1 功能介绍:

1.1 基础功能

安盟双因素动态口令身份认证管理系统提供双因素的身份认证,使用方便且有效鉴别用户身份。认证器采用时间同步技术,即同一时间相对应同一个一次性认证码。用户通过私有PIN(用户知道的)和认证器产生的单位时间变化一次的口令(用户拥有的)相结合,产生唯一的、一次性的、识别或鉴别用户身份的验证码,如果验证码被安盟身份认证系统服务器接受,用户就可以访问被保护的资源,如果没有被接受,用户就不能获取访问。

为确保认证服务不会因服务器或网络故障而中断,可以选择安装一个备份服务器。无论是专用备份系统,还是为网络其它领域提供服务的安盟身份认证系统,都可以提供备份服务。备份服务器将与主安盟身份认证系统保持通信,以确保其可用性,并与数据库保持同步。通信频率由系统管理员设定。

安盟身份认证系统服务器是网络中的认证引擎,安盟身份认证系统服务器由安全管理员或网络管理员进行管理,主要用于:

· 向信任的个人分发认证令牌卡。

· 设置并实施安全策略,如可以根据每天的时间、周几或根据小组或用户定义的策略来确定访问策略。

· 创建用户访问日志。

· 定义和报告报警情况如访问失败重试次数。

    安盟身份认证系统服务器运行于Windows NT和UNIX服务器平台上。一个安盟身份认证系统服务器可以为1,000,000多个用户提供保护,这具体取决于服务器的容量。

1.2 扩展功能:

    签名短信动态口令身份认证:

    我们在安盟双因素动态口令身份认证的基础上,引入用户的关键认证信息,采用国家批准的密码算法,生成具有认证签名内容的一次性口令,结合用户的认证信息内容通过短信网关发送到用户注册的手机上,进行认证。要求系统的认证处理能力超过1000次/每秒。

2 关键技术

2.1 生成算法:

采用国家密码管理局颁布的SM3密码杂凑算法. SM3 Cryptographic Hash Algorithm

SM3算法程序将时间与种子进行加密运算,我们将运算的结果进行单向影射为6位或8位10进制数,其原理如下图,我们在令牌中采用专用的算法芯片,将安盟身份认证管理系统所采用的SM3算法程序烧制到芯片中,加上晶振、电池、液晶板等关键部件制成毛坯,在生产时将准确的UCT时间和令牌种子库中的种子密钥写入到令牌中,令牌即启动开始运算生成动态码显示出来。

 

    在安盟身份认证服务器上内置了相同的算法程序,当安装安盟身份认证服务器软件后,必须对服务器的时钟进行校对,校对完成后认证服务器软件自动将算法程序的时间值设定为UCT时间;然后将加密保护令牌种子文件导入到认证服务器,我们根据管理策略给用户分配令牌并赋予相应的访问权限。当用户使用令牌进行登录时,安盟身份认证服务器根据用户提交的信息找到为用户绑定的密钥,进行动态密码运算。检验用户密码的技术就是时间同步,就是说用户的令牌和后台的服务器采用相同的算法、相同的密钥在相同的时间产生相同的结果。

  2.2  时间同步:

    时间同步认证原理如下图所示:

 

时间同步认证原理图

 

时间同步问题的解决是使安盟身份认证系统可靠、有效地工作的基础条件。时间同步,是指令牌的时钟和身份认证服务器的系统时钟保持一致的过程。在实际使用中,每一个令牌的时钟和服务器系统的时钟都有可能出现偏差。因此,身份认证服务器为每一块正在使用的安盟身份认证令牌保存一个时间偏差值。用户在使用某块令牌进行身份认证时,身份认证服务器在自己系统时钟的基础上加上或减去时间偏差值,就可以得到令牌的时钟,进而得出这一时间的令牌码。用户使用令牌每次进行了成功的登录,身份认证服务器都将对时间偏差值进行调整,以保证令牌今后每次都可以正确地登录使用。在生产时,每个安盟令牌都设定为UCT;在安装过程中,安盟认证服务器系统时钟同样设定为UCT,不需处理时区差或进行夏令时调整。

2.3 时钟漂移误差修正:

安盟身份认证服务器在3分钟的时间窗口基础上进行认证,即UCT时钟显示的当前时间,该时间的前一分钟和后一分钟。如果用户名和PIN准确无误,而所提供的密码与当前时间不符,安盟身份认证服务器会自动将其与前一分钟和后一分钟匹配项进行核对。

3 安盟令牌技术参数

1、 安盟认证系统的认证处理能力超过1000次/每秒

2、 采用私有数据库

3、 采用私有的加密算法

4、 采用OTP技术

5、 采用128位种子密钥

6、 采用SM3算法

7、 同一时间相对应同一个一次性认证码

8、 时间同步校准


身份认证服务器

身份认证服务器

产品推荐

本网站由阿里云提供云计算及安全服务 Powered by CloudDream