1.引言
互聯網建立至今,僅僅幾十年的發展光景,但它的發展速度卻是任何時代產業技術無法相提并論的。計算機網絡的應用已滲透到社會的各領域,隨之產生的網絡安全問題備受關注。作為網絡安全的防火墻技術、入侵檢測系統、會話加密、虛擬專用網(VPN)和數字證書等技術都是基于內部網絡設計的,然而網絡內部的用戶卻不一定都是合法、安全的,所以網絡安全身份認證系統應運而生。網絡身份認證是通過一定的技術手段,強制要求用戶登錄網絡時提供有效且惟一的身份信息,身份信息在認證服務器中需進行校驗,合法的通過驗證,可訪問網絡資源,不合法的身份信息,將被阻斷網絡,限制非法用戶訪問網絡資源,并有效地防止數據被修改。
2.網絡身份認證系統工作過程
網絡身份認證系統其目的是為了有效鑒別身份,防止非法用戶訪問應用系統資源,是網絡安全體系中的第一道屏障。在身份認證系統(如圖1)中有四個關鍵對象,分別為:待認證主機、認證服務器、應用系統服務器、交換網絡。
圖1 身份認證系統
備注:1是網絡中待認證的主機;2是認證服務器;3是應用系統服務器;4是交換網絡主機通過網絡向認證服務器發出請求,認證服務器查詢身份認證信息的真偽,對主機作出應答。當身份認證為真時,開放相應的應用系統;認證失敗時,斷開網絡連接。
3.簡單的“用戶名/口令”網絡身份認證存在的問題
在當前網絡環境下,用戶名/口令進行身份認證被認為是一種最容易實現的認證方案,該認證手段簡單,易行,被廣泛的應用于B/S架構下應用賬號、郵件系統以及操作系統的登錄中。其認證過程簡單、速度快、成本低,對網絡帶寬的要求也不高,優勢是顯而易見的。
但這種認證方式的安全性比較差,口令明文,不能提供數據的加密傳輸,很容易被竊聽,更不可能實現用戶業務行為的不可否認性等。另外普通用戶往往愿意使用特殊、有意義的數字及字母來設置口令密碼,這樣的口令極易破解,一旦口令被惡意破解,用戶的身份將在網絡中被冒用,既帶來了安全隱患,又可能造成經濟損失,甚至破解口令者冒用合法用戶的身份去做違法的行為。
4.動態口令網絡身份認證系統的設計與實現
動態口令的網絡身份認證系統是為了解決上述簡單用戶名、靜態口令的缺陷而設計的,其工作原理是用動態口令代替靜態口令,在客戶端登錄過程中加入轉換密文,從而得到認證所采用的動態口令。再將動態口令及用戶名向認證服務器發出請求,認證服務器接收到用戶的認證數據后,以預存的算法去解密,判定認證數據的真假,進而實現對用戶身份的認證。
4.1 動態口令網絡身份認證的優勢
(1)安全性:口令具有一次性,隨時間、處理事件等因素的變化口令在不斷的變化,具有無法重復使用、口令經過加密算法隨機產生,具有無法破解等優點。(2)方便性:動態口令采用口令卡形式存放,不需要強制記憶口令,所有信息都顯示于口令卡之上。(3)無法否認性:口令是經過登錄時間、所需完成業務事件、動態密鑰三個元素共同決定的,并通過MD5、HASHAlgorithm生成不可逆的動態口令,有效地解決了電子商務中引發的網絡不誠信問題,用戶的業務行為具有不可否認性。
4.2 動態口令網絡身份認證系統的設計實現
動態口令的網絡身份認證系統根據軟、硬件劃分可由三個部分組成:口令卡;身份認證服務器;認證代理函數接口。(1)動態口令卡。動態口令卡是產生口令的裝置,為了攜帶方便,往往設計的小巧靈便。口令卡內預裝了認證服務器端的私鑰和客戶端的公鑰以及MD5或HASH算法,根據認證服務器返回的應答和加密算法以時間為參數來產生一次性動態口令。(2)身份認證服務器。身份認證服務器是網絡身份認證系統的核心,它一般存放在網絡機房中,用戶的所有信息數據經MD5或HASH算法存儲于認證服務器中,提供全面的認證、授權、審計服務等。再通過網絡二層的DOT1X協議與應用服務器聯動,經過身份認證服務器驗證,合法的用戶再與應用服務器相連,完成相應的業務事件響應。(3)認證代理函數接口。認證代理是軟件來實現的,其實就是一些接口函數。認證服務接口函數(API)提供了客戶服務器與認證服務器的軟件接口,客戶服務器通過對它的調用而得到認證服務器提供的認證服務。
5.結束語
動態口令網絡身份認證系統實現了動態身份的認證,徹底解決了網絡環境下用戶身份認證安全與方便的矛盾。動態口令身份認證系統的應用前景樂觀,將會在銀行、網上購物、電子商務、內部網絡身份識別、機要審計等場合得到廣泛應用。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.vmgcyvh.cn/
本文標題:動態口令網絡身份認證系統的設計與實現
相關文章
