1.引言

    互聯(lián)網(wǎng)建立至今，僅僅幾十年的發(fā)展光景，但它的發(fā)展速度卻是任何時代產(chǎn)業(yè)技術(shù)無法相提并論的。計算機網(wǎng)絡(luò)的應(yīng)用已滲透到社會的各領(lǐng)域，隨之產(chǎn)生的網(wǎng)絡(luò)安全問題備受關(guān)注。作為網(wǎng)絡(luò)安全的防火墻技術(shù)、入侵檢測系統(tǒng)、會話加密、虛擬專用網(wǎng)（VPN）和數(shù)字證書等技術(shù)都是基于內(nèi)部網(wǎng)絡(luò)設(shè)計的，然而網(wǎng)絡(luò)內(nèi)部的用戶卻不一定都是合法、安全的，所以網(wǎng)絡(luò)安全身份認證系統(tǒng)應(yīng)運而生。網(wǎng)絡(luò)身份認證是通過一定的技術(shù)手段，強制要求用戶登錄網(wǎng)絡(luò)時提供有效且惟一的身份信息，身份信息在認證服務(wù)器中需進行校驗，合法的通過驗證，可訪問網(wǎng)絡(luò)資源，不合法的身份信息，將被阻斷網(wǎng)絡(luò)，限制非法用戶訪問網(wǎng)絡(luò)資源，并有效地防止數(shù)據(jù)被修改。

    2.網(wǎng)絡(luò)身份認證系統(tǒng)工作過程

    網(wǎng)絡(luò)身份認證系統(tǒng)其目的是為了有效鑒別身份，防止非法用戶訪問應(yīng)用系統(tǒng)資源，是網(wǎng)絡(luò)安全體系中的第一道屏障。在身份認證系統(tǒng)(如圖1)中有四個關(guān)鍵對象，分別為：待認證主機、認證服務(wù)器、應(yīng)用系統(tǒng)服務(wù)器、交換網(wǎng)絡(luò)。

圖1 身份認證系統(tǒng)

    備注：1是網(wǎng)絡(luò)中待認證的主機；2是認證服務(wù)器；3是應(yīng)用系統(tǒng)服務(wù)器；4是交換網(wǎng)絡(luò)主機通過網(wǎng)絡(luò)向認證服務(wù)器發(fā)出請求，認證服務(wù)器查詢身份認證信息的真?zhèn)�，對主機作出應(yīng)答。當身份認證為真時，開放相應(yīng)的應(yīng)用系統(tǒng)；認證失敗時，斷開網(wǎng)絡(luò)連接。

    3.簡單的“用戶名/口令”網(wǎng)絡(luò)身份認證存在的問題

    在當前網(wǎng)絡(luò)環(huán)境下，用戶名/口令進行身份認證被認為是一種最容易實現(xiàn)的認證方案，該認證手段簡單，易行，被廣泛的應(yīng)用于B/S架構(gòu)下應(yīng)用賬號、郵件系統(tǒng)以及操作系統(tǒng)的登錄中。其認證過程簡單、速度快、成本低，對網(wǎng)絡(luò)帶寬的要求也不高，優(yōu)勢是顯而易見的。

    但這種認證方式的安全性比較差，口令明文，不能提供數(shù)據(jù)的加密傳輸，很容易被竊聽，更不可能實現(xiàn)用戶業(yè)務(wù)行為的不可否認性等。另外普通用戶往往愿意使用特殊、有意義的數(shù)字及字母來設(shè)置口令密碼，這樣的口令極易破解，一旦口令被惡意破解，用戶的身份將在網(wǎng)絡(luò)中被冒用，既帶來了安全隱患，又可能造成經(jīng)濟損失，甚至破解口令者冒用合法用戶的身份去做違法的行為。

    4.動態(tài)口令網(wǎng)絡(luò)身份認證系統(tǒng)的設(shè)計與實現(xiàn)

