网络设备身份认证解决方案(共10页).doc

《网络设备身份认证解决方案(共10页).doc》由会员分享，可在线阅读，更多相关《网络设备身份认证解决方案(共10页).doc（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上网络设备动态口令身份认证解决方案北京集联网络技术有限公司目 录1、概述网络设备是把网络中的通信线路连接起来的各种设备的总称，这些设备包括中继器、集线器、交换机和路由器等。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。要想保障网络安全，首先要做到网络设备的安全访问，如果网络设备被攻破，那么安全将不复存在。1.1、网络设备安全的技术手段终端准入控制终端准入控制是从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产

2、品，通过用户端、准入控制组件、网络设备（交换机、路由器、防火墙、无线）以及第三方认证服务的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户对网络设备的使用行为，确保只有授权的网络设备维护人员才有权限控制网络设备。目前，在金融、电信、政府等大型网络系统中，都有相应的网络设备终端准入控制。没有终端准入控制的网络环境普遍采用静态密码进行身份认证，静态密码本身具有弱安全性的特点，其面临的安全风险较大，其缺点主要表现在以下几个方面：（1）输入泄密：在输入口令时可能被偷看，或用远程摄像机录像，还可能被键盘记录木马程序所记录。（2）传输泄密：在电话上输入的口令可能会在电话上被窃听；在网上交易时口

3、令会在网络上传输时被截取分析。（3）特征性泄密：为了方便记忆，用户的静态口令往往会与日期、姓名、电话、证件、家庭、公司等熟悉的对象相关联，因此容易被猜测或用黑客字典分析。（4）共享性泄密：为了简单方便，用户会在电子邮箱、银行信用卡等多个系统中使用相同的静态口令，因此假如有一个系统被破解，那么用户在其它系统上的帐号也就危险了。（5）记录泄密：为避免复杂的、难于记忆的口令被忘记，用户往往会将其记录在纸上或电脑文件中，这记录下来的口令可能会失窃。（6）可被穷举攻击：由于静态口令在一段时间内保持不变，所以可以被黑客工具长时间地、多电脑地进行穷举分析。（7）泄密不可知性：当静态口令泄密后，系统和用户都无

4、法及时地获知口令是否已经泄密。只有当造成危害之后、或者查看了日志之后才能确切知道。（8）不方便性：定期更换口令，设置复杂口令，可能会容易忘记，一旦口令忘记可能会导致一些不必要的损失和不方便，具有很大隐患。（9）长期性：静态口令多使用一天就多一天泄密的危险，其危险性与日俱增。静态密码的基本特点，也是其致命弱点就是每次登录时使用相同的密码进行验证，一旦管理员密码泄露，对于使用静态密码进行身份认证的网络设备管理员就没有任何安全可言。所以为了保护全网的安全就必须采用新的技术手段，弥补静态密码身份认证技术的弱点。1.2、动态口令认证技术动态密码即一次性密码，使用一次以后就自动作废，下次进行身份验证的时候

5、需要新的密码。动态密码和传统的静态密码配合使用，可以大大提高系统身份认证系统的安全。1.2.1、基本原理动态密码基本的思路是将共同密钥信息（作为计算动态密码的常量）和加密算法同时保存在认证服务器和动态密码令牌硬件内，再选择一个认证服务器和动态令牌都可以使用的变量（比如动态密码生成次数或者当前时间或者挑战码）用于计算的动态密码，需要认证的时候，由动态令牌首先计算出动态密码，然后传输给认证服务器，认证服务器采用对应的信息计算出动态密码，通过比较这两个密码是否相同来判断输入的动态密码是否正确。采用时间作为变量来计算动态密码而进行认证的技术称为时间同步认证技术，采用动态密码生成次数作为变量来计算动态密

6、码而进行认证的技术称为事件同步认证技术，使用由认证服务器返回的数值作为变量来计算动态密码而进行认证的技术称为挑战/应答认证技术。（1）时间同步认证技术基于时间同步认证技术是把时间作为变动因子，一般以60 秒作为变化单位。所谓“同步”是指用户动态密码令牌和认证服务器所产生的口令在时间上必须同步，不然，令牌产生的动态口令和认证服务器产生的动态口令不相同，服务器无法完成认证。在实际使用中，保持动态令牌和认证服务器的时间完全相同有一定的困难，所以通常允许存在一定的时间差异，比如5 分钟。（2）事件同步认证技术基于事件同步认证技术是把已经生成动态口令的次数（即事件序列）作为动态口令令牌和认证服务器计算动

7、态口令的一个运算因子，与令牌和认证服务器上的共同密钥产生动态口令。这里的同步是指每次认证时，认证服务器与令牌保持相同的事件序列。如果用户使用时，因操作失误多产生了几组口令出现不同步，服务器会自动同步到目前使用的口令，一但一个口令被使用过后，在口令序列中所有这个口令之前的口令都会失效。其认证过程与时间同步认证相同。（3）挑战/应答认证技术挑战/应答方式的变动因子是由认证服务器产生的随机数字序列，作为令牌和认证服务器生成动态口令的变动因子。1.2.2、工作过程这里以时间同步认证技术的动态口令令牌配合登录路由器的认证过程为例，说明用户使用动态口令完成身份认证的过程。前提条件：1、 网络设备支持Rad

