1.引言
互聯(lián)網(wǎng)建立至今,僅僅幾十年的發(fā)展光景,但它的發(fā)展速度卻是任何時(shí)代產(chǎn)業(yè)技術(shù)無(wú)法相提并論的。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已滲透到社會(huì)的各領(lǐng)域,隨之產(chǎn)生的網(wǎng)絡(luò)安全問(wèn)題備受關(guān)注。作為網(wǎng)絡(luò)安全的防火墻技術(shù)、入侵檢測(cè)系統(tǒng)、會(huì)話加密、虛擬專用網(wǎng)(VPN)和數(shù)字證書等技術(shù)都是基于內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)的,然而網(wǎng)絡(luò)內(nèi)部的用戶卻不一定都是合法、安全的,所以網(wǎng)絡(luò)安全身份認(rèn)證系統(tǒng)應(yīng)運(yùn)而生。網(wǎng)絡(luò)身份認(rèn)證是通過(guò)一定的技術(shù)手段,強(qiáng)制要求用戶登錄網(wǎng)絡(luò)時(shí)提供有效且惟一的身份信息,身份信息在認(rèn)證服務(wù)器中需進(jìn)行校驗(yàn),合法的通過(guò)驗(yàn)證,可訪問(wèn)網(wǎng)絡(luò)資源,不合法的身份信息,將被阻斷網(wǎng)絡(luò),限制非法用戶訪問(wèn)網(wǎng)絡(luò)資源,并有效地防止數(shù)據(jù)被修改。
2.網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)工作過(guò)程
網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)其目的是為了有效鑒別身份,防止非法用戶訪問(wèn)應(yīng)用系統(tǒng)資源,是網(wǎng)絡(luò)安全體系中的第一道屏障。在身份認(rèn)證系統(tǒng)(如圖1)中有四個(gè)關(guān)鍵對(duì)象,分別為:待認(rèn)證主機(jī)、認(rèn)證服務(wù)器、應(yīng)用系統(tǒng)服務(wù)器、交換網(wǎng)絡(luò)。
圖1 身份認(rèn)證系統(tǒng)
備注:1是網(wǎng)絡(luò)中待認(rèn)證的主機(jī);2是認(rèn)證服務(wù)器;3是應(yīng)用系統(tǒng)服務(wù)器;4是交換網(wǎng)絡(luò)主機(jī)通過(guò)網(wǎng)絡(luò)向認(rèn)證服務(wù)器發(fā)出請(qǐng)求,認(rèn)證服務(wù)器查詢身份認(rèn)證信息的真?zhèn),?duì)主機(jī)作出應(yīng)答。當(dāng)身份認(rèn)證為真時(shí),開放相應(yīng)的應(yīng)用系統(tǒng);認(rèn)證失敗時(shí),斷開網(wǎng)絡(luò)連接。
3.簡(jiǎn)單的“用戶名/口令”網(wǎng)絡(luò)身份認(rèn)證存在的問(wèn)題
在當(dāng)前網(wǎng)絡(luò)環(huán)境下,用戶名/口令進(jìn)行身份認(rèn)證被認(rèn)為是一種最容易實(shí)現(xiàn)的認(rèn)證方案,該認(rèn)證手段簡(jiǎn)單,易行,被廣泛的應(yīng)用于B/S架構(gòu)下應(yīng)用賬號(hào)、郵件系統(tǒng)以及操作系統(tǒng)的登錄中。其認(rèn)證過(guò)程簡(jiǎn)單、速度快、成本低,對(duì)網(wǎng)絡(luò)帶寬的要求也不高,優(yōu)勢(shì)是顯而易見的。
但這種認(rèn)證方式的安全性比較差,口令明文,不能提供數(shù)據(jù)的加密傳輸,很容易被竊聽,更不可能實(shí)現(xiàn)用戶業(yè)務(wù)行為的不可否認(rèn)性等。另外普通用戶往往愿意使用特殊、有意義的數(shù)字及字母來(lái)設(shè)置口令密碼,這樣的口令極易破解,一旦口令被惡意破解,用戶的身份將在網(wǎng)絡(luò)中被冒用,既帶來(lái)了安全隱患,又可能造成經(jīng)濟(jì)損失,甚至破解口令者冒用合法用戶的身份去做違法的行為。
4.動(dòng)態(tài)口令網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
