首頁 -> 資訊動態(tài) -> 信息化 -> 廠商專欄 -> 海鼎股份 -> 上海海鼎 -> 正文

身份認(rèn)證系統(tǒng)HDIA

2008-8-28 14:07:09

解決方案

　　應(yīng)用背景：
　　平臺上使用者的身份如何識別？網(wǎng)上的客戶數(shù)據(jù)、業(yè)務(wù)單據(jù)信息如何保密？系統(tǒng)的穩(wěn)定和安全如何保障？

　　Internet迅猛發(fā)展帶來了信息共享與安全這對矛盾共同體，加強網(wǎng)絡(luò)安全建設(shè)、保障網(wǎng)絡(luò)的安全運行成為網(wǎng)絡(luò)存在的根本之道。網(wǎng)絡(luò)身份認(rèn)證技術(shù)發(fā)展到今天已經(jīng)成為信息管理系統(tǒng)中必不可少的一部分，扮演著網(wǎng)絡(luò)系統(tǒng)“看門人”的角色。
　　

　　產(chǎn)品簡介：
　　海鼎身份認(rèn)證系統(tǒng)（以下稱HDIA）是由上海海鼎網(wǎng)絡(luò)信息有限責(zé)任公司自主開發(fā)的身份鑒別產(chǎn)品。HDIA采用國際上主流的雙因子（靜態(tài)口令＋動態(tài)口令）安全認(rèn)證技術(shù)，也叫“雙因素安全認(rèn)證技術(shù)”，具有一次性數(shù)碼、一次性口令、反篡改等特點；在網(wǎng)絡(luò)和信息安全領(lǐng)域具有重要的實用價值。HDIA采用的HDToken電子令牌在研發(fā)、制造上完全基于國內(nèi)資源的背景更切合我國應(yīng)用的實際需要。HDIA提供的軟硬件一體化專用認(rèn)證服務(wù)器，可實現(xiàn)用戶系統(tǒng)的快速部署和簡化維護。

　　HDIA可以按不同的用戶網(wǎng)絡(luò)和應(yīng)用布局提供合適的解決方案。

　　構(gòu)成海鼎身份認(rèn)證系統(tǒng)的基本部分包括：
　　HDToken電子令牌：HDIA系統(tǒng)中用戶所使用的動態(tài)口令由硬件電子令牌生成。該電子令牌內(nèi)置微處理器和一個最多可顯示8位阿拉伯?dāng)?shù)字的LCD窗口組成，其體積很小，可以系在鏈環(huán)和掛帶上。在向用戶分發(fā)這種令牌時，已經(jīng)使用唯一的種子密鑰將其初始化，確保該令牌無法被偽造；處理器每分鐘都會使用內(nèi)置安全算法，組合當(dāng)前時間和預(yù)置的種子密鑰，生成一個偽隨機的、不可猜測的數(shù)字串供令牌持有者作為動態(tài)口令使用。電子令牌內(nèi)置電池可供內(nèi)部芯片連續(xù)工作數(shù)年，使用時不需要任何在線讀入設(shè)備，操作方便，適合用戶在任何用戶終端上使用。電子令牌采用密封防損結(jié)構(gòu)和拆解自毀設(shè)計，可防止復(fù)制和偽造。
　　HDIA認(rèn)證服務(wù)器：這是一個基于Linux平臺、符合RADIUS協(xié)議的專用服務(wù)器。它為系統(tǒng)提供兩項服務(wù)功能，一是為持有電子令牌的用戶使用動態(tài)口令登錄系統(tǒng)時的認(rèn)證服務(wù)；二是為系統(tǒng)管理員提供一個系統(tǒng)管理平臺，系統(tǒng)管理員可利用這個平臺管理認(rèn)證系統(tǒng)的參數(shù)配置、用戶、令牌、資源、日志等等，完成系統(tǒng)訪問控制的日常管理。
　　HDIA專用認(rèn)證服務(wù)器是一種軟硬件一體化的產(chǎn)品，用戶可選擇桌面或機架式的產(chǎn)品，可實現(xiàn)用戶系統(tǒng)的快速部署和簡化維護。
　　HDIA認(rèn)證代理和客戶端軟件：用戶使用電子令牌產(chǎn)生的動態(tài)口令通過客戶端登錄操作系統(tǒng)（例如訪問Windows服務(wù)器和其他網(wǎng)絡(luò)資源）時，HDIA通過認(rèn)證代理或客戶端軟件提交用戶的動態(tài)口令認(rèn)證請求完成認(rèn)證過程。
　　HDIA認(rèn)證系統(tǒng)開發(fā)包：用戶需要在應(yīng)用系統(tǒng)的用戶登錄時采用動態(tài)口令的認(rèn)證保護時，可使用HDIA認(rèn)證系統(tǒng)開發(fā)包。這個開發(fā)包可以方便地將HDIA與用戶應(yīng)用程序?qū)崿F(xiàn)整合，實現(xiàn)動態(tài)口令認(rèn)證和相關(guān)的日常管理功能。

