金刚狼3免费观看完整版:HIGI令牌介绍

宏基动态口令牌产品介绍

 

1.概述

    在计算机网络中，最常见而且最简单的访问控制方法是使用口令，通过对口令的匹配来确认用户的合法性。口令不安全是网络系统中普遍存在的隐患。据美国某专业安全协会对近千名公司网络管理员的调查表明，有60%的系统首先被攻击和突破的部位是口令，而烦琐的口令设置又给用户带来很多麻烦，对此系统管理员感到进退两难。
随着互联网技术及电子移动商务的迅猛发展，各种口令欺诈、企业员工内外勾结伪造冒用合法用户身份，非法入侵企业核心机密、窃取泄露破坏企业资源，非法使用资源，各种欺诈者假冒银行及交易网站，套用窃取用户密码及交易信用卡帐号，盗用用户资金，时有发生，导致人们对电子商务网上支付的信任危机。
为了解决由口令泄密导致的所有入侵问题，消除因口令欺诈而导致的损失，防止恶意入侵者或员工对资源的破坏和窃取，上海市专利新产品（编号：SHZX041013）--HIGI宏基动态口令双因素安全认证系统。采用了基于时间 /事件而产生的一次性口令（动态口令）结合传统静态口令的认证应用，从而避免了口令泄密所带来的安全隐患，可广泛使用于金融、证券、电子商务、电信、国家电子政务、国防工业系统、军队等机要企事业单位的网络信息安全。

 

2.认证需求分析
 

    基于对电子商务和电子政务的深刻理解，我们认为作为完善的身份认证系统应该能够满足以下技术要求和产品特性：

2.1.整体安全原则

        身份认证系统是电子商务和电子政务今后各种业务应用的安全基础，因此系统的设计必须从一个完整的安全体系结构出发，综合考虑信息化系统、应用系统及其相关的各种实体和环节，综合使用不同层次的不同的安全手段，为身份认证系统建设提供全方位的安全管理和安全服务。

2.2.认证机制安全性

         相对单纯的用户名口令认证，双因子认证 (2FA，2 Factor Authentication)除了要求用户输入其知道的信息(如帐号密码)外，还要求对其所拥有其他的凭证(如令牌)等进行认证。
         采用动态双因子身份认证机制，使得每次用户认证都采取不同的密码认证，能够极大地增强口令认证的安全性。
         采用 PIN+动态令牌码构成完整的双因子用户口令，令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成，每隔一段时间改变一次，是一次性密码（密码使用后立即失效，不能重复使用）。
         对于认证要求较高的业务应用，还应能够提供用户和应用系统身份双向认证的功能，即应用认证用户的同时，用户也能确认应用系统自身的有效性和真实性。
2.3.技术标准性
    完善的身份认证系统在设计和实现上必须遵循一系列的国际、国内技术和行业标准，这样才能保证它所服务的实体之间能够安全地互联互通，不会造成互操作问题。
    支持主流的网络设备、防火墙、 VPN设备、各类主流应用系统和应用平台的用户身份认证。

2.4.易用性和易维护性

    安全性的加强往往需要牺牲终端用户的使用方便，因此在保证安全的同时，确保用户能够方便、快速地掌握高强度认证的使用方法，不但能够加快身份认证系统的建设，还能大大减轻网络管理员的维护工作和客服中心的日常服务工作。

2.5.系统稳定性

        作为业务入口的认证平台，认证服务器一旦出现问题将使得业务应用瘫痪。因此，认证系统技术上应支持集群多机热备份，并能实现负载均衡。

2.6.系统扩展性

    各类业务系统的用户随着时间的推移将越来越多，因此身份认证平台能够具备良好的扩展性，容量能够随着用户的增多而动态地增加。
同时，身份认证平台还能根据用户业务发展情况，不断增加认证功能或模块，确保认证平台的功能也能随着用户的需求而不断平滑扩展。
2.7.认证平台统一性
    对于各种形态的应用系统，以及各类不同安全等级的业务操作，用户能够通过一个令牌设备即可实现对所有应用系统的认证需求。

 