8、ius认证2、 建立认证服务器，并分发设备管理员令牌1） 网络管理员使用自己的用户ID登录网络设备2） 网络设备要求管理员输入密码3） 管理员把自己令牌的动态口令输入并提交给网络设备4） 网络设备作为Radius客户端，把用户ID、动态口令转发给认证服务器5） 认证服务器判断该用户动态口令是否正确，把应答返回给网络设备6） 网络设备根据应答结果，同意或拒绝管理员的登录1.2.3、动态密码特点动态密码技术用于身份认证，主要具有以下特点：（1）动态性：动态口令令牌产生的口令每分钟变化（针对时间同步技术的动态口令卡而言）一次，不同时刻使用不同口令登录，每个口令都只在其产生的时间范围内有效。（2） 随

9、机性：动态口令每次都是随机产生的，不可预测。（3）一次性：每个动态口令使用过一次后，不能再连续重复使用。（4）抗偷看窃听性：由于动态性和一次性的特点，即使某一个动态口令被人偷看或窃听了，也无法使用。（5）不可复制性：动态口令与口令卡是紧密相关的，不同的口令卡产生不同的动态口令。而且口令卡是密封的，卡内密钥数据一旦断电就会丢失。因此也就保证只有拥有口令卡的用户才能使用动态口令，其他用户无法获得，也无法共享。（6）方便性：口令卡随身携带，动态口令显示在卡上，无需再为记忆复杂的、定期更改的口令而烦恼。（7）危险及时发现性：口令卡随身携带，一旦遗失或失窃，就会及时发现、及时挂失，把损失降到最小。（8）

10、抗穷举攻击性：由于动态性的特点，如果一分钟内穷举不到，那么下一分钟就需要重新穷举，因此新的动态口令可能就在已经穷举过的口令中。另外还可以通过系统设置，限制一分钟内用户登录尝试的次数，从而进一步降低穷举攻击的风险。2、集联OTP（一次性密码）方案2.1、方案概述为解决网络设备静态密码弱安全行问题，北京集联网络技术有限公司推出了自主知识产权的令牌动态口令身份认证解决方案，可以大大提高访问网络设备的安全，从而避免不必要的各种损失。2.2、总体方案2.2.1、OTP组成1） 认证服务器认证系统的核心组成部分，提供动态口令正确与否的核心计算与判别服务。当网络设备向其发送认证交易后，认证服务器做出判别并回

11、应网络设备，网络设备根据认证服务器返回的应答码决定是否同意管理员进行维护。2） 管理控制台管理控制台是认证服务行为、规则的定制终端，令牌密钥的导入、使用令牌的人员（操作员）以及操作员及令牌的绑定关系等都由管理控制台进行维护。3） 令牌动态口令令牌是一个单独的硬件设备，使用时无需连接任何外部设备，所以具有很大的灵活性，使用时只需要将生成的动态口令输入登录窗口中的密码域位置即可。2.2.2、部署说明基于动态密码的网络设备身份认证，只需要在中心架设一台认证系统，使得所有需要认证的网络设备能够访问该认证系统即可。1、 在中心架设认证系统，安装认证服务器、管理控制台并分配地址；2、 管理控制台设置Rad

12、ius传输加密公钥；3、 管理控制台导入令牌密钥，增加操作员，建立操作员与令牌的绑定关系；4、 启动认证服务；5、 分发令牌到操作员手中；6、 网络设备管理员用原静态密码登录需认证的网络设备，修改认证方式为Radius，设置认证服务器地址、端口、传输密钥并测试；7、 保存配置；8、 部署完成。2.2.3、OTP特点北京集联网络技术有限公司是在国家密码局的定点单位，具有研发、销售和生产商用密码产品的资质。作为一家专业从事安全软件开发及智能身份认证的高科技公司，推出的OTP 动态身份认证系统具有如下特点：（1）操作简单，使用方便。（2）高安全性，采用国家密码局批准的商用算法，该算法不对社会开放，安

13、全性极高。（3）灵活性，提供完整的SDK 二次开发平台，几乎可以和任何需要身份认证的应用系统进行集成，同时提供定制化开发。（4）扩展性，基于组件的分层体系结构设计，方便系统扩展功能以及系统升级和维护。（5）标准化，采用国际标准协议，包括RADIUS，OATH，LDAP，ODBC，HOTP等。（6）开放性，系统提供和第三方动态口令身份认证系统进行集成的接口，用以向客户提供多系统解决方案。（7）支持负载均衡，可以满足大型组织的海量用户认证需求，同时提供冗余备份。（8）支持多种数据库，Oracle、SQL Server、My SQL、Access 等。（9）支持多种平台应用产品进行身份认证，Windows、Unix、Linux。（10）无需安装任何驱动程序，也无需连接任何设备。（11）产品通过欧洲民用标准、美国军用标志检测。（12）外型小巧、方便携带。（13）集联认证系统支持双因素认证，可以选择动态口令认证或动态口令+静态口令混合认证。欢迎来电交流，祝您工作愉快！专心-专注-专业