　　HDIA在保護信息系統(tǒng)的用戶登錄安全具有廣泛的實用性。用戶可以按照自己需求部署HDIA的各個部件構(gòu)成一個實用的系統(tǒng)。一般典型的應(yīng)用有以下幾種：
　　Windows操作系統(tǒng)登錄保護：在一個典型的Windows2000網(wǎng)絡(luò)系統(tǒng)上部署HDIA，只要將HDIA認(rèn)證服務(wù)器接入網(wǎng)絡(luò)，按要求設(shè)置參數(shù)；然后就可以啟動系統(tǒng)管理員操作平臺向用戶分發(fā)令牌；同時在網(wǎng)絡(luò)的客戶端安裝相關(guān)軟件，就可以完成系統(tǒng)的部署。這樣構(gòu)建的HDIA系統(tǒng)可以讓持有HDToken電子令牌的用戶通過客戶終端登錄網(wǎng)絡(luò)系統(tǒng)時獲得動態(tài)口令身份認(rèn)證的服務(wù)，無論是訪問網(wǎng)絡(luò)的域服務(wù)器、網(wǎng)內(nèi)的其他計算機資源或本機資源，HDIA都能有效地實現(xiàn)系統(tǒng)對網(wǎng)絡(luò)資源的訪問控制。
　　用戶應(yīng)用系統(tǒng)的登錄保護：在這種應(yīng)用中，HDIA為用戶應(yīng)用系統(tǒng)的操作者在登錄應(yīng)用系統(tǒng)時提供動態(tài)口令的認(rèn)證服務(wù)。應(yīng)用系統(tǒng)的開發(fā)者采用HDIA認(rèn)證系統(tǒng)開發(fā)包將動態(tài)口令認(rèn)證系統(tǒng)的服務(wù)功能整合到自己的應(yīng)用軟件中，動態(tài)口令認(rèn)證、令牌管理（分發(fā)、測試、同步、注冊、注銷等）、日志管理等功能成為用戶應(yīng)用軟件的一部分。
　　WEB登錄保護：HDIA可以為互聯(lián)網(wǎng)的WEB登錄提供動態(tài)口令身份認(rèn)證服務(wù)，用戶從瀏覽器訪問受HDIA保護的網(wǎng)絡(luò)資源時，可以輸入自己電子令牌當(dāng)時顯示的動態(tài)口令實現(xiàn)安全登錄，由于HDToken電子令牌口令值具有一次性使用的特點，可以有效防止窺探、字典攻擊、窮舉嘗試、網(wǎng)絡(luò)數(shù)據(jù)流竊聽、重放攻擊等潛在威脅，保護用戶帳戶的安全。

　　功能特點：

　　傳統(tǒng)的“用戶帳戶＋靜態(tài)口令”的身份認(rèn)證機制，因用戶名易知，實際只是單因子認(rèn)證，其安全性全部依賴于靜態(tài)口令，口令一旦泄露，用戶即可被冒充。同時，靜態(tài)口令一般是經(jīng)過加密后存放在口令文件中（甚至有些直接存放在數(shù)據(jù)庫中），如果口令文件被竊取，那么就可以進行離線的字典式攻擊。這也是黑客最常用的手段之一。

