企业远程接入动态口令身份认证解决方案

    随着信息技术的迅速发展，企业应用架构不断创新，员工移动办公的需要、远程分支机构的建立等等，导致了另外一个问题的出现：企业提供服务的接入环境日趋复杂化、危险化。
    企业使用了办公系统、内部邮件系统，上了财务软件、ERP，CRM等N多系统。这些应用系统可能来自不同的供应商，有基于C/S结构开发的，也有基于B/S结构开发的；应用系统有基于WINDOWS平台的，也有基于LINUX平台的；企业在不同时期，针对不同岗位采购的设备千差万别，有台式电脑、笔记本以及其它终端设备；各地的上网方式也是五花八门，有专线、VPN、ADSL，还有无线等。企业的远程分支机构、出差移动人员或合作伙伴，却需要能够安全、快速随时随地接入，保证对企业的关键应用程序和信息资源的实时访问。成功的企业接入方案将会使企业的应用系统发挥出更大的价值。
    然而，传统的“用户名”＋“静态密码”的身份认证方式又存在着极大的安全隐患，密码容易被窃。采用生物识别技术的身份认证，其成本偏高，且对使用环境有比较高的要求。集联信息安全技术有限公司（以下简称集联信安）针对这一现状，推出了基于电子令牌的双因素身份认证解决方案，可以有效解决企业远程接入身份认证的难题。
    双因素是密码学的一个概念，第一要素指所知道的内容，即需要使用者记忆的身份认证内容，例如密码和身份证号码等。第二要素指所拥有的物品，即使用者拥有的特殊认证加强机制，例如动态密码卡（电子令牌），IC卡，磁卡等。单独来看，这两个要素中的任何一个都有问题。“所拥有的物品”可以被盗走；“所知道的内容”可以被猜出、被分享，复杂的内容可能会忘记；把这两种要素结合起来的身份认证的方法就是“双因素认证”。由于需要用户身份的双重认证，双因素认证技术可抵御非法访问者，提高认证的可靠性。
    电子令牌属专用硬件，内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据计算要素（当前时间以及使用次数等等）生成当前密码（动态产生）并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份，因为下一次登录必须使用另外一个动态密码。

技术架构
    无论用户登录公司的业务系统，还是网络设备都可以集中进行身份认证处理，同时支持本地访问用户和远程访问用户。
    对于网络设备，只需做简单配置即可；对于应用系统，只需进行简单的改造也可以和身份认证服务器互联。

认证流程

    网络管理员可以通过Telnet方式连接到网络设备时，输入用户名后，系统将在登录窗口要求用户输入动态口令，用户打开自己的动态口令牌，生成动态一次性口令作为登陆网络设备的密码。网络设备使用Radius通用协议到双因素身份认证服务器请求该用户当次密码是否能授权该用户进入网络设备，双因素身份认证服务器返回认证结果给网络设备。
    同理VPN登录用户打开的VPN Client，在登录界面输入用户名，并用自己的动态口令令牌生成一个一次性的口令，作为密码填写在登录窗口中，进行登录即可。
    采用双因素身份认证登录应用系统时，需要业务操作员输入“用户名”、“静态密码”以及“动态密码”，动态密码来自令牌显示，实时变化。输入这三项内容后即可进行登录验证了。

方案价值

    1、认证安全性
    企业开放远程接入，极大提高了企业系统的应用范围，同时也等于把企业核心信息暴露了出来，因此，加强对访问者身份的鉴别成了至关重要的一环。集联信安基于电子令牌的双因素身份认证系统，可以有效避免传统登录模式的安全隐患。
    2、使用的方便性
    认证客户端认证信息的输入及认证流程符合传统的习惯既用户ID+口令的一次性认证，用户使用时不需要在交易客户端输入其他的附加信息，使用方便； 并有方便、安全的应急交易系统。
    3、系统的高效性和可靠性
    中心认证系统采用基于标准认证协议与网络接入设备连接，系统实施方便易于扩展，既保证了系统的运行效率，也不会减低系统的稳定性、可靠性。
    4、实施成本低
    认证客户端认证信息的输入符合原固定口令模式及长度，所有的交易客户端不需要改造，大大降低了实施成本，缩短了改造周期同时降低了系统改造的风险。