3. HIGI 动态口令双因素安全认证系统基本原理

    HIGI动态口令双因素安全认证系统计算机信息网络系统用户的合法身份认证提供了简捷、有效的认证手段。   
    该系统由宏基安全令牌、宏基ESS安全认证服务器和宏基安全认证代理构成。
    宏基安全（电子、手机、软件、刮刮卡、短信）令牌基于宏基认证服务器相应的认证信任算法和令牌信息（唯一性特征的种子值、初始化值）每隔六十秒钟或三十秒触发一次动态生成一个随机的、单次使用的口令，配合宏基 HIGI安全认证服务器根据系统范围内合法用户的令牌信息作同步信任认证运算对照，构成一个安全、可靠的认证系统，保护计算机网络授权用户的合法利益，避免系统或网络受到非授权用户的非法访问。
    HIGI动态口令双因素安全认证系统保留了传统口令认证机制的简单易用的优点，又增加了动态口令认证的安全性，以实现双重因素的认证保护.认证服务器的认证处理对用户透明，易于使用和管理，认证终端安全令牌不需要专用的读入设备,也免去了复杂的认证过程,最重要的是,访问控制权仍然掌握在系统管理者手中。
    宏基 HIGI安全认证服务器和宏基 HIGI安全认证代理对宏基令牌产生的口令进行认证。具体过程是：
    使用时，用户使用管理中心分发的时间 /事件安全（电子、手机、软件、刮刮卡、短信）令牌（又称为动态口令发生器），动态产生一个口令，然后在系统登录界面，或者电话机、令牌手机等信息输入终端（应用表示层）进行输入。系统将用户输入的静态口令和动态口令送到网络系统中的需要安全认证的资源即宏基 HIGI安全认证代理，宏基 HIGI安全认证代理强制执行动态口令认证策略机制，将认证信息送宏基 HIGI安全认证服务器进行安全身份认证，由此判断用户的合法性。
     HIGI认证系统的动态口令认证工作流程、典型应用体系结构、基本应用结构示图如下：
 

    宏基认证系统具体操作流程为：    --客户登录系统准备。--客户输入用户标识（ID号）。    --客户输入预设的静态密码。    --客户根据令牌卡上液晶屏显示的六位码随机口令（或刮刮卡显示的六位码随机口令）输入登录界面。    --客户输入的所有信息被传送到认证代理服务器，认证代理服务器将客户标识 ID、口令字（动态密码和静态密码）传到认证服务器。    --认证服务器平台根据客户 ID从用户数据库中调出该用户的令牌信息（用户种子值和令牌初始化时间、触发顺序）。
    --认证服务器使用与客户端令牌卡同样的信任认证算法及用户种子值进行运算并结合用户初始化时间值（触发顺序），对用户口令进行验证，并将验证结果返回给认证代理服务器。--认证代理服务器将验证结果返回给用户服务，并根据验证结果赋予客户相应的权限，从而完成一次认证过程。 4.产品介绍
    宏基企业专一从事动态令牌身份认证技术产品的研发和生产。产品线主要为宏基身份认证系统，包括宏基身份认证服务器和令牌产品.
4.1.宏基身份认证服务器
    宏基认证服务器系统提供了完整的动态口令认证及令牌的生命周期管理功能，可运行在多个操作系统平台，包括 LINUX/AIX/HPUX。
    宏基认证服务软件包含 3个部分：认证服务器、认证代理和管理服务器： 
    认证服务器提供动态口令的验证功能，它接收认证代理传递的认证请求，对认证请求实施认证处理，并将处理完的结果返回给认证代理。 
    认证代理安装在需要认证请求的服务器上，如 windows、UNIX服务器，通过标准的 C/C++、 JAVA API与应用系统集成。认证代理接收应用系统的认证请求，并将其发送到认证服务器进行处理，接收认证服务器的处理结果，返回给应用系统。 
    管理服务器负责管理认证系统的配置及安全策略，提供 WEB界面给管理人员进行令牌生命周期管理，如令牌导入、开启、用户绑定、解绑、同步、挂起 /解挂、注销等功能。同时提供标准的 C/C++、JAVA API给第三方应用集成。
    宏基认证引擎和认证服务器系统基于开放平台和开放技术开发，同时兼顾了系统性能、扩展能力及安全性，适用于大规模部署。提供认证引擎及认证代理 2种方法实现与第三方认证平台的集成。
    系统环境及性能特征:支持多线程处理，支持大用户量的并发用户认证；支持主流的操作系统及硬件平台，包括 LINUX/AIX/HPUX，支持 Oracle 、MYSQL、DB2、MS SQLSERVER数据库；系统可按要求进行配置，包括网络参数、认证策略参数、时间窗口参数；系统可分布部署，在系统扩展时只需增加认证引擎的运行硬件设备，无需重新启动认证服务；系统可支持千万级用户，单台认证能力 >3000笔/s (认证请求处理，在 IBM P55A平台下测试)；支持时间同步及事件同步令牌；自动处理时间漂移，提供时间漂移超出验证窗口外后的用户自同步支持；系统可按需要安装和运行多个认证引擎，并支持负载均衡机制。支持 OATH标准，使用 RFC2104规定的 HMAC-SHA-1算法生成和验证动态口令；
    使用 AES算法加密令牌数据记录。
    单机系统超过 99.99％的可用性，无失效记录；双机配置情况下，提供无故障运行保证。
    接入业务的支持：     安全特征：保证令牌记录的安全性，令牌种子只在认证引擎需要时解密，使用完立即清除；  认证系统本身具有很强的安全性，无后门程序、无安全漏洞，强制检查所有的服务请求，具备较强的抗攻击能力。防重放攻击，每个动态口令只能一次有效；防暴力攻击认证引擎可设定在超过指定的错误次数后，锁定电子令牌，拒绝用户验证。防中间人攻击认证引擎提供 MSCHAP V2支持，动态口令可在使用 MSCHAP v2后加密传输，从而防止动态口令被中间人截获并实施攻击。并可通过 MSCHAP v2提供用户与服务器的双向认证。 4.2.HIGI动态令牌客户端    令牌又被称为动态口令发生器,HIGI令牌基于宏基认证服务器系统相应的认证信任算法和令牌信息（唯一性特征的种子值、初始化值）每隔三十秒钟或每触发一次动态生成一个随机的、单次使用的口令。其令牌客户端分别为：电子、手机、软件、刮刮卡、数字证书key令牌，短信认证等组成。 4.2.1.宏基时间/事件型电子令牌    动态口令双因素身份认证系统由令牌卡生成随机的动态用户登录密码较之常规的静态密码登录方式具有高得多的安全性，使用与管理都远较其它方式便捷，性价比高。    本电子令牌系列根据自知产权在原创令牌经国家标准（GB/T2423）例行试验及五年以上实时可靠运行的基础上，博采国外令牌众长，采用先进的材料，封装技术，严格的加工工艺及工业造型设计，精心制作而成。以满足电子政务、电子商务的普及应用。电子令牌防震，防潮，抗静电，防水，经过高低温，湿热，自由跌落，水密、抗静电等型式试验。令牌显示 6字段（可定制 8字段），30秒/60秒一次一密。使用温度范围-20OC -+60 OC。令牌使用寿命： 60月以上，令牌外形小巧便于携带，可提供客户化贴牌服务。
    本电子令牌以其高水密性及高抗静电电击性能，令牌能显示令牌出厂日期、令牌序列号及令牌电量状况。 4.2.2.宏基刮刮卡
    宏基动态口令点卡（刮刮卡）是基于自主知识产权的 HIGI宏基动态口令技术，采用宏基密码卡生成工具产生一组预计算的(动态一次性)密码，让用户在网上交易登录过程中按顺序输入宏基动态口令点卡上的一次性口令密码及用户账号，通过宏基认证代理转发至在宏基认证服务器端相应生成的密码计算值相比较，达到一次一密的强身份安全认证。4.2.3.宏基时间/事件型移动密宝
用户可通过互联网或移动运营商的无线网络下载宏基移动密宝程序到用户的一部支持 JAVA应用程序的通信移动终端即可显示宏基动态口令，该移动终端上产生的宏基动态口令结合宏基安全认证服务器应用可登录计算机各种应用系统。（具有防复制及静态口令保护功能）。
 
