三方支付的攻击将急剧增加，可能集网络钓鱼、网银恶意程序和信息窃取等多种攻击方式为一体，实施更具威胁的攻击；四是随着下一代互联网的应用，IPv6网络安全、无线网安全和云计算系统及数据安全等方面的问题将会越来越多地呈现出来。另外，在3G网络已趋向成熟、移动互联网业务得到广泛普及的当前，越来越多的网络和手机安全问题开始出现。有过账号或密码被盗经历的网民达到1.21亿人，占24.9%。为了保护信息安全，先后发展有身份认证、授权控制、日志审计、防火墙、VPN等安全技术。其中身份认证是授权控制、日志审计等技术的基础，如果用户的身份能被非法假冒，那么用户权限也就可能被非法使用，审计日志也失去了意义。因此身份认证是信息安全中最重要的环节。目前身份认证技术主要有静态口令、动态口令、USBkey、智能卡（IC卡）、短信、CA数字证书、生物识别等。这里需要特别说明的是，除了动态口令认证技术以外，其它所提到的认证技术都可以看作是静态口令认证的一种变体。传统的静态口令安全性差，非常容易受到各类盗号和钓鱼网站攻击；数字证书安全性较强，具有数字签名和防止抵赖等功能，但其投资较大，使用较复杂，管理费用较高，一般使用于必须要求具有数字签名功能的场合，例如电子政务和部分电子商务活动中；生物识别技术安全性虽然很高，而基于生物识别技术等的产品尚在发展之中，近几年内还无法占据市场主流。动态口令认证技术由于采用了动态技术，其口令一次一变，能抵抗各种攻击，具有极高的安全性，而且使用简单，管理方便，成本较低，适用于大量不需要数字签名的应用场合。通过研究可以发现，现有动态口令系统的身份认证多是服务器对用户的单向认证，用户没有安全易行的方式来对服务器的真假进行鉴别，造成木马病毒和钓鱼网站攻击泛滥。2011年1月至2月期间，中国银行的网上银行使用的动态口令e令牌身份认证系统被钓鱼网站盗号诈骗成功，造成上亿元的损失。中国银行使用的动态口令是基于时间同步机制的动态口令单向认证方式，其被钓鱼网站攻破原因来自两方面，一是基于时间同步机制的动态口令，会因时钟漂移不能认证以及认证窗口时间过长、被窃取的口令有一定的生命期因而能被窃取者非法使用；二是采用单向认证方式，客户端不能辨别登录的是黑客服务器还是正确的目标服务器。北京唐桓科技发展有限公司研发的基于事件同步的动态口令双向身份认证系统是具有自主知识产权的专利技术（专利申请号：200710195695.3），利用高强度加密算法、应用事件激发和同步机制，实现用户端和服务器端的双向身份认证。该技术能够防止现有的各种攻击手段，并且能够兼容现有的基于静态口令认证的各种网络应用系统，具有系统升级改造成本低，所需时间短，用户使用习惯不需改变等优点。1.2文档主题本文档主要介绍了唐桓动态口令身份认证系统的核心技术、产品特点和产品应用等方面的内容，并对产品功能进行了详细的介绍，以帮助读者对唐桓动态口令身份认证系统达到快速和全面的了解。1.3适用范围本文档适用于需要对唐桓动态口令身份认证系统进行全面了解或以前接触过该系统并想做进一步了解的用户。如需要了解产品文档外的其他信息，请联系本公司的销售工程师，由他们对您提出的问题和疑问集中进行解答。2.核心技术2.1技术背景动态口令也称一次性口令，其变动来源于产生口令的运算因子是变化的。动态口令的产生因子一般都采用双运算因子：其一，为用户的私有密钥。它是代表用户身份的识别码，是固定不变的。其二，为变动因子。正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子，形成了不同的动态口令认证技术：时间同步认证技术、事件同步认证技术和挑战/应答认证技术。本产品所采用的核心技术是在事件同步认证技术基础上实现客户端和认证服务器双向认证——基于事件同步的动态口令双向身份认证技术。2.2技术内容基于事件同步技术的动态口令身份认证过程，在系统设置的初始时刻，每一个系统用户都与认证服务器设置了共享密钥Ku和一个相同的状态计数器值Nu（起同步作用，也可称为同步计数器值）。动态口令Pn就是加密函数在输入为密钥Ku和状态计数器值Nu为n时的函数输出值。即：Pn=E(Ku,n)，其中：E（）为加密函数。如图1所示。认证设备唐桓动态口令认证服务器549858伪随机算法计数器种子种子计数器伪随机算法相同的种子相同的状态值549858图1基于事件同步的技术原理采用认证服务器和客户端的双向认证技术，双向认证的流程分为三步，如图2所示。1用户帐号，静态口令2动态口令P（Ns+1）3用户账号，动态口令P（Ns+2）客户端认证服务器图2基于动态口令的双向认证过程示意图第1步：用户提交帐号和静态口令给认证服务器进行第一次身份认证；第2步：静态口令认证通过后将同步计数器值加1，服务器将生成的动态口令传送到用户端，供用户对服务器的身份进行认证；第3步：用户核对服务器显示的动态口令是否与自己令牌产生的动态口令相同，相同则认证通过，向服务器提交下一次的动态口令进行身份认证。为了防御并发多个认证请求连接之类的攻击方法，认证服务器需要在静态口令认证成功后记录下本次连接用户的IP地址。后续的动态口令认证中还要验证这两次连接的IP地址是否相同，确保用户与认证系统连接的唯一性。整个认证过程如图3所示。根据用户帐号读入认证数据口令是静态口令静态认证成功否Ns=Ns+1，静态口令认证标志Fs置0，写入数据库是产生动态口令P（Ns），并与用户提交的口令进行比较两者是否相同两次IP地址是否相同是认证成功是验证静态口令是是否正确使用动态口令是记录用户IP地址，写入数据库是Ns=Ns+1，静态口令认证标志Fs置1，写入数据库产生口令P（Ns）提交给用户认