北京同有赛博金融业身份认证解决方案

　　随着信息技术的发展，网络已经越来越普遍的出现在我们的生活之中，电子银行随着网络技术的发展和银行业务的需求而产生，并且逐渐成为银行的重要业务，甚至是一个单独的产品，电子银行在人民生活中的影响越来越

大，用户数量和使用频率也逐年增高，根据调查数据，我们看到个人潜在用户之所以没有使用网上银行，68.7%是担心网络不安全，64%是对网上银行不了解，其他的未使用网上银行服务的个人、企业用户所担心的也主要是这两个问题。

国内各个银行在网上银行安全方面采取了业内所能提供的最安全的技术，比如说防火墙、clearcase/" target="_blank" >cc">路由器、防病毒产品以及设施完备的机房、配套设备、先进的1240位SSL技术等等。除了物理和网络层面的安全措施，网民、电子商务平台以及客户最关心这四个问题：第一是如何保证交易双方真实性问题，客户如何登陆真正的网站，网站怎样识别真实的客户。第二是信息保密性问题，如何保证客户和网民之间传输的信息是真实的，不被泄露。第三是数据完整性问题，保证传输过程当中数据的完整性。第四是交易的不可抵赖性问题，出现交易纠纷如何提供权威可信的技术上的审计记录，保证确认这笔交易是不可抵赖的。目前，针对这四个问题有各种安全手段，例如传统的用户名和密码是最方便快捷的方式，最容易使用和接受的方式，但是安全级别比较差，仅仅起到简单识别身份的作用，不能保证上述四点要求。不久前美国RSA的调查显示，用户名和密码这种方式虽然很方便，但有超过50%的人认为用户名和密码这种方式是不安全的。

　　目前，身份认证多采用静态口令。一般的状况下，用户通常使用的网络登录办法为：用户名称＋密码。在密码为静态的状况下，将会产生某些问题，比如为了维护密码安全性，必须严格规定密码的长度、复杂性（例如：中英文数字夹杂，大小写间隔，长度须超过8个字符以上）及定期更换的频率。

　　用户为了方便记忆，常常习惯使用特殊的数字，例如家人的生日等，此种方法极不安全。

只要利用黑客工具，如字典攻击法等便能在短时间内将密码破解，甚至只要有人在身后窥视便可探知正在键入的密码，所以静态密码有很大的安全隐患。

　　身份认证技术领域涉及生物特征认证技术、IC卡认证技术、PKI(CA)认证技术、数字签名认证技术、数字印章认证技术、数字水印认证技术等。“双因素动态强身份认证”是业内公认的比较安全的身份认证方法，它正逐渐广泛的被银行、企业所采用。

　　同有赛博安全科技有限公司针对金融行业的特点，制定了以下两套强身份认证解决方案。

 VASCO公司的Digipass令牌系列及其认证服务器

 赛博mID身份认证产品。

一、VASCO身份认证解决方案

　　VASCO身份认证解决方案采用动态口令技术，VASCO公司的Digipass令牌是动态口令的发生器，可以根据内部存储的密钥和时间/事件变量产生一次性口令（OTP），提供给用户进行系统身份认证。OTP显示的数字密码每次都不同，只在有效时间内使用（如1分钟内）使用才有效，而且只可以使用一次，因此，不怕嗅探、不怕复制，无法猜测，只有其所属的身份认证系统才能够识别每次生成的OTP是否来自合法用户所执有的令牌。Digipass令牌提供单向认证、挑战应答、电子签名等认证方式，还提供主机双向认证功能，不但对用户的身份进行认证，还能够让用户对系统的身份进行认证，防止网络钓鱼窃取用户帐号。

　　VASCO通过多种产品为客户提供灵活的集成方式：

 VACMAN Radius Middleware——入口级产品，为使用用户名/口令的系统引进强认证功能

 Velis——跨平台，符合工业标准的集成产品，使用单一认证数据库，为远程、本地和基于web的用户提供强有力的保护功能。

 VACMAN Controller——为与第三方或已有应用提供高水平的API接口，用以集成动态口令认证。

二、赛博mID身份认证解决方案

　　随着手机的日益普及，手机已经成为人们生活中不可缺少的一部分，利用手机作为身份认证载体的认证方式可以较好的解决上述问题，同时，手机令牌又可以提供较强的安全性。综合考虑安全性，方便性和成本，手机令牌为用户提供了一种界于硬件令牌/数字证书和静态口令之间有效的双因素强身份认证方式。赛博mID就是一种基于手机、PDA等移动设备的令牌解决方案。

　　赛博 mID为用户提供了功能强大的、可靠的统一认证平台。它支持系统资源访问控制以及多达5种认证方式。

（一）、赛博 mID由下列4种服务构成：

　　身份认证服务器mAuthenticator：赛博 mID认证服务器mAuthenticator是一个RADIUS兼容的用户身份认证服务器。它很容易和其它网络设备(如防火墙、VPN、路由交换设备等)及各种应用系统(BS/CS结构应用系统)集成。对于非RADIUS系统，赛博认证服务器可以提供API（如SOA等），从而确保客户应用系统和赛博 mID认证服务器的无缝集成。

访问控制服务器mControl：提供SSO和基于角色的访问控制，授权服务。

　　自我管理服务器mSelfAdmin：提供用户自我注册，手机令牌自动发放、下载和管理等一条龙服务, 从而节省管理和维护成本。

　　集中管理服务器mAdmin：为所有的赛博产品提供各种集中管理，授权管理和热线服务功能。同时提供集中审计，报表功能。

（二）、赛博 mID 统一认证服务器利用了Mobile技术，可以提供多达5种认证方式。

其中包括一次性动态口令（OTP）的解决方案。多种认证方式共用一个认证服务器，赛博 mID为用户提供了极好的灵活性和高安全性，用户可以根据具体情况和需要，在不同的场合选择适合自己的认证方式。

赛博 mID 统一认证平台支持两大类认证方式：单因素认证和双因素动态认证。

1．增强型单因素认证

a). 静态口令：

b). Java 令牌：

2．双因素认证

a). 手机短信口令：

b). mID同步令牌

c). mID异步令牌

（三）、系统集成

　　赛博mID采用业界广泛应用的RADIUS认证标准，赛博mID 认证服务器也可以用于RADIUS代理模式。当认证用户不存在于赛博mID认证服务器时，认证请求会通过代理转到其它第三方的RADIUS认证服务器上。

　　同时，对非RADIUS系统集成，赛博还提供Web服务（XML）API，方便应用系统的紧密集成。

　　通过LDAP和AD的集成，完成对现有用户的自动注册过程。可以减少额外数据库的使用，同时充分利用现有LDAP和AD中的用户数据，加快与应用系统的集成。

原文转自：http://www.ltesting.net