4.2.4.宏基 PC软件令牌
    宏基软件令牌是一个配合宏基 HIGI动态口令认证系统使用的客户端程序，用户只需要通过互联网下载宏基软件令牌程序到用户的 PC终端即可，然后应用宏基软件令牌程序在 PC机上产生的宏基动态口令密码登录计算机各种应用系统。
4.2.5.宏基手机令牌
    手机令牌系列是根据宏基自主知识产权研发的（本手机令牌分为 SIM卡贴令牌和手机操作系统植入式令牌）。 
 
4.2.6.宏基 U-KEY令牌
    宏基U-KEY令牌内置宏基动态密码生成软件是一个配合宏基HIGI动态口令认证系统使用的客户端程序令牌，用户只需要将宏基 U-KEY令牌插入 PC机中，运行动态密码生成程序
软件即可，在 PC机上产生并显示宏基动态口令密码，可登录计算机各种应用系统。 
 
4.2.7.宏基短信认证
    在充分考虑客户使用习惯的基础上，同时基于中国庞大的手机客户群，上海宏基公司推出针对大众客户量身定做的网上交易，网上银行应用的宏基手机短信认证系统，让广大客户能轻松放心地进行网上交易。
由宏基认证服务器产生一次一密的动态密码，在用户需要进行认证时，系统通过手机短信向用户发送一个一次有效的一次性口令，从而为用户提供一种简单、方便的安全口令认证方式。 
   手机短信认证系统使动态口令的生成与客户电脑无关，不需要在客户的电脑上安装任何程序，无需记忆复杂的口令。客户只需要发送手机短信获取动态口令，并按照提示进行操作认证，过程简单，使用方便。
4.3.宏基安全认证开发工具包
    鉴于目前软件开发商对安全认证需求加大的趋势，动态口令认证技术是目前解决传统应用系统安全认证中比较切实可行的方案，上海宏基提供一套供软件开发集成用的基于 API函数的动态口令安全认证开发工具包。
    宏基安全认证开发工具包是一个面向应用服务软件开发商的产品。宏基安全认证开发工具包实现了宏基安全令牌用户的认证与管理服务功能，并以 API函数和类库形式提供，应用系统通过接口 API函数调用宏基安全认证系统服务，以实现安全认证。
安全认证开发工具包包含安全认证系统开发环境、安全认证 API接口函数或类库函数、程序员开发参考手册。