网络设备登录身份认证

    提及网络安全，人们都倾向于关心防火墙、防病毒、入侵检测和系统漏洞等方面。实际上网络设备的口令安全更为突出(有些还可能是初始密码)，一旦这些设备被攻破。无异于控制了整个防御系统。动态密码认证则可以很好的解决这个问题。
    网络设备的安全技术
    一般分为物理安全和口令安全两个方面。
    物理安全主要考察可靠性与线路安全方面、访问控制方面、信息隐藏方面、数据加密方面、攻击探测和防范方面和安全管理方面。对于物理安全方面的防范一般都比较重视。
    口令安全一般有端口登录口令，特权用户口令。一些网络设备也提供口令加密存放，但这样仍然达不到口令安全的需求，更高安全性的口令应该启用RADIUS认证服务，将与账户和密码相关的信息转移到RADIUS认证服务器上，同时改静态密码为动态密码。
    动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。动态密码采用一种称之为动态令牌的专用硬件，内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间以及使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份，因为下一次登录必须使用另外一个动态密码。
    使用动态密码的网络设备身份认证图示如下：
              
    主流的网络设备（如路由器、交换机、防火墙、VPN等）都兼容集联动态口令令牌，通过RADIUS的第三方转发认证, 进行网络设备的CONSOLE口令设置，实现对网络设备的管理。网络设备自身的用户登录和远程用户登录（拨号用户、VPN用户、TELNET、FTP等）,也可以采用集联动态口令令牌技术。
    动态口令身份认证系统特点：
    认证安全性
    利用动态口令技术大大提高了身份认证的安全性。同时有效地保护了用户的口令，即使认证口令在传输中被别人截获、破译或使用中被另人窥探第三者也不能利用该口令登录系统。
    系统实施成本低
    处理令牌产品，认证系统和管理系统采用应用程序模式没有硬件投入。认证口令输入符合原固定口令模式及长度, 所有的交易客户端不需要改造大大降低了实施成本缩短了改造周期, 同时降低了系统改造的风险。