常规固定口令的危机
以固定口令为基础的常规身份认证方式存在多种口令被窃取的隐患:
■ 网络数据流窃听(Sniffer) :很多通过网络传递的认证信息是未经加密的明文,容易被攻击者通过窃听网络数据分辨出认证数据,并提取用户名和口令。
■ 认证信息截取/重放(Record/Replay) :简单加密后进行传输的认证信息,攻击者会使用截取/重放方式推算出密码。
■ 字典攻击:以有意义的单词或数字作为密码, 攻击者会使用字典中的单词来尝试用户的密码。
■ 穷举尝试(Brute Force) :这是一种特殊的字典攻击,它使用字符串的 全集作为字典。如果用户的密码较短,很容易被穷举出来。
■ 窥探:攻击者利用与被攻击系统接近的机会,安装监视器或亲自窥探合 法用户输入口令的过程,以得到口令。
■ 社交工程:攻击者冒充合法用户发送邮件或打电话给管理人员,以骗取 用户口令。
■ 垃圾搜索:攻击者通过搜索被攻击者的废弃物,得到与被攻击系统有关的信息。
虽然用户可以通过经常更换密码和增加密码长度来保证安全,但这同时也 给用户带来了很大麻烦。
系统介绍
TK1000 动态身份认证系统采用业界领先的动态(一次性)口令机制来解决用户身份认证问题。其实现方式是:
在登录过程中加入不确定因素,以一次性口令登录,使每次登录传送的信息都不相同。验证系统接收到登录口令后做一个验算即可确认用户的合法性,从而提高登录过程的安全性。
该系统使用户所输入的口令(密码)动态地变化,每分钟所使用的口令都不相同。系统派发的“动态口令器”利用特定的加密算法,每60秒钟产生一个动态口令显示给用户。在应用系统要求输入口令时,用户把显示的口令输入。中心的动态口令认证服务器根据同步认证算法检查密码的正确与否。动态口令系统使入侵者即使窃听到了口令,也不能使用这个已经失效的口令登录。
TK1000动态身份认证系统由客户端的动态口令器(也称为令牌)和认证服务器组成。
动态口令器:通过同步信任认证算法产生单次使用的“动态口令”,而且口令无法预测和跟踪,这就使得用户口令既无法被窃取,而且又能解决常规口令频繁变换所带来的问题。
安全认证服务器:安全认证服务器运行在网络环境下,集中控制了所有的远程用户对网络的访问,提供全面的认证、授权和审计服务。使用者在进行身份认证时,需要输入用户名和由动态口令器计算出的当时“动态口令”。服务器端的软件模块和加密机硬件,能自动和动态口令器产生的“动态口令”同步,从而保证认证过程的完成。
TK1000动态身份认证系统和RADIUS的集成
RADIUS是“Remote Authentication Dial In User Service”的缩写,它为多个网络接入设备NAS(服务器、路由器、防火墙等)间共享用户认证数据提供了协议支持。
TK1000动态身份认证系统和RADIUS可以很好的集成,采用RADIUS技术后,网络用户的认证过程如下:NAS被看作是RADIUS的客户端,当用户采用TK1000动态身份认证系统登录到NAS时,客户端将用户提供的认证信息(如动态口令器产生的动态口令)发送给指定的RADIUS SERVER,并根据SERVER的回应作出相应的“允许/不允许登录”的决定。RADIUS Server 负责接收认证请求并进行认证,然后将认证结果(包括连接协议、端口信息、 ACL 等授权信息)发送回RADIUS Client,Client根据 授权信息限制用户对资源的访问。
目前,多数的NAS如路由器、防火墙产品都提供对RADIUS的支持,TK1000中的认证服务器也支持RADIUS协议族,可以配置成为RADIUS SERVER使用。这样,TK1000和各种NAS设备协同工作,进一步提高了用户身份认证过程的安全性。