動(dòng)態(tài)口令的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)是為了解決上述簡(jiǎn)單用戶名、靜態(tài)口令的缺陷而設(shè)計(jì)的,其工作原理是用動(dòng)態(tài)口令代替靜態(tài)口令,在客戶端登錄過(guò)程中加入轉(zhuǎn)換密文,從而得到認(rèn)證所采用的動(dòng)態(tài)口令。再將動(dòng)態(tài)口令及用戶名向認(rèn)證服務(wù)器發(fā)出請(qǐng)求,認(rèn)證服務(wù)器接收到用戶的認(rèn)證數(shù)據(jù)后,以預(yù)存的算法去解密,判定認(rèn)證數(shù)據(jù)的真假,進(jìn)而實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。
4.1 動(dòng)態(tài)口令網(wǎng)絡(luò)身份認(rèn)證的優(yōu)勢(shì)
(1)安全性:口令具有一次性,隨時(shí)間、處理事件等因素的變化口令在不斷的變化,具有無(wú)法重復(fù)使用、口令經(jīng)過(guò)加密算法隨機(jī)產(chǎn)生,具有無(wú)法破解等優(yōu)點(diǎn)。(2)方便性:動(dòng)態(tài)口令采用口令卡形式存放,不需要強(qiáng)制記憶口令,所有信息都顯示于口令卡之上。(3)無(wú)法否認(rèn)性:口令是經(jīng)過(guò)登錄時(shí)間、所需完成業(yè)務(wù)事件、動(dòng)態(tài)密鑰三個(gè)元素共同決定的,并通過(guò)MD5、HASHAlgorithm生成不可逆的動(dòng)態(tài)口令,有效地解決了電子商務(wù)中引發(fā)的網(wǎng)絡(luò)不誠(chéng)信問(wèn)題,用戶的業(yè)務(wù)行為具有不可否認(rèn)性。
4.2 動(dòng)態(tài)口令網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)
動(dòng)態(tài)口令的網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)根據(jù)軟、硬件劃分可由三個(gè)部分組成:口令卡;身份認(rèn)證服務(wù)器;認(rèn)證代理函數(shù)接口。(1)動(dòng)態(tài)口令卡。動(dòng)態(tài)口令卡是產(chǎn)生口令的裝置,為了攜帶方便,往往設(shè)計(jì)的小巧靈便?诹羁▋(nèi)預(yù)裝了認(rèn)證服務(wù)器端的私鑰和客戶端的公鑰以及MD5或HASH算法,根據(jù)認(rèn)證服務(wù)器返回的應(yīng)答和加密算法以時(shí)間為參數(shù)來(lái)產(chǎn)生一次性動(dòng)態(tài)口令。(2)身份認(rèn)證服務(wù)器。身份認(rèn)證服務(wù)器是網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的核心,它一般存放在網(wǎng)絡(luò)機(jī)房中,用戶的所有信息數(shù)據(jù)經(jīng)MD5或HASH算法存儲(chǔ)于認(rèn)證服務(wù)器中,提供全面的認(rèn)證、授權(quán)、審計(jì)服務(wù)等。再通過(guò)網(wǎng)絡(luò)二層的DOT1X協(xié)議與應(yīng)用服務(wù)器聯(lián)動(dòng),經(jīng)過(guò)身份認(rèn)證服務(wù)器驗(yàn)證,合法的用戶再與應(yīng)用服務(wù)器相連,完成相應(yīng)的業(yè)務(wù)事件響應(yīng)。(3)認(rèn)證代理函數(shù)接口。認(rèn)證代理是軟件來(lái)實(shí)現(xiàn)的,其實(shí)就是一些接口函數(shù)。認(rèn)證服務(wù)接口函數(shù)(API)提供了客戶服務(wù)器與認(rèn)證服務(wù)器的軟件接口,客戶服務(wù)器通過(guò)對(duì)它的調(diào)用而得到認(rèn)證服務(wù)器提供的認(rèn)證服務(wù)。
5.結(jié)束語(yǔ)
動(dòng)態(tài)口令網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)實(shí)現(xiàn)了動(dòng)態(tài)身份的認(rèn)證,徹底解決了網(wǎng)絡(luò)環(huán)境下用戶身份認(rèn)證安全與方便的矛盾。動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)的應(yīng)用前景樂觀,將會(huì)在銀行、網(wǎng)上購(gòu)物、電子商務(wù)、內(nèi)部網(wǎng)絡(luò)身份識(shí)別、機(jī)要審計(jì)等場(chǎng)合得到廣泛應(yīng)用。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:動(dòng)態(tài)口令網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121512165.html