　　“海鼎電子令牌HDToken”采用“強雙因子認(rèn)證”技術(shù)，所謂“強雙因子認(rèn)證”（“強雙因素認(rèn)證”），即采用“口令”+“令牌”兩個因子驗證用戶身份，安全強度大為提高。同時，利用“動態(tài)口令”替換原有的“靜態(tài)口令”，避免了傳統(tǒng)網(wǎng)絡(luò)用戶身份認(rèn)證過程中，認(rèn)證信息以明文傳輸，極易被第三者截獲的缺點，進一步提高了開放網(wǎng)絡(luò)環(huán)境下身份認(rèn)證的安全性。

　　時間同步技術(shù)是產(chǎn)生“動態(tài)口令”的一種方式。這種技術(shù)以用戶登錄時間作為隨機因素，對雙方的時間準(zhǔn)確度要求較高，一般采取以分鐘為時間單位的折中辦法。例如，美國著名的RSA公司的SecureID Token就是基于時間同步技術(shù)的令牌卡，上面有電池、時鐘、隨機數(shù)生成器等。令牌卡上顯示的數(shù)字就是動態(tài)口令，它是隨機數(shù)，每隔60秒鐘變化一次。目前，全球已經(jīng)累計有超過800萬用戶在使用該產(chǎn)品。

　　HDToken內(nèi)置安全算法，完全符合國際標(biāo)準(zhǔn)。使用時不需要任何在線讀入設(shè)備，操作方便，適合用戶在任何客戶終端上使用。海鼎電子令牌HDToken采用了國際先進成熟技術(shù)，具有相當(dāng)高的安全特性和品質(zhì)。

　　海鼎電子令牌HDToken可廣泛用于遠程用戶登錄認(rèn)證，為銀行、證券、稅務(wù)、海關(guān)、社保等公共服務(wù)平臺提供身份認(rèn)證服務(wù)，并可以用于增強VPN、防火墻、NAS、RRAS/RAS等網(wǎng)絡(luò)接入設(shè)備的用戶認(rèn)證。通過采用電子令牌，可充分保證用戶系統(tǒng)中數(shù)據(jù)的安全性，阻止各種非法的入侵和故意的破壞。既可以保證企業(yè)內(nèi)部正常的工作流程，防止外界非法入侵，又為系統(tǒng)合法的使用者提供訪問外部信息的手段。

　　強雙因子認(rèn)證——靜態(tài)、動態(tài)雙重密碼管理：

　　靜態(tài)密碼：由用戶自行在網(wǎng)絡(luò)上設(shè)定，密碼在一段時間內(nèi)保持不變，以此作為系統(tǒng)安全的第一道防護門。
　　動態(tài)密碼：和國際知名的網(wǎng)絡(luò)安全專業(yè)公司合作，引進動態(tài)密碼的雙因素認(rèn)證機制。動態(tài)密碼依據(jù)安全算法程序每分鐘變化一次，保證一次一密，且任何人都無法預(yù)知。

　　HDToken技術(shù)創(chuàng)新與特點：
　　# 基于口令、令牌雙因子認(rèn)證理論，綜合應(yīng)用時間同步、數(shù)據(jù)庫等技術(shù)，實現(xiàn)了動態(tài)口令的生成與認(rèn)證、令牌管理管理等功能；
　　# 采用哈希算法生成十進制的6位認(rèn)證口令，且每隔60秒動態(tài)更新一次；
　　# 令牌卡的二次初始化、時間同步等的處理速度較快、效率較高;
　　# 對重要數(shù)據(jù)采用加密存儲機制，提高了數(shù)據(jù)的安全性；
　　# 提供了令牌管理、用戶管理等的SDK開發(fā)包，易于與應(yīng)用系統(tǒng)集成；
　　# 通過調(diào)用令牌系統(tǒng)提供的各類API函數(shù)，正確實現(xiàn)海鼎電子令牌的身份認(rèn)證功能，為各類網(wǎng)絡(luò)應(yīng)用系統(tǒng)的用戶身份認(rèn)證提供簡捷、有效的手段；

　　HDIA專業(yè)網(wǎng)站，請登錄：www.hd123.net