    動態(tài)口令的網(wǎng)絡(luò)身份認證系統(tǒng)是為了解決上述簡單用戶名、靜態(tài)口令的缺陷而設(shè)計的，其工作原理是用動態(tài)口令代替靜態(tài)口令，在客戶端登錄過程中加入轉(zhuǎn)換密文，從而得到認證所采用的動態(tài)口令。再將動態(tài)口令及用戶名向認證服務(wù)器發(fā)出請求，認證服務(wù)器接收到用戶的認證數(shù)據(jù)后，以預(yù)存的算法去解密，判定認證數(shù)據(jù)的真假，進而實現(xiàn)對用戶身份的認證。

    4.1 動態(tài)口令網(wǎng)絡(luò)身份認證的優(yōu)勢

    (1)安全性：口令具有一次性，隨時間、處理事件等因素的變化口令在不斷的變化，具有無法重復(fù)使用、口令經(jīng)過加密算法隨機產(chǎn)生，具有無法破解等優(yōu)點。(2)方便性：動態(tài)口令采用口令卡形式存放，不需要強制記憶口令，所有信息都顯示于口令卡之上。(3)無法否認性：口令是經(jīng)過登錄時間、所需完成業(yè)務(wù)事件、動態(tài)密鑰三個元素共同決定的，并通過MD5、HASHAlgorithm生成不可逆的動態(tài)口令，有效地解決了電子商務(wù)中引發(fā)的網(wǎng)絡(luò)不誠信問題，用戶的業(yè)務(wù)行為具有不可否認性。

    4.2 動態(tài)口令網(wǎng)絡(luò)身份認證系統(tǒng)的設(shè)計實現(xiàn)

    動態(tài)口令的網(wǎng)絡(luò)身份認證系統(tǒng)根據(jù)軟、硬件劃分可由三個部分組成：口令卡；身份認證服務(wù)器；認證代理函數(shù)接口。(1)動態(tài)口令卡。動態(tài)口令卡是產(chǎn)生口令的裝置，為了攜帶方便，往往設(shè)計的小巧靈便�？诹羁▋�(nèi)預(yù)裝了認證服務(wù)器端的私鑰和客戶端的公鑰以及MD5或HASH算法，根據(jù)認證服務(wù)器返回的應(yīng)答和加密算法以時間為參數(shù)來產(chǎn)生一次性動態(tài)口令。(2)身份認證服務(wù)器。身份認證服務(wù)器是網(wǎng)絡(luò)身份認證系統(tǒng)的核心，它一般存放在網(wǎng)絡(luò)機房中，用戶的所有信息數(shù)據(jù)經(jīng)MD5或HASH算法存儲于認證服務(wù)器中，提供全面的認證、授權(quán)、審計服務(wù)等。再通過網(wǎng)絡(luò)二層的DOT1X協(xié)議與應(yīng)用服務(wù)器聯(lián)動，經(jīng)過身份認證服務(wù)器驗證，合法的用戶再與應(yīng)用服務(wù)器相連，完成相應(yīng)的業(yè)務(wù)事件響應(yīng)。(3)認證代理函數(shù)接口。認證代理是軟件來實現(xiàn)的，其實就是一些接口函數(shù)。認證服務(wù)接口函數(shù)（API）提供了客戶服務(wù)器與認證服務(wù)器的軟件接口，客戶服務(wù)器通過對它的調(diào)用而得到認證服務(wù)器提供的認證服務(wù)。

    5.結(jié)束語

    動態(tài)口令網(wǎng)絡(luò)身份認證系統(tǒng)實現(xiàn)了動態(tài)身份的認證，徹底解決了網(wǎng)絡(luò)環(huán)境下用戶身份認證安全與方便的矛盾。動態(tài)口令身份認證系統(tǒng)的應(yīng)用前景樂觀，將會在銀行、網(wǎng)上購物、電子商務(wù)、內(nèi)部網(wǎng)絡(luò)身份識別、機要審計等場合得到廣泛應(yīng)用。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：動態(tài)口令網(wǎng)絡(luò)身份認證系統(tǒng)的設(shè)計與實現(xiàn)

本文網(wǎng)址：http://www.oesoe.com/html/support/